Question:
Comment puis-je argumenter contre: "Le système est impeccable, alors pourquoi corriger les vulnérabilités?"
Ken
2017-12-22 15:33:58 UTC
view on stackexchange narkive permalink

Un système d'exploitation a atteint la fin du support (EoS) donc plus aucun correctif de sécurité n'est à venir pour le système d'exploitation. Un périphérique intégré exécutant ce système d'exploitation doit être mis à jour vers une version plus récente. Cependant, les ingénieurs qui ont conçu le produit original estiment que la machine n'est pas piratable et n'a donc pas besoin d'être corrigée. L'appareil dispose de ports WiFi, Ethernet, USB et d'un système d'exploitation qui a atteint EoS.

Les questions que l'on me pose quotidiennement:

  1. Nous avons une liste blanche des applications, alors pourquoi avons-nous besoin de corriger les vulnérabilités?
  2. Nous avons un pare-feu alors pourquoi avons-nous besoin de corriger les vulnérabilités?

Et les commentaires que je reçois:

Notre plan est de renforcer encore plus le système. Si nous faisons cela, nous ne devrions pas avoir à mettre à jour le système d'exploitation et continuer à le corriger. Personne ne pourra atteindre les vulnérabilités. Nous corrigerons également les vulnérabilités dans les parties du système d'exploitation orientées vers l'extérieur (même si elles ne sont pas en mesure de corriger les vulnérabilités elles-mêmes) et nous pourrons ensuite laisser les vulnérabilités non extérieures non corrigées.

I ont expliqué en détail les scans authentifiés Nessus. Je ne sais pas comment faire passer mon message à ces ingénieurs. Des pensées sur la façon dont je peux expliquer cela?

MISE À JOUR: Le système est en cours de correction. Merci pour les réponses et l'aide de tout le monde.

