Le point de vue d'un expert - Krebs sur la sécurité

Plus tôt ce mois-ci, j’ai pris la parole lors d’une conférence sur la cybersécurité à Albany, au New York, aux côtés de Tony Sager, vice-président principal et évangéliste en chef du Center for Internet Security et ancien chasseur de bogues au Agence de sécurité nationale des États-Unis. Nous avons longuement discuté de nombreuses questions, y compris la sécurité de la chaîne d’approvisionnement, et j’ai demandé à Sager s’il avait entendu parler de rumeurs Supermicro – une entreprise de haute technologie basée à San Jose, en Californie – aurait inséré des portes dérobées dans la technologie vendue à un certain nombre de sociétés américaines.

Tony Sager, vice-président principal et évangéliste en chef à la Centre de sécurité Internet.

L’événement auquel Sager et moi avons parlé était antérieur à la publication du Bloomberg BusinessweekL’histoire controversée selon laquelle Supermicro avait trompé près de 30 entreprises en leur faisant acheter du matériel de porte dérobée. Sager a déclaré ne pas avoir entendu parler de Supermicro en particulier, mais nous avons longuement discuté des défis liés au contrôle de la chaîne d'approvisionnement technologique.

Vous trouverez ci-dessous des extraits de notre conversation. J'ai appris pas mal de choses et j'espère que vous aussi.

Brian Krebs (BK): Pensez-vous que l'Oncle Sam passe suffisamment de temps à se concentrer sur le problème de sécurité de la chaîne d'approvisionnement? Cela semble être une très grosse menace, mais aussi une menace difficile à contrer.

Tony Sager (TS): Le gouvernement fédéral s'inquiète de ce genre de problème depuis des décennies. Dans les années 70 et 80, le gouvernement était plus dominant dans le secteur des technologies et n'avait pas connu cette internationalisation massive de la chaîne d'approvisionnement technologique.

Mais même à ce moment-là, il y avait des gens qui voyaient où tout cela se passait, et il y avait de très gros programmes gouvernementaux pour examiner cela.

BK: Droit, le Fonderie de confiance Je pense que le programme est un bon exemple.

TS: Exactement. Il s’agissait d’une tentative d’aider à soutenir une industrie technologique basée aux États-Unis, de manière à ce que nous disposions d’un lieu de travail autochtone, et que nous ne disposions que du personnel autorisé et d’un contrôle total sur les processus et les composants.

BK: Pourquoi pensez-vous que de plus en plus d’entreprises n’insistent pas pour produire des données via des fonderies de code et de matériel ici aux États-Unis?

TS: Comme beaucoup de choses en matière de sécurité, l'économie gagne toujours. Et finalement, les coûts différentiels liés aux pièces et à la main-d’œuvre délocalisées ont écrasé les tentatives de gestion de ce défi.

BK: Mais il existe certes des domaines du matériel informatique et de la conception de réseau dans lesquels vous devez absolument avoir une assurance de l'intégrité bien supérieure.

TS: Bon, et c'est comme ça qu'ils abordent les choses à Sandia National Laboratories [one of three national nuclear security research and development laboratories]. L’une des choses qu’ils ont examinées est la question de savoir si une personne pourrait introduire quelque chose dans la conception d’une arme nucléaire.

Le principe de base de la conception a été de supposer qu'une personne dans le processus a pu être subvertie d'une manière ou d'une autre, et toute la philosophie de conception est construite autour du fait de s'assurer que personne ne peut approuver ce qui se passe dans un processus particulier et qu'il existe contrôle jamais observé sur aucun aspect du système. Donc, il y a beaucoup de contrôles techniques et de procédure là-bas.

Mais l'essentiel est que cela est vraiment beaucoup plus difficile [for non-nuclear electronic components] en raison de la délocalisation actuelle des composants électroniques, ainsi que du logiciel qui s'exécute sur ce matériel.

BK: Le gouvernement n’intéresse-t-il donc fondamentalement que la sécurité de la chaîne d’approvisionnement, pour autant que cela ait une incidence sur les biens qu’il souhaite acheter et utiliser?

TS: Le gouvernement tient toujours des réunions régulières sur la gestion des risques de la chaîne d'approvisionnement, mais il n'y a pas de réponse facile à ce problème. La capacité technique de détecter quelque chose qui ne va pas a été dépassée par la capacité de faire quelque chose à ce sujet.

