Proteger el Internet de las cosas y su lugar de trabajo

Más dispositivos están en riesgo de ser atacados. El experto en seguridad cibernética Ken Munro analiza las vulnerabilidades que se deben tener en cuenta y cómo mantenerse a salvo.





26 de febrero de 2020

Producido en colaboración con Seguridad de Microsoft

En este episodio, analizamos la necesidad de proteger el Internet de las cosas, los espacios de trabajo físicos y los productos que fabrican las empresas. Desde aviones hasta juguetes para niños y plataformas petroleras, más dispositivos conectados son vulnerables a los ataques que nunca. Ken Munro es un investigador de seguridad de Internet de las cosas, probador de penetración y escritor con dos décadas de experiencia en la industria de la seguridad. También es el fundador de la empresa de servicios de seguridad Pen Test Partners.

Munro ayuda a exponer las vulnerabilidades en los elementos que usamos todos los días, y analiza algunas de las habilidades más importantes que pueden tener los expertos en seguridad cibernética, por qué las empresas están en riesgo de violaciones de la seguridad física y algo que él llama fallas supersistémicas.

Business Lab está organizado por Laurel Ruma, directora de Insights, la división de publicación personalizada de MIT Technology Review. El programa es una producción de MIT Technology Review, con la ayuda de producción de Collective Next. La música es de Merlean, de Epidemic Sound.



Mostrar notas y enlaces

Ken Munro , en Twitter

Ken Munro , Socios de prueba de penetración

Relojes Kids Tracker: CloudPets, que explotan a los atletas y se apropian de los reality shows, Blog de seguridad de socios de pruebas de penetración



¿Crees que has tenido una brecha? Las 5 mejores cosas que hacer, Blog de seguridad de socios de pruebas de penetración

Internet de las cosas seguridad, una presentación TEDx de Ken Munro

Transcripción completa

Laurel Ruma: De MIT Technology Review, soy Laurel Ruma, y ​​esto es Business Lab, el programa que ayuda a los líderes empresariales a dar sentido a las nuevas tecnologías que salen del laboratorio y llegan al mercado.



Las amenazas a la seguridad están en todas partes. Es por eso que Microsoft Security cuenta con más de 3500 expertos en delitos cibernéticos que supervisan constantemente las amenazas para ayudar a proteger su negocio más en microsoft.com/cybersecurity .

Nuestro tema de hoy es la ciberseguridad, pero más específicamente la importancia de proteger el Internet de las cosas, su lugar de trabajo físico y sus productos. Ah, y hackear aviones, barcos y automóviles. Tres palabras para usted para: plataforma petrolera a control remoto. Mi invitado es Ken Munro, un experto investigador de seguridad de Internet de las cosas, probador de penetración y escritor con dos décadas de experiencia en la industria de la seguridad. Es el fundador y socio de Pen Test Partners y también es posible que haya visto algunas de sus hazañas con autos sin llave, juguetes para niños, aviones, y hablaremos más sobre lo que lo mantiene despierto por la noche: fallas supersistémicas. Ken, gracias por acompañarme en Business Lab.

Ken Munro: Oh gracias.

Laurel: En primer lugar, ¿puede decirme cómo se interesó por la seguridad, pero específicamente en el contexto de los dispositivos y el Internet de las cosas?

Conocido: Me encantaría decirte que tuve una juventud malgastada, pero es mucho más aburrido. Pasé un tiempo después de estudiar en una universidad mirando restaurantes. Y recuerdo que cogí un trabajo donde estaba administrando un restaurante, y una tarde aburrida cuando estaba tranquila, comencé a jugar con el sistema de punto de venta, muy, muy viejo. Después de jugar un poco, podría colapsarlo en DOS, una versión anterior de DOS. Luego descubrí que podía imprimir mis declaraciones de amortización de la hipoteca, para poder recibir mis pagos, lo cual era algo extraño para imprimir en un cheque de restaurante. Pero uno de mis jefes vino después y dijo: 'Creo que tal vez estás en la carrera equivocada'. Supongo que fue una buena manera de despedirme, pero eso me llevó a los antivirus, luego a los firewalls y la ciberseguridad en general.

Laurel: Entonces, además de la curiosidad, ¿cuáles son algunas de las habilidades que deben tener los expertos en ciberseguridad además de, por supuesto, sus excelentes habilidades técnicas?

Conocido: Curiosidad, esa es una muy buena palabra en realidad, porque cuando miro lo que hacemos como probadores de penetración, hackers éticos, si lo prefiere. Es tratar de pensar de la forma en que las personas que desarrollaron el sistema no lo hicieron. Es tratar de pensar en todos los posibles errores que se han cometido, las cosas que se han pasado por alto, y simplemente hurgar en ellas, rascarse esas picaduras para ver si puede encontrar un error cometido.

Mencionaste lo que llamamos fallas supersistémicas, una muy común que encontramos en las API [interfaces de programación de aplicaciones]. Entonces, la API que encuentra en una aplicación móvil para tal vez un dispositivo inteligente, y con tanta frecuencia encontramos que los desarrolladores, mientras autentican a sus usuarios correctamente, a menudo se olvidan de autorizarlos correctamente. Y con eso quiero decir que inicias sesión, creas tu cuenta, inicias sesión, dices que eres tú. Pero el desarrollador en algún momento se olvidó de verificar que todas las solicitudes provinieran de usted, lo que significa que potencialmente puede saltar a las cuentas de otros, ejecutar acciones en nombre de ellos y romper la segregación.

