211service.com
Protegendo a Internet das Coisas e seu local de trabalho
Mais dispositivos estão em risco de ataque. O especialista em segurança cibernética Ken Munro discute as vulnerabilidades a serem observadas e como se manter seguro.
26 de fevereiro de 2020
Produzido em parceria com Segurança da Microsoft
Neste episódio, analisamos a necessidade de proteger a Internet das Coisas, os espaços de trabalho físicos e os produtos que as empresas fabricam. De aviões a brinquedos infantis e plataformas de petróleo, mais dispositivos conectados estão vulneráveis a ataques do que nunca. Ken Munro é pesquisador de segurança da Internet das coisas, testador de penetração e escritor com duas décadas de experiência no setor de segurança. Ele também é o fundador da empresa de serviços de segurança Pen Test Partners.
Munro ajuda a expor as vulnerabilidades em itens que usamos todos os dias e discute algumas das habilidades mais importantes que os especialistas em segurança cibernética podem ter, por que as empresas correm o risco de violações de segurança física e algo que ele chama de falhas supersistêmicas.
O Business Lab é hospedado por Laurel Ruma, diretora da Insights, a divisão de publicação personalizada do MIT Technology Review. O show é uma produção do MIT Technology Review, com a ajuda de produção do Collective Next. A música é de Merlean, da Epidemic Sound.
Mostrar notas e links
Ken Munro , no Twitter
Ken Munro , Parceiros de teste de caneta
Relógios Kids Tracker: CloudPets, explorando atletas e sequestrando reality shows, Blog de segurança de parceiros de teste de caneta
Acha que teve uma violação? 5 coisas para fazer, Blog de segurança de parceiros de teste de caneta
Segurança da Internet das Coisas, uma apresentação TEDx por Ken Munro
Transcrição completa
Laurel Ruma: Do MIT Technology Review, sou Laurel Ruma, e este é o Business Lab, o programa que ajuda os líderes empresariais a entender as novas tecnologias que saem do laboratório e chegam ao mercado.
As ameaças à segurança estão por toda parte. É por isso que a Microsoft Security tem mais de 3.500 especialistas em crimes cibernéticos monitorando constantemente as ameaças para ajudar a proteger seus negócios mais em microsoft.com/cybersecurity .
Nosso tópico hoje é segurança cibernética, mas mais especificamente a importância de proteger a Internet das Coisas, seu local de trabalho físico e seus produtos. Ah, e hackear aviões, barcos e automóveis. Três palavras para você: plataforma de petróleo controlada remotamente. Meu convidado é Ken Munro, que é um especialista em pesquisa de segurança da Internet das coisas, testador de penetração e escritor com duas décadas de experiência no setor de segurança. Ele é o fundador e sócio da Pen Test Partners e você também já deve ter visto algumas de suas façanhas com carros sem chave, brinquedos infantis, aviões, e falaremos mais sobre o que o mantém acordado à noite: falhas supersistêmicas. Ken, obrigado por se juntar a mim no Business Lab.
Ken Munro: Obrigado.
Louro: Em primeiro lugar, você pode me dizer como se interessou por segurança, mas especificamente no contexto de dispositivos e da internet das coisas?
Ken: Eu adoraria dizer que tive uma juventude desperdiçada, mas é muito mais chato. Passei um tempo depois de estudar em uma universidade olhando restaurantes. E eu lembro que peguei um emprego em que era gerente de um restaurante e, em uma tarde entediante, quando estava quieto, comecei a brincar com o sistema de ponto de venda, muito, muito antigo. Depois de um pouco de confusão, você pode lançá-lo no DOS, a versão inicial do DOS. Descobri então que podia imprimir meus extratos de amortização de hipoteca, para que pudesse receber meus pagamentos, o que era uma coisa estranha de imprimir em um cheque de restaurante. Mas um dos meus chefes apareceu depois e disse: 'Acho que talvez você esteja na carreira errada'. O que foi uma boa maneira de me demitir, suponho, mas isso me levou ao antivírus, depois aos firewalls e à segurança cibernética em geral.
Louro: Então, além da curiosidade, quais são algumas das habilidades que os especialistas em segurança cibernética devem ter e, é claro, suas excelentes habilidades técnicas?
Ken: Curiosidade, na verdade é uma palavra muito boa, porque quando olho para o que fazemos como testadores de penetração, hackers éticos, se preferir. É tentar pensar da maneira que as pessoas que desenvolveram o sistema não pensaram. É tentar pensar em todos os possíveis erros que foram cometidos, coisas que foram negligenciadas, e apenas cutucá-los, coçar essas coceiras para ver se você pode encontrar um erro cometido.
Você mencionou o que chamamos de falhas supersistêmicas – essa é uma falha muito comum que estamos encontrando em APIs [interfaces de programação de aplicativos]. Portanto, a API que você encontra em um aplicativo móvel para talvez um dispositivo inteligente, e muitas vezes descobrimos que os desenvolvedores, enquanto autenticam seus usuários corretamente, muitas vezes esquecem de autorizá-los corretamente. E com isso quero dizer que você faz login, cria sua conta, faz login - diz que é você. Mas o desenvolvedor em algum lugar ao longo da linha esqueceu de verificar se todas as solicitações vinham de você, o que significa que você pode potencialmente entrar nas contas de outras pessoas, executar ações em nome delas e quebrar a segregação.
