Car-tech

Las peores vulnerabilidades de seguridad de 2012, fallan y cometen errores

Un loco y su débil p @ $$ w0rd pronto se arraigan, pero si 2012 ha probado algo, es que incluso las almas más cautelosas de mente de seguridad deben doblar sobre sus prácticas de protección, y piense en las mejores formas de mitigar el daño si sucede lo peor en nuestro mundo cada vez más conectado a la nube.

Una sólida caja de herramientas de seguridad debería formar el corazón de su defensa, por supuesto, pero también necesitará para considerar su comportamiento básico. Por ejemplo, una contraseña filtrada de LinkedIn hace poco daño si esa combinación alfanumérica particular solo abre la puerta a esa cuenta en particular, en lugar de cada cuenta de medios sociales que utiliza. La autenticación de dos factores puede detener una infracción antes de que suceda. ¿Y chupan tus contraseñas?

No estoy tratando de asustarte. Más bien, estoy interesado en abrir los ojos a los tipos de precauciones que son necesarias en la era digital, como lo demuestran las mayores hazañas de seguridad, equivocaciones y fracasos de 2012. "Fue un año excepcional para los malos.

[Lectura adicional: cómo eliminar el malware de su PC con Windows]

Honan hackear el ataque

El desastre de Honan se magnificó por su falta de copias de seguridad físicas.

El perfil más alto de 2012 no involucró a millones de usuarios o una avalancha de información de pago robada. No, el punto culminante de seguridad-¿o es ese lowlight? -of 2012 fue el hackeo épico de un solo hombre: escritor cableado Mat Honan.

En el transcurso de una hora, los hackers obtuvieron acceso a la cuenta de Amazon de Honan, borraron su Google cuenta, y borró de forma remota su trío de dispositivos Apple, que culminó con los hackers que finalmente lograron su objetivo final: tomar el control del manejo de Twitter de Honan. ¿Por qué toda la destrucción? Debido a que el estado de tres letras del manejador de @mat Twitter parece ser un premio muy codiciado. (Los descontentos publicaron varios tweets racistas y homofóbicos antes de que la cuenta se suspendiera temporalmente.)

La devastación fue posible gracias a las fallas de seguridad en las cuentas críticas de Honan, la falta de activación de autenticación de dos factores, el uso de el mismo esquema de nomenclatura básico en varias cuentas de correo electrónico y protocolos de seguridad de cuenta conflictivos en Amazon y Apple, que los hackers aprovecharon con la ayuda de una buena ingeniería social.

¿La parte más aterradora? La mayoría de las personas probablemente emplean las mismas prácticas de seguridad básicas (léase: laxas) que Honan hizo. Afortunadamente, PCWorld ya explicó cómo conectar los agujeros de seguridad digital más grandes.

El virus Flame

El virus Flame toma su nombre de su código.

Se remonta a 2010, pero solo se descubrió en mayo de 2012. El virus Flame tiene una gran similitud con el virus Stuxnet patrocinado por el gobierno, con una base de código complejo y un uso principal como herramienta de espionaje en países del Medio Oriente como Egipto, Siria, Líbano, Sudán y (con mayor frecuencia) Irán.

Once Flame hundió sus ganchos en un sistema, instaló módulos que podrían, entre otras cosas, grabar conversaciones de Skype o audio de cualquier cosa que ocurra cerca de la computadora, capturas de pantalla, curiosear en las conexiones de red y guardar registros de todas las pulsaciones de teclas y cualquier dato ingresado en cuadros de entrada. Es desagradable, en otras palabras, y Flame cargó toda la información que recopiló para ordenar y controlar los servidores. Poco después de que los investigadores de Kaspersky sospecharan de la existencia de Flame, los creadores del virus activaron un comando para borrar el software de las computadoras infectadas.