Je vous remercie.Nos clients ne voudront pas d'un système avec des vulnes non corrigées.Je crois qu'un système durci avec des vulnes n'est plus acceptable.
Alors, est-ce que vous vous inquiétez des vulns ou de l'impact sur la réputation des clients * sachant * qu'il y avait des correctifs qui auraient pu être appliqués?Parce que ce sont deux choses très différentes.
Je peux voir cela sur une base par vuln.Par exemple, désactiver SMB pour Wanna Cry.Cependant, ils pensent que toutes les futures vulnes peuvent être atténuées par durcissement.Je peux planter le système en fuzzing les protocoles.Et WiFi KRACK peut être difficile à atténuer sans le support du fournisseur de système d'exploitation.
@schroder Ma principale préoccupation est l'impact sur la réputation des clients sachant qu'il y avait des correctifs qui auraient pu être appliqués.Bien sûr, je me soucie beaucoup de la correction des vulnes.Cependant, dans ce cas, la réputation
ok, alors vous venez d'introduire * une autre * opinion à contester (le durcissement peut contrer toutes les futures vulnes possibles) et vous venez de relever un grand défi (KRACK) - je pense que vous espérez un argument miracle en utilisant une approche de dispersion, maisils n'existent pas.L'hypothèse de base semble être la dernière (toutes les autres que vous avez mentionnées en découlent), et elle est * facilement * contestée comme vous venez de le faire
Si la réputation est la principale préoccupation, alors approfondir les détails techniques n'est pas l'approche que vous devez adopter.Vous devez interroger vos clients et leur demander ce qu'ils pensent.Ils sont votre sujet de risque, étudiez-les, pas le système d'exploitation.
* "les ingénieurs qui ont conçu le produit original estiment que la machine n'est pas piratable" *.Je ne connais ni l'ingénieur ni la machine, mais je sais qu'il / elle a ** tort **.
"Le système est impeccable" C'est là que vous riez aux éclats.Quiconque pense qu'un système ne peut pas être piraté ne comprend pas à quel point les attaquants sont incroyablement intelligents et ingénieux.Tous les systèmes sont piratables avec suffisamment de temps et de ressources.Le but de la sécurité est de rendre l'investissement requis pour une attaque réussie plus élevé que l'avantage d'attaquer.
_Demander aux clients est une excellente idée._ Considérez simplement que si la réputation est réellement votre principale préoccupation et que vos clients sont même à distance familiers avec les sujets informatiques, lorsque vous demandez à vos clients, je ne leur mentionnerais pas que vos ingénieurs estiment que la chose estincassable;une telle affirmation a à juste titre le potentiel de nuire gravement à la réputation.
Bientôt dans un article de DailyWTF près de chez vous ... "Mais le système est impeccable! Comment cela a-t-il pu arriver?! Ce doit être la faute de KEN! Ce crétin incompétent a brisé la liste blanche du pare-feu avec ses correctifs!"
Malgré ce que quiconque pense de la sécurité d'un système, il me semble que vous voudriez essayer de corriger toutes les vulnérabilités connues ou au moins avoir une très bonne raison pour laquelle vous ne pouvez pas.Parce que si vous finissez * par * être piraté, «nous n'avons pas pris la peine d'appliquer des correctifs parce que nous pensions qu'il était impossible de pirater» n'est pas une très bonne défense dans les enquêtes suivantes.
Existe-t-il un système de test conçu intentionnellement pour les tests de piratage?Sinon, le piratage de tout autre système est un moyen efficace de se retrouver au chômage.De plus (expérience personnelle), prouver que quelqu'un d'autre a tort peut avoir le même effet si cette personne a suffisamment d'influence.OP est dans une situation difficile.
Demandez au soi-disant ingénieur s'il est prêt à parier 10000 $ que ce n'est pas piratable.S'ils sont toujours aussi stupides de dire oui, offrez 5K (aux bons endroits ...) à quiconque peut pirater l'appareil.Vous faites 5 mille et votre point ...
Une option est d'exploiter la machine et de rapporter ce que vous avez fait, en disant que si je l'exploite, n'importe qui le peut.C'est ce que font les hackers au chapeau blanc et c'est le moyen le plus simple de faire taire ces ingénieurs.Si vous ne voulez pas faire cela, alors documentez le fait que vous avez dit aux ingénieurs qu'ils ont tort, donc quand le jour viendra et que le système sera piraté, vous ne serez pas à blâmer, vous pourriez simplement dire que je l'ai fait.mon boulot
Je crois que [ce type] (https://www.schneier.com) a dit que n'importe qui peut créer un système qu'il ne peut pas pirater lui-même.
L'existence de vulnérabilités confirme en quelque sorte que le système n'est * pas * impossible à pirater.
J'avais l'impression qu'EoS signifiait pas de plans d'amélioration des fonctionnalités, peut-être pas de * plans * de correctifs, et que les mises à jour de sécurité étaient en fait semi-courantes après EoS.OT: vous ne devriez pas avoir cette discussion avec les ingénieurs, mais plutôt avec eux et votre patron.En fin de compte, si votre entreprise prend toujours en charge cet appareil, le support du système d'exploitation devient votre responsabilité, peu importe si le support en amont a cessé.
C'est un problème de compétences en communication et non de compétences techniques.Écoutez-les, posez des questions, quel est leur argument.Soyez d'accord avec eux et faites-leur savoir qu'ils ont fait un excellent travail jusqu'à présent.N'utilisez jamais le mot «mais».Enfin, laissez-les signer un contrat qui stipule que vous avez averti et qu'ils savent ce qu'ils font et que vous n'êtes plus responsable de rien.
@jpmc26 Je pense que l'objectif devrait être de rendre le coût et l'impact d'une attaque réussie avec des mesures de sécurité inférieurs au coût et à l'impact d'une attaque sans mesures de sécurité.Un attentat-suicide déterminé pourrait vous attaquer à tout prix à Steve-Jobs-thermonucléaire.
@Archimedix Le problème avec votre idée est qu'elle n'impose aucune limite supérieure aux dépenses de sécurité.Vous ne pouvez pas investir un temps et un argent infinis dans la sécurité, et à un moment donné, vous devez simplement accepter que si un attaquant arrive aussi loin, vous avez tout simplement perdu.J'ai envisagé de dire: "Rendre un coût d'attaque prohibitif", mais comme vous le faites remarquer, il peut y avoir des attaquants avec de vastes ressources que vous ne pouvez espérer égaler.
@jpmc26 la limite supérieure est indiquée comme la somme du coût et de l'impact (ou mieux, du risque, qui est la probabilité d'occurrence de l'impact multiplié par la probabilité).Si vos mesures de sécurité sont insuffisantes, vos coûts et risques globaux sont trop élevés pour fonctionner à long terme.S'ils sont trop chers, vous ne gagnez rien.Il s’agit essentiellement de mathématiques sur les assurances, sauf que les assurances ajoutent leurs propres mesures de sécurité et profitent en plus de cela.
@IllidanS4 - J'ai sorti les mots de ma bouche: "Inhackable ... vulnérabilités ..." est un oxymore.
Est-il vraiment connecté au monde extérieur?Je suppose qu'il y a toujours de l'ingénierie sociale aussi: |
Abandonner.Si vous parlez à quelqu'un - un ingénieur, rien de moins - qui croit légitimement que _tout appareil_ est inattaquable, vous ne pouvez pas l'approcher avec un argument intelligent.
L'élément humain rend TOUT système non piratable.Votre réputation est-elle mise en place pour gérer l'élément humain ainsi que l'adversaire technologique inattendu.
Votre «ingénieur» confond «Aucune preuve d'un problème» par «Preuve qu'il n'y a / ne peut pas y avoir de problème».
Fait entendre notre préoccupation et passer à autre chose, ne perdez pas votre temps à convaincre les gens (à moins que le format payant plus jeune, c'est-à-dire)
Une liste blanche est aussi forte que son utilisateur le plus faible.Un pare-feu doit avoir des ports ouverts pour laisser entrer / sortir les données d'application.Cependant, il est impossible de déduire ici si vous avez BESOIN de plus de sécurité ou non.
Question vague.Que voulez-vous dire, l'appareil "doit être mis à jour".Pourquoi "doit-il être mis à jour"?Vous devez donner plus de détails.
Tout changement majeur nécessite une analyse coûts-avantages.Il semble que le désaccord porte sur le résultat de l'analyse, et puisque l'analyse est dans votre tête, ce n'est même pas la même analyse.Alors, écrivez d'abord l'analyse, acceptez que les points nécessaires sont énumérés, puis discutez-en.
Il n’existe pas de système non piratable.Il n'y a que des systèmes qui sont suffisamment difficiles à pirater pour que le «butin» ne vaille pas l'effort et / ou les ressources.Vous devriez vous poser la question: ce système est-il actuellement suffisamment difficile à pirater, ou est-il assez facile pour que le «butin» en vaille la peine?
Quinze réponses:
schroeder
2017-12-22 15:48:57 UTC
view on stackexchange narkive permalink

Le problème avec la situation (telle que vous la rapportez) est qu'il y a beaucoup d'hypothèses faites avec beaucoup d'opinions. Vous avez vos opinions et vous voulez qu'ils partagent vos opinions, mais ils ont leurs propres opinions.

Si vous voulez que tout le monde accepte quelque chose, vous devez trouver un terrain d'entente. Vous devez contester et confirmer chaque hypothèse et trouver des données concrètes pour soutenir votre opinion ou la leur. Une fois que vous avez un terrain d'entente, vous pouvez tous avancer ensemble.

  1. Vous avez une liste blanche: super, qu'est-ce que cela signifie? Y a-t-il des moyens de contourner cela? Une application en liste blanche peut-elle être corrompue?
  2. Que fait le pare-feu? Comment est-il configuré? Les pare-feu signifient les ports bloqués, mais ils signifient également les ports autorisés . Ces ports autorisés peuvent-ils être abusés?
  3. Personne n'y a accès? Qui a accès à l'appareil? Faites-vous confiance à un initié ou à l'ignorance d'un utilisateur pour assurer sa sécurité?
  4. Que se passe-t-il si quelqu'un obtient un accès local à l'appareil? Quelle est la probabilité que cela?