Laurel: Si estoy en esa situación, y soy usted, un evaluador de penetración en una empresa y luego tengo que decirle a alguien, creo que tenemos un error aquí, ¿cómo se desarrolla esa conversación? ¿A quién le dices algo?

Conocido: Hablemos de investigación independiente. Hacemos mucho trabajo a nuestro propio costo, comprando productos y analizándolos, buscando si podemos encontrar vulnerabilidades. En parte, es una buena práctica, un buen ejercicio, pero también es útil porque mejora el estado de seguridad. Entonces, si encontramos una vulnerabilidad, lo primero que queremos hacer es informar al fabricante al respecto. Queremos decírselo en privado, confidencialmente para que puedan arreglarlo.

Pero muy a menudo, el problema es que la primera comunicación que realiza llega a las personas equivocadas o llega a una organización que simplemente no está acostumbrada a lidiar con vulnerabilidades: es la primera vez para ellos. Entonces, ¿cómo lidiar con alguien completamente frío que se acerca y dice: 'Oye, encontramos una vulnerabilidad en tus cosas'? La mayoría de la gente lo toma como una crítica percibida, que no es la intención en absoluto. Pero si alguien dice, Tienes un error en tu producto, lo primero que haces es levantar las manos, Oye, oye, espera, espera. No no no no. Tenemos que defender nuestra marca. Y ese suele ser el primer problema, la gente no se toma bien las críticas constructivas, lo que hace que la vida sea muy difícil para un investigador de vulnerabilidades.

Laurel: Pero también hay que tener ese tipo de tacto especial, ¿no? La forma en que comunica los problemas a estas diferentes empresas con productos o millones y miles de millones de dólares invertidos en...

Conocido: Sí. Pienso en ello como un juego de ajedrez en realidad. Porque sé que si entramos agresivamente con demasiada fuerza, probablemente se levantarán y, en lugar de corregir la vulnerabilidad, probablemente harán algo que no queremos ver. Se pondrán agresivos, comenzarán a tratar de gritarnos u ocasionalmente hemos recibido amenazas legales que no tenían fundamento pero que son irritantes y costosas de defender.

Por lo tanto, se trata de hacerse escuchar por las personas adecuadas en la organización que entienden la seguridad, que entienden el impacto potencial en su marca si alguna otra persona sin ética la encuentra. Obteniéndolos, engatusándolos, trabajando con ellos, brindándoles las herramientas que necesitan para que puedan solucionarlo rápidamente. Y luego se soluciona la vulnerabilidad y todos están mejor.

Laurel: Cuando estás en una situación, en realidad tienes que tener una contraparte en la organización, y estamos viendo que no necesariamente todas las organizaciones tienen a alguien como un CISO, o habrá alguien nombrado a cargo de la seguridad. ¿Cómo navega con cuidado en esas aguas? ¿Qué tipo de habilidades y técnicas de comunicación utiliza para transmitir sus puntos?

Conocido: ¿Cómo los encuentras? Eso puede ser un verdadero problema. Tal vez, en primer lugar, comience con un formulario de contacto, y probablemente vaya a alguien que no entiende de ciberseguridad. Va a terminar en el lugar equivocado. Tuvimos algunos problemas hace muchos, muchos años con Fitbit en el pasado, comenzamos con el formulario de contacto y simplemente se fue al éter. No pasó nada. Intentamos llamar a la asistencia técnica, pero era atención al cliente, y simplemente no se solucionó.

Y todo iba un poco mal. Y luego, por pura casualidad, un amigo de un amigo comenzó como su experto en seguridad interno, y está a punto de ocurrir un choque de trenes. Y tomó el teléfono de manera proactiva y se puso en contacto, dijo: 'Hola Ken, creo que conocemos a alguien, conocemos al mismo tipo. Escuché que estabas tratando de reportar una vulnerabilidad. Y de lo que podría haber sido una situación muy difícil en la que hay una vulnerabilidad, no se soluciona, el proveedor no escucha. En realidad, se atajó muy rápidamente y el producto se arregló muy rápidamente. El firmware se actualiza en poco más de una semana y fue una verdadera historia de éxito para todos.

Laurel: Eso es excelente. Supongo que eso es lo que queremos escuchar más. ¿Correcto?

Conocido: Sí. Ojalá eso sucediera cada vez.

Laurel: Bueno, eso es probablemente lo que hace que tu trabajo también sea tan interesante. ¿Cómo ve la escasez actual de profesionales de la seguridad? Simplemente en toda la industria, ¿cuáles son algunas de las cosas que busca o desearía poder agitar con una varita mágica y arreglar? ¿Cómo se arregla la canalización del profesional de seguridad?

Conocido: Dios, esa es una pregunta profunda. Es bien sabido que hay escasez de habilidad. Creo que uno de los verdaderos desafíos en el espacio de pruebas de penetración, donde las personas piratean éticamente, es que a menudo se pasa por alto lo importante que es poder comunicarse. Quiero decir, las habilidades tecnológicas increíbles son esenciales, pero en realidad son esas habilidades de comunicación las que a menudo se olvidan, porque si los resultados de sus hallazgos no se comunican de la manera correcta, a la audiencia correcta, a la persona correcta, entonces en realidad, las cosas no se arreglan.

Si bien tenemos un programa de academia: tomamos personas, las entrenamos, tienen habilidades en bruto, las convertiremos en evaluadores de pluma de pleno derecho. Lo que realmente estoy buscando es esa capacidad de comunicación. Si no puede comunicar las cosas asombrosas que ha encontrado, diría que es mejor que no se haya molestado en encontrarlas.

