Car-tech

2012 का सबसे खराब सुरक्षा शोषण, असफलता और गलती

Parakram Suraksha | Patanjali ka Naya Suraksha Prakalp | 19 July 2017 (Part 3)

Parakram Suraksha | Patanjali ka Naya Suraksha Prakalp | 19 July 2017 (Part 3)

विषयसूची:

Anonim

एक बेवकूफ और उसका कमजोर पी @ $$ w0rd जल्द ही जड़ हो गया है, लेकिन अगर 2012 ने कुछ साबित कर दिया है, तो यह भी है कि सबसे सतर्क सुरक्षा-दिमागी आत्माओं को भी दोगुनी करने की जरूरत है अपने सुरक्षात्मक प्रथाओं पर, और हमारे बढ़ते बादल से जुड़े दुनिया में सबसे खराब होने पर नुकसान को कम करने के सर्वोत्तम तरीकों के बारे में सोचें।

एक ठोस सुरक्षा टूलबॉक्स को आपकी रक्षा का दिल बनाना चाहिए, निश्चित रूप से, लेकिन आपको इसकी आवश्यकता भी होगी अपने मूल व्यवहार पर विचार करने के लिए। उदाहरण के लिए, एक लीक लिंक्डइन पासवर्ड थोड़ा नुकसान करता है अगर वह विशेष अल्फान्यूमेरिक संयोजन केवल आपके द्वारा उपयोग किए जाने वाले प्रत्येक सोशल मीडिया खाते की बजाय उस विशेष खाते का दरवाजा खुलता है। ऐसा होने से पहले दो-कारक प्रमाणीकरण उल्लंघन को रोक सकता है। और क्या आपके पासवर्ड चूसते हैं?

मैं आपको डराने की कोशिश नहीं कर रहा हूं। इसके बजाय, मुझे डिजिटल आंखों में आवश्यक सावधानी बरतने के लिए आपकी आंखें खोलने में दिलचस्पी है- जैसा कि सबसे बड़ा सुरक्षा शोषण, ब्लंडर और 2012 की विफलताओं से प्रमाणित है। 'बुरे लोगों के लिए एक बैनर वर्ष है।

[आगे पढ़ें: अपने विंडोज पीसी से मैलवेयर कैसे निकालें]

होनान हैक हमले

होनान की आपदा शारीरिक बैकअप पर उनकी कमी से बढ़ी थी।

2012 की उच्चतम प्रोफ़ाइल हैक में लाखों उपयोगकर्ता शामिल नहीं थे या चोरी की भुगतान जानकारी की हिमस्खलन। नहीं, सुरक्षा हाइलाइट- या वह कमजोर है? - 2012 एक एकल व्यक्ति का महाकाव्य हैकिंग था: वायर्ड लेखक मैट होनान।

एक घंटे के दौरान, हैकर्स ने होनान के अमेज़ॅन खाते तक पहुंच प्राप्त की, अपना Google हटा दिया खाता, और दूरस्थ रूप से ऐप्पल उपकरणों के अपने तीनों को मिटा दिया, हैकर्स में अंततः अपने अंतिम लक्ष्य को प्राप्त करने: होनान के ट्विटर हैंडल पर नियंत्रण जब्त कर रहा है। क्यों सभी विनाश? चूंकि @mat ट्विटर हैंडल की तीन-अक्षर की स्थिति स्पष्ट रूप से इसे एक अत्यधिक प्रतिष्ठित पुरस्कार बनाती है। (खाते को अस्थायी रूप से निलंबित करने से पहले मालकिनों ने कई नस्लवादी और होमोफोबिक ट्वीट्स पोस्ट किए थे।)

