ioXt 얼라이언스 회원 스냅 샷: IBM X-포스 레드 찰스 헨더슨

Q: X-포스 레드란? 

X-포스® 레드는 IBM 시큐리티의 해커 팀입니다. 조직은 범죄 공격자가 개인적인 이익을 위해 사용할 수 있는 네트워크, 응용 프로그램, 하드웨어, 장치 및 인력 내에서 위험한 취약점을 발견하기 위해 당사를 고용합니다. X-Force Red는 침투 테스트, 적의 시뮬레이션 및 취약성 관리 프로그램을 제공하여 보안 리더가 전체 디지털 및 물리적 생태계를 다루는 보안 결함을 식별하고 해결할 수 있도록 지원합니다.

X-Force Red는 범죄 해커가 할 수 있는 모든 일을 할 수 있지만 보안 리더가 방어를 강화하고 가장 중요한 자산을 보호할 수 있도록 돕는 것을 목표로 합니다.

우리는 전 세계적으로 200 개 이상의 해커가 있으며, 많은 사람들이 제로 데이 취약점을 발견하고, 최고 사이버 보안 컨퍼런스에서 발표 된 최초의 공격 도구를 구축하고, 주요 미디어 아울렛에 대한 사고 리더십을 제공하고, 의회 앞에서 증언하고, 어렸을 때부터 해킹을 해 왔습니다. 우리의 사명 선언문은 "우리의 사명: 모든 것을 확보하기 위해 무엇이든 해킹하는 것"을 가장 잘 요약합니다.

Q: IBM은 무엇을 해야 하나요?

글로벌 매니징 파트너이자 X-Force Red 책임자인 X-Force Red는 당사가 제공하는 서비스에 대한 X-Force Red의 전략과 IBM Security의 포트폴리오를 대규모로 보완하는 방법을 이끌고 있습니다. 또한 처음부터 200+ 해커로 구성된 팀을 구성했으며, 고객이 성취감을 높이고 고객에게 지속적으로 가치를 제공할 책임이 있습니다. 내 일은 일반적으로 뉴스 기자인터뷰 (나는 모든 사이버 보안 관련 주제에 대해 종종 생각 리더십 해설을 제공), IBM의 리더십과 클라이언트에 제시, 전 세계 내 팀 구성원과 기반을 터치, 우리의 클라이언트 작업이 성공적으로 실행하고 회의를 키칭 보장. 해커로서의 경력을 시작한 후 비즈니스 리더와 대변인으로 발전했다는 점을 고려할 때 보안 대화에 대한 다재다능한 관점을 가지고 있습니다. 

Q: ioXt 얼라이언스에 관여하는 이유는 무엇입니까? 

기술 팬이자 IoT 소비자로서, 우리는 ioXt에 대해 정말 기쁘게 생각하고 있습니다. 이 조직은 우리 중 많은 사람들이 우리 집에서 사용하는 것을 포함하여 보다 안전한 제품으로 이어질 수있는 구조화 된 접근 방식을 제공합니다.

Q: IoT 장치에서 가장 일반적인 취약점은 무엇입니까?

분명히 고려해야 할 중요한 "일반적으로 발견된" 목록에없는 심각한 취약점이 많이 있습니다. 결국, 하나의 취약점은 심각한 타협으로 이어질 수 있습니다. 그러나 우리가 찾은 일반적인 IoT 취약점에 대해 이야기 할 때, 나는 하드 코딩 또는 기본 암호가 목록 위에 말할 것입니다. 기본적인 보안 위생을 유지하는 것은 많은 제조업체에게 지속적인 문제입니다. 다음은 우리가 찾은 다른 일반적인 취약점의 목록입니다.

• 펌웨어 추출을 허용하는 잠금 해제 프로그래밍 인터페이스

• 정보 공개를 허용하는 디버깅 인터페이스가 노출됨( 예: 부팅 프로세스, 장착 중인 장치, 인터페이스 사용 가능 등)

• 개별 칩 핀에 대한 액세스를 제공하는 노출 된 테스트 포인트 - 즉 GPIO 상태를 읽거나 부팅 로더 등을 사용하도록 뒤집기 위한 것입니다.

• 칩 통신에 노출된 칩 – 즉 내부 모뎀용 UART 또는 SoC 구성 요소의 RF/NFC/BLE 구성을 위한 SPI/I2C.

• 노출된 쉘/로그인 인터페이스- 즉 직렬 UART 콘솔

• 알려진 취약 라이브러리 포함

• DHCP, SSH 등과 같은 알려진 취약/오래된 소프트웨어 포함

• 펌웨어를 쉽게 업데이트할 수 없음

• 자신의 알 수없는 취약점을 가진 타사 모듈의 포함 - 즉, 와이파이 / 3g / ble 모듈

• 사용하지 않는 기능을 사용하지 않는 다기능 장치 - 즉 플래시로 사용되는 메모리에는 기본적으로 별도의 잠금 구성이 열려 있는 SD 인터페이스가 있습니다.

• 플래시 칩을 읽기 쉬운 플레인 텍스트 자격 증명의 저장 - 즉, 암호의 부족

• 결함과 같은 고급 공격에 취약한 "보안" 구성 요소

• 안전하지 않은 네트워크 통신(기본적으로 TLS 또는 부적절하게 구현된 TLS 없음)

• 안전하지 않은 펌웨어 업데이트 프로세스

• 모든 장치에서 동일한 약하고 기본 자격 증명

Q: 올해 또는 최근 몇 년 동안 귀하의 의견에서 가장 영향력있는 해킹은 무엇입니까 (풍경을 완전히 변경 한 해킹)?

블랙 햇과 데프 콘과 같은 최고의 사이버 보안 컨퍼런스에서 발표 된 집단 취약성 연구는 다양한 IoT 장치 및 플랫폼에서 심각한 취약점을 지적하며, 그 중 많은 사람들이 전 세계적으로 주류 뉴스를 만들었습니다. 모든 컨퍼런스 회담은 IoT 공격의 영향과 증가 보급을 보여줍니다.

Q: 업계가 개선할 수 있다고 생각하는 다른 것들이 있습니까? 

우리는 그들이 구입하는 장치의 보안에 대한 IoT 제품의 최종 소비자에게 더 투명해야합니다. 이것이 소비자 신뢰를 구축하는 가장 좋은 방법입니다. 우리는 안전 문제와 소비자가 구매하는 다른 제품에 대해 가질 수있는 보증에 평행선을 그릴 수 있습니다. 많은 제품에는 안전 등급과 제품이 안전하게 사용할 수 있음을 확인하는 보증이 제공됩니다. 우리는 IoT 장치 와 관련된 보안에 대해 동일한 수준의 보증이 필요합니다. 소비자는 장치가 안전하다는 선언적 증명을 가져야 합니다.

Q: 회원들이 당신에 대해 무엇을 알고 싶습니까?

저는 비즈니스 임원, 해커 및 취약점 연구원으로, 제 독특한 관점을 사용하여 고객을 위한 귀중한 보안 프로그램을 구축합니다. 저는 2년 이상 업계에서 해킹 및 취약성 연구 팀을 이끌고 있습니다. CNN, 폭스 비즈니스, NBC 및 기타 주요 TV 및 인쇄 매체는 방대한 해킹 경험과 기술 개념을 모든 청중이 이해할 수있는 언어로 번역 할 수있는 능력으로 인해 정기적으로 인터뷰를 하고 있습니다.