[ad_1]

تولیدکنندگان دستگاه به سرعت از ظهور اینترنت اشیا ((اینترنت اشیا) و امکاناتی که اگر دستگاه های به اصطلاح هوشمند بتوانند با یکدیگر ارتباط برقرار کنند ، بهره مند شدند. با این حال ، از آنجا که آنها برای فروش سریع این دستگاه ها کار می کنند ، بسیاری از تولیدکنندگان سخت افزار با انجام کارهایی که باعث ترغیب فعالانه کاربران به تغییر اعتبار پیش فرض دستگاه هایشان نمی شود ، از آنها به درستی محافظت نکردند. مطابق با امنیت امروز، کارشناسان تخمین می زنند که 31 میلیارد دستگاه اینترنت اشیا در سال 2020 نصب می شود ، که می تواند هم مشاغل و هم مصرف کنندگان را در معرض خطر حملات قرار دهد.

کریگ یانگ ، محقق ارشد امنیت Tripwire ، وقت و تلاش خود را صرف ایمن سازی این دستگاه ها کرده است و این احتمال وجود دارد که اگر دستگاه IoT دارید ، کریگ آن را مطالعه کرده باشد. TechRadar Pro با کریگ در مورد اینکه چه چیزی او را به عنوان یک محقق امنیتی تبدیل کرده صحبت کرد و وی همچنین جزئیات بیشتری در مورد اکتشافات اخیر خود در مورد قفل هوشمند آسیب پذیر و همچنین آسیب پذیری حریم خصوصی مکان در دو مورد از محبوب ترین محصولات مصرفی گوگل ارائه داد.

می توانید کمی بیشتر در مورد کار خود با تیم تحقیقاتی آسیب پذیری و قرار گرفتن در معرض Tripwire (VERT) برای ما بگویید؟

کار من به عنوان محقق ارشد امنیت VERT فوق العاده همه کاره است و به طور مرتب در طول هفته یا حتی در طول روز چند کلاه می پوشم. شغل من شامل ماندن در بالای روندهای امنیتی سطح پایین و امکان پرش همزمان از یک فناوری یا نقشی به نقش دیگر است.

علاوه بر نوشتن بسیاری از تست های آسیب پذیری از راه دور برای IP360 ، من به طور منظم در راهنمایی سیاست های امنیتی داخلی و همچنین برخی از جنبه های مربوط به طراحی ایمن محصولات Tripwire شرکت می کنم. من همچنین زمان زیادی را صرف خواندن و آزمایش می کنم. این امر من را به سمت پروژه های تحقیقاتی خودم سوق داد که برخی از آنها به عنوان موضوع سخنرانی یا حتی کلاسها و همچنین کنفرانسهای امنیتی معروف مانند کلاه سیاه ، DEF CON و SECtor به پایان رسید.

چه عاملی باعث شد شما از یک مهندس به یک محقق امنیتی بروید؟

چه در مورد COCOT (تلفن های پرداخت) در بازار به عنوان یک پیش درآمد تحقیق می کردم یا به مدیر دبیرستان نشان می دادم که چگونه می توانم به راحتی در سیستم نمره دهی وارد شوم ، همیشه جنبه های امنیتی فناوری را به خود جلب کرده ام و خوشبختانه توانسته ام آن را تبدیل کنم حرفه.

بزرگترین تهدیدهای امنیتی در حال حاضر برای دستگاه های اینترنت اشیا چیست و تولید کنندگان دستگاه چگونه می توانند محصولات متصل شده خود را از امنیت بیشتری برخوردار کنند؟

اینترنت اشیا با توجه به برنامه های کاربردی خطر زیادی دارد ، اما به طور کلی بیشترین خطر از نظر من بی ثباتی احتمالی اینترنت ناشی از مصالحه یک ارائه دهنده عمده اینترنت اشیا است. مهاجمی که به زیرساخت های ابری دستگاه محبوب اینترنت اشیا دسترسی پیدا کرد ، می تواند بدافزارها را به طور جدی در خانه ها و دفاتر در سراسر جهان نفوذ کند. آسیب های ناشی از حمله پیچیده ای از این نوع می تواند به طور بالقوه آسیب Mirai یا حتی WannaCry یا NotPetya را تحت الشعاع قرار دهد.

قفل هوشمند

(اعتبار تصویر: ویکی مدیا)

شما اخیراً یک آسیب پذیری را در مارک محبوب قفل هوشمند کشف کرده اید. آیا می توانید درمورد آنچه پیدا کردید و چه عاملی باعث شد در وهله اول به دنبال امنیت قفل هوشمند باشید ، بیشتر بگویید؟

روی این قفل هوشمند خاص ، متوجه شدم که فروشنده عملاً در را برای مهاجمان باز گذاشته است. به طور خاص ، عامل انتظار پیام استفاده شده به نام کاربری یا رمز عبور احتیاج ندارد و به هر کسی در دنیا امکان می دهد پیام را با قفل مربوط به ارائه دهنده مبادله کند.

با اتصال ناشناس به ابر فروشنده و باز کردن قفل آزمایشی خود ، قادر به مشاهده علامت رمزنگاری شده برای باز کردن قفل در بودم. سپس می توانم این پیام را تکرار کنم تا در را باز کنم. می توانم پیام های دیگری ارسال کنم که مانع از باز شدن قفل درب با استفاده از صفحه کلید یا اثر انگشت توسط شخصی یا خاموش نگه داشتن برنامه خود برای مدت نامحدود شود.