होनान के अंत-डेज़ी-चेनिंग महत्वपूर्ण खातों पर सुरक्षा स्नैफस द्वारा विनाश को संभव बनाया गया था, दो कारक प्रमाणीकरण सक्रियण की कमी कई ईमेल खातों में एक ही मूल नामकरण योजना- और अमेज़ॅन और ऐप्पल में विवादित खाता सुरक्षा प्रोटोकॉल, जो हैकर्स ने कुछ अच्छे ओल 'फैशन सोशल इंजीनियरिंग की मदद से लाभ उठाया।

सबसे डरावना हिस्सा? ज्यादातर लोग संभवतः एक ही मूल (पढ़ना: ढीला) सुरक्षा प्रथाओं को नियोजित करते हैं। सौभाग्य से, पीसीवर्ल्ड ने पहले ही बताया है कि सबसे बड़ी डिजिटल सुरक्षा छेद कैसे प्लग करें।

लौ वायरस

लौ वायरस इसका नाम अपने कोड से लेता है।

2010 तक अब तक पता चला लेकिन केवल 2012 के मई में खोजा गया, लौ वायरस सरकारी प्रायोजित स्टक्सनेट वायरस के लिए एक जटिल कोड आधार और मिस्र, सीरिया, लेबनान, सूडान और (अक्सर) ईरान जैसे मध्य पूर्वी देशों में एक जासूसी उपकरण के रूप में प्राथमिक उपयोग के साथ एक प्राथमिक उपयोग करता है।

एक बार लौ ने अपने हुक को एक सिस्टम में डूब दिया, यह मॉड्यूल स्थापित करता है जो अन्य चीजों के साथ, कंप्यूटर के पास होने वाली किसी भी चीज के स्काइप वार्तालाप या ऑडियो रिकॉर्ड कर सकता है, स्क्रीनशॉट छीन सकता है, नेटवर्क कनेक्शन पर स्नूप कर सकता है, और सभी कीप्रेस और किसी भी डेटा के लॉग रख सकता है इनपुट बॉक्स में प्रवेश किया। यह बुरा है, दूसरे शब्दों में- और लौ ने आदेश और नियंत्रण सर्वरों को एकत्रित की गई सभी जानकारी अपलोड की। कास्पर्स्की शोधकर्ताओं ने ज्वाला के अस्तित्व को खत्म करने के कुछ ही समय बाद, वायरस के रचनाकारों ने संक्रमित कंप्यूटर से सॉफ़्टवेयर को वाइप करने के लिए एक हत्या आदेश को सक्रिय किया।

$ 50 होमब्री उपकरण जो होटल के दरवाजे खोलता है

जुलाई में ब्लैक हैट सुरक्षा सम्मेलन में, शोधकर्ता कोडी ब्रोकियस ने एक डिवाइस का अनावरण किया, ओनिटी द्वारा बनाए गए अर्ध-विश्वसनीय रूप से खुले इलेक्ट्रॉनिक दरवाजे ताले। दुनिया भर के हजारों होटलों में ओनिटी लॉक 4 मिलियन दरवाजे पर पाए जाते हैं, जिनमें हयात, मैरियट और आईएचजी जैसी उच्च प्रोफ़ाइल श्रृंखलाएं शामिल हैं (जो हॉलिडे इन और क्राउन प्लाजा दोनों हैं)। एक Arduino microcontroller के आस-पास और $ 50 से कम के लिए इकट्ठा किया गया है, टूल को पॉकेट चेंज और कुछ कोडिंग कौशल के साथ किसी भी क्रैक द्वारा बनाया जा सकता है, और टेक्सास में होटल के कमरों में तोड़ने के लिए इस्तेमाल किए जाने वाले समान टूल की कम से कम एक रिपोर्ट है।

ArduinoArduino: हैक का ओपन-सोर्स दिल।

डरावनी चीजें, सुनिश्चित करने के लिए। शायद अधिक चिंताजनक स्थिति पर ओनिटी की प्रतिक्रिया थी, जो मूल रूप से "बंदरगाह पर एक प्लग रखो और शिकंजा को बदल दें।"

