ioXtアライアンスメンバーのスナップショット。IBM X-Force Red チャールズ・ヘンダーソン

 
 
チャールズ・ヘンダーソン・ヘッドショット.jpg
 
 

ioXtアライアンスメンバーのスナップショット。
IBM X-Force Red チャールズ・ヘンダーソン

今回は、IBM X-Force Red の新しい ioXt アライアンス・コントリビューター・メンバーである Charles Henderson 氏をお迎えします。コントリビューターのメンバーは、すべてのアライアンスメンバーと協力し、アライアンスのワーキンググループに参加することで、アライアンスのセキュリティ標準を定義し、リードするのに役立ちます。また、ioXtアライアンスのトレードショー(世界的なパンデミックが起きていない時)にも出展し、デバイスの認証を行っています。 

Charles は、IBM のために何をしているのか、その理由は何か、そしてなぜ ioXt アライアンスの一員であることを大切にしているのかについて、いくつかの質問に答える時間を作ってくれました。以下は、彼が共有したものです。

Q: X-Force Redとは何ですか? 

X-Force® Red は IBM セキュリティのハッカー・チームです。X-Force Red は、ネットワーク、アプリケーション、ハードウェア、デバイス、人員の中にある危険な脆弱性を発見し、犯罪者が個人的な利益を得るために利用する可能性のある脆弱性を発見するために、IBM セキュリティチームに依頼されています。X-Force Red は、侵入テスト、敵対的シミュレーション、および脆弱性管理プログラムを提供し、セキュリティリーダーがデジタルおよび物理的なエコシステム全体をカバーするセキュリティ上の欠陥を特定し、修正するのを支援します。

X-Force Redは、犯罪者のハッカーができることは何でも可能ですが、セキュリティリーダーが防御を強化し、最も重要な資産を保護することを目的としています。

当社には世界中に200人以上のハッカーがおり、その多くはゼロデイ脆弱性を発見し、独自の攻撃ツールを構築し、一流のサイバーセキュリティ会議で発表し、著名なメディアにオピニオン・リーダーシップを提供し、議会で証言し、子供の頃からハッキングをしてきました。私たちの使命は、「私たちの使命:あらゆるものをハッキングしてすべてを安全にすること」です。

Q: IBMではどのような仕事をしているのですか?

X-Force Red のグローバル・マネージング・パートナー兼責任者として、私は X-Force Red が提供するサービスの戦略と、それが IBM Security のポートフォリオ全体をどのように補完するかを指揮しています。また、200人以上のハッカーからなるチームを一から作り上げ、彼らが充実したキャリアを持ち、継続的にお客様に価値を提供できるようにする責任も担っています。私の日々は、通常、ニュース・レポーターのインタビューを受けたり(サイバーセキュリティ関連のあらゆるトピックについて、ソート・リーダーシップの解説を頻繁に行っています)、IBM のリーダーやクライアントへのプレゼンテーションを行ったり、世界中のチーム・メンバーと連絡を取ったり、クライアントの仕事が成功しているかどうかを確認したり、カンファレンスの基調講演を行ったりすることで構成されています。私はハッカーとしてキャリアをスタートさせ、その後ビジネスリーダーやスポークスマンとして発展してきたことを考えると、セキュリティに関する会話には十分な視点を持っています。 

Q: ioXtアライアンスに参加している理由を教えてください。 

テクノロジーのファンであり、IoTの消費者である私たちは、ioXtにとても興奮しています。この組織は、より安全な製品につながる構造化されたアプローチを提供しており、その中には私たちの多くが家庭で使用しているものも含まれています。

Q: IoTデバイスによくある脆弱性は何ですか?

明らかに、「よく見かける」リストにはない深刻な脆弱性も多数存在しますが、それも考慮する必要があります。結局のところ、たった一つの脆弱性が重大な侵害につながる可能性があります。しかし、私たちが見つけた一般的なIoTの脆弱性について話しているとき、私はハードコード化されたパスワードやデフォルトパスワードがリストのトップにあると言うでしょう。基本的なセキュリティの衛生状態を維持することは、多くのメーカーにとって根強い問題です。以下は、私たちが発見した他の一般的な脆弱性のリストです。

  • ファームウェアの抽出を可能にするロック解除されていないプログラミングインターフェース

  • ブートプロセス、マウントされているデバイス、有効化されているインターフェースなどの情報公開を可能にする公開デバッグインターフェース。

  • 個々のチップピンにアクセスするための露出したテストポイント - GPIO の状態を読み込んだり、ブートローダなどを有効にするためにそれらを反転させたりします。

  • 露出したチップ間通信 - 内部モデム用の UART や、SoC コンポーネントの RF/NFC/BLE コンフィグ用の SPI/I2C など。

  • 公開されたシェル/ログインインターフェース - シリアル UART コンソールなど

  • 既知の脆弱性のあるライブラリを含める

  • DHCPやSSHなどの既知の脆弱性のある/古いソフトウェアを含める

  • ファームウェアの更新が容易でない

  • 自身の脆弱性が不明なサードパーティ製モジュールを含める - 例えば wifi/3g/ble モジュールなど

  • 未使用の機能を無効にしない多機能デバイス - フラッシュとして使用されているメモリにもSDインターフェースがあり、デフォルトでは別のロックダウン設定がオープンになっています。

  • 読みやすいフラッシュチップに平文認証情報を保存する - 暗号化の欠如

  • グリッチなどの高度な攻撃に対して脆弱な "セキュア" コンポーネント

  • 危ういネットワーク通信

  • 安全でないファームウェアアップデートプロセス

  • すべてのデバイスで同じ弱いデフォルトの認証情報を使用する

Q: あなたの考えでは、今年またはここ数年で最もインパクトのあるハック(風景を完全に変えたもの)は何ですか?

ブラックハットやデフコンなどのサイバーセキュリティのトップカンファレンスで発表された集団的な脆弱性研究は、さまざまなIoTデバイスやプラットフォームにおける深刻な脆弱性を指摘しており、その多くが世界中で主流のニュースとなっています。これらのカンファレンスの講演はいずれも、IoT攻撃の影響力と普及率の高まりを示しています。

Q:他にも業界が改善できると思うことはありますか? 

IoT製品の最終消費者が購入しているデバイスのセキュリティについて、より透明性を高めなければなりません。それが消費者の信頼を築く最善の方法です。私たちは、消費者が購入する他の製品の安全性に関する懸念や保証に類似性を持たせることができます。多くの製品には、その製品が安全に使用できることを確認するための安全性評価や保証が付いています。IoT デバイスのセキュリティについても、同じレベルの保証が必要です。消費者は、自分のデバイスが安全であるという宣言的な保証を持つべきです。

Q:メンバーに知ってもらいたいことは何ですか?

私は、ビジネスエグゼクティブ、ハッカー、脆弱性調査員として、独自の視点でクライアントのために価値あるセキュリティプログラムを構築しています。この業界で20年以上、ハッキングや脆弱性調査チームを率いてきました。ハッキングの経験が豊富で、技術的な概念をセキュリティと非セキュリティの両方を問わず、すべての視聴者が理解できる言語に翻訳する能力があるため、CNN、Fox Business、NBC、その他の主要なテレビや印刷メディアのインタビューを定期的に受けています。

 
ニュースレターヒュウマン・スタジオ