ioXt Alliance-lid Snapshot: IBM X-Force Red Charles Henderson
De ioXt Alliance Member Snapshot:
IBM X-Force Red Charles Henderson
In dit nummer verwelkomen we graag het nieuwe ioXt Alliance Contributor lid Charles Henderson van IBM X-Force Red. Contributor leden helpen de beveiligingsstandaarden van de Alliance te definiëren en te leiden door samen te werken met alle Alliance leden en door deel te nemen aan Alliance werkgroepen. Ze stellen ook tentoon op ioXt Alliance beurzen (wanneer er geen wereldwijde pandemie aan de gang is) en certificeren apparaten.
Charles heeft tijd gemaakt om enkele vragen voor ons te beantwoorden over wat hij doet en waarom voor IBM, en waarom hij het belangrijk vindt om deel uit te maken van de ioXt Alliance. Het volgende is wat hij deelde.
V: Wat is X-Force Red?
X-Force® Red is het team hackers van IBM Security. Organisaties huren ons in om risicovolle kwetsbaarheden binnen hun netwerken, applicaties, hardware, apparaten en personeel aan het licht te brengen die criminele aanvallers kunnen gebruiken voor persoonlijk gewin. X-Force Red biedt penetratietesten, simulatie van tegenstanders en programma's voor kwetsbaarheidsbeheer om veiligheidsleiders te helpen bij het identificeren en verhelpen van beveiligingsfouten die hun hele digitale en fysieke ecosysteem bestrijken.
X-Force Red kan alles doen wat criminele hackers kunnen doen, maar met het doel om veiligheidsleiders te helpen hun verdediging te verharden en hun belangrijkste bezittingen te beschermen.
We hebben 200 + hackers wereldwijd, waarvan velen hebben ontdekt zero-day kwetsbaarheden, bouwde first-of-their-kind aanval tools, gepresenteerd op de top cybersecurity conferenties, verstrekt thought leadership voor high profile media-outlets, getuigde voor het Congres, en zijn hacken sinds ze kinderen waren. Onze missie vat het het beste samen - "Onze missie: alles hacken om alles te beveiligen."
V: Wat doet u voor IBM?
Als Global Managing Partner en hoofd van X-Force Red leid ik de strategie van X-Force Red voor de diensten die wij aanbieden en hoe zij het portfolio van IBM Security aanvullen. Ook heb ik ons team van meer dan 200 hackers van de grond af aan opgebouwd en ben ik verantwoordelijk voor een bevredigende carrière en het voortdurend leveren van waarde aan onze klanten. Mijn dagen bestaan meestal uit interviews met nieuwsverslaggevers (ik geef vaak commentaar op alle cybersecurity-onderwerpen), ik presenteer aan IBM's leiderschap en klanten, ik raak de basis met mijn teamleden over de hele wereld, ik zorg ervoor dat ons klantenwerk succesvol verloopt en ik organiseer keynotes. Aangezien ik mijn carrière als hacker ben begonnen en me daarna heb ontwikkeld tot zakelijk leider en woordvoerder, breng ik een goed afgerond perspectief in beveiligingsgesprekken.
V: Waarom bent u betrokken bij de ioXt Alliance?
Als technologieliefhebbers en ivd-consumenten zijn we erg enthousiast over ioXt. De organisatie biedt een gestructureerde aanpak die kan leiden tot meer veilige producten, waaronder de producten die velen van ons in hun eigen huis gebruiken.
V: Wat zijn de meest voorkomende kwetsbaarheden in ivd-apparaten?
