Domanda:
Come posso obiettare contro: "Il sistema non è bloccabile, quindi perché riparare le vulnerabilità?"
Ken
2017-12-22 15:33:58 UTC
view on stackexchange narkive permalink

Un sistema operativo ha raggiunto la fine del supporto (EoS), quindi non arriveranno più patch di sicurezza per il sistema operativo. Un dispositivo incorporato che esegue questo sistema operativo deve essere aggiornato a una versione più recente. Tuttavia, gli ingegneri che hanno progettato il prodotto originale ritengono che la macchina non sia hackerabile e quindi non abbia bisogno di patch. Il dispositivo dispone di WiFi, Ethernet, porte USB e un sistema operativo che ha raggiunto EoS.

Le domande che mi vengono poste quotidianamente:

  1. Abbiamo una lista bianca delle applicazioni, quindi perché dobbiamo correggere le vulnerabilità?
  2. Abbiamo un firewall quindi perché dobbiamo correggere le vulnerabilità?

E i commenti che ottengo:

Il nostro piano è rafforzare ulteriormente il sistema. Se lo facciamo, non dovremmo dover aggiornare il sistema operativo e continuare ad applicarlo. Nessuno sarà in grado di raggiungere le vulnerabilità. Inoltre correggeremo le vulnerabilità nelle parti del sistema operativo rivolte verso l'esterno (anche se non è possibile per loro riparare le vulnerabilità stesse) e quindi possiamo lasciare le vulnerabilità rivolte verso l'esterno senza patch.

I hanno spiegato in dettaglio le scansioni con credenziali di Nessus. Non sono sicuro di come trasmettere il mio punto di vista a questi ingegneri. Qualche idea su come posso spiegarlo?

UPDATE: il sistema è in fase di patch. Grazie per le risposte e l'aiuto di tutti.

