O documento apresenta o projeto OWASP IoT Top 10 e o ambiente IoTGOAT para testes de segurança em dispositivos IoT. O palestrante discute os riscos de segurança na Internet das Coisas e demonstra o IoTGOAT, um ambiente para executar vulnerabilidades comuns em dispositivos IoT. O objetivo é aumentar a conscientização sobre a segurança nesta área em rápida evolução.
Owasp IoT top 10 + IoTGOAT Cyber Security Meeting Brazil 3rd 2015
1. OWASP IoT Top 10 + IoTGOATOWASP IoT Top 10 + IoTGOAT
(Ambiente IoT para testes em IoT para(Ambiente IoT para testes em IoT para
aplicações vulneráveis)aplicações vulneráveis)
3rd
Edition
Mauro Risonho de Paula Assumpção aka firebits
Chapter Leader
Owasp São Paulo, Brazil Chapter
2. AgendaAgenda
●
WHO AM I
●
IOT
●
Back to the Future (10/21/2015)
●
Plataform end-to-end model of the
foundation
●
OWASP Internet of Things Project
●
IoTGOAT
●
QA
3rd
Edition
4. MindsetMindset
O uso da palavra Hacker para se referir
ao violador de segurança é uma
conclusão que vem por parte dos meios
de comunicação de massa. Nós,
hackers, nos recusamos a reconhecer
este significado, e continuamos usando
a palavra para indicar alguém que ama
programar e que gosta de ser hábil e
engenhoso.
3rd
Edition
Richard Stallman
Fundador do projeto
GNU, e da FS
(open source)
5. WHO AM IWHO AM I
●
Mauro Risonho de Paula Assumpção aka
firebits
●
Nerd/Autodidata/Entusiasta/Pentester/An
alista em Vulnerabilidades/
Security Researcher/Instrutor/Palestrante
e Eterno Aprendiz
●
Senior Information Security Analyst (R&D)
(R&D) - Agility Networks, SIS (Reverse Eng.
Malwares, Deep Web, VA/VM and Pentest)
3rd
Edition
www.agilitynetworks.com.br
9. 3rd
Edition
The Intel® IoT Platform illustrates an end-to-end model of the foundation
http://www.fabricatingandmetalworking.com/wp-content/uploads/2015/07/fmaugust1.jpg
IOTs
25. Q/A?Q/A?
Email mauro.risonho@gmail.com
Twitter @firebitsbr
Linkedin https://br.linkedin.com/in/firebitsbr
Blog https://firebitsbr.wordpress.com
3rd
Edition
www.agilitynetworks.com.br
mauro.assumpcao@agilitynetworks.com.br
Mauro Risonho de Paula Assumpção aka firebits
Chapter Leader Owasp São Paulo, Brazil Chapter
mauro.risonho@owasp.org
De Volta para Futuro
Dia 21/10/2015 é o “Futuro” no Filme “De volta para o Futuro”
Ainda não tempos “carros voadores” em 2015, mas com transito de São Paulo, imagine um acidente entre carros voadores no ar…
Drones domésticos daquele filme, levavam seus cachorros, para passear, mas será que vão recolher suas necessidades? Muita gente imaginou que isso iria acontecer, talvez um IoT nos dias de hoje.
Dar comida para o cachorro, conforme o filme, seria de forma automatica, talvez isso seria um ancestral de IoTs, no passado.
De Volta para Futuro
Dia 21/10/2015 é o “Futuro” no Filme “De volta para o Futuro”
Ainda não tempos “carros voadores” em 2015, mas com transito de São Paulo, imagine um acidente entre carros voadores no ar…
Drones domésticos daquele filme, levavam seus cachorros, para passear, mas será que vão recolher suas necessidades? Muita gente imaginou que isso iria acontecer, talvez um IoT nos dias de hoje.
Dar comida para o cachorro, conforme o filme, seria de forma automatica, talvez isso seria um ancestral de IoTs, no passado.
Esta imagem representa bem, toda a cadeia produtiva, desde os IoTs até os usuários consumidores finais
1 Interfaces Web Inseguras
Obstaculos
- Senhas e Usuários padrões de fábrica
- Nenhuma conta bloqueada por padrão
- Vulnerabilidades que já conhecemos pela OWASP (XSS, SQLi, CSRF e outras vulnerabilidades)
Soluções
- Permitir que usuários e senhas sejam alterados durante a instalação
- Habilitar bloqueios de contas não usadas
- Conduzir Análise em Vulnerabilidades em Aplicações Web com recorrência.
2. Autenticação/Autorização Insuficientes
Obstaculos
- Senhas Fracas
- Mecanismos de recuperação de senha são inseguros.
