Het internet der dingen en uw werkplek beveiligen

Er lopen meer apparaten gevaar voor aanvallen. Cybersecurity-expert Ken Munro bespreekt de kwetsbaarheden waar je op moet letten en hoe je veilig kunt blijven.





26 februari 2020

Geproduceerd in samenwerking met Microsoft-beveiliging

In deze aflevering kijken we naar de noodzaak om het internet der dingen, fysieke werkruimten en de producten die bedrijven maken te beveiligen. Van vliegtuigen tot kinderspeelgoed tot booreilanden, meer verbonden apparaten zijn kwetsbaar voor aanvallen dan ooit tevoren.Ken Munro is een internet-of-things-beveiligingsonderzoeker, penetratietester en schrijver met twee decennia ervaring in de beveiligingsindustrie. Hij is ook de oprichter van beveiligingsservicebedrijf Pen Test Partners.

Munro helpt bij het blootleggen van de kwetsbaarheden in items die we elke dag gebruiken, en hij bespreekt enkele van de belangrijkste vaardigheden die cyberbeveiligingsexperts kunnen hebben, waarom bedrijven risico lopen op fysieke beveiligingsinbreuken en iets wat hij supersysteemfouten noemt.

Business Lab wordt gehost door Laurel Ruma, directeur van Insights, de custom publishing-divisie van MIT Technology Review. De show is een productie van MIT Technology Review, met productiehulp van Collective Next. Muziek is van Merlean, van Epidemic Sound.



Toon notities en links

Ken Munro , op Twitter

Ken Munro , Pentestpartners

Kids Tracker Watches: CloudPets, atleten uitbuiten en reality-tv kapen, Pen Test Partners Beveiligingsblog



Denk je dat je een inbreuk hebt gehad? Top 5 dingen om te doen, Pen Test Partners Beveiligingsblog

Internet of Things-beveiliging, een TEDx-presentatie door Ken Munro

Volledig transcript

Laurel Ruma: Van MIT Technology Review, ik ben Laurel Ruma, en dit is Business Lab, de show die bedrijfsleiders helpt om nieuwe technologieën te begrijpen die uit het lab en op de markt komen.



Beveiligingsbedreigingen zijn overal. Daarom heeft Microsoft Security meer dan 3.500 cybercriminaliteitsexperts die voortdurend controleren op bedreigingen om uw bedrijf beter te beschermen tegen microsoft.com/cybersecurity .

Ons onderwerp van vandaag is cyberbeveiliging, maar meer specifiek het belang van het beveiligen van het internet der dingen, uw fysieke werkplek en uw producten. Oh, en het hacken van vliegtuigen, boten en auto's. Drie woorden voor jou voor: op afstand bestuurbaar booreiland. Mijn gast is Ken Munro, een deskundige internet-of-things-beveiligingsonderzoeker, penetratietester en schrijver met twintig jaar ervaring in de beveiligingsindustrie. Hij is de oprichter en een partner bij Pen Test Partners en je hebt misschien enkele van zijn heldendaden gezien met auto's zonder sleutel, kinderspeelgoed, vliegtuigen, en we zullen meer praten over wat hem 's nachts wakker houdt: supersysteemgebreken. Ken, bedankt voor je deelname aan Business Lab.

Ken Munro: Oh dank je.

Laurier: Kun je me allereerst vertellen hoe je geïnteresseerd bent geraakt in beveiliging, maar dan specifiek in de context van apparaten en het internet der dingen?

Ken: Ik zou je graag vertellen dat ik een misbeste jeugd heb gehad, maar het is veel saaier. Ik bracht tijd door nadat ik aan een universiteit had gestudeerd en keek naar restaurants. En ik herinner me dat ik een baan had waar ik een restaurant beheerde, en op een verveelde middag toen het stil was, begon ik te spelen met het kassasysteem, heel, heel oud. Na een beetje rommelen kon je het laten crashen naar DOS, de vroege versie van DOS. Ik ontdekte toen dat ik mijn hypotheekaflossingsoverzichten kon afdrukken, zodat ik mijn betalingen kon krijgen, wat raar was om op een restaurantcheque af te drukken. Maar een van mijn bazen kwam daarna langs en zei: 'Ik denk dat je misschien de verkeerde carrière hebt.' Dat was een leuke manier om me te ontslaan, denk ik, maar dat leidde me naar antivirus en vervolgens naar firewalls en cyberbeveiliging in het algemeen.

Laurier: Dus, afgezien van nieuwsgierigheid, wat zijn enkele van de vaardigheden die cyberbeveiligingsexperts moeten hebben, evenals natuurlijk hun uitstekende technische vaardigheden?

Ken: Nieuwsgierigheid, dat is eigenlijk een heel goed woord, want als ik kijk naar wat we doen als penetratietesters, ethische hackers, zo je wilt. Het probeert te denken op de manier waarop de mensen die het systeem ontwikkelden dat niet deden. Probeert te denken aan alle mogelijke fouten die zijn gemaakt, dingen die over het hoofd zijn gezien, en die gewoon te porren, aan die jeuk te krabben om te zien of je een gemaakte fout kunt vinden.

Je noemde wat we supersysteemfouten noemen - dat is een veel voorkomende fout die we vinden in API's [application programming interfaces]. Dus de API die je aantreft in een mobiele app voor misschien een smart device, en we zien zo vaak dat ontwikkelaars, terwijl ze hun gebruikers correct authenticeren, vaak vergeten om ze correct te autoriseren. En daarmee bedoel ik dat je inlogt, je maakt je account aan, je logt in - vertel dat je jezelf bent. Maar ergens langs de lijn vergat de ontwikkelaar te controleren of elk verzoek van jou afkomstig was, wat betekent dat je mogelijk in de accounts van anderen kunt springen, namens hen acties kunt uitvoeren en de scheiding kunt doorbreken.