BK: Attends quoi?

TS: Supposons qu'un État-nation domine un élément technologique et qu'il puisse en théorie y insérer quelque chose. L'attaquant dans ce cas a également un modèle de risque. Oui, il pourrait mettre quelque chose dans les circuits ou la conception, mais son risque d'exposition augmente également.

Pourrais-je, en tant qu'attaquant, contrôler les composants entrant dans certaines conceptions ou certains produits? Bien sûr, mais il est souvent difficile de savoir quelle est la cible de ce produit ou comment vous allez garantir que votre cible l’utilisera. Et il y a encore un nombre limité de méchants qui peuvent retirer ce genre de choses. Par le passé, il était beaucoup plus lucratif pour l’attaquant d’attaquer la chaîne logistique du côté de la distribution, de s’attaquer à des machines ciblées sur des marchés ciblés afin de réduire l’impact de cette activité.

BK: Le ciblage de votre attaque devient donc problématique si vous ne limitez pas vraiment le nombre de cibles touchées par du matériel compromis.

TS: Oui, vous pouvez mettre quelque chose dans tout, mais tout à coup, vous vous retrouvez face à un énorme problème de collecte de données volumineuses. En tant qu'attaquant, vous avez créé un type de problème d'analyse différent. Bien sûr, certains pays ont plus de possibilités que d’autres de filtrer d’énormes quantités de données qu’ils collectent.

BK: Pouvez-vous parler de certaines des choses que le gouvernement a généralement faites pour déterminer si un fournisseur de technologie donné pourrait essayer de glisser quelques appareils compromis parmi un ordre parmi plusieurs?

TS: Il y a ce concept de «l'achat aveugle», où si vous pensez que le vecteur de menace est que quelqu'un pénètre dans ma chaîne d'approvisionnement et nuit à la sécurité de machines individuelles ou de groupes de machines, le gouvernement trouve un moyen d'acheter des systèmes spécifiques afin que personne ne peut les cibler. En d’autres termes, le vendeur ne sait pas que c’est le gouvernement qui l’achète. C’est une technique assez classique pour surmonter cette difficulté, mais c’est un jeu de chat et de souris permanent.

BK: Je sais que vous avez dit avant cet entretien que vous n’êtes pas disposé à commenter les revendications particulières énoncées dans le récent article de Bloomberg, mais il semble que les attaques de la chaîne d’approvisionnement ciblant les fournisseurs de cloud computing pourraient être très attractives pour un attaquant. Pouvez-vous parler de la manière dont les grands fournisseurs de cloud pourraient atténuer le risque d'incorporation de matériel compromis par le fabricant dans leurs opérations?

TS: C’est certainement un endroit naturel pour attaquer, mais c’est aussi un endroit compliqué pour attaquer – en particulier la nature même du nuage, qui regroupe de nombreux locataires sur une seule machine. Si vous attaquez une cible avec une technologie sur site, c'est très simple. Mais le but du cloud est d’abriter des machines et d’utiliser plus efficacement les mêmes ressources, de sorte qu’il puisse y avoir beaucoup d’utilisateurs sur une machine donnée. Alors, comment ciblez-vous cela dans une attaque de la chaîne d'approvisionnement?

BK: Existe-t-il quelque chose dans le mode de fonctionnement de ces entreprises basées sur le cloud… peut-être simplement à grande échelle… qui les rend peut-être plus résilient aux attaques de la chaîne d'approvisionnement vis-à-vis des entreprises d'autres secteurs?

TS: C’est une excellente question. La tendance à l’inverse, c’est que pour obtenir le type de vitesse et d’échelle souhaitées par les googles et les Amazones et microfofts du monde, ces entreprises sont beaucoup moins enclines à se contenter du matériel standard. en fait maintenant plus enclins à construire leur propre.

BK: Pouvez-vous donner quelques exemples?

TS: Ces fournisseurs d’informatique en nuage ont beaucoup discuté des points communs – sur quelles parties de la conception pourraient-ils coopérer afin de créer un marché qu’ils pourraient exploiter. Nous commençons donc à assister à un véritable changement des composants standard au profit d'éléments conçus par le fournisseur de services ou impliqués de près dans la conception. Ils peuvent donc également intégrer des contrôles de sécurité pour ce matériel. Maintenant, si vous comptez sur les personnes pour implémenter exactement les conceptions, le problème est différent. Mais il s’agit de technologies vraiment complexes, il n’est donc pas trivial d’insérer des portes dérobées. Il devient de plus en plus difficile de cacher ce genre de choses.