Louro: Se eu estou nessa situação, e eu sou você, um pen tester em uma empresa e eu tenho que ir dizer a alguém, acho que temos um erro aqui, como essa conversa se desenrola? Para quem você ainda diz alguma coisa?
Ken: Vamos falar sobre pesquisa independente. Fazemos muito trabalho por nossa conta, comprando produtos e analisando-os, procurando ver se encontramos vulnerabilidades. Em parte, é para uma boa prática, bom exercício, mas também é útil porque melhora o estado de segurança. Portanto, se encontrarmos uma vulnerabilidade, a primeira coisa que queremos fazer é informar o fabricante sobre isso. Queremos contar a eles em particular, confidencialmente, para que eles possam consertar.
Mas muitas vezes o problema é que o primeiro contato que você faz chega às pessoas erradas ou chega a uma organização que simplesmente não está acostumada a lidar com vulnerabilidades – é a primeira vez para eles. Então, como eles lidam com alguém completamente frio chegando e dizendo: 'Ei, encontramos uma vulnerabilidade em suas coisas.' A maioria das pessoas toma isso como uma crítica percebida, o que não é a intenção. Mas se alguém disser, Você tem um bug no seu produto, a primeira coisa que você faz é levantar as mãos, Ei, ei, espere, espere. Não não não não. Precisamos defender nossa marca. E esse geralmente é o primeiro problema, as pessoas não aceitam bem as críticas construtivas, o que torna a vida muito difícil para um pesquisador de vulnerabilidades.
Louro: Mas você também tem que ter esse tipo de tato especial, certo? A maneira como você comunica problemas a essas diferentes empresas com produtos ou milhões e bilhões de dólares investidos em…
Ken: Sim. Eu penso nisso como um jogo de xadrez, na verdade. Porque eu sei que se formos agressivos demais, eles provavelmente se levantarão e, em vez de corrigir a vulnerabilidade, provavelmente farão algo que não queremos ver. Eles ficam agressivos, começam a tentar nos calar ou, ocasionalmente, recebemos ameaças legais que não têm fundamento, mas são irritantes e caras de defender.
Portanto, trata-se de ser ouvido pelas pessoas certas na organização que entendem de segurança, que entendem o impacto potencial em sua marca se alguma outra pessoa não ética a encontrar. Obtendo-os, bajulando-os, trabalhando com eles, dando-lhes as ferramentas de que precisam para que possam corrigi-lo rapidamente. E então a vulnerabilidade é corrigida e todos ficam melhor.
Louro: Quando você está em uma situação, você realmente precisa ter uma contraparte na organização, e estamos vendo que não necessariamente toda organização tem alguém como um CISO, ou haverá alguém nomeado responsável pela segurança. Como você caminha cuidadosamente nessas águas – que tipo de habilidades e técnicas de comunicação você usa para transmitir seus pontos?
Ken: Como você mesmo encontrá-los? Isso pode ser um problema real. Talvez, em primeiro lugar, você comece com um formulário de contato e provavelmente vá para alguém que não entende de segurança cibernética. Vai acabar no lugar errado. Tivemos alguns problemas há muitos e muitos anos com o Fitbit no passado, e começamos no formulário de contato e ele acabou indo para o éter. Nada aconteceu. Tentamos telefonar para o suporte, mas era o suporte ao cliente e não foi resolvido.
E tudo estava dando um pouco errado. E então, por algum acaso completo, um amigo de um amigo começou como especialista em segurança interna, e é um desastre prestes a acontecer. E proativamente pegou o telefone e fez contato, disse: 'Ei Ken, acho que conhecemos alguém, conhecemos o mesmo cara. Ouvi dizer que você estava tentando denunciar uma vulnerabilidade. E do que poderia ter sido uma situação muito difícil em que há uma vulnerabilidade, ela não está sendo corrigida, o fornecedor não está ouvindo. Na verdade, foi muito rapidamente encurtado e o produto foi consertado muito rapidamente. O firmware é atualizado em pouco mais de uma semana e foi uma verdadeira história de sucesso para todos.
Louro: Isso é excelente. Acho que é disso que queremos ouvir mais. Direito?
Ken: Sim. Eu só queria que isso acontecesse todas as vezes.
Louro: Bem, isso é provavelmente o que torna seu trabalho tão interessante também. Como você está pensando sobre a atual escassez de profissionais de segurança? Em toda a indústria, quais são algumas coisas que você procura ou gostaria de poder acenar uma varinha mágica e consertar? Como você corrige o pipeline profissional de segurança?
Ken: Puxa, essa é uma pergunta profunda. É sabido que há uma falta de habilidade. Eu acho que um dos verdadeiros desafios certamente no espaço de pen-testing, onde as pessoas estão hackeando eticamente, é que muitas vezes é ignorado o quão importante é poder se comunicar. Quero dizer, habilidades tecnológicas incríveis são essenciais, mas na verdade são essas habilidades de comunicação que muitas vezes são esquecidas, porque se os resultados de suas descobertas não forem comunicados da maneira certa, para o público certo, a pessoa certa, então, na verdade, as coisas não são consertadas.
Embora tenhamos um programa de academia - nós pegamos pessoas, nós as treinamos, elas têm habilidades brutas, nós as transformamos em pen testers de pleno direito. O que eu realmente estou procurando é essa capacidade de comunicação. Se você não consegue comunicar as coisas incríveis que encontrou, eu diria que você não se deu ao trabalho de encontrá-las.
