Rsac: hoe ziet beveiliging eruit in 2020?

Hoe ziet beveiliging eruit in 2020? Hoe zal het leven er in het algemeen uitzien? Visionaire typen bij Trend Micro hebben veel aandacht besteed aan het onderwerp. Ze kwamen met een whitepaper van 25 pagina's… en creëerden ook een reeks webvideo's voor degenen die een beter toegankelijke weergave willen. Ik praatte met Trend Micro VP Rik Ferguson over zijn opvattingen over hoe draagbare technologie en het internet der dingen ons leven zullen veranderen.

Rubenking : Wat zijn de kansen dat mijn aangesloten koelkast wordt gecoöpteerd in een botnet?

Ferguson : Het kan zeker worden misbruikt, maar zal het zich uitbreiden tot een botnet? Om bruikbaar te zijn in een botnet, moeten apparaten bepaalde mogelijkheden hebben die er al dan niet zijn. Er zal niet die homogeniteit van OS en apparaten zijn die het voor een botnet gemakkelijk maken om te werken. Het is moeilijk om iets functioneels te schrijven voor alle platforms.

Maar u kunt elk eindpunt gebruiken om bijvoorbeeld e-mail te laten stuiteren. Dat zal gemakkelijk te misbruiken zijn. Als we het hebben over alle adresseerbare IPv6-ruimte, is het automatisch verzenden van spam van enorm variabele IP-adressen eenvoudig.

Dus, misbruik, ja, botnets, dat is iets anders. We hebben echter rudimentaire mobiele botnets gezien. Er zijn slechts twee grote spelers, en de dominante is ernstig afwezig.

Rubenking : je bedoelt Android.

Ferguson : Ja. Apple doet goed werk om hun ecosysteem helder te houden. Een paar proof-of-concept-exploits zijn in hun app store gekomen, maar als je iOS-apparaat niet jailbreakt, is je risico relatief beperkt.

Eén ding dat ik direct aan de horizon zie, is exploitkits voor mobiel. Dat hebben we nog niet gezien. Black Hole en dergelijke richten zich op Wintel, misschien een beetje Mac. Als we een kit voor mobiel zien, verandert dat enorm. Ze hoeven niet te vertrouwen op de app store-infrastructuur. Klik op de link en je bent geplunderd.

Rubenking : En zie je dat snel gebeuren?

Ferguson : Dat komt over 12 tot 18 maanden. De laatste versie van de BlackHole Exploit-kit verzamelde statistieken voor mobiel voordat de auteur werd gearresteerd. Als u het vanaf Android raakt, probeert het geen malware te verzenden, maar wordt het bezoek genoteerd. Exploits zijn snel en gemakkelijk; het is de consumentisering van cybercriminaliteit.

De technische barrière is verdwenen; criminelen hebben geen technische expertise nodig. Sommige van de meer succesvolle groepen, degenen die we kennen omdat ze zijn gearresteerd, vertonen vaardigheden in zaken en marketing, en omgaan met partners. Geen technische vaardigheden. Toolkits zijn gewoon aanwijzen en klikken.

Kijk naar de mensen achter DNSChanger. Ze hadden een volledig functioneel omslagbedrijf en waren erg goed in het genereren van inkomsten met de advertenties die ze in de browser hadden vervangen. Deze mensen weten hoe ze partners kunnen krijgen. Ze zouden het goed doen in een legitiem bedrijf.

Rubenking : zie je een probleem met verbonden auto's?

Ferguson : Dat is niet in de verre toekomst. Maar u moet niet vergeten dat de overgrote meerderheid van criminele activiteiten een financiële motivatie heeft. Iemand doden door de auto te hacken, is gewoon niet lucratief. Oh, je zou het kunnen gebruiken voor spionage, misschien, Stuxnet-type activiteit. Schakel de microfoon in, kijk wat je hoort of volg mensen. Maar wijdverspreide malware om uit te schakelen en te verwonden? Dat is fantasie.

Het grote risico van verbonden technologie is het spul dat we bij CES hebben gezien. Oordopjes die de hartslag meten in de sportschool. Verbonden skibril met GPS. Aangesloten schoenen, sensoren in je kleding. Het grote probleem is de hoeveelheid gegevens die we genereren over onszelf, onze huizen, onze families. De volgende grote sprong voorwaarts op het gebied van criminaliteit is big data-analyse van deze gegevens. Het zal gerichte aanvallen veel geloofwaardiger maken. Je krijgt bijvoorbeeld een e-mail van je sportschool, je belt bij naam, vermeldt recente bezoeken, misschien merkt je je nieuwe schoenen op en er staat: klik hier om onze app te downloaden. Maar het is malware, spear phishing.

Rubenking : En jouw 2020-project, dat whitepaper en videoserie, bevat dit soort komende problemen?

Ferguson : Grappig, we voorspellen geen aanvallen, maar een aanbieder van content in de branche. De ISP geeft u een verbinding, maar de contentprovider weet alles over u. Je vertrouwt ze, ze hebben informatie over jou en ze passen de informatie aan die je op je heads-up display krijgt. Het is de eerste keer dat internet onze horizon kan verkleinen. Als alles wat je ziet iets is dat je al weet, krimpt je horizon. We zullen moeten uitzoeken hoe we serendipiteit weer op internet kunnen ontwikkelen.

Wat nu als criminelen toegang krijgen tot deze contentprovider? Ze kunnen je hele wereldervaring hacken. En het gaat verder. We hebben communicatie onderzocht in internationale scheepvaartsystemen, bestaande systemen. We vonden het volledig hackbaar. Stel dat je een Somalische piraat bent; je kunt je schip kiezen, zijn koers omleiden, de communicatiefrequentie wijzigen en de piraten wachten. Legacy-technologie die niet is ontworpen om te worden verbonden, is een van de grootste uitdagingen.

Rubenking : Dus, moeten we ons zorgen maken over de toekomst?

Ferguson : De technologie is neutraal. De techniek is niet slecht. Op de juiste manier gebruikt, kunnen we een veel functioneler en rechtvaardiger samenleving creëren, met een bredere toegang tot veel dingen. Maar we moeten ervoor zorgen dat beveiliging vanaf het begin deel uitmaakt van de overweging, niet opgeschroefd. Dat is moeilijk, want voor een startup is beveiliging een wegversperring. We moeten opvoeders, scholen, overheden betrekken.

Daarom hebben we de whitepaper 2020 omgezet in een webreeks. Negen afleveringen, alles behalve de finale ongeveer vijf minuten. We namen het onderzoek en schreven een thriller die zich in die wereld afspeelde en liet dingen zien zoals het heads-up display dat iedereen zal gebruiken, en hoe gemakkelijk het is om met iemand in een andere taal te praten, van alle gemakken voorzien.

Het doel was niet om de whitepaper om te zetten in een video-infographic, het was om het publiek uit te breiden, het gesprek te verbreden. Het tempo van innovatie neemt toe, niet vertraagt. De toekomst is dichterbij dan je denkt.

Rubenking : Bedankt, Rik!