روشی که من با این آسیب پذیری روبرو شدم ، کمی غیر معمول بود. به جای شروع کار با یک محصول خاص و جستجوی نقاط ضعف موجود در آن ، من با مشاهده پروتکل MQTT که اغلب در اینترنت اشیا استفاده می شود و جستجوی قرار گرفتن در معرض اطلاعات شروع کردم. من این ارائه دهنده قفل را هنگام جستجوی اطلاعات نمایه شده توسط موتور جستجوی Shodan برای آدرس های ایمیل و اصطلاحات مربوط به اینترنت اشیا پیدا کردم. سرور توجه من را به خود جلب کرد زیرا Shodan در واقع چند صد آدرس ایمیل را که به عنوان نام موضوعات به Shodan ارسال شده بودند ، در MQTT قفل کرد.

چگونه یک هکر می تواند از اسپیکر هوشمند برای بدست آوردن اطلاعات در مورد صاحب خود استفاده کند و آیا اعتقاد دارید این دستگاه ها تهدیدی جدی برای حریم خصوصی کاربران محسوب می شوند؟

مثالی در مورد من آورده شده است تحقیقات قدیمی تر. در این سناریو ، یک مهاجم می تواند موقعیت جغرافیایی دقیق بلندگوی هوشمند را پس از بارگیری شخصی که به آن شبکه محتوای مخرب را در یک مرورگر وب یا از طریق اتصال مستقیم یا از طریق تبلیغات داخلی به دست می آورد ، بدست آورد. Google با افزودن محافظت هایی برای جلوگیری از حملات اتصال مجدد DNS ، به این مسئله پرداخته است.

حملات دیگری که من می دانم معمولاً به دو دسته اصلی تقسیم می شوند: برنامه های مخرب و ارسال دستورات صوتی غیرمجاز. در گروه اول ، چندین گروه تحقیقاتی روش های مختلفی را بررسی کرده اند که در آن یک توسعه دهنده مخرب قادر به شنود مکالمات اطراف بلندگوی هوشمند است. دسته دوم اغلب شامل تکنیک های فیزیکی کاربردی است که تعامل با بلندگو در خارج از خانه را امکان پذیر می کند. به نظر می رسد موثرترین تکنیک در این زمینه استفاده از لیزر برای صدا را مستقیماً به میکروفون دستگاه القا کنید.

من شخصاً نگران هکرهایی نیستم که از اسپیکرهای هوشمند سو smart استفاده می کنند. مهم است که مراقب باشید چه محتوای شخص ثالثی را فعال می کنید و چه دسترسی به اسپیکر هوشمند را دارید ، اما به هر حال ، با نسل فعلی دستگاه ها ، من خیلی نگران هک مخرب شخصی نیستم. من بیشتر نگران این احتمال هستم که خود فروشندگان با فروش اطلاعات جمع آوری شده در مورد ما به تبلیغ کنندگان یا حتی اجرای قانون از دسترسی خود به خانه های ما استفاده کنند.

عینک جلوی صفحه کامپیوتر

(اعتبار تصویر: کوین کو / پیکسل)

از بین همه آسیب پذیری هایی که پیدا کردید ، کدام یک از همه جالبتر بود و چرا؟

از نظر فنی ، تحقیق من در مورد نقص رمزنگاری جالبترین بود. در اوایل سال 2018 ، من این فرصت را داشتم که “بازگشت تهدید اوراکل بلیچنباخر” (ROBOT) را با همکاری هانو بوک و دکتر جوراج سوموروفسکی نویسندگی کنم. علاوه بر کمبودهای فنی بسیار جالبی که کشف کردیم ، این مطالعه ما را ملزم می کرد لیست طولانی از ارائه دهندگان اطلاعات تحت تأثیر را در مقیاسی که قبلاً در آن شرکت نکرده بودم ، شناسایی و هماهنگ کنیم. این امر همچنین منجر به جایزه Pwnie در Black Hat امسال شد و جرقه ای برای بررسی سایر مسائل رمزنگاری مانند GOLDENDOODLE و Zombie Poodle که در سال 2019 کشف کردم ، به من بخشید.

اینترنت اشیا

(اعتبار تصویر: Shutterstock)

چه مشورتی را به مشاغلی می دهید که به فکر استفاده از اینترنت اشیا یا سایر دستگاههای متصل باشد؟

همانند سایر فناوری ها ، مشاغل باید مزایای بالقوه را در برابر خطرات احتمالی بسنجند. سازمان ها همچنین باید به این سرمایه گذاری ها در زمینه وسیع تری از توانایی های تجاری و عملیاتی خود نگاه کنند. تصمیم گیرندگان برای درک کامل آنچه در اینترنت اشیا وارد می شود ، باید سناریوهای مختلفی را در صورت وجود در نظر بگیرند. برخی از س questionsالاتی که باید بپرسید عبارتند از:

– اگر X در دسترس نباشد چه اتفاقی می افتد؟

-اگر داده های X به دست اشتباه بیفتد چه اتفاقی می افتد؟

-آیا هکر موجود در این سیستم می تواند به منابع تجاری دسترسی داشته باشد یا آنها را مختل کند؟

همچنین موارد دیگری وجود دارد که باید در مورد ارائه دهنده خدمات و اقدامات امنیتی خاص آنها به خاطر بسپارید. در حالت ایده آل ، فروشندگان باید فرآیندهای طراحی ایمن ، از جمله مدل سازی رسمی تهدید ، بررسی امنیت خارجی و تحویل به روز شده مجاز را ایجاد کنند. متأسفانه ، این نوع اطلاعات معمولاً در دسترس اکثر کاربران نیست ، اما امیدوارم در آینده سازمانهای مستقلی وجود داشته باشند که تأمین کنندگان را بر اساس این شاخص ها و سایر شاخص های مهم ارزیابی می کنند.

[ad_2]

منبع: subtitle-news.ir