Laurel: Solo entra en ese viejo dicho, bueno, mi viejo dicho: la tecnología es fácil, la gente es difícil.

Conocido: Totalmente.

Laurel: Ese es el tipo de habilidades que, al parecer, la mayoría de las empresas ahora se están dando cuenta de que puedes enseñar tecnología, ¿verdad? Puedes enseñar a codificar. Usted puede enseñar estas habilidades. Obviamente, algunas personas tienen una capacidad innata para hacerlo, pero la comunicación es lo que es fundamental, para llevar a toda su organización a ese nivel y, de hecho, es un diferenciador competitivo.

Conocido: Sí, en realidad es una verdadera sorpresa. Realmente recomiendo encarecidamente a las personas que piensen con quién están hablando. Entonces, estás haciendo algo genial, inteligente, muy inteligente y técnico, pero en realidad pensando en la audiencia, la persona que recibe eso, piensa en cómo lo recibirán y la forma en que resolverán ese problema más rápido.

Laurel: Sí, se trata de los usuarios, ¿verdad? O sus clientes y, en cierto sentido, son sus clientes porque está tratando de desarrollar esta relación de una forma u otra con un completo extraño y haciéndole saber algunas noticias particularmente malas.

¿Cree que debido a que la seguridad se está volviendo más importante dentro de la organización, ya no es una función administrativa que la gente lo está viendo tal vez como una profesión más interesante, porque está abierta, la gente está hablando de eso? . Ya no está escondido detrás de una especie de cortina negra.

Conocido: Sí, sin embargo, ha sido genial ver el mayor perfil que se ha traído a la industria cibernética. Están empezando a aparecer más cursos de nivel universitario, lo cual es fantástico, lo que está mejorando la oferta de personas. Pero creo que muchas organizaciones, particularmente aquellas que han sufrido infracciones de alto perfil, han aprendido quizás de la manera más difícil que la única forma de lidiar realmente con la cibernética es incorporándola al negocio. Si lo coloca como una subsidiaria del departamento de TI, entonces realmente solo será una ocurrencia tardía. Mientras que si lo integras en el negocio y haces que alguien sea realmente responsable, que realmente entienda cómo evaluar el riesgo y comunicar el riesgo, si están sentados en el nivel exacto, están sentados en la junta, entonces creo que verás un cambio de mentalidad dentro de la organización.

Doy un poco de enseñanza a nivel de directorio, y ha sido genial ver cómo si puedes hacer que el director ejecutivo comience a pensar en su seguridad personal, en su seguridad personal, en la seguridad de su familia. Comienzan a pensar en contraseñas, comienzan a pensar en actualizar los sistemas, comienzan a pensar en enseñar a las personas y, de repente, ves que el cambio de mentalidad se filtra desde la parte superior del negocio hasta las personas. Entonces, en lugar de intentar imponer la seguridad en una organización, en realidad se congela por goteo desde la parte superior e impregna todo lo que hace la empresa.

Laurel: Definitivamente más un enfoque de seguridad primero. Y cuando como parte de todo, no piensas tanto en ello como una intrusión en tu funcionamiento diario.

Me gustaría enmarcar nuestra discusión de una manera que hable sobre cómo una brecha de seguridad cibernética puede ocurrir en cualquier lugar, obviamente con los empleados, los productos e incluso el edificio de oficinas físicas en el que se encuentra su empresa. ¿Puede hablar sobre por qué la seguridad física es crítica? para que las empresas piensen?

Conocido: Oh Dios mío. A medida que comienza a mejorar su seguridad cibernética, comienza a mejorar sus defensas, comienza a descubrir que es cada vez más difícil penetrar en su organización desde Internet. Y con suerte, incluso si alguien lo penetra de forma remota, tiene algunas herramientas que lo alertan a usted y a un equipo de personas para que realmente lo marquen. Cada vez es más difícil penetrar el perímetro de la organización. Y ahí es cuando los tipos de ataques físicos de mayor riesgo comienzan a ser interesantes. Cuando comenzamos a hablar de ingeniería social, cuando nuestro trabajo es engañar para entrar en una organización, plantar una puerta trasera físicamente dentro de la organización o robar datos físicamente. Las cosas de las películas, ¿verdad?

Pero a menudo encuentras que esos dos campos en realidad están estrechamente vinculados. Me gusta buscar la sombra de TI en una organización. Me gusta buscar el sistema de gestión de edificios. El HVAC, lo que controla sus ascensores, que los controla subir y bajar. La tecnología que controla las luces de su portón. La tecnología que controla las cerraduras electrónicas de sus puertas, sus controles de acceso. ¿Por qué? Porque esos sistemas a menudo se encuentran fuera de su departamento de TI convencional. Tal vez la gente de las instalaciones puso eso. Tal vez el subcontrató a un tercero que tiene acceso remoto, lo cual se ha hecho mal. ¿Suena descabellado? Bueno, ha habido muchas brechas grandes que han ocurrido exactamente a través de esa ruta.

Entonces, si somos ingeniería social y encuentro sus controladores de administración de edificios en Internet público, no es difícil hacerlo. Camine hasta la oficina, abra las cerraduras de las puertas electrónicamente, de forma remota, y abra las puertas de par en par. En tu vas.

Laurel: ¿Está descubriendo que su negocio es una combinación uniforme de vulnerabilidades de violación de datos y físicas, o las personas se enfocan y piensan en los datos primero y luego en lo físico después?