En tant que professionnel de la sécurité de l'information, votre travail n'est pas de battre les gens au-dessus de la tête avec les «meilleures pratiques», mais d'effectuer des analyses de risques et de concevoir une voie à suivre qui limite les risques sous le seuil de risque de manière rentable. Vous devez justifier ne pas utiliser les meilleures pratiques, mais si la justification est valide, alors elle est valide.

J'apprécie cela.Je pense que je suis coupable de battre les gens à la tête avec les «meilleures pratiques».J'ai pu trouver des preuves que la liste blanche pouvait être piratée.Il y a accès à la machine mais pas au bureau du système d'exploitation.Merci encore.
@Ken ce que vous devriez lire entre les lignes du dernier paragraphe est que les meilleures pratiques ne sont pas toujours les meilleures.
Les meilleures pratiques sont basées sur les connaissances actuelles.Personne n'est omniscient, donc les meilleures pratiques actuelles ne le restent pas pour toujours.Une fois que les meilleures pratiques actuelles deviennent obsolètes, cela est dû à une faille fondamentale récemment découverte.
La meilleure pratique n'est pas de s'appuyer sur une liste énumérée des meilleures pratiques connues aujourd'hui, mais de rendre votre système infaillible en _not_ en supposant qu'il ne peut pas être piraté, et en le concevant en conséquence.
@Ken "Il y a un accès à la machine mais pas au bureau du système d'exploitation" - J'ouvre votre machine, je connecte un disque avec mon propre système d'exploitation dessus, je le démarre, puis j'apporte les modifications que je veux à tout et à tout sur votre système.Ou je viens de l'ouvrir, de sortir votre disque et de le vendre au plus offrant.
Ajoutons à la liste blanche.Cela empêche les exécutables non autorisés de s'exécuter.Cependant, si un exécutable autorisé a une vulnérabilité, la liste blanche ne fera rien pour arrêter cela.L'exe, s'il est sur la liste blanche, fonctionnera - avec vulnérabilité.
Martin Argerami
2017-12-22 18:06:06 UTC
view on stackexchange narkive permalink

Si quelqu'un me dit que sa machine n'est pas piratable et que je dois le croire, je conclus immédiatement que

  • La machine est gardée sous les conditions de Fort Knox / High security prison, avec 24 / 7 gardes et caméras de sécurité,

et aussi l'un des suivants:

  • La machine n'a aucun échange d'informations d'aucune sorte (non usb, ethernet, firewire, série, parallèle, etc. de tout type)

  • La machine est éteinte en permanence.

Gardes 24/7?Eh bien, vous avez juste un vecteur d'attaque parfait!Ne sous-estimez jamais la puissance de la menace interne.
Le seul système non piratable se trouve à l'intérieur d'un coffre-fort qui a été soudé et poussé d'un bateau dans la fosse des Mariannes.Ensuite, l'équipage du bateau a été abattu pour garder son emplacement secret.
De plus, je suis toujours irrité d'entendre des choses comme «l'ordinateur le plus sûr est un ordinateur débranché», car cela enfreint complètement le principe de triade de la CIA de disponibilité.Un ordinateur débranché est l'ordinateur finalement non sécurisé, déni de service complet.
@Adonalsium Ce n'est pas impossible à pirater.L'emplacement peut être forcé brutalement.La vraie réponse est que le "piratage" n'est pas absolu.Je considère généralement qu'un système sans connexion réseau est "sécurisé", dans la mesure où quelqu'un aurait besoin d'un accès physique pour le compromettre.Dans les situations de haute sécurité, l'espacement aérien (y compris les ports USB et autres périphériques) est généralement considéré comme le plus haut niveau de sécurité.
Au cours de notre audit GSS en cours, nos agents de sécurité continuent de nous frapper au-dessus de la tête avec "des portes, des armes à feu et des gardes ne sont pas suffisants" pour protéger les médias à vide.btw, nous sommes situés à l'intérieur d'une base de l'armée américaine.
@Adonalsium tire les coups.Nous savons tous que le seul système non piratable est celui qui a traversé l'horizon des événements.
Un ajout à votre liste: "Le système à pirater n'existe même pas."
@R .. oh certainement qu'un système qui a traversé l'événement horison est piratable, vous pouvez envoyer des informations de cette façon.Vous ne pouvez tout simplement pas obtenir une réponse de votre côté :)
Utilisez juste une brique.Personne ne peut pirater cela, et c'est à peu près aussi utile.
@DimaTisnek: On peut soutenir que toute information «de l'autre côté» n'existe tout simplement pas.
@R .. déjà entendu parler de Hawking Radiation?L'information finira par être rayonnée.Il s'agit simplement de le reconstruire.;)
Pas l'information, juste la masse / énergie.
Cela ne semble pas fournir de réponse à la question (ou c'est une réponse inutile, si vous suggérez d'y répondre de manière sarcastique, ce qui n'est utile que pour quelqu'un qui sait déjà pourquoi ces choses devraient être vraies).Vous voudrez peut-être [modifier] et reformuler pour aborder plus explicitement ce qui peut mal tourner avec le fait d'avoir le périphérique dans un endroit moins sécurisé et pourquoi avoir tout type d'échange d'informations est un problème.
@NotThatGuy: Nous avons constaté qu'essayer d'expliquer pourquoi ces choses sont vraies conduit seulement à se plaindre de la raison pour laquelle x n'est pas fixé, où x est une loi fondamentale de la sécurité informatique.
@Joshua Cela ne change pas le fait que ce n'est pas une réponse (bien qu'une reformulation mineure puisse changer cela, mais alors ce serait une réponse de qualité assez faible IMO - il faut ajouter de la viande).
Un tapis roulant «échange» toujours une sorte d'information: au moins, il consomme de l'énergie électrique et génère de la chaleur.Des attaques ont été menées dans le passé en analysant la consommation d'énergie et les vagues de chaleur, ainsi que des problèmes de synchronisation.Ainsi, le simple fait qu'une machine tourne déjà crée des informations qui peuvent être exploitées.
@jpmc26, vous pouvez y arriver en le séparant simplement
Mike Scott
2017-12-22 15:49:31 UTC
view on stackexchange narkive permalink