Laurier: Als ik in die situatie zit, en ik ben jou, een pennentester bij een bedrijf en ik moet het dan aan iemand gaan vertellen, ik denk dat we hier een fout hebben, hoe verloopt dat gesprek dan? Tegen wie zeg je eigenlijk iets?

Ken: Laten we het hebben over onafhankelijk onderzoek. We doen veel werk op eigen kosten, kopen producten en bekijken ze, kijken of we kwetsbaarheden kunnen vinden. Gedeeltelijk is het voor een goede oefening, een goede oefening, maar het is ook nuttig omdat het de staat van veiligheid verbetert. Dus als we een kwetsbaarheid vinden, willen we dat eerst aan de fabrikant vertellen. We willen het ze privé en vertrouwelijk vertellen, zodat ze het kunnen oplossen.

Maar zo vaak is het probleem dat de eerste keer dat je contact opneemt de verkeerde mensen bereikt of dat het een organisatie bereikt die gewoon niet gewend is om met kwetsbaarheden om te gaan - het is de eerste keer voor hen. Dus hoe gaan ze om met iemand die helemaal koud komt en zegt: 'Hé, we hebben een kwetsbaarheid in je spullen gevonden.' De meeste mensen beschouwen dat als vermeende kritiek, wat helemaal niet de bedoeling is. Maar als iemand zei: je hebt een fout in je product, dan is het eerste wat je doet je handen omhoog steken: Hé, hé, wacht even, wacht even. Nee nee nee nee. We moeten ons merk verdedigen. En dat is meestal het eerste probleem, mensen nemen constructieve kritiek niet goed op, wat het leven van een kwetsbaarheidsonderzoeker erg moeilijk maakt.

Laurier: Maar je moet ook zo'n speciale tact hebben, toch? De manier waarop je problemen communiceert aan deze verschillende bedrijven met producten of miljoenen en miljarden dollars geïnvesteerd in specifieke …

Ken: Ja. Ik zie het eigenlijk als een schaakspel. Omdat ik weet dat als we agressief te hard gaan, ze waarschijnlijk zullen opstaan ​​en in plaats van de kwetsbaarheid te verhelpen, zullen ze waarschijnlijk iets doen dat we niet willen zien. Ze worden agressief, beginnen ons naar beneden te schreeuwen of af en toe hebben we juridische dreigementen gehad die ongegrond waren, maar irritant en kostbaar om te verdedigen.

Het gaat er dus om dat u gehoord wordt door de juiste mensen in de organisatie die veiligheid begrijpen, die de mogelijke impact op hun merk begrijpen als een andere niet-ethische persoon het heeft gevonden. Ze krijgen, ze vleien, met ze werken, ze de tools geven die ze nodig hebben, zodat ze het snel kunnen repareren. En dan is de kwetsbaarheid verholpen en is iedereen beter af.

Laurier: Als je in een situatie zit, moet je eigenlijk een tegenhanger in de organisatie hebben, en we zien dat niet per se elke organisatie iemand heeft zoals een CISO, of dat er iemand wordt genoemd die verantwoordelijk is voor beveiliging. Hoe betreedt u die wateren zorgvuldig - wat voor soort communicatieve vaardigheden en technieken gebruikt u om uw punten over te brengen?

Ken: Hoe vind je ze eigenlijk? Dat kan een reëel probleem zijn. Misschien begin je in de eerste plaats met een contactformulier en gaat het waarschijnlijk naar iemand die geen verstand heeft van cyberbeveiliging. Het komt op de verkeerde plek terecht. We hadden vele, vele jaren geleden een paar problemen met Fitbit, en we begonnen met het contactformulier en het ging gewoon in de ether. Er is niks gebeurd. We hebben geprobeerd de klantenservice te bellen, maar het was klantenondersteuning en het werd gewoon niet echt opgelost.

En het ging allemaal een beetje mis. En toen, door een toevalstreffer, begon een vriend van een vriend als hun interne beveiligingsexpert, en het is een beetje een treinongeluk dat staat te gebeuren. En nam proactief de telefoon op en nam contact op, zei: 'Hé Ken, ik denk dat we iemand kennen, we kennen dezelfde man. Ik hoorde dat je een kwetsbaarheid probeerde te melden.' En van wat een zeer moeilijke situatie had kunnen zijn waarbij er een kwetsbaarheid is, die niet wordt gerepareerd, de leverancier niet luistert. Eigenlijk was het heel snel een kortere weg, en het product werd heel snel gerepareerd. De firmware is in iets meer dan een week geüpdatet en het was een echt succesverhaal voor iedereen.

Laurier: Dat is geweldig. Ik denk dat dat is waar we meer van willen horen. Rechts?

Ken: Ja. Ik zou willen dat dat elke keer gebeurde.

Laurier: Dat is waarschijnlijk ook wat uw baan zo interessant maakt. Hoe kijkt u aan tegen het huidige tekort aan beveiligingsprofessionals? Gewoon een beetje in de hele branche, wat zijn sommige dingen waar je naar op zoek bent of waarvan je zou willen dat je met een toverstaf kon zwaaien en repareren? Hoe repareert u de pijplijn van beveiligingsprofessionals?

Ken: Goh, dat is een diepe vraag. Het is bekend dat er een tekort is aan vaardigheden. Ik denk dat een van de echte uitdagingen in de ruimte voor het testen van pennen, waar mensen ethisch hacken, is dat vaak over het hoofd wordt gezien hoe belangrijk het is om te kunnen communiceren. Ik bedoel, geweldige technische vaardigheden zijn essentieel, maar eigenlijk zijn het die communicatieve vaardigheden die vaak worden vergeten, want als de resultaten van je bevindingen niet op de juiste manier worden gecommuniceerd, aan het juiste publiek, de juiste persoon, dan eigenlijk, dingen worden niet gerepareerd.

