5 saker vi lärde oss om online-säkerhet 2013

5 saker vi lärde oss om online-säkerhet 2013 / internet

Dagarna av nyhetsmäklare som lurar hela Internet kan stängas av med en enkel (men effektiv) datormask är över, men det betyder inte att online-säkerhet inte längre är oroande. Hoten har blivit mer komplexa och, sämre, kommer nu från platser som de flesta aldrig skulle förvänta sig - som regeringen. Här är 5 svåra lektioner vi lärde oss om online-säkerhet 2013.

Regeringen tittar på dig ...

Den största datasäkerhetspratpunkten för 2013 var självklart uppenbarelsen att delar av Förenta staternas regering (främst den nationella säkerhetsbyrån) har spionat på medborgare utan att hålla fast.

Enligt dokument som läckt av tidigare NSA-entreprenören Edward Snowden och förstärkt av andra källor som tidigare NSA-tjänsteman William Binney, har amerikanska underrättelsetjänster tillgång till inte bara telefonposter och sociala nätverksmetadata utan kan också utnyttja ett brett utbud av tjänster, inklusive mobiltelefon samtal, e-postmeddelanden och onlinekonferenser, antingen genom direkt avlyssning eller genom att ge hemliga teckningsoptioner.

Vad betyder detta för dig? Det är svårt att säga eftersom NSA insisterar att programmet är en nationell säkerhetshemlighet. Medan flöjtblåsare har påpekat att storleken som NSA: s datacentraler innebär att regeringen spelar in och håller en ganska stor mängd video- och ljuddata finns det ingen möjlighet att säkert veta vad som har spelats in och lagrats så länge som amerikansk spymasters fortsätter att stonewall allmänheten.

Den oroande slutsatsen är att det finns inget du kan göra för att säkerställa din integritet, för att i vilken omfattning det kan äventyras, och hur det kan äventyras, är det bara halvkänt.

... Och så är alla andra

Inte bara regeringen är intresserad av att spionera på människor. Individer kan också använda sig av hemlig video eller ljud som tas från ett offerets dator. Ofta har det mindre att göra med bedrägerier än vad de har att göra med pranks och porr, även om de två kan konvergera.

Den underjordiska världen att titta på intet ont anande offer, kallas “ratting” exponerades briljant i en artikel från Ars Technica. Även om man slår på en persons webbkamera och fjärrinspelning, anses de ofta som hacking, det kan nu uppnås med relativ lättnad med program med namn som Fun Manager. När en ratting-klient har installerats på ett offerdatas dator kan pratare trycka in och se vad som händer.

Ofta, “vad händer” direkt översätter till en chans att se intet ont anande kvinnor med sina kläder av, även om programvaran också kan användas för att spela pranks som slumpmässigt öppna störande bilder för att se offerets reaktion. I de värsta fallen kan ratting direkt översättas till utpressning, eftersom prataren fångar pinsamt eller nakna bilder av ett offer och hotar då att släppa dem om de inte betalas lösen.

Dina lösenord är fortfarande inte säkra

Lösenordsäkerhet är en vanlig oro, och med god anledning. Så länge som en enda textsträng är allt som står mellan världen och ditt bankkonto, håller den texten hemlighet det av yttersta vikt. Tyvärr är företag som ber oss att logga in med ett lösenord inte lika oroliga och förlorar dem i en oroväckande takt.

Årets stora brott gick med Adobe, som förlorade över 150 miljoner lösenord i en stor attack som även (enligt företaget) gjorde det möjligt för angripare att göra av med kod för programvara som fortfarande är under utveckling och stjäla faktureringsinformation för vissa kunder. Medan lösenorden krypterades, var de Allt säkrad med en föråldrad krypteringsmetod och samma krypteringsnyckel. Vilket innebär att dekodning dem var mycket lättare än det borde ha varit.

Medan liknande överträdelser har hänt tidigare är Adobe det största med avseende på antalet lösenlor som förlorats, vilket visar att det finns fortfarande företag som inte tar säkerhet på allvar. Lyckligtvis finns det ett enkelt sätt att veta om ditt lösenordsdata bryts bara gå till HaveIBeenPwned.com och ange din e-postadress.

Hacking är ett företag

Eftersom datorer har blivit mer komplexa, har brottslingar som vill använda dem som ett medel för att göra olaglig vinst också blivit mer sofistikerade. Dagarna för en ensam hackare som slänger ett virus bara för att se vad som händer verkar vara över, ersättas av grupper som arbetar tillsammans för att tjäna pengar.

Ett exempel är Paunch, en hacker i Ryssland som ledde försäljningen av ett exploateringssats som kallas Blackhole. Satsen, skapad av Paunch och flera medkonspiratorer, utvecklades delvis smart business taktik. I stället för att försöka komma ut med nolldagsutövningar på egen hand köpte Paunchs grupp nolldagars exploater från andra hackare. Dessa tillsattes sedan till satsen, som såldes som en prenumeration på $ 500 till $ 700 per månad. En del av vinsten återinvesterades till att köpa ännu mer utnyttjande, vilket gjorde Blackhole ännu bättre.

Så fungerar något företag. En produkt är utvecklad och om framgångsrikt delas vinsten om för att göra produkten bättre och förhoppningsvis attraktiv ännu mer affärer. Upprepa tills rik. Tyvärr för Paunch blev hans ordning så småningom spårat av den ryska polisen, och han är nu i förvaring.

Även ditt personnummer är några få borta

Förekomsten av botnets har varit känd under en tid men deras användning är ofta förknippad med relativt enkla men massiva attacker, som förnekelse av service. Vad är en DDoS Attack? [MakeUseOf Förklarar] Vad är ett DDoS Attack? [MakeUseOf Explains] Termen DDoS visslar förbi när cyberaktivism ger upp huvudet en massa. Dessa typer av attacker gör internationella rubriker på grund av flera anledningar. De problem som hoppa över de DDoS-attackerna är ofta kontroversiella eller mycket ... Läs mer eller maila spam, snarare än datatyveri. Ett team av tonårshackare på ryska påminde oss om att de kan göra mer än att fylla våra inkorgar med Viagra-annonser när de lyckades installera botnet till stora datamäklare (som LexisNexis) och stjäla volymer av känsliga data.

Detta resulterade i en “service” kallad SSNDOB som sålde information om amerikanska invånare. Priset? Bara ett par pengar för en baspost och upp till $ 15 dollar för full kredit eller bakgrundskontroll. Det är rätt; Om du är amerikansk medborgare kan du få ditt personnummer och kreditinformation för mindre än priset på en måltid på The Olive Garden.

Och det blir sämre. Förutom lagring av information används vissa datahanteringsföretag också för att verifiera det. Du kan ha kört över det här själv om du någonsin försökt att söka ett lån bara för att bli hälsad av frågor som, “Vad var din adress för fem år sedan?” Eftersom datamedierna själva har äventyras kan sådana frågor besvaras med lätthet.

Slutsats

2013 har inte varit ett bra år för online-säkerhet. Det har faktiskt varit en mardröm. Regeringens spionage, stulna socialförsäkringsnummer, webbutpressning av främlingar; många föreställer sig dessa som värsta scenarier som bara kan ske under de mest extrema förhållandena, men i år visade allt ovanstående möjligt med överraskande liten ansträngning. Förhoppningsvis kommer 2014 att se åtgärder som vidtas för att lösa dessa skarpa problem, men jag tvivlar personligen på att vi kommer att bli så lyckliga.

Bildkrediter: Flickr / Shane Becker, Flickr / Steve Rhodes

Utforska mer om: Online-säkerhet.