Säkra sakernas internet och din arbetsplats

Fler enheter är i riskzonen för attack. Cybersäkerhetsexperten Ken Munro diskuterar sårbarheterna att hålla utkik efter och hur man kan förbli säker.





26 februari 2020

Tillverkad i samarbete med Microsoft säkerhet

I det här avsnittet tittar vi på behovet av att säkra sakernas internet, fysiska arbetsytor och de produkter företag tillverkar. Från flygplan till barnleksaker till oljeriggar, fler uppkopplade enheter är sårbara för attacker än någonsin tidigare. Ken Munro är en säkerhetsforskare, penetrationstestare och författare med två decenniers erfarenhet inom säkerhetsbranschen. Han är också grundare av säkerhetsföretaget Pen Test Partners.

Munro hjälper till att avslöja sårbarheterna i föremål vi använder varje dag, och han diskuterar några av de viktigaste färdigheterna som cybersäkerhetsexperter kan ha, varför företag riskerar fysiska säkerhetsintrång och något han kallar supersystemiska brister.

Business Lab är värd för Laurel Ruma, chef för Insights, den anpassade publiceringsavdelningen av MIT Technology Review. Showen är en produktion av MIT Technology Review, med produktionshjälp från Collective Next. Musiken är av Merlean, från Epidemic Sound.



Visa anteckningar och länkar

Ken Munro , på Twitter

Ken Munro , Pen Test Partners

Kids Tracker Watches: CloudPets, utnyttjande av idrottare och kapning av reality-tv, Pen Test Partners Säkerhetsblogg



Tror du att du har haft ett intrång? Topp 5 saker att göra, Pen Test Partners Säkerhetsblogg

Internet of Things Security, en TEDx-presentation av Ken Munro

Fullständig avskrift

Laurel Ruma: Från MIT Technology Review heter jag Laurel Ruma, och det här är Business Lab, programmet som hjälper företagsledare att förstå ny teknik som kommer ut från labbet och in på marknaden.



Säkerhetshot finns överallt. Det är därför Microsoft Security har över 3 500 cyberbrottsexperter som ständigt övervakar efter hot för att skydda ditt företag mer på microsoft.com/cybersecurity .

Vårt ämne idag är cybersäkerhet, men mer specifikt vikten av att säkra sakernas internet, din fysiska arbetsplats och dina produkter. Åh, och hacka flygplan, båtar och bilar. Tre ord för dig för: fjärrstyrd oljerigg. Min gäst är Ken Munro, som är expert på internet-of-things-säkerhetsforskare, penetrationstestare och skribent med två decenniers erfarenhet av säkerhetsbranschen. Han är grundaren och en partner på Pen Test Partners och du kanske också har sett några av hans bedrifter med nyckellösa bilar, barnleksaker, flygplan, och vi kommer att prata mer om vad som håller honom vaken på natten: supersystemiska brister. Ken, tack för att du följde med mig på Business Lab.

Ken Munro: Oj, tack.

Laurel: För det första, kan du berätta för mig hur du blev intresserad av säkerhet, men specifikt i samband med enheter och sakernas internet?

Ken: Jag skulle gärna berätta att jag hade en missbrukad ungdom, men det är mycket tråkigare. Jag tillbringade tid efter att jag studerade på ett universitet och tittade på restauranger. Och jag minns att jag fick ett jobb där jag skötte en restaurang, och en uttråkad eftermiddag när det var tyst började jag leka med kassasystemet, väldigt, väldigt gammal. Efter lite stök kunde du krascha ut den till DOS, tidig version av DOS. Jag upptäckte då att jag kunde skriva ut mina amorteringsutdrag för bolån, så att jag kunde få mina betalningar, vilket var en konstig sak att skriva ut på en restaurangcheck. Men en av mina chefer kom efteråt och sa: 'Jag tror att du kanske är i fel karriär.' Vilket var ett bra sätt att sparka mig antar jag, men det ledde mig till antivirus och sedan till brandväggar och cybersäkerhet mer allmänt.

Laurel: Så, förutom nyfikenhet, vilka är några av de färdigheter som cybersäkerhetsexperter måste ha såväl som, naturligtvis, deras utmärkta tekniska förmågor?

Ken: Nyfikenhet, det är ett riktigt bra ord faktiskt, för när jag tittar på vad vi gör som penetrationstestare, etiska hackare, om du så vill. Det försöker tänka på det sätt som människorna som utvecklade systemet inte gjorde. Försöker tänka på alla möjliga misstag som har gjorts, saker som hade förbisetts, och bara peta på dem, kliar på det som kliar för att se om du kan hitta ett misstag som gjorts.

Du nämnde vad vi kallar supersystemiska brister - det är ett riktigt vanligt fel som vi hittar i API:er [applikationsprogrammeringsgränssnitt]. Så API:et du hittar på en mobilapp för kanske en smart enhet, och vi upptäcker så ofta att utvecklare, medan de autentiserar sina användare korrekt, glömmer ofta att auktorisera dem korrekt. Och med det menar jag att du loggar in, du skapar ditt konto, du loggar in – berättar att du är du. Men utvecklaren någonstans längs linjen glömde att kontrollera att varje begäran kom från dig, vilket innebär att du potentiellt kan hoppa in på andras konton, utföra åtgärder på deras vägnar och bryta upp segregationen.