Louro: Basta entrar naquele velho ditado, bem, meu velho ditado – a tecnologia é fácil, as pessoas são difíceis.
Ken: Totalmente.
Louro: Esse é o tipo de habilidade que, ao que parece, a maioria das empresas está percebendo agora que você pode ensinar tecnologia, certo? Você pode ensinar codificação. Você pode ensinar essas habilidades. Algumas pessoas obviamente têm uma habilidade inata para fazê-los, mas a comunicação é o que é fundamental, para realmente elevar toda a sua organização a esse nível e, na verdade, é um diferencial competitivo.
Ken: Sim, é uma verdadeira surpresa, na verdade. Eu realmente encorajo as pessoas a pensar sobre com quem estão falando. Então você está fazendo algo legal e inteligente e muito inteligente e técnico, mas realmente pensando no público, na pessoa que recebe isso, pense em como eles vão receber isso e a maneira que vai resolver esse problema mais rápido.
Louro: Sim, é tudo sobre os usuários, certo? Ou seus clientes e, em certo sentido, eles são seus clientes porque você está tentando desenvolver esse relacionamento de uma forma ou de outra com um completo estranho e dando-lhes algumas notícias particularmente ruins.
Você acha que porque a segurança está se tornando mais importante dentro da organização, não é mais uma função de back-office que as pessoas estão olhando para isso talvez como uma profissão mais interessante, porque é meio que aberta, as pessoas estão falando sobre isso . Não está mais escondido atrás de algum tipo de cortina preta.
Ken: Sim, foi ótimo ver o perfil que foi trazido para a indústria cibernética, no entanto. Começam a aparecer mais cursos de nível universitário, o que é fantástico, o que está melhorando a oferta de indivíduos. Mas acho que muitas organizações, principalmente aquelas que sofreram violações de alto perfil, aprenderam talvez da maneira mais difícil que a única maneira de realmente lidar com o ciberespaço é inseri-lo nos negócios. Se você colocá-lo como uma subsidiária do departamento de TI, isso será apenas uma reflexão tardia. Considerando que se você colocar isso no negócio e tornar alguém realmente responsável, que realmente entenda como avaliar riscos e comunicar riscos, se eles estiverem no nível exato, eles estão no conselho, então eu acho que você verá uma mudança de mentalidade dentro da organização.
Eu dou um pouco de ensino no nível do conselho, e tem sido ótimo ver como se você pode fazer o CEO começar a pensar sobre sua segurança pessoal, sobre sua segurança pessoal, sobre a segurança de sua família. Eles começam a pensar em senhas, começam a pensar em atualizar sistemas, começam a pensar em ensinar as pessoas e, de repente, você vê essa mudança de mentalidade se infiltrar desde o topo da empresa até as pessoas. Então, em vez de tentar forçar a segurança em uma organização, ela na verdade congela de cima para baixo e permeia tudo o que a empresa faz.
Louro: Definitivamente, mais uma abordagem de segurança em primeiro lugar. E quando como parte de tudo, você não pensa tanto nisso como uma intrusão em seu trabalho diário.
Gostaria de enquadrar nossa discussão de uma maneira que fale sobre como uma violação de segurança cibernética pode acontecer em qualquer lugar, obviamente com funcionários, produtos e até mesmo o prédio de escritórios físico em que sua empresa está. Você pode falar sobre por que a segurança física é fundamental para as empresas pensarem?
Ken: Oh meu Deus. À medida que você começa a melhorar sua segurança cibernética, você começa a melhorar suas defesas, e começa a descobrir que é cada vez mais difícil penetrar em sua organização a partir da Internet. E espero que, mesmo que alguém penetre remotamente, você tenha algumas ferramentas que alertam você e uma equipe de pessoas para realmente sinalizar isso. Torna-se cada vez mais difícil penetrar no perímetro da organização. E é aí que os tipos físicos de ataque de maior risco começam a ficar interessantes. Quando começamos a falar sobre engenharia social, quando nosso trabalho é blefar para entrar em uma organização, plantar um backdoor fisicamente dentro da organização ou roubar dados fisicamente. As coisas dos filmes, certo?
Mas muitas vezes você descobre que esses dois campos estão intimamente ligados. Gosto de procurar a sombra da TI em uma organização. Eu gosto de olhar para o sistema de gestão de edifícios. O HVAC, a coisa que controla seus elevadores, que os controla subindo e descendo. A tecnologia que controla as luzes do seu portão. A tecnologia que controla suas fechaduras eletrônicas, seus controles de acesso. Por quê? Porque esses sistemas geralmente ficam fora do seu departamento de TI convencional. Talvez as pessoas nas instalações tenham colocado isso. Talvez o subcontratado para um terceiro que tem acesso remoto, o que foi mal feito. Soa exagerado? Bem, houve muitas grandes violações que aconteceram exatamente por esse caminho.
Então, se somos engenheiros sociais e eu encontro seus controladores de gerenciamento de edifícios na internet pública, não é difícil de fazer. Caminhe até o escritório, abra as fechaduras eletronicamente, remotamente e as portas se abram. Em que você vá.
Louro: Você está descobrindo que sua empresa é uma mistura equilibrada dessas vulnerabilidades de violação de dados, bem como as físicas, ou as pessoas estão focadas e pensando nos dados primeiro e depois no físico depois?