BK: C’est intéressant, compte tenu du fait que chacun de nous s’est attaché à diverses plates-formes cloud. Existe-t-il d'autres exemples montrant comment les fournisseurs de cloud peuvent rendre plus difficile la tâche des attaquants susceptibles de subvertir leurs services via des manigances de la chaîne d'approvisionnement?

TS: L’un des facteurs est qu’ils déploient cette technologie assez régulièrement. De plus, la durée de vie de la technologie de ces fournisseurs de cloud n’est plus que de très peu d’années. Ils veulent tous un matériel plus rapide, plus efficace et plus puissant, et un environnement dynamique est beaucoup plus difficile à attaquer. Cela s'avère en fait être un problème très coûteux pour l'attaquant, car il lui a peut-être fallu un an pour prendre son pied, mais dans de nombreux cas, la courte durée de vie de cette technologie [with the cloud providers] augmente vraiment les coûts pour les attaquants.

Lorsque j’ai examiné les revendications d’Amazon, de Google et de Microsoft, l’architecture et les conceptions prenant en charge ce modèle de service allient beaucoup de puissance, notamment la mise en place de systèmes de sécurité toujours plus importants. Oui, ils utilisent encore souvent des pièces de fabrication non américaine, mais ils en ont vraiment conscience quand ils le font. Cela ne veut pas dire que ces types d’attaques contre la chaîne d’approvisionnement sont impossibles à éliminer, mais qu’ils ne deviennent pas plus faciles avec le temps.

BK: Il me semble que la majorité des efforts déployés par le gouvernement pour sécuriser la chaîne d'approvisionnement en technologies consistent à rechercher des produits contrefaits susceptibles de se retrouver dans des réservoirs, des navires et des avions et d'y causer des problèmes – au lieu d'utiliser ce microscope regardez la technologie commerciale. Pensez-vous que cela est exact?

TS: Je pense que cette description est juste. C’est un problème de logistique. Ce problème de contrefaçon est un problème connexe. La transparence est une philosophie de conception générale. Une autre est la responsabilité et la traçabilité de retour à une source. Il ya cette phrase à la mode qui dit que si vous ne pouvez pas intégrer la sécurité, intégrez la responsabilité. En gros, la notion qui existait était que vous ne pouvez souvent pas créer la sécurité optimale ou parfaite, mais si vous pouvez implémenter la responsabilité et la traçabilité, cela constitue un moyen de dissuasion assez puissant ainsi qu’une aide nécessaire.

BK: Par exemple….?

TS: Eh bien, l’accent est mis sur la journalisation de haute qualité et non modifiable. Si vous pouvez créer une responsabilité forte en cas de problème, je peux le retrouver suffisamment loin pour rendre le problème plus difficile techniquement pour l'attaquant. Une fois que je sais que je peux remonter la construction d’une carte informatique à un certain endroit, vous avez créé un type de défi de sécurité différent pour l’attaquant. Ainsi, la notion qui existe existe, bien que vous ne puissiez peut-être pas empêcher toutes les attaques, cela cause différentes sortes de difficultés à l'attaquant, ce qui est une bonne nouvelle pour la défense.

BK: La sécurité de la chaîne d’approvisionnement est-elle donc davantage un problème de sécurité physique ou de cybersécurité?

TS: Nous aimons penser à cela car nous nous battons tout le temps dans le cyber, mais souvent ce n’est pas vrai. Si vous pouvez forcer les attaquants à subvertir votre chaîne logistique, vous devez d'abord enlever les éléments criminels de niveau intermédiaire et les forcer à faire des choses qui ne relèvent pas du cyberespace, telles que créer des sociétés écran, des pots-de-vin, etc. Et dans ces domaines – en particulier la dimension humaine – nous avons d'autres mécanismes qui sont des détecteurs d'activité.

BK: Quel rôle joue la surveillance du réseau ici? Les experts en technologie me disent souvent que les entreprises devraient être capables de détecter les compromis dans la chaîne d’approvisionnement, car à un moment donné, elles devraient pouvoir voir des tonnes de données quitter leurs réseaux si elles surveillent correctement leurs réseaux. Que pensez-vous du rôle d'une surveillance efficace du réseau dans la lutte contre les attaques potentielles de la chaîne d'approvisionnement?