Laurel: Om jag är i den situationen, och jag är du, en penntestare på ett företag och jag måste sedan gå och berätta för någon, jag tror att vi har ett misstag här, hur går det samtalet? Vem säger du ens något till?

Ken: Låt oss prata om oberoende forskning. Vi gör mycket arbete på vår egen bekostnad, köper produkter och tittar på dem, för att se om vi kan hitta sårbarheter. Dels är det för god träning, bra träning, men det är också användbart eftersom det förbättrar säkerheten. Så om vi hittar en sårbarhet är det första vi vill göra att berätta för tillverkaren om det. Vi vill berätta för dem privat, konfidentiellt så att de kan fixa det.

Men så ofta är problemet att den första kontakten du gör når fel personer eller så når den till en organisation som helt enkelt inte är van vid att hantera sårbarheter – det är första gången för dem. Så hur hanterar de att någon helt kall kommer fram och säger 'Hej, vi hittade en sårbarhet i dina grejer.' De flesta tar det som upplevd kritik, vilket inte alls är meningen. Men om någon sa, du har en bugg i din produkt, det första du gör är att räcka upp händerna, Hej, hej, håll ut, håll ut. Nej nej nej nej. Vi måste försvara vårt varumärke. Och det är oftast det första problemet är att folk inte tar konstruktiv kritik bra, vilket gör livet väldigt svårt för en sårbarhetsforskare.

Laurel: Men man måste väl också ha den typen av speciell takt? Sättet du kommunicerar problem till dessa olika företag med produkter eller miljoner och miljarder dollar investerade i specifika ...

Ken: Ja. Jag tänker på det som ett parti schack faktiskt. För jag vet att om vi går in aggressivt för hårt, kommer de förmodligen att backa upp och istället för att fixa sårbarheten kommer de förmodligen att göra något som vi inte vill se. De kommer att bli aggressiva, börja försöka skrika ner oss eller ibland har vi haft juridiska hot som var grundlösa men som är irriterande och kostsamma att försvara.

Så det handlar om att få dig hörd av rätt personer i organisationen som förstår säkerhet, som förstår den potentiella påverkan på deras varumärke om någon annan oetisk person har hittat det. Skaffa dem, övertala dem, arbeta med dem, ge dem de verktyg de behöver så att de snabbt kan fixa det. Och då är sårbarheten åtgärdad och alla har det bättre.

Laurel: När du är i en situation måste du faktiskt ha en motsvarighet i organisationen, och vi ser att inte nödvändigtvis alla organisationer har någon som en CISO, annars kommer det att finnas någon som är ansvarig för säkerheten. Hur trampar du försiktigt på dessa vatten – vilken typ av kommunikationsförmåga och tekniker använder du för att få fram dina poäng?

Ken: Hur hittar du dem ens? Det kan vara ett verkligt problem. Kanske börjar du i första hand med ett kontaktformulär, och det kommer förmodligen att gå till någon som inte förstår cybersäkerhet. Det kommer att hamna på fel ställe. Vi hade några problem för många, många år sedan med Fitbit förr i tiden, och vi började på kontaktformuläret och det gick bara in i etern. Inget hände. Vi försökte ringa support, men det var kundsupport, och det blev inte riktigt åtgärdat.

Och allt blev lite fel. Och sedan genom en total slump började en vän till en vän som deras interna säkerhetsexpert, och det är lite av ett tågvrak på väg att hända. Och proaktivt lyfte luren och tog kontakt, sa, 'Hej Ken, jag tror att vi känner någon, vi känner samma kille. Jag hörde att du försökte rapportera en sårbarhet.' Och från vad som kunde ha varit en mycket svår situation där det finns en sårbarhet, den fixas inte, leverantören lyssnar inte. Egentligen blev det väldigt snabbt genväg, och produkten fixades väldigt snabbt. Den fasta programvaran uppdateras på drygt en vecka, och det var en riktig framgångssaga för alla.

Laurel: Det är utmärkt. Jag antar att det är det vi vill höra mer av. Höger?

Ken: Ja. Jag önskar bara att det hände varje gång.

Laurel: Det är nog det som gör ditt jobb så intressant också. Hur tänker du om den nuvarande bristen på säkerhetspersonal? Bara typ över hela branschen, vad är det för saker du letar efter eller som du önskar att du kunde vifta med ett trollspö och fixa? Hur fixar du den säkerhetsprofessionella pipelinen?

Ken: Jisses, det är en djup fråga. Det är välkänt att det råder brist på kompetens. Jag tror att en av de verkliga utmaningarna i penntestningsområdet, där människor hackar etiskt, är att det ofta förbises hur viktigt det är att kunna kommunicera. Jag menar, fantastiska tekniska färdigheter är viktiga, men faktiskt är det de kommunikationsförmågan som ofta glöms bort, för om resultaten av dina resultat inte kommuniceras på rätt sätt, till rätt publik, rätt person, så faktiskt, saker fixas inte.

Samtidigt som vi har ett akademiprogram – vi tar människor, vi coachar dem, de har råa färdigheter, vi förvandlar dem till fullfjädrade penntestare. Det jag verkligen är ute efter är den där kommunikationsförmågan. Om du inte kan kommunicera de fantastiska sakerna du har hittat, skulle jag hävda att du lika gärna inte hade brytt dig om att hitta dem.