Ken: Eu gosto de pensar nisso como uma mistura de ambos. Acho que algumas das organizações mais visionárias e com visão de futuro percebem que é uma combinação. Você tem que abordar ambos. Sim, você pode equipar a organização, pode atacá-la remotamente e pode garantir que ela esteja bem configurada para detectar e responder a violações cibernéticas, mas, ao mesmo tempo, você também precisa cobrir o lado físico .
Minha experiência tem sido, quando você trabalha com o lado físico do negócio, você começa a ajudar a organização a construir pontes entre seu departamento de TI e sua equipe de instalações. E uma vez que eles estão conversando, uma vez que a equipe de segurança fiscal está conversando com a equipe de segurança cibernética, você obtém algumas coisas realmente interessantes disso. Você faz com que as equipes comecem a trabalhar cooperativamente, não vendo como um está em uma caixa e outros, bem, outro está em algum lugar completamente diferente.
Louro: Então, quais são alguns dos princípios básicos que as empresas podem observar quando pensam em vulnerabilidades e talvez apenas fazendo as coisas antes de trazer alguém como você para ajudá-las?
Ken: Ah, direto. Número um, então o que vamos jantar fora? Nós comemos senhas não complexas o suficiente, reutilizadas, padrão ou em branco. Você conserta isso e vai tornar nossa vida muito mais difícil. Próximo grande, remendar. Eu sei que é tão chato, mas na verdade faltam patches, vulnerabilidades expostas, patches estão lá para corrigir vulnerabilidades. Você conserta remendos, torna minha vida difícil. E a última coisa que eu olho para olhar são as pessoas. Assim, você pode culpar as pessoas por clicar em links em e-mails e responder a phishes, ou pode ensiná-las e treiná-las. Eles podem ser seu pior inimigo da segurança ou podem ser outro par de olhos olhando, detectando, relatando, sentindo-se educados e capacitados. Portanto, meu conselho antes de chegar perto de obter terceiros, resolva as senhas, resolva seus patches e ensine as pessoas sobre cibernética.
Louro: Higiene básica de segurança. Como as empresas trabalham com parceiros para garantir que os componentes de seus produtos sejam seguros? Então, essa cadeia de suprimentos de terceiros – pode ser qualquer produto, mas estou pensando basicamente em um carro construído em Detroit e que tem uma unidade de GPS de um fornecedor diferente e um centro de entretenimento de um terceiro. E essa é literalmente uma descrição muito básica dos fornecedores terceirizados em um carro, mas acho que é nisso que pensamos quando pensamos em hackabilidade. Então, quando olhamos para todo o ecossistema de fornecedores terceirizados, por onde você começaria se fosse um fornecedor de carros ou qualquer empresa?
Ken: Portanto, é ótimo colocar sua própria casa em ordem e organizar sua própria segurança. Mas com tanta frequência que o invasor se move para a parte mais vulnerável, e essa provavelmente será sua cadeia de suprimentos. Porque é a sua organização, são os seus dados, são os seus clientes. Você leva essas informações e a segurança cibernética muito a sério. Mas assim que você começa a entrar na cadeia de suprimentos, não são mais os dados deles. Então, a primeira coisa a fazer é começar a fazer perguntas.
Apenas começando a fazer perguntas, você começará rapidamente a apreciar a maturidade de seus fornecedores em termos de segurança cibernética. Costumo ver organizações que são solicitadas a auditar e dizer: 'Bem, não poderíamos compartilhar essas informações com você por motivos cibernéticos', e você percebe que isso é apenas uma cortina de fumaça. Seu fornecedor deve ficar muito feliz em compartilhar seus processos de segurança com você, pois apenas ter um processo cibernético não significa expor vulnerabilidades. Mostrar que eles são uma organização madura que leva a segurança cibernética e a segurança dos dados que estão processando para você deve ser um processo aberto. Faça perguntas, audite seus fornecedores, converse com eles sobre segurança. E mais do que tudo, um conselho que você pode tirar desta pequena entrevista, coloque a segurança cibernética em seus termos contratuais de aquisição. O que significa que A, eles estão pensando seriamente sobre cibernética antes de assinarem seu contrato, e B, se der errado, você tem o direito de recorrer. Realmente, muito importante. Incorpore o cyber em suas compras.
Louro: Você diria que as empresas realmente examinam seus fornecedores terceirizados com frequência? Essa é uma nova maneira de pensar que as empresas precisam ter realmente, como você disse, integrada em todas as partes da maneira como trabalham com fornecedores externos?
Ken: Às vezes. Então eu tenho feito alguns trabalhos de divulgação e ensino na profissão jurídica sobre exatamente esse conceito. Eu tenho feito isso há alguns anos, e este ano acabou, eu disse, olha, alguém realmente incorporou cibernética em seus contratos? E uma mão subiu na platéia, e eu senti um pequeno brilho. Eles disseram: 'Sim, seguimos seu conselho. Incorporamos os 10 principais projetos de segurança de aplicativos da Web abertos em nossos contratos de desenvolvimento de terceiros.' Então, eles se inscrevem contratualmente para fornecer código que não seja vulnerável ao top 10 do OWASP [Open Web Application Security Project], e achei que foi uma grande vitória. Um pequeno passo. Então, por favor, todo mundo, faça isso. Incorpore termos simples de segurança cibernética em contratos, e isso torna a vida muito mais fácil se houver um problema.