Grazie.I nostri clienti non vorranno un sistema con vuln senza patch.Credo che un sistema rinforzato con vuln non sia più accettabile.
Quindi, ti preoccupa le vulnerabilità o l'impatto sulla reputazione dei clienti * sapendo * che c'erano patch che avrebbero potuto essere applicate?Perché quelle sono 2 cose molto diverse.
Posso vederlo su base individuale.Ad esempio, disabilitare SMB per Wanna Cry.Tuttavia il loro pensiero è che tutte le vulnerabilità future possano essere mitigate dall'indurimento.Posso mandare in crash il sistema confondendo i protocolli.E WiFi KRACK potrebbe essere difficile da mitigare senza il supporto del fornitore del sistema operativo.
@schroder La mia preoccupazione principale è l'impatto sulla reputazione dei clienti che sanno che c'erano patch che avrebbero potuto essere applicate.Ovviamente ci tengo molto anche alla patch dei vuln.Tuttavia in questo caso la reputazione
ok, hai appena introdotto * un'altra * opinione da sfidare (l'indurimento può contrastare tutti i possibili vuln futuri) e hai appena escogitato una grande sfida (KRACK) - Penso che tu stia sperando in un argomento proiettile d'argento usando un approccio a dispersione, manon esistono.Il presupposto centrale sembra essere quest'ultimo (tutti gli altri che hai citato derivano da questo), e che è * facilmente * sfidato come hai appena fatto
Se la reputazione è la preoccupazione principale, approfondire i dettagli tecnici non è l'approccio che devi adottare.Devi interrogare i tuoi clienti e chiedere cosa pensano * loro *.Sono il tuo soggetto a rischio, studiali, non il sistema operativo.
* "gli ingegneri che hanno progettato il prodotto originale ritengono che la macchina non sia hackerabile" *.Non conosco l'ingegnere né la macchina, ma so che ha ** sbagliato **.
"Il sistema è unhackable" Qui è dove ridi ad alta voce.Chiunque pensi che un sistema sia inattaccabile non capisce quanto siano incredibilmente intelligenti e pieni di risorse gli aggressori.Tutti i sistemi sono hackerabili con abbastanza tempo e risorse.L'obiettivo della sicurezza è rendere l'investimento richiesto per un attacco di successo superiore al vantaggio dell'attacco.
_Chiedere ai clienti è un'ottima idea ._ Considera che se la reputazione è effettivamente la tua preoccupazione principale ei tuoi clienti hanno familiarità anche solo lontanamente con le materie IT, quando chiedi ai tuoi clienti non vorrei menzionare loro che i tuoi ingegneri ritengono che la cosa siaunhackable;tale affermazione ha giustamente il potenziale di danneggiare gravemente la reputazione.
Prossimamente in un articolo del DailyWTF vicino a te ... "Ma il sistema è inattaccabile! Come può essere successo ?! Deve essere colpa di KEN! Quell'idiota incompetente ha rotto la whitelist del firewall con le sue patch!"
Nonostante ciò che qualcuno pensa della sicurezza di un sistema, mi sembra che vorresti provare a correggere ogni vulnerabilità nota o almeno avere una buona ragione per cui non potresti.Perché se * finisci * per essere hackerato, "non ci siamo preoccupati di applicare alcuna patch perché pensavamo che fosse inattaccabile" non è una difesa molto buona in nessuna indagine successiva.
Esiste un sistema di test costruito intenzionalmente per l'hack test?In caso contrario, l'hackerare qualsiasi altro sistema è un modo efficiente per diventare disoccupati.Inoltre (esperienza personale), provare che qualcun altro ha torto può avere lo stesso effetto se quella persona ha abbastanza influenza.OP è in una situazione difficile.
Chiedete al cosiddetto ingegnere se è disposto a scommettere 10000 $ dollari che non è hackerabile.Se sono ancora così stupidi da dire di sì, offri 5K (nei posti giusti ...) a chiunque possa hackerare il dispositivo.Guadagni 5mila e il tuo punto ...
Un'opzione è sfruttare la macchina e segnalare quello che hai fatto, dicendo che se lo sfruttavo, chiunque poteva.Questo è ciò che fanno gli hacker cappello bianco ed è il modo più semplice per zittire questi ingegneri.Se non vuoi farlo, documenta il fatto che hai detto agli ingegneri che si sbagliavano, così quando arriva il giorno e il sistema viene violato non sarai tu a incolpare, potresti semplicemente dire che l'ho fattoil mio lavoro
Credo che [questo tizio] (https://www.schneier.com) abbia detto che chiunque può creare un sistema che lui stesso non può hackerare.
L'esistenza di vulnerabilità conferma che il sistema * non * è bloccabile.
Avevo l'impressione che EoS non intendesse alcun piano per miglioramenti della funzionalità, forse nessun * piano * per correzioni e che gli aggiornamenti di sicurezza fossero in realtà semi-comuni in passato EoS.OT: non dovresti avere questa discussione con gli ingegneri, piuttosto con il loro e il tuo capo.In definitiva, se la tua azienda supporta ancora questo dispositivo, il supporto del sistema operativo diventa una tua responsabilità, non importa se il supporto a monte è cessato.
Questo è un problema di capacità di comunicazione e non di abilità tecniche.Ascoltali, fai domande, qual è il loro argomento.D'accordo con loro e fagli sapere che finora hanno fatto un ottimo lavoro.Non usare mai la parola "ma".Infine, lascia che firmino un contratto in cui dichiari che hai avvertito e che sanno cosa stanno facendo e che non sei più responsabile di nulla.
@jpmc26 Penso che l'obiettivo dovrebbe essere quello di rendere il costo e l'impatto di un attacco riuscito con misure di sicurezza inferiori al costo e l'impatto di un attacco senza misure di sicurezza.Un determinato attentatore suicida potrebbe diventare Steve Jobs-termonucleare contro di te a tutti i costi.
@Archimedix Il problema con la tua idea è che non pone alcun limite superiore alla spesa per la sicurezza.Non puoi sprecare tempo e denaro infiniti nella sicurezza e, a un certo punto, devi semplicemente accettare che se un aggressore arriva a tanto, hai semplicemente perso.Ho pensato di dire "rendi proibitivo un costo di attacco", ma come fai notare, potrebbero esserci aggressori con vaste risorse che non puoi sperare di eguagliare.
@jpmc26 il limite superiore è indicato come la somma di costo e impatto (o meglio, rischio, che è impatto per probabilità di accadimento).Se le misure di sicurezza sono insufficienti, il costo e il rischio complessivi sono troppo elevati per operare a lungo termine.Se sono troppo costosi, non guadagni nulla.È fondamentalmente matematica assicurativa, tranne per il fatto che le assicurazioni aggiungono le proprie misure di sicurezza e il profitto in cima a quello.
@IllidanS4 - Mi ha tolto di bocca le parole: "Unhackable ... vulnerabilities ..." è un ossimoro.
È collegato al mondo esterno?Immagino che ci sia sempre anche ingegneria sociale: |
Abbandonare.Se stai parlando con qualcuno - un _ingegnere_, nientemeno - che crede legittimamente che _qualsiasi_ dispositivo sia inattaccabile, allora non puoi avvicinarlo con un argomento intelligente.
L'elemento umano rende qualsiasi sistema inattaccabile hackerabile.La tua reputazione è impostata per gestire l'elemento umano e l'inaspettato avversario tecnologico.
Il tuo "ingegnere" sta scambiando "Nessuna prova di un problema" per "Prova che non c'è / può esserci alcun problema".
Fai sentire la nostra preoccupazione e vai avanti, non sprecare il tuo tempo a convincere le persone (a meno che non sia un formato più giovane a pagamento, cioè)
Una lista bianca è tanto forte quanto l'utente più debole.Un firewall deve avere porte aperte per consentire l'ingresso / l'uscita dei dati dell'applicazione.Tuttavia, è impossibile dedurre qui se HAI BISOGNO di maggiore sicurezza o meno.
Domanda vaga.Cosa intendi con il dispositivo "deve essere aggiornato".Perché "deve essere aggiornato"?Devi fornire maggiori dettagli.
Qualsiasi cambiamento importante richiede un'analisi costi-benefici.Sembra che il disaccordo sia sul risultato dell'analisi, e poiché l'analisi è nella tua testa, non è nemmeno la stessa analisi.Quindi scrivi prima l'analisi, accetta che i punti necessari siano elencati, quindi discutila.
Non esiste un sistema inattaccabile.Ci sono solo sistemi sufficientemente difficili da hackerare che il "bottino" non vale lo sforzo e / o le risorse.Dovresti porre la domanda: questo sistema è attualmente sufficientemente difficile da hackerare o è abbastanza facile che il "bottino" valga lo sforzo?
Quindici risposte:
schroeder
2017-12-22 15:48:57 UTC
view on stackexchange narkive permalink

Il problema con la situazione (come la stai segnalando) è che ci sono molte ipotesi fatte con molte opinioni. Hai le tue opinioni e vuoi che condividano le tue opinioni, ma hanno le loro opinioni.

Se vuoi che tutti siano d'accordo su qualcosa, devi trovare un terreno comune. Devi sfidare e confermare ogni assunto e trovare dati concreti per supportare la tua opinione o la loro. Una volta che hai un terreno comune, puoi andare avanti tutti insieme.

  1. Hai la whitelist: fantastico, cosa significa? Ci sono modi per aggirarlo? Un'applicazione inserita nella whitelist può essere danneggiata?
  2. Cosa fa il firewall? Come si configura? I firewall indicano porte bloccate, ma significano anche porte consentite . È possibile abusare di quelle porte consentite?
  3. Nessuno ha accesso? Chi ha accesso al dispositivo? Ti fidi di un insider o dell'ignoranza di un utente per mantenerlo al sicuro?
  4. Cosa succede se qualcuno ottiene l'accesso locale al dispositivo? Quanto è probabile?