La herramienta homebrew de $ 50 que desbloquea las puertas del hotel

En la conferencia Black Hat Security en julio, el investigador Cody Brocade dio a conocer un dispositivo que podría abrir cerraduras electrónicas de puertas de manera casi confiable fabricadas por Onity. Los bloqueos de Onity se encuentran en 4 millones de puertas en miles de hoteles en todo el mundo, incluidas las cadenas de alto perfil como Hyatt, Marriott e IHG (propietarias de Holiday Inn y Crowne Plaza). Basado en un microcontrolador Arduino y ensamblado por menos de $ 50, la herramienta puede ser construida por cualquier ladrón con cambio de bolsillo y algunas habilidades de codificación, y hay al menos un informe de una herramienta similar que se utiliza para entrar en habitaciones de hotel en Texas.

ArduinoArduino: el corazón de código abierto del hack.

Miedo, para estar seguro. Tal vez lo más preocupante fue la respuesta de Onity a la situación, que básicamente era "cerrar el puerto y cambiar los tornillos".

La empresa finalmente desarrolló una solución real para la vulnerabilidad, pero implica el intercambio de las placas de circuito de los afectados. bloquea y Onity se niega a pagar los costos por hacerlo. Un informe de diciembre de ArsTechnica sugiere que la compañía podría estar más dispuesta a subsidiar las juntas de reemplazo a raíz de la ola de crímenes en Texas, aunque desde el 30 de noviembre th , Onity solo había suministrado un total de 1,4 millones de "soluciones para cerraduras". "-incluidos los tapones de plástico-a los hoteles de todo el mundo. En otras palabras, la vulnerabilidad aún es muy generalizada. Epic fail.

Muerte por mil cortes

El año no vio una gran brecha en la base de datos en la línea de lanzamiento de PlayStation Network de 2011, pero una serie de pequeñas penetraciones llegó rápido y furioso durante la primavera y el verano . Si bien el lanzamiento de 6,5 millones de contraseñas de hash LinkedIn pudo haber sido el truco más notable, se vio impulsado por la publicación de más de 1,5 millones de contraseñas eHarmony, 450,000 credenciales de inicio de sesión de Yahoo Voice, un número no especificado de contraseñas de Last.fm y el completo información de inicio de sesión y de perfil de cientos de usuarios del foro de Nvidia. Podría continuar, pero entiendes el punto.

¿Cuál es el punto final? No puede confiar en un sitio web para mantener su contraseña segura, por lo que debe usar contraseñas diferentes para diferentes sitios para minimizar el daño potencial si los hackers logran descifrar sus credenciales de inicio de sesión para una cuenta determinada. Consulte nuestra guía para crear una mejor contraseña si necesita algunos indicadores.

Dropbox deja de lado su protección

El logotipo de "caja abierta" de DropboxDropbox resultó ser demasiado cierto para las personas que reutilizaron contraseñas en 2012.

En julio, algunos usuarios de Dropbox comenzaron a notar que estaban recibiendo una gran cantidad de spam en sus bandejas de entrada. Después de algunas negativas iniciales seguidas de una excavación más profunda, Dropbox descubrió que los piratas informáticos habían comprometido la cuenta de un empleado y habían accedido a un documento que contenía las direcciones de correo electrónico de los usuarios. Oops! El daño fue menor, pero el huevo en la cara era importante.

Al mismo tiempo, un número muy pequeño de usuarios tenía sus cuentas de Dropbox interrumpidas activamente por fuentes externas. Las investigaciones revelaron que los hackers obtuvieron acceso a las cuentas porque las víctimas estaban reutilizando la misma combinación de nombre de usuario / contraseña en varios sitios web. Cuando las credenciales de inicio de sesión se filtraron por incumplimiento en otro servicio, los hackers tenían todo lo que necesitaban para desbloquear las cuentas de Dropbox.

Los problemas de Dropbox resaltan, una vez más, la necesidad de usar contraseñas separadas para diferentes servicios, así como el hecho todavía no puedes confiar en la nube. Puede tomar la seguridad de la nube en sus propias manos con la ayuda de una herramienta de cifrado de terceros.

Millones de SSN de Carolina del Sur robaron

Hablando de encriptación, sería bueno que el gobierno siguiera principios básicos de seguridad.