***
Louro: A segurança cibernética não é apenas parar as ameaças que você vê. É sobre parar aqueles que você não pode ver. É por isso que a segurança da Microsoft emprega mais de 3.500 especialistas em crimes cibernéticos e usa IA para ajudar a antecipar, identificar e eliminar ameaças para que você possa se concentrar no crescimento de seus negócios e a segurança da Microsoft possa se concentrar em protegê-los. Saiba mais em microsoft.com/cybersecurity .
***
Louro: Então, voltando atrás e olhando à distância, como os regulamentos e padrões de segurança podem realmente ajudar as empresas? Muitas vezes eles provavelmente sentem que estão sozinhos, mas existem agências ou departamentos como o NIST [Instituto Nacional de Padrões e Tecnologia] que podem ajudar.
Ken: Sim, existem. Então, surpreendentemente, falta regulamentação no ciberespaço. É algo pelo qual venho fazendo lobby e fazendo campanha há vários anos, principalmente no espaço da IoT do consumidor [internet das coisas]. É uma espécie de oeste selvagem. Continuamos encontrando vulnerabilidades muito sérias dia após dia em produtos de IoT de consumo. E meus sentimentos, embora eu não seja um grande defensor da regulamentação porque prefiro a dinâmica do livre mercado, no espaço de IoT do consumidor acho que havia um argumento muito forte para a regulamentação. Fiquei muito satisfeito ao ver na Califórnia, o projeto de lei 327 do Senado foi promulgado, entrou em vigor em primeiro de janeiro deste ano. E o que me deixou super feliz foi que o apresentador das contas citou alguns de nossos trabalhos em uma boneca Bluetooth infantil vulnerável chamada My Friend Cayla como a inspiração e o catalisador por trás desse regulamento. E mesmo que o regulamento seja bastante básico, acho que é um passo muito bom na direção certa. E é triste, mas particularmente na IoT do consumidor, acho que precisamos de regulamentação.
Também tivemos alguns sucessos no Reino Unido. Acabamos de terminar a consulta e o governo se comprometeu a introduzir alguns regulamentos básicos para proteger os consumidores de fabricantes de produtos inteligentes que não jogam com segurança com nossos dados e nossa privacidade.
Louro: Você pode falar um pouco sobre My Friend Cayla? Esse foi um experimento interessante.
Ken: Então My Friend Cayla é uma boneca infantil falante interativa que eu encontrei pela primeira vez cerca de cinco anos atrás. Agora, ela usou um aplicativo móvel para ouvir as palavras que a criança dizia para a boneca, processá-las em texto e depois responder a várias perguntas. Assim, a criança poderia ter um bate-papo interativo com um dolly, o que foi muito divertido. Agora que vi essa boneca, percebi que ela se comunicava por Bluetooth com o celular. Então, o que eu queria saber era, quão segura era essa conexão Bluetooth? E o problema era que não era realmente.
Então, quando você conecta seu celular ao seu veículo para fazer ligações, você coloca um PIN, certo? PIN de seis dígitos. E isso cria uma conexão relativamente segura. O problema com My Friend Cayla é que quando ela se conecta ao seu telefone, não há nenhum PIN, o que significa que qualquer pessoa próxima pode entrar e se conectar. Então, novamente, o hacker em mim está pensando, será que posso fazer a boneca desse garoto inocente xingar? Então percebemos que poderíamos adulterar o aplicativo móvel, e a criança poderia dizer o que quisesse para a boneca, e ela juraria de volta. Então eu gravei ela para você aqui mesmo.
Gravação: Ei, acalme-se ou eu vou chutar o [bipe] de você.
Louro: Isso é incrível.
Ken: Mas pior do que isso, porque não havia criptografia na conexão Bluetooth, qualquer pessoa próxima poderia se conectar ao microfone da boneca e ouvir seus filhos, ou ao alto-falante da boneca e falar com seu filho. Então estamos falando de pessoas na casa ao lado, pessoas na rua do lado de fora. Para que as pessoas pudessem rastejar em seus filhos através dessa boneca ou pior, poderiam espionar suas conversas em sua casa porque você colocou uma boneca inteligente e deu para um de seus filhos. E eu não sei você, mas há conversas que eu não gostaria que meus vizinhos ouvissem. Direito? Então, novamente, nossa privacidade foi totalmente invadida por uma boa ideia de uma boneca interativa infantil.
Agora, uma boa notícia para isso é que, bem, informamos ao fornecedor que o rejeitou imediatamente e nos acusou de encenar uma brincadeira, mas felizmente o regulador de telecomunicações alemão percebeu que isso violava algumas leis de privacidade e espionagem do consumidor que sobraram logo após o Segundo [ Mundial] e da noite para o dia baniram a boneca. Era ilegal possuir aquela boneca na Alemanha. Portanto, há boas notícias para sair disso
Louro: E um bom exemplo de como a regulamentação pode ajudar nesses casos específicos. Para ficar no tema dos dispositivos de consumo e juntá-lo a outra tendência muito popular, que é trazer seu próprio dispositivo para o trabalho, ou BYOD, o que acontece quando a máquina de café Wi-Fi no trabalho está conectada e pode ser um ponto de partida desavisado para um hacker realmente lançar um ataque no local de trabalho? Quais são alguns outros dispositivos vulneráveis que as empresas podem não pensar em considerar?
