Les fabricants d'appareils n'ont pas tardé à tirer parti de l'essor de l'Internet des objets (IoT) et des possibilités de ce qui pourrait être réalisé si les appareils dits intelligents pouvaient communiquer entre eux. Cependant, alors qu'ils s'efforçaient de commercialiser rapidement ces appareils, de nombreux fabricants de matériel n'ont pas réussi à les sécuriser correctement en faisant des choses comme ne pas encourager activement les utilisateurs à modifier les informations d'identification par défaut de leur appareil. Selon Security Today, les experts estiment que d'ici 2020, 31 milliards d'appareils IoT seront installés, ce qui pourrait exposer les entreprises et les consommateurs à des risques d'attaques. Chercheur principal en sécurité chez Tripwire, Craig Young a consacré son temps et ses efforts à la protection de ces appareils, et il y a de fortes chances que si vous avez un appareil IoT, Craig l'ait examiné. TechRadar Pro s'est entretenu avec Craig de ce qui l'a amené à devenir chercheur en sécurité et a également fourni plus de détails sur ses découvertes récentes d'un verrou intelligent vulnérable, ainsi que sur une vulnérabilité de confidentialité de localisation en deux. des produits grand public les plus populaires de Google.
Pouvez-vous nous en dire un peu plus sur votre travail avec l'équipe de recherche sur l'exposition et la vulnérabilité (GREEN) de Tripwire?
Mon travail en tant qu'enquêteur senior en sécurité VERT est incroyablement polyvalent et je porte souvent plusieurs casquettes tout au long de la semaine ou même de la journée. Mon travail consiste à rester au fait des tendances de sécurité de bas niveau et à pouvoir passer d'une technologie ou d'une fonctionnalité à une autre à tout moment. En plus d'écrire de nombreux tests de vulnérabilité à distance pour IP360, je suis régulièrement impliqué dans l'orientation de la politique de sécurité interne, ainsi que sur les aspects de la conception sécurisée des produits Tripwire. Je passe aussi beaucoup de temps à lire et à expérimenter. Cela a conduit à mes propres projets de recherche, dont certains ont fini par faire l'objet de présentations ou même de cours lors de conférences de sécurité renommées telles que Black Hat, DEF CON et SECtor.Qu'est-ce qui vous a amené à passer d'ingénieur à chercheur en sécurité?
Qu'il s'agisse d'explorer les COCOT (téléphones payants) au centre commercial en tant qu'adolescent ou de montrer à l'administrateur du lycée avec quelle facilité il pouvait accéder au système de notation, j'ai toujours été attiré par les aspects de sécurité de la technologie, et j'ai eu la chance de l'être. capable d'en faire son métier.Quelles sont les plus grandes menaces à la sécurité des appareils IoT aujourd'hui et comment les fabricants d'appareils peuvent-ils sécuriser davantage leurs produits connectés?
Il existe de nombreux risques associés à l'IoT en fonction de l'application, mais de manière générale, le plus grand risque de mon point de vue est la déstabilisation potentielle d'Internet suite à la compromission d'un grand fournisseur d'IoT. Un attaquant accédant à l'infrastructure cloud d'un appareil IoT populaire pourrait potentiellement envoyer des logiciels malveillants aux foyers et aux bureaux du monde entier. Les dégâts d'une attaque aussi sophistiquée pourraient éclipser ceux de Mirai ou même de WannaCry ou NotPetya.Il a récemment découvert une vulnérabilité dans une marque populaire de serrures intelligentes. Pouvez-vous nous en dire plus sur ce que vous avez découvert et sur ce qui vous a incité à enquêter sur la sécurité des serrures intelligentes ?
