Tag Archives: Identity and Authentication Services

Who’s Watching You Sleep?

      No Comments on Who’s Watching You Sleep?
The Gaping Hole in the Internet of Things

 

Thanks to George Orwell’s classic book 1984, I graduated High School thinking I would eventually live in a world monitored and suppressed by world governments.  In the wake of the PRISM scandal in 2013 I started to get the feeling that Orwell’s dystopian novel was looking like an ill-timed prophesy.  In light of comedian Pete Holms’ rant on how Privacy is Uncool, it is little brother (us) leaking our secrets; no one has to steal them from us.  If you thought unmanaged Social Media privacy settings were bad, how much would you cringe if you knew you were letting people watch you sleep?  Welcome to the perils of the Internet of Things (IoT).

Up until very recently a number of security camera manufactures were shipping internet connected cameras (AKA IP cameras) with default passwords.  Many of these passwords were never changed by the purchaser after setting them up.  It was only a matter of time that someone would set up a website displaying many of these feeds (Up to 73K at its peak). 

Let me introduce Insecam, the website dedicating to not only showing you the unrestricted feeds of home and commercial security cameras but also to where they are located with all of the admin and password information.  In addition to this they have social plugins that let you share your favorite feeds with your community.  Ultimately taken from the pages of the improving-through-shaming security book, this site claims to seek the end of default passwords yet places advertisements conveniently next to navigation icons.

Sleep edit.jpg

On my review of the site, I saw mundane shots of doors and walkways and more mild scenes of people working the front counters of gas stations and dry-cleaners.   With a chill down my spine I saw a bartender drinking the profits and an overhead shot of a girl scrolling through a fashion site.  What startled me was the shear amount of cameras in bedrooms, a no-no in my world.  Granted that a majority of these were aimed at cribs but the alarming part was the number of unsecured cameras pointed at hospital patients, adult beds, living rooms, and private hot tubs.  Sadly, various online forum contributors claim to have found dead bodies and adults in very private or intimate situations.  Situations like this define the need for better security in the internet of things landscape.

No matter what colored bucket of hacker you place the Insecam’s creator into, they have exposed a gaping hole in the IoT landscape.  In 2011 there were over 9 Billion devices connected to the internet and by the year 2020 it is expected that number will be close to 24 billion.  This is a cause for concern for manufactures and companies like Symantec and a potential bonanza for hackers.  As more and more things come online, we are discovering new vulnerabilities and how some security practices are becoming out of date.  There are obstacles with current security practices but there are ways to overcome them.

Better Password Management

I’m not a fan of passwords.  Since we have to live with them we have to learn how to use them.  I wrote a fun mocku-blog on password best practices for you to loathe and share.  Passwords are a very weak form of security and Insecam proved that.  Two Factor authentication can be used to install and access IP camera feeds via a computer or mobile device.  If you have the time, take a peek at this white paper from Symantec on digital certificates used for authentication. 

When it is all said in done, Insecam victims used default ports and passwords and were most likely discovered by an IP address surfing tool.  A simple change of the password would eliminate them from the site but it could still be guessed by a serious stalker.  Keep in mind that passwords are the number one thing sought after by hackers since we often use the same ones on multiple sites.  Here is how they do it.

Encryption; an IoT solution

As a best PKI practice, all data SHOULD be encrypted in transit and at rest between a Host and Client.  If the device manufactures enabled encryption of the data, only the end user could review the video stream with client authentication.  This would slow the feed a bit but it would secure the connection.  If marketers want to instill trust in their internet connected devices they need to consider implementing a security promise with their messaging.  So how can they encrypt a live feed?

My engineering buddy and counterpart Frank Agurto-Machado recommends the use of embedding a private SSL ROOT CA within each device.  The connection between the manufacture’s infrastructure and the camera would be secured and encrypted via client authentication to this private SSL root.  Ultimately, this may increase the cost of a device but it would help better ensure security.  While this DOES NOT remedy the Password hijacking, it secures the model from point-to-point between the “client” and the host.  Symantec offers Private CAs to enterprises that need customized encryption for server to server communication or for applications such as this. 

The Security Trade-Off

Balance Act_0.jpg

Throughout the course of world history humans have always had to juggle between access and fortification when it comes to security.  Our ancestors had to find a way to secure a food hoard that would not take hours to hide or cover.  Castles had to ensure soldiers and citizens could pass freely yet survive a siege.  Anti-virus software on your PC has to allow you to quickly surf the internet but check and possibly restrict all incoming traffic.  Manufactures within the IoT space have to learn how to balance these two and improve customer messaging to assist them in setting up a trustworthy and secure devices.

