2015 की ऑनलाइन सुरक्षा और गोपनीयता की चुनौतियों से हम क्या सीख सकते हैं

विज्ञापन

जैसा कि हम 2016 की शुरुआत के करीब हैं, आइए हम 2015 में सीखे गए सुरक्षा सबक को प्रतिबिंबित करने के लिए एक मिनट का समय दें। से एश्ले मैडीसन एशले मैडिसन लीक कोई बड़ी बात नहीं? फिर से विचार करनाऑनलाइन डेटिंग साइट एशले मैडिसन (मुख्य रूप से धोखाधड़ी करने वाले पति पर लक्षित) को हैक कर लिया गया है। हालांकि यह प्रेस की तुलना में कहीं अधिक गंभीर मुद्दा है, उपयोगकर्ता सुरक्षा के लिए काफी निहितार्थ हैं। अधिक पढ़ें , सेवा केटल्स हैक किया 7 वजहों से इंटरनेट ऑफ थिंग्स को आपको डराना चाहिएइंटरनेट ऑफ थिंग्स के संभावित लाभ उज्ज्वल होते हैं, जबकि खतरे शांत छाया में डाले जाते हैं। यह आईओटी के सात भयानक वादों के साथ इन खतरों पर ध्यान आकर्षित करने का समय है। अधिक पढ़ें , और सरकार से सुरक्षा सलाह, के बारे में बात करने के लिए बहुत कुछ है।

स्मार्ट होम्स अभी भी एक सुरक्षा दुःस्वप्न हैं

2015 ने लोगों की भीड़ को कम्प्यूटरीकृत, इंटरनेट से जुड़े विकल्पों के साथ अपने मौजूदा एनालॉग घरेलू सामान को अपग्रेड करते देखा। स्मार्ट होम तकनीक वास्तव में इस वर्ष को नए साल में जारी रखने के लिए तैयार लग रहा है कि एक साल में ले लिया। लेकिन एक ही समय में, यह भी घर हथौड़ा (खेद) था कि इन उपकरणों में से कुछ

वह सब सुरक्षित नहीं है

सबसे बड़ी स्मार्ट होम सुरक्षा कहानी शायद यह थी कि खोज कि कुछ उपकरण थे डुप्लिकेट (और अक्सर हार्ड-कोडित) एन्क्रिप्शन प्रमाणपत्र के साथ शिपिंग और निजी कुंजी। यह सिर्फ इंटरनेट ऑफ थिंग्स उत्पादों के लिए भी नहीं था। प्रमुख आईएसपी द्वारा जारी किए गए राउटर पाया गया है कि यह सुरक्षा पापों का सबसे अधिक कार्डिनल अपराध है।

तो, यह एक समस्या क्यों है?

अनिवार्य रूप से, यह एक हमलावर के लिए इन उपकरणों पर जासूसी करने के लिए तुच्छ बनाता है ‘मैन-इन-द-मिडिल’ हमला एक मध्य-मध्य हमला क्या है? सुरक्षा शब्दजाल समझायायदि आपने "मैन-इन-द-मिडिल" हमलों के बारे में सुना है, लेकिन यह निश्चित नहीं है कि इसका क्या मतलब है, तो यह आपके लिए लेख है। अधिक पढ़ें , इंटरसेप्टिंग ट्रैफ़िक के साथ-साथ पीड़ित द्वारा अनिर्धारित रहते हुए। यह संबंधित है, यह देखते हुए कि स्मार्ट होम तकनीक का उपयोग अविश्वसनीय रूप से संवेदनशील संदर्भों में किया जा रहा है, जैसे कि व्यक्तिगत सुरक्षा, घरेलू सुरक्षा नेस्ट प्रोटेक्ट रिव्यू और सस्ता अधिक पढ़ें , और स्वास्थ्य सेवा में।