Laurel: Går bara in på det gamla talesättet, ja, mitt gamla talesätt - teknik är lätt, människor är svåra.

Ken: Totalt.

Laurel: Det är den typen av färdigheter som, verkar det som, de flesta företag nu inser att du kan lära ut teknik, eller hur? Du kan lära ut kodning. Du kan lära ut dessa färdigheter. Vissa människor har uppenbarligen en medfödd förmåga att göra dem, men kommunikationen är det som är avgörande, för att faktiskt få upp hela din organisation på den nivån och faktiskt är en konkurrenskraftig skillnad.

Ken: Ja, det är en riktig överraskning faktiskt. Jag uppmuntrar verkligen folk att tänka på vem de pratar med. Så du gör något coolt och smart och väldigt smart och tekniskt, men tänker faktiskt på publiken, personen som tar emot det, tänk på hur de kommer att ta emot det och hur det kommer att lösa problemet snabbast.

Laurel: Ja, det handlar om användare, eller hur? Eller dina kunder och i någon mening är de din kund eftersom du försöker utveckla den här relationen på ett eller annat sätt med en helt främling och låter dem få veta några särskilt dåliga nyheter.

Tror du att eftersom säkerheten blir viktigare inom organisationen så är det inte längre en backoffice-funktion som folk kanske ser på det som ett mer intressant yrke, eftersom det liksom är i det fria, folk pratar om det . Den är inte längre gömd bakom någon sorts svart gardin.

Ken: Ja, det har varit fantastiskt att se den mer profil som har förts till cyberindustrin. Ju fler kurser på universitetsnivå börjar dyka upp, vilket är fantastiskt, vilket förbättrar utbudet av individer. Men jag tror att många organisationer, särskilt de som har drabbats av högprofilerade intrång, kanske har lärt sig på det hårda sättet att det enda sättet att verkligen hantera cyber är att bygga in den i verksamheten. Om du lägger in det som ett dotterbolag till IT-avdelningen, så kommer det egentligen bara att bli en eftertanke. Om du bakar in det i verksamheten och gör någon verkligt ansvarig, som verkligen förstår hur man bedömer risker och kommunicerar risker, om de sitter på den exakta nivån, de sitter i styrelsen, så tror jag att du kommer att se en tankeförändring inom organisationen.

Jag undervisar lite på styrelsenivå, och det har varit fantastiskt att se hur om du kan få VD:n att börja tänka på sin personliga säkerhet, på sin personliga säkerhet, på sin familjs säkerhet. De börjar tänka på lösenord, de börjar tänka på att uppdatera system, de börjar fundera på att lära människor, och helt plötsligt ser man att tankesättsförändringar tränger in från toppen av verksamheten och ner genom folket. Så istället för att försöka ramla in säkerheten i en organisation, droppar den faktiskt från toppen och genomsyrar allt som verksamheten gör.

Laurel: Definitivt mer av ett tillvägagångssätt för säkerheten först. Och när det är en del av allt, ser du det inte så mycket som ett intrång i ditt vardagliga arbete.

Jag skulle vilja rama in vår diskussion på ett sätt som talar om hur ett cybersäkerhetsintrång kan inträffa var som helst – självklart med anställda, produkterna och till och med den fysiska kontorsbyggnaden som ditt företag befinner sig i. Kan du prata om varför fysisk säkerhet är avgörande för företag att tänka på?

Ken: Herregud. När du börjar förbättra din cybersäkerhet, så börjar du förbättra ditt försvar, så du börjar upptäcka att det är svårare och svårare att penetrera din organisation från internet. Och förhoppningsvis, även om någon penetrerar det på distans, har du några verktyg som varnar dig och ett team av människor att faktiskt flagga det. Det blir allt svårare att tränga in i organisationens omkrets. Och det är då den högre risken, fysiska typerna av attacker börjar bli intressanta. När vi börjar prata om social ingenjörskonst, när vårt jobb är att bluffa oss in i en organisation, att plantera en bakdörr fysiskt inne i organisationen eller att stjäla data fysiskt. Filmerna, eller hur?

Men ofta upptäcker man att de två lägren faktiskt är ganska nära sammanlänkade. Jag gillar att leta efter skuggan IT i en organisation. Jag gillar att leta efter byggnadsledningssystemet. VVS, det som styr dina hissar, som styr dem att gå upp och ner. Tekniken som styr dina grindljus. Tekniken som styr dina elektroniska dörrlås, dina åtkomstkontroller. Varför? Eftersom dessa system ofta sitter utanför din konventionella IT-avdelning. Kanske har folket i anläggningarna lagt in det. Kanske har underleverantören kontrakterats till en tredje part som har fjärråtkomst, vilket har blivit dåligt gjort. Låter det långsökt? Tja, det har varit många stora intrång som har hänt genom exakt den vägen.

Så om vi arbetar med social ingenjörskonst och jag hittar din byggnadsstyrningskontroller på det offentliga internet, är det inte svårt att göra. Gå fram till kontoret, slå upp dörrlåsen elektroniskt, på distans, och dörrarna öppnas på vid gavel. Gå in du.

Laurel: Upptäcker du att ditt företag är en jämn blandning av sårbarheterna för dataintrång såväl som de fysiska, eller fokuserar folk på och tänker på data först och sedan det fysiska senare?