In qualità di professionista della sicurezza delle informazioni, il tuo lavoro non è picchiare le persone in testa con "best practice", ma eseguire analisi dei rischi e progettare una via da seguire che limiti il ​​rischio sotto la soglia di rischio in modo conveniente. Devi giustificare non l'utilizzo di best practice, ma se la giustificazione è valida, allora è valida.

Lo apprezzo.Penso di essere colpevole di aver picchiato le persone sulla testa con le "migliori pratiche".Sono stato in grado di trovare prove che la lista bianca può essere violata.È possibile accedere alla macchina ma non al desktop del sistema operativo.Grazie ancora.
@Ken quello che dovresti leggere tra le righe dell'ultimo paragrafo è che le migliori pratiche non sono sempre le migliori.
Le migliori pratiche si basano sulle conoscenze attuali.Nessuno è onnisciente, quindi le migliori pratiche attuali non rimangono tali per sempre.Una volta che le migliori pratiche attuali diventano obsolete, ciò è dovuto a qualche difetto fondamentale recentemente scoperto.
La migliore pratica non è fare affidamento su un elenco enumerato di best practice conosciute oggi, ma rendere il tuo sistema infallibile _non_ presumendo che sia inattaccabile e progettandolo di conseguenza.
@Ken "C'è accesso alla macchina ma non al desktop del sistema operativo" - apro la tua macchina, collego un disco con il mio sistema operativo su di esso, lo avvio e poi apporto le modifiche che voglio a qualsiasi cosa sul tuo sistema.Oppure lo apro, tiro fuori il tuo disco e lo vendo al miglior offerente.
Aggiungiamo alla lista bianca.Ciò impedisce l'esecuzione di eseguibili non autorizzati.Tuttavia, se un eseguibile consentito ha una vulnerabilità, la whitelist non farà NULLA per fermarla.L'exe, se è autorizzato, verrà eseguito, completo di vulnerabilità.
Martin Argerami
2017-12-22 18:06:06 UTC
view on stackexchange narkive permalink

Se qualcuno mi dice che la sua macchina non è hackerabile e dovrei credergli, concludo immediatamente che

  • La macchina è custodita in condizioni di Fort Knox / prigione di alta sicurezza, con 24 / 7 guardie e telecamere di sicurezza,

e anche uno dei seguenti:

  • La macchina non ha scambio di informazioni di alcun tipo (no usb, ethernet, firewire, seriale, parallela, ecc. di qualsiasi tipo)

  • La macchina è permanentemente spenta.

Guardie 24 ore su 24, 7 giorni su 7?Bene, ecco un vettore di attacco perfetto!Non sottovalutare mai il potere della minaccia interna.
L'unico sistema non bloccabile è all'interno di una cassaforte che è stata saldata e spinta giù da una barca nella fossa delle Marianne.Poi l'equipaggio della barca è stato ucciso per mantenere segreta la sua posizione.
Inoltre, mi infastidisco sempre quando sento cose come "il computer più sicuro è un computer scollegato", perché ciò viola completamente il principio della triade della CIA di disponibilità.Un computer scollegato è il computer in definitiva insicuro, una completa negazione del servizio.
@Adonalsium Non è unhackable.La posizione può essere forzata.La vera risposta è che "hackability" non è assoluta.In genere considero un sistema senza una connessione di rete "sicuro", nella misura in cui qualcuno avrebbe bisogno dell'accesso fisico per comprometterlo.In situazioni di alta sicurezza, l'air-gap (comprese le porte USB e altre porte del dispositivo) è generalmente considerato il livello di sicurezza più elevato.
Durante il nostro controllo GSS in corso, i nostri addetti alla sicurezza continuano a colpirci alla testa con "cancelli, pistole e guardie non sono sufficienti" per proteggere i media con air gap.btw, siamo situati all'interno di una base dell'esercito americano.
@Adonalsium sta tirando i pugni.Sappiamo tutti che l'unico sistema inattaccabile è quello che ha attraversato l'orizzonte degli eventi.
Un'aggiunta per la tua lista: "Il sistema da hackerare non esiste nemmeno".
-1
Usa solo un mattone.Nessuno può hackerarlo, ed è altrettanto utile.
@DimaTisnek: Probabilmente qualsiasi informazione "dall'altra parte" semplicemente non esiste.
@R .. mai sentito parlare di Hawking Radiation?Le informazioni verranno eventualmente irradiate.È solo questione di ricostruirlo.;)
Non le informazioni, solo massa / energia.
Questo non sembra fornire una risposta alla domanda (o è una risposta inutile, se stai suggerendo di rispondere in modo sarcastico che è utile solo a qualcuno che sa già perché queste cose dovrebbero essere vere).Potresti voler [modificare] e riformulare per affrontare in modo più esplicito ciò che può andare storto nell'avere il dispositivo in una posizione meno sicura e perché avere qualsiasi tipo di scambio di informazioni è un problema.
@NotThatGuy: Abbiamo scoperto che cercare di spiegare perché queste cose sono vere porta solo a lamentarsi del motivo per cui x non viene corretto, dove x è una legge fondamentale della sicurezza informatica.
@Joshua Ciò non cambia il fatto che questa non è una risposta (anche se una piccola riformulazione può cambiarlo, ma sarebbe una risposta di qualità piuttosto bassa IMO - ha bisogno di un po 'di carne aggiunta ad essa).
Una macchina in funzione "scambia" sempre qualche tipo di informazione: almeno consuma energia elettrica e genera calore.Gli attacchi sono stati effettuati in passato analizzando il consumo di energia e le ondate di calore, nonché i problemi di temporizzazione.Quindi il semplice fatto di una macchina in funzione crea già informazioni che possono essere sfruttate.
@jpmc26 puoi farlo accadere semplicemente separandolo
Mike Scott
2017-12-22 15:49:31 UTC
view on stackexchange narkive permalink