Conocido: Me gusta pensar en ello como una mezcla de ambos. Creo que algunas de las organizaciones más previsoras y progresistas se dan cuenta de que es una combinación. Tienes que abordar ambos. Sí, puede formar un equipo rojo en la organización, puede atacarla de forma remota y puede asegurarse de que esté bien configurada para detectar y responder a las infracciones cibernéticas, pero al mismo tiempo también debe cubrir el lado físico. .

Mi experiencia ha sido que cuando trabajas con el lado físico del negocio, comienzas a ayudar a la organización a construir puentes entre su departamento de TI y su equipo de instalaciones. Y una vez que están hablando, una vez que el equipo de seguridad fiscal está hablando con el equipo de seguridad cibernética, obtienes algunas cosas realmente interesantes. Obtienes equipos que comienzan a trabajar juntos de manera cooperativa, sin ver que uno está en una caja y otros, bueno, otro está en un lugar completamente diferente.

Laurel: Entonces, ¿cuáles son algunos de los conceptos básicos que las empresas pueden considerar cuando piensan en las vulnerabilidades y tal vez en hacer las cosas por sí mismas antes de traer a alguien como usted para que las ayude?

Conocido: Ah, sencillo. Número uno, entonces, ¿qué cenamos afuera? Cenamos con contraseñas que no son lo suficientemente complejas, reutilizadas, predeterminadas o en blanco. Arregle eso, y nos hará la vida mucho más difícil. El siguiente grande, parchear. Sé que es muy aburrido, pero en realidad faltan parches, vulnerabilidades expuestas, los parches están ahí para corregir vulnerabilidades. Arreglas parches, me complicas la vida. Y lo último que miro para mirar es la gente. Entonces, puede culpar a las personas por hacer clic en los enlaces de los correos electrónicos y responder a los phishing, o puede enseñarles y capacitarlos. Pueden ser su peor enemigo de la seguridad, o pueden ser otro par de ojos que miran, detectan, informan, se sienten educados y empoderados. Por lo tanto, mi consejo antes de que se acerque a la entrada de terceros, resuelva las contraseñas, resuelva sus parches y enseñe a las personas sobre cibernética.

Laurel: Higiene básica de seguridad. ¿Cómo trabajan las empresas con los socios para garantizar que los componentes de su producto sean seguros? Entonces, esa cadena de suministro de terceros podría ser cualquier producto, pero básicamente estoy pensando en un automóvil que se fabrica en Detroit y tiene una unidad de GPS de un proveedor diferente y un centro de entretenimiento de un tercero. Y esa es literalmente una descripción muy básica de los proveedores externos en un automóvil, pero creo que eso es lo que pensamos cuando pensamos en la piratería. Entonces, cuando observamos todo el ecosistema de proveedores externos, ¿dónde comenzaría si fuera un proveedor de automóviles o cualquier otra empresa?

Conocido: Así que es genial poner tu propia casa en orden y solucionar tu propia seguridad. Pero tan a menudo que el atacante se moverá a la parte más vulnerable, y esa será probablemente su cadena de suministro. Porque es su organización, son sus datos, son sus clientes. Te tomas esa información y la ciberseguridad de eso muy en serio. Pero tan pronto como comienza a moverse en la cadena de suministro, ya no son sus datos. Entonces, lo primero que debe hacer es comenzar a hacer preguntas.

Con solo comenzar a hacer preguntas, rápidamente comenzará a apreciar cuán maduros son sus proveedores en términos de ciberseguridad. A menudo veo organizaciones a las que se nos pide que auditemos y decimos: 'Bueno, no podríamos compartir esa información contigo por razones cibernéticas', y te das cuenta de que es solo una cortina de humo. Su proveedor debería estar muy feliz de compartir sus procesos de seguridad con usted, porque tener un proceso cibernético no significa exponer vulnerabilidades. Demostrar que son una organización madura que se ocupa de la ciberseguridad y la seguridad de los datos que procesan para usted debe ser un proceso abierto. Haga preguntas, audite a sus proveedores, hable con ellos sobre seguridad. Y más que nada, un consejo que puede extraer de esta pequeña entrevista es incluir la ciberseguridad en sus términos de adquisición contractual. Lo que significa que A, están pensando seriamente en lo cibernético antes de firmar su contrato, y B, si sale mal, tiene derecho a recurrir. Muy, muy importante. Integre lo cibernético en su adquisición.

Laurel: Sin embargo, ¿diría que las empresas realmente examinan a menudo a sus proveedores externos? ¿Es esta una nueva forma de pensar que las empresas necesitan realmente, como dijiste, integrarse en cada parte de la forma en que trabajan con proveedores externos?

Conocido: Algunas veces. Así que he estado haciendo divulgación y enseñando en la profesión legal exactamente sobre este concepto. Lo he hecho durante algunos años, y este año acaba de terminar, dije, mira, ¿alguien ha incorporado cibernético en sus contratos? Y una mano se levantó en la audiencia, y sentí un pequeño brillo. Dijeron: 'Sí, seguimos tu consejo. Hemos integrado los 10 mejores proyectos de seguridad de aplicaciones web abiertas en nuestros contratos de desarrollo con terceros.' Así que se suscribieron por contrato para entregar código que no es vulnerable al OWASP [Open Web Application Security Project] top 10, y pensé que era una gran victoria. Un pequeño paso. Así que por favor, todos, hagan eso. Integre términos simples de seguridad cibernética en los contratos, y simplemente hace la vida mucho más fácil si hay un problema.