Parce que vous voulez une stratégie de sécurité à plusieurs niveaux avec une défense en profondeur. Vous avez un pare-feu, mais que se passe-t-il s'il y a une faille de sécurité dans votre pare-feu? Que se passe-t-il si un exploit d'application donne un accès au système d'exploitation au niveau de l'utilisateur, puis qu'une vulnérabilité de système d'exploitation non corrigée permet de l'escalader en accès root? Pour une sécurité adéquate, vous devez corriger toutes les vulnérabilités connues, pas seulement celles qui, selon vous, peuvent être exploitées sur votre système, car une combinaison d'une vulnérabilité inconnue et d'une vulnérabilité connue que vous pensez ne peut pas être exploité peut permettre des compromis là où l'un ou l'autre ne le ferait pas, et vous ne pouvez pas corriger les vulnérabilités inconnues.

@KalleMP c'est * une * réponse et suppose la possibilité de patcher.Les évaluations des risques sont intrinsèquement des «jugements de valeur» et si la sécurité était aussi simple que de «faire tout ce qu'il faut», alors la profession d'infosec n'aurait besoin que de techniciens pour tourner autour des boutons.La réalité, comme l'indique la situation du PO, est bien plus compliquée que cela.
Je cherchais l'expression «défense en profondeur».C'est la réponse la plus simple à ces personnes et généralement la meilleure.
user166832
2017-12-24 20:18:15 UTC
view on stackexchange narkive permalink

La raison est simple, la sécurité est appliquée par couches. Par exemple, pour se connecter à une base de données importante, il faut d'abord entrer dans le réseau de la base de données (passer le pare-feu), ajouter sa propre adresse IP à la liste des clients autorisés à se connecter, puis initier la connexion avec le nom d'utilisateur et le mot de passe. N'importe laquelle des couches rend les deux autres redondantes. Le problème est "et si". Pensons à la connexion par défaut scott / tiger de l'ancien Oracle ou un employé transfère par inadvertance un port vers l'Internet public. Le pare-feu peut bloquer uniquement TCP, tandis que le serveur écoute également sur UDP, ou IPv6 est mal configuré, et la sécurité s'applique uniquement à IP4. C'est pourquoi une bonne sécurité se décline en plusieurs couches, les tentatives sont surveillées et les experts en sécurité apprennent des tentatives d'attaques (avec un peu de chance), ou ils inspectent l'activité sur les pots de miel. De plus, les exploits zero day (ceux qui s'appliquent même au dernier patch) ont moins de chances de réussir dans un environnement en couches, car l'attaquant aura besoin d'un exploit pour chaque couche.

Aucun appareil n'est pas piratable, juste il n'a pas été piraté auparavant. Soit il y a peu d'intérêts sur votre appareil et / ou le gain est très faible. Les exploits Zero Day peuvent toujours exister.

De plus, certains appareils Android ne peuvent tout simplement pas être mis à niveau au-delà d'une version spécifique. Savoir qu'un adversaire possède un tel appareil est une invitation ouverte au piratage, car le nom / la marque de l'appareil contient la recette exacte de la façon de le pirater.

Maintenir un appareil sans support actif est dangereux également du point de vue fonctionnel perspective.

La sécurité n'est pas nécessaire conçue pour protéger des étrangers (pare-feu) mais aussi des initiés. Je ne connais pas le contexte de votre appareil, mais étant donné ce que vous écrivez, il peut être vulnérable à quelqu'un qui se trouve déjà à l'intérieur du pare-feu.

Meridian
2017-12-23 03:57:24 UTC
view on stackexchange narkive permalink

Il n'y a pas de systèmes non piratables. Pour ceux qui mentionnent l'espacement aérien, il existe de nombreux exemples de hacks réels ou de hacks potentiels sur des systèmes espacés. Stuxnet est probablement l'exemple le plus célèbre (et le plus extrême). D'autres incluent le phreaking de van Eck, l'analyse acoustique ou d'autres attaques de canaux secondaires.

Il existe des moyens d'atténuer les vulnérabilités qui n'impliquent pas de correctifs. Par exemple, si le système est vulnérable à KRACK, est-il possible de simplement désactiver le WiFi? Si le WiFi est désactivé en permanence, il ne devrait pas être nécessaire d'appliquer une mise à jour impliquant le WiFi. De même, s'il y a des applications spécifiques sur le système qui présentent une vulnérabilité (comme Java, .NET, Flash, les navigateurs, etc.), vous pouvez simplement désinstaller ces applications. Il n'est pas nécessaire de mettre à jour Java s'il n'est même pas installé.

Avec les mises à jour du système d'exploitation, c'est certes plus difficile. Vous devez être conscient des vulnérabilités potentielles, puis vous devez les atténuer. L'avantage d'utiliser un système d'exploitation pris en charge est que quelqu'un d'autre fait (vraisemblablement) déjà la première partie et la moitié de la deuxième partie pour vous.

Un système entièrement mis à jour / mis à niveau n'est pas un système sécurisé ou non piratable. Mais cela a tendance à minimiser le risque de vulnérabilités CONNUES. Pour faire écho à Schroeder, l'analyse des risques est plus importante que le «renforcement / verrouillage» ou la «mise à niveau» aveugle et en espérant que l'un ou l'autre vous rendra plus sûr.

