Casa Securitywatch Rsac: come sarà la sicurezza nel 2020?

Rsac: come sarà la sicurezza nel 2020?

Video: Howto: Crittografia in yubikey per file & mnemonic (cifratura e decifratura file GPG usando yubikey) (Novembre 2024)

Video: Howto: Crittografia in yubikey per file & mnemonic (cifratura e decifratura file GPG usando yubikey) (Novembre 2024)
Anonim

Come sarà la sicurezza nel 2020? Come sarà la vita, in generale? I tipi visionari di Trend Micro hanno riflettuto molto sull'argomento. Hanno inventato un white paper di 25 pagine… e hanno anche creato una serie di video Web per coloro che desiderano una vista più accessibile. Ho chiacchierato con il vicepresidente Trend Micro Rik Ferguson delle sue opinioni su come la tecnologia indossabile e l'Internet of Things cambieranno la nostra vita.

Rubenking : Quindi, quali sono le possibilità che il mio frigorifero collegato venga cooptato in una botnet?

Ferguson : Di sicuro può essere maltrattato, ma si estenderà ad unirsi a una botnet? Per essere utili in una botnet, i dispositivi devono avere determinate funzionalità che potrebbero essere presenti o meno. Non ci sarà l'omogeneità del sistema operativo e dei dispositivi che faciliterà il funzionamento di una botnet. È difficile scrivere qualcosa di funzionale per tutte le piattaforme.

Ma è possibile utilizzare qualsiasi endpoint, ad esempio, per far rimbalzare la posta elettronica. Sarà facile abusare. Se stiamo parlando di tutto lo spazio IPv6 indirizzabile, inviare automaticamente spam da indirizzi IP estremamente variabili è semplice.

Quindi, abuso, sì, botnet, è qualcosa di diverso. Tuttavia, abbiamo visto botnet mobili rudimentali. Ci sono solo due giocatori principali e quello dominante è seriamente assente.

Rubenking : vuoi dire Android.

Ferguson : Sì. Apple sta facendo un buon lavoro mantenendo chiaro il proprio ecosistema. Alcuni exploit a prova di concetto sono entrati nel loro app store, ma se il tuo dispositivo iOS non è jailbreak, il rischio è relativamente limitato.

Una cosa che vedo all'orizzonte sono i kit di exploit per dispositivi mobili. Non l'abbiamo ancora visto. Black Hole e simili si concentrano su Wintel, forse un po 'di Mac. Quando vediamo un kit per dispositivi mobili, è enorme, il gioco cambia. Non dovranno fare affidamento sull'infrastruttura dell'app store. Fai clic sul collegamento e sei pronto.

Rubenking : E vedi che succederà presto?

Ferguson : arriverà tra 12 e 18 mesi. L'ultima versione del kit BlackHole Exploit stava raccogliendo statistiche per dispositivi mobili prima che l'autore fosse arrestato. Se lo colpisci da Android, non tenterebbe di inviare malware, ma prenderebbe nota della visita. Gli exploit sono rapidi e facili; è la consumerizzazione del crimine informatico.

La barriera tecnica è scomparsa; i criminali non hanno bisogno di competenze tecniche. Alcuni dei gruppi di maggior successo, quelli che conosciamo perché sono stati arrestati, mostrano abilità negli affari e nel marketing e hanno a che fare con i partner. Non competenze tecniche. I toolkit sono semplicemente punta e clicca.

Guarda le persone dietro DNSChanger. Avevano un'attività di copertura completamente funzionale ed erano molto bravi a monetizzare gli annunci che hanno sostituito nel browser. Queste persone sanno come ottenere partner. Farebbero bene in una compagnia legittima.

Rubenking : vedi un problema con le auto connesse?

Ferguson : Non è in un lontano futuro. Ma devi ricordare che la stragrande maggioranza delle attività criminali ha una motivazione finanziaria. Uccidere qualcuno hackerando la macchina non è redditizio. Oh, potresti usarlo per attività di spionaggio, forse, tipo Stuxnet. Capovolgi il microfono, guarda cosa ascolti o segui le persone. Ma malware diffuso per inabilitare e ferire? Questa è fantasia.

Il grande rischio nella tecnologia connessa è quello che abbiamo visto al CES. Auricolari che misurano la frequenza cardiaca in palestra. Occhiali da sci collegati con GPS. Scarpe collegate, sensori nei tuoi vestiti. Il grosso problema è la quantità di dati che stiamo generando su noi stessi, le nostre case, le nostre famiglie. Il prossimo grande salto in termini di criminalità è l'analisi dei big data su questi dati. Renderà gli attacchi mirati molto più credibili. Ad esempio, ricevi un'e-mail apparentemente dalla tua palestra, ti chiama per nome, menziona le visite recenti, forse notando le tue nuove scarpe connesse e dice, fai clic qui per scaricare la nostra app. Ma è malware, spear phishing.

Rubenking : E il tuo progetto 2020, quel white paper e serie di video, incorpora questo tipo di problema?

Ferguson : cosa divertente, prevediamo non attacchi, ma un fornitore di contenuti del settore. L'ISP ti fornisce una connessione, ma il fornitore di contenuti sa tutto di te. Ti fidi di loro, hanno informazioni su di te e personalizzano le informazioni che ottieni sul display heads-up. È la prima volta che Internet potrebbe restringere i nostri orizzonti. Se tutto ciò che vedi è qualcosa che già conosci, il tuo orizzonte si restringe. Dovremo capire come reindirizzare la serendipità su Internet.

Ora, cosa succede se i criminali ottengono l'accesso a questo fornitore di contenuti? Possono hackerare la tua intera esperienza del mondo. E va oltre. Abbiamo studiato le comunicazioni nel settore delle spedizioni internazionali e dei sistemi legacy. Lo abbiamo trovato completamente hackerabile. Di 'che sei un pirata somalo; puoi scegliere la tua nave, reindirizzare la rotta, cambiare la frequenza di comunicazione e i pirati ti stanno aspettando. La tecnologia legacy che non è stata progettata per essere connessa è una delle maggiori sfide.

Rubenking : Quindi, dovremmo essere preoccupati per il futuro?

Ferguson : la tecnologia è neutrale. La tecnologia non è cattiva. Usati nel modo giusto, possiamo creare una società molto più funzionale ed equa, con un accesso più ampio a molte cose. Ma dobbiamo assicurarci che la sicurezza sia parte della considerazione fin dall'inizio, non fissata. È difficile, perché per una startup la sicurezza è un blocco. Dobbiamo coinvolgere educatori, scuole, governi.

Ecco perché abbiamo trasformato il white paper del 2020 in una serie Web. Nove episodi, tutti tranne il finale intorno a cinque minuti. Abbiamo intrapreso la ricerca e scritto un thriller ambientato in quel mondo, mostrando cose come il display heads-up che tutti useranno e quanto sarà facile conversare con qualcuno in un'altra lingua, con tutte le comodità.

L'obiettivo non era trasformare il white paper in un'infografica video, era espandere il pubblico, ampliare la conversazione. Il ritmo dell'innovazione sta aumentando, non rallentando. Il futuro è più vicino di quanto pensi.

Rubenking : Grazie, Rik!

Rsac: come sarà la sicurezza nel 2020?