***

Laurel: La ciberseguridad no se trata solo de detener las amenazas que ve. Se trata de detener a los que no puedes ver. Es por eso que la seguridad de Microsoft emplea a más de 3500 expertos en delitos cibernéticos y utiliza IA para ayudar a anticipar, identificar y eliminar amenazas para que pueda concentrarse en hacer crecer su negocio, y la seguridad de Microsoft puede concentrarse en protegerlo. Obtenga más información en microsoft.com/cybersecurity .

***

Laurel: Entonces, dando un paso atrás y mirándolo desde la distancia, ¿cómo pueden las normas y estándares de seguridad realmente ayudar a las empresas? A menudo, probablemente sientan que están solos en esto, pero hay agencias o departamentos como el NIST [Instituto Nacional de Estándares y Tecnología] que pueden ayudar.

Conocido: Sí hay. Por lo tanto, sorprendentemente falta regulación en el ciberespacio. Es algo por lo que he estado cabildeando y haciendo campaña durante varios años, particularmente en el espacio del IoT [internet de las cosas] para el consumidor. Es una especie de salvaje oeste. Seguimos encontrando vulnerabilidades muy graves día tras día en los productos de consumo de IoT. Y mis sentimientos, aunque no soy un gran defensor de la regulación porque prefiero mucho la dinámica de libre mercado, en el espacio de IoT del consumidor creo que hubo un caso muy sólido para la regulación. Me complació mucho ver que en California se promulgó el proyecto de ley 327 del Senado, que entró en vigor el primero de enero de este año. Y lo que me hizo muy feliz fue que el presentador de los proyectos de ley citó parte de nuestro trabajo en una muñeca Bluetooth para niños vulnerables llamada My Friend Cayla como la inspiración y el catalizador detrás de esa regulación. Y aunque la regulación es bastante básica, creo que es un muy buen paso en la dirección correcta. Y es triste, pero particularmente en IoT de consumo, creo que necesitamos regulación.

También hemos tenido algunos éxitos en el Reino Unido. Acabamos de terminar la consulta y el gobierno se comprometió a introducir alguna regulación básica para proteger a los consumidores de los fabricantes de productos inteligentes que no juegan con seguridad con nuestros datos y nuestra privacidad.

Laurel: ¿Puedes hablar un poco sobre My Friend Cayla? Ese fue un experimento interesante.

Conocido: So My Friend Cayla es una muñeca infantil parlante interactiva con la que me topé por primera vez hace unos cinco años. Ahora usó una aplicación móvil para escuchar las palabras que el niño le decía a la muñeca, procesarlas en texto y luego responder una serie de preguntas. Para que el niño pudiera tener una charla interactiva con una muñeca, lo cual fue muy divertido. Ahora que vi esta muñeca, me di cuenta de que se comunicaba por Bluetooth con el teléfono móvil. Entonces, lo que quería saber era qué tan segura era esa conexión Bluetooth. Y el problema era que en realidad no lo era.

Entonces, cuando conecta su teléfono celular a su vehículo para poder hacer llamadas telefónicas, ingresa un PIN, ¿verdad? PIN de seis dígitos. Y eso crea una conexión relativamente segura. El problema con My Friend Cayla es que cuando se conecta a su teléfono, no hay ningún PIN, lo que significa que cualquier persona cercana puede unirse y conectarse. Entonces, de nuevo, el hacker en mí está pensando, me pregunto si puedo hacer que la muñequita de este niño inocente jure. Así que nos dimos cuenta de que podíamos alterar la aplicación móvil, y el niño podía decirle lo que quisiera a la muñeca, y ella respondía maldiciendo. Así que la he grabado para ti justo aquí.

Grabación: Oye, cálmate o te sacaré el [bip] a patadas.

Laurel: Eso es increíble.

Conocido: Pero peor que eso, debido a que no había encriptación en la conexión Bluetooth, cualquier persona cercana podía conectarse al micrófono de la muñeca y escuchar a sus hijos, o al altavoz de la muñeca y hablar con su hijo. Así que estamos hablando de gente en la casa de al lado, gente en la calle afuera. Así que la gente podría meterse con tus hijos a través de esta muñeca o, peor aún, podrían espiar tus conversaciones en tu casa porque pusiste una muñeca inteligente y se la diste a uno de tus hijos. Y no sé ustedes, pero hay conversaciones que no me gustaría que escucharan mis vecinos. ¿Correcto? Entonces, nuevamente, nuestra privacidad fue invadida por completo por una buena idea de una muñeca interactiva para niños.

Una buena noticia para esto es que se lo informamos al proveedor, quien lo desestimó y nos acusó de hacer una broma, pero afortunadamente el regulador de telecomunicaciones alemán se dio cuenta de que esto violaba algunas leyes de espionaje y privacidad del consumidor que quedaron justo después de la Segunda [ Mundial], y de la noche a la mañana prohibieron la muñeca. Era ilegal poseer esa muñeca en Alemania. Así que hay buenas noticias para salir de esto.

Laurel: Y un buen ejemplo de cómo la regulación puede ayudar en esos casos específicos. Para quedarnos en el tema de los dispositivos de consumo y unirlo a otra tendencia muy popular que es la de traer tu propio dispositivo al trabajo, o BYOD, qué pasa cuando la cafetera wifi del trabajo está conectada y puede ser un desprevenido punto de partida. para que un hacker lance un ataque en el lugar de trabajo? ¿Cuáles son algunos otros dispositivos vulnerables que las empresas pueden no pensar en considerar?