Perché desideri una strategia di sicurezza multilivello con una difesa approfondita. Hai un firewall, ma cosa succede se c'è una vulnerabilità di sicurezza nel tuo firewall? Cosa succede se qualche exploit dell'applicazione fornisce l'accesso al sistema operativo a livello di utente e quindi una vulnerabilità del sistema operativo senza patch consente l'escalation all'accesso root? Per una sicurezza adeguata è necessario patchare tutte le vulnerabilità note, non solo quelle che ritieni possano essere sfruttate sul tuo sistema, perché una combinazione di una vulnerabilità sconosciuta e una vulnerabilità nota che ritieni non possa essere sfruttato può consentire la compromissione laddove uno dei due da solo non lo consentirebbe e non è possibile correggere le vulnerabilità sconosciute.

@KalleMP questa è * una * risposta e presuppone la possibilità di patch.Le valutazioni del rischio sono intrinsecamente "giudizi di valore" e se la sicurezza fosse semplice come "fai semplicemente tutte le cose giuste", la professione di infosec avrebbe bisogno solo di tecnici che corrano intorno ai pulsanti.La realtà, come afferma la situazione del PO, è molto più complicata di così.
Stavo cercando la frase "difesa in profondità".Questa è la risposta più semplice a queste persone e di solito la migliore.
user166832
2017-12-24 20:18:15 UTC
view on stackexchange narkive permalink

Il motivo è semplice, la sicurezza viene applicata a strati. Ad esempio, per connettersi a un database importante, è necessario prima entrare nella rete del database (passare firewall), aggiungere il proprio indirizzo IP all'elenco dei client autorizzati a connettersi, quindi avviare la connessione con nome utente e password. Uno qualsiasi degli strati rende gli altri due ridondanti. Il problema è "cosa succede se". Pensiamo al login scott / tiger predefinito del vecchio Oracle o ad un dipendente che inavvertitamente inoltra una porta a Internet pubblico. Il firewall potrebbe bloccare solo TCP, mentre il server è in ascolto anche su UDP o IPv6 è configurato in modo errato e la sicurezza si applica solo per IP4. Questo è il motivo per cui una buona sicurezza arriva a strati, i tentativi vengono monitorati e gli esperti di sicurezza imparano dai tentativi (si spera falliti) di attacchi o ispezionano l'attività sugli honeypot. Inoltre, gli exploit zero day (quelli che si applicano anche alla patch più recente) hanno meno probabilità di avere successo in un ambiente a più livelli, poiché l'attaccante avrà bisogno di un exploit per ogni livello.

Nessun dispositivo non è hackerabile, basta non è mai stato violato prima. O ci sono pochi interessi sul tuo dispositivo e / o il guadagno è molto basso. Potrebbero ancora esistere exploit zero day.

Inoltre, alcuni dispositivi Android semplicemente non possono essere aggiornati oltre una versione specifica. Sapere che un avversario ha un tale dispositivo è un invito aperto all'hacking, poiché il nome / marca del dispositivo riporta la ricetta esatta di come hackerarlo.

Mantenere un dispositivo senza supporto attivo è pericoloso anche dal punto di vista funzionale prospettiva.

La sicurezza non è necessaria per proteggere da estranei (firewall) ma anche da addetti ai lavori. Non conosco il contesto in cui è in esecuzione il tuo dispositivo, ma dato quello che scrivi, potrebbe essere vulnerabile a qualcuno già all'interno del firewall.

Meridian
2017-12-23 03:57:24 UTC
view on stackexchange narkive permalink

Non esistono sistemi non bloccabili. Per coloro che menzionano l'airgapping, ci sono molti esempi di hack effettivi o potenziali hack su sistemi airgapping. Stuxnet è probabilmente l'esempio più famoso (e più estremo). Alcuni altri includono il phreaking di Van Eck, l'analisi acustica o altri attacchi ai canali laterali.

Esistono modi per mitigare le vulnerabilità che non implicano l'applicazione di patch. Ad esempio, se il sistema è vulnerabile a KRACK è possibile disabilitare semplicemente il WiFi? Se il WiFi è permanentemente disabilitato, non dovrebbe essere necessario applicare alcun aggiornamento che coinvolga il WiFi. Allo stesso modo, se sul sistema sono presenti applicazioni specifiche che rappresentano una vulnerabilità (come Java, .NET, Flash, browser, ecc.), È possibile disinstallare semplicemente tali applicazioni. Non è necessario aggiornare Java se non è nemmeno installato.

Con gli aggiornamenti del sistema operativo questo è certamente più difficile. Devi essere consapevole delle potenziali vulnerabilità, quindi devi mitigarle. Il vantaggio di utilizzare un sistema operativo supportato è che qualcun altro sta (presumibilmente) già facendo la prima parte e metà della seconda parte per te.

Un sistema completamente aggiornato / aggiornato non è un sistema sicuro o non bloccabile. Ma tende a minimizzare il rischio di vulnerabilità NOTI. Per riprendere Schroeder, l'analisi del rischio è più importante di "rafforzare / bloccare" o "aggiornare" ciecamente e sperare che entrambi ti rendano più sicuro.

