Owasp IoT top 10 + IoTGOAT Cyber Security Meeting Brazil 3rd 2015
•Als ODP, PDF herunterladen•
4 gefällt mir•1,118 views
O documento apresenta o projeto OWASP IoT Top 10 e o ambiente IoTGOAT para testes de segurança em dispositivos IoT. O palestrante discute os riscos de segurança na Internet das Coisas e demonstra o IoTGOAT, um ambiente para executar vulnerabilidades comuns em dispositivos IoT. O objetivo é aumentar a conscientização sobre a segurança nesta área em rápida evolução.
Empfohlen
Empfohlen
Weitere ähnliche Inhalte
Andere mochten auch
Andere mochten auch (19)
Ähnlich wie Owasp IoT top 10 + IoTGOAT Cyber Security Meeting Brazil 3rd 2015
Ähnlich wie Owasp IoT top 10 + IoTGOAT Cyber Security Meeting Brazil 3rd 2015 (20)
Mehr von Mauro Risonho de Paula Assumpcao
Mehr von Mauro Risonho de Paula Assumpcao (20)
Owasp IoT top 10 + IoTGOAT Cyber Security Meeting Brazil 3rd 2015
- 1. OWASP IoT Top 10 + IoTGOATOWASP IoT Top 10 + IoTGOAT (Ambiente IoT para testes em IoT para(Ambiente IoT para testes em IoT para aplicações vulneráveis)aplicações vulneráveis) 3rd Edition Mauro Risonho de Paula Assumpção aka firebits Chapter Leader Owasp São Paulo, Brazil Chapter
- 2. AgendaAgenda ● WHO AM I ● IOT ● Back to the Future (10/21/2015) ● Plataform end-to-end model of the foundation ● OWASP Internet of Things Project ● IoTGOAT ● QA 3rd Edition
- 3. PensamentoPensamento "Estradas? Para onde vamos não precisamos de estradas." Dr. Emmett Brown De Volta para Futuro II 3rd Edition
- 4. MindsetMindset O uso da palavra Hacker para se referir ao violador de segurança é uma conclusão que vem por parte dos meios de comunicação de massa. Nós, hackers, nos recusamos a reconhecer este significado, e continuamos usando a palavra para indicar alguém que ama programar e que gosta de ser hábil e engenhoso. 3rd Edition Richard Stallman Fundador do projeto GNU, e da FS (open source)
- 5. WHO AM IWHO AM I ● Mauro Risonho de Paula Assumpção aka firebits ● Nerd/Autodidata/Entusiasta/Pentester/An alista em Vulnerabilidades/ Security Researcher/Instrutor/Palestrante e Eterno Aprendiz ● Senior Information Security Analyst (R&D) (R&D) - Agility Networks, SIS (Reverse Eng. Malwares, Deep Web, VA/VM and Pentest) 3rd Edition www.agilitynetworks.com.br
- 6. 3rd Edition
- 8. 3rd Edition
- 9. 3rd Edition The Intel® IoT Platform illustrates an end-to-end model of the foundation http://www.fabricatingandmetalworking.com/wp-content/uploads/2015/07/fmaugust1.jpg IOTs
- 11. 3rd Edition
- 12. 3rd Edition
- 13. 3rd Edition
- 14. 3rd Edition
- 15. 3rd Edition
- 16. 3rd Edition
- 17. 3rd Edition
- 18. 3rd Edition
- 19. 3rd Edition
- 20. 3rd Edition
- 21. 3rd Edition
- 22. 3rd Edition GPS
- 25. Q/A?Q/A? Email mauro.risonho@gmail.com Twitter @firebitsbr Linkedin https://br.linkedin.com/in/firebitsbr Blog https://firebitsbr.wordpress.com 3rd Edition www.agilitynetworks.com.br mauro.assumpcao@agilitynetworks.com.br Mauro Risonho de Paula Assumpção aka firebits Chapter Leader Owasp São Paulo, Brazil Chapter mauro.risonho@owasp.org
Hinweis der Redaktion
- De Volta para Futuro Dia 21/10/2015 é o “Futuro” no Filme “De volta para o Futuro” Ainda não tempos “carros voadores” em 2015, mas com transito de São Paulo, imagine um acidente entre carros voadores no ar… Drones domésticos daquele filme, levavam seus cachorros, para passear, mas será que vão recolher suas necessidades? Muita gente imaginou que isso iria acontecer, talvez um IoT nos dias de hoje. Dar comida para o cachorro, conforme o filme, seria de forma automatica, talvez isso seria um ancestral de IoTs, no passado.
- De Volta para Futuro Dia 21/10/2015 é o “Futuro” no Filme “De volta para o Futuro” Ainda não tempos “carros voadores” em 2015, mas com transito de São Paulo, imagine um acidente entre carros voadores no ar… Drones domésticos daquele filme, levavam seus cachorros, para passear, mas será que vão recolher suas necessidades? Muita gente imaginou que isso iria acontecer, talvez um IoT nos dias de hoje. Dar comida para o cachorro, conforme o filme, seria de forma automatica, talvez isso seria um ancestral de IoTs, no passado.