Edit:  Since the writing of this blog insecam has been shut down.  From appearances it appears to be taken down by a third-party hacker.

?????????????????(CSRF,?CWE-352)????

      No Comments on ?????????????????(CSRF,?CWE-352)????
クロスサイトリクエストフォージェリ(CWE-352)

このブログではウェブサイトやその上で動作しているウェブアプリケーションの脆弱性について紹介すると共に注意喚起をする目的でまとめられています。
今回は代表的なWebアプリケーション脆弱性であるクロスサイトリクエストフォージェリについて解説をしています。

????????????(CWE-22)???

      No Comments on ????????????(CWE-22)???
ディレクトリトラバーサル(CWE-22)

このブログではウェブサイトやその上で動作しているウェブアプリケーションの脆弱性について紹介すると共に注意喚起をする目的でまとめられています。
今回は代表的なWebアプリケーション脆弱性であるディレクトリトラバーサルについて解説をしています。

Apache Struts 1 & 2 の脆弱性(S2-020、CVE-2014-0114等)

2014年4月に新たに見つかったApache Strutsの脆弱性(S2-020、CVE-2014-0114等)

このブログではウェブサイトやその上で動作しているウェブアプリケーションの脆弱性について紹介すると共に注意喚起をする目的でまとめられています。
今回は、2014年4月に発見されたApache Strutsの脆弱性について解説をしています。

Why your choice of a Certificate Authority matters in the long run

By now you’re probably aware of the Turkish Certificate Authority that had mistakenly issued two intermediate CA certificates to two organizations in Turkey. With these trusted intermediate certificates, the two organizations, a Turkish bank and …

Microsoft goes Always On with EV for Outlook.com

On Tuesday, Microsoft announced that they have just upgraded their entire Outlook.com mail environment to an Always On SSL experience, protected by Extended Validation (EV).  This means that all of the user’s data is protected via 2048-bit e…

Cybercriminalité : Dangers et Conseils

      No Comments on Cybercriminalité : Dangers et Conseils

La multiplication des attaques par programmes malveillants (ou malwares) – virus, vers, chevaux de Troie, logiciels espions et autres programmes malveillants – atteint des proportions épidémiques. Si vous interrogez vos collègues ou vos amis sur les réseaux sociaux, vous trouverez certainement quelqu’un ayant fait les frais de telles attaques, ou connaissant une victime de tels actes.

Avez-vous par exemple été touché par Dorkbot ?  Le ver a fait des ravages parmi un nombre incalculable d’utilisateurs de Facebook et Twitter. Depuis, c’est du côté de Skype que le Dorkbot sévit. Son mode opératoire : recourir à l’ingénierie sociale pour s’infiltrer sur les machines de ses victimes et les verrouiller à souhait.

Le ver fouille parmi la liste de contacts de l’utilisateur Skype infecté, puis envoie le message suivant, en anglais ou en allemand : « Hey, c’est votre nouvelle photo de profil ? ». Lorsque l’on clique sur le lien, un fichier .zip s’ouvre avec le fichier ‘skype_02102012_image.exe’. Pas terrible. Mais le pire reste à venir. Car si l’on dézippe le fichier, le ver Dorkbot s’installe par une porte dérobée. L’ordinateur de la victime est alors enregistré sur un robot zombie (botnet) et les fichiers pris en otage jusqu’au versement d’une rançon de 200 dollars dans les 24 à 48 heures. L’an dernier, un programme malveillant similaire a tourné sur les réseaux sociaux Facebook et Twitter, les messageries instantanées et les clés USB.

Conclusion : la vigilance reste de mise en toutes circonstances, quel que soit le site visité. Mais peut-on jamais être en sécurité ? D’après Microsoft, les cybermalfaiteurs installent aujourd’hui leurs programmes malveillants sur les PC avant même qu’ils n’arrivent chez leur nouveau propriétaire – une tendance préoccupante qui s’intensifie. L’équipe Microsoft envoyée en Chine pour enquêter sur la vente de logiciels contrefaits a ainsi trouvé des programmes malveillants préinstallés sur 4 des 20 ordinateurs fixes et portables achetés pour les besoins des tests – tous équipés de versions contrefaites de Windows.

Espérons que vous n’aurez jamais à faire face à ce genre de situation extrême. Deux principes de base permettent, dans bien des cas, de rester hors de danger : 1) si quelque chose semble trop beau pour être vrai, c’est probablement le cas, et 2) tout fichier ou message suspect doit immédiatement être détruit.

