Die schlimmsten Sicherheitsvorwürfe, Fehlschläge und Fehler im Jahr 2012

Ein Narr und sein schwacher P @ $$ W0rd sind bald verwurzelt, aber wenn 2012 etwas bewiesen hat, müssen selbst die vorsichtigsten sicherheitsbewussten Seelen verdoppeln über ihre Schutzpraktiken und über die besten Möglichkeiten, um Schäden zu mildern, wenn das Schlimmste in unserer zunehmend Cloud-verbundenen Welt passiert.

Eine solide Sicherheits-Toolbox sollte natürlich das Herz Ihrer Verteidigung bilden, aber Sie werden auch brauchen dein grundsätzliches Verhalten zu berücksichtigen. Ein gelecktes LinkedIn-Passwort schadet beispielsweise kaum, wenn diese bestimmte alphanumerische Kombination nur die Tür zu diesem bestimmten Konto öffnet und nicht jedes Social-Media-Konto, das Sie verwenden. Die Zwei-Faktor-Authentifizierung kann eine Sicherheitsverletzung verhindern, bevor sie auftritt. Und lutschen Ihre Passwörter?

Ich versuche nicht, Sie zu erschrecken. Ich bin vielmehr daran interessiert, Ihre Augen für die Arten von Vorkehrungen zu öffnen, die im digitalen Zeitalter notwendig sind - wie die größten Sicherheits-Exploits, Fehler und Fehlschläge des Jahres 2012 zeigen. "Für die Bösen ein Bannerjahr.

[Weiterführende Literatur: So entfernen Sie Malware von Ihrem Windows-PC]

Honan-Hack-Attacke

Honans Desaster wurde durch seinen Mangel an physischen Backups verstärkt.

Der höchste Profil-Hack des Jahres 2012 war nicht mit Millionen von Benutzern verbunden oder eine Lawine von gestohlenen Zahlungsinformationen. Nein, der Höhepunkt der Sicherheit - oder ist das lowlight? - des Jahres 2012 war das epische Hacken eines einzigen Mannes: Wired Writer Mat Honan.

Im Laufe einer einzigen Stunde erhielten Hacker Zugriff auf Honans Amazon Account, löschten seinen Google Accounts und löschte aus der Ferne sein Trio von Apple-Geräten aus, was schließlich dazu führte, dass die Hacker ihr Endziel erreichten: die Kontrolle über Honans Twitter-Griff zu übernehmen. Warum all die Zerstörung? Weil der Status des @mat-Twitter-Handles mit drei Buchstaben offensichtlich ein sehr begehrter Preis ist. (Die Unzufriedenen posten mehrere rassistische und homophobe Tweets, bevor das Konto vorübergehend gesperrt wurde.)

Die Verwüstung wurde durch Sicherheits-Snafus auf Honans End-Verkettung kritischer Konten, einem Mangel an Zwei-Faktor-Authentifizierungs-Aktivierung, unter Verwendung der Das gleiche grundlegende Benennungsschema für mehrere E-Mail-Konten - und widersprüchliche Kontosicherheitsprotokolle bei Amazon und Apple, die die Hacker mit Hilfe von gutem altmodischem Social Engineering ausnutzten.

Der gruseligste Teil? Die meisten Leute benutzen wahrscheinlich die gleichen grundlegenden (lax: lax) Sicherheitspraktiken, die Honan gemacht hat. Glücklicherweise hat PCWorld bereits erklärt, wie man die größten digitalen Sicherheitslücken schließt.

Der Flame-Virus

Der Flame-Virus hat seinen Namen von seinem Code.

Verfolgt bis 2010, aber erst im Mai 2012 entdeckt weist das Flame-Virus eine frappierende Ähnlichkeit mit dem von der Regierung gesponserten Stuxnet-Virus auf, mit einer komplexen Code-Basis und einer primären Verwendung als Spionagewerkzeug in Ländern des Nahen Ostens wie Ägypten, Syrien, Libanon, Sudan und (am häufigsten) Iran

Sobald Flame seine Hooks in ein System versenkte, installierte es Module, die unter anderem Skype-Konversationen oder Audioaufnahmen von Ereignissen in der Nähe des Computers aufzeichnen, Screenshots abfangen, Netzwerkverbindungen abhören und Protokolle aller Tastendrücke und Daten speichern konnten in Eingabefelder eingegeben. Mit anderen Worten, es ist gemein - und Flame hat alle gesammelten Informationen hochgeladen, um Server zu steuern und zu steuern. Kurz nachdem Kaspersky-Forscher die Existenz von Flame durchschaut hatten, aktivierten die Ersteller des Virus einen Kill-Befehl, um die Software von infizierten Computern zu entfernen.