Hoewel we een academisch programma hebben - we nemen mensen aan, we coachen ze, ze hebben ruwe vaardigheden, we zullen ze veranderen in volwaardige pentesters. Waar ik echt naar op zoek ben, is dat communicatieve vermogen. Als je de verbazingwekkende dingen die je hebt gevonden niet kunt communiceren, zou ik zeggen dat je net zo goed niet de moeite had genomen om ze te vinden.

Laurier: Gaat gewoon in op dat oude gezegde, nou ja, mijn oude gezegde - technologie is gemakkelijk, mensen zijn moeilijk.

Ken: Helemaal.

Laurier: Dat is het soort vaardigheden waarvan het lijkt alsof de meeste bedrijven zich nu realiseren dat je technologie kunt onderwijzen, toch? Je kunt leren coderen. Deze vaardigheden kun je aanleren. Sommige mensen hebben duidelijk een aangeboren vermogen om ze te doen, maar de communicatie is van cruciaal belang, om uw hele organisatie daadwerkelijk op dat ene niveau te brengen en is in feite een competitieve differentiator.

Ken: Ja, het is eigenlijk een echte verrassing. Ik moedig mensen echt sterk aan om na te denken over met wie ze praten. Dus je doet iets cools en slims en heel slim en technisch, maar denk aan het publiek, de persoon die dat ontvangt, denk aan hoe ze dat zullen ontvangen en de manier waarop dat probleem het snelst wordt opgelost.

Laurier: Ja, het draait allemaal om gebruikers, toch? Of uw klanten en in zekere zin zijn zij uw klant omdat u deze relatie op de een of andere manier probeert op te bouwen met een volslagen vreemde en hen bijzonder slecht nieuws laat weten.

Denk je dat omdat beveiliging steeds belangrijker wordt binnen de organisatie, het niet langer een backoffice-functie is dat mensen het misschien als een interessanter beroep beschouwen, omdat het een beetje in de openbaarheid is, mensen erover praten . Het is niet langer verborgen achter een soort zwart gordijn.

Ken: Ja, het was echter geweldig om te zien hoe meer profiel de cyberindustrie heeft gekregen. Er beginnen steeds meer opleidingen op universitair niveau te verschijnen, wat fantastisch is, wat het aanbod van individuen verbetert. Maar ik denk dat veel organisaties, vooral diegene die te maken hebben gehad met spraakmakende inbreuken, op misschien wel de harde manier hebben geleerd dat de enige manier om echt met cyber om te gaan, is om het in het bedrijf te integreren. Als je het inbrengt als een dochteronderneming van de IT-afdeling, dan is het eigenlijk alleen maar een bijzaak. Terwijl als je het in het bedrijf verwerkt en iemand echt verantwoordelijk maakt, die echt begrijpt hoe risico's moeten worden beoordeeld en risico's moeten worden gecommuniceerd, als ze op het exacte niveau zitten, ze in het bestuur zitten, dan denk ik dat je zult zien een mindshift binnen de organisatie.

Ik geef een beetje les op directieniveau en het was geweldig om te zien hoe je de CEO kunt laten nadenken over hun persoonlijke veiligheid, over hun persoonlijke veiligheid, over de veiligheid van hun gezin. Ze beginnen na te denken over wachtwoorden, ze beginnen na te denken over het updaten van systemen, ze beginnen na te denken over het onderwijzen van mensen, en ineens zie je die mentaliteitsverandering doorsijpelen van de top van het bedrijf tot in de mensen. Dus in plaats van te proberen beveiliging in een organisatie te rammen, druppelt het van bovenaf en doordringt het alles wat het bedrijf doet.

Laurier: Absoluut meer een security-first benadering. En als onderdeel van alles, beschouw je het niet zozeer als een inbreuk op je dagelijkse werkzaamheden.

Ik zou onze discussie zo willen formuleren dat het gaat over hoe een cyberbeveiligingsinbreuk overal kan plaatsvinden - uiteraard met werknemers, de producten en zelfs het fysieke kantoorgebouw waarin uw bedrijf zich bevindt. Kunt u vertellen waarom fysieke beveiliging van cruciaal belang is voor bedrijven om over na te denken?

Ken: Oh mijn god. Naarmate u uw cyberbeveiliging begint te verbeteren, begint u ook uw verdediging te verbeteren, en begint u te ontdekken dat het steeds moeilijker wordt om uw organisatie via internet binnen te dringen. En hopelijk, zelfs als iemand het op afstand binnendringt, heb je een aantal tools die jou en een team mensen waarschuwen om dat daadwerkelijk te markeren. Het wordt steeds moeilijker om door te dringen tot de perimeter van de organisatie. En dat is wanneer het hogere risico, fysieke soorten aanvallen interessant worden. Wanneer we beginnen te praten over social engineering, wanneer het onze taak is om ons een weg te banen in een organisatie, om fysiek een achterdeur in de organisatie te plaatsen of om fysiek gegevens te stelen. Het spul van de films, toch?

Maar vaak merk je dat die twee kampen eigenlijk heel nauw met elkaar verbonden zijn. Ik zoek graag de schaduw-IT in een organisatie. Ik zoek graag naar het gebouwbeheersysteem. De HVAC, het ding dat je liften bestuurt, dat ze op en neer bestuurt. De technologie die uw poortverlichting aanstuurt. De technologie die uw elektronische deursloten bedient, uw toegangscontroles. Waarom? Want die systemen staan ​​vaak buiten je conventionele IT-afdeling. Misschien hebben de mensen in de faciliteiten dat erin gedaan. Misschien is de onderaannemer uitbesteed aan een derde partij die toegang op afstand heeft, wat slecht is gedaan. Klinkt vergezocht? Welnu, er zijn veel grote inbreuken geweest die precies via die route zijn gebeurd.

Dus als we social engineering zijn en ik vind uw gebouwbeheercontrollers op het openbare internet, niet moeilijk om te doen. Loop naar het kantoor, doe de deursloten elektronisch open, op afstand, en de deuren staan ​​wagenwijd open. In je gaat.