Conocido: Sí, BYOD a menudo se considera como teléfonos inteligentes y tabletas que se usan para trabajar. Para mí, es algo inteligente que ingresa al espacio de trabajo. Mi primera investigación en IoT fue en una tetera habilitada para Wi-Fi, y descubrimos que una vez que se conectaba a su red, podía pararme en la calle afuera, conectarme a la tetera y robar su contraseña de Wi-Fi de eso. Así que sí, podría hackear tu casa. Y si lo llevó a la oficina para preparar una taza de té o café, también podría robar la contraseña de Wi-Fi de su empresa. Así que BYOD es una preocupación real para mí en este momento. Comenzamos a buscar refrigeradores inteligentes hace un tiempo, así que, de nuevo, es difícil comprar bienes, bienes consumibles, electrodomésticos, para poner en sus oficinas que ya no son inteligentes.

Miramos un refrigerador inteligente Samsung con una gran pantalla grande en la puerta. Fue realmente gracioso. Así que tenía una cámara en el interior y una pantalla grande en el exterior. Y la idea era que pudieras ver lo que hay adentro sin abrir la puerta. Y estoy pensando, ¿por qué no abro la puerta? Seguramente. Pero de todos modos, lo que descubrimos, para ser inteligente, necesitaba conectarse a Internet, para informarle sobre las cosas y los productos que caducaban, salían después de su fecha de vencimiento, necesitaba poder enviarle un correo electrónico. Y descubrimos que podrías pasar frente al refrigerador de alguien y robar tu contraseña de Gmail de un refrigerador. ¿Qué es tonto, verdad?

Pero también estamos viendo dispositivos Bluetooth. Hemos visto cafeteras inteligentes que eran completamente vulnerables. Así que puedes hacer algunas cosas locas como detener el funcionamiento de la máquina de café. Pero luego comenzamos a ver dispositivos que se pueden usar como un complemento en su organización. Así que empezamos a ver, nuevamente, de vuelta a la tecnología oculta, haciéndola inteligente, para que las personas de las instalaciones puedan administrar, no sé, las líneas de la puerta o HVAC desde su teléfono móvil, usando una aplicación. Y luego descubrimos que hay vulnerabilidades en la aplicación, la API en el producto inteligente también, y puede usar eso como una puerta trasera en la organización. Entonces, BYOD en el contexto de los dispositivos inteligentes está haciendo que las empresas sean más vulnerables.

Laurel: También estoy pensando en algunos espacios de oficina muy brillantes con televisores inteligentes como valores predeterminados de llamadas de conferencia e incluso pizarras inteligentes, ¿verdad?

Conocido: Sí. ¿Recuerdas una historia de hace un rato sobre los televisores inteligentes de Samsung que se mostró escuchándote? ¿Recuerdas ese?

Laurel: Oh sí.

Conocido: Sí, bueno, ese fue nuestro trabajo. Alguna chispa brillante había notado en los términos de condiciones... ¿Quién lee los términos y condiciones de tu televisor, verdad? Nadie lo hace. Pero una chispa brillante lo había leído y vio allí una oración que decía algo así como: 'No digas nada sensible cerca de tu televisor'. Y ahora eso tiene un poco de cobertura. Nos dimos cuenta de eso, porque tenía un televisor inteligente Samsung con control de voz en casa. Así que fui a casa esa noche, tomé mi televisor, lo llevé a mi oficina al día siguiente, gran parte de la confusión de mi esposa, y lo conectamos a algunos productos para oler. Obtuvimos algunas tecnologías allí y comenzamos a escuchar el tráfico de Internet que enviaba el televisor. Así que me pregunto si hay algo más en esto. Y descubrimos que la televisión no solo te escuchaba, sino que también enviaba lo que decías en texto sin formato, sin cifrar, a través de la Internet pública a terceros en el extranjero. Y eso fue realmente desagradable.

Laurel: Increíble. Tu trabajo es solo, se infiltra en todos los rincones, y creo que ese es el punto, ¿verdad? A medida que nos volvemos más inteligentes y queremos hacer las cosas más rápido desde cualquier lugar y en cualquier momento, en realidad tenemos que pensar primero en la seguridad y en cómo la incorporamos en casi todas las acciones.

Conocido: Creo que es por razones de eficiencia, economía y trabajo inteligente. Creo que la tecnología se está metiendo en todo lo que hacemos y el problema es que se está incorporando sin pensar lo suficiente en la seguridad. Así que estamos haciendo cosas inteligentes y haciendo cosas vulnerables.

Laurel: Entonces, ¿puedo conectar eso con los defectos supersistémicos? Entonces, cuando hacemos eso y luego tenemos distribución masiva de cualquier cosa, ya sea una aplicación o un televisor, ¿qué sucede entonces? Entonces, ¿cómo rastrear la vulnerabilidad cuando está en todas partes?

Conocido: Hablamos brevemente sobre la seguridad de la API, por lo que cada vez que haga algo inteligente, probablemente lo conectará a una aplicación móvil. Ese es probablemente el propósito de hacerlo inteligente, para que sea fácil de administrar de forma remota para que pueda ver sus cosas en casa, en su oficina, su CCTV desde cualquier parte del mundo. Y para hacer eso vas a necesitar una API.