Stuxnet è stato il risultato di una violazione della politica sull'airgap, e van eck phreaking e altri attacchi simili violano la riservatezza, ma non l'integrità.Sarebbe molto diverso chiamarli "hacking".Per quanto riguarda "nessun sistema unhackable", le cose di EAL7 + si avvicinano molto!
È una bella distinzione tra riservatezza e integrità.OP non ha menzionato l'obiettivo della sicurezza per il sistema e la mia esperienza è più fortemente incentrata sul rischio associato alla riservatezza.
https://www.wired.com/2017/02/malware-sends-stolen-data-drone-just- pcs-blinking-led / - ancora una volta, potrei sostenere che questa è una violazione della politica sull'airgap - ma comunque, un po 'di divertimento che ho pensato di condividere.
emory
2017-12-22 23:24:27 UTC
view on stackexchange narkive permalink

Nessun sistema è veramente "inattaccabile". Tuttavia, una volta che abbiamo deciso che un sistema è abbastanza "unhackable", non dobbiamo mantenere un canale per le patch di sicurezza.

Per un esempio concreto, il nostro sistema "unhackable" controlla una telecamera di sicurezza. Il compito della telecamera è guardare una posizione fissa. Ogni impostazione è costante o il sistema è abbastanza intelligente da adattarsi da solo. Il sistema trasmette dati video e non necessita di input da parte dell'utente.

Potremmo fare in modo che il sistema esegua ssh in modo da poter accedere periodicamente e applicare patch di sicurezza, ma in realtà si apre un (molto piccolo) buco di sicurezza. Un utente malintenzionato potrebbe utilizzare ssh per hackerare la telecamera. (Buona fortuna per l'hacking di ssh).

Quindi è un compromesso. Se credi onestamente che non avrai mai bisogno di applicare una patch di sicurezza, potresti decidere che non vale la pena lasciare quel canale aperto.

Ho avuto questa idea da una presentazione a cui ho partecipato in cui qualcuno ha descritto i sistemi che hanno stavano costruendo per il governo. I componenti del sistema erano macchine virtuali di breve durata (di solito meno di un giorno). Ogni macchina virtuale era immutabile e usa e getta. Il piano era che se avessero avuto bisogno di applicare una patch di sicurezza avrebbero semplicemente smaltito le macchine in modo ordinato e ne avrebbero create di nuove. Le macchine virtuali non avevano ssh.

Il revisore della sicurezza del governo ha fatto saltare una guarnizione e ha fatto loro installare ssh in modo che potessero applicare le patch di sicurezza. Il server ssh non forniva alcun valore di sicurezza ed era in effetti un buco.

Tuttavia, a pensarci bene, questo (e la mia telecamera) esempio sono solo aggiornamenti di sicurezza attraverso un canale non tradizionale.

Che ne dici di

  1. una telecamera schierata su Marte ... tutti conoscono la telecamera e tutti possono visualizzare i dati della telecamera
  2. una telecamera che esiste segretamente dietro le linee nemiche (se il nemico fosse a conoscenza della videocamera, potrebbe prenderla facilmente ... vogliamo mantenere un canale per gli aggiornamenti di sicurezza).
Anche se desideri applicare le patch di sicurezza in un secondo momento, una soluzione praticabile sarebbe richiedere l'accesso fisico, combinato con la protezione contro le manomissioni.
Ma la telecamera presumibilmente deve caricare il filmato in una posizione remota, supponiamo che un utente malintenzionato falsifichi il suo DNS per caricarlo sul server dell'attaccante?E supponiamo che ci sia un buffer overflow nello stack di rete che l'attaccante può sfruttare con un pacchetto non valido?Ora, dopotutto, non è inattaccabile.
Inoltre, la telecamera di sicurezza accetta input esterni.E se nel software di elaborazione delle immagini è presente un bug sfruttabile che consente a qualcuno di hackerare il tuo sistema tramite la fotocamera?
`Good luck hacking ssh` Non ti è mai stato fornito un preventivo per un OpenSSH 0day prima, vero?
Penso che il punto @Nzall's sia valido.In questo esempio, stiamo ancora applicando gli aggiornamenti di sicurezza, cambiando semplicemente il canale in cui vengono applicati.
@MikeScott forse la telecamera sta trasmettendo al mondo.la telecamera è appena atterrata su Marte e sta scattando foto e trasmettendo in tutto il mondo.se lasciamo aperto un canale per gli aggiornamenti di sicurezza, un utente malintenzionato potrebbe inondarlo di rumore.l'attaccante non entra per applicare il loro aggiornamento ma ci impedisce di applicare il nostro aggiornamento e forse spreca le risorse energetiche della telecamera.
@forest stai insinuando che è facile hackerare ssh?
@RobWatts Penso che tu stia dicendo che presentando un'immagine scelta con cura alla telecamera, un hacker può ottenere il controllo del sistema.Questo è certamente possibile.Penso che dovremo solo convivere con il fatto che i nostri sistemi sono hackerabili.Se sei davvero preoccupato per questo, devi applicare una certa sicurezza fisica all'area intorno alla telecamera per impedire alle persone di presentare immagini alla telecamera, ma questo probabilmente vanificherebbe lo scopo della telecamera.
@emory No, ma è tutt'altro che inattaccabile.
@emory è vero.Fondamentalmente stavo cercando di sottolineare il punto che nulla è inattaccabile: molte persone non prenderebbero nemmeno in considerazione la possibilità che una fotocamera possa essere hackerata.
@RobWatts ad essere sincero, non l'avevo preso in considerazione e non ho ancora la più pallida idea di come farlo, ma visto che l'hai portato alla mia attenzione sono sicuro che impiegare tempo e denaro al problema avrebbe trovato un punto debole nella fotocamera
Cosa succede se la vulnerabilità è di una natura che consente a un utente malintenzionato di comunicare con la macchina dopo tutto?È connesso alla rete poiché invia dati a una destinazione.Ora hai un dispositivo permanentemente vulnerabile.Se la tua risposta è "Sostituiremo tutti i dispositivi", allora hai effettivamente specificato uno schema di "patch fisico" come risposta.I tuoi punti sui dispositivi ora fuori dal tuo controllo hanno un senso, però.
@jpmc26 Ci ho pensato un po 'e tendo ad essere d'accordo con te.La maggior parte delle volte si desidera applicare patch di sicurezza.Alcune volte hai scelto canali alternativi (che potrebbero introdurre ritardi).Quasi mai hai scelto di non applicare le patch di sicurezza.
@RobWatts Penso che questo sia un esempio di ciò a cui ti riferisci https://globalnews.ca/news/3654164/altered-stop-signs-fool-self-driving_cars/.Anche se il computer dell'auto è altrimenti a prova di hack, c'è un modo per bloccarlo tramite "graffiti"
Ho un cucchiaio di legno in cucina che non si blocca.Almeno lo spero.Potrei sbagliarmi.
@gnasher729 troppo tardi.Lo uso da anni per estrarre criptovaluta.grazie per non aver rattoppato il cucchiaio.
Ángel
2017-12-24 09:01:24 UTC
view on stackexchange narkive permalink