यदि यह परिचित लगता है, तो ऐसा इसलिए है क्योंकि कई प्रमुख कंप्यूटर निर्माता एक समान कार्य करते हुए पकड़े गए हैं। नवंबर 2015 में, डेल एक समान के साथ कंप्यूटर शिपिंग करने के लिए पाया गया था रूट सर्टिफिकेट जिसे ईडेलरूट कहा जाता है डेल के नवीनतम लैपटॉप eDellRoot से संक्रमित हैंडेल, दुनिया का तीसरा सबसे बड़ा कंप्यूटर निर्माता सभी नए कंप्यूटरों पर शिपिंग रूग रूट प्रमाणपत्र पकड़ा गया है - ठीक उसी तरह जैसे लेनोवो ने सुपरफिश के साथ किया था। अपने नए डेल पीसी को सुरक्षित बनाने का तरीका यहां बताया गया है। अधिक पढ़ें , जबकि 2014 के अंत में, लेनोवो शुरू किया गया था जानबूझकर SSL कनेक्शन तोड़ना लेनोवो लैपटॉप के मालिक सावधान: आपका डिवाइस पहले से इंस्टॉल मालवेयर हो सकता हैचीनी कंप्यूटर निर्माता लेनोवो ने स्वीकार किया है कि 2014 के अंत में स्टोर और उपभोक्ताओं को भेजे गए लैपटॉप में मैलवेयर प्रीइंस्टॉल्ड थे। अधिक पढ़ें एन्क्रिप्टेड वेबपृष्ठों में विज्ञापनों को इंजेक्ट करने के लिए।

यह बंद नहीं हुआ। 2015 वास्तव में स्मार्ट होम असुरक्षा का वर्ष था, जिसमें कई उपकरणों की पहचान की गई थी, जो स्पष्ट रूप से स्पष्ट सुरक्षा भेद्यता के साथ आते थे।

मेरा मनपसंद iKettle था क्यों iKettle हैक तुम चिंता करना चाहिए (भले ही आप एक ही नहीं है)IKettle एक वाईफाई सक्षम केतली है जो जाहिरा तौर पर एक बड़े पैमाने पर, गैपिंग सुरक्षा खामी के साथ आया है जिसमें खुले वाईफाई नेटवर्क को उड़ाने की क्षमता थी। अधिक पढ़ें (आपने यह अनुमान लगाया: एक वाई-फाई सक्षम केतली), जो किसी हमलावर द्वारा अपने घरेलू नेटवर्क के वाई-फाई विवरण (प्लेटेक्स्ट, कोई कम) में प्रकट करने के लिए आश्वस्त हो सकता है।

काम करने के लिए हमले के लिए, आपको पहले एक स्पूफ वायरलेस नेटवर्क बनाना होगा जो उसी SSID (नेटवर्क का नाम) को साझा करता है, जिसके पास iKettle जुड़ा हुआ है। फिर UNIX उपयोगिता टेलनेट के माध्यम से इसे कनेक्ट करके, और कुछ मेनू के माध्यम से ट्रैवर्सिंग करके, आप नेटवर्क उपयोगकर्ता नाम और पासवर्ड देख सकते हैं।

तब था सैमसंग का वाई-फाई कनेक्टेड स्मार्ट फ्रिज सैमसंग का स्मार्ट फ्रिज अभी मिल गया है अपने स्मार्ट होम के बाकी हिस्सों के बारे में कैसे?सैमसंग के स्मार्ट फ्रिज के साथ एक भेद्यता की खोज यूके स्थित इन्फोसिस फर्म पेन टेस्ट पार्टर्स ने की थी। सैमसंग के एसएसएल एन्क्रिप्शन का कार्यान्वयन प्रमाणपत्रों की वैधता की जाँच नहीं करता है। अधिक पढ़ें , जो एसएसएल प्रमाणपत्रों को मान्य करने में विफल रहा, और हमलावरों को जीमेल लॉगिन क्रेडेंशियल को संभावित रूप से बाधित करने की अनुमति दी।

जैसे-जैसे स्मार्ट होम तकनीक तेजी से मुख्यधारा बनती है, और यह होगा, आप अधिक कहानियों के सुनने की उम्मीद कर सकते हैं ये डिवाइस महत्वपूर्ण सुरक्षा भेद्यता के साथ आते हैं, और कुछ हाई-प्रोफाइल हैक के शिकार होते हैं।

