小心下一层地狱:Unpatchable系统

不安全的设计和信任在默认情况下,嵌入式系统存在的安全问题,可能是严重的

微软的决定支持Windows XP4月会见了一个集体哽住了它的社区。有充分的理由:大约30%的所有桌面系统继续运行XP尽管微软的决定停止提供安全更新。此外,Internet Explorer 8重要的安全缺陷最近透露惠普的TippingPoint部门开门到远程攻击使用IE8的XP系统。

但Windows XP只是冰山的不断扩展:软件和硬件unpatchable和重——通过政策或设计。事实上,系统和设备的趋势,一旦部署,固执地继续定时”不管那些部署它们的愿望正迅速成为一个IT安全真正的噩梦,影响从夫妻店所发电站。

(自己的节7的暗中攻击使用当今最狡猾的黑客,14个肮脏的IT安全顾问的技巧,9流行的IT安全实践,不工作,10个疯狂的安全技巧。|是时候重新考虑安全。两位前首席信息官给你看如何重新考虑你的安全战略对于今天的世界。好处:可以在PDF和电子书版本。|熬夜到目前为止最新的安全与信息世界的发展安全中心通讯。]

与许多父亲这unpatchable地狱是一个问题,从顽固的供应商,客户担心或者敌意——改变。但随着连接端点的数量和多样性将在未来十年飞涨,激进的措施是迅速成为必要,以确保今天的“智能”设备和嵌入式系统不困扰我们多年。

麻烦在家附近不支持的问题或undersupported设备达到接近回家数以百万计的宽带用户在美国和欧洲。雷竞技比分宽带路由器运转和平在阁楼和家庭办公室已经成为最新的复杂的网络犯罪团伙的目标。

一连串的事件在最近几个月已经强调了松散的脆弱的人口管理和配置设备。在3月,安全咨询团队经营户警告说黑客们妥协一些300000年小,家庭办公宽带路由器由公司友讯科技,Micronet、Tenda TP-Link,等等。

攻击遵循了类似的事故中受损家里路由器被用于攻击网上银行客户在波兰和外观,今年2月,病毒被称为“月球,”路由器之间的利差e系列家用路由器系统,利用一个身份验证绕过漏洞。

更糟糕的是,这些攻击依赖于相同的问题常见的嵌入式系统:可怜的(或“商品”)工程,不安全的默认设置,使用硬编码(永久)“后门”账户,和缺乏成熟的设备所有者,团队经营户报道。

“作为嵌入式系统在企业和消费者网络开始增殖,需要更多的关注这些漏洞什么设备介绍,“团队经营户在其报告中得出的结论。“安全为这些设备通常是次要的关注成本和可用性,和一直被忽视的制造商和消费者。”

攻击的绿灯超越传统,甚至更糟糕的问题。嵌入式系统正在激增近日常生活的每一个角落。但即使是大型厂商推动硬件概况消费者和企业往往不顾需要管理的底层软件,塞萨尔Cerrudo说,安全公司的首席技术官IOActive实验室。

更糟糕的是,这些客户经常推迟的硬件供应商有关安全或结论(错误地),嵌入式系统过于模糊,以保证保护,Cerrudo说。

正好相反。在其研究中,IOActive发现了不安全的或隐藏的常规使用协议,后门行政账户使用硬编码的凭证,无法改变,和脆弱的用户身份验证功能。

对于工业控制系统,客户信任支持和重嵌入式设备在等待一场灾难。在最近的一个例子中,Cerrudo和他的同事们调查进行路面的安全无线车辆检测技术由Sensys网络。技术已经部署在美国40个城市,包括华盛顿、纽约、洛杉矶和旧金山。

他们发现了一个广泛的设计缺陷和不安全感Sensys产品。值得注意的是,在道路传感器不与接入点安全通信用于收集数据。这将允许攻击者知识渊博的恶搞传感器和发送伪造的数据流量管理系统或控制关键基础设施,如交通信号灯。

面对IOActive结果Sensys网络告诉Cerrudo最近发布公司的硬件有固定的一些知名的软件漏洞他所发现的。存在的问题:没有办法更新硬件。

“供应商将试图卖给你是易于使用和低维护、“Cerrudo说。“问题是,当系统有一个安全问题,你没有适当的机制来更新它们。”