TS: Je ne suis pas si optimiste à ce sujet. C’est trop facile de se cacher. La surveillance consiste à détecter des anomalies, que ce soit dans le volume ou le type de trafic attendu. C’est une catégorie de problème difficile. Pour le gouvernement américain, avec la surveillance de périmètre, la capacité de surveiller le trafic et le mouvement naturel de l’ensemble de l’Internet vers le cryptage par défaut sont toujours compromis. Donc, beaucoup de choses ne nous touchent pas à cause du tunneling et du cryptage, et le département de la Défense en particulier a vraiment eu du mal à cela.

Maintenant, évidemment, vous pouvez faire du trafic intercepté avec des mandataires et inspecter tout ce qui se trouve là-bas. Le périmètre du réseau est idéalement celui où vous souhaitez le faire, mais la vitesse et le volume du trafic sont souvent simplement trop bien.

BK: Le gouvernement n’a-t-il pas déjà fait cela avec le programme «connexions Internet de confiance» ou Einstein, dans lequel il consolide tout ce trafic aux portes d’entrée et tente d’inspecter les entrées et les sorties?

TS: Oui, ils créent donc un problème de volume et de vitesse maximum. Pour surveiller cela et ne pas interrompre le trafic, vous devez disposer d'une technologie de pointe, et en gérer une tonne déjà chiffrée. Si vous essayez d’utiliser cette méthode par procuration, de procéder à une inspection, puis de rechiffrer les données, il est souvent difficile de suivre le rythme technique et rapide.

BK: Est-ce que cela signifie que c’est une perte de temps que de faire cette surveillance au périmètre?

TS: Non. L'attaquant aurait pu prendre pied initialement via un tunnel légitime et une personne aurait pris le contrôle d'un compte au sein de l'entreprise. Vous ne saurez peut-être pas la véritable signification d'un flux de paquets particulier passant par le périmètre jusqu'à ce que cette chose soit passée et exécutée. Donc, vous ne pouvez pas résoudre tous les problèmes du périmètre. Certaines choses seulement parce que évidentes et logique de les attraper quand elles s'ouvrent au bureau.

BK: Voyez-vous un parallèle entre les défis de la sécurisation de la chaîne d’approvisionnement et ceux de la sécurisation des entreprises? Internet des objets (IoT) afin qu’ils ne continuent pas à devenir une menace pour la sécurité nationale pour toutes les infrastructures critiques, telles que les attaques DDoS, comme nous l’avons vu ces dernières années?

TS: Absolument, et encore une fois, l'économie de la sécurité est si convaincante. Avec l'IoT, nous avons les pièces les moins chères possibles, des appareils ayant une durée de vie relativement courte et il est intéressant d'entendre les gens parler de la réglementation relative à l'IoT. Mais une grande partie de la discussion que j’ai entendue récemment ne porte pas sur des solutions descendantes, mais plutôt sur la manière dont nous apprenons de lieux comme le Food and Drug Administration sur la certification des dispositifs médicaux. En d’autres termes, existe-t-il des caractéristiques connues que nous aimerions voir appliquer à ces dispositifs avant qu’ils ne deviennent, dans un sens générique, sûr?

BK: Dans quelle mesure faut-il résoudre les problèmes liés à l'IdO et à la chaîne logistique pour pouvoir consulter le code qui alimente le matériel et y détecter les vulnérabilités? Où intervient la responsabilité?

TS: J’avais l'habitude de gagner ma vie avec les logiciels d'autres peuples et de trouver des bugs du jour zéro. Ce que j'ai compris, c'est que notre capacité à trouver des choses en tant qu'êtres humains avec une technologie limitée n'allait jamais résoudre le problème. L'effet dissuasif selon lequel les gens pensaient que quelqu'un inspectait leur logiciel obtenait généralement des résultats plus positifs que l'apparence réelle. S'ils commettaient une erreur – délibérément ou non -, ils devraient travailler d'arrache-pied et s'il existait une méthode de transparence, nous en trouvions une ou deux et nous en faisions une grosse affaire quand nous le faisions. un moyen de dissuasion.

BK: Cela ressemble à une approche qui fonctionnerait bien pour nous aider à nous sentir mieux à propos de la sécurité et du code à l’intérieur de ces machines électorales qui ont récemment fait l’objet d’un examen aussi approfondi.