सरकारें अभी भी इसे प्राप्त नहीं कर रही हैं

पिछले कुछ वर्षों में हमने जो आवर्ती विषय देखा है, वह यह है कि सुरक्षा के मामलों में ज्यादातर सरकारें कितनी बेखबर हैं।

Infosec निरक्षरता के कुछ सबसे अहंकारी उदाहरण ब्रिटेन में पाए जा सकते हैं, जहाँ सरकार ने बार-बार और लगातार दिखाया है कि वे बस नहीं मिलेगा.

सबसे खराब विचारों में से एक जो संसद में तैर रहा है, वह विचार यह है कि संदेश सेवा (जैसे व्हाट्सएप और आईमैसेज) द्वारा उपयोग किया जाने वाला एन्क्रिप्शन कमजोर होना चाहिए, इसलिए सुरक्षा सेवाएं उन्हें बाधित और डिकोड कर सकती हैं। जैसा कि मेरे सहयोगी जस्टिन पॉट ने नम्रतापूर्वक ट्विटर पर बताया, कि मास्टर कीकोड के साथ सभी तिजोरियों को शिपिंग करना पसंद है।

कल्पना कीजिए कि अगर सरकार ने कहा कि हर सुरक्षित के पास एक मानक दूसरा कोड होना चाहिए, अगर पुलिस चाहती है तो। यह अभी एन्क्रिप्शन डिबेट है।

- जस्टिन पॉट (@jhpot) 9 दिसंबर 2015

ये और ख़राब हो जाता है। दिसंबर 2015 में, राष्ट्रीय अपराध एजेंसी (एफबीआई को यूके का जवाब) माता-पिता के लिए कुछ सलाह जारी की क्या आपका बच्चा हैकर है? ब्रिटिश अथॉरिटीज थिंक सोएनसीए, ब्रिटेन की एफबीआई, ने कंप्यूटर अपराध से युवा लोगों को अलग करने के लिए एक अभियान शुरू किया है। लेकिन उनकी सलाह इतनी व्यापक है कि आप मान सकते हैं कि इस लेख को पढ़ने वाला कोई भी व्यक्ति हैकर है - आप भी। अधिक पढ़ें इसलिए वे बता सकते हैं कि जब उनके बच्चे कठोर साइबर अपराधी बनने की राह पर हैं।

ये लाल झंडे, NCA के अनुसार, शामिल हैं "क्या वे कोडिंग में रुचि रखते हैं?" तथा "वे ऑनलाइन क्या करते हैं, इस बारे में बात करने के लिए अनिच्छुक हैं?"।

यह सलाह, स्पष्ट रूप से, कचरा है और व्यापक रूप से मजाक किया गया था, न केवल मेकयूसेफ द्वारा, बल्कि यह भी अन्य प्रमुख प्रौद्योगिकी प्रकाशनों द्वारा, और infosec समुदाय है।

@NCA_UK साइबर अपराध के लिए चेतावनी संकेत के रूप में कोडिंग में रुचि को सूचीबद्ध करता है! काफी चौंकाने वाली। https://t.co/0D35wg8TGxpic.twitter.com/vtRDhEP2Vz

- डेविड जी स्मिथ (@aforethought) 9 दिसंबर 2015

इसलिए कोडिंग में रुचि अब "साइबर अपराध का चेतावनी संकेत" है। एनसीए मूल रूप से 1990 के दशक का आईटी विभाग है। https://t.co/r8CR6ZUErn

- ग्रीम कोल (@elocemearg) 10 दिसंबर, 2015

बच्चे जो 'कोडिंग में रुचि रखते थे' बड़े होकर इंजीनियर बनने वाले थे #ट्विटर, #फेसबुक और यह #NCA वेबसाइट (अन्य के बीच)