Das Homebrew-Tool für $ 50 aktiviert die Hoteltür

Auf der Black Hat Security-Konferenz im Juli forscht Cody Brocious enthüllte ein Gerät, mit dem sich elektronische Türschlösser von Onity halbwegs zuverlässig öffnen ließen. Onity-Schlösser sind an 4 Millionen Türen in Tausenden von Hotels auf der ganzen Welt zu finden, darunter hochkarätige Ketten wie Hyatt, Marriott und IHG (denen Holiday Inn und Crowne Plaza gehören). Basierend auf einem Arduino-Mikrocontroller und zusammengebaut für weniger als 50 $, kann das Tool von jedem Gauner mit Taschenwechsel und einigen Programmierkenntnissen gebaut werden, und es gibt mindestens einen Bericht über ein ähnliches Werkzeug, um in Hotelzimmer in Texas einzubrechen.

ArduinoArduino: Das Open-Source-Herz des Hacks.

Schreckliches Zeug, um sicher zu sein. Vielleicht beunruhigender war die Reaktion von Onity auf die Situation, die im Grunde genommen war: "Stecken Sie einen Stecker über den Port und ändern Sie die Schrauben."

Das Unternehmen entwickelte schließlich eine tatsächliche Lösung für die Schwachstelle, aber es beinhaltet das Austauschen der betroffenen Platine Sperren - und Onity weigert sich, die Kosten dafür zu tragen. Ein Bericht von ArsTechnica aus dem Dezember deutet darauf hin, dass das Unternehmen im Zuge des texanischen Verbrechens eher bereit sein wird, Ersatzboards zu subventionieren, obwohl Onity am 30. November 1 nur insgesamt 1,4 Millionen "Lösungen für Schlösser" geliefert hatte "- einschließlich dieser Plastikstecker - zu Hotels weltweit. Mit anderen Worten, die Anfälligkeit ist immer noch sehr weit verbreitet. Epic fail. ^{Tod durch tausend Schnitte} Das Jahr 2011 sah keine massive Verletzung der Datenbank im Sinne des PlayStation Network im Jahr 2011, aber im Frühjahr und Sommer kam es zu einer Reihe kleinerer Penetrationen. Während die Veröffentlichung von 6,5 Millionen Hashed LinkedIn-Passwörtern der bemerkenswerteste Hack gewesen sein könnte, wurde sie durch die Veröffentlichung von mehr als 1,5 Millionen Hash-eHarmony-Passwörtern, 450.000 Yahoo Voice-Anmeldedaten, einer nicht spezifizierten Anzahl von Last.fm-Passwörtern und dem vollen Auftrieb unterstützt Login und Profilinformationen von Hunderten von Nvidia Forum-Nutzern. Ich könnte weitermachen, aber Sie bekommen den Punkt.

Was ist das Mitnehmen? Sie können einer Website nicht vertrauen, dass Ihr Passwort sicher ist. Daher sollten Sie unterschiedliche Passwörter für verschiedene Websites verwenden, um den potenziellen Schaden zu minimieren, wenn Hacker Ihre Anmeldedaten für ein bestimmtes Konto ändern. Lesen Sie unseren Leitfaden zum Erstellen eines besseren Passworts, wenn Sie ein paar Hinweise benötigen.

Dropbox verliert seine Schutzfunktion

Das DropboxDropbox-Logo "Open Box" erwies sich 2012 als zu wahr.

Einige Dropbox-Benutzer bemerkten, dass sie in ihren Posteingängen eine große Menge an Spam erhielten. Nach einigen anfänglichen Ablehnungen, gefolgt von einigen tiefgründigen Recherchen, stellte Dropbox fest, dass Hacker das Konto eines Mitarbeiters kompromittiert und Zugriff auf ein Dokument mit Benutzer-E-Mail-Adressen erhalten hatten. Hoppla! Der Schaden war gering, aber das Ei im Gesicht war wichtig.

Gleichzeitig wurde eine sehr kleine Anzahl von Benutzern von externen Quellen aktiv in ihre Dropbox-Konten eingegliedert. Ermittlungen ergaben, dass die Hacker Zugang zu den Konten erhielten, weil die Opfer die gleiche Kombination aus Benutzername und Passwort auf mehreren Websites wiederverwendeten. Als die Login-Daten in einer Lücke bei einem anderen Dienst versickerten, hatten die Hacker alles, was sie zum Entsperren der Dropbox-Accounts brauchten.

Die Probleme von Dropbox unterstreichen erneut die Notwendigkeit, separate Passwörter für verschiedene Dienste zu verwenden, sowie die Tatsache, dass Sie können der Cloud noch nicht vollständig vertrauen. Sie können die Cloud-Sicherheit selbst in die Hand nehmen mit Hilfe eines Verschlüsselungstools von Drittanbietern.

Millionen SSNs in South Carolina wurden gestohlen

Apropos Verschlüsselung: Es wäre nett, wenn die Regierung grundlegende Sicherheitsprinzipien befolgt.

