Cómo proteger mis dispositivos IoT de hackers

La codificación de software seguro es muy costosa porque agregar seguridad al software requiere un desarrollador que esté familiarizado con las vulnerabilidades, cómo los investigadores “como yo” encuentran estas vulnerabilidades, etc.

A los desarrolladores de software se les enseña cómo desarrollar software en un idioma en particular. Para comenzar, cada idioma tiene vulnerabilidades integradas que el desarrollador podría no conocer porque no sigue o estudia la investigación de vulnerabilidades. Por ejemplo, algunas funciones antiguas en C causan un desbordamiento del búfer y en el segundo que un investigador de seguridad lo ve usado en un software, sabe que tiene un posible punto de partida para confundirlo.

Podría seguir, pero entendiste el punto. Para desarrollar seguridad incorporada en sus productos, a sus desarrolladores se les debería enseñar algunas investigaciones básicas de vulnerabilidad para que tengan al menos una idea básica de lo que está sucediendo.

Lonnie

Related Content

¿Qué software / herramientas puedo usar para mejorar la seguridad de mi computadora y la privacidad en línea con un presupuesto ajustado? (por favor vea mi comentario)

¿Qué es el cerber?

¿Qué debo elegir entre seguridad cibernética y desarrollo como carrera?

¿Qué es el virus Swagbucks?

Cómo hacer que mi aplicación web sea más segura

A todos nos gustaría que sus dispositivos IoT sean seguros.

Si lo desea, debe incorporar la seguridad desde el principio … la seguridad no es un complemento o una idea de último momento: es un proceso continuo y parte de su metodología de diseño.

  1. planee actualizar el firmware en sus dispositivos regularmente (también planee actualizar cualquier aplicación que controle los dispositivos)
  2. rastrea y actualiza el software subyacente (muy probablemente un poco de Linux) sobre el que se basa el firmware de su dispositivo. Habrá vulnerabilidades encontradas en él y estará sujeto a ataques ambientales que no son específicos de su dispositivo
  3. Si utiliza componentes OEM como cámaras de Internet que incluyen firmware de un tercero, asegúrese de que puede controlar ese firmware y ejercer presión sobre ellos para corregir los errores de manera oportuna.
  4. Proporcionar una forma clara y positiva para que los hackers de sombrero blanco le informen sobre problemas de seguridad, trátelos como aliados, no como enemigos, y tómelos en serio. Para obtener crédito adicional, establezca una recompensa por errores (consulte Coordinación de vulnerabilidades y Plataforma de recompensa por errores para obtener más información al respecto)
  5. cifre en cualquier lugar posible, nunca envíe datos sin cifrar a través de la web, y asegúrese de que su dispositivo realmente verifique los certificados de cifrado en sus servidores
  6. nunca, nunca use credenciales de inicio de sesión predeterminadas en sus dispositivos
  7. no haga que sus dispositivos hagan más de lo que necesitan o admitan protocolos que no necesitan absolutamente; esto reduce las formas en que se puede atacar el dispositivo
  8. ciertos paquetes de software son más complicados que otros y son más riesgosos de usar, por ejemplo, los analizadores XML han tenido significativamente más vulnerabilidades en el pasado que los analizadores JSON, por lo que, si es posible, sería menos riesgoso usar JSON para representar datos (sin mencionar más rápido y más pequeño)
  9. prueba, prueba, prueba! Ya debe tener un plan para el control de calidad y las pruebas de software y hardware. Asegúrese de probar todos los aspectos de su arquitectura de seguridad como parte de esto.
  10. también necesita probar regularmente (con frecuencia) la seguridad de sus servidores, incluidas las pruebas de penetración (ataques intencionales contra ellos)
  11. sus servidores deben usar software que busque intrusiones y exfiltración de datos; si te resquebrajas necesitas saberlo

Hay demasiados detalles para entrar aquí, y muchos de ellos son específicos del software o del dispositivo. Es fácil sentirse abrumado; es fácil quedar atrapado preocupándose por ataques poco probables y por faltar los obvios. Contrata o contrata a un ingeniero devops experimentado que se especialice en seguridad, o un consultor de seguridad que pueda ayudarte a revisar tu arquitectura y procesos (esta es una de las cosas que hago ocasionalmente). Y por favor, por el bien de todos, tomen esto en serio.

Betty Daaf

Hola a todos,

En Attify, IoT y Mobile Application Security brindamos capacitación práctica y práctica sobre seguridad y explotación de Internet de las cosas (IoT) .

La clase de entrenamiento se desarrolla con el objetivo de que cualquiera que tome la clase pueda atacar y asegurar los dispositivos IoT.

Anteriormente hemos realizado esta capacitación para algunos de los mayores fabricantes de IoT, gobiernos, capacitándonos en conferencias como BlackHat y a través de nuestras clases públicas.

Sobre la clase

La capacitación sobre Explotación ofensiva de IoT es nuestro curso de capacitación sobre seguridad en Internet de las cosas. Es una clase altamente práctica con laboratorios que debe realizar cada asistente para obtener una comprensión profunda de los problemas de seguridad en Internet de las cosas.