Ken: Jag tycker om att se det som en blandning av båda. Jag tror att några av de mest framsynta och framåtsträvande organisationerna inser att det är en kombination. Du måste ta itu med båda. Ja, du kan reda ut organisationen, du kan attackera den på distans, och du kan se till att den är väl inställd för att upptäcka och svara på cyberintrång, men samtidigt måste du täcka den fysiska sidan också .

Min erfarenhet har varit att när du arbetar med den fysiska sidan av verksamheten börjar du hjälpa organisationen att bygga broar mellan dess IT-avdelning och dess anläggningsteam. Och när de väl pratar, när skattesäkerhetsteamet pratar med cybersäkerhetsteamet, får du några riktigt intressanta saker att skaka ur det. Du får team som börjar samarbeta, inte se som en är i en låda och andra, ja, en annan är någonstans helt annorlunda.

Laurel: Så vad är några av grunderna som företag kan titta på när de tänker på sårbarheter och bara kanske gör saker själva innan de tar in någon som du för att hjälpa dem?

Ken: Åh, rakt på sak. Nummer ett, så vad äter vi ute på? Vi äter ute på lösenord som inte är tillräckligt komplexa, återanvända, standard eller tomma. Du fixar dem, och du kommer att göra vårt liv mycket svårare. Nästa stora, lappning. Jag vet att det är så tråkigt, men faktiskt saknade patchar, exponerade sårbarheter, patchar är till för att fixa sårbarheter. Du fixar lappar, du gör mitt liv svårt. Och det sista jag tittar på är människorna. Så du kan antingen skylla på folk för att klicka på länkar i e-postmeddelanden och svara på nätfiske, eller så kan du lära dem och träna dem. De kan antingen vara din värsta fiende till säkerhet, eller så kan de vara ytterligare ett par ögon som ser, ser, rapporterar, känner sig utbildade och bemyndigade. Så mitt råd innan du kommer i närheten av att få in tredje part, ordna lösenorden, reda ut dina patchar och lär folk om cyber.

Laurel: Grundläggande säkerhetshygien. Hur arbetar företag med partners för att säkerställa att komponenterna i deras produkt är säkra? Så den där tredjepartsförsörjningskedjan – det kan vara vilken produkt som helst, men jag tänker egentligen på en bil som är byggd i Detroit och har en GPS-enhet från en annan leverantör och ett underhållningscenter från en tredje. Och det är bokstavligen en väldigt grundläggande beskrivning av tredjepartsleverantörerna i en bil, men jag tror att det är vad vi tänker på när vi tänker på hackbarhet. Så när vi tittar på hela ekosystemet av tredjepartsleverantörer, var skulle du börja om du är en bilförsäljare eller vilket företag som helst?

Ken: Så det är bra att ställa i ordning sitt eget hus och reda ut sin egen säkerhet. Men så ofta att angriparen kommer att flytta till den mest sårbara delen, och det kommer förmodligen att vara din försörjningskedja. Eftersom det är din organisation, det är din data, det är dina kunder. Du tar den informationen och cybersäkerheten på största allvar. Men så fort du börjar gå in i leverantörskedjan är det inte längre deras data. Så det första du ska göra är att börja ställa frågor.

Bara genom att börja ställa frågor kommer du mycket snabbt att inse hur mogna dina leverantörer är när det gäller cybersäkerhet. Jag ser ofta organisationer som vi blir ombedda att granska och säger, 'Tja, vi kunde omöjligt dela den informationen med dig på grund av cyberskäl', och du inser att det bara är en rökridå. Din leverantör bör mycket gärna dela sina säkerhetsprocesser med dig, för att bara ha en cyberprocess betyder inte att du avslöjar sårbarheter. Att visa att de är en mogen organisation som tar cybersäkerhet och säkerheten för de data de bearbetar åt dig borde vara en öppen process. Ställ frågor, granska dina leverantörer, prata med dem om säkerhet. Och mer än något annat, ett råd du kan ta med dig från den här lilla intervjun, lägg in cybersäkerhet i dina avtalsmässiga upphandlingsvillkor. Vilket betyder att A, de tänker allvarligt på cyber innan de undertecknar ditt kontrakt, och B, om det går fel, har du en regressrätt. Riktigt, riktigt viktigt. Bädda in cyber i din upphandling.

Laurel: Skulle du säga att företag faktiskt vet sina tredjepartsleverantörer ofta? Är detta ett nytt sätt att tänka som företag behöver bara, som du sa, integreras i varje del av sättet som de arbetar med externa leverantörer?

Ken: Ibland. Så jag har hållit på med en del uppsökande och undervisat inom advokatkåren om just detta koncept. Jag har gjort det i några år nu, och det här året har bara gått, sa jag, titta, har någon verkligen bäddat in cyber i sina kontrakt? Och en hand gick upp i publiken, och jag kände lite glöd. De sa: 'Ja, vi tog ditt råd. Vi har bäddat in säkerhetsprojektet för öppna webbapplikationer topp 10 i våra utvecklingskontrakt för tredje part.' Så de avtalsmässigt registrerar sig för att leverera kod som inte är sårbar för OWASP [Open Web Application Security Project] topp 10, och jag tyckte att det var en enorm vinst. Ett litet steg. Så snälla, alla, gör det. Bädda in enkla cybersäkerhetsvillkor i kontrakt, och det gör livet så mycket enklare om det finns ett problem.

