Aperçu des membres de l'Alliance ioXt : IBM X-Force Red Charles Henderson

 
 
Charles-Henderson-Headshot.jpg
 
 

L'instantané des membres de l'Alliance ioXt :
IBM X-Force Red Charles Henderson

Dans ce numéro, nous sommes heureux d'accueillir un nouveau membre de ioXt Alliance Contributor, Charles Henderson, d'IBM X-Force Red. Les membres contributeurs contribuent à définir et à diriger les normes de sécurité de l'Alliance en travaillant avec tous les membres de l'Alliance et en participant aux groupes de travail de l'Alliance. Ils participent également aux salons professionnels d'ioXt Alliance (lorsqu'il n'y a pas de pandémie mondiale) et certifient des dispositifs. 

Charles a pris le temps de répondre à quelques questions sur ce qu'il fait et pourquoi pour IBM, et pourquoi il tient à faire partie de l'Alliance ioXt. Voici ce qu'il nous a dit.

Q : Qu'est-ce que X-Force Red ? 

X-Force® Red est l'équipe de hackers d'IBM Security. Les organisations nous engagent pour découvrir les vulnérabilités risquées de leurs réseaux, applications, matériels, appareils et personnels que les agresseurs criminels peuvent utiliser à des fins personnelles. X-Force Red propose des tests de pénétration, des simulations d'adversaire et des programmes de gestion des vulnérabilités pour aider les responsables de la sécurité à identifier et à corriger les failles de sécurité couvrant l'ensemble de leur écosystème numérique et physique.

X-Force Red peut faire tout ce que les pirates criminels peuvent faire, mais dans le but d'aider les responsables de la sécurité à renforcer leurs défenses et à protéger leurs biens les plus importants.

Nous avons plus de 200 hackers dans le monde, dont beaucoup ont découvert des vulnérabilités de type "zero-day", ont construit des outils d'attaque uniques en leur genre, ont présenté des exposés lors des plus grandes conférences sur la cybersécurité, ont fourni un leadership éclairé à des médias de premier plan, ont témoigné devant le Congrès et piratent depuis leur enfance. Notre déclaration de mission résume le mieux la situation : "Notre mission : pirater n'importe quoi pour tout sécuriser".

Q : Que faites-vous pour IBM ?

En tant qu'associé directeur mondial et responsable de X-Force Red, je dirige la stratégie de X-Force Red pour les services que nous offrons et la manière dont ils complètent le portefeuille de sécurité d'IBM dans son ensemble. J'ai également constitué notre équipe de plus de 200 pirates informatiques à partir de la base et je suis chargé de veiller à ce qu'ils aient des carrières épanouissantes et qu'ils apportent continuellement de la valeur à nos clients. Mes journées consistent généralement à être interviewé par des journalistes (je fais souvent des commentaires de leadership sur tous les sujets liés à la cybersécurité), à faire des présentations aux dirigeants et aux clients d'IBM, à entrer en contact avec les membres de mon équipe dans le monde entier, à m'assurer que le travail de nos clients se déroule avec succès et à animer des conférences. Étant donné que j'ai commencé ma carrière en tant que hacker, puis que je suis devenu un chef d'entreprise et un porte-parole, j'apporte un point de vue équilibré aux conversations sur la sécurité. 

Q : Pourquoi êtes-vous impliqué dans l'Alliance ioXt ? 

En tant que fans de technologie et consommateurs d'IdO, nous sommes très enthousiastes à propos de l'ioXt. L'organisation propose une approche structurée qui peut conduire à des produits plus sûrs, y compris ceux que beaucoup d'entre nous utilisent chez eux.

Q : Quelles sont les vulnérabilités les plus courantes des dispositifs IdO ?

