Les pires exploits de sécurité de 2012, échouent et gaffent

Un imbécile et son faible p @ $$ w0rd sont bientôt enracinés, mais si 2012 a prouvé quelque chose, c'est que même les esprits les plus prudents doivent redoubler d'efforts sur leurs pratiques protectrices, et réfléchissez aux meilleurs moyens d'atténuer les dégâts si le pire se produit dans notre monde de plus en plus connecté aux nuages.

Une solide boîte à outils de sécurité devrait bien sûr constituer le cœur de votre défense, mais vous aurez aussi besoin considérer votre comportement de base. Par exemple, un mot de passe LinkedIn divulgué ne fait pas de tort si cette combinaison alphanumérique particulière n'ouvre que la porte à ce compte particulier, plutôt qu'à tous les comptes de médias sociaux que vous utilisez. L'authentification à deux facteurs peut arrêter une violation avant qu'elle ne se produise. Et est-ce que vos mots de passe sont anodins?

Je n'essaie pas de vous faire peur. Je préfère plutôt vous ouvrir les yeux sur les précautions à prendre à l'ère numérique, comme en témoignent les plus grands exploits de sécurité, les erreurs et les échecs de 2012. C'était une année record pour les méchants.

[Plus d'informations: Comment faire pour supprimer les logiciels malveillants de votre PC Windows]

Attaque pirate Honan

Le désastre de Honan a été amplifié par son manque de sauvegardes physiques.

Le piratage le plus médiatisé de 2012 n'a pas impliqué des millions d'utilisateurs ou une avalanche d'informations de paiement pillées. Non, le point culminant de la sécurité - ou est-ce lowlight? - de 2012 a été le piratage épique d'un seul homme: écrivain filaire Mat Honan.

Au cours d'une heure, les hackers ont accédé au compte Amazon de Honan, supprimé son Google compte, et à distance effacé son trio d'appareils Apple, culminant dans les hackers finalement atteindre leur objectif final: prendre le contrôle de la poignée Twitter de Honan. Pourquoi toute la destruction? Parce que le statut de trois lettres de la poignée @mat Twitter en fait apparemment un prix très convoité. (Les mécontents ont posté plusieurs tweets racistes et homophobes avant que le compte ne soit temporairement suspendu.)

La destruction a été rendue possible par les snafus de sécurité sur les comptes critiques en fin de chaîne de Honan, l'activation de l'authentification à deux facteurs même schéma de dénomination de base sur plusieurs comptes de messagerie - et des protocoles de sécurité de compte contradictoires chez Amazon et Apple, dont les pirates ont profité avec l'aide d'une bonne ingénierie sociale.

La partie la plus effrayante? La plupart des gens emploient probablement les mêmes pratiques de sécurité de base (lire: lax) que Honan a fait. Heureusement, PCWorld a déjà expliqué comment brancher les plus gros trous de sécurité digitaux.

Le virus Flame

Le virus Flame tire son nom de son code

Tracé dès 2010 mais découvert seulement en mai 2012, le virus de la Flamme présente une similitude frappante avec le virus Stuxnet sponsorisé par le gouvernement, avec une base de code complexe et une utilisation primaire comme outil d'espionnage dans les pays du Moyen-Orient comme l'Egypte, la Syrie, le Liban et le Iran.

Une fois Flame enfoncé dans un système, il installait des modules qui pouvaient, entre autres, enregistrer des conversations Skype ou audio de tout ce qui se passait près de l'ordinateur, capturer des captures d'écran, surveiller les connexions réseau et conserver toutes les données. entré dans les boîtes de saisie. En d'autres termes, c'est méchant, et Flame a téléchargé toutes les informations collectées pour commander et contrôler les serveurs. Peu de temps après que les chercheurs de Kaspersky aient étudié l'existence de Flame, les créateurs du virus ont activé une commande kill pour effacer le logiciel des ordinateurs infectés.