***

Laurel: Cybersäkerhet handlar inte bara om att stoppa de hot du ser. Det handlar om att stoppa de du inte kan se. Det är därför Microsoft Security anställer över 3 500 experter på it-brottslighet och använder AI för att hjälpa till att förutse, identifiera och eliminera hot så att du kan fokusera på att växa din verksamhet och Microsofts säkerhet kan fokusera på att skydda den. Läs mer på microsoft.com/cybersecurity .

***

Laurel: Så att ta ett steg tillbaka och titta på det på avstånd, hur kan säkerhetsbestämmelser och standarder faktiskt hjälpa företag? Ofta känner de förmodligen att de är ensamma om detta, men det finns byråer eller avdelningar som NIST [National Institute of Standards and Technology] som kan hjälpa till.

Ken: Ja det finns. Så reglering saknas överraskande nog i cyberrymden. Det är något som jag har lobbat för och kampanjat runt i ett antal år nu, särskilt när det gäller konsumenternas IoT [sakernas internet]. Det är något av ett vilda västern. Vi fortsätter att hitta mycket allvarliga sårbarheter dag efter dag i konsumenternas IoT-produkter. Och mina känslor, även om jag inte är en stor förespråkare av reglering eftersom jag mycket föredrar frimarknadsdynamik, tycker jag att det fanns ett mycket starkt argument för reglering i konsumenternas IoT-utrymme. Jag var mycket glad över att se i Kalifornien att senatens lagförslag 327 antogs, trädde i kraft den första januari i år. Och det som gjorde mig superglad var att den som presenterade räkningarna citerade en del av vårt arbete med en sårbar Bluetooth-docka för barn som heter My Friend Cayla som inspirationen och katalysatorn bakom den förordningen. Och även om regleringen är ganska grundläggande, tycker jag att det är ett riktigt bra steg i rätt riktning. Och det är tråkigt, men särskilt inom konsumenternas IoT tror jag att vi behöver reglering.

Vi har också haft några framgångar i Storbritannien. Vi har just avslutat samrådet och regeringen har förbundit sig att införa några grundläggande regler för att skydda konsumenter från smarta produkttillverkare som inte leker säkert med vår data och vår integritet.

Laurel: Kan du prata lite om min vän Cayla? Det var ett intressant experiment.

Ken: Så My Friend Cayla är en interaktiv pratande barndocka som jag snubblade över för ungefär fem år sedan. Nu använde hon en mobilapp för att lyssna på ord som barnet sa till dockan, bearbeta dem till text och sedan svara på ett antal frågor. Så barnet kunde ha en interaktiv chatt med en docka, vilket var jättekul. Nu när jag såg den här dockan, insåg jag att hon kommunicerade via Bluetooth till mobiltelefonen. Så vad jag ville veta var, hur säker var den Bluetooth-anslutningen? Och problemet var att det inte riktigt var det.

Så när du ansluter din mobiltelefon till ditt fordon så att du kan ringa telefonsamtal anger du en PIN-kod, eller hur? Sexsiffrig PIN-kod. Och det skapar en relativt säker anslutning. Problemet med My Friend Cayla är när hon ansluter till din telefon, det finns ingen PIN-kod alls, vilket innebär att alla i närheten kan gå med och ansluta. Så återigen, hackaren i mig tänker, jag undrar om jag kan få den här oskyldiga barnvagnen att svära? Så vi insåg att vi kunde manipulera med mobilappen, och barnet kunde säga vad de ville till dockan, och hon skulle svära direkt. Så jag har spelat in henne för dig precis här.

Inspelning: Hej, lugna dig annars sparkar jag ut [pipet] ur dig.

Laurel: Det är fantastiskt.

Ken: Men värre än så, eftersom det inte fanns någon kryptering på Bluetooth-anslutningen kunde vem som helst i närheten ansluta till mikrofonen i dockan och lyssna på dina barn, eller högtalaren i dockan och prata med ditt barn. Så vi pratar folk i grannhuset, folk på gatan utanför. Så folk kunde smyga på dina barn genom den här dockan eller ännu värre, de kunde spionera på dina konversationer i ditt hus eftersom du satte en smart docka och gav den till ett av dina barn. Och jag vet inte med dig, men det finns konversationer som jag inte skulle vilja att mina grannar skulle lyssna på. Höger? Så återigen, vår integritet invaderades fullständigt av en trevlig idé om ett barns interaktiva docka.

Goda nyheter för detta är att vi rapporterade det till leverantören som avfärdade det direkt och anklagade oss för att ha gjort ett skämt, men lyckligtvis insåg den tyska telekommunikationsregulatorn att detta bröt mot vissa konsumentskydds- och spionlagar som fanns kvar från strax efter den andra [ World] War, och över en natt förbjöd de dockan. Det var olagligt att äga dockan i Tyskland. Så det finns goda nyheter att komma ur det

Laurel: Och ett bra exempel på hur reglering kan hjälpa i de specifika fallen. Att hålla sig på ämnet konsumentenheter och att gå med i en annan mycket populär trend, som är ta med din egen enhet till jobbet, eller BYOD, vad händer när Wi-Fi-kaffemaskinen på jobbet är ansluten och kan vara en intet ont anande startpunkt för en hackare att faktiskt inleda en attack på arbetsplatsen? Vad finns det för andra sårbara enheter som företag kanske inte tänker överväga?