कंपनी ने अंततः भेद्यता के लिए एक वास्तविक समाधान विकसित किया, लेकिन इसमें प्रभावित सर्किट बोर्डों को स्वैप करना शामिल है ताले और ओनिटी ऐसा करने के लिए लागत को पैर करने से इनकार करते हैं। एक दिसंबर ArsTechnica रिपोर्ट से पता चलता है कि टेक्सास अपराध के चलते कंपनी प्रतिस्थापन बोर्डों को सब्सिडी देने के इच्छुक हो सकती है, हालांकि 30 नवंबर वें , ओनिटी ने कुल 1.4 मिलियन "ताले के लिए समाधान प्रदान किए थे "- उन प्लास्टिक प्लग को शामिल करने के लिए-वैश्विक स्तर पर होटल। दूसरे शब्दों में, भेद्यता अभी भी बहुत व्यापक है। महाकाव्य असफल हो गया।

हजारों कटौती से मौत

वर्ष 2011 के प्लेस्टेशन नेटवर्क की नसों में भारी डेटाबेस उल्लंघन नहीं देखा गया था, लेकिन वसंत और गर्मियों में छोटी घुसपैठ की श्रृंखला तेजी से और उग्र हो गई । 6.5 मिलियन शेड किए गए लिंक्डइन पासवर्ड की रिलीज सबसे उल्लेखनीय हैक हो सकती है, लेकिन 1.5 मिलियन से अधिक हैश किए गए ईहर्मनी पासवर्ड, 450,000 याहू वॉयस लॉगिन क्रेडेंशियल्स, Last.fm पासवर्ड की एक अनिर्दिष्ट संख्या, और पूर्ण सैकड़ों Nvidia मंच उपयोगकर्ताओं के लॉगिन और प्रोफाइल जानकारी। मैं जा रहा था, लेकिन आप बिंदु प्राप्त करते हैं।

क्या लेना है? आप अपना पासवर्ड सुरक्षित रखने के लिए किसी वेबसाइट पर भरोसा नहीं कर सकते हैं, इसलिए यदि आप किसी दिए गए खाते के लिए अपने लॉगिन प्रमाण-पत्रों को हल करने का प्रबंधन करते हैं तो संभावित क्षति को कम करने के लिए आपको अलग-अलग साइटों के लिए अलग-अलग पासवर्ड का उपयोग करना चाहिए। यदि आपको कुछ पॉइंटर्स चाहिए तो बेहतर पासवर्ड बनाने के लिए हमारी मार्गदर्शिका देखें।

ड्रॉपबॉक्स अपने गार्ड को छोड़ देता है

ड्रॉपबॉक्सड्रॉपबॉक्स का "ओपन बॉक्स" लोगो 2012 में पासवर्ड का पुन: उपयोग करने वाले लोगों के लिए भी सच साबित हुआ।

जुलाई में वापस, कुछ ड्रॉपबॉक्स उपयोगकर्ताओं ने यह ध्यान देना शुरू कर दिया कि उन्हें अपने इनबॉक्स में बड़ी मात्रा में स्पैम प्राप्त हो रहा था। कुछ प्रारंभिक इनकारों के बाद कुछ गहरी खुदाई के बाद, ड्रॉपबॉक्स ने पाया कि हैकर्स ने कर्मचारी के खाते से समझौता किया था और उपयोगकर्ता ईमेल पते वाले दस्तावेज़ तक पहुंच प्राप्त की थी। ऊप्स! नुकसान मामूली था, लेकिन चेहरे में अंडा प्रमुख था।