Y este gran problema que seguimos encontrando es que todos los productos inteligentes tienen API y no son lo suficientemente seguros. Así que no es como, por ejemplo, piratear un dispositivo. Una cosa es ir a un dispositivo inteligente en el hogar u oficina de una persona y piratear uno de ellos. Lo que realmente me molesta es cuando descubrimos que podemos hackear de forma remota todos los dispositivos y, de repente, comienzas a pensar en un vehículo inteligente y descubres una vulnerabilidad en la API que te permite detener todos los vehículos de esa flota. que usa la aplicación. Así que estás deteniendo flotas enteras de vehículos.

Y eso es lo que queremos decir con supersistémico. Se aplica en ecosistemas completos de dispositivos. A menudo regresa a un solo proveedor de plataforma que tal vez brindó servicios a muchas marcas y proveedores diferentes. Una vulnerabilidad afecta todo.

Laurel: ¿Cuántas veces al día alguien menciona, ¿Estás seguro de que no estamos viviendo un episodio de Espejo negro ?

Conocido: Bueno, curiosamente, una de mis primeras salidas en televisión fue con el productor de Espejo negro . Le presenté a mi amiga Cayla hace muchos, muchos años. Es un tipo muy, muy brillante. Sí.

Laurel : Y lo ha perseguido desde entonces. Sí.

Conocido: Creo que sí. Ese es el problema que tenemos es que estamos apurados. Vamos demasiado rápido. No me malinterpretes. Hay algunos proveedores que se toman muy en serio la seguridad y lo hacen muy bien, y los felicito. El problema es que son en gran medida la excepción a la regla. Desearía que todos los proveedores estuvieran tan comprometidos, y es por eso que me entristece pensar que la regulación es la única forma porque, a menos que obliguemos a los fabricantes a comenzar a jugar como los buenos, no creo que haya ningún incentivo comercial financiero. para que lo hagan. No hay manera de etiquetar el producto. No hay forma de determinar qué productos son más seguros que los demás, por lo que, lamentablemente, creo que la regulación es la respuesta.

Laurel: Interesante. Así que sería casi como un etiquetado de comercio justo por seguridad.

Conocido: Sí, ha habido bastante trabajo sobre eso en varios países. Sé que en los EE. UU. ha habido algo de trabajo y ciertamente también en Europa, pero el desafío es cómo proporcionar una etiqueta única que indique qué tan seguro es o no un producto. Eso es algo realmente difícil de hacer porque la seguridad tiene muchas facetas. Piense en el dispositivo inteligente promedio, tendrá algunos chips allí. Va a tener algo de firmware allí. Tendrá algunas cosas de radiofrecuencia como Wi-Fi o Bluetooth, tal vez ZigBee o Z-Wave. Va a tener una API, va a tener una aplicación móvil. Va a tener una infraestructura en la nube. Va a tener una plataforma telemática. Es tan complejo que hace que el etiquetado sea muy, muy difícil.

Laurel: ¿Qué sucede en las industrias altamente reguladas? Leí un artículo sobre satélites. ¿Cómo hackear un satélite o asegurar un satélite?

Conocido: Se ha hecho y, de hecho, estoy muy involucrado en la comunidad aeroespacial y de aviación de Defcon. Tuvimos nuestra primera salida en el verano del año pasado, y durante el próximo año hemos tenido cierto interés por parte de los fabricantes y operadores de satélites. Y esperamos construir una plataforma en Defcon para personas, investigadores, partes interesadas para ayudar a garantizar la seguridad de los satélites, lo cual creo que es excelente. Es involucrar a toda la comunidad para ayudar a toda la industria a mejorar su ciberseguridad.

Ahora hay un ejemplo de una industria regulada, creo que me gustaría presentarlo como un buen ejemplo. Entonces, en los EE. UU., los dispositivos inteligentes para el cuidado de la salud, ciertamente un subconjunto de ellos, están regulados y aprobados por la Administración de Alimentos y Medicamentos. Y esa fue una de las primeras áreas en las que se introdujeron regulaciones que marcaron una diferencia real. Y felicito a ese mercado por dar grandes pasos hacia la ciberseguridad. ¿Por qué? Bueno, porque estamos hablando de dispositivos de vida o muerte. Estamos hablando de dispositivos que nos mantienen con vida. De nuevo, un gran argumento para incorporar estándares, mejorar el juego de todos y demostrar que, de hecho, podemos crear dispositivos seguros que nos mantengan a salvo y vivos.

Laurel: Siento que escuchamos una historia hace un par de años sobre la piratería de marcapasos. Así que esto parece una buena razón para la regulación.

Conocido: Sí, fue realmente genial que la FDA interviniera. ¿Fue una falta de atención a los detalles, tal vez para dar a muchos de los fabricantes el beneficio de la duda? Creo que probablemente simplemente no pensaron lo suficiente en la ciberseguridad. Vas y obtienes algunos componentes; va y obtiene algo de desarrollo, y con demasiada frecuencia se hacen suposiciones sobre si los dispositivos son ciberseguros. Y creo que en realidad lo que ha hecho la regulación es alentar a las personas y obligarlas a ir y hacer esas preguntas difíciles, para asegurarse de que los desarrolladores que está usando se vuelvan cibernéticos y asegurarse de que los conjuntos de chips que está usando tienen razonable características de seguridad como un entorno de ejecución de confianza, almacenamiento seguro, buena fuente de entropía, todas esas cosas útiles que si no hace las preguntas o especifica en su adquisición, no obtendrá.

Laurel: Así que cuéntame una historia sobre una de tus hazañas favoritas de prueba de penetración.

Conocido: Oh Dios mío. ¿Dónde empiezo?