L'outil homebrew de 50 $ qui déverrouille les portes des hôtels

Brocante dévoilé un dispositif pourrait semi-fiable ouvrir les serrures électroniques de porte fabriqués par Onity. Les verrous d'onité se trouvent sur 4 millions de portes dans des milliers d'hôtels à travers le monde, y compris des chaînes de prestige comme Hyatt, Marriott et IHG (qui possède à la fois Holiday Inn et Crowne Plaza). Basé autour d'un microcontrôleur Arduino et assemblé pour moins de 50 $, l'outil peut être construit par n'importe quel escroc avec changement de poche et quelques compétences de codage, et il y a au moins un rapport d'un outil similaire utilisé pour pénétrer dans les chambres d'hôtel au Texas. >ArduinoArduino: Le cœur open-source du hack.

Scary stuff, pour être sûr. Peut-être plus inquiétant était la réponse d'Onity à la situation, qui était fondamentalement "Mettez un bouchon sur le port et changez les vis."

La compagnie a finalement développé une solution réelle pour la vulnérabilité, mais elle échange les circuits imprimés des verrous-et Onity refuse de payer les frais pour le faire. Un rapport d'ArsTechnica de décembre suggère que l'entreprise pourrait être plus disposée à subventionner des conseils de remplacement à la suite de la vague de criminalité au Texas, mais au 30 novembre 1, Onity n'avait fourni qu'un total de 1,4 million de solutions pour les serrures. "-y compris ces bouchons en plastique-à des hôtels dans le monde entier. En d'autres termes, la vulnérabilité est encore très répandue. Echec épique.

Décès par mille coupures ^{L'année n'a pas vu une énorme faille de base de données dans la veine de la démolition du PlayStation Network en 2011, mais une série de plus petites pénétrations est venue furieuse au printemps et en été. Bien que la publication de 6,5 millions de mots de passe hashés LinkedIn ait été le hack le plus notable, elle a été soutenue par plus de 1,5 million de mots de passe eHarmony hachés, 450 000 identifiants Yahoo Voice, un nombre indéterminé de mots de passe Last.fm et le les informations de connexion et de profil de centaines d'utilisateurs du forum Nvidia. Je pourrais continuer, mais vous avez compris.} Quelle est la recette? Vous ne pouvez pas faire confiance à un site Web pour protéger votre mot de passe, vous devez donc utiliser des mots de passe différents pour les différents sites afin de minimiser les dommages potentiels si les pirates parviennent à déchiffrer vos informations de connexion pour un compte donné. Consultez notre guide pour créer un meilleur mot de passe si vous avez besoin de pointeurs

Dropbox laisse tomber

Le logo «boîte ouverte» de DropboxDropbox s'est révélé trop vrai pour les utilisateurs de mots de passe en 2012.

certains utilisateurs de Dropbox ont commencé à remarquer qu'ils recevaient une grande quantité de spam dans leur boîte de réception. Après quelques refus initiaux suivis de quelques recherches plus approfondies, Dropbox a découvert que les pirates avaient compromis le compte d'un employé et obtenu l'accès à un document contenant des adresses e-mail d'utilisateur. Oops! Les dommages étaient minimes, mais l'œuf dans le visage était important.

Dans le même temps, un très petit nombre d'utilisateurs avaient leurs comptes Dropbox activement brisés par des sources extérieures. Les enquêtes ont révélé que les pirates avaient accès aux comptes parce que les victimes réutilisaient la même combinaison nom d'utilisateur / mot de passe sur plusieurs sites Web. Lorsque les identifiants de connexion ont été divulgués dans une faille sur un autre service, les pirates avaient tout ce dont ils avaient besoin pour débloquer les comptes Dropbox.

Les problèmes de Dropbox mettent encore en évidence le besoin d'utiliser des mots de passe séparés pour différents services. Vous ne pouvez pas encore complètement faire confiance au nuage.

Des millions de SSN de la Caroline du Sud ont été volés

En parlant de cryptage, il serait bon que le gouvernement suive les principes de base de la sécurité.

