Quali sono le vulnerabilità più comuni per i dispositivi IoT di scarsa qualità? [chiuso]

0

Sto imparando a proteggere i dispositivi IoT e ad imparare come sviluppare il mio software per loro.

Volevo sapere quali sono le vulnerabilità più comuni che qualsiasi scriptkiddie potrebbe sfruttare e come essere a conoscenza di esse in termini generali.

Sono in una fase molto iniziale, quindi qualsiasi suggerimento o informazione riguardante:

  • Famose vulnerabilità in dispositivi o marchi
  • Protezione del tipico software per telecamere / sensori / piccoli dispositivi ...
  • Strumenti per pentesting devices / esempi
posta David Rivas 20.04.2018 - 10:31
fonte

2 risposte

2

La vulnerabilità più comune non è affatto la sicurezza. Molte marche:

  • metti un server web completamente insicuro sui propri dispositivi.
  • inserisci password codificate con testo semplice nel loro codice per "accesso di manutenzione".
  • problemi standard come l'overflow del buffer.
  • la funzionalità di aggiornamento del firmware è spesso vulnerabile
  • la firma di un aggiornamento è stata verificata in passato come una firma valida, ma il certificato stesso non è stato verificato per la validità. Così ogni certificato autofirmato ha fornito l'accesso.

Per le migliori pratiche, cerca di mantenere il tuo codice semplice e autenticare tutto. Non ci sarà probabilmente bisogno di includere qualcosa come un server web in una fotocamera e questo porta molte vulnerabilità. Ricorda inoltre che gli utenti potrebbero non aggiornare mai il firmware, quindi mantenere i bug al minimo rendendo il dispositivo semplicistico è una buona idea.

PS: Autenticati anche usando qualcosa come HMAC, poiché la tua connessione probabilmente non sarà sicura. Dovresti evitare di inviare password.

PPS: se desideri una sorta di accesso per gli sviluppatori, utilizza la crittografia a chiave pubblica e includi sempre un'opzione per disattivarlo .

    
risposta data 20.04.2018 - 10:37
fonte
1

La risposta di Peter è buona e copre la maggior parte dei problemi. Anche il tipico utente finale deve essere preso in considerazione. Il problema con i dispositivi IoT è che molti di loro fanno qualcosa che non è percepito come elaborazione dei dati da parte dell'utente finale. Pertanto, potrebbero essere utilizzati proprio come l'elemento prima della sua nuova versione smart, lasciando la password predefinita così com'è.

Come uno sviluppatore che utilizza la password predefinita comune per ogni dispositivo non è una buona pratica. Migliori alternative includono:

  • utilizzando una password casuale mostrata all'utente durante l'installazione iniziale
  • forzare l'utente a scegliere la propria password durante l'installazione iniziale
  • utilizzando le password predefinite calcolate da es. dispositivo S / N e / o indirizzo MAC utilizzando un algoritmo complesso. Tale password può essere stampata su un'etichetta esterna al dispositivo e sopravviverà a ripristini e aggiornamenti del firmware.
risposta data 20.04.2018 - 11:39
fonte

Leggi altre domande sui tag