Ken: Sim, então BYOD é muitas vezes pensado como smartphones e tablets sendo usados para fazer o trabalho. Para mim, são coisas inteligentes entrando no espaço de trabalho. Minha primeira pesquisa em IoT foi em uma chaleira habilitada para Wi-Fi, e descobrimos que, uma vez que você se conectasse à sua rede, eu poderia ficar na rua do lado de fora, conectar-me à chaleira e roubar sua senha Wi-Fi de isto. Então, sim, eu poderia invadir sua casa. E se você o levasse ao escritório para fazer uma xícara de chá ou café, também poderia roubar sua senha de Wi-Fi comercial. Então BYOD é uma preocupação real para mim agora. Começamos a olhar para geladeiras inteligentes há pouco tempo, então, novamente, é difícil comprar bens, bens de consumo, linha branca, para colocar em seus escritórios que não são mais inteligentes.
Vimos uma geladeira inteligente Samsung com uma grande tela na porta. Foi realmente divertido. Então tinha uma câmera por dentro e uma tela grande por fora. E a ideia era que você pudesse ver o que está por dentro sem abrir a porta. E eu estou pensando, por que eu simplesmente não abro a porta? Certamente. Mas de qualquer forma, o que descobrimos, então para ser inteligente, precisava se conectar à internet, para informar sobre coisas e produtos expirando, saindo fora do prazo, precisava ser capaz de enviar um e-mail para você. E descobrimos que você pode passar pela geladeira de alguém e roubar sua senha do Gmail de uma geladeira. O que é bobo, certo?
Mas também estamos vendo dispositivos Bluetooth. Vimos máquinas de café inteligentes que eram completamente vulneráveis. Então você pode fazer algumas coisas loucas, como parar a máquina de café. Mas então começamos a ver dispositivos que podem ser usados como uma pegada na sua organização. Então começamos a ver, de novo, a tecnologia de sombra, tornando-se inteligente, para que as pessoas possam administrar, não sei, as linhas de portão ou HVAC de seus telefones celulares, usando um aplicativo. E então descobrimos que há vulnerabilidades no aplicativo, a API no produto inteligente também, e você pode usar isso como um backdoor na organização. Portanto, o BYOD no contexto de dispositivos inteligentes está tornando as empresas mais vulneráveis.
Louro: Também estou pensando em alguns espaços de escritório muito brilhantes com televisores inteligentes como padrões de teleconferência e até mesmo quadros brancos inteligentes, certo?
Ken: Sim. Você se lembra de uma história há pouco tempo sobre TVs inteligentes da Samsung que estavam ouvindo você? Você se lembra daquele?
Louro: Oh sim.
Ken: Sim, bem, esse foi o nosso trabalho. Alguma faísca brilhante havia notado nos termos de condições ... Quem lê os termos e condições da sua TV, certo? Ninguém faz. Mas alguma faísca brilhante o leu e viu uma frase que dizia algo como: 'Não diga nada sensível em torno de sua TV. E agora isso tem um pouco de cobertura. Nós descobrimos isso, porque eu tinha uma smart TV Samsung com controle de voz em casa. Então fui para casa naquela noite, peguei minha TV, levei para meu escritório no dia seguinte grande parte da confusão de minha esposa, e a conectamos a alguns produtos cheirando. Colocamos algumas tecnologias lá e começamos a ouvir o tráfego de internet que a TV estava enviando. Então eu me pergunto se há algo mais nisso. E descobrimos que não apenas a TV estava ouvindo você, mas também enviando o que você estava dizendo em texto simples, não criptografado, pela Internet pública para terceiros no exterior. E isso foi realmente desagradável.
Louro: Inacreditável. Seu trabalho é justo, se infiltra em todos os cantos, o que eu acho que é esse o ponto, certo? À medida que nos tornamos mais inteligentes e queremos fazer as coisas mais rapidamente de qualquer lugar a qualquer momento, na verdade temos que pensar primeiro na segurança e em como estamos colocando isso em camadas em praticamente todas as ações.
Ken: Acho que é por questões de eficiência, economia e apenas trabalhar com inteligência. Acho que a tecnologia está entrando em tudo o que fazemos e o problema é que está sendo introduzida às pressas sem pensar o suficiente sobre segurança. Então, estamos tornando as coisas inteligentes e vulneráveis.
Louro: Então, posso conectar isso às falhas supersistêmicas? Então, quando fazemos isso e temos distribuição em massa de qualquer coisa, seja um aplicativo ou um aparelho de televisão, o que acontece então? Como você então retrocede a vulnerabilidade quando ela está em toda parte?
Ken: Falamos brevemente sobre segurança de API, então toda vez que você cria algo inteligente, provavelmente vai conectá-lo a um aplicativo móvel. Esse é provavelmente o objetivo de torná-lo inteligente, para facilitar a administração remota para que você possa ver suas coisas em casa, no escritório, em seu CFTV de qualquer lugar do mundo. E para fazer isso você vai precisar de uma API.