Het is duidelijk dat er veel ernstige kwetsbaarheden zijn die niet op de "algemeen gevonden" lijst staan en die ook belangrijk zijn om in overweging te nemen. Uiteindelijk kan slechts één kwetsbaarheid leiden tot een serieus compromis. Wanneer we het echter hebben over veel voorkomende kwetsbaarheden van het internet van de dingen die we vinden, zou ik zeggen dat harde gecodeerde of standaard wachtwoorden bovenaan de lijst staan. Het handhaven van de basisveiligheidshygiëne is voor veel fabrikanten een hardnekkig probleem. Hier is een lijst van andere veelvoorkomende kwetsbaarheden die we vinden:
Ontgrendelde programmeerinterfaces die het mogelijk maken om firmware te extraheren
blootliggende foutopsporingsinterfaces die de openbaarmaking van informatie mogelijk maken - d.w.z. het opstartproces, de apparaten die worden gemonteerd, de interfaces die worden ingeschakeld, enz.
blootliggende testpunten die toegang geven tot individuele chippinnen - d.w.z. voor het aflezen van GPIO-toestanden of het omdraaien ervan om de bootloader etc. in te schakelen.
blootgestelde chip aan chipcommunicatie - d.w.z. UART voor interne modem of SPI/I2C voor RF/NFC/BLE-configuratie van SoC-componenten.
blootgestelde shell/login-interface - d.w.z. seriële UART-console
opname van bekende kwetsbare bibliotheken
opname van bekende kwetsbare/oude software zoals DHCP, SSH enz.
onvermogen om de firmware gemakkelijk bij te werken
opname van modules van derden met onbekende eigen kwetsbaarheden - d.w.z. wifi/3g/ble-modules
multifunctionele apparaten die ongebruikte functies niet uitschakelen - d.w.z. dat het geheugen dat als flash wordt gebruikt ook een SD-interface heeft met een aparte lockdown-configuratie die standaard open is.
Opslag van de gegevens in platte tekst in gemakkelijk te lezen flashchips - d.w.z. gebrek aan cryptografie.
"veilige" onderdelen die kwetsbaar zijn voor geavanceerde aanvallen zoals glitching
onveilige netwerkcommunicatie (in principe geen TLS of onjuist geïmplementeerde TLS)
onveilig firmware-update proces
Dezelfde zwakke, standaard referenties op elk apparaat...
V: Wat is volgens u de meest impactvolle hack (die het landschap volledig heeft veranderd) van dit jaar of de afgelopen jaren?
Het collectieve kwetsbaarheidsonderzoek dat is gepresenteerd op de topconferenties over cyberveiligheid, zoals Black Hat en Def Con, wijst op ernstige kwetsbaarheden in verschillende ivd-apparaten en -platforms, waarvan er veel mainstream nieuws over de hele wereld zijn geworden. Al deze conferentiebesprekingen laten de impact en de toenemende prevalentie van ivd-aanvallen zien.
V: Zijn er nog andere dingen die de industrie volgens u kan verbeteren?
We moeten voor de eindconsument van ivd-producten transparanter zijn over de veiligheid van de apparaten die zij kopen. Dat is de beste manier om het vertrouwen van de consument op te bouwen. We kunnen parallellen trekken met de bezorgdheid over de veiligheid en de garanties die de consument kan hebben over andere producten die hij koopt. Veel producten worden geleverd met veiligheidsbeoordelingen en garanties die bevestigen dat de producten veilig zijn om te gebruiken. We hebben datzelfde niveau van zekerheid nodig voor de veiligheid rond ivd-apparaten. Consumenten moeten een verklaring hebben dat hun apparaten veilig zijn.
V: Wat wilt u dat de leden over u weten?
Ik ben een business executive, hacker en kwetsbaarheidsonderzoeker die mijn unieke perspectief gebruikt om waardevolle beveiligingsprogramma's voor klanten op te bouwen. Ik ben al meer dan twee decennia werkzaam in de industrie en leid leidend in hacking- en kwetsbaarheidsonderzoeksteams. Ik word regelmatig geïnterviewd door CNN, Fox Business, NBC en andere grote televisie- en printmediakanalen vanwege mijn enorme hackingervaring en mijn vermogen om technische concepten te vertalen in een taal die alle doelgroepen - beveiliging en niet-beveiliging - kunnen begrijpen.