Stuxnet était le résultat d'une violation de la politique de l'entrefer, et le phreaking de van eck et d'autres attaques de ce genre violent la confidentialité, mais pas l'intégrité.Ce serait loin de les appeler "piratage".Quant au fait qu'il n'y ait "aucun système non piratable", les trucs d'EAL7 + s'en rapprochent!
C'est une belle distinction entre confidentialité et intégrité.OP n'a pas mentionné l'objectif de la sécurité du système et ma propre expérience est davantage centrée sur le risque associé à la confidentialité.
https://www.wired.com/2017/02/malware-sends-stolen-data-drone-just- pcs-blinking-led / - encore une fois, je pourrais dire que c'est une violation de la politique de l'entrefer - mais quand même, je pensais partager un peu de plaisir.
emory
2017-12-22 23:24:27 UTC
view on stackexchange narkive permalink

Aucun système n'est véritablement "inattaquable". Cependant, une fois que nous avons décidé qu'un système est suffisamment "non piratable", nous n'avons plus besoin de maintenir un canal pour les correctifs de sécurité.

Pour un exemple concret, notre système "non piratable" contrôle une caméra de sécurité. Le travail de la caméra est de regarder un endroit fixe. Chaque paramètre est soit constant, soit le système est suffisamment intelligent pour s'ajuster par lui-même. Le système diffuse les données vidéo et n'a besoin d'aucune entrée de la part de l'utilisateur.

Nous pourrions demander au système d'exécuter ssh afin de pouvoir nous connecter périodiquement et d'appliquer des correctifs de sécurité, mais cela ouvre en fait un (très petit) trou de sécurité. Un attaquant pourrait utiliser ssh pour pirater la caméra. (Bonne chance pour le piratage de ssh).

C'est donc un compromis. Si vous pensez honnêtement que vous n'aurez jamais besoin d'appliquer un correctif de sécurité, vous pourriez décider que laisser ce canal ouvert ne vaut pas la peine.

J'ai eu cette idée d'une présentation à laquelle j'ai assisté où quelqu'un a décrit les systèmes sur lesquels il construisaient pour le gouvernement. Les composants du système étaient des machines virtuelles de courte durée (généralement moins d'un jour). Chaque machine virtuelle était immuable et jetable. Le plan était que s'ils avaient besoin d'appliquer un correctif de sécurité, ils se débarrasseraient simplement des machines de manière ordonnée et en créeraient de nouvelles. Les machines virtuelles n'avaient pas de ssh.

L'auditeur de sécurité du gouvernement a fait sauter un joint et leur a fait installer ssh afin qu'ils puissent appliquer des correctifs de sécurité. Le serveur ssh ne fournissait aucune valeur de sécurité et était en fait un trou.

Cependant, en y réfléchissant, cet exemple (et ma caméra) ne sont que des mises à jour de sécurité via un canal non traditionnel.

Qu'en est-il

  1. d'une caméra déployée sur Mars ... tout le monde connaît la caméra et tout le monde peut voir les données de la caméra
  2. une caméra qui existe secrètement derrière les lignes ennemies (si l'ennemi connaissait la caméra, il pourrait facilement la prendre ... voulons-nous maintenir un canal pour les mises à jour de sécurité).
Même si vous souhaitez appliquer des correctifs de sécurité plus tard, une solution viable serait d'exiger un accès physique, combiné à une protection contre les falsifications.
Mais la caméra doit vraisemblablement télécharger ses images vers un emplacement distant, supposons qu’un attaquant usurpe son DNS pour le télécharger sur le serveur de l’attaquant?Et supposons qu'il y ait un débordement de tampon dans sa pile réseau que l'attaquant puisse exploiter avec un paquet mal formé?Désormais, ce n’est pas impossible après tout.
De plus, la caméra de sécurité accepte les entrées extérieures.Et s'il y avait un bug exploitable dans le logiciel de traitement d'image qui permettait à quelqu'un de pirater votre système via la caméra?
`Bonne chance pour le piratage de ssh` Vous n'avez jamais reçu de devis pour un OpenSSH 0day auparavant, n'est-ce pas?
Je pense que le point @Nzall's est valide.Dans cet exemple, nous appliquons toujours les mises à jour de sécurité - il suffit de changer le canal dans lequel elles sont appliquées.
@MikeScott peut-être que la caméra diffuse dans le monde.la caméra vient d'atterrir sur mars et prend des photos et diffuse dans le monde entier.si nous laissions un canal ouvert pour les mises à jour de sécurité, un attaquant pourrait l'inonder de bruit.l'attaquant n'intervient pas pour appliquer sa mise à jour mais nous empêche d'appliquer notre mise à jour et gaspille peut-être les ressources énergétiques de la caméra.
@forest insinuez-vous qu'il est facile de pirater ssh?
@RobWatts Je pense que vous dites qu'en présentant une image soigneusement choisie à la caméra, un hacker peut prendre le contrôle du système.C'est certainement possible.Je pense que nous allons simplement devoir vivre avec le fait que nos systèmes sont piratables.Si cela vous inquiète vraiment, vous devez appliquer une sécurité physique à la zone autour de la caméra pour empêcher les gens de présenter des images à la caméra, mais cela irait probablement à l'encontre du but de la caméra.
@emory Non, mais c'est loin d'être impossible à pirater.
@emory c'est vrai.En gros, j'essayais de souligner le fait que rien n'est imparable - beaucoup de gens ne considéreraient même pas la possibilité qu'une caméra puisse être piratée.
@RobWatts pour être honnête, je ne l'avais pas envisagé et je ne sais toujours pas comment le faire, mais puisque vous l'avez porté à mon attention, je suis sûr que le fait d'appliquer du temps et de l'argent au problème trouverait une faiblesse dans l'appareil photo.
Et si la vulnérabilité est de nature à permettre à un attaquant de communiquer avec la machine après tout?Il est connecté au réseau car il envoie des données à une destination.Vous disposez désormais d'un appareil vulnérable en permanence.Si votre réponse est «Nous remplacerons tous les périphériques», vous avez en fait spécifié un schéma de «correction physique» comme réponse.Vos remarques sur les appareils désormais hors de votre contrôle ont cependant du sens.
@jpmc26 J'y ai réfléchi et j'ai tendance à être d'accord avec vous.La plupart du temps, vous souhaitez appliquer des correctifs de sécurité.Parfois, vous avez choisi des canaux alternatifs (ce qui peut introduire un décalage).Vous n'avez presque jamais choisi de ne pas appliquer de correctifs de sécurité.
@RobWatts Je pense que c'est un exemple de ce à quoi vous faites référence https://globalnews.ca/news/3654164/altered-stop-signs-fool-self-driving_cars/.Même si l'ordinateur de la voiture est par ailleurs protégé contre le piratage, il existe un moyen de le planter via "graffiti"
J'ai une cuillère en bois dans la cuisine qui ne peut pas être piratée.Du moins je l'espère.J'ai peut être tort.
@gnasher729 trop tard.Je l'utilise pour exploiter la crypto-monnaie depuis des années.merci de ne pas patcher votre cuillère.
Ángel
2017-12-24 09:01:24 UTC
view on stackexchange narkive permalink

