2012S värsta säkerhetsutnyttjande, misslyckas och misslyckas

En dåre och hans svaga pjäser är snart rotade, men om 2012 har bevisat någonting är det att även de mest försiktiga säkerhetssinniga själarna måste dubbla ner på sina skyddsåtgärder och tänka på de bästa sätten att mildra skador om det värsta händer i vår alltmer molnförbundna värld.

En solid säkerhetsverktygslåda bör naturligtvis vara hjärtat av ditt försvar, men du behöver också att överväga ditt grundläggande beteende. Ett läckt LinkedIn-lösenord gör till exempel lite skada om den särskilda alfanumeriska kombinationen bara öppnar dörren till det aktuella kontot, snarare än varje socialt mediekonto du använder. Tvåfaktorsautentisering kan stoppa ett brott innan det händer. Och suger dina lösenord?

Jag försöker inte skrämma dig. Snarare är jag intresserad av att öppna dina ögon för de typer av försiktighetsåtgärder som behövs i den digitala tidsåldern, vilket framgår av de största säkerhetsutnyttjandena, blunders, och misslyckas 2012. "Twas ett bannerår för de dåliga killarna.

Honans katastrof förstorades av hans brist på fysiska säkerhetskopieringar.

Det högsta profilhacket för 2012 innebar inte att miljontals användare eller en lavin av pilfered betalningsinformation. Nej, säkerhetshöjdpunkten - eller är det lågljus? -år 2012 var den episka hackingen av en enda man: Wired-författaren Mat Honan.

Under en enda timme fick hackare tillgång till Honans Amazon-konto, raderade hans Google konto och fjärrtorkade sin trio av Apple-enheter, som kulminerade i hackarna som slutligen uppnådde sitt slutmål: gripa kontroll över Honans Twitter-handtag. Varför all förstörelse? Eftersom @mat Twitter-handtagets trebokstavsstatus gör det till synes ett mycket eftertraktat pris. (Malcontents upplagde flera racistiska och homofoba tweets innan kontot tillfälligt avbröts.)

Förstörelsen blev möjliggjort av Security snafus på Honans end-daisy-chaining-kritiska konton, en brist på tvåfaktors autentiseringsaktivering med hjälp av samma grundläggande namngivningsschema över flera e-postkonton - och motstridiga kontosäkerhetsprotokoll i Amazon och Apple, som hackarna utnyttjade med hjälp av några bra oljedrivna sociala tekniker.

Den skrämmaste delen? De flesta använder förmodligen samma grundläggande (läs: lax) säkerhetspraxis som Honan gjorde. Lyckligtvis har PCWorld redan förklarat hur man kopplar de största digitala säkerhetshålen.

Flame-viruset

The Flame-viruset tar sitt namn från sin kod.

Spårat så långt tillbaka som 2010 men upptäcktes bara i maj 2012, Flame-viruset har en slående likhet med det statligt sponsrade Stuxnet-viruset, med en komplex kodbas och en primär användning som ett spionageverktyg i Mellanöstern-länder som Egypten, Syrien, Libanon, Sudan och (oftast) Iran. När Flame sjönk krokarna in i ett system installerade det moduler som bland annat kan spela in Skype-konversationer eller ljud av allt som händer i närheten av datorn, snag skärmdumpar, snoop på nätverksanslutningar och hålla loggar på alla knapptryckningar och alla data ingick i inmatningsrutor. Det är otäckt, med andra ord-och Flame laddade upp all information som den samlade in för att beordra och styra servrar. Kort efter Kaspersky-forskare sönderde Flames existens, skapade virusets skapare ett dödskommando för att torka mjukvaran från infekterade datorer.

Det $ 50 homebrew-verktyget som låser upp hotelldörrarna

Vid Black Hat Security-konferensen i juli, forskare Cody Brocious presenterade en enhet kunde halvlåsigt öppna elektroniska dörrlås gjorda av Onity. Onity lås finns på 4 miljoner dörrar i tusentals hotell över hela världen, inklusive högprofilerade kedjor som Hyatt, Marriott och IHG (som äger både Holiday Inn och Crowne Plaza). Baserat runt en Arduino microcontroller och monterad för mindre än $ 50, kan verktyget byggas av någon skurk med fickbyte och vissa kodningsförmågor, och det finns minst en rapport av ett liknande verktyg som används för att bryta in hotellrum i Texas.

ArduinoArduino: Hackets öppna källa.

Skrämmande saker, för att vara säker. Kanske mer oroande var Onitys svar på situationen, vilket var i grunden "Sätt en kontakt över porten och byt skruvarna."

Företaget utvecklade slutligen en verklig lösning för sårbarheten, men det handlar om att byta ut kretskort av drabbade Lås och Onity vägrar att betala kostnaderna för att göra det. En december ArsTechnica-rapport föreslår att bolaget kanske är mer villigt att subventionera ersättningsbrädor i kölvattnet av Texas-brottsboen, men den 30 november 1 hade Onity bara levererat totalt 1,4 miljoner lösningar för lås "inklusive dessa plastproppar till hotell globalt. Med andra ord är sårbarheten fortfarande mycket utbredd. Epic fail.

Död med tusen nedskärningar ^{Året såg inte en omfattande databasbrott i årets PlayStation Network-nedläggning, men en serie mindre penetrationer kom snabbt och rasande under våren och sommaren. Medan utgåvan av 6,5 miljoner hashed LinkedIn-lösenord kan ha varit det mest anmärkningsvärda hacket, blev det upptaget av utstationering av mer än 1,5 miljoner hashed eHarmony-lösenord, 450.000 Yahoo Voice-inloggningsuppgifter, ett ospecificerat antal Last.fm-lösenord och det fulla Inloggning och profilinformation för hundratals Nvidia-forums användare. Jag kunde fortsätta, men du får poängen.} Vad är takeaway? Du kan inte lita på en webbplats för att hålla ditt lösenord säkert, så du bör använda olika lösenord för olika webbplatser för att minimera den potentiella skadan om hackare lyckas pussa ut dina inloggningsuppgifter för ett visst konto. Kolla in vår guide för att skapa ett bättre lösenord om du behöver några tips.