Il fatto che non riescano a pensare (in questo momento) a un modo per hackerarlo, non significa che sia "unhackable". Questo è il motivo per cui, in linea di principio, applichiamo tutte le patch di sicurezza, anche se si trovano su un componente che non dovrebbe essere accessibile (ad es. Perché applicare una patch a una vulnerabilità di escalation dei privilegi se un utente malintenzionato non avrebbe nemmeno accesso utente?).

Ora, potrebbero avere ragione, e non correggere potrebbe effettivamente essere la decisione giusta nel tuo caso. Ma ci sono poche persone per le quali lo accetterei completamente. E questi ingegneri probabilmente non sono particolarmente esperti in eseguire controlli di sicurezza.

Come argomento per convincerli, chiederei loro di fornire l'accesso a uno di questi dispositivi a chiunque sia interessato a una taglia succosa (ad es. scommettono sulla casa?).

Se non si sentono a proprio agio a farlo, beh, allora in realtà non pensano che sia inattaccabile. E se pensano che così facendo rivelerebbero informazioni importanti, significa che fanno affidamento sulla sicurezza per oscurità. Un vero sistema unhackable sarebbe comunque hackerabile se l'attaccante sapesse tutto sul suo funzionamento.

PS: anche se non finiscono per scommettere le loro case, trarresti davvero vantaggio dall'implementazione di un programma di bug bounty.

thecarpy
2017-12-24 03:30:43 UTC
view on stackexchange narkive permalink

gli ingegneri che hanno progettato il prodotto originale ritengono che la macchina non sia hackerabile

Gli ingegneri che hanno progettato il Titanic hanno ritenuto che fosse inaffondabile.

Il problema nell'IT è che le persone non vedono la necessità di aggiornare un sistema, perché cambiare un sistema funzionante? Queste aziende fanno quindi i titoli dei giornali: "4 fabbriche sono state chiuse a causa dell'epidemia x" o "La società x è stata violata, i dettagli personali di y milioni di clienti esposti".

Immagina, il cloud di IBM ha recentemente spostato tutto clienti con forza a TLS 1.1 (SI, la versione già obsoleta) e alcuni clienti si sono lamentati ... QUESTI CLIENTI DEVONO PREPARARSI PER TLS 1.3, non so cosa stanno facendo e non mi interessa quali sono le loro scuse, dovrebbero eseguire TLS 1.2 OVUNQUE! IBM è tornato a spacciare, INACCETTABILE!

Ora puoi dirmi che l'unicorno nero nella stalla ti impedisce di spostare tutto su TLS 1.2, qualunque cosa, smaltirlo e non fare affari con la società che vende il unicorno nero ... Noi come industria non lo facciamo e le violazioni fanno notizia, le violazioni continueranno a fare notizia finché non impareremo la lezione.

Il problema è quando l'unicorno nero nella stalla è, ad esempio, il cliente più vecchio che porta le maggiori entrate.Puoi smettere di fare affari con alcuni fornitori purché abbiano un concorrente sicuro, è una questione completamente diversa quando si tratta di un cliente.Inoltre, Microsoft è stupida per [non consentirti di sovrascrivere il protocollo TLS per quanto riguarda la richiesta] (https://stackoverflow.com/a/3795952/1739000) (o anche per il sito), quindi essenzialmente stanno esacerbando l'unicorno neroproblema.
Sono abbastanza sicuro che il tuo cliente apprezzerà il fatto che sta compromettendo la sua sicurezza, la tua e quella di altri tuoi clienti.Anche la notizia del titolo di News è un buon argomento.Il cliente è il re, è vero, ma la sicurezza deve venire prima di tutto!
Tom
2017-12-24 09:24:01 UTC
view on stackexchange narkive permalink

ritiene che la macchina non sia hackerabile

I sentimenti non contano. I fatti sì.

Torna alla tua valutazione del rischio e / o al modello di minaccia. Verifica se applicare patch o mantenere aggiornato il software faceva parte del tuo piano di trattamento del rischio. Verifica se il software obsoleto faceva parte della tua analisi dei rischi o del tuo modello di minaccia.

Torna dagli ingegneri con questi fatti e discuti con loro come cambia il rischio o quali minacce non sono state trattate in base al fatto che il software non è più obsoleto. Considera inoltre che questo rischio particolare aumenterà nel tempo man mano che aumenteranno le possibilità che un difetto sfruttabile venga scoperto. Quindi guarda avanti fino al termine ragionevole del tuo prodotto.

Tieni presente che le loro azioni di mitigazione potrebbero rendere accettabile il rischio. Ma questo deve essere discusso e il piano dei rischi aggiornato. Potrebbe anche essere che renda il rischio accettabile oggi, ma tra qualche anno non più. E allora? Invece di cercare argomenti contro gli ingegneri, mettiti sulla stessa pagina con loro. Almeno i tuoi si rendono conto che potrebbero essere necessarie azioni di mitigazione.