TS: Nous sommes en train de réfléchir à cela maintenant en pensant aux dispositifs électoraux. Nous sommes en quelque sorte en train de passer à travers cette argumentation classique selon laquelle les pirates informatiques arborent le noble drapeau de la vérité et les vendeurs s’attaquent à la responsabilité. Ainsi, certains fournisseurs semblent vouloir faire quelque chose de différent, mais ils sont en même temps pris au piège des bonnes intentions de la communauté des vulnérabilités ouvertes.

La question qui se pose est la suivante: comment pouvons-nous apporter un certain degré de transparence au processus, sans doute que les fournisseurs n’exposent pas leurs secrets commerciaux et le code au monde? Qu'est-ce qu'ils peuvent démontrer en termes de rapport coût-efficacité des pratiques de développement pour résoudre certains problèmes avant qu'ils ne se manifestent? Ceci est important, car les élections nécessitent un résultat: la confiance du public dans le résultat. Et bien sûr, une meilleure façon de le faire consiste à accroître la transparence.

BK: Quelles sont, le cas échéant, les plats à emporter pour l'utilisateur moyen ici? Avec la prolifération des appareils IoT dans les foyers, peut-on espérer voir davantage d’outils permettant aux utilisateurs de mieux contrôler la manière dont ces systèmes se comportent sur le réseau local?

TS: La plupart de [the supply chain problem] l’incapacité de la personne à faire quoi que ce soit, et au-delà de la capacité des petites entreprises à s’y attaquer. En fait, c’est en dehors de l’autonomie de la moyenne des entreprises de le savoir. Nous avons besoin d'une plus grande attention nationale au problème.

C’est nIl est presque impossible pour les consommateurs d’acheter des produits électroniques qui ne sont pas connectés à Internet. Les chipsets sont tellement bon marché et la possibilité pour chaque appareil de disposer de sa propre puce Wi-Fi intégrée signifie que [manufacturers] ajoutons-les, que cela ait un sens ou non. Je pense que nous verrons plus de sécurité entrer sur le marché pour gérer les appareils. Ainsi, par exemple, vous pouvez définir des règles indiquant que les appliances peuvent uniquement communiquer avec le fabricant.

Nous allons voir plus d’outils faciles à utiliser à la disposition des consommateurs pour aider à gérer tous ces appareils. Nous commençons déjà à voir la lutte pour la domination dans cet espace déjà au niveau de la passerelle domestique et de la gestion du réseau. Au fur et à mesure que ces dispositifs deviennent de plus en plus nombreux et compliqués, les moyens de les gérer seront plus orientés vers le consommateur. Certains fournisseurs d'accès à large bande proposent déjà des services qui indiquent quels appareils fonctionnent chez vous et permettent aux utilisateurs de contrôler le moment où ces différents appareils sont autorisés à communiquer avec Internet.


Depuis le début de l’histoire de Bloomberg, The Département américain de la sécurité intérieure et le Centre national de cybersécurité, une unité de l’agence d’espionnage britannique, le GCHQ, ont toutes deux déclaré publiquement qu’elles n’avaient aucune raison de douter des dénégations véhémentes de la part de Amazone et Pomme qu’ils aient été affectés par des incidents impliquant la sécurité de la chaîne logistique de Supermicro. Apple a également écrit un lettre fortement formulée aux législateurs qui nient les affirmations de l'histoire.

Dans le même temps, les journalistes de Bloomberg ont publié un article de suivi citant de nouvelles preuves consignées dans le dossier pour étayer les affirmations formulées dans leur article d'origine.


Tags: achat aveugle, Bloomberg Businessweek, Centre pour la sécurité Internet, programme Einstein, Internet des objets, sécurité de la chaîne logistique, Tony Sager, connexions Internet de confiance

Cet article a été publié le vendredi 12 octobre 2018 à 21h03 et est classé dans A Little Sunshine, The Coming Storm.
Vous pouvez suivre les commentaires de cette entrée via le flux RSS 2.0.

Vous pouvez passer à la fin et laisser un commentaire. Le ping n'est actuellement pas autorisé.

Leave a comment

Send a Comment

Your email address will not be published. Required fields are marked *

This site uses Akismet to reduce spam. Learn how your comment data is processed.