Dropbox släpper sin vakt

DropboxDropboxs logotyp "öppna rutan" visade sig alltför sann för personer som återanvände lösenord under 2012.

Tillbaka i juli, vissa Dropbox-användare började märka att de fick mycket spam i sina inkorgar. Efter några initiala avslag följt av en djupare grävning fann Dropbox att hackare hade äventyrat en anställdas konto och fått tillgång till ett dokument som innehåller användaradresser. hoppsan! Skadan var liten, men ägget i ansiktet var stort.

Samtidigt hade ett mycket litet antal användare sina Dropbox-konton aktivt brutna in av externa källor. Undersökningar visade att hackarna fick tillgång till kontona eftersom offren återanvändde samma användarnamn / lösenordskombination på flera webbplatser. När inloggningsuppgifterna läcktes i strid med en annan tjänst, hade hackarna allt de behövde för att låsa upp Dropbox-kontona.

Dropboxs elak markerar igen - behovet av att använda separata lösenord för olika tjänster, liksom det faktum att du kan inte lita på molnet helt än. Du kan ta molnsäkerhet i egna händer med hjälp av ett krypteringsverktyg från tredje part.

Millions South Carolina SSNs pilfered

När det gäller kryptering skulle det vara trevligt om regeringen följde grundläggande säkerhetsansvariga.

Efter en massiv oktoberbrott resulterade i att hackare fick socialförsäkringsnumren för en hel del 3,6 miljoner South Carolina-medborgare i en stat med bara 4,6 miljoner invånare! - Statliga tjänstemän försökte placera skulden vid IRS: s fot. IRS kräver inte

specifikt

stater för att kryptera SSN: erna i skatteansökningar, som du ser. Så South Carolina gjorde inte det, men planerar att börja nu, efterhand är 20/20 och alla.

På den positiva sidan blev också debet- och kreditkortsuppgifterna för 387.000 South Carolina-medborgare swiped i den digitala heisen och de flesta av dessa var krypterade, men det är troligen litet tröst för de 16 000 personer vars kortuppgifter stulits i vanlig text.

Skypes massiva säkerhetsfel Lax-kontoåtervinningsprocedurer hotade Skype-användare i November. I november förlorade Skype-användare tillfälligt möjligheten att begära en återställning av lösenord för deras konto efter att forskare identifierat ett utnyttjande som gjorde det möjligt för någon att få tillgång till ett Skype-konto så länge som personen kände till den e-postadress som är kopplad till kontot. Inte lösenordet för kontot, inte säkerhetsfrågorna, bara den enkla e-postadressen ensam.

Skype kopplade snabbt hålet när det blev synligt, men skadan hade redan gjorts. Sårbarheten flyttade runt på ryska forum och användes aktivt i naturen innan den stängdes.

Hackers stjäl 1,5 miljoner kreditkortsnummer

I april lyckades hackare "exportera" en hel del 1,5 miljoner kreditkortsnummer från databasen över globala betalningar, en betalningstjänst som används av statliga myndigheter, finansinstitut och bland annat cirka 1 miljon globala butikskronor.

Lyckligtvis var överträdelsen rättvist innehållen. Globala betalningar kunde identifiera de kortnummer som påverkades av hacken, och de data som stulits innehöll endast de faktiska kortnumren och utgångsdatumen,

inte

några kortinnehavarens namn eller personligt identifierbar information. Hitmen fortsatte dock komma. I juni meddelade globala betalningar att hackare kan ha stulit personuppgifterna för personer som ansökt om ett köpkonto hos företaget.

Microsoft Security Essentials misslyckas med AV-testcertifiering Jo, det är inte så pinsamt. AV-Test är ett oberoende informationssäkerhetsinstitut som regelbundet rundar upp alla de främsta antimalwareprodukterna som finns där ute, kastar en hel massa nasties på nämnda produkter och ser hur de olika lösningarna håller sig uppe under spärren. Organisationen gjorde just det med 24 olika konsumentfokuserade säkerhetslösningar i slutet av november, och endast en av dessa lösningar uppfyllde inte AV-Tests certifieringsstandard: Microsoft Security Essentials för Windows 7. Den där utan certifieringslogotyp ? Det är MSE.

MSE gjorde faktiskt ett anständigt jobb för att ta itu med välkända virus i testet, men säkerhetsprogrammet gav otroligt litet, väl,

säkerhet

inför nolldagsutnyttjande. Dess 64 skyddspoäng mot nolldagsattackerna är en hel 25 poäng lägre än branschmedlet.

Blunder som inte var: Norton-källkod släppt Det låter läskigt på ytan: Grupper av skurkhackare lyckades för att få källkoden för en av Symantecs populära Norton-säkerhetsverktyg, dumpade sedan koden på Pirate Bay för att världen skulle dissekera. Åh nej! Nu kan ingenting stoppa de dåliga killarna från att springa förbi de försvar som kommer förinstallerade på gajillioner (ungefär) av boxasystem som säljs över hela världen - rätt? Fel. Källkoden tillhörde Norton Utilities-produkter som släpptes 2006, och du ser, och Symantecs nuvarande produkter har sedan byggts om från grunden, utan någon gemensam kod som delas mellan de två. Med andra ord innebär källkodslagen 2006 inte någon risk för moderna Norton-abonnenter, åtminstone om du har uppdaterat ditt antivirus under det senaste halvtioåret.