- एडमजे (@IAmAdamJ) 9 दिसंबर 2015

लेकिन यह एक परेशान करने वाली प्रवृत्ति का संकेत था। सरकारों को सुरक्षा नहीं मिलती है. वे सुरक्षा खतरों के बारे में संवाद करना नहीं जानते हैं, और वे उन मूलभूत तकनीकों को नहीं समझते हैं जो इंटरनेट का काम करती हैं। मेरे लिए, यह किसी भी हैकर या साइबर-आतंकवादी की तुलना में कहीं अधिक है।

कभी कभी आप चाहिए आतंकवादियों के साथ बातचीत

2015 की सबसे बड़ी सुरक्षा कहानी निस्संदेह थी एशले मैडिसन हैक एशले मैडिसन लीक कोई बड़ी बात नहीं? फिर से विचार करनाऑनलाइन डेटिंग साइट एशले मैडिसन (मुख्य रूप से धोखाधड़ी करने वाले पति पर लक्षित) को हैक कर लिया गया है। हालांकि यह प्रेस की तुलना में कहीं अधिक गंभीर मुद्दा है, उपयोगकर्ता सुरक्षा के लिए काफी निहितार्थ हैं। अधिक पढ़ें . यदि आप भूल गए हैं, तो मुझे वापस करने दें।

2003 में शुरू की गई, एशले मैडिसन एक अंतर के साथ एक डेटिंग साइट थी। यह विवाहित लोगों को उन लोगों के साथ जुड़ने की अनुमति देता है जो वास्तव में उनके पति नहीं थे। उनके नारे ने यह सब कहा। "जिंदगी छोटी है। एक प्रेम संबंध होना।"

लेकिन जैसा कि यह है, यह एक सफल सफलता थी। केवल दस वर्षों में, एशले मैडिसन ने लगभग 37 मिलियन पंजीकृत खाते जमा किए थे। हालांकि यह बिना कहे चला जाता है कि उनमें से सभी सक्रिय नहीं थे। विशाल बहुमत निष्क्रिय थे।

इस साल की शुरुआत में, यह स्पष्ट हो गया कि एशले मैडिसन के साथ सब ठीक नहीं था। द इम्पैक्ट टीम नामक एक रहस्यमय हैकिंग समूह ने एक बयान जारी किया जिसमें दावा किया गया कि वे साइट डेटाबेस, और आंतरिक ईमेल के एक बड़े कैश को प्राप्त करने में सक्षम हैं। उन्होंने इसे जारी करने की धमकी दी, जब तक एशले मैडिसन को बंद नहीं किया गया, साथ ही इसकी बहन साइट स्थापित पुरुषों के साथ।

एविड लाइफ मीडिया, जो एशले मैडिसन और स्थापित पुरुषों के मालिक और ऑपरेटर हैं, ने एक प्रेस विज्ञप्ति जारी की जिसने हमले को कम कर दिया। उन्होंने जोर दिया कि वे अपराधियों पर नज़र रखने के लिए कानून प्रवर्तन के साथ काम कर रहे थे, और "हमारी साइटों को सुरक्षित करने में सक्षम थे, और अनधिकृत पहुंच बिंदुओं को बंद कर रहे थे"।