Ken: Ja, så BYOD ses ofta som smartphones och surfplattor som används för att utföra arbete. För mig är det smarta grejer som kommer in på arbetsplatsen. Min allra första forskning inom IoT var på en Wi-Fi-aktiverad vattenkokare, och vi upptäckte att när du väl anslutit till ditt nätverk kunde jag stå på gatan utanför, ansluta till vattenkokaren och stjäla ditt Wi-Fi-lösenord från Det. Så ja, jag skulle kunna hacka ditt hus. Och om du tog den till kontoret för att göra en kopp te eller en kopp kaffe, kan du också stjäla ditt företags Wi-Fi-lösenord. Så BYOD är ett verkligt bekymmer för mig just nu. Vi började titta på smarta kylskåp för ett tag sedan, så återigen är det svårt att köpa varor, förbrukningsvaror, vitvaror, att sätta på sina kontor som inte är smarta längre.

Vi tittade på ett smart kylskåp från Samsung med en fantastisk stor skärm på dörren. Det var riktigt roligt. Så den hade en kamera på insidan och en stor skärm på utsidan. Och tanken var att man skulle kunna se vad som finns på insidan utan att öppna dörren. Och jag tänker, varför öppnar jag inte bara dörren? Säkert. Men hur som helst, vad vi upptäckte, så för att vara smart behövde den ansluta till internet, för att berätta om saker och produkter som går ut efter förfallodatum, behövde den kunna maila dig. Och vi upptäckte att du kunde köra förbi någons kylskåp och stjäla ditt Gmail-lösenord från ett kylskåp. Vilket är dumt, eller hur?

Men vi ser också Bluetooth-enheter. Vi har sett smarta kaffemaskiner som var helt sårbara. Så du kan göra några galna saker som att stoppa kaffemaskinen att fungera. Men sedan började vi se enheter som kan användas som en piggyback i din organisation. Så vi började återigen se tillbaka till skuggtekniken, göras smarta, så att anläggningar som folk kan administrera, jag vet inte, portledningarna eller HVAC från sin mobiltelefon, med hjälp av en app. Och sedan upptäcker vi att det finns sårbarheter i appen, API:et i smarts-produkten också, och du kan använda det som en bakdörr in i organisationen. Så BYOD i samband med smarta enheter gör företag mer sårbara.

Laurel: Jag tänker också på några mycket glänsande kontorsutrymmen med smarta tv-apparater som standardinställningar för konferenssamtal och till och med smarta whiteboards, eller hur?

Ken: Ja. Kommer du ihåg en historia för ett tag sedan om Samsungs smarta TV-apparater som visade sig lyssna på dig? Kommer du ihåg den där?

Laurel: Åh, ja.

Ken: Ja, det var vårt jobb. Någon ljus gnista hade lagt märke till i villkoren ... Vem läser villkoren för din TV, eller hur? Ingen gör. Men någon ljus gnista hade läst den och såg en mening där inne som sa något i stil med: 'Säg inget känsligt runt din TV. Och nu fick det lite täckning. Vi tog upp det, för jag hade en Samsung smart-TV med röststyrning hemma. Så jag gick hem den kvällen, hämtade min TV, tog med den till mitt kontor nästa dag mycket av min frus förvirring och vi kopplade upp den till några sniffningsprodukter. Vi fick lite teknik där och började lyssna på internettrafiken som TV:n skickade. Så jag undrar om det ligger något mer i detta. Och vi upptäckte att inte bara TV:n lyssnade på dig, den skickade också det du sa i vanlig text, okrypterat, över det offentliga internet till tredje part utomlands. Och det var riktigt obehagligt.

Laurel: Otrolig. Ditt arbete är bara, infiltrerar varje hörn, vilket jag tror att det är hela poängen, eller hur? När vi blir smartare och vill göra saker snabbare var som helst när som helst, måste vi faktiskt tänka på säkerhet först och hur vi lägger in det i nästan varje åtgärd.

Ken: Jag tror att det är av effektivitetsskäl, ekonomi och bara att jobba smart. Jag tror att tekniken kommer in i allt vi gör och problemet är att den rusas in utan tillräckligt med tanke på säkerheten. Så vi gör saker smarta och gör saker sårbara.

Laurel: Så kan jag koppla det till de supersystemiska bristerna? Så när vi gör det och sedan har massdistribution av vad som helst, oavsett om det är en app eller en tv-apparat, vad händer då? Hur backar man då sårbarhet när den finns överallt?

Ken: Vi pratade kort om API-säkerhet, så varje gång du gör något smart kommer du förmodligen att koppla upp det till en mobilapp. Det är förmodligen syftet med att göra det smart, så att du gör det enkelt att administrera på distans så att du kan se dina saker hemma, på kontoret, din CCTV från var som helst i världen. Och för att göra det behöver du ett API.

