Seguridad

Target lanza un nuevo programa de balizas con un sistema que debe cambiarse

Target está a punto de lanzar un programa piloto para personas con discapacidad visual y Jack Wallen predice más ataques de piratería en Target en el futuro.

Target anunció recientemente un nuevo programa destinado a ayudar a las personas con discapacidad visual a realizar transacciones en las tiendas.El programa (disponible en 50 tiendas en Chicago, Denver, Minneapolis, Nueva York, Pittsburgh, Portland, San Francisco y Seattle) utiliza balizas Bluetooth para aplicación para iOS (Android próximamente) e inscríbase en el servicio.

Como era de esperar, el gigante minorista utilizará naturalmente los datos recopilados para ajustar la experiencia de compra para la próxima juerga de compras navideñas.

En la superficie, esto suena como una buena idea… ayudar a las personas con discapacidad visual a encontrar ofertas que de otro modo no podrían encontrar. Pero una vez que retire la capa brillante, es posible que se sorprenda con lo que encuentre.

No estoy hablando de malware envuelto alrededor del logotipo de destino rojo de la aplicación Target. Estoy hablando de las posibilidades más oscuras que aguardan a tal sistema.

Déjame explicarme.

Muchas veces, cuando estoy leyendo un sitio de noticias, desafía la sección de comentarios. Cualquiera que pase mucho tiempo en Internet sabe que la sección de comentarios debería estar fuera de los límites. ¿Por qué? Troll. Pero en este caso, no es un troll promedio. Lo encontré algo frustrante en la cobertura de prensa de los nuevos planes de Target. La sección de comentarios está inundada de ideas sobre la facilidad con la que se puede piratear el sistema.

Comentarios como este:

LEER  La ciberseguridad es la principal preocupación de TI para las PYMES, pero pocas cuentan con expertos en seguridad en el personal

Es fácil copiar el UUID de la baliza y lanzar una baliza de $ 5 en algún lugar de un edificio que transmite un enlace a un virus, sitio web sucio, etc. Con un UUID clonado, se acepta automáticamente como emisor en la lista de permitidos de la aplicación, pero con una carga maliciosa.

… bastante común.Un comentario mencionado específicamente Búsqueda del tesoro CES pirateada de 2014 Esto lo guiará a través del proceso utilizado para piratear el Scavenger Hunt Beacon.

Este es el mundo en el que vivimos ahora.Con cada nuevo desarrollo del Internet de las Cosas, tenemos que afrontar el hecho de que por cada paso adelante, hay uno o dos pasos atrás, como esos fueron capacesHacerDesafortunadamente, no hay forma de evitarlo. La piratería sucederá. Si crea algo de interés en la web, será descubierto y pirateado. Cuanta más publicidad hagas, más la entenderás.

Si cree que no obtendrá ninguna ganancia monetaria al piratear su sistema… piénselo de nuevo. Su nueva aplicación o sistema tiene una base de usuarios, lo que significa que hay una base de datos de usuarios para vender al mejor postor. Si su subsistema está conectado a un sistema más grande… eso significa que es probable que se encuentre una olla de oro al final del arcoíris con sabor a baliza.

El mundo de TI está lleno de mujeres y hombres muy inteligentes, muchos de los cuales tienen las habilidades para prevenir este tipo de ataques… cuando obtienen los recursos que necesitan. Desafortunadamente, todos sabemos lo que está pasando aquí. Construye una red mejor y más segura, y el poder de comenzar a hacer demandas lo aleja de la ciberseguridad. Lo siguiente que sabes es que el nuevo piloto ha sido pirateado y todos tus esfuerzos son demasiado pocos y demasiado tarde.

Todos los ataques recientes deberían demostrar una cosa a las grandes empresas: con el aumento continuo de Internet de las cosas y la dependencia de los pagos electrónicos…

Permítanme tratar de dejar esto lo más claro posible.

La seguridad. Sí. todo.

No importa si creó el mejor programa de suscripción en la historia de todas las cosas. Si es pirateado, se vuelve menos importante. Es posible que haya configurado una red que pensó que no podía ser pirateada. Mientras esté conectado a Internet, eventualmente será pirateado.

Aplaudo a Target por probar nuevos programas… especialmente aquellos que ayudan a las personas con discapacidades. Sin embargo, cuando utiliza una tecnología pirateable como Bluetooth, sepa que su sistema es vulnerable.solo busca herramienta de pirateo de bluetooth Verás con qué facilidad se puede hackear el sistema bluetooth.

¿Qué significa? Eso significa que empresas como Apple, Google y Microsoft deben unirse para encontrar una forma más segura de transferir datos entre dispositivos que Bluetooth. Es necesario actualizar todo el protocolo Bluetooth. período.

de acuerdo a Libro blanco de seguridad de Bluetooth de la NSA:

Los enlaces Bluetooth utilizan algoritmos de encriptación y autenticación de clave precompartida opcionales que se consideran aceptablemente sólidos cuando se implementan y utilizan correctamente.

La palabra operativa allí es correcta. El mismo documento continúa mencionando que debido a la complejidad del protocolo Bluetooth, es particularmente vulnerable a varias vulnerabilidades de seguridad.

Entonces, compañías como Target (que han sido pirateadas antes) usan tecnología vulnerable (especialmente si no se implementa correctamente) para implementar programas en tiendas que tienen millones de consumidores cada año… estos sistemas son pirateados. La invasión no es una sorpresa.

Lo entiendo. Bluetooth es una tecnología increíblemente fácil de usar. Lo uso para conectar auriculares y otros periféricos a dispositivos móviles y de escritorio. También entiendo los riesgos de usar esta tecnología y lo inseguro que es el hardware para trabajar con una clave precompartida de bluetooth genérica 0000.

¿Responder? Como dije, la mejor solución para esto es una revisión muy necesaria del protocolo Bluetooth. Hasta entonces, cualquier sistema, como el programa de balizas de Target, será vulnerable.

¿Qué harías para cambiar el protocolo bluetooth?

Ver también:

LEER  Mejorar la concienciación y la formación en seguridad de los empleados

Deja una respuesta

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *

Botón volver arriba