उसी समय, उपयोगकर्ताओं की एक बहुत छोटी संख्या में उनके ड्रॉपबॉक्स खाते सक्रिय स्रोतों द्वारा सक्रिय रूप से टूट गए थे। जांच से पता चला कि हैकर्स खातों तक पहुंच प्राप्त कर चुके हैं क्योंकि पीड़ित कई वेबसाइटों पर एक ही उपयोगकर्ता नाम / पासवर्ड संयोजन का पुन: उपयोग कर रहे थे। जब लॉगिन क्रेडेंशियल्स को किसी अन्य सेवा में उल्लंघन में लीक किया गया था, तो हैकर्स को ड्रॉपबॉक्स खातों को अनलॉक करने के लिए आवश्यक सभी चीजें थीं।

ड्रॉपबॉक्स की परेशानी हाइलाइट-फिर-विभिन्न सेवाओं के लिए अलग-अलग पासवर्ड का उपयोग करने की आवश्यकता के साथ-साथ तथ्य यह भी है कि आप अभी तक क्लाउड पर भरोसा नहीं कर सकते हैं। आप क्लाउड सुरक्षा को अपने हाथों में किसी तीसरे पक्ष के एन्क्रिप्शन टूल की मदद से ले जा सकते हैं।

लाखों दक्षिण कैरोलिना एसएसएन ने पायलट किया

एन्क्रिप्शन की बात करते हुए, अगर सरकार बुनियादी सुरक्षा प्रधानाचार्यों का पालन करती तो यह अच्छा होगा।

अक्टूबर के बड़े पैमाने पर डेटा उल्लंघन के बाद एक हैकर में 3.6 मिलियन दक्षिण कैरोलिना नागरिकों की सामाजिक सुरक्षा संख्या प्राप्त हुई- राज्य में केवल 4.6 मिलियन निवासियों के साथ! - राज्य के अधिकारियों ने आईआरएस के चरणों में दोष लगाने की कोशिश की। आईआरएस विशेष रूप से करों में एसएसएन को एन्क्रिप्ट करने के लिए राज्यों की आवश्यकता नहीं है, आप देखते हैं। तो दक्षिण कैरोलिना ने अभी शुरू करने की योजना नहीं बनाई है, हालांकि यह अभी भी 20/20 और सभी के लिए है।

थोड़े सकारात्मक पक्ष पर, 387,000 दक्षिण कैरोलिना नागरिकों के डेबिट और क्रेडिट कार्ड के विवरण डिजिटल हेस्ट में भी स्वाइप किए गए थे और उनमें से अधिकांश एन्क्रिप्टेड थे, हालांकि 16,000 लोगों के लिए यह संभावना कम है कि कार्ड के विवरण सादे-पाठ रूप में चुराए गए थे।

स्काइप की भारी सुरक्षा दोष

लक्स खाता पुनर्प्राप्ति प्रक्रियाओं ने स्काइप उपयोगकर्ताओं को धमकी दी नवंबर।

नवंबर में, स्काइप उपयोगकर्ताओं ने अपने खाते के लिए पासवर्ड रीसेट करने का अस्थायी रूप से खो दिया, शोधकर्ताओं ने एक शोषण की पहचान की जिसके बाद किसी को स्काइप खाते तक पहुंच प्राप्त करने की इजाजत दी गई, जब तक कि व्यक्ति खाते से जुड़े ईमेल पते को जानता था । खाता पासवर्ड नहीं, सुरक्षा प्रश्न नहीं - केवल सरल ईमेल पता ही।

स्काइप ने सार्वजनिक आंख को पकड़ने पर छेद को तुरंत प्लग किया, लेकिन नुकसान पहले से ही किया जा चुका था। भेद्यता रूसी मंचों पर चारों ओर तैर रही थी और इसे बंद करने से पहले सक्रिय रूप से जंगली में इस्तेमाल किया जा रहा था।

हैकर्स 1.5 मिलियन क्रेडिट कार्ड नंबर चुरा लेते हैं

अप्रैल में, हैकर्स 1.5 मिलियन क्रेडिट कार्ड नंबरों को "निर्यात" करने में कामयाब रहे ग्लोबल पेमेंट्स के डेटाबेस से, सरकारी एजेंसियों, वित्तीय संस्थानों और लगभग 1 मिलियन वैश्विक स्टोरफ्रंट्स द्वारा उपयोग की जाने वाली भुगतान प्रक्रिया सेवा।

