Se il tuo dispositivo ha una connessione Wi-Fi, allora può essere attaccato attraverso la rete. Quell'attacco avrà successo? È una questione di vantaggi di attaccare il dispositivo, rispetto al livello di sforzo richiesto. Basarlo su un sistema operativo obsoleto e non supportato semplifica decisamente il metodo di attacco.
La whitelist delle applicazioni non è una protezione, ma solo un piccolo ostacolo. Pensi che un hacker non possa sviluppare un'app che si maschera da una nella whitelist delle app? Certo che possono ... qualcosa che potrebbero esaminare se il loro primo tentativo non viene eseguito.
Equifax disponeva di un bel firewall. Non ha impedito agli hacker di sfruttare il buco di Struts che i responsabili IT di Equifax non sono riusciti a riparare, attraverso una porta che è stata lasciata aperta per necessità. Un firewall blocca solo alcuni degli attacchi più vecchi e ovvi.
Ripensa all'hacking di Target: il CEO e il CIO hanno perso il lavoro a causa di quello, ed è stato perpetrato da un addetto ai lavori, aiutato dall'uso di Target di una versione precedente di Windows, non più aggiornata e più vecchia , metodi di connettività non sicuri sui dispositivi dei punti vendita. Senza dubbio, il CIO ha concluso che l'aggiornamento della versione Win sui propri dispositivi POS era troppo costoso, un giudizio che si è dimostrato molto sbagliato.
Pensi che il firmware incorporato sia immune dall'hacking? Considera l'hack della stampante HP. HP ha avuto l'intelligente idea di aggiornare il firmware della stampante tramite un lavoro di stampa, facile da avviare. Fino a quando ... qualcuno ha inventato una versione del firmware che ha trasformato la stampante in uno spam relayer e l'ha consegnata tramite un processo di stampa malware.
Come vengono eseguiti gli aggiornamenti del firmware? Tramite wi-fi? Sì, un hacker può replicarlo ... se ha una ragione sufficiente.
Un dispositivo in rete può essere hackerato per diventare parte di una botnet ... un modo comune per lanciare un attacco DOS. Un hacker potrebbe scoprire la vulnerabilità e, sapendo che danneggerebbe la reputazione dell'azienda, lanciare l'attacco nello stesso momento in cui sta mettendo in corto le azioni della tua azienda. È successo ... Rubare informazioni PII e CC non è l'unico modo per trarre profitto da un hack.
Ora, chiediti: qual è il rischio per te personalmente? Se il tuo sistema dovesse essere violato, puoi dimostrare ai dirigenti della tua azienda che hai esercitato la dovuta diligenza nell'identificare e mitigare potenziali minacce, soprattutto perché stai basando il sistema su un sistema operativo che non viene più aggiornato? Suggerimento: prendere la parola degli ingegneri che affermano che il sistema è "inattaccabile" probabilmente non si qualifica come due diligence.
Del resto, se i tuoi ingegneri dicono che è inattaccabile, probabilmente non stanno nemmeno cercando potenziali vulnerabilità, per non parlare di mitigarle.
Chiunque dica che un sistema è inattaccabile semplicemente non è realistico. Non in questo giorno ed età.