De toute évidence, il existe de nombreuses vulnérabilités graves qui ne figurent pas sur la liste des "points communs" et qu'il est important de prendre en considération. Après tout, une seule vulnérabilité peut conduire à un compromis sérieux. Cependant, lorsque nous parlons de vulnérabilités communes à l'IdO que nous trouvons, je dirais que les mots de passe codés en dur ou par défaut sont en tête de liste. Le maintien d'une hygiène de sécurité de base est un problème persistant pour de nombreux fabricants. Voici une liste d'autres vulnérabilités courantes que nous trouvons :

  • des interfaces de programmation déverrouillées permettant l'extraction de microprogrammes

  • les interfaces de débogage exposées permettant la divulgation d'informations - c'est-à-dire le processus de démarrage, les périphériques montés, les interfaces activées, etc.

  • des points de test exposés donnant accès aux broches individuelles des puces - c'est-à-dire pour lire les états GPIO ou les inverser pour activer le chargeur de démarrage, etc.

  • communications de puce à puce exposées - c'est-à-dire UART pour le modem interne ou SPI/I2C pour la configuration RF/NFC/BLE des composants SoC.

  • interface shell/login exposée - c'est-à-dire console UART série

  • l'inclusion des bibliothèques vulnérables connues

  • inclusion de logiciels vulnérables/anciens connus tels que DHCP, SSH, etc.

  • l'incapacité de mettre facilement à jour les microprogrammes

  • l'inclusion de modules tiers présentant des vulnérabilités propres inconnues - par exemple, les modules wifi/3g/ble

  • les appareils multifonctions ne désactivant pas les fonctions inutilisées - c'est-à-dire que la mémoire utilisée comme flash possède également une interface SD avec une configuration de verrouillage séparée ouverte par défaut

  • le stockage des données d'identification en texte clair dans des puces flash faciles à lire - c'est-à-dire l'absence de cryptage

  • des composants "sécurisés" vulnérables aux attaques avancées telles que les "glitching

  • une communication réseau non sécurisée (essentiellement, pas de TLS ou TLS mal mis en œuvre)

  • processus de mise à jour du microprogramme non sécurisé

  • les mêmes informations d'identification faibles et par défaut sur chaque appareil

Q : Quel est, à votre avis, le piratage le plus percutant (celui qui a complètement changé le paysage) de cette année ou des dernières années ?

Les recherches collectives sur les vulnérabilités qui ont été présentées lors des plus grandes conférences sur la cybersécurité, telles que Black Hat et Def Con, mettent en évidence de graves vulnérabilités dans divers dispositifs et plates-formes IdO, dont beaucoup ont fait la une des journaux à travers le monde. Toutes ces conférences montrent l'impact et la prévalence croissante des attaques IdO.

Q : Y a-t-il d'autres points que vous pensez que le secteur peut améliorer ? 

Nous devons être plus transparents pour le consommateur final de produits IdO en ce qui concerne la sécurité des dispositifs qu'il achète. C'est la meilleure façon de renforcer la confiance des consommateurs. Nous pouvons établir un parallèle avec les préoccupations et les garanties de sécurité que les consommateurs peuvent avoir concernant les autres produits qu'ils achètent. De nombreux produits sont assortis de cotes de sécurité et d'assurances qui confirment que les produits sont sûrs à l'usage. Nous avons besoin de ce même niveau d'assurance pour la sécurité des dispositifs IdO. Les consommateurs doivent disposer d'une attestation déclarative de la sécurité de leurs dispositifs.

Q : Que voulez-vous que les membres sachent à votre sujet ?

Je suis un cadre d'entreprise, un hacker et un chercheur en vulnérabilité qui utilise mon point de vue unique pour construire des programmes de sécurité de grande valeur pour ses clients. Je suis dans l'industrie depuis plus de deux décennies et je dirige des équipes de recherche sur le piratage et la vulnérabilité. Je suis régulièrement interviewé par CNN, Fox Business, NBC et d'autres grands médias télévisés et imprimés en raison de ma vaste expérience du piratage et de ma capacité à traduire des concepts techniques dans un langage que tous les publics - qu'ils soient ou non concernés par la sécurité - peuvent comprendre.

 
Bulletin d'informationStudio Hueman