- Não há opções de segundo fator de autenticação.
Soluções
- Requerer senhas fortes e complexas
- Verificar se os mecanismos de senhas são seguros.
- Implantar segundo fator de autenticação quando possível.
Este item engloba todos os canais de comunicação (nuvem, rede e dispositivos)
3- Serviços de redes inseguros
Obstâculos
- Portas Abertas desnecessárias
- Portas expostas para internet via UPnP (Universal Plug and Play)
- Serviços de Rede estão expostos à ataques DoS (Denial of Service)
Soluções
- Minimizar a quantidade de portas abertas (hardening)
- Não utilizar comunicações via UPnP (Universal Plug and Play)
- Revisar/Analisar por vulnerabilidades em serviços de rede.
4 Falta de criptografia de transporte
Obstâculos
- Informações Sensíveis vão enviados por texto claro.
- SSL/TLS não está disponível ou configurado corretamente.
- Protocolos de criptografia proprietários são usados.
Soluções
- Encriptação entre comunicação e componentes do sistema.
- Manter implementações de SSL/TLS
- Não utilizar soluções proprietáras de ccriptografia.
5. Preocupações com a privacidade
obstâculos
- Muita informação pessoal é coletada
- A Informação Coletada não é protegida
- O usuário final não tem a opção de coleta de determinatos tipos de dados
Soluções
- Minimizar a quantidade de dados coletados.
- Anonimizar os dados coletados
- Oferecer aos usuários, a habilidade de decidir quais dados são coletados.
6. Interfaces Inseguras na Nuvem
Obstâculos
- Interfaces passam por revisão de código-fonte/análise em vulnerabilidades (SAST/DAST e até IAST)
- Senhas Fracas estão presentes nas APIs
- Não há presença de segundo fator de autenticação
Soluções
- Análise de vulnerabilidades dos ambientes de todas interfaces das nuvens.
- Implementar segundo fator de autenticação
- Requerer senhas fortes e complexas.
7. Interfaces Inseguras dispositivos móveis
Obstâculos
- Senhas Fracas estão presentes
- Não há presença de segundo fator de autenticação
- Não requerem senhas fortes e complexas.
Soluções
- Implementar contas de bloqueio, após tentativas de logins sem sucesso.
- Implementar segundo fator de autenticação
- Requerer senhas fortes e complexas.
8. Configurações de Segurança Insuficientes
Obstâculos
- Não há opções de segurança de senhas
- Não há opções de criptografia
- Não há opções de segurança para geração de logs.
Soluções
- Aumento de segurança, habilitando/criando logs.
- Opções para seleção de tipos de criptografia.
- Notificar os usuários sobre alertas de segurança.
OBS: No caso vários IoTs tem o firmware é disponibilizado no site, como qualquer outro equipamento em geral, mas poderá ser modificado localmente em outro IoT ou emulador de arquitetura, sendo passível de ser realizado upload no IoT target via USB, MicroSD e até alguns casos via Wifi, com ou sem interface de gerência.
O que implica em monitoração contínua fisicamente (via GPS, portas USB, unidades MicroSD e outros) como logicamente via software.
- Instalação de micro-endpoints na bios e no próprio sistema operacional contra APTs
9. Insegurança no Software/Firmware
Obstâculos
- Update em servers não estão seguros
- Updates em Devices são transmitidos sem criptografia.
- Updates em Devices não são assinados digitalmente pelo seus vendors.
Soluções
- Assinatura nos updates.
- Verificar os updates, se são oficiais do vendor antes de instalar.
- Aumentar a segurança dos updates nos servers.
10. Segurança Física Pobre
Obstâculos
- Portas USB externas desnecessárias
- Acesso ao sistema operacionais através de mídias móveis.
- Inabilidade de limitar capacidades administrativas de uso.
Soluções
- Minimizar o acesso e quantidade de portas USB.
- Proteger de maneira eficiente o sistema operacional.
- Inclir a habilidade de limitar capacidades administrativas de uso.
Tamanhos variados de IoTs facilitam sua implementação nos ambientes, mas em contra partida também facilita o roubo ou troca por “rogue IoT”.
Acabei de cunhar este termo para IoTs, que é “Rogue IoT” onde um IoT autorizado para uso, por ser substituido por um “IoT Falso”, com mesmo mac address, sistema operacional, interfaces, mas programado para uso maliciosos.
Talvez uma idéia minha, a princípio seria nestes casos:
- Bateria de alimentação interna
- comunicação por 3G
- mapeamento por GPS para localização do IoT roubado
Desabilitar o uso da porta USB (logicamente ou fisicamente?)
fork removido:
- retirado menu captcha
- retirado menu PHPIDS
- adicionado mais links sobre IoTs