安全研究员说安全行业
瑞典卡巴斯基实验室的高级安全研究员David Jacoby称,信息安全行业已被破坏。
“我们认为我们了解安全性,但我们没有。我们知道我们应该做些什么,但往往我们不这样做,“他告诉慕尼黑的(ISC)2次安全大会,欧洲,中东和非洲的开幕会议。
据雅各,信息安全专业人员需要开始真正关心信息安全,并确保他们支持的业务。
“我们需要专注于我们想要做的事情。我们需要停止谈论我们所有的安全产品正在做些什么,谈论他们没有做的事情,“他说。
通过查看安全产品未做的,Jacoby表示信息安全专业人员可以识别他们所需要的专注。
“我们还需要停止谈论新兴和未来的威胁,而是首先解决我们已知30年的问题,仍未解决,”他说。
雅各比说,虽然很多关注事物互联网的安全威胁(物联网),但是对存储设备和路由器等事物的安全风险来说很少或根本没有注意。
为了说明这一点,他展示了如何使用电子邮件链接到视频,以绕过他家庭网络上的防火墙并从远程位置访问他的家庭存储设备。
虽然视频在连接到网络的平板电脑上运行,但注入托管视频的网站的JavaScript正在后台运行,以识别连接到网络的所有设备。
“一旦我有存储设备的IP地址,它真的是一个小型服务器,我就可以得到一个连接,因为软件不断寻找连接请求,”雅各布说。
他发现,在基于Linux的存储设备上的工厂安装的Python软件他使用的用于备份提供了22种在存储设备上执行代码的方法,并使用管理员状态。
“这是一个大的安全问题,因为攻击者可以劫持设备并将其挂钩到僵尸网络上,甚至厂房甚至不会删除僵尸网络恶意软件,”Jacoby说。
他说,任何安全专业人士在软件和硬件产品中找到这些漏洞,都应向供应商报告。
然而,他表示不是他通知的供应商之一,他似乎愿意与他联系或热衷于解决他发现的安全问题。
“我们必须改变这个。我们需要花更多的时间思考和谈论我们如何改变行业。我们必须确保整个行业认真对待责任,“雅各布说。