- Esta imagem representa bem, toda a cadeia produtiva, desde os IoTs até os usuários consumidores finais
- 1 Interfaces Web Inseguras Obstaculos - Senhas e Usuários padrões de fábrica - Nenhuma conta bloqueada por padrão - Vulnerabilidades que já conhecemos pela OWASP (XSS, SQLi, CSRF e outras vulnerabilidades) Soluções - Permitir que usuários e senhas sejam alterados durante a instalação - Habilitar bloqueios de contas não usadas - Conduzir Análise em Vulnerabilidades em Aplicações Web com recorrência.
- 2. Autenticação/Autorização Insuficientes Obstaculos - Senhas Fracas - Mecanismos de recuperação de senha são inseguros. - Não há opções de segundo fator de autenticação. Soluções - Requerer senhas fortes e complexas - Verificar se os mecanismos de senhas são seguros. - Implantar segundo fator de autenticação quando possível.
- Este item engloba todos os canais de comunicação (nuvem, rede e dispositivos) 3- Serviços de redes inseguros Obstâculos - Portas Abertas desnecessárias - Portas expostas para internet via UPnP (Universal Plug and Play) - Serviços de Rede estão expostos à ataques DoS (Denial of Service) Soluções - Minimizar a quantidade de portas abertas (hardening) - Não utilizar comunicações via UPnP (Universal Plug and Play) - Revisar/Analisar por vulnerabilidades em serviços de rede.
- 4 Falta de criptografia de transporte Obstâculos - Informações Sensíveis vão enviados por texto claro. - SSL/TLS não está disponível ou configurado corretamente. - Protocolos de criptografia proprietários são usados. Soluções - Encriptação entre comunicação e componentes do sistema. - Manter implementações de SSL/TLS - Não utilizar soluções proprietáras de ccriptografia.
- 5. Preocupações com a privacidade obstâculos - Muita informação pessoal é coletada - A Informação Coletada não é protegida - O usuário final não tem a opção de coleta de determinatos tipos de dados Soluções - Minimizar a quantidade de dados coletados. - Anonimizar os dados coletados - Oferecer aos usuários, a habilidade de decidir quais dados são coletados.
- 6. Interfaces Inseguras na Nuvem Obstâculos - Interfaces passam por revisão de código-fonte/análise em vulnerabilidades (SAST/DAST e até IAST) - Senhas Fracas estão presentes nas APIs - Não há presença de segundo fator de autenticação Soluções - Análise de vulnerabilidades dos ambientes de todas interfaces das nuvens. - Implementar segundo fator de autenticação - Requerer senhas fortes e complexas.
- 7. Interfaces Inseguras dispositivos móveis Obstâculos - Senhas Fracas estão presentes - Não há presença de segundo fator de autenticação - Não requerem senhas fortes e complexas. Soluções - Implementar contas de bloqueio, após tentativas de logins sem sucesso. - Implementar segundo fator de autenticação - Requerer senhas fortes e complexas.
- 8. Configurações de Segurança Insuficientes Obstâculos - Não há opções de segurança de senhas - Não há opções de criptografia - Não há opções de segurança para geração de logs. Soluções - Aumento de segurança, habilitando/criando logs. - Opções para seleção de tipos de criptografia. - Notificar os usuários sobre alertas de segurança.
- OBS: No caso vários IoTs tem o firmware é disponibilizado no site, como qualquer outro equipamento em geral, mas poderá ser modificado localmente em outro IoT ou emulador de arquitetura, sendo passível de ser realizado upload no IoT target via USB, MicroSD e até alguns casos via Wifi, com ou sem interface de gerência. O que implica em monitoração contínua fisicamente (via GPS, portas USB, unidades MicroSD e outros) como logicamente via software. - Instalação de micro-endpoints na bios e no próprio sistema operacional contra APTs 9. Insegurança no Software/Firmware Obstâculos - Update em servers não estão seguros - Updates em Devices são transmitidos sem criptografia. - Updates em Devices não são assinados digitalmente pelo seus vendors. Soluções - Assinatura nos updates. - Verificar os updates, se são oficiais do vendor antes de instalar. - Aumentar a segurança dos updates nos servers.
- 10. Segurança Física Pobre Obstâculos - Portas USB externas desnecessárias - Acesso ao sistema operacionais através de mídias móveis. - Inabilidade de limitar capacidades administrativas de uso. Soluções - Minimizar o acesso e quantidade de portas USB. - Proteger de maneira eficiente o sistema operacional. - Inclir a habilidade de limitar capacidades administrativas de uso.
- Tamanhos variados de IoTs facilitam sua implementação nos ambientes, mas em contra partida também facilita o roubo ou troca por “rogue IoT”. Acabei de cunhar este termo para IoTs, que é “Rogue IoT” onde um IoT autorizado para uso, por ser substituido por um “IoT Falso”, com mesmo mac address, sistema operacional, interfaces, mas programado para uso maliciosos.
- Talvez uma idéia minha, a princípio seria nestes casos: - Bateria de alimentação interna - comunicação por 3G - mapeamento por GPS para localização do IoT roubado
- Desabilitar o uso da porta USB (logicamente ou fisicamente?)
- fork removido: - retirado menu captcha - retirado menu PHPIDS - adicionado mais links sobre IoTs