Algunas de las habilidades que usted y su equipo aprenderán después de tomar esta clase de capacitación son:

  • Extraiga y analice el firmware del dispositivo.
  • Depuración y desmontaje de binarios
  • Explotar UART, SPI y JTAG
  • Depuración de JTAG, explotación
  • Volcar firmware a través de varias técnicas
  • Depuración de hardware y software
  • Analice la seguridad de los protocolos MQTT, CoAP y M2MXML
  • Ataque en la nube y el componente móvil de un dispositivo IoT
  • Sniff, Replay, MITM y comunicaciones de radio de ataque
  • Explotación de BLE y Zigbee
  • ARM y MIPS marcha atrás
  • Técnicas de ataque convencionales y no convencionales.
  • Escribe exploits para las plataformas
    y más.

La capacitación es impartida por nuestro equipo interno, que también participa activamente en la seguridad de IoT RnD y el pentesting de dispositivos IoT. Esto garantiza que ofrezcamos a los asistentes la capacitación más avanzada y útil posible.

¿Qué tipo de dispositivos y herramientas usaré en la clase?

  • Enrutadores
  • Cámara inteligente IoT / Cámara IP
  • Interruptores inteligentes
  • Bombilla inteligente
  • Sistema de domótica inteligente
  • Smart Home Hub
  • Dispositivo de seguimiento portátil / Fitness
  • Analizador lógico
  • Insignia de Attify
  • JTAGulator
  • Arduino
  • RTL-SDR
  • Kit de pirateo de IoT para todos los asistentes para llevar

¿Quién puede asistir?

  • Ingenieros de seguridad
  • Desarrolladores
  • Entusiastas de IoT

En caso de que desee saber más sobre la seguridad de IoT y comenzar por usted mismo, puede consultar nuestro Blog de seguridad de IoT: Explotación de IoT y Pentesting de seguridad móvil de Attify: Explotación ofensiva de IoT y Pentesting de aplicaciones móviles.

Para obtener más información sobre la clase de capacitación o organizar una sesión corporativa en su organización, puede obtener más información aquí: Explotación ofensiva de IoT.

Si desea enviar a algunos de los miembros de su equipo a nuestras próximas clases públicas, puede encontrar información al respecto aquí: Capacitación en el mundo real.

En cualquier momento, no dude en contactarnos, y nuestro equipo estará encantado de personalizar nuestra capacitación para sus necesidades y también proporcionar información adicional: póngase en contacto.

Berkant Aydin

Dado que IoT también se trata de datos confidenciales, dejar que los datos vaguen libremente en el vasto mundo de Internet seguramente puede destruir sus perspectivas de negocio, ya que un solo ataque DDoS literalmente puede paralizar múltiples redes precisamente debido a tal naturaleza conectada. Por lo tanto, la complejidad del problema de seguridad que genera IoT debe abordarse de inmediato.

Capa de las medidas de seguridad

La seguridad de IoT no es simplemente un proceso de conexión en el que adjuntar algunas herramientas o proporcionar algunos aspectos resolverá el problema. Más bien, la seguridad debe instalarse desde el núcleo, o desde el momento de la fabricación. ARM, por ejemplo, está invirtiendo en garantizar la seguridad de sus chips de silicio durante años. Igual es el caso de Intel. Sin embargo, es un proceso muy complicado y la rápida aparición de IoT ha hecho que sea problemático abordar el problema. No se trata simplemente de activar algunas funciones de seguridad.

Recientemente, el lanzamiento de Open Trust Protocol puede considerarse un evento decisivo en el que la integridad de los datos de IoT y la administración de dispositivos se vuelven más fáciles, más aún debido a su naturaleza de arquitectura abierta. Entonces, una vez que se crean dichas capas y se aseguran los chips junto con los datos y las aplicaciones que los usan desde un nivel de software, la seguridad de IoT comenzará a ser una realidad ya que será posible la protección de extremo a extremo. Es un enfoque holístico clásico hacia la seguridad en el que atraviesa industrias que van desde software hasta semiconductores, servicios en la nube y proveedores de telecomunicaciones. Para reconocer que el sistema IoT las presenta todas es necesario construir una red segura.

Berkant Aydin

Si usted fuera el CEO de un cuerpo gigante, no estaría abordando este tipo de problemas usted mismo. Debería ser cuestión de CTO / VP de Ingeniería, o cualquiera de los ingenieros principales que realmente podrían elaborar el plan real.

  1. Como un cuerpo gigante, probablemente tengas una unidad simplemente para pruebas de seguridad. Permítales reunir informes de vulnerabilidad. Si no está seguro acerca de su instalación de prueba, contrate a un socio profesional.
  2. Las vulnerabilidades conocidas ahora deben ser abordadas por el equipo de ingeniería. Estoy bastante seguro de que, como un cuerpo gigante, tienes muchos ingenieros por encima del promedio del mercado, por lo que podrían ofrecer fácilmente soluciones a los problemas encontrados.
  3. Implemente la próxima versión interna y comience el proceso nuevamente. Cuando bueno, déjalo salir.