Laurel: Bueno, di una pista al comienzo del episodio con la plataforma petrolera.

Conocido: Ah, así que más recientemente hemos estado empezando a mirar marítimo. Así que hemos estado mirando el envío. Es un área que realmente ha tenido poca atención por parte de la industria cibernética durante los últimos años. Y la razón de esto es principalmente que los barcos estaban fuera de línea. Tenías Wi-Fi en la costa y 4g cuando estabas en la costa, pero tan pronto como ese barco zarpaba, estabas desconectado.

Si. Por lo tanto, puede obtener un teléfono satelital, pero son costosos y podría usar comunicaciones satelitales de banda ancha de flota, pero son un uso de datos terriblemente costoso. Entonces, para todos los efectos, una embarcación, una vez que zarpó, estaba fuera de línea. Y todo eso cambió hace dos, tres, cuatro años con la llegada de VSAT.

De repente, las comunicaciones satelitales se volvieron asequibles, lo que significó que los barcos podrían comenzar a ser monitoreados por eficiencia, uso de combustible, rutina, todas estas cosas importantes que ahorran dinero a todos. Y también significaba que su equipo podría contratar al mejor equipo porque querían planes de datos, querían acceso a las redes sociales y se los podía dar. Por lo tanto, tiene a las mejores personas trabajando en los mejores barcos, brindando la mejor eficiencia. Fantástico.

Pero en el camino, nadie pensó en lo cibernético. Entonces, los barcos se conectaban a Internet sin pensar en la seguridad de ese barco. Entonces, lo que hemos estado haciendo durante los últimos dos años es trabajar en embarcaciones con operadores con visión de futuro que dicen: OK, veamos esto.

Y un gran ejemplo fue una plataforma de perforación de exploración que vimos. Era una organización que haría exploración de pozos en etapas tempranas. Había una plataforma autopropulsada y tenía conectividad satelital VSAT, y se nos pidió que miráramos para ver si, en teoría, podíamos interrumpir su capacidad para perforar. Y lo que encontramos fue una falta de segregación efectiva entre las distintas redes. Así que pudimos perforar las redes de control, pudimos acceder a las redes corporativas, pudimos acceder a las redes de la tripulación, pudimos ver Internet, pudimos ver todo.

Y aunque la organización había tomado algunas medidas bastante razonables para asegurar las cosas, lo que sucede es que el equipo en funcionamiento a menudo rompe esa segregación. ¿Por qué? Porque quiero transmitir Spotify cuando estoy trabajando en la cabeza del taladro, por lo que instalaron un enrutador Wi-Fi para que pueda obtener Spotify en mis auriculares mientras estoy en la terraza. Y luego descubrimos cosas aleatorias como el acceso remoto conectado, accesible desde el Internet público. Y lo que esencialmente sucedió es que descubrimos a través de Internet público sin ninguna autenticación que podíamos tomar el control del motor y otros sistemas críticos en barcos y plataformas en todo el mundo.

Literalmente apagando motores, encendiendo motores, afectando el mecanismo de dirección, potencialmente estrellando barcos al interferir con los sistemas de navegación si así lo quisiéramos. Ahora, ha habido muy poca actividad criminal en este espacio, pero está comenzando a emerger. Estamos empezando a ver aparecer casos legales, donde si luego analiza los documentos judiciales, verá evidencia de ataques.

Hubo un ataque contra un superyate llamado Lady May hace un par de años que fue investigado por el FBI, y parecía que algunos de los sistemas de control del barco fueron manipulados por personas desconocidas, posiblemente potencias extranjeras. Eso ya ha aparecido en la prensa, pero hay un número cada vez mayor de historias anecdóticas e historias que comienzan a generar prensa en la industria sobre embarcaciones que experimentan cosas como ransomware en los sistemas de navegación o ataques directos y deliberados.

Laurel: Espantoso.

Conocido: Sí. Lo triste es que la mayor parte de esto se lee como el guión de Hackers , la película, así que sí. Hackers Hace más de 20 años predijeron el futuro.

Laurel: No hace ciencia ficción a menudo. Mira, Ken, muchas gracias por acompañarme en esta increíble conversación sobre Business Lab. Realmente lo aprecio.

Conocido: Gracias. Encantado de hablar contigo.

Laurel: Era Ken Munro, fundador y socio de Pen Test Partners, con quien hablé desde Cambridge, Massachusetts, la sede del MIT y MIT Technology Review, con vista al río Charles. Además, gracias a nuestro socio, Microsoft Security.

Eso es todo por este episodio de Business Lab. Soy su anfitrión, Laurel Ruma. Soy el director de Insights, la división de publicaciones personalizadas de MIT Technology Review. Fuimos fundados en 1899 en el Instituto de Tecnología de Massachusetts, y puede encontrarnos impresos en la web y en docenas de eventos en vivo cada año en todo el mundo. Para obtener más información sobre nosotros y la feria, visite nuestro sitio web en technologyreview.com.

Este programa está disponible dondequiera que obtenga sus podcasts. Si disfrutó de este episodio, esperamos que se tome un momento para calificarnos y comentarnos. Business Lab es una producción de MIT Technology Review. Este episodio fue producido por Collective Next. Gracias por su atención.

Las amenazas a la seguridad están en todas partes. Es por eso que Microsoft Security cuenta con más de 3500 expertos en delitos cibernéticos que supervisan constantemente las amenazas para ayudar a proteger su empresa. Mas en microsoft.com/cybersecurity .

esconder