- A+
研究人员在RSA 2019表示,物联网在家庭中越来越受欢迎 - 针对这些设备的攻击也是如此。
旧金山 - 低价格和将产品推向市场的公司是最重要的两个因素,因为物联网设备没有得到他们应得的安全类型。 根据Checkmarx研究员Erez Yalon的说法,尽管有多年的信息安全社区发出物联网安全警报,但事情并没有改善。
他说,智能设备仍然太容易成为像中间人攻击这样的载体的目标。 案例和观点, 2月份, Checkmarx在消费者智能规模中发现了一系列瑕疵,可能让黑客发动各种攻击,从中间人到拒绝服务。
Threatpost与负责Checkmarx安全威胁研究小组的Yalon讨论了他认为物联网安全漏洞将如何继续发展 - 以及制造商是否会开始感受到更好地保护其连接设备的压力。
“我们看到网络应用程序中的中间效应越来越少。 它已慢慢转移到移动设备,现在它已经在物联网中,“他说。 “网络和移动应用等一些技术开始采用某种标准或方法来缓解这些问题。 在物联网中,我们还没有看到它。“
**接下来是面试的成绩单**
Lindsey O'Donnell :大家好。 我是Lindsey O'Donnell和Threatpost,我今天在这里与Checkmarx网络安全[研究]团队的负责人Erez Yalon在一起。 埃雷兹,非常感谢今天加入我们。 你的RSA怎么样?
Erez Yalon :嗯,这很有趣。 是兴奋的。
Lindsey O'Donnell :是的,它总是很有趣。 对于那些不了解你的人,你能简单介绍一下你自己和你的背景吗?
Erez Yalon :当然。 正如你所说,我的名字是Erez Yalon。 我是软件安全公司Checkmarx的安全研究负责人。 我的研究小组......我有幸每天都在世界各地的几个团队中与真正的顶尖研究人员合作。 我们正在进行关于我们制造的产品的研究,我们为使它们变得更好而制定的解决方案,以及仅仅看看那里发生了什么,以及该领域的安全状况正在发生什么。
林赛奥唐奈 :很棒。 那么,谈到安全的情况,物联网安全已经成为你们已经写过并做过大量研究的东西。 一般来说,你们几个月前讨论过的一份安全报告是一个聪明的规模,你们发现了一些漏洞。我认为它是由AEG制造的。
Erez Yalon :是的。
Lindsey O'Donnell :刚开始,您能否介绍一下这项研究以及它与我们整体看到的物联网安全趋势的关系?
Erez Yalon :是的,当然。 物联网基本上是运行其他东西的软件,运行一个东西。 我们目前将重点放在物联网上的原因在于,每当我们触摸任何物联网设备时,它就会发生故障。
Lindsey O'Donnell :对。
Erez Yalon :我们在等待这种趋势停止,但它还没有发生。 你提到的这个具体问题,它是一个AEG智能秤,应该是非常舒适的,是一个试图照顾他们的健康的人的生活的补充,我想。
实际上,它正在做这项工作,但在此过程中,我们看到了嵌入其中的技术中的一些漏洞,无论是实施蓝牙的方式还是非AEG而非第三方编写的应用程序的方式,它与存储信息的数据库进行通信的方式。 当我们谈论信息时,我们实际上看到了很多信息,我们在智能秤中看到的有点奇怪,例如,用户的确切位置,设备的确切ID,网络设备等。
Lindsey O'Donnell :这比体重更糟糕。
Erez Yalon :是的,当然。 当我们检查技术的实际根目录时,我们注意到它没有以安全的方式完成,我们可能会崩溃设备,这是我们称之为拒绝服务的东西。 嗯,它并不是真的很危险,但它真的很烦人,尤其是当你克服它时,你需要提取电池或让它耗尽,然后你丢失了已经安装在它上面的所有信息。 它不再让它变得聪明。
Lindsey O'Donnell :对。
Erez Yalon :这只是一个常规规模。 当我们来到应用程序本身并注意到有这么多个人数据时,我们决定更深入一点。 我们注意到很多返回服务器的信息都没有加密,任何人都可以检测到。 这就是我们所说的中间人效应。
Lindsey O'Donnell :您看到的物联网设备是否相当普遍,特别是在智能家居中? 如果它们被破坏或者存在安全问题,我觉得这些隐私影响很大。
Erez Yalon :当然。 我认为我们看到网络应用程序中的中间效应越来越少。 它已慢慢移动到移动设备,现在它已经在物联网中。 我们实际上看到了这种趋势......好吧,网络和移动应用等一些技术开始有某种标准或方法来缓解这些问题。 在物联网中,我们还没有看到。
在物联网中,似乎每个人都只是试图运出他们的设备然后,是的,我们一次又一次地看到同样的错误。 中间人只是其中之一。 如果你经常在你的设备上知道你所做的一切,知道你在哪里,这可能是个问题。
Lindsey O'Donnell :是的,那么制造商的披露过程是如何进行的呢?当您发现安全漏洞时,它通常与这些物联网制造商交谈?