Laurier: Vindt u dat uw bedrijf een gelijkmatige mix is ​​​​van die kwetsbaarheden voor datalekken en het fysieke, of zijn mensen eerst gefocust op en denkend aan gegevens en dan pas het fysieke?

Ken: Ik zie het graag als een mix van beide. Ik denk dat sommige van de meest vooruitziende en vooruitstrevende organisaties beseffen dat het een combinatie is. Je moet beide aanpakken. Ja, u kunt de organisatie in teamverband leiden, u kunt deze op afstand aanvallen en u kunt ervoor zorgen dat deze goed is ingesteld om cyberinbreuken te detecteren en erop te reageren, maar tegelijkertijd moet u ook de fysieke kant afdekken .

Mijn ervaring is dat wanneer je met de fysieke kant van het bedrijf werkt, je de organisatie gaat helpen bruggen te bouwen tussen de IT-afdeling en het facilitaire team. En als ze eenmaal aan het praten zijn, als het fiscale beveiligingsteam eenmaal met het cyberbeveiligingsteam praat, krijg je een aantal echt interessante dingen eruit te schudden. Je krijgt teams die coöperatief gaan samenwerken, niet zien alsof de een in een doos zit en anderen, nou ja, een ander is ergens heel anders.

Laurier: Dus wat zijn enkele van de basisprincipes waar bedrijven naar kunnen kijken als ze nadenken over kwetsbaarheden en misschien dingen zelf doen voordat ze iemand zoals jij erbij halen om hen te helpen?

Ken: O, rechttoe rechtaan. Nummer één, dus waar gaan we uit eten? We dineren met wachtwoorden die niet complex genoeg, hergebruikt, standaard of blanco zijn. Als je die oplost, maak je ons leven een stuk moeilijker. Volgende grote, patchen. Ik weet dat het zo saai is, maar eigenlijk ontbrekende patches, blootgestelde kwetsbaarheden, patches zijn er om kwetsbaarheden op te lossen. Je repareert patches, je maakt mijn leven moeilijk. En het laatste waar ik naar kijk zijn de mensen. Dus je kunt mensen de schuld geven van het klikken op links in e-mails en reageren op phishing, of je kunt ze leren en trainen. Ze kunnen ofwel je ergste vijand van veiligheid zijn, of ze kunnen een ander paar ogen zijn die kijken, spotten, rapporteren, zich opgeleid en bevoegd voelen. Dus mijn advies, voordat je ook maar in de buurt komt van het binnenhalen van derde partijen, zorg dat de wachtwoorden worden geregeld, sorteer je patches en leer mensen over cyber.

Laurier: Basisveiligheidshygiëne. Hoe werken bedrijven samen met partners om ervoor te zorgen dat de componenten van hun product veilig zijn? Dus die toeleveringsketen van derden - het kan elk product zijn, maar ik denk eigenlijk aan een auto die in Detroit is gebouwd en een GPS-eenheid heeft van een andere leverancier en een entertainmentcentrum van een derde. En dat is letterlijk een heel basale beschrijving van de externe leveranciers in een auto, maar ik denk dat dat is waar we aan denken als we denken aan hackbaarheid. Dus als we kijken naar het hele ecosysteem van externe leveranciers, waar zou u dan beginnen als u een autoverkoper of een ander bedrijf bent?

Ken: Het is dus heerlijk om je eigen huis op orde te brengen en je eigen veiligheid te regelen. Maar zo vaak dat de aanvaller naar het meest kwetsbare deel gaat, en dat wordt waarschijnlijk je toeleveringsketen. Omdat het uw organisatie is, het zijn uw gegevens, het zijn uw klanten. U neemt die informatie en de cyberbeveiliging daarvan zeer serieus. Maar zodra u zich in de toeleveringsketen begeeft, zijn het niet langer hun gegevens. Dus het eerste wat je moet doen is beginnen met het stellen van vragen.

Door gewoon vragen te stellen, zult u al snel inzien hoe volwassen uw leveranciers zijn op het gebied van cyberbeveiliging. Ik zie vaak organisaties aan wie we worden gevraagd om te controleren en zeggen: 'Nou, we zouden die informatie onmogelijk met u kunnen delen vanwege cyberaanvallen', en u realiseert zich dat dit slechts een rookgordijn is. Uw leverancier zou graag zijn beveiligingsprocessen met u willen delen, want alleen een cyberproces hebben betekent niet dat kwetsbaarheden worden blootgelegd. Aantonen dat ze een volwassen organisatie zijn die cyberbeveiliging en de beveiliging van de gegevens die ze voor u verwerken, een open proces vindt. Stel vragen, controleer uw leveranciers, praat met hen over beveiliging. En meer dan wat dan ook, een advies dat u uit dit kleine interview kunt halen, is om cyberbeveiliging in uw contractuele inkoopvoorwaarden op te nemen. Wat betekent dat A, ze serieus nadenken over cyber voordat ze uw contract ondertekenen, en B, als het misgaat, u een verhaalsrecht hebt. Echt heel belangrijk. Integreer cyber in uw inkoop.

Laurier: Zou u echter zeggen dat bedrijven hun externe leveranciers vaak controleren? Is dit een nieuwe manier van denken die bedrijven moeten hebben, zoals u al zei, die moeten worden geïntegreerd in elk onderdeel van de manier waarop ze met externe leveranciers werken?