Después de una masiva violación de datos en octubre, un hacker obtuvo los números de seguridad social de 3.6 millones de ciudadanos de Carolina del Sur, en un estado con solo 4,6 millones de residentes. Los funcionarios del estado intentaron culpar a los pies del IRS. El IRS no específicamente requiere que los estados encripten los SSN en las declaraciones de impuestos, ¿sabe? Así que Carolina del Sur no lo hizo, aunque planea comenzar ahora, en retrospectiva 20/20 y todo.

Por el lado positivo, los detalles de la tarjeta de débito y crédito de 387,000 ciudadanos de Carolina del Sur también fueron anotados en el robo digital y la mayoría de los estaban encriptados, aunque eso es poco consuelo para las 16,000 personas cuyos datos de la tarjeta se robaron en texto plano.

Error grave de seguridad de Skype

Los procedimientos de recuperación de cuentas laxistas amenazaban a los usuarios de Skype Noviembre.

En noviembre, los usuarios de Skype perdieron temporalmente la posibilidad de solicitar el restablecimiento de contraseña para su cuenta luego de que los investigadores identificaron un exploit que permitía a cualquiera acceder a una cuenta de Skype siempre que la persona conociera la dirección de correo electrónico asociada con la cuenta . No es la contraseña de la cuenta, ni las preguntas de seguridad, solo la simple dirección de correo electrónico solo.

Skype rápidamente conectó el agujero cuando llamó la atención del público, pero el daño ya estaba hecho. La vulnerabilidad flotaba en los foros rusos y se usaba activamente en la naturaleza antes de que se cerrara.

Los piratas informáticos roban 1,5 millones de números de tarjetas de crédito

En abril, los piratas informáticos lograron "exportar" 1,5 millones de números de tarjetas de crédito de la base de datos de Global Payments, un servicio de procesamiento de pagos utilizado por agencias gubernamentales, instituciones financieras y cerca de 1 millón de escaparates globales, entre otros.

Afortunadamente, la brecha fue bastante contenida. Global Payments pudo identificar los números de tarjeta afectados por el truco, y los datos robados solo contenían los números de tarjeta y fechas de vencimiento reales, no los nombres de los titulares de tarjetas o información de identificación personal. Los éxitos siguieron llegando, sin embargo. En junio, Global Payments anunció que los piratas informáticos podrían haber robado la información personal de las personas que solicitaron una cuenta mercantil en la compañía.

Microsoft Security Essentials no obtiene la certificación AV-Test

Bueno, ¿no es esto embarazoso? AV-Test es un instituto de seguridad de la información independiente que regularmente completa todos los productos antimalware más importantes que existen, lanza una gran cantidad de travesuras a dichos productos y ve cómo las diversas soluciones se sostienen bajo el bombardeo que se marchita. La organización hizo justamente eso con 24 soluciones de seguridad diferentes enfocadas en el consumidor a fines de noviembre, y solo una de esas soluciones no cumplió con el estándar de certificación de AV-Test: Microsoft Security Essentials para Windows 7.

Aquella sin un logotipo de certificación ? Es MSE.

MSE realmente hizo un trabajo decente al abordar virus conocidos en la prueba, pero el programa de seguridad proporcionó muy poco, bueno, seguridad frente a los exploits de día cero. Su 64 puntaje de protección contra dichos ataques de día cero es un total de 25 puntos más bajo que el promedio de la industria.

El error no fue: Código fuente de Norton lanzado

Suena aterrador en la superficie: grupos de piratas informáticos deshonestos manejados para obtener el código fuente de una de las utilidades de seguridad Norton más populares de Symantec, luego arrojó el código en Pirate Bay para que el mundo diseccione. Oh, no! Ahora, nada puede evitar que los malos corran de mala gana más allá de las defensas que vienen preinstaladas en gajillones (aproximadamente) de sistemas en caja vendidos en todo el mundo-¿correcto?

Incorrecto. El código fuente pertenecía a los productos de Norton Utilities lanzados en 2006, y los productos actuales de Symantec se han reconstruido desde cero, sin un código común compartido entre los dos. En otras palabras, el lanzamiento del código fuente de 2006 no representa ningún riesgo para los suscriptores de Norton de hoy en día, al menos si ha actualizado su antivirus en la última media década.