Matt E
2017-12-28 23:39:24 UTC
view on stackexchange narkive permalink

"Il sistema non è bloccabile, quindi perché correggere le vulnerabilità?" Nella tua domanda, stai cercando di argomentare contro un errore e un argomento non dimostrabile ("Come fai a sapere che è 'inattaccabile'? O pensi solo che dal momento che non puoi hackerarlo, nessun altro può? "). Alla fine, tuttavia, penso che si tratterà di una discussione sull'accettabilità del rischio e su chi è disposto ad accettare tale rischio. Prova a spiegarglielo in questo modo

"Abbiamo una lista bianca delle applicazioni, quindi perché dobbiamo correggere le vulnerabilità?"

La lista bianca delle applicazioni è solo come buono come la whitelist stessa, gli strumenti per bloccare le app non presenti in quella whitelist e presume che non ci siano errori o vulnerabilità nello stesso strumento di whitelist delle applicazioni. Inoltre protegge solo da applicazioni sconosciute / non attendibili. E se l'aggressore decidesse di "vivere della terra" e utilizzare i propri strumenti contro se stesso? Che cosa succede se una delle applicazioni che hai inserito nella whitelist come parte del sistema operativo ha una vulnerabilità

"Abbiamo un firewall, quindi perché dobbiamo correggere le vulnerabilità?" Questo è, effettivamente, lo stesso argomento del precedente. Sei certo, assolutamente, positivamente, al 100%, oltre un pizzico di dubbio certo che non ci siano vulnerabilità nello stack di rete e / o nel firewall stesso né in nessuna delle applicazioni o servizi che potrebbero essere in ascolto o accessibili tramite quello stack di rete?

Se le loro risposte a quanto sopra sono che sono positive al 100% riguardo alle loro scelte e decisioni, allora scriverei un documento che descriva in dettaglio la loro accettazione di tale rischio e lo farei firmare dal loro team di leadership fino al il CIO. In definitiva è il loro (il livello CxO) che è sul gancio per la questione se e quando il sistema viene violato e sono quelli che potrebbero essere chiamati prima del Congresso (o di qualsiasi ente di controllo governativo a cui sono soggetti) come i dirigenti a Equifax erano. Quando viene spiegato ai dirigenti che non stanno facendo tutto ciò che è in loro potere per mantenere un sistema aggiornato e corretto (come richiesto da molti diversi gruppi / leggi di credenziali e supervisione) e che loro (il CxO) potrebbero essere ritenuti responsabili, atteggiamenti spesso cambierà.

Thomas Carlisle
2017-12-23 20:28:59 UTC
view on stackexchange narkive permalink

Mi sembra semplice. Tornando alla domanda su come ottenere un punto in discussione contro la mancata patch di un sistema ritenuto inattaccabile. Qual è lo scenario peggiore che può accadere se quel sistema viene violato? Supponiamo che tutte le protezioni in atto falliscano o siano allo stesso modo violate. Non influenzare questo esercizio escludendo le conseguenze perché non pensi che possa o sarà violato.

Ora, inserisci lo scenario peggiore in termini di costo dell'impatto sul business sotto forma di mancati guadagni, sanzioni legali / normative o danni all'immagine dell'azienda nel settore.

Se l'impatto è grave, guarda i tuoi ingegneri negli occhi e dì "sei disposto a mettere il tuo lavoro - e forse l'intera carriera - in prima linea che questo non accadrà mai? Perché se lo fa, dopo aver spiegato come è successo, la decisione consapevole di continuare a utilizzare e il sistema operativo EOL e ritenere che l'applicazione di patch non sia necessaria sarà vicino, se non in cima, alla lista. "

D'altra parte, se l'impatto sul business non è così impattante, potrebbe avere senso continuare a utilizzare un sistema operativo EOL. Ma come farlo al meglio in un modo ben gestito dal rischio è un altro intero argomento.

Finlay McWalter
2017-12-27 04:14:34 UTC
view on stackexchange narkive permalink

Questa potrebbe non essere affatto una decisione tecnica. L'uso di qualsiasi componente di origine esterna in genere significa che devi utilizzare quel componente rigorosamente in conformità con le linee guida del produttore, o rischi di rimanere bloccato con tutte le conseguenze e le responsabilità derivanti da qualsiasi guasto in cui potrebbe essere implicato.

Quindi, se il dispositivo si comporta in modo anomalo e qualcuno si ferisce (o si incorre in qualche altra responsabilità), il produttore del sistema operativo originale dirà "software non supportato - non è il nostro problema". E l'assicuratore della tua azienda dirà "l'utilizzo di software antiquato fuori supporto - è negligente e quindi non è un nostro problema".

Quindi, dal tuo punto di vista personale, assicurati che coloro che prendono la decisione affermativa continuino a utilizzare componenti obsoleti e non supportati:

  • è stato dimostrato che lo stanno facendo (e lo hai scritto per iscritto)
  • hanno affermato in modo affermativo che l'aggiornamento non è necessario ( e lo hanno fatto per iscritto)

C'è un grande divario tra le persone che dicono "non abbiamo bisogno di fare questo aggiornamento" e "Accetto personalmente la responsabilità di non fare questo aggiornamento" .

In pratica, ci sono spesso aggiornamenti a componenti che sono obbligatori per essere passati a EOL, anche se non ci sono reali esigenze tecniche per farlo. Questa è una parte necessaria della progettazione di un prodotto complesso.

tj1000
2017-12-28 02:12:41 UTC
view on stackexchange narkive permalink

Se il tuo dispositivo ha una connessione Wi-Fi, allora può essere attaccato attraverso la rete. Quell'attacco avrà successo? È una questione di vantaggi di attaccare il dispositivo, rispetto al livello di sforzo richiesto. Basarlo su un sistema operativo obsoleto e non supportato semplifica decisamente il metodo di attacco.