Erez Yalon :我认为我不能说出任何典型的事情。 我们在指责之间得到了一切,我们错了,然后他们检查并看到我们是对的。 我们让人们不拿起电话或回复电子邮件,我们有一些非常好的团队快速响应并修复所有问题。 我不能告诉你,关于典型的方式。
在这个特定的案例中,AEG给了我们一个通用的答复,他们会照顾他们需要照顾的东西。 我们联系了软件制造商,我们发现它是中国的第三方,这意味着他们实际上将所有细节和所有私人信息保存在中国的服务器中。 我们联系了他们,他们说完全没有问题,一切都很好。
我们注意到,几周后,他们改变了要加密的流量。 我们设法看到他们仍在发送所有信息,但现在它已经加密了。
Lindsey O'Donnell :有趣。
Erez Yalon:他们有一种有趣的方法可以解决这个问题。
Lindsey O'Donnell :我觉得这是一个非常有趣的观点,因为在硬件,软件,它的网络开发部分或应用程序开发部分之间,有许多不同的供应商和制造商去进入物联网解决方案和产品。 您是否发现自己正在追逐多个供应商,或者在出现安全漏洞时会出现什么样的问题?
Erez Yalon :嗯,是的,我们实际上追逐多个供应商。 原因是我们希望解决问题。 我们不想只告诉他们,“听着,你有问题”,然后就走开了。 我们努力成为好人。 我们尽力做一些披露,负责任的披露。 当我们发现主要供应商没有足够的响应时,我们会尝试联系第三方。 通常这些第三方会向其他人提供服务。 例如,与AEG合作的供应商我们注意到与德州仪器和其他公司合作,所以如果我们能够找到它的底部并找到原因,我们将努力使其更好。
Lindsey O'Donnell :我说我是物联网制造商。 在最简单的水平上,我为您保护设备的第一步是什么?
Erez Yalon:好的,知识就在那里。 这不是尚未完全解决的问题。 如果您的开发人员决定不实施加密流量,那么这与技术无关。 它要么缺乏知识,要么缺乏时间思考它或建筑问题。 解决方案就在那里。 毕竟,它是软件和所有部件,它们也有安全标准。
我认为物联网最近出现问题的原因可能是供应商觉得他们需要出货的速度。 此外,价格需要非常有竞争力。 当你谈论预算时,安全总是受到打击。
Lindsey O'Donnell :对。 那讲得通。 我觉得我们看到市场上出现的越来越便宜的物联网设备有很酷的因素,但可能没有那个安全因素。 展望未来,您认为物联网安全的未来是什么? 您是否看到任何解决方案或更多问题?
Erez Yalon:好的,最重要的是我看到了更多的问题。 物联网目前无处不在。 我认为没有物联网,我们任何人都无法想象他们的生活。 如果它是手表,小钟表,所有家庭援助,所以它就在那里,它就在那里。 问题在于它使攻击者的技术表面变得更加强大。 如果供应商不打算确保他们提供安全的软件,安全的物联网,事情就不会好转。
另外,很明显,我认为从供应商处运送安全产品的全部责任显然是,但我认为,作为用户,我们需要知道风险非常明确并且存在。 我们需要确保我们希望这些设备拥有关于我们自己的所有这些私人细节。
现在虽然供应商没有做非法的事情,但他们没有从我们这里得到我们不应该知道的细节,因为当然,每个产品都有最终用户许可协议,但我认为用户应该尝试选择和选择具有许可协议的IoT设备,这些设备可以通过Twitter发送,非常短。
Lindsey O'Donnell :对。 嗯,我很好奇,看看即使只是来自客户的调整或压力,就像你说的那样,未来的物联网供应商也是如此,我想这是值得注意的事情。
Erez Yalon:是的。
Lindsey O'Donnell :Erez,非常感谢你们加入我们这里的RSA。
Erez Yalon :很高兴。
对于所有Threatpost的RSA会议2019年报道,请访问我们的特殊报道部分, 可在此处获取 。