E esse grande problema que continuamos descobrindo é que todos os produtos inteligentes têm APIs e não são suficientemente seguros. Portanto, não é como, talvez, hackear um dispositivo. Uma coisa é chegar a um dispositivo inteligente na casa ou no escritório de uma pessoa e hackear um deles. O que realmente me incomoda é quando descobrimos que remotamente podemos hackear todos os dispositivos e de repente você começa a pensar em um veículo inteligente e descobre uma vulnerabilidade na API que permite parar todos os veículos daquela frota que usa o aplicativo. Então você está parando frotas inteiras de veículos.
E é isso que queremos dizer com supersistêmico. Aplica-se a ecossistemas inteiros de dispositivos. Muitas vezes, voltando a um único provedor de plataforma que talvez tenha prestado serviços a muitas e muitas marcas e fornecedores diferentes. Uma vulnerabilidade afeta tudo.
Louro: Quantas vezes por dia alguém menciona, Tem certeza que não estamos vivendo um episódio de Espelho preto ?
Ken: Bem, curiosamente, uma das minhas primeiras saídas na TV foi com o produtor de Espelho preto . Eu o apresentei a minha amiga Cayla muitos, muitos anos atrás. Ele é um cara muito, muito brilhante. Sim.
Louro : E é assombrado desde então. Sim.
Ken: Eu penso que sim. Esse é o problema que temos é que estamos apenas correndo. Estamos indo rápido demais. Não me entenda mal. Existem alguns fornecedores por aí que levam a segurança muito a sério e fazem isso muito bem, e eu os recomendo. O problema é que eles são a exceção à regra. Eu gostaria que todos os fornecedores estivessem tão comprometidos, e é por isso que estou triste por achar que a regulamentação é a única maneira, porque a menos que forcemos os fabricantes a começarem a jogar como os mocinhos, não acho que haverá nenhum incentivo comercial financeiro para que o façam. Não há como rotular o produto. Não há como descobrir quais produtos são mais seguros do que os outros, e é por isso que, infelizmente, acho que a regulamentação é a resposta.
Louro: Interessante. Então você seria quase como um rótulo de comércio justo para segurança.
Ken: Sim, tem havido bastante trabalho sobre isso em vários países. Eu sei que nos EUA tem havido algum trabalho e certamente na Europa também, mas o desafio é como você fornece um rótulo único que informa o quão seguro ou não um produto é? Isso é uma coisa muito difícil de fazer porque a segurança é muitas facetas. Você pensa sobre o dispositivo inteligente médio, ele terá alguns chips lá. Vai ter algum firmware lá. Vai ter algumas coisas de radiofrequência como Wi-Fi ou Bluetooth, talvez ZigBee ou Z-Wave. Vai ter uma API, vai ter um aplicativo móvel. Vai ter uma infraestrutura em nuvem. Vai ter uma plataforma de telemática. É tão complexo que torna a rotulagem muito, muito difícil.
Louro: O que acontece em indústrias altamente regulamentadas? Li um artigo sobre satélites. Como você hackeia um satélite ou protege um satélite?
Ken: Isso foi feito e, de fato, estou muito envolvido na aviação Defcon e na vila aeroespacial. Fizemos nosso primeiro lançamento no verão do ano passado e, no ano seguinte, tivemos algum interesse de fabricantes e operadores de satélites. E esperamos construir uma plataforma na Defcon para pessoas, pesquisadores, partes interessadas para ajudar a garantir a segurança dos satélites, o que eu acho ótimo. Está envolvendo toda a comunidade para ajudar todo o setor a melhorar sua segurança cibernética.
Agora há um exemplo de uma indústria regulamentada, acho que gostaria de manter como um bom exemplo. Assim, nos EUA, os dispositivos inteligentes de saúde, certamente um subconjunto deles, são regulamentados e aprovados pela Food and Drug Administration. E essa foi uma das primeiras áreas em que a regulamentação foi introduzida e fez uma diferença real. E parabenizo esse mercado por dar grandes passos em direção à segurança cibernética. Por quê? Bem, porque estamos falando de dispositivos de vida ou morte. Estamos falando de dispositivos que nos mantêm vivos. Então, novamente, um ótimo caso para trazer padrões, melhorar o jogo de todos e mostrar que, na verdade, podemos criar dispositivos seguros que nos mantenham seguros e nos mantenham vivos.
Louro: Sinto que ouvimos uma história há alguns anos sobre marca-passos sendo hackeados. Portanto, esta parece ser uma boa razão para regulamentação.
Ken: Sim, foi muito bom que o FDA tenha se intensificado lá, na verdade. Foi uma falta de atenção aos detalhes, talvez para dar a muitos fabricantes o benefício da dúvida, acho que provavelmente eles não pensaram profundamente o suficiente sobre a segurança cibernética. Você vai e obtém alguns componentes; você vai e obtém algum desenvolvimento, e muitas vezes são feitas suposições sobre se os dispositivos são cibernéticos. E acho que, na verdade, o que o regulamento fez é encorajar as pessoas e forçá-las a realmente fazer essas perguntas difíceis, para garantir que os desenvolvedores que você está usando sejam cibernéticos e certifique-se de que os chipsets que você está usando tenham recursos de segurança como um ambiente de execução de confiança, armazenamento seguro, boa fonte de entropia, todas aquelas coisas úteis que se você não fizer as perguntas ou especificar em sua aquisição, você não conseguirá.
Louro: Então me conte uma história sobre uma de suas façanhas favoritas de teste de caneta.
Ken: Oh meu Deus. Por onde eu começo?