Nachdem ein massiver Datenverlust im Oktober dazu führte, dass ein Hacker die Sozialversicherungsnummern von satten 3,6 Millionen Einwohnern von South Carolina erhielt - in einem Bundesstaat mit nur 4,6 Millionen Einwohnern! - versuchten Staatsbeamte, die Schuld an den Füßen des IRS zu platzieren. Das IRS nicht

spezifisch

erfordert Zustände, die SSNs in den Steuerspeichern zu verschlüsseln, sehen Sie. So South Carolina tat nicht - obwohl es plant, jetzt zu beginnen, 20/20 und alles zu sein. Auf der ein bisschen positiven Seite wurden Debit- und Kreditkartendetails von 387.000 Bürgern von South Carolina auch im digitalen Überfall und

von denen wurden verschlüsselt, obwohl das wahrscheinlich wenig Trost für die 16.000 Menschen ist, deren Kartendetails in Klartextform gestohlen wurden. Skypes massive Sicherheitslücke Lax Kontowiederherstellungsverfahren bedrohten Skype-Benutzer in November.

Im November haben Skype-Benutzer vorübergehend die Möglichkeit verloren, ein Passwort-Reset für ihr Konto anzufordern, nachdem die Forscher einen Exploit entdeckt hatten, durch den jemand Zugang zu einem Skype-Konto erhalten konnte, solange die Person die mit dem Konto verknüpfte E-Mail-Adresse kannte. Nicht das Kontopasswort, nicht die Sicherheitsfragen - nur die einfache E-Mail-Adresse.

Skype hat das Loch schnell aufgestöpselt, als es in der Öffentlichkeit auftauchte, aber der Schaden war bereits angerichtet. Die Sicherheitslücke schwamm in russischen Foren herum und wurde aktiv genutzt, bevor sie heruntergefahren wurde.

Hacker stehlen 1,5 Millionen Kreditkartennummern

Im April gelang es Hackern, kolossale 1,5 Millionen Kreditkartennummern zu "exportieren" aus der Datenbank von Global Payments, einem Zahlungsverarbeitungsdienst, der unter anderem von Regierungsbehörden, Finanzinstituten und rund 1 Million weltweiten Ladengeschäften verwendet wird.

Zum Glück war der Verstoß ziemlich begrenzt. Global Payments konnte die Kartennummern identifizieren, die von dem Hack betroffen waren, und die gestohlenen Daten enthielten nur die tatsächlichen Kartennummern und Ablaufdaten,

nicht

Karteninhabernamen oder persönlich identifizierbare Informationen. Die Treffer kamen jedoch immer wieder. Im Juni gab Global Payments bekannt, dass Hacker möglicherweise die persönlichen Daten von Personen gestohlen haben, die sich für ein Händlerkonto bei der Firma beworben haben. Microsoft Security Essentials schlägt die AV-Test-Zertifizierung fehl Nun, ist das nicht peinlich. AV-Test ist ein unabhängiges Informationssicherheitsinstitut, das regelmäßig alle Top-Anti-Malware-Produkte rundet, die auf diesen Produkten zu finden sind, und sieht, wie sich die verschiedenen Lösungen unter der drohenden Flut halten. Genau das hat die Organisation Ende November mit 24 verschiedenen verbraucherorientierten Sicherheitslösungen getan und nur eine dieser Lösungen konnte den Zertifizierungsstandard von AV-Test nicht erfüllen: Microsoft Security Essentials für Windows 7.

Der ohne Zertifizierungslogo ? Es ist MSE.

MSE hat im Test zwar anständige Viren bekämpft, aber das Sicherheitsprogramm hat angesichts der Zero-Day-Exploits erschreckend wenig,

Sicherheit

geliefert. Sein 64-Punkte-Schutz gegen die Zero-Day-Attacken liegt um volle 25 Punkte unter dem Branchendurchschnitt. Der Fehler, der nicht war: Norton-Quellcode veröffentlicht Es hört sich beängstigend an: Gruppen von Hacker-Hackern um den Quellcode für eines der beliebten Norton-Sicherheitsprogramme von Symantec zu erhalten, und dann den Code auf Pirate Bay für die Welt zum Sezieren freigegeben. Oh nein! Jetzt kann nichts mehr verhindern, dass die bösen Jungs willenlos an den Verteidigungsanlagen vorbeilaufen, die vorinstalliert sind auf (ungefähr) gajillions von Boxed-Systemen, die auf der ganzen Welt verkauft werden - richtig?

Falsch. Der Quellcode gehörte zu Norton Utilities-Produkten, die im Jahr 2006 veröffentlicht wurden, und die aktuellen Produkte von Symantec wurden von Grund auf neu erstellt, ohne dass ein gemeinsamer Code zwischen beiden Produkten vorhanden war. Mit anderen Worten, die Version 2006 des Quellcodes stellt für heutige Norton-Abonnenten kein Risiko dar - zumindest nicht, wenn Sie Ihr Antivirenprogramm im letzten halben Jahrzehnt aktualisiert haben.