Security

Záznam z prednášky

Introduction

• (slide) Ešte skôr, ako sa začneme venovať samotnej téme bezpečnosti v oblasti IoT, skúste si sami odpovedať na nasledujúcu otázku:

  Kedy ste naposledy aktualizovali firmvér na vašom domácom WiFi smerovači?

• kúpením novej krabičky do domácnosti totiž vpúšťate nového člena, o ktorom toho veľa neviete

  • rovno po kúpe je jeho firmvér/softvér (určite) zastaralý
  • aké komunikačné kanály používa? čo všetko má otvorené do sveta?
  • ako dlho a ako často ho bude aktualizovať a podporovať samotný výrobca?

Top 2019 IoT Security Hacks

OWASP Top 10 IoT Project

Nadácia OWASP pracuje na zlepšení povedomia o bezpečnosti softvéru prostredníctvom svojich komunitne vedených softvérových projektov s otvoreným zdrojovým kódom. Má desiatky tisíc členov a na zvýšenie povedomia orgranizuje množstvo konferencií po celom svete.

Najznámejším projektom nadácie je určite projekt OWASP Top Ten

• posledná verzia z roku 2018

1. Weak, Guessable, or Hardcoded Passwords

Jedným z najbežnejších bezpečnostných rizík, ktoré môžu ovplyvniť zariadenia internetu vecí, sú slabé alebo ľahko uhádnuteľné heslá. Mnoho zariadení internetu vecí sa dodáva s predvolenými heslami už od výroby, ktoré sú buď ľahko uhádnuteľné, verejne dostupné alebo nemenné. To je prípad väčšiny IoT zariadení, ktoré disponujú s webovým (admin) rozhraním.

Natvrdo napísané heslá (známe tiež v angličtine ako embedded credentials) sú heslá napísané v textovej podobe priamo v kóde firmvéru zariadenia. Ak útočník získa prístup k zdrojovému kódu, bude mať prístup ku všetkým heslám, ktoré zariadenie používa. Vďaka takto získaným heslám získa automaticky prístup do každého zariadenia, ktoré disponuje rovnakým firmvérom (s rovnakými natvrdo napísanými heslami).

Príkladom takýchto hesiel sú častokrát aj tieto kombinácie:

• admin/admin
• guest/guest
• user/password
• root/toor

V prípade natvrdo napísaných hesiel alebo prihlasovacích údajov platí, že konfiguračné súbory, v ktorých sa takéto citlivé údaje nachádzajú, sa neposielajú ani do systémov na správu verzií. Každý, kto má prístup k danému repozitáru totiž môže uvedené citlivé údaje získať veľmi jednoducho. Riziko je o to väčšie, ak sa jená o open source projekt. Github už obsahuje kontrolný mechanizmus, ktorý vlastníka repozitára upozorní, ak v rámci svojho commit-u omylom odoslal do repozitára aj heslá, kľúče alebo autentifikačné tokeny.

Miesto natvrdo napísaných hesiel alebo hesiel uložených v konfiguračných súboroch, sa najamä v prípade mikroslužieb odporúča používať premenné prostredia (napríklad podľa The Twelve-Factor App).

2. Insecure network services.

3. Insecure ecosystem interfaces.

4. Lack of secure update mechanisms.

5. Use of insecure or outdated components.

6. Insufficient privacy protection.

7. Insecure data transfer and storage.

8. Lack of device management.

9. Insecure default settings

10. Lack of physical hardening

Additional Sources

• CZ Podcast 224 - průmyslové IoT - V tomto díle jsme zavítali za Štěpánem Bechynským do Microsoftu, se kterým jsme probírali průmyslové využití IoT. Štěpán vyprávěl o zajímavých projektech např. optimalizaci nanášení lepidla na etikety pivních lahví. Poslední díl v roce 2019 si užijte.

• OWASP Internet of Things Project

• IoT Security Best Practices

• Shodan - Search Engine for the Internet of Things.

• Wigle.net - All the networks. Found by Everyone.

• IoT Device Default Password Lookup

• https://www.iot-inc.com/the-s-in-iot-stands-for-security-article/

• What Is the OWASP IoT Top 10?