Ken: Soms. Dus ik heb wat outreach gedaan en les gegeven in de advocatuur over precies dit concept. Ik doe het nu een paar jaar, en dit jaar is het net voorbij, zei ik, kijk, heeft iemand daadwerkelijk cyber in zijn contracten opgenomen? En een hand ging omhoog in het publiek, en ik voelde een kleine gloed. Ze zeiden: 'Ja, we hebben je advies opgevolgd. We hebben de top 10 van het open webapplicatiebeveiligingsproject geïntegreerd in onze ontwikkelingscontracten met derden.' Dus ondertekenen ze contractueel om code te leveren die niet kwetsbaar is voor de OWASP [Open Web Application Security Project] top 10, en ik dacht dat dat een enorme overwinning was. Een kleine stap. Dus alsjeblieft, iedereen, doe dat. Integreer eenvoudige cyberbeveiligingsvoorwaarden in contracten en het maakt het leven zoveel gemakkelijker als er een probleem is.

***

Laurier: Cyberbeveiliging gaat niet alleen over het stoppen van de bedreigingen die u ziet. Het gaat over het stoppen van degenen die je niet kunt zien. Daarom heeft Microsoft Security meer dan 3.500 cybercriminaliteitsexperts in dienst en gebruikt het AI om te helpen anticiperen, identificeren en elimineren van bedreigingen, zodat u zich kunt concentreren op de groei van uw bedrijf, en Microsoft Security kan zich richten op het beschermen ervan. Meer informatie op microsoft.com/cybersecurity .

***

Laurier: Dus als we een stap terug doen en het van een afstand bekijken, hoe kunnen beveiligingsvoorschriften en -normen bedrijven echt helpen? Vaak hebben ze waarschijnlijk het gevoel dat ze hier alleen voor staan, maar er zijn instanties of afdelingen zoals NIST [National Institute of Standards and Technology] die kunnen helpen.

Ken: Ja er zijn. Dus regulering ontbreekt verrassend genoeg in de cyberspace. Het is iets waar ik al een aantal jaren voor lobby en campagne voor voer, met name op het gebied van consumenten-IoT [internet of things]. Het heeft iets van een wild westen. We blijven dag in dag uit zeer ernstige kwetsbaarheden vinden in IoT-producten voor consumenten. En mijn gevoelens, hoewel ik geen groot voorstander van regulering ben omdat ik een grote voorkeur heb voor dynamiek van de vrije markt, denk ik dat er in de consumentenruimte van het IoT veel sterke argumenten waren voor regulering. Ik was erg blij om te zien dat in Californië wetsvoorstel 327 van de Senaat werd aangenomen, dat op 1 januari van dit jaar in werking trad. En wat me super blij maakte, was dat de indiener van de rekeningen een deel van ons werk aan een kwetsbare Bluetooth-pop voor kinderen genaamd My Friend Cayla noemde als de inspiratie en de katalysator achter die verordening. En hoewel de regelgeving vrij eenvoudig is, denk ik dat het een heel goede stap in de goede richting is. En het is triest, maar vooral in het consumenten-IoT denk ik dat we regulering nodig hebben.

We hebben ook enkele successen geboekt in het VK. We hebben het overleg net afgerond en de regering heeft toegezegd een aantal basisregels in te voeren om consumenten te beschermen tegen fabrikanten van slimme producten die niet op veilig spelen met onze gegevens en onze privacy.

Laurier: Kun je iets vertellen over My Friend Cayla? Dat was een interessant experiment.

Ken: Dus My Friend Cayla is een interactieve pratende kinderpop die ik ongeveer vijf jaar geleden voor het eerst tegenkwam. Nu gebruikte ze een mobiele app om te luisteren naar de woorden die het kind tegen de pop zei, die in tekst te verwerken en vervolgens een aantal vragen te beantwoorden. Zo kon het kind interactief chatten met een dolly, wat erg leuk was. Nu ik deze pop zag, realiseerde ik me dat ze via Bluetooth communiceerde met de mobiele telefoon. Dus wat ik wilde weten was, hoe veilig was die Bluetooth-verbinding? En het probleem was, dat was het niet echt.

Dus als u uw mobiele telefoon op uw voertuig aansluit om te kunnen bellen, voert u een pincode in, toch? Zescijferige pincode. En dat zorgt voor een relatief veilige verbinding. Het probleem met My Friend Cayla is dat wanneer ze verbinding maakt met je telefoon, er helemaal geen pincode is, wat betekent dat iedereen in de buurt kan deelnemen en verbinding kan maken. Dus nogmaals, de hacker in mij denkt, ik vraag me af of ik de dolly van deze onschuldige jongen kan laten vloeken? Dus we realiseerden ons dat we konden knoeien met de mobiele app, en het kind kon alles zeggen wat ze wilden tegen de dolly, en ze zou meteen terug vloeken. Dus ik heb haar hier voor je opgenomen.

Opname: Hé, kalmeer of ik schop de [piep] uit je.

Laurier: Dat is geweldig.

Ken: Maar erger dan dat, omdat er geen codering op de Bluetooth-verbinding was, kon iedereen in de buurt verbinding maken met de microfoon in de pop en naar je kinderen luisteren, of de luidspreker in de pop en met je kind praten. Dus we hebben het over mensen in het huis ernaast, mensen op straat buiten. Zodat mensen via deze pop je kinderen kunnen besluipen of erger nog, ze kunnen je gesprekken in je huis bespioneren omdat je een slimme dolly hebt neergezet en deze aan een van je kinderen hebt gegeven. En ik weet niet hoe het met jou zit, maar er zijn gesprekken waarvan ik niet wil dat mijn buren ernaar luisteren. Rechts? Dus nogmaals, onze privacy werd volledig aangetast door een leuk idee van een interactieve kinderpop.

Goed nieuws hiervoor is dat we het hebben gemeld aan de verkoper die het zonder meer afwees en ons beschuldigde van het uithalen van een grap, maar gelukkig realiseerde de Duitse telecommunicatieregelgever zich dat dit in strijd was met enkele consumentenprivacy- en spionagewetten die waren overgebleven van net na de Tweede [ World] War, en van de ene op de andere dag verboden ze de pop. Het was illegaal om die pop in Duitsland te bezitten. Er komt dus goed nieuws uit

Laurier: En een goed voorbeeld van hoe regelgeving in die specifieke gevallen kan helpen. Om bij het onderwerp consumentenapparaten te blijven en om mee te gaan met een andere zeer populaire trend, namelijk je eigen apparaat meenemen naar het werk, of BYOD, wat er gebeurt als het wifi-koffiezetapparaat op het werk is aangesloten en een nietsvermoedend startpunt kan zijn voor een hacker om daadwerkelijk een aanval op de werkplek te lanceren? Wat zijn enkele andere kwetsbare apparaten die bedrijven misschien niet overwegen?