Pour ce qui est des applis sur vos terminaux mobiles, deux symptômes aident à confirmer la présence de malware. Primo, la baisse d’autonomie de la batterie signifie qu’un programme s’exécute en arrière-plan et secundo, une augmentation de l’utilisation des données indique qu’un malware transmet des données à partir du terminal. Vous devez également maintenir vos applis et votre terminal à jour. Les malfaiteurs exploitent souvent les failles logicielles ou matérielles pour pirater votre téléphone. Si vous constatez que des applications et/ou services suspects s’exécutent, essayez d’en savoir un peu plus. Si vous ne les utilisez pas, supprimez-le de votre téléphone.

Vous pouvez modifier les paramètres de votre terminal pour empêcher l’installation de contenus ne provenant pas de sources de confiance. Pour interdire toute activité indésirable, votre téléphone doit également vous prévenir avant de télécharger une appli. N’oubliez pas d’activer le verrouillage automatique de votre téléphone et d’utiliser un mot de passe fort pour préserver la confidentialité de vos données personnelles en cas de perte ou de vol. Bon à savoir également : pensez à déconnecter la fonction de connexion automatique au Wifi. Ainsi, votre téléphone ne se connectera qu’aux réseaux Wifi précédemment identifiés.

Comme pour les spams dans votre messagerie, méfiez-vous des liens envoyés par les contacts de votre carnet d’adresse. De plus, lorsque vous surfez sur Internet à partir de votre téléphone, veillez à bien suivre les consignes de sécurité habituelles, car les risques sont les mêmes. Si vous naviguez sur un site contenant un programme malveillant, celui-ci peut parfaitement exploiter une faille de votre téléphone et installer le malware en arrière-plan. Méfiez-vous aussi des sites qui vous demandent d’installer un nouveau logiciel.

Bien entendu, vos applis ne doivent être téléchargées qu’à partir de sources de confiance. Faut-il encore le rappeler ? On télécharge souvent les applications dans le feu de l’action, parce qu’elles ‘semblent’ géniales ou provenir d’une source de confiance. Mais attention, l’addition peut être salée pour un téléchargement effectué à la hâte. Avant d’exécuter un fichier, faites une recherche sur Internet, interrogez vos amis, ou votre responsable informatique au bureau pour connaître leur avis sur un programme ou une appli donnée. Lisez les avis déposés par d’autres utilisateurs pour être certain que l’appli convoitée n’est pas un programme malveillant. Et n’oubliez jamais qu’aucun magasin d’applis mobiles, aussi connu-soit-il, n’est à l’abri des pirates.

Pour en savoir plus sur les moyens de sécuriser vos applis, jetez un œil à ce billet : http://www.symantec.com/connect/blogs/ssl-apps

Pour en savoir plus sur la sécurité des sites Web, téléchargez le rapport Symantec sur les menaces de sécurité des sites Web

Physical Security Makes Web Security Possible

      No Comments on Physical Security Makes Web Security Possible

Trust on the internet isn’t just a catch phrase. It’s a concern that engenders policies that extend from the virtual world of security products and integration all the way down into process and physical reinforcement. It is also a daily practice at Symantec, where we back up our mission statements with concrete, measured practices. We built our datacenter facilities with a defense in depth approach, and believe in practicing what we preach regarding the standards a CA should adhere to. My leadership team demands that our infrastructure supports our strategy to be the best.

We gave the folks at CNet a tour of our Operations facility where we process SSL Certificates, and showed them our model of what makes a secure facility. We are constantly investing in improvement, keeping up with the latest trends in physical security as a vital link to supporting our virtual security. Recently, CNet published the following article about what they saw on that tour:

http://news.cnet.com/8301-1009_3-57498393-83/rare-peek-inside-symantecs-security-fortress/

By hardening every piece of our layered security model, we’re helping set the standard throughout the CAB Forum participants and industry at large. CNet’s tour shows in tangible ways our commitment to secure methods and processes, and the tight physical security that backs up our logical security. If an attacker can steal a private key, all the data for an organization becomes at risk. This is multiplied exponentially for Certificate Authorities that are responsible for the safety of managed PKI systems all over the world.

We’re proud of our 100% uptime commitment to our customers. We’re proud that we have never had an instance of compromise in our certificate datacenter. We’re proud to be leaders in the CA industry with our commitment to the CAB (Certification Authority/Browser) forum. We walk the walk of security every day, and challenge our competitors to do the same to help combat cyber-crime and make the Net a safer place.