Louro: Bem, eu meio que dei uma dica no início do episódio com a plataforma de petróleo.
Ken: Ah, então, mais recentemente, começamos a olhar para o marítimo. Então estamos analisando o frete. É uma área que realmente recebeu pouca atenção da indústria cibernética nos últimos anos. E a razão para isso é que principalmente os navios estavam offline. Você tinha Wi-Fi em terra e 4G quando está em terra, mas assim que a embarcação zarpa, você está efetivamente offline.
sim. Então você pode obter um telefone por satélite, mas eles são caros e você pode usar satélites de banda larga de frota, mas eles são um uso de dados assustadoramente caro. Então, para todos os efeitos, uma embarcação, uma vez que partiu, estava offline. E tudo isso mudou dois, três, quatro anos atrás com o advento do VSAT.
De repente, os satcoms se tornaram acessíveis, e isso significava que as embarcações poderiam começar a ser monitoradas quanto à eficiência, utilização de combustível, rotina, todas essas coisas importantes que economizam dinheiro para todos. E isso também significava que sua equipe - você poderia contratar a melhor equipe porque eles queriam planos de dados, eles queriam acesso à mídia social e você poderia dar a eles. Assim, você tem as melhores pessoas trabalhando nos melhores navios, oferecendo a melhor eficiência. Fantástico.
Mas ao longo do caminho, ninguém pensou em cyber. Assim, os navios estavam sendo conectados à internet sem pensar na segurança e proteção desse navio. Então, o que temos feito nos últimos dois anos é trabalhar em navios com operadores com visão de futuro dizendo, OK, vamos verificar isso.
E um ótimo exemplo foi uma plataforma de perfuração de exploração que analisamos. Era uma organização que faria a exploração de poços em estágio inicial. Havia uma plataforma autopropulsada e tinha conectividade VSAT por satélite, e nos pediram para ver se poderíamos, em teoria, interromper sua capacidade de perfurar. E o que encontramos foi uma falta de segregação efetiva entre as diversas redes. Assim, poderíamos perfurar redes de controle, poderíamos acessar redes corporativas, poderíamos acessar redes de tripulação, poderíamos ver a internet, poderíamos ver tudo.
E embora a organização tenha feito algumas medidas bastante razoáveis para proteger as coisas, o que acontece na verdade é que a equipe em operação geralmente quebra essa segregação. Por quê? Porque eu quero transmitir o Spotify quando estou trabalhando na broca, então eles instalam um roteador Wi-Fi para que eu possa usar o Spotify nos meus fones de ouvido enquanto estou no deck. E então descobrimos coisas aleatórias como o acesso remoto sendo canalizado, acessível pela internet pública. E o que aconteceu essencialmente é que descobrimos pela internet pública sem qualquer autenticação, poderíamos assumir o controle do motor e outros sistemas críticos em navios e plataformas em todo o mundo.
Literalmente desligando os motores, ligando os motores, afetando o leme, potencialmente colidindo com os navios, interferindo nos sistemas de navegação, se assim quiséssemos. Agora, tem havido muito pouca atividade criminosa neste espaço, mas está começando a surgir. Estamos começando a ver casos legais surgindo, onde se você analisar os documentos do tribunal, verá evidências de ataques.
Houve um ataque contra um superiate chamado Lady May alguns anos atrás, que foi investigado pelo FBI, e parecia que alguns dos sistemas de controle da embarcação foram adulterados por pessoas desconhecidas, possivelmente potências estrangeiras. Isso já fez a imprensa, mas há um número crescente de histórias anedóticas e histórias começando a fazer a imprensa da indústria sobre navios experimentando coisas como ransomware nos sistemas de navegação ou hacks diretos e deliberados.
Louro: Aterrador.
Ken: Sim. O triste é que a maior parte disso se parece com o roteiro de hackers , o filme, então sim. hackers Há mais de 20 anos, preditos diziam o futuro.
Louro: Não faz ficção científica com frequência. Olha, Ken, muito obrigado por se juntar a mim para esta conversa incrível no Business Lab. Eu realmente gostei disso.
Ken: Obrigada. Adorável falando com você.
Louro: Esse foi Ken Munro, fundador e sócio da Pen Test Partners, com quem conversei em Cambridge, Massachusetts, sede do MIT e do MIT Technology Review, com vista para o rio Charles. Além disso, obrigado ao nosso parceiro, Microsoft Security.
Isso é tudo para este episódio de Business Lab. Sou sua anfitriã, Laurel Ruma. Sou o diretor da Insights, a divisão de publicação personalizada do MIT Technology Review. Fomos fundados em 1899 no Massachusetts Institute of Technology, e você pode nos encontrar impressos na web e em dezenas de eventos ao vivo todos os anos em todo o mundo. Para mais informações sobre nós e o show, confira nosso site em technologyreview.com.
Este programa está disponível onde quer que você obtenha seus podcasts. Se você gostou deste episódio, esperamos que você reserve um momento para nos avaliar e comentar. Business Lab é uma produção do MIT Technology Review. Este episódio foi produzido por Collective Next. Obrigado por ouvir.
As ameaças à segurança estão por toda parte. É por isso que a Microsoft Security tem mais de 3.500 especialistas em crimes cibernéticos monitorando constantemente as ameaças para ajudar a proteger seus negócios. Mais em microsoft.com/cybersecurity .