Le fait qu'ils ne peuvent pas penser (pour le moment) à un moyen de le pirater ne signifie pas qu'il est "inhackable". C'est pourquoi, en principe, nous appliquons tous les correctifs de sécurité, même s'il s'agit d'un composant qui ne devrait pas être accessible (par exemple, pourquoi corriger une vulnérabilité d'escalade de privilèges si un attaquant n'a même pas accès aux utilisateurs?).

Maintenant, ils peuvent avoir raison, et ne pas le corriger pourrait en fait être la bonne décision dans votre cas. Mais il y a peu de gens pour lesquels j'accepterais tout à fait cela. Et ces ingénieurs ne sont probablement pas spécialement compétents pour effectuer des audits de sécurité.

Pour les convaincre, je leur demanderais de donner accès à l'un de ces appareils à toute personne intéressée par une prime juteuse (par exemple, ils ont parié leur maison?).

S'ils ne sont pas à l'aise de faire ça, eh bien, alors ils ne pensent pas que ce soit impossible à pirater. Et s'ils pensent que cela révélerait des informations importantes, cela signifie qu'ils s'appuient sur la sécurité par l'obscurité. Un vrai système non piratable serait toujours piratable si l'attaquant savait tout sur son fonctionnement.

PS: Même s'ils ne finissent pas par parier leurs maisons, vous auriez vraiment intérêt à implémenter un programme de bug bounty.

thecarpy
2017-12-24 03:30:43 UTC
view on stackexchange narkive permalink

les ingénieurs qui ont conçu le produit original estiment que la machine n'est pas piratable

Les ingénieurs qui ont conçu le Titanic ont estimé qu'il était insubmersible.

Le problème en informatique est que les gens ne voient pas la nécessité de mettre à jour un système, pourquoi changer un système opérationnel? Ces entreprises font ensuite la une des journaux: "4 usines ont été fermées en raison de l'épidémie x" ou "L'entreprise x a été violée, les détails personnels de y millions de clients exposés".

Imaginez, le cloud d'IBM a récemment tout déplacé les clients avec force à TLS 1.1 (OUI, la version déjà obsolète) et certains clients se sont plaints ... CES CLIENTS DEVRAIENT SE PRÉPARER POUR TLS 1.3, je ne sais pas ce qu'ils font, et peu m'importe quelles sont leurs excuses, ils devraient exécuter TLS 1.2 PARTOUT! IBM est de retour colporté, INACCEPTABLE!

Maintenant, vous pouvez me dire que la licorne noire dans l'écurie vous empêche de tout déplacer vers TLS 1.2, peu importe, éliminez-le et ne faites pas affaire avec la société qui vend le licorne noire ... En tant qu'industrie, nous ne faisons pas cela et les violations font la une des journaux, les violations continueront de faire les gros titres jusqu'à ce que nous apprenions la leçon.

Le problème, c'est quand la licorne noire de l'écurie est, par exemple, le client le plus ancien qui rapporte le plus de revenus.Vous pouvez arrêter de faire affaire avec certains fournisseurs tant qu'ils ont un concurrent sûr, c'est une question complètement différente quand il s'agit d'un client.En outre, Microsoft est stupide pour [ne pas vous permettre de remplacer le protocole TLS par demande] (https://stackoverflow.com/a/3795952/1739000) (ou même par site), donc essentiellement ils exacerbent la licorne noireproblème.
Je suis persuadé que votre client appréciera le fait qu'il compromet sa sécurité, la vôtre, et celle d'autres clients.L'histoire du titre de News est également un bon argument.Le client est roi, c'est vrai, mais la sécurité doit passer avant tout!
Tom
2017-12-24 09:24:01 UTC
view on stackexchange narkive permalink

pense que la machine n'est pas piratable

Les sentiments n'ont pas d'importance. Les faits le font.

Revenez à votre évaluation des risques et / ou à votre modèle de menace. Vérifiez si l'application de correctifs ou la mise à jour du logiciel faisait partie de votre plan de traitement des risques. Vérifiez si un logiciel obsolète faisait partie de votre analyse des risques ou de votre modèle de menace.

Retournez voir les ingénieurs avec ces faits et discutez avec eux de l'évolution du risque ou des menaces qui ne sont plus traitées. basé sur le fait que le logiciel n'est plus obsolète. Considérez également que ce risque particulier va augmenter avec le temps au fur et à mesure que le risque de découverte d'un défaut exploitable augmentera. Alors attendez la fin de vie raisonnable de votre produit.

Notez que leurs mesures d'atténuation pourraient bien rendre le risque acceptable. Mais cela doit être discuté et le plan des risques mis à jour. Il se peut aussi que cela rende le risque acceptable aujourd'hui, mais plus dans quelques années. Au lieu de chercher des arguments contre les ingénieurs, mettez-vous sur la même longueur d'onde avec eux. Vous savez au moins que des mesures d'atténuation pourraient être nécessaires.