AVID लाइफ मीडिया इंक से बयान।: http://t.co/sSoLWvrLoQ

- एशले मैडिसन (@ashleymadison) २० जुलाई २०१५

18 पर^वें अगस्त को, इंपैक्ट टीम ने पूर्ण डेटाबेस जारी किया।

यह इंटरनेट न्याय की तेज़ी और असम्मानजनक प्रकृति का एक अविश्वसनीय प्रदर्शन था। कोई फर्क नहीं पड़ता कि आप धोखा कैसे महसूस करते हैं (मुझे इससे नफरत है, व्यक्तिगत रूप से), कुछ महसूस किया सरासर गलत है इसके बारे में. परिजनों ने तोडफ़ोड़ की थी। करियर तुरंत और बहुत सार्वजनिक रूप से बर्बाद हो गए थे। कुछ अवसरवादियों ने ग्राहकों को ईमेल और डाक के माध्यम से जबरन वसूली करने वाले ईमेल भी भेजे, जो उन्हें हजारों में से एक थे। कुछ ने सोचा कि उनकी परिस्थितियाँ इतनी निराशाजनक थीं, उन्हें अपनी जान से हाथ धोना पड़ा। यह दुखद था। 3 वजहों से एशले मैडिसन हैक एक गंभीर मामला हैइंटरनेट पर एश्ले मैडिसन हैक के बारे में परमानंद लगता है, लाखों व्यभिचारियों और क्षमता के साथ डेटा में पाए गए व्यक्तियों को बाहर करने वाले लेखों के साथ मिलावट करने वालों का विवरण ऑनलाइन हैक किया गया और जारी किया गया डंप। उल्लसित, सही? इतना शीघ्र नही। अधिक पढ़ें

हैक ने एशले मैडिसन के अंदरूनी कामकाज पर भी रोशनी डाली।

उन्हें पता चला कि साइट पर पंजीकृत 1.5 मिलियन महिलाएं, केवल 10,000 के आसपास थीं वास्तविक वास्तविक मनुष्य. बाकी एशले मैडिसन स्टाफ द्वारा बनाए गए रोबोट और नकली खाते थे। यह एक क्रूर विडंबना थी कि साइन अप करने वाले अधिकांश लोग शायद इसके माध्यम से कभी नहीं मिले। यह थोड़ा बोलचाल के वाक्यांश, 'सॉसेज फेस्ट' का उपयोग करना था।

आपके नाम का सबसे शर्मनाक हिस्सा एशले मैडिसन हैक से लीक हो रहा है। पैसे के लिए।

- मौखिक स्थान (@Verbalspacey) 29 अगस्त, 2015

यह बंद नहीं हुआ। $ 17 के लिए, उपयोगकर्ता अपनी जानकारी को साइट से हटा सकते हैं। उनके सार्वजनिक प्रोफ़ाइल मिटा दिए जाएंगे, और उनके खातों को डेटाबेस से शुद्ध कर दिया जाएगा। यह उन लोगों द्वारा उपयोग किया गया था जिन्होंने हस्ताक्षर किए और बाद में इसे पछतावा हुआ।

लेकिन लीक से पता चला है कि एशले मैडिसन ने नहीं किया था वास्तव में डेटाबेस से खातों को हटा दें। इसके बजाय, वे केवल सार्वजनिक इंटरनेट से छिपे हुए थे। जब उनके उपयोगकर्ता डेटाबेस को लीक किया गया था, तो ये खाते थे।

BoingBoing दिनों एशले मैडिसन डंप में उन लोगों की जानकारी शामिल है, जिन्होंने अपने खातों को हटाने के लिए AM का भुगतान किया।

- डेनिस Balkissoon (@balkissoon) १ ९ अगस्त २०१५

शायद एशले मैडिसन गाथा से जो सबक हम सीख सकते हैं, वह है कभी-कभी यह हैकर्स की मांगों के लिए भी योग्य होता है।

चलो ईमानदार बनें। अविद्या लाइफ मीडिया पता था कि उनके सर्वर पर क्या था. उन्हें पता था कि अगर यह लीक हो गया तो क्या होगा। उन्हें इसे लीक होने से रोकने के लिए अपनी शक्ति के भीतर सब कुछ करना चाहिए था। यदि इसका मतलब है कि ऑनलाइन गुणों के एक जोड़े को बंद करना, तो यह हो।

चलो कुंद हो लोगों की मौत हो गई क्योंकि एविड लाइफ मीडिया ने एक स्टैंड लिया। और किस लिए?