La whitelist delle applicazioni non è una protezione, ma solo un piccolo ostacolo. Pensi che un hacker non possa sviluppare un'app che si maschera da una nella whitelist delle app? Certo che possono ... qualcosa che potrebbero esaminare se il loro primo tentativo non viene eseguito.

Equifax disponeva di un bel firewall. Non ha impedito agli hacker di sfruttare il buco di Struts che i responsabili IT di Equifax non sono riusciti a riparare, attraverso una porta che è stata lasciata aperta per necessità. Un firewall blocca solo alcuni degli attacchi più vecchi e ovvi.

Ripensa all'hacking di Target: il CEO e il CIO hanno perso il lavoro a causa di quello, ed è stato perpetrato da un addetto ai lavori, aiutato dall'uso di Target di una versione precedente di Windows, non più aggiornata e più vecchia , metodi di connettività non sicuri sui dispositivi dei punti vendita. Senza dubbio, il CIO ha concluso che l'aggiornamento della versione Win sui propri dispositivi POS era troppo costoso, un giudizio che si è dimostrato molto sbagliato.

Pensi che il firmware incorporato sia immune dall'hacking? Considera l'hack della stampante HP. HP ha avuto l'intelligente idea di aggiornare il firmware della stampante tramite un lavoro di stampa, facile da avviare. Fino a quando ... qualcuno ha inventato una versione del firmware che ha trasformato la stampante in uno spam relayer e l'ha consegnata tramite un processo di stampa malware.

Come vengono eseguiti gli aggiornamenti del firmware? Tramite wi-fi? Sì, un hacker può replicarlo ... se ha una ragione sufficiente.

Un dispositivo in rete può essere hackerato per diventare parte di una botnet ... un modo comune per lanciare un attacco DOS. Un hacker potrebbe scoprire la vulnerabilità e, sapendo che danneggerebbe la reputazione dell'azienda, lanciare l'attacco nello stesso momento in cui sta mettendo in corto le azioni della tua azienda. È successo ... Rubare informazioni PII e CC non è l'unico modo per trarre profitto da un hack.

Ora, chiediti: qual è il rischio per te personalmente? Se il tuo sistema dovesse essere violato, puoi dimostrare ai dirigenti della tua azienda che hai esercitato la dovuta diligenza nell'identificare e mitigare potenziali minacce, soprattutto perché stai basando il sistema su un sistema operativo che non viene più aggiornato? Suggerimento: prendere la parola degli ingegneri che affermano che il sistema è "inattaccabile" probabilmente non si qualifica come due diligence.

Del resto, se i tuoi ingegneri dicono che è inattaccabile, probabilmente non stanno nemmeno cercando potenziali vulnerabilità, per non parlare di mitigarle.

Chiunque dica che un sistema è inattaccabile semplicemente non è realistico. Non in questo giorno ed età.

Hai fatto riferimento a moltissimi esempi storici.Alcuni collegamenti sarebbero buoni.
Peter - Reinstate Monica
2017-12-26 22:23:13 UTC
view on stackexchange narkive permalink

A seconda delle risorse a tua disposizione, il modo "infallibile" (con tutto il rispetto per i tuoi colleghi) sarebbe dimostrare loro che il sistema è hackerabile. Assumi qualcuno che può e lascia che dimostri le debolezze del sistema. La mia ipotesi è che con WLAN non dovrebbe essere terribilmente difficile. WLAN e firewall? Questa è una contraddictio in adjecto .

Ripensamento: forse è possibile concordare il pagamento in caso di successo (il mio dizionario lo chiama "tassa di emergenza"); in questo modo il servizio (di hacking) varrebbe sempre i soldi.

E poi mitigano semplicemente quei punti deboli e non hanno bisogno di aggiornare il sistema operativo ...
@schroeder Alcuni di essi saranno nel sistema operativo (stack IP, crittografia ecc.)
si ... e possono essere mitigati ...
@schroeder Bene, puoi iniziare a riscrivere il sistema operativo, sì.Puoi anche ridurre la funzionalità, ad es.limitare la connettività.
Sampath Madala
2017-12-23 01:48:21 UTC
view on stackexchange narkive permalink

Ogni giorno abbiamo titoli che dicono che un sistema è stato violato. Non è perché non siano né aggiornati né non protetti con le mitragliatrici, ma perché qualcuno sta investendo tempo per hackerarli.

Soprattutto, quelli che sono ben suonati non sono fatti dal potere del QI ma dalla semplice ingegneria sociale. Quindi ci viene detto di mantenere il sistema aggiornato perché se in qualche modo cadiamo in quella fossa, diamo le informazioni che non li aiutano.

Questo non risponde alla domanda.Gli ingegneri stanno mitigando i problemi.Se lo sono, perché aggiornare il sistema operativo a una versione successiva?
@schroeder Come accennato in precedenza, facciamo per proteggere l'hardware da intrusioni sia interne che esterne, come menzionato la domanda sulle patch rivolte verso l'esterno protegge gli estranei poiché non sapevano cosa fossero già le patch, ma l'amministratore sa cosa è stato fatto per proteggerlo e se lui stessovuoi scopare il datore di lavoro è facile per lui farlo quindi questo è il motivo per cui vengono effettuati controlli di sicurezza di terze parti per evitare tali disastri
È impossibile mitigare un rischio completamente sconosciuto.
Votato per aver menzionato attacchi di ingegneria sociale.Le vulnerabilità possono essere sia per gli attacchi sociali che per quelli automatizzati.


Questa domanda e risposta è stata tradotta automaticamente dalla lingua inglese. Il contenuto originale è disponibile su stackexchange, che ringraziamo per la licenza cc by-sa 3.0 con cui è distribuito.
Loading...