Instantánea de un miembro de la Alianza: IBM X-Force Red Charles Henderson

P: ¿Qué es X-Force Red? 

X-Force® Red es el equipo de hackers de IBM Security. Las organizaciones nos contratan para descubrir vulnerabilidades de riesgo dentro de sus redes, aplicaciones, hardware, dispositivos y personal que los atacantes criminales pueden utilizar para su beneficio personal. X-Force Red ofrece pruebas de penetración, simulación de adversarios y programas de gestión de vulnerabilidades para ayudar a los líderes de seguridad a identificar y remediar los fallos de seguridad que cubren todo su ecosistema digital y físico.

X-Force Red puede hacer todo lo que los hackers criminales pueden hacer, pero con el objetivo de ayudar a los líderes de seguridad a endurecer sus defensas y proteger sus activos más importantes.

Tenemos más de 200 hackers en todo el mundo, muchos de los cuales han descubierto vulnerabilidades de día cero, han construido herramientas de ataque de primera clase, se han presentado en las principales conferencias de ciberseguridad, han proporcionado liderazgo de pensamiento a medios de comunicación de alto perfil, han testificado ante el Congreso y han estado hackeando desde que eran niños. Nuestra declaración de misión lo resume mejor: "Nuestra misión: hackear cualquier cosa para asegurar todo".

P: ¿Qué hace para IBM?

Como Socio Gerente Global y Jefe de X-Force Red, dirijo la estrategia de X-Force Red para los servicios que ofrecemos y la forma en que complementan la cartera de IBM Security en general. También construí nuestro equipo de más de 200 hackers desde la base y soy responsable de asegurarme de que tengan carreras satisfactorias y de que proporcionen valor continuamente a nuestros clientes. Mis días suelen consistir en ser entrevistado por periodistas (proporciono comentarios de liderazgo de pensamiento a menudo sobre todos los temas relacionados con la ciberseguridad), en hacer presentaciones a los líderes y clientes de IBM, en contactar con los miembros de mi equipo en todo el mundo, en asegurar que el trabajo de nuestros clientes se desarrolla con éxito y en realizar conferencias clave. Teniendo en cuenta que empecé mi carrera como hacker y luego evolucioné a ser un líder empresarial y portavoz, aporto una perspectiva completa a las conversaciones sobre seguridad. 

P: ¿Por qué está involucrado con la Alianza IOXT? 

Como fanáticos de la tecnología y consumidores de IOT, estamos muy entusiasmados con IOT. La organización ofrece un enfoque estructurado que puede conducir a productos más seguros, que incluye los que muchos de nosotros usamos en nuestros propios hogares.

P: ¿Cuáles son las vulnerabilidades más comunes en los dispositivos de IO?

Obviamente, hay muchas vulnerabilidades graves que no figuran en la lista de "comúnmente encontradas" que es importante considerar también. Después de todo, una sola vulnerabilidad puede llevar a un compromiso serio. Sin embargo, cuando hablamos de las vulnerabilidades comunes de IO que encontramos, yo diría que las contraseñas de código duro o por defecto encabezan la lista. Mantener una higiene de seguridad básica es un problema persistente para muchos fabricantes. Aquí hay una lista de otras vulnerabilidades comunes que encontramos:

• Interfaces de programación desbloqueadas que permiten la extracción del firmware

• Interfaces de depuración expuestas que permiten la revelación de información, es decir, proceso de arranque, dispositivos que se montan, interfaces que se activan, etc.

• puntos de prueba expuestos que dan acceso a los pines de los chips individuales, es decir, para leer los estados de GPIO o voltearlos para activar el cargador de arranque, etc.

• comunicaciones chip a chip expuestas - es decir, UART para el módem interno o SPI/I2C para la configuración RF/NFC/BLE de los componentes SoC.

• Interfaz de conexión/conexión expuesta, es decir, una consola UART en serie.

• inclusión de las bibliotecas vulnerables conocidas

• inclusión de programas informáticos vulnerables/antiguos conocidos como DHCP, SSH, etc.

• incapacidad de actualizar fácilmente el firmware

• inclusión de módulos de terceros con vulnerabilidades propias desconocidas, es decir, módulos wifi/3g/ble

• Los dispositivos multifuncionales que no desactivan las funciones no utilizadas, es decir, la memoria que se utiliza como flash, también tiene una interfaz SD con una configuración de bloqueo separada abierta por defecto.

• almacenamiento de credenciales de texto plano en chips flash de fácil lectura - es decir, la falta de criptografía

• componentes "seguros" vulnerables a los ataques avanzados, como los fallos de seguridad

• comunicación insegura de la red (básicamente, sin TLS o con TLS mal implementado)

• proceso de actualización de firmware inseguro

• las mismas credenciales débiles y predeterminadas en cada dispositivo

P: ¿Cuál es el hack más impactante en tu opinión (uno que cambió completamente el panorama) de este año o de los últimos años?

Las investigaciones sobre vulnerabilidad colectiva que se han presentado en las principales conferencias sobre seguridad cibernética, como Black Hat y Def Con, apuntan a graves vulnerabilidades en diversos dispositivos y plataformas de IO, muchos de los cuales han sido noticia en todo el mundo. Todas esas conferencias muestran el impacto y la creciente prevalencia de los ataques de IO.

P: ¿Hay otras cosas que cree que la industria puede mejorar? 

Debemos ser más transparentes con el consumidor final de productos de IO sobre la seguridad de los dispositivos que están comprando. Esa es la mejor manera de construir la confianza del consumidor. Podemos establecer paralelismos con las preocupaciones de seguridad y las garantías que los consumidores pueden tener sobre otros productos que compran. Muchos productos vienen con clasificaciones de seguridad y garantías que confirman que los productos son seguros de usar. Necesitamos ese mismo nivel de garantía para la seguridad en torno a los dispositivos de IO. Los consumidores deben tener una declaración que certifique que sus dispositivos son seguros.

P: ¿Qué quiere que los miembros sepan de usted?

Soy un ejecutivo de negocios, hacker e investigador de vulnerabilidades que utiliza mi perspectiva única para construir valiosos programas de seguridad para los clientes. Llevo más de dos décadas en la industria dirigiendo equipos de investigación de hackers y vulnerabilidades. Me entrevistan regularmente la CNN, Fox Business, NBC y otros medios de comunicación televisivos e impresos importantes debido a mi vasta experiencia en hacking y a mi capacidad para traducir conceptos técnicos a un lenguaje que todas las audiencias, tanto de seguridad como de no seguridad, puedan entender.