嵌入式IT基础设施无处不在,充满漏洞恶人可以使用统治世界。SecurityFAIL.com如何能制止。
嵌入式IT基础设施无处不在,控制水和电的流动和保持平衡的污水处理和核电站。忘记汽车炸弹和原油原子设备。这是东西邪恶的博士会使用失败。
接管世界,坏人劫持这些嵌入式系统是更好。这正是他们试图做的,并且有许多的漏洞供他们选择。
所以说保罗Asadoorian志愿者SANS研究所的创始人和CEO PaulDotCom企业和许多同名的一个受欢迎的播客。他说,这是时间的安全社区做了一些直言不讳的威胁,并希望他的新SecurityFAIL.com wiki将帮助移动针。
认为这是违反列表的数据隐私权清算所使,除了列出的项目是嵌入式系统的缺陷,而不是最新的漏洞。没什么现在wiki上,因为它是崭新的。但Asadoorian预计人们很快把它填平。从那里,希望关键基础设施提供商运行缺陷技术将采取措施修复它之前坏人做的一个例子。
他解释说他想的危险标志一个表示他在波士顿的来源上周。“使用嵌入式系统来获得力量是很容易的,”他说。“流过大量的信息,信息就是力量和处理信息的能力是强大的。多台计算机可以控制。”
当想象嵌入式系统时,不要限制你的思维大关键基础设施。损失可以用你自己的笔记本电脑或视频游戏你玩宗教。
Asadoorian给几个例子如何使用嵌入式系统来赚钱:
- 视频游戏:大多数参与商务和网络连接。
- 娱乐:苹果电视和Roku所有链接回你的信用卡。
- 无线路由器:路线交通做网上银行时,贝宝,Ebay,等等。
- 打印机/传真机:有多少次你打印敏感信息?
攻击嵌入式系统是无数的好处,他说:没有人关注他们,直到他们休息,安全日志往往牺牲为了省钱,通常没有用户交互处理。“嵌入式系统包含漏洞,(因为)供应商注意关注利润,不等于安全,”他说。
在一个令人心寒的演讲的一部分,Asadoorian点如何扫描脆弱的嵌入式设备的网络研究人员发现近21000路由器、网络摄像头和VoIP产品开放远程攻击。行政接口是可以从任何地方在互联网上和主人未能改变制造商的默认密码。
如果邪恶博士焕然一新,决定去这个目标的环境之后,他可能会做什么?Asadoorian提供了下面的例子:
- 用谷歌找到最受欢迎的互联网服务提供商为用户提供电缆调制解调器路由器
- 使用后面瞎跑发现isp分配的IP地址范围
- 使用Nmap发现打开80端口的所有设备和识别服务
- 手动戳通过结果,找到“有趣”
输入SecurityFAIL.com,安全社区可以使用嵌入式系统供应商施压关闭他们的安全缺陷。这是一个公共wiki上人们可以写mini-articles安全故障。第一部分致力于嵌入式系统和参与者可以提供个人轶事关于嵌入式安全没有他们个人。
参与者必须注册一个账户,和Asadoorian说注册将活跃在几个星期。同时,那些有兴趣开始可以匿名电子邮件请求或发送他自己的故事,他将。
阅读更多关于应用程序的安全CSOonline应用程序安全性的部分。
这个故事,“邪恶的男人(可以)与嵌入式系统“最初发表的方案 。