Como esta pregunta es demasiado genérica, será muy difícil responder con más detalles. Hay demasiadas maneras de construir dispositivos, construir la infraestructura, construir la capa de comunicación … y así sucesivamente, en cada paso podría tener una vulnerabilidad absolutamente única.

Techiexpert

Sí hay.

Attify proporciona servicios de prueba de penetración IOT más capacitación profesional en eventos BlackHat.

Puede consultar los siguientes enlaces:

PRUEBAS DE PENETRACIÓN IoT

Black Hat USA 2016

Berkant Aydin

Lo primero que puede hacer es deshabilitar cualquier cuenta de administrador asociada con los dispositivos IoT. Las cuentas de administrador son malas noticias de un punto de vista de seguridad. Son cuentas con nombre de usuario: Contraseña de administrador: contraseña (o alguna otra contraseña fácil de adivinar)

A continuación, diría que tengo un generador de contraseñas aleatorias, pero en lugar de generar contraseñas aleatorias de solo 8 caracteres, diría que las aleatorice entre 10 y 15 caracteres. Es mucho más difícil adivinar o fuerza bruta una contraseña cuando no sabes cuántos caracteres contiene.

Diría que imprima las contraseñas aleatorias en calcomanías (que pegaría en el interior de la caja) o en tarjetas de presentación que podrían empaquetarse junto con sus productos IoT.

Luego, asegúrese de que su dispositivo utilice cifrado de extremo a extremo; esto evitará los ataques de intermediarios.

Obviamente, programe la cuenta del dispositivo IoT para estas contraseñas aleatorias en el dispositivo IoT real, y asegúrese de que se solicite al usuario que las cambie cuando las active y luego cada 6 meses -1 año a partir de entonces. Aplique buenas contraseñas y validación de longitud, si ingresan, digamos una contraseña de 4 caracteres, haga que la aplicación con la que están conectados arroje un error y no acepte el cambio. Asegúrese de que la nueva contraseña sea al menos tan segura como la contraseña anterior. (contraseña preestablecida de fábrica)

Por último, supervisaría a Shodan y me aseguraría de que ninguno de sus dispositivos se muestre allí y tal vez emplee los servicios de un hacker de sombrero blanco (hay muchos disponibles) para intentar entrar en sus dispositivos. Desafortunadamente, nada es 100% seguro, pero si hace que sus productos sean lo suficientemente difíciles de piratear, los hackers intentarán otra cosa.

Betty Daaf

Si el CEO de una gran empresa contrata hackers de sombrero blanco, podrán decirle cómo y qué debe hacerse.

Como CEO de una “empresa gigante de los EE. UU.”, No te culpo por publicar Anonymous, no compraría a una empresa que celebre y limite la seguridad.

oq: ¿Cómo puedo proteger mis dispositivos IoT de los hackers?

No quiero revelar cosas sobre mí porque soy el CEO de una compañía gigante de EE. UU. Proporcionamos dispositivos IoT al público. Anterior y actualmente también hay muchas vulnerabilidades encontradas en nuestros productos. Quiero asegurarlos ¿Hay alguna capacitación a nivel corporativo o industrial disponible?

Rasmus Kuusmann

Por qué no haces una auditoría de seguridad. Todos sus equipos deben saber qué puertos están abiertos y, al final, la debilidad y vulnerabilidad deben presentar un informe completo de dos, lo que han encontrado en el segundo informe detallado que resuelve las vulnerabilidades. Antes de comenzar, debe consultar con su posterior acerca de un acuerdo muy estricto de no divulgar información, etc. Para ir más allá después de que terminen, solicite a un hacker blanco que realice una prueba de penetración en todos sus dispositivos sensibles.

Mejor por ahora

Berkant Aydin

Puede crear un taller como el evento “cazarrecompensas”. Buen exploit, buen precio.

Si puedes hackear, también puedes arreglarlo. Otras manos; sigue siendo el precio más bajo si se compara a corto plazo …

Si trabajas con militares o algo así; puedes firmar un contrato para eso.

Rasmus Kuusmann

More Interesting

¿Cuál es su opinión sobre los administradores de contraseñas?

¿Usar una herramienta de administrador de contraseñas se parece mucho a poner todos tus huevos en una canasta?

¿Qué antivirus deberías elegir?

¿Cuál es la importancia del cifrado de la base de datos y cómo es útil?

¿Cuál es un mejor curso, ciencia de datos, big data o ciberseguridad?

¿Cuál es la mejor manera de protegerse contra un ataque de contraseña de fuerza bruta?

Cómo detectar y eliminar un virus informático

¿Cuál es la solución para eliminar este ransomware?

Además del bloqueo de puertos, ¿qué tipo de seguridad proporciona Amazon Web Services?

¿Qué son los virus de registro de arranque maestro?

¿Es seguro usar antivirus gratuitos?

¿Cómo pudo Apple instalar remotamente la actualización crítica de seguridad NTP en OS X (diciembre de 2014)?

¿Deben las tarjetas de identificación de la compañía tener el nombre o el logotipo de la compañía?

¿Cómo funciona la autenticación kerberos?

En términos de seguridad, ¿está Windows mal diseñado en comparación con un sistema operativo basado en Unix?