सौभाग्य से, उल्लंघन काफी हद तक निहित था। वैश्विक भुगतान हैक से प्रभावित कार्ड नंबरों की पहचान करने में सक्षम था, और चोरी किए गए डेटा में केवल वास्तविक कार्ड नंबर और समाप्ति तिथियां थीं, नहीं किसी भी कार्डधारक नाम या व्यक्तिगत पहचान योग्य जानकारी। हालांकि हिट आ रही थीं। जून में, ग्लोबल पेमेंट्स ने घोषणा की कि हैकर्स ने उन लोगों की व्यक्तिगत जानकारी चुरा ली है जिन्होंने कंपनी के साथ एक व्यापारी खाते के लिए आवेदन किया है।

माइक्रोसॉफ्ट सुरक्षा अनिवार्यताएं एवी-टेस्ट प्रमाणीकरण में विफल रही हैं

ठीक है, यह शर्मनाक नहीं है। एवी-टेस्ट एक स्वतंत्र सूचना सुरक्षा संस्थान है जो नियमित रूप से उन सभी शीर्ष एंटीमलवेयर उत्पादों को गोल करता है जो वहां मौजूद हैं, ने कहा उत्पादों पर नास्टियों का पूरा समूह फेंक दिया है और देखता है कि विभिन्न समाधानों को विघटनकारी बंधन के तहत कैसे रखा जाता है। संगठन ने नवंबर के अंत में 24 विभिन्न उपभोक्ता केंद्रित सुरक्षा समाधानों के साथ ही ऐसा किया था, और केवल उन समाधानों में से एक समाधान एवी-टेस्ट के प्रमाणीकरण मानक को पूरा करने में विफल रहा: विंडोज 7 के लिए माइक्रोसॉफ्ट सुरक्षा अनिवार्यताएं।

वह प्रमाणन लोगो के बिना ? यह एमएसई है।

एमएसई ने वास्तव में परीक्षण में जाने-माने वायरस से निपटने के लिए एक सभ्य नौकरी की, लेकिन सुरक्षा कार्यक्रम ने शून्य-दिन के शोषण के मुकाबले बहुत कम, अच्छी तरह से, सुरक्षा प्रदान किया। शून्य-दिन के हमलों के खिलाफ इसका 64 संरक्षण स्कोर उद्योग औसत से 25 अंक कम है।

गलती जो नहीं थी: नॉर्टन स्रोत कोड जारी किया गया

यह सतह पर डरावना लगता है: दुष्ट हैकर्स के समूह प्रबंधित सिमेंटेक की लोकप्रिय नॉर्टन सुरक्षा उपयोगिताओं में से एक के लिए स्रोत कोड प्राप्त करने के लिए, फिर दुनिया के लिए समुद्री डाकू खाड़ी पर कोड को हटा दिया गया। अरे नहीं! अब, बुरे लोगों को दुनिया भर में बेचे जाने वाले बक्सेड सिस्टमों के गैजिलियंस (लगभग) पर पूर्वस्थापित की गई सुरक्षा से पहले कुछ भी नहीं चलने से रोक सकते हैं?

गलत। स्रोत कोड 2006 में जारी नॉर्टन यूटिलिटीज उत्पादों से संबंधित था, आप देखते हैं, और सिमेंटेक के मौजूदा उत्पादों को जमीन से पुनर्निर्मित किया गया है, दोनों के बीच साझा कोई सामान्य कोड नहीं है। दूसरे शब्दों में, 2006 के स्रोत कोड की रिलीज ने आधुनिक-नॉर्टन ग्राहकों को जो भी जोखिम नहीं दिया है, कम से कम यदि आपने पिछले अर्ध-दशक में अपने एंटीवायरस को अपडेट किया है।