Delen:
5 dingen die we hebben geleerd over online beveiliging in 2013
De dagen dat nieuwslezers het hele internet lastigvallen, kunnen worden afgesloten door een eenvoudige (maar effectieve) computerworm die voorbij is, maar dat betekent niet dat online beveiliging niet langer een zorg is. Bedreigingen zijn complexer geworden en, erger nog, komen nu van plaatsen die de meesten nooit zouden verwachten, zoals de regering. Hier zijn 5 harde lessen die we hebben geleerd over online beveiliging in 2013.
De regering let op jou ...
Het grootste computerbesprekingpunt van 2013 was natuurlijk de onthulling dat delen van de regering van de Verenigde Staten (met name de National Security Agency) de burgers zonder beperking hebben bespioneerd.
Volgens documenten die zijn gelekt door voormalig NSA-contractant Edward Snowden en die zijn versterkt door andere bronnen, zoals voormalig NSA-official William Binney, hebben Amerikaanse inlichtingendiensten toegang tot niet alleen telefoonrecords en metadata voor sociale netwerken, maar kunnen ze ook gebruikmaken van een breed scala aan diensten, waaronder mobiele telefoons oproepen, e-mails en online gesprekken, hetzij door middel van rechtstreekse afluistering of door het dienen van geheime warrants.
Wat betekent dit voor jou? Dat is moeilijk te zeggen omdat de NSA erop staat dat het programma een nationaal beveiligingsgeheim is. Terwijl klokkenluiders erop hebben gewezen dat de omvang van de datacenters van de NSA inhoudt dat de overheid een vrij groot volume aan video- en audiogegevens vastlegt en bijhoudt, is er geen manier om zeker te weten wat er is vastgelegd en opgeslagen zolang de spionnen van Amerika doorgaan om het publiek te blokkeren.
De verontrustende conclusie is dat er is niets wat je kunt doen om uw privacy te waarborgen, omdat de mate waarin het kan worden aangetast en hoe het kan worden aangetast, slechts half bekend is.
... En zo is iedereen anders
Niet alleen de overheid is geïnteresseerd in het bespioneren van mensen. Individuen kunnen ook gebruikmaken van verborgen video of audio van de computer van een slachtoffer. Vaak heeft het minder met fraude te maken dan met streken en porno, hoewel de twee kunnen samenkomen.
De ondergrondse wereld van het kijken naar niets vermoedende slachtoffers “ratting” was schitterend te zien in een artikel van Ars Technica. Hoewel het inschakelen van iemands webcam en het op afstand opnemen ervan vaak als hacken wordt beschouwd, kan dit nu relatief eenvoudig worden bereikt met programma's met namen als Fun Manager. Zodra een client voor het roven op de pc van een slachtoffer is geïnstalleerd, kunnen valstrikkers inloggen en zien wat er gebeurt.
Vaak, “Wat is er gaande” vertaalt zich direct naar een kans om nietsvermoedende vrouwen te zien met hun kleren uit, hoewel de software ook kan worden gebruikt om grappen te spelen zoals het willekeurig openen van verontrustende beelden om de reactie van het slachtoffer te zien. In het ergste geval kan ratten zich rechtstreeks vertalen in chantage, terwijl de rattenbundel genante of naakte afbeeldingen van een slachtoffer vangt en vervolgens dreigt ze vrij te geven als ze geen losgeld krijgen.
Uw wachtwoorden zijn nog steeds niet beveiligd
Wachtwoordbeveiliging is een veel voorkomende zorg, en om een goede reden. Zolang een enkele reeks tekst alles is wat tussen de wereld en uw bankrekening staat, zal het geheim houden van die tekst van het allergrootste belang zijn. Helaas zijn bedrijven die ons vragen om in te loggen met een wachtwoord niet zo bezorgd, en verliezen ze ze in een alarmerend tempo.
De grote overtreding van dit jaar kwam met dank aan Adobe, dat meer dan 150 miljoen wachtwoorden kwijtraakte in een enorme aanval die ook (volgens het bedrijf) aanvallers toestond om code te maken voor software die nog in ontwikkeling is en factureringsinformatie voor sommige klanten te stelen. Terwijl de wachtwoorden versleuteld waren, waren ze dat wel allemaal beveiligd met behulp van een verouderde versleutelingsmethode en dezelfde coderingssleutel. Dat betekent dat het decoderen van hen veel eenvoudiger was dan het had moeten zijn.