Ken: Ja, dus BYOD wordt vaak gezien als smartphones en tablets die worden gebruikt om werk te doen. Voor mij zijn het slimme dingen die de werkruimte binnenkomen. Mijn allereerste onderzoek in IoT was op een waterkoker met Wi-Fi-functionaliteit, en we ontdekten dat als je eenmaal verbinding had met je netwerk, ik buiten op straat kon staan, verbinding kon maken met de waterkoker en je wifi-wachtwoord kon stelen van het. Dus ja, ik zou je huis kunnen hacken. En als je hem mee naar kantoor nam om een ​​kopje thee of koffie te zetten, kon je ook je zakelijke wifi-wachtwoord stelen. Dus BYOD baart mij op dit moment grote zorgen. Een tijdje geleden begonnen we te kijken naar slimme koelkasten, dus nogmaals, het is moeilijk om goederen, verbruiksgoederen, witgoed te kopen om in uw kantoren te plaatsen die niet meer slim zijn.

We keken naar een slimme koelkast van Samsung met een geweldig groot scherm op de deur. Het was heel grappig. Dus het had een camera aan de binnenkant en een groot scherm aan de buitenkant. En het idee was dat je kon zien wat er aan de binnenkant was zonder de deur te openen. En ik denk, waarom doe ik niet gewoon de deur open? Zeker. Maar hoe dan ook, wat we ontdekten, dus om slim te zijn, moest het verbinding maken met internet, om je te vertellen over dingen en producten die verlopen of na hun vervaldatum uitkomen, het moest je kunnen e-mailen. En we ontdekten dat je langs iemands koelkast kon rijden en je Gmail-wachtwoord uit een koelkast kon stelen. Wat is dom, toch?

Maar we zien ook Bluetooth-apparaten. We hebben slimme koffiemachines gezien die volkomen kwetsbaar waren. Je kunt dus gekke dingen doen, zoals de koffiemachine stoppen met werken. Maar toen begonnen we apparaten te zien die als meelifter in uw organisatie kunnen worden gebruikt. Dus we begonnen weer terug te gaan naar de schaduwtechnologie, die slim werd gemaakt, zodat faciliteiten mensen, ik weet het niet, de poortlijnen of HVAC kunnen beheren vanaf hun mobiele telefoon, met behulp van een app. En dan ontdekken we dat er kwetsbaarheden in de app zitten, ook de API in het smarts-product, en die kun je gebruiken als achterdeur naar de organisatie. BYOD in de context van slimme apparaten maakt bedrijven dus kwetsbaarder.

Laurier: Ik denk ook aan een aantal zeer glanzende kantoorruimtes met slimme televisies als standaardinstellingen voor conferentiegesprekken en zelfs slimme whiteboards, toch?

Ken: Ja. Herinner je je een tijdje geleden een verhaal over Samsung smart-tv's waarvan werd aangetoond dat ze naar je luisterden? Herinner je je die nog?

Laurier: O ja.

Ken: Ja, dat was ons werk. Een felle vonk had het opgemerkt in de voorwaarden... Wie leest de voorwaarden van je tv, toch? Niemand doet. Maar een heldere vonk had het gelezen en zag daarin een zin die iets zei in de trant van: 'Zeg niets gevoeligs in de buurt van je tv. En nu kreeg dat een beetje dekking. Dat pikten we op, want ik had thuis een Samsung smart tv met spraakbediening. Dus ging ik die avond naar huis, pakte mijn tv, nam hem de volgende dag mee naar mijn kantoor, tot grote verwarring van mijn vrouw, en we sloten hem aan op wat snuffelproducten. We kregen daar wat technologieën en begonnen te luisteren naar het internetverkeer dat de tv verzond. Dus ik vraag me af of er meer aan de hand is. En we ontdekten dat de tv niet alleen naar je luisterde, maar ook wat je zei in platte tekst, niet-versleuteld, via het openbare internet naar derde partijen in het buitenland stuurde. En dat was echt onaangenaam.

Laurier: Ongelooflijk. Je werk is gewoon, infiltreert in elke hoek, en dat is volgens mij het hele punt, toch? Naarmate we slimmer worden en dingen overal en altijd sneller willen doen, moeten we eerst nadenken over beveiliging en hoe we dat in vrijwel elke actie verwerken.

Ken: Ik denk dat het om redenen van efficiëntie, zuinigheid en gewoon slim werken is. Ik denk dat technologie een rol speelt in alles wat we doen en het probleem is dat het wordt gehaast zonder voldoende aandacht voor veiligheid. Dus we maken dingen slim en maken dingen kwetsbaar.

Laurier: Dus kan ik dat in verband brengen met de supersystemische gebreken? Dus als we dat doen en we hebben massale distributie van wat dan ook, of het nu een app of een televisie is, wat gebeurt er dan? Hoe herleid je kwetsbaarheid dan als deze overal aanwezig is?

Ken: We hebben kort gesproken over API-beveiliging, dus elke keer dat je iets slims maakt, sluit je het waarschijnlijk aan op een mobiele app. Dat is waarschijnlijk de bedoeling om het slim te maken, zodat u het gemakkelijk op afstand kunt beheren, zodat u uw spullen thuis, op uw kantoor en uw CCTV overal ter wereld kunt zien. En daarvoor heb je een API nodig.