छोटे स्तर पर, यह तर्क दिया जा सकता है कि हैकर्स और मैलवेयर क्रिएटर्स की मांगों को पूरा करना अक्सर बेहतर होता है। रैंसमवेयर इसका एक बेहतरीन उदाहरण है स्कैमर्स का दोष नहीं है: रैंसमवेयर और अन्य खतरों के लिए एक गाइड अधिक पढ़ें . जब कोई संक्रमित होता है, और उनकी फ़ाइलों को एन्क्रिप्ट किया जाता है, तो पीड़ितों को डिक्रिप्ट करने के लिए 'फिरौती' मांगी जाती है। यह आम तौर पर $ 200 या तो की सीमा में है। जब भुगतान किया जाता है, तो ये फाइलें आम तौर पर वापस आ जाती हैं। रैंसमवेयर बिजनेस मॉडल के लिए काम करने के लिए, पीड़ितों को कुछ अपेक्षाएं रखनी होती हैं कि वे अपनी फाइलें वापस पा सकें।

मुझे लगता है कि आगे बढ़ते हुए, कई कंपनियां जो खुद को एवीडी लाइफ मीडिया की स्थिति में पाती हैं, वे सवाल करेंगी कि क्या डिफेंट स्टांस लेने के लिए सबसे अच्छा है।

अन्य पाठ

2015 एक अजीब साल था। मैं सिर्फ एशले मैडिसन के बारे में बात नहीं कर रहा हूँ।

वीटेक हैक VTech हैक हो गया, Apple ने हेडफोन जैक से की नफरत... [टेक न्यूज डाइजेस्ट]हैकर्स VTech उपयोगकर्ताओं को बेनकाब करते हैं, Apple हेडफोन जैक को हटाने पर विचार करता है, क्रिसमस की रोशनी आपके वाई-फाई को धीमा कर सकती है, स्नैपचैट (RED) के साथ बिस्तर में हो जाता है, और द स्टार वार्स हॉलिडे स्पेशल को याद करता है। अधिक पढ़ें गेम चेंजर था। बच्चों के खिलौनों पर आधारित हांगकांग के इस निर्माता ने एक किड-फ्रेंडली ऐप स्टोर के साथ एक लॉक-डाउन टैबलेट कंप्यूटर की पेशकश की, और माता-पिता के लिए इसे दूर से नियंत्रित करने की क्षमता। इस साल की शुरुआत में, इसे हैक किया गया था, जिसमें 700,000 से अधिक बच्चों के प्रोफाइल लीक हो गए थे। इससे पता चला कि डेटा ब्रीच का शिकार होने में उम्र कोई बाधा नहीं है।

यह ऑपरेटिंग सिस्टम सुरक्षा के लिए भी एक दिलचस्प वर्ष था। जबकि को लेकर सवाल उठाए गए थे जीएनयू / लिनक्स की समग्र सुरक्षा क्या लिनक्स अपनी सफलता का शिकार बना है?लिनक्स फाउंडेशन के प्रमुख जिम जेमलिन ने हाल ही में यह क्यों कहा कि "लिनक्स का स्वर्ण युग" जल्द ही समाप्त हो सकता है? क्या "लिनक्स को बढ़ावा देने, सुरक्षा और अग्रिम करने" का मिशन विफल हो गया है? अधिक पढ़ें , विंडोज 10 के भव्य वादे किए अब तक का सबसे सुरक्षित विंडोज है 7 तरीके विंडोज 10 विंडोज एक्सपी की तुलना में अधिक सुरक्षित हैयहां तक ​​कि अगर आपको विंडोज 10 पसंद नहीं है, तो आपको अब तक विंडोज एक्सपी से माइग्रेट होना चाहिए। हम आपको दिखाते हैं कि 13 साल पुराने ऑपरेटिंग सिस्टम को अब सुरक्षा मुद्दों से कैसे जोड़ा जाता है। अधिक पढ़ें . इस वर्ष, हमें इस कहावत पर सवाल उठाने के लिए मजबूर किया गया कि विंडोज़ स्वाभाविक रूप से कम सुरक्षित है।

कहने के लिए, 2016 एक दिलचस्प वर्ष होने जा रहा है।

2015 में आपने कौन से सुरक्षा सबक सीखे? क्या आपके पास जोड़ने के लिए कोई सुरक्षा पाठ है? उन्हें नीचे टिप्पणी में छोड़ दें।