Hoewel soortgelijke inbreuken eerder zijn opgetreden, is Adobe de grootste in termen van het aantal verloren wachtwoorden, wat aantoont dat dit wel het geval is nog steeds bedrijven die de beveiliging niet serieus nemen. Gelukkig is er een eenvoudige manier om te weten of uw wachtwoordgegevens zijn geschonden; ga gewoon naar HaveIBeenPwned.com en voer uw e-mailadres in.
Hacken is een bedrijf
Naarmate computers complexer zijn geworden, zijn criminelen die ernaar streven om ze te gebruiken als een middel om illegale winst te maken, ook verfijnder geworden. De dagen van een eenzame hacker die schaamteloos een virus vrijgeeft om te zien wat er gebeurt lijken voorbij te zijn, vervangen door groepen die samenwerken om geld te verdienen.
Een voorbeeld is Paunch, een hacker in Rusland die de leiding had over de verkoop van een exploitkit die bekend staat als Blackhole. De kit, gemaakt door Paunch en verschillende co-samenzweerders, werd gedeeltelijk ontwikkeld door slimme tactieken. In plaats van te proberen om zero-day exploits op zichzelf te bedenken, kocht Paunch's groep zero-day exploits van andere hackers. Deze werden vervolgens toegevoegd aan de kit, die werd verkocht als een abonnement voor $ 500 tot $ 700 per maand. Een deel van de winst werd opnieuw geïnvesteerd in het kopen van nog meer exploits, waardoor Blackhole nog beter in staat was.
Dit is hoe elk bedrijf werkt. Er wordt een product ontwikkeld en, indien succesvol, wordt een deel van de winst opnieuw geïnvesteerd om het product beter te maken en hopelijk nog aantrekkelijker. Herhaal tot rijk. Helaas voor Paunch werd zijn plan uiteindelijk opgespoord door de Russische politie en hij zit nu in hechtenis.
Zelfs uw sofinummer is een paar klikken verwijderd
Het bestaan van botnets is al enige tijd bekend, maar het gebruik ervan wordt vaak geassocieerd met relatief eenvoudige maar massale aanvallen, zoals denial of service Wat is een DDoS-aanval? [MakeUseOf Explains] Wat is een DDoS-aanval? [MakeUseOf Explains] De term DDoS fluit voorbij als cyberactivisme massaal zijn hoofd opsteekt. Dit soort aanvallen maken internationale krantenkoppen vanwege meerdere redenen. De problemen die de start zijn van die DDoS-aanvallen zijn vaak controversieel of in hoge mate ... Lees meer of e-mail spammen in plaats van gegevensdiefstal. Een team tiener hackers in het Russisch herinnerde ons eraan dat ze meer kunnen doen dan onze inboxen vullen met Viagra-advertenties toen ze een botnet in belangrijke gegevensbrokers (zoals LexisNexis) konden installeren en veel gevoelige gegevens konden stelen.
Dit resulteerde in een “service” SSNDOB genaamd, die informatie verkocht over inwoners van de Verenigde Staten. De prijs? Slechts een paar dollar voor een basisrecord en tot $ 15 dollar voor volledige krediet- of achtergrondcontrole. Dat is juist; als u een Amerikaans staatsburger bent, kunt u uw sofinummer en kredietinformatie verkrijgen voor minder dan de prijs van een maaltijd in The Olive Garden.
En het wordt erger. Naast het opslaan van informatie, worden sommige gegevensbemiddelingsbedrijven ook gebruikt om het te verifiëren. Misschien ben je dit zelf tegengekomen als je ooit hebt geprobeerd om een lening aan te vragen om te worden begroet door vragen als, “Wat was je adres vijf jaar geleden??” Omdat de gegevensmakelaars zelf in gevaar werden gebracht, konden dergelijke vragen gemakkelijk worden beantwoord.
Conclusie
2013 was geen geweldig jaar voor online beveiliging. Eigenlijk was het een beetje een nachtmerrie. Spionage door de overheid, gestolen sofinummers, chantage door webcam door vreemden; velen stellen zich deze voor als worst-case scenario's die alleen in de meest extreme omstandigheden zouden kunnen voorkomen, maar dit jaar bleek al het bovenstaande mogelijk met verrassend weinig inspanning. Hopelijk zullen in 2014 stappen worden ondernomen om deze schokkende problemen op te lossen, hoewel ik persoonlijk twijfel dat we zoveel geluk zullen hebben.
Image Credit: Flickr / Shane Becker, Flickr / Steve Rhodes
Ontdek meer over: Online beveiliging.