Matt E
2017-12-28 23:39:24 UTC
view on stackexchange narkive permalink

"Le système ne peut pas être piraté, alors pourquoi corriger les vulnérabilités?" Dans votre question, vous essayez d'argumenter contre une erreur et un argument indémontrable ("Comment savez-vous savoir que c'est" inhackable "? Ou pensez-vous simplement que puisque vous ne pouvez pas le pirater, personne d'autre ne peut? "). En fin de compte, cependant, je pense que cela se résumera à une discussion sur l'acceptabilité du risque et sur qui est prêt à accepter ce risque. Essayez de leur expliquer de cette façon

"Nous avons une liste blanche des applications, alors pourquoi avons-nous besoin de corriger les vulnérabilités?"

La liste blanche des applications est uniquement bon comme la liste blanche elle-même, les outils pour bloquer les applications ne figurant pas sur cette liste blanche, et suppose qu'il n'y a pas de défauts ou de vulnérabilités dans l'outil de liste blanche des applications lui-même. Il protège également uniquement contre les applications inconnues / non fiables. Et si l'attaquant décidait de «vivre de la terre» et d'utiliser les outils propres du système contre lui-même? Que faire si l'une des applications que vous avez ajoutées à la liste blanche dans le cadre du système d'exploitation a une vulnérabilité

"Nous avons un pare-feu, alors pourquoi avons-nous besoin de corriger les vulnérabilités?" C'est, effectivement, le même argument que le précédent. Êtes-vous certain, absolument, positivement, à 100%, au-delà de tout doute, certain qu'il n'y a pas de vulnérabilités dans la pile réseau et / ou le pare-feu lui-même, ni dans aucune des applications ou services qui peuvent être à l'écoute ou accessibles via cette pile réseau?

Si leurs réponses à ce qui précède sont qu'ils sont à 100% positifs quant à leurs choix et décisions, alors je rédigerais un document détaillant leur acceptation de ce risque et le ferais valider par leur équipe de direction jusqu'à le CIO. En fin de compte, ce sont leurs (le niveau CxO) qui sont confrontés au problème si et quand le système est violé et ce sont eux qui pourraient être convoqués devant le Congrès (ou tout autre organe de surveillance gouvernemental auquel ils sont soumis) tous les cadres. à Equifax étaient. Lorsqu'on explique aux dirigeants qu'ils ne font pas tout ce qui est en leur pouvoir pour maintenir un système à jour et corrigé (comme l'exigent de nombreux groupes / lois d'accréditation et de surveillance) et qu'ils (le CxO) pourraient être tenus responsables, attitudes va souvent changer.

Thomas Carlisle
2017-12-23 20:28:59 UTC
view on stackexchange narkive permalink

Cela me semble simple. Revenons à la question de savoir comment faire passer un argument contre le fait de ne pas patcher un système considéré comme inattaquable. Quel est le pire scénario qui puisse se produire si ce système est violé? Supposons que toutes les protections en place échouent ou sont également violées. Ne biaisez pas cet exercice en révélant les conséquences parce que vous ne pensez pas qu'il peut ou sera violé.

Maintenant, traduisez ce pire scénario en termes de coût en termes d'impact commercial sous forme de perte de revenus, d'amendes légales / réglementaires ou de dommages à l'image de l'entreprise dans l'industrie.

Si cet impact est grave, alors regardez vos ingénieurs dans les yeux et dites "êtes-vous prêt à mettre votre travail - et peut-être toute votre carrière - sur la ligne que cela ne se produira jamais? Parce que si il le fait, après avoir expliqué comment cela s'est produit, la décision consciente de continuer à utiliser le système d'exploitation EOL et de juger les correctifs inutiles sera proche, sinon en haut, de la liste. "

D'un autre côté, si l'impact commercial n'est pas aussi important, il peut être judicieux de continuer à utiliser un système d'exploitation EOL. Mais comment faire au mieux cela d'une manière bien gérée des risques est un autre sujet.

Finlay McWalter
2017-12-27 04:14:34 UTC
view on stackexchange narkive permalink

Ce n'est peut-être pas du tout une décision technique. L'utilisation de tout composant de source externe signifie généralement que vous devez utiliser ce composant en stricte conformité avec les directives de son fabricant, sinon vous risquez d'être bloqué avec toutes les conséquences et responsabilités découlant de toute défaillance dans laquelle il pourrait être impliqué.

Donc, si le périphérique se comporte mal et que quelqu'un est blessé (ou qu'une autre responsabilité est engagée), le fabricant du système d'exploitation d'origine dira "logiciel non pris en charge - pas notre problème". Et l'assureur de votre entreprise dira "utiliser un logiciel désuet sans support - c'est de la négligence, et donc pas notre problème".

Donc, de votre point de vue personnel, assurez-vous que ceux qui prennent la décision positive de continuer utiliser des composants obsolètes et non pris en charge:

  • il a été démontré qu'ils le faisaient (et vous l'avez par écrit)
  • ont affirmé que la mise à niveau était inutile ( et ils l'ont fait par écrit)

Il y a un grand écart entre les gens qui disent "nous n'avons pas besoin de faire cette mise à jour" et "j'accepte personnellement la responsabilité de ne pas avoir fait cette mise à niveau" .

Dans la pratique, il y a souvent des mises à niveau des composants qui sont mandatés par eux étant devenus EOL, même s'il n'y a aucun besoin technique réel de le faire. C'est une partie nécessaire de l'ingénierie d'un produit complexe.

tj1000
2017-12-28 02:12:41 UTC
view on stackexchange narkive permalink

Si votre appareil dispose d'une connexion Wi-Fi, il peut être attaqué via le réseau. Cette attaque réussira-t-elle? C'est une question des avantages d'attaquer l'appareil par rapport au niveau d'effort requis. Le baser sur un système d'exploitation obsolète et non pris en charge simplifie définitivement la méthode d'attaque.