Och det här stora problemet vi hela tiden upptäcker är att alla smarta produkter, de har API:er och att de inte är tillräckligt säkra. Så det är inte som att kanske säga att hacka en enhet. Det är en sak att gå upp till en smart enhet i en persons hem eller kontor och hacka en av dem. Det som verkligen stör mig är när vi upptäckte att vi på distans kan hacka alla enheter och helt plötsligt börjar du tänka på ett smart fordon och du upptäcker en sårbarhet i API:et som gör att du kan stoppa alla fordon i den flottan som använder appen. Så du får hela fordonsflottor att stanna.

Och det är vad vi menar med supersystemisk. Det gäller för hela ekosystem av enheter. Kommer ofta tillbaka till en enda plattformsleverantör som kanske tillhandahåller tjänster till massor av olika märken och leverantörer. En sårbarhet påverkar allt.

Laurel: Hur många gånger om dagen nämner någon, Är du säker på att vi inte lever i ett avsnitt av Svart spegel ?

Ken: Nåväl, konstigt nog var en av mina första utflykter på TV med producenten av Svart spegel . Jag presenterade honom för min vän Cayla för många, många år sedan. Han är en väldigt, väldigt smart kille. Ja.

Laurel : Och det har förföljt honom sedan dess. Ja.

Ken: Jag tror det. Det är problemet vi har är att vi bara rusar. Vi går för fort. Missförstå mig inte. Det finns några leverantörer där ute som tar säkerhet på största allvar och gör det riktigt bra, och jag berömmer dem. Problemet är att de är mycket undantag från regeln. Jag önskar att alla leverantörer var lika engagerade, och det är därför jag är ledsen över att jag tror att reglering är det enda sättet, för om vi inte tvingar tillverkare att börja spela som de goda, tror jag inte att det kommer att finnas några ekonomiska kommersiella incitament för dem att göra det. Det finns inget sätt att märka produkten. Det finns inget sätt att ta reda på vilka produkter som är säkrare än de andra, varför jag tyvärr tror att reglering är svaret.

Laurel: Intressant. Så du skulle nästan vara som rättvisemärkt för säkerhet.

Ken: Ja, det har varit ganska mycket arbete med det i olika länder. Jag vet att det har gjorts en del arbete i USA och säkerligen även i Europa, men utmaningen är hur du tillhandahåller en enda etikett som talar om för dig hur säker eller inte en produkt är? Det är en riktigt svår sak att göra eftersom säkerheten är så många aspekter. Du tänker på den genomsnittliga smarta enheten, den kommer att ha några marker där. Det kommer att ha lite firmware där. Det kommer att ha lite radiofrekvensgrejer som Wi-Fi eller Bluetooth, kanske ZigBee eller Z-Wave. Den kommer att ha ett API, den kommer att ha en mobilapp. Det kommer att ha en molninfrastruktur. Det kommer att ha en telematikplattform. Det är så komplicerat att det gör märkning riktigt, riktigt svårt.

Laurel: Vad händer i högt reglerade branscher? Jag läste ett stycke om satelliter. Hur hackar man en satellit eller säkrar en satellit?

Ken: Det har gjorts, och jag är faktiskt väldigt engagerad i Defcons flyg- och rymdby. Vi hade vår första utflykt på sommaren förra året, och under nästa år har vi haft ett visst intresse från satellittillverkare och operatörer. Och vi hoppas kunna bygga en plattform på Defcon för människor, forskare, intresserade parter för att hjälpa till att garantera säkerheten för satelliter, vilket jag tycker är jättebra. Det involverar hela samhället för att hjälpa hela branschen att förbättra sin cybersäkerhet.

Nu finns det ett exempel på en reglerad bransch, jag tror att jag skulle vilja hålla upp som ett bra exempel. Så i USA regleras och godkänns smarta hälsovårdsenheter, en del av dem, av Food and Drug Administration. Och det var ett av de allra första områdena där reglering infördes som har gjort verklig skillnad. Och jag gratulerar den marknaden för att ha tagit stora steg mot cybersäkerhet. Varför? Jo, för att vi pratar om anordningar på liv och död. Vi pratar om enheter som håller oss vid liv. Så återigen, ett bra fall för att ta in standarder, förbättra allas spel och visa att vi faktiskt kan skapa säkra enheter som håller oss säkra och håller oss vid liv.

Laurel: Jag tycker att vi hörde en historia för ett par år sedan om att pacemakers hackades. Så detta verkar vara ett bra skäl för reglering.

Ken: Ja, det var verkligen fantastiskt att FDA steg upp där faktiskt. Var det en brist på uppmärksamhet på detaljer, kanske för att ge många av tillverkarna fördelen av tvivel, jag tror att det förmodligen var de bara inte riktigt tänkte tillräckligt djupt på cybersäkerheten. Du går och köper några komponenter; du går och hämtar lite utveckling, och alltför ofta görs antaganden om huruvida enheter är cybersäkra. Och jag tror faktiskt att vad förordningen har gjort är att den har uppmuntrat människor och tvingat människor att faktiskt gå och ställa de svåra frågorna, för att se till att utvecklarna du använder får cyber och se till att chipseten du använder har rimliga säkerhetsfunktioner som en miljö för trustexekvering, säker lagring, bra källa till entropi, alla dessa användbara saker som du inte kommer att få om du inte ställer frågorna eller specificerar i din upphandling.

Laurel: Så berätta en historia för mig om en av dina favoriter med penntestning.

Ken: Herregud. Vart ska jag börja?