当安全是缺席的设计设备,有一些选项来保护它,完全取代硬件和软件,Cerrudo说。

不安全的设计工业控制系统也成为攻击的目标,由于安全问题源于嵌入式设备和其他遗留的硬件。

一个例子:国土安全部的工业控制系统CERT (ICS-CERT)最近发布一个警告的“复杂的攻击”在一个“无保护、网络、控制系统操作机械设备”通过操纵SCADA协议。“设备直接网络访问和不受防火墙保护或认证访问控制,“ICS-CERT写道。

数字键,首席执行官戴尔·彼得森一家咨询公司,与工业控制系统供应商和关键基础设施运营商一样,说劝说基础设施运营商补丁了更重要的一点:许多工业控制系统和协议是“不安全的设计。”

“攻击者与ICS知识使用的特性(脆弱性)妥协而不是发动系统,”彼得森说。

当然,并不是所有的IT系统都是相同的。安全专家同意场景有较低的安全级别是可以接受的。

佩里Pederson朗集团负责人说,这些客户已采取措施强化和隔离系统应该更相信他们受到保护。然而,企业比以往任何时候都更加确信,气隙系统没有从互联网或一个相邻的网络访问。关键基础设施供应商和运营商往往依赖于蜂窝网络和无线技术远程管理基础设施。

这带来了巨大的便利,但是客户和供应商常常无法理解的风险与便利。结果已越来越暴露的系统,长期以来被视为不可到达,从而出现安全缺陷不被认为是有意义的足以解决这些系统设计时。

未来的冲击如果安全问题难以控制的设备看起来很糟糕现在,不久的将来就更糟了。

计算景观10年将比今天截然不同,采用便携式,之多的感应设备,网络设备——所谓的物联网。这些设备将传统IT以外的操作环境。

而不是计算环境的过去的二十年里,这些不会单一栽培技术;微软放弃支持XP之类的操作系统将会少很多。但不同的单一是新兴的地方:商品硬件——廉价处理器之一,已经在使用控制器和传感器从财富100强制造商众筹“智能设备”的企业家。

在最近的会议上剑桥,质量。,Dan Geer, Chief Information Security Officer of In-Q-Tel, the Central Intelligence Agency's investment arm, warned that the proliferation of smart, embedded devices that are both long lived and unmanageable creates the conditions for massive disruption if flaws and other exploitable vulnerabilities in common components used across commercial environments and critical infrastructure lead to what he terms "common mode" failures and crippling cyber attacks.

这样的系统——智能冰箱,进行路面流量监控系统,或农作物监控无人机——可能是可以忽略不计的重要性,但已构成严重威胁”规模,”吉尔警告说。

”组合,长寿命和不可到达的,是必须处理的趋势,甚至逆转,”吉尔告诉观众安全的事情论坛。

适当的反应是什么?安全专家表示,没有快速解决。顾问等数字键的彼得森与基础设施运营商合作,了解他们的弱点,并采取合理的措施保护他们的IT环境可能的攻击。但与如此多的遗留系统,缺乏基本的安全特性,妥协是始终存在的风险。

吉尔提出了许多可能的,长期的解决方案,从强制实现远程管理和更新功能的嵌入式系统在“国家政策”级别的程序“自毁”机制,将禁用设备“由一些可预测的时代。”

IOActive Cerrudo说文化变革中需要公司的产品。开发者和工程师需要采用安全心态,而供应商,没有传统上必须处理攻击他们的产品需要他们的线索从软件公司像微软和Adobe:建立一个系统的部署和应对安全漏洞的报告他们的产品,然后客户发布补丁。

存在很高的风险。Cerrudo和吉尔都注意,黑客的日子,恶意软件和其他问题被限制为我们的台式电脑在家里和工作结束,快。

“所有的这些新技术都是影响我们的日常生活中,“Cerrudo说。“当这些设备被黑客攻击或破坏,这将影响我们的生活方式。”

充分披露:作者组织事物的安全论坛,In-Q-Tel CISO丹吉尔是引用在这里说这番话的。

相关文章

这个故事,”小心下一层地狱:Unpatchable系统”,最初发表在InfoWorld.com。遵循的最新发展安全在InfoWorld.com上。商业技术最新发展的新闻,跟进在Twitter上InfoWorld.com。

阅读更多关于安全在信息世界的安全通道。

这个故事,“当心下一层地狱:Unpatchable系统”最初发表的信息世界。

下一个读这篇文章:

保罗·罗伯茨是一位有经验的记者和编辑技术谁写了黑客,网络和信息技术安全的威胁。

企业网络2022的10个最强大的公司