La liste blanche des applications n'est pas une protection, juste un barrage routier mineur. Vous pensez qu'un hacker ne peut pas développer une application qui se fait passer pour une application sur la liste blanche des applications? Bien sûr, ils peuvent ... quelque chose qu'ils pourraient examiner si leur première tentative échoue.

Equifax avait tout un pare-feu en place. N'a pas empêché les pirates d'exploiter le trou Struts que les responsables informatiques d'Equifax n'ont pas réussi à corriger, via un port laissé ouvert par nécessité. Un pare-feu arrête simplement certaines des attaques les plus anciennes et évidentes.

Pensez au piratage de Target - le PDG et le CIO ont perdu leur emploi à cause de celui-ci, et il a été perpétré par un initié, aidé par l'utilisation par Target d'une ancienne version de Windows, qui n'est plus mise à jour, plus ancienne , méthodes de connectivité non sécurisées sur leurs appareils de point de vente. Sans aucun doute, le DSI a conclu que la mise à jour de la version Win sur leurs appareils de point de vente était trop coûteuse, un jugement qui s'est avéré très erroné.

Vous pensez que le micrologiciel intégré est immunisé contre le piratage? Considérez le piratage de l'imprimante HP. HP a eu l'idée intelligente de mettre à jour le micrologiciel de son imprimante via un travail d'impression - facile à lancer. Jusqu'à ce que ... quelqu'un propose une version du micrologiciel qui transforme l'imprimante en relais de spam et la délivre via un travail d'impression malveillant.

Comment effectuez-vous les mises à jour du firmware? Grâce au wi-fi? Oui, un hacker peut reproduire cela ... s'il a une raison suffisante.

Un appareil en réseau peut être piraté pour faire partie d'un botnet ... une manière courante de lancer une attaque DOS. Un pirate informatique pourrait trouver la vulnérabilité et, sachant que cela nuirait à la réputation de l'entreprise, lancer l'attaque en même temps qu'il court les actions de votre entreprise. C'est arrivé ... Voler des informations PII et CC n'est pas le seul moyen de profiter d'un piratage.

Maintenant, demandez-vous - quel est le risque pour vous personnellement? Si votre système devait être piraté, pouvez-vous démontrer aux dirigeants de votre entreprise que vous avez exercé une diligence raisonnable pour identifier et atténuer les menaces potentielles, d'autant plus que vous basez le système sur un système d'exploitation qui n'est plus mis à jour? Astuce: prendre la parole des ingénieurs qui disent que le système est «inhackable» ne peut probablement pas être considéré comme une diligence raisonnable.

D'ailleurs, si vos ingénieurs disent que c'est impossible à pirater, ils ne recherchent probablement même pas les vulnérabilités potentielles, et encore moins les atténuer.

Quiconque dit qu'un système ne peut pas être piraté n'est tout simplement pas réaliste. Pas de nos jours.

Vous avez fait référence à un très grand nombre d'exemples historiques.Certains liens seraient bons.
Peter - Reinstate Monica
2017-12-26 22:23:13 UTC
view on stackexchange narkive permalink

En fonction des ressources dont vous disposez, la méthode «infaillible» (avec tout le respect que je dois à vos collègues) serait de leur prouver que le système est piratable. Embauchez quelqu'un qui le peut et laissez-le démontrer les faiblesses du système. Je suppose qu'avec le WLAN, cela ne devrait pas être terriblement difficile. WLAN et pare-feu? C'est une contradictio in adjecto .

Après coup: Peut-être est-il possible de s'entendre sur le paiement en cas de succès (mon dictionnaire appelle cela des "honoraires conditionnels"); de cette façon, le service (de piratage) en vaudrait toujours la peine.

Et puis ils atténuent simplement ces faiblesses et n'ont pas besoin de mettre à niveau le système d'exploitation ...
@schroeder Certains d'entre eux seront dans l'OS (pile IP, cryptage etc.)
oui ... et ils peuvent être atténués ...
@schroeder Eh bien, vous pouvez commencer à réécrire le système d'exploitation, oui.Vous pouvez également réduire la fonctionnalité, par ex.restreindre la connectivité.
Sampath Madala
2017-12-23 01:48:21 UTC
view on stackexchange narkive permalink

Chaque jour, nous faisons la une des journaux disant qu'un système est piraté. Ce n'est pas parce qu'ils ne sont ni à jour ni protégés par des mitrailleuses, mais parce que quelqu'un investit du temps pour les pirater.

Plus important encore, ceux qui sont bien joués ne sont pas faits par IQ power mais par une simple ingénierie sociale. On nous dit donc de garder le système à jour car si nous tombons d'une manière ou d'une autre dans ce trou, nous leur donnons les informations qui ne les aident pas.

Cela ne répond pas à la question.Les ingénieurs atténuent les problèmes.Si tel est le cas, pourquoi mettre à jour le système d'exploitation vers une version ultérieure?
@schroeder Comme je l'ai mentionné plus tôt, nous faisons pour protéger le matériel contre les intrusions internes et externes, comme mentionné, la question des correctifs tournés vers l'extérieur protège les étrangers car ils ne savaient pas déjà ce qui était des correctifs, mais l'administrateur sait ce qui a été fait pour le sécuriser et s'il lui-mêmeveulent visser l'employeur, c'est facile pour lui de le faire, c'est la raison pour laquelle des contrôles de sécurité tiers sont effectués pour éviter de telles catastrophes
Il est impossible d'atténuer un risque totalement inconnu.
Approuvé pour avoir mentionné les attaques d'ingénierie sociale.Les vulnérabilités peuvent concerner des attaques sociales ou automatisées.


Ce Q&R a été automatiquement traduit de la langue anglaise.Le contenu original est disponible sur stackexchange, que nous remercions pour la licence cc by-sa 3.0 sous laquelle il est distribué.
Loading...