En dit grote probleem dat we blijven vinden, is dat alle slimme producten, ze hebben API's en ze zijn niet voldoende veilig. Dus het is niet zo dat je misschien één apparaat hackt. Het is één ding om naar één slim apparaat in het huis of kantoor van één persoon te gaan en er een te hacken. Wat me echt stoort is toen we ontdekten dat we op afstand alle apparaten kunnen hacken en ineens begin je te denken aan een slim voertuig en ontdek je een kwetsbaarheid in de API waarmee je elk voertuig in die vloot kunt stoppen die de app gebruikt. Je brengt dus hele wagenparken tot stilstand.

En dat is wat we bedoelen met supersystemisch. Het is van toepassing op hele ecosystemen van apparaten. Vaak terugkomend op één enkele platformaanbieder die misschien diensten heeft geleverd aan heel veel verschillende merken en leveranciers. Eén kwetsbaarheid raakt alles.

Laurier: Hoe vaak per dag vermeldt iemand: Weet je zeker dat we niet in een aflevering leven van? Zwarte spiegel ?

Ken: Nou, vreemd genoeg was een van mijn eerste uitstapjes op tv met de producent van Zwarte spiegel . Ik heb hem vele, vele jaren geleden voorgesteld aan My Friend Cayla. Hij is een heel, heel slimme jongen. Ja.

Laurier : En sindsdien achtervolgt het hem. Ja.

Ken: Ik denk het wel. Dat is het probleem dat we hebben, we haasten ons. We gaan te snel. Begrijp me niet verkeerd. Er zijn een aantal leveranciers die beveiliging zeer serieus nemen en het heel goed doen, en ik beveel ze aan. Het probleem is dat ze de uitzondering op de regel zijn. Ik wou dat elke verkoper net zo toegewijd was, en daarom ben ik bedroefd dat ik denk dat regulering de enige manier is, want tenzij we fabrikanten dwingen om te spelen zoals de goeden, denk ik niet dat er een financiële commerciële stimulans zal zijn voor hen om dat te doen. Er is geen manier van productetikettering. Er is geen manier om erachter te komen welke producten veiliger zijn dan de andere, en daarom denk ik helaas dat regelgeving het antwoord is.

Laurier: Interessant. Dus je zou bijna een fairtrade label zijn voor veiligheid.

Ken: Ja, daar is in verschillende landen nogal wat aan gewerkt. Ik weet dat er in de VS wat werk is geweest en zeker ook in Europa, maar de uitdaging is hoe je een enkel label geeft dat aangeeft hoe veilig een product is of niet? Dat is heel moeilijk om te doen, omdat beveiliging zoveel facetten heeft. Denk aan het gemiddelde slimme apparaat, er zullen wat chips op zitten. Er zal wat firmware in zitten. Het zal wat radiofrequentie-dingen hebben, zoals Wi-Fi of Bluetooth, misschien ZigBee of Z-Wave. Het krijgt een API, het krijgt een mobiele app. Het krijgt een cloudinfrastructuur. Het krijgt een telematicaplatform. Het is zo complex dat het etiketteren echt heel moeilijk maakt.

Laurier: Wat gebeurt er in sterk gereguleerde sectoren? Ik las een stuk over satellieten. Hoe hack je een satelliet of beveilig je een satelliet?

Ken: Het is gelukt, en eigenlijk ben ik erg betrokken bij het luchtvaart- en ruimtevaartdorp Defcon. Vorig jaar hadden we ons eerste uitstapje in de zomer en het jaar daarop hebben we wat belangstelling gekregen van satellietfabrikanten en -exploitanten. En we hopen op Defcon een platform te bouwen voor mensen, onderzoekers, geïnteresseerde partijen om de veiligheid van satellieten te helpen verzekeren, wat ik geweldig vind. Het betrekt de hele gemeenschap om de hele industrie te helpen hun cyberbeveiliging te verbeteren.

Nu is er een voorbeeld van een gereguleerde industrie, ik denk dat ik het als een goed voorbeeld zou willen noemen. Dus in de VS worden slimme apparaten voor de gezondheidszorg, zeker een deel daarvan, gereguleerd en goedgekeurd door de Food and Drug Administration. En dat was een van de allereerste gebieden waar regelgeving werd ingevoerd die echt een verschil maakte. En ik feliciteer die markt met het maken van grote stappen richting cybersecurity. Waarom? Nou, omdat we het hebben over apparaten op leven en dood. We hebben het over apparaten die ons in leven houden. Dus nogmaals, een goede zaak om standaarden in te voeren, ieders spel te verbeteren en te laten zien dat we veilige apparaten kunnen maken die ons veilig houden en in leven houden.

Laurier: Ik heb het gevoel dat we een paar jaar geleden een verhaal hoorden over het hacken van pacemakers. Dit lijkt dus een goede reden voor regulering.

Ken: Ja, het was echt geweldig dat de FDA daar echt optrad. Was het een gebrek aan aandacht voor detail, misschien om veel van de fabrikanten het voordeel van de twijfel te geven, ik denk dat ze waarschijnlijk gewoon niet echt diep genoeg hebben nagedacht over cyberbeveiliging. Je gaat wat componenten zoeken; je gaat wat ontwikkeling zoeken, en maar al te vaak worden aannames gedaan over de vraag of apparaten cyberveilig zijn. En ik denk dat wat de regelgeving heeft gedaan, is dat het mensen heeft aangemoedigd en mensen heeft gedwongen om die moeilijke vragen echt te gaan stellen, om ervoor te zorgen dat de ontwikkelaars die u gebruikt, cyber krijgen en ervoor zorgen dat de chipsets die u gebruikt, redelijke beveiligingsfuncties zoals een omgeving voor het uitvoeren van vertrouwen, veilige opslag, goede bron van entropie, al die nuttige dingen die u niet zult krijgen als u de vragen niet stelt of specificeert in uw inkoop.

Laurier: Dus vertel me een verhaal over een van je favoriete pentest-exploits.