Après une gigantesque violation de données en octobre, un pirate informatique a obtenu les numéros de sécurité sociale de 3,6 millions de citoyens de la Caroline du Sud - dans un État de 4,6 millions d'habitants seulement - les responsables de l'État ont tenté de rejeter la faute sur l'IRS. L'IRS ne

spécifiquement

oblige les états à crypter les SSN dans les déclarations fiscales, vous voyez. Donc, la Caroline du Sud n'a pas-même si elle a l'intention de commencer maintenant, avec un recul de 20/20 et tout.

Sur le côté positif, les détails de carte de débit et de crédit de 387 000 citoyens de la Caroline du Sud ont également la plupart de ceux-ci ont été cryptés, bien que ce soit peu de réconfort pour les 16 000 personnes dont les détails de carte ont été volés en texte brut.

La faille de sécurité massive de Skype Novembre. En novembre, les utilisateurs de Skype ont temporairement perdu la possibilité de demander la réinitialisation de leur compte après que les chercheurs aient identifié un exploit permettant à quiconque d'accéder à un compte Skype tant que la personne connaissait l'adresse e-mail associée au compte.. Pas le mot de passe du compte, pas les questions de sécurité - juste la simple adresse e-mail.

Skype a rapidement branché le trou quand il a attiré l'attention du public, mais le dommage avait déjà été fait.

Les hackers volent 1,5 million de numéros de cartes de crédit

En avril, les pirates ont réussi à "exporter" 1,5 million de numéros de cartes de crédit à partir de la base de données de Global Payments, un service de traitement des paiements utilisé par les organismes gouvernementaux, les institutions financières et environ 1 million de vitrines mondiales, entre autres.

Heureusement, la violation était assez contenue. Global Payments a pu identifier les numéros de carte affectés par le piratage et les données volées ne contenaient que les numéros de carte et les dates d'expiration réels,

pas

les noms des titulaires de carte ou des informations personnelles identifiables. Les hits ont continué à venir, cependant. En juin, Global Payments a annoncé que des pirates informatiques avaient volé les informations personnelles des personnes ayant demandé un compte marchand auprès de l'entreprise.

Microsoft Security Essentials échoue à la certification AV-Test Eh bien, n'est-ce pas embarrassant? AV-Test est un institut indépendant de sécurité de l'information qui rassemble régulièrement tous les principaux produits anti-logiciels malveillants qui existent sur le marché. Il déteste toute une série de produits nocifs sur ces produits et voit comment les différentes solutions résistent au barrage flétri. L'organisation l'a fait avec 24 solutions de sécurité axées sur le consommateur fin novembre, et une seule de ces solutions n'a pas répondu à la norme de certification AV-Test: Microsoft Security Essentials pour Windows 7. Celle sans logo de certification ? C'est MSE.

MSE a effectivement fait un travail décent en s'attaquant à des virus bien connus dans le test, mais le programme de sécurité fourni effroyablement peu,

sécurité

face aux exploits zero-day. Son score de protection de 64 contre ces attaques zero-day est de 25 points inférieur à la moyenne de l'industrie.

La bévue qui n'était pas: code source Norton publié Ça fait peur à la surface: des groupes de hackers voyous gérés Pour obtenir le code source de l'un des utilitaires de sécurité Norton les plus populaires de Symantec, vous avez ensuite déposé le code sur Pirate Bay pour que le monde puisse les disséquer. Oh, non! Maintenant, rien ne peut arrêter les méchants de courir bon gré mal gré les défenses qui vient préinstallé sur gajillions (environ) de systèmes en boîte vendus dans le monde entier - non? Le code source appartenait aux produits Norton Utilities publiés en 2006, vous voyez, et les produits actuels de Symantec ont depuis été reconstruits à partir de rien, sans aucun code commun partagé entre les deux. En d'autres termes, la version du code source de 2006 ne présente aucun risque pour les abonnés Norton actuels, du moins si vous avez mis à jour votre antivirus au cours de la dernière demi-décennie.