Sur cette serrure intelligente particulière, j'ai constaté que le vendeur avait laissé la porte ouverte aux attaquants. Plus précisément, l'agent de file d'attente de messages utilisé ne nécessitait ni nom d'utilisateur ni mot de passe et permettait à n'importe qui dans le monde d'échanger des messages avec n'importe quel cadenas connecté au cloud. du fournisseur. En me connectant anonymement au cloud du fournisseur, puis en déverrouillant mon verrou de test, j'ai pu observer un jeton cryptographique pour déverrouiller la porte. Vous pourriez alors jouer ce message pour ouvrir la porte. Vous pouvez également envoyer d'autres messages qui empêchent quelqu'un d'ouvrir la porte avec le clavier ou le lecteur d'empreintes digitales, ou garder votre application fermée indéfiniment. Cependant, la façon dont j'ai trouvé cette vulnérabilité était un peu inhabituelle. Plutôt que de commencer avec un produit spécifique et de rechercher des vulnérabilités, j'ai commencé par examiner le protocole MQTT couramment utilisé dans l'IoT et à rechercher des expositions de données. J'ai trouvé ce fournisseur de blocage en recherchant des données indexées par le moteur de recherche Internet Shodan pour les adresses e-mail et les termes pertinents pour l'IoT. Le serveur a attiré mon attention car Shodan avait bloqué plusieurs centaines d'adresses e-mail envoyées à Shodan en tant que noms de sujets MQTT.Comment un pirate peut-il exploiter un haut-parleur intelligent pour obtenir des informations sur son propriétaire? Pensez-vous que ces appareils constituent une menace sérieuse pour la vie privée des utilisateurs?
Un exemple est présenté dans mes recherches précédentes. Dans ce scénario, l'attaquant pourrait obtenir un emplacement géographique précis du haut-parleur intelligent après que toute personne connectée à ce réseau télécharge du contenu malveillant sur un navigateur Web via un lien direct ou une publicité intégrée. Google a résolu ce problème en ajoutant des protections pour empêcher les attaques de liaison DNS. Les autres attaques que je connais ont tendance à se répartir en deux catégories principales : les applications malveillantes et l'envoi de commandes vocales non autorisées. Dans la première catégorie, divers groupes de recherche ont examiné différentes façons dont un développeur malveillant peut écouter les conversations qui se déroulent autour du haut-parleur intelligent. La deuxième catégorie implique souvent des techniques physiques appliquées qui permettent d'interagir avec l'orateur depuis l'extérieur de la maison. La technique la plus efficace à cet égard semble être l'utilisation de lasers pour induire le son directement dans le microphone de l'appareil. Personnellement, je ne suis pas trop préoccupé par les pirates exploitant des haut-parleurs intelligents. Il est important de savoir quel contenu tiers vous activez et quel accès vous donnez au haut-parleur intelligent, mais finalement, avec la génération actuelle d'appareils, je ne suis pas trop préoccupé par le piratage. malveillant individualisé. Je suis beaucoup plus préoccupé par la probabilité que les vendeurs eux-mêmes exploitent leur accès à nos maisons en vendant les informations qu'ils obtiennent sur nous à des annonceurs ou même à des forces de l'ordre.De toutes les vulnérabilités que vous avez découvertes, laquelle était la plus intéressante et pourquoi?
D'un point de vue technique, mes recherches sur les vulnérabilités cryptographiques ont été très intéressantes. En 2018, j'ai eu l'opportunité de co-écrire The Return of Bleichenbacher's Oracle Threat (ROBOT) avec Hanno Böck et le Dr Juraj Somorovsky. En plus des problèmes profondément intrigants que nous avons découverts, cette enquête nous a obligés à identifier et à coordonner une longue liste de fournisseurs concernés pour une divulgation à une échelle avec laquelle nous n'avions pas été impliqués auparavant. Cela m'a également conduit à un Pwnie Award à Black Hat cette année-là et m'a donné l'étincelle pour explorer d'autres problèmes de cryptographie comme GOLDENDOODLE et Zombie POODLE que j'ai révélés en 2019.Quels conseils donneriez-vous à une entreprise qui envisage d'adopter l'IoT ou d'autres appareils connectés?
Comme pour toute adoption de technologie, les entreprises doivent peser les avantages potentiels par rapport aux risques potentiels. Les organisations doivent également considérer ces investissements dans le contexte plus large de leurs capacités commerciales et opérationnelles. Les décideurs doivent tenir compte des différents scénarios hypothétiques pour bien comprendre dans quoi ils s'embarquent avec l'IoT. Voici quelques questions à poser :- Que se passe-t-il si X devient indisponible?