Laurel: Tja, jag gav liksom en hint i början av avsnittet med oljeriggen.

Ken: Ah, så på senare tid har vi börjat titta på sjöfart. Så vi har tittat på frakt. Det är ett område som verkligen har fått lite uppmärksamhet från cyberbranschen under de senaste åren. Och anledningen till det är främst att fartygen var offline. Du hade Wi-Fi från land och 4G när du är i land, men så fort det fartyget satte iväg är du faktiskt offline.

Ja. Så du kan få en satellittelefon men de är dyra och du kan använda bredbandssatcoms, men de är skrämmande dyra dataanvändning. Så i alla avseenden, ett fartyg, när det väl hade seglat, var det offline. Och allt förändrades för två, tre, fyra år sedan med tillkomsten av VSAT.

Helt plötsligt blev satcomer överkomliga, och det innebar att fartygen kunde börja övervakas för effektivitet, bränsleanvändning, rutin, alla dessa viktiga saker som sparar alla pengar. Och det innebar också att ditt team – du kunde anställa det bästa teamet eftersom de ville ha dataplaner, de ville ha tillgång till sociala medier och du kunde ge dem det. Så du har de bästa människorna som arbetar på de bästa fartygen och levererar den bästa effektiviteten. Fantastisk.

Men på vägen tänkte ingen på cyber. Så fartyg ansluts till internet utan tanke på säkerheten och säkerheten för det fartyget. Så vad vi har gjort under de senaste åren är att arbeta på fartyg med framåttänkande operatörer som säger, OK, låt oss kolla upp det här.

Och ett bra exempel var en prospekteringsborrigg som vi tittade på. Det var en organisation som skulle göra ett tidigt skede av brunnutforskning. Det fanns en självgående rigg och hade satellit VSAT-anslutning, och vi ombads titta för att se om vi i teorin kunde avbryta dess förmåga att borra. Och vad vi fann var en brist på effektiv segregation mellan de olika nätverken. Så vi kunde borra kontrollnätverk, vi kunde komma åt företagsnätverk, vi kunde komma åt besättningsnätverk, vi kunde se internet, vi kunde se allt.

Och även om organisationen hade gjort några ganska rimliga åtgärder för att säkra saker, är det som faktiskt händer att besättningen i drift ofta bryter ner den segregationen. Varför? Eftersom jag vill streama Spotify när jag arbetar med borrhuvudet, så de installerar en Wi-Fi-router så att jag kan få Spotify i mina hörlurar medan jag är där ute på däck. Och sedan upptäckte vi slumpmässiga saker som att fjärråtkomst var inkopplad, tillgänglig från det offentliga internet. Och vad som i huvudsak hände är att vi upptäckte över det offentliga internet utan någon autentisering, vi kunde ta kontroll över motorer och andra kritiska system på fartyg och riggar runt om i världen.

Bokstavligen stänga av motorer, sätta på motorer, påverka styrväxeln, potentiellt krascha fartyg genom att störa navigationssystem om vi så ville. Nu har det varit väldigt lite kriminell verksamhet i det här utrymmet, men det börjar dyka upp. Vi börjar se rättsfall dyka upp, där om du sedan analyserar domstolshandlingarna kommer du att se bevis på attacker.

Det skedde en attack mot en superyacht vid namn Lady May för ett par år sedan som undersöktes av FBI, och det såg ut som att vissa av kontrollsystemen på fartyget manipulerades av okända personer, möjligen främmande makter. Det har redan gjort pressen, men det finns ett ökande antal anekdotiska historier och berättelser som börjar få industrin att pressa om fartyg som antingen upplever saker som ransomware på navigationssystemen eller direkta och avsiktliga hacks.

Laurel: Skrämmande.

Ken: Ja. Det tråkiga är att det mesta av detta läser som manuset till hackare , filmen, så ja. hackare 20-plus år sedan förutspådde berättade framtiden.

Laurel: Gör inte science fiction ofta. Titta, Ken, tack så mycket för att du följde med mig för detta fantastiska samtal på Business Lab. Jag uppskattar det verkligen.

Ken: Tack. Härligt att prata med dig.

Laurel: Det var Ken Munro, grundare och partner på Pen Test Partners, som jag pratade med från Cambridge, Massachusetts, hemmet för MIT och MIT Technology Review, med utsikt över Charles River. Tack också till vår partner, Microsoft Security.

Det var allt för det här avsnittet av Business Lab. Jag är din värd, Laurel Ruma. Jag är chef för Insights, avdelningen för anpassad publicering av MIT Technology Review. Vi grundades 1899 vid Massachusetts Institute of Technology, och du kan hitta oss i utskrifter på webben och vid dussintals liveevenemang varje år runt om i världen. För mer information om oss och showen, kolla in vår hemsida på technologyreview.com.

Den här showen är tillgänglig var du än får dina poddar. Om du gillade det här avsnittet hoppas vi att du tar dig tid att betygsätta och recensera oss. Business Lab är en produktion av MIT Technology Review. Det här avsnittet producerades av Collective Next. Tack för att du lyssna.

Säkerhetshot finns överallt. Det är därför Microsoft Security har över 3 500 experter på it-brottslighet som ständigt övervakar efter hot för att skydda ditt företag. Mer på microsoft.com/cybersecurity .

Dölj