Ken: Oh mijn god. Waar moet ik beginnen?

Laurier: Nou, ik gaf een soort hint aan het begin van de aflevering met het booreiland.

Ken: Ah, dus meer recentelijk zijn we gaan kijken naar maritiem. Dus we hebben gekeken naar de scheepvaart. Het is een gebied dat de afgelopen jaren weinig aandacht heeft gekregen van de cyberindustrie. En de reden daarvoor is dat vooral schepen offline waren. Je had wifi aan de wal en 4g als je aan de wal was, maar zodra dat schip vertrok, ben je effectief offline.

Ja. Je kunt dus een satelliettelefoon krijgen, maar ze zijn duur en je zou breedband-satcoms kunnen gebruiken, maar ze zijn beangstigend duur datagebruik. Dus in alle opzichten was een schip, toen het eenmaal vertrok, offline. En dat veranderde allemaal twee, drie, vier jaar geleden met de komst van VSAT.

Plots werden satcoms betaalbaar en het betekende dat de schepen konden worden gecontroleerd op efficiëntie, brandstofverbruik, routine, al deze belangrijke dingen die iedereen geld besparen. En het betekende ook dat je bemanning - je kon de beste bemanning inhuren omdat ze data-abonnementen wilden, ze wilden toegang tot sociale media en je kon ze die geven. Dus je hebt de beste mensen die op de beste schepen werken, met de beste efficiëntie. Fantastisch.

Maar onderweg dacht niemand aan cyber. Dus schepen werden aangesloten op het internet zonder enige aandacht voor de veiligheid en beveiliging van dat schip. Dus wat we de afgelopen jaren hebben gedaan, is werken aan schepen met vooruitstrevende operators die zeggen: oké, laten we dit eens bekijken.

En een goed voorbeeld was een exploratieboorinstallatie waar we naar keken. Het was een organisatie die in een vroeg stadium goed onderzoek zou doen. Er was een zelfrijdende boorinstallatie en had satelliet VSAT-connectiviteit, en we werden gevraagd om te kijken of we in theorie het vermogen om te boren konden onderbreken. En wat we vonden was een gebrek aan effectieve scheiding tussen de verschillende netwerken. Dus we konden controlenetwerken boren, we kregen toegang tot bedrijfsnetwerken, we kregen toegang tot bemanningsnetwerken, we konden internet zien, we konden alles zien.

En hoewel de organisatie redelijk redelijke stappen had ondernomen om spullen te beveiligen, is wat er gebeurt, is dat de bemanning in bedrijf die scheiding vaak doorbreekt. Waarom? Omdat ik Spotify wil streamen wanneer ik aan de boorkop werk, dus installeren ze een wifi-router zodat ik Spotify op mijn koptelefoon kan krijgen terwijl ik daar op het dek ben. En toen ontdekten we willekeurige dingen zoals toegang op afstand die werd ingeplugd, toegankelijk vanaf het openbare internet. En wat er in wezen gebeurde, is dat we via het openbare internet zonder enige authenticatie ontdekten dat we de controle over de motor en andere kritieke systemen op schepen en platforms over de hele wereld konden overnemen.

Letterlijk motoren uitzetten, motoren aanzetten, stuurinrichting beïnvloeden, mogelijk schepen laten crashen door navigatiesystemen te verstoren als we dat zouden willen. Nu, er is heel weinig criminele activiteit in deze ruimte, maar het begint op te duiken. We beginnen rechtszaken te zien opduiken, en als je dan de rechtbankpapieren analyseert, zie je bewijs van aanvallen.

Er was een paar jaar geleden een aanval op een superjacht genaamd Lady May, dat werd onderzocht door de FBI, en het leek erop dat er met bepaalde controlesystemen op het schip geknoeid was door onbekende personen, mogelijk buitenlandse mogendheden. Dat heeft de pers al gehaald, maar er komen steeds meer anekdotische verhalen en verhalen die de pers in de industrie beginnen te halen over schepen die dingen als ransomware op de navigatiesystemen ervaren of directe en opzettelijke hacks.

Laurier: Angstaanjagend.

Ken: Ja. Het trieste is dat het meeste hiervan leest als het script van hackers , de film, dus ja. hackers Meer dan 20 jaar geleden voorspeld vertelde de toekomst.

Laurier: Komt niet vaak sciencefiction voor. Kijk, Ken, heel erg bedankt dat je bij me bent gekomen voor dit geweldige gesprek op Business Lab. Ik waardeer het echt.

Ken: Dank u. Leuk je gesproken te hebben.

Laurier: Dat was Ken Munro, oprichter en partner bij Pen Test Partners, met wie ik sprak vanuit Cambridge, Massachusetts, de thuisbasis van MIT en MIT Technology Review, met uitzicht op de Charles River. Dank ook aan onze partner, Microsoft Security.

Dat was het voor deze aflevering van Business Lab. Ik ben je gastheer, Laurel Ruma. Ik ben de directeur van Insights, de custom publishing-divisie van MIT Technology Review. We zijn in 1899 opgericht aan het Massachusetts Institute of Technology en je kunt ons vinden in prints op internet en bij tientallen live-evenementen per jaar over de hele wereld. Ga voor meer informatie over ons en de show naar onze website op technologyreview.com.

Deze show is overal beschikbaar waar je je podcasts vandaan haalt. Als je deze aflevering leuk vond, hopen we dat je even de tijd wilt nemen om ons te beoordelen en te beoordelen. Business Lab is een productie van MIT Technology Review. Deze aflevering is geproduceerd door Collective Next. Bedankt voor het luisteren.

Beveiligingsbedreigingen zijn overal. Daarom heeft Microsoft Security meer dan 3.500 cybercriminaliteitsexperts die voortdurend controleren op bedreigingen om uw bedrijf te helpen beschermen. Meer dan microsoft.com/cybersecurity .

zich verstoppen