Semaine de la sécurité 10: Conférence RSA et sensibilisation à la cybersécurité

La prochaine conférence sur la cybersécurité RSA Conference 2020 s'est tenue à San Francisco la semaine dernière, un événement dans lequel il n'y a guère plus d'affaires que de technologie. Les caractéristiques commerciales de l'industrie ne sont pas moins importantes que les caractéristiques techniques, bien que cette interaction soit sous le signe d'une sorte d'antagonisme: les directeurs du développement commercial disent de belles paroles et les technophiles s'ennuient. En parlant de mots: c'est ainsi que les principaux thèmes de la Conférence RSA ont évolué, les mots de base d'une seule conférence, au cours des cinq dernières années. En 2016, le sujet principal était la sécurité de l'IoT, en 2017 - l'intelligence artificielle, en 2018 - le manque de balles d'argent et de solutions simples en cyberdéfense, en 2019 - le problème de la réputation.

En 2020, le président du RSAa soulevé le sujet de la division en techniciens et hommes d'affaires, transformant de manière inattendue la grande ouverture en une discussion sur le vrai problème, bien qu'en termes généraux: «Nos affaires seront jugées par quelle histoire sera racontée à leur sujet. Et nous voulons que ce soit une histoire de résistance réussie aux cyber-menaces, et non des histoires techniques sur le cyber ping-pong. » C'est-à-dire: la communauté de la sécurité informatique est fermée, elle est incompréhensible pour une personne, et nous devons changer cela. Partagez non seulement les problèmes, mais aussi les solutions réussies: "Reformatez la culture d'un élitiste à une culture ouverte".


De beaux mots, mais devrions-nous nous attendre à l'ouverture des techniciens - une grande question. Il ne s'agit pas de la nature de personnes spécifiques, mais des caractéristiques du travail, qui nécessitent une concentration maximale sur les petits détails, le même ping-pong. Pour diffuser des victoires en matière de sécurité informatique, vous devez être en mesure de les expliquer avec des mots compréhensibles par le public. Formulez au moins ce qu'il faut considérer comme une victoire. Ceci n'est pas toujours obtenu et pour de nombreux participants de l'industrie, cette tâche est loin d'être une priorité. Qui donne à la culture un nouveau format est aussi une bonne question: le plus souvent, la même direction non technique, dont le représentant est Rohit Gai, est engagée dans cela. Il s'avère que lorsqu'il exige des changements de la tribune de la Conférence RSA, l'exigence s'adresse-t-elle à lui-même? C'est une tâche honorable. Rendre la cybersécurité plus claireplus précisément, il est nécessaire de contribuer à une perception réaliste de ce domaine de connaissance. Sinon, il y a des situations que nous observons souvent récemment: lorsque les cyberattaques et la cyberdéfense sont discutées sur un plan politique en totale isolation de la réalité.

Nous allons brièvement passer en revue des discours intéressants à la RSA Conference 2020. Le cryptographe Bruce Schneier a poursuivi le sujet de l'ouverture, mais sous un angle différent: il suggère d' introduire une «culture de piratage» (dans ce cas, la capacité de résoudre des problèmes en utilisant des méthodes non standard) en dehors de l'informatique. Par exemple, en matière de législation ou de politique fiscale. Sinon, les vulnérabilités des logiciels sont détectées et corrigées avec succès, et les lacunes dans le code fiscal restent là pendant des années.


Le chercheur Patrick Wardle a parlé de cas de logiciels malveillants de rétro-ingénierie du côté des cybercriminels. En étudiant les cyberattaques sur les ordinateurs Apple, il a trouvé des exemples où les attaquants prennent du code malveillant distribué par quelqu'un d'autre et l'adaptent à leurs propres besoins. Les représentants de Checkmarx ont parlé ( nouvelles , recherches ) des vulnérabilités d'un robot aspirateur intelligent. L'aspirateur est équipé d'une caméra vidéo, donc un piratage réussi permet non seulement d'observer les propriétaires de l'appareil, mais aussi de changer le point d'observation si nécessaire. Une autre étude IoT se concentre sur les vulnérabilités du moniteur pour surveiller un enfant.

ESET a trouvé la vulnérabilité Kr00k ( actualités , informations sursite Web de l'entreprise) dans les modules Wi-Fi, qui décrypte partiellement le trafic transmis entre les appareils. Les modules produits par Broadcom et Cypress sont utilisés, qui sont utilisés à la fois dans les téléphones portables et les ordinateurs portables, et dans les routeurs. Enfin, le panel de cryptographes (un rudiment de l'ancien temps où la conférence RSA était une niche entre les experts du cryptage) a de nouveau parcouru la blockchain. Les cryptographes n'aiment pas l'industrie de la crypto-monnaie pour attribuer le préfixe «crypto», mais dans ce cas, il s'agissait d'utiliser la blockchain pour les élections. Le représentant du MIT Ronald Rivest a présenté les résultats d'une certaine analyse des opportunités, dont la conclusion est que les bulletins papier sont plus fiables. Même en utilisant la blockchain, il est difficile de créer un système logiciel pour enregistrer des votes fiables.

Que s'est-il passé d'autre:

Vulnérabilité critique de zéro jour dans les NAS et les pare-feu Zyxel. L'exploit a été découvert en vente libre sur le marché noir. Le bogue vous permet d'exécuter du code arbitraire sur un périphérique, qui, par définition, devrait être accessible à partir du réseau, en obtenant un contrôle total sur celui-ci. Le correctif a été publié pour un grand nombre d'appareils Zyxel, mais pas pour tous - certains NAS vulnérables ne sont plus pris en charge.

ThreatFabric a découvert une nouvelle version du cheval de Troie Cerberus Android, qui est capable d'extraire des codes d'authentification à deux facteurs de l'application Google Authenticator.

Erreurdans l'intégration des portefeuilles Paypal au service de paiement Google Pay, il a permis de voler des fonds à l'insu du propriétaire pendant une courte période. Il n'y a pas de détails, mais les attaquants auraient trouvé un moyen d'extraire les données des cartes de paiement virtuelles qui sont créées lorsque le service est lié à Google Pay.

Un chercheur allemand a révélé une application iOS «malveillante» qui surveille en permanence le presse-papiers disponible pour tous les programmes du téléphone. Logique du chercheur: si un numéro de carte de crédit est copié dans le tampon, un attaquant peut le voler. Réaction d'Apple: oui, mais c'est un presse-papiers. Il devrait être disponible pour toutes les applications, sinon cela n'a aucun sens.