A la luz de los eventos recientes en torno a Mirai, no es la única red de bots de IoT, sino que está unida por IoTroop / IoT_reaper (consulte here y here ), Me pregunté qué pasos deben tomarse para operar de manera segura un dispositivo IoT. Obviamente, no es aconsejable simplemente conectar el dispositivo a su conexión de Internet pública con IP. Pero no creo que este sea el escenario de despliegue habitual. Mi configuración personal es un usuario doméstico bastante típico: ISP - > módem por cable - > enrutador inalámbrico, y todas las computadoras / dispositivos detrás de este enrutador. Esto significa que hay algún cortafuegos entre cualquier dispositivo dado e internet. En lo que respecta a mi experiencia en varias empresas y universidades, hay una cantidad similar de cortafuegos, si enchufas tu dispositivo IoT en cualquiera de los sockets de la red de la empresa.
Entonces, la primera parte equivale a la pregunta: ¿Qué vectores de ataque (red) deben considerarse?
En la configuración mencionada anteriormente, consideré que el dispositivo IoT no es accesible directamente desde Internet. Esto no parece ser cierto en presencia de un enrutador habilitado para UPnP. En varios sitios, descubrí que desactivar UPnP aumenta tu seguridad. Por mi comprensión mediocre de lo que hace UPnP, esto parece muy lógico, ya que no quiero que los dispositivos inseguros hagan agujeros en mi firewall. Pero los mismos sitios que sugieren apagar UPnP, nunca mencionan los posibles efectos secundarios que esto podría tener. (Leí que algún software como Windows Live Messenger se basa en UPnP?)
Sin UPnP, y sin redirigir manualmente los puertos a mi dispositivo IoT, parece que mi dispositivo IoT tendría que hacer conexiones activas. Puedo imaginar dos razones para realizar tales conexiones: conectarse a un mecanismo automático de actualización de firmware y conectarse a un servicio de un fabricante / tercero, lo que permite que el dispositivo esté disponible desde fuera de mi LAN (p. Ej., Como el servicio de Ivideon).
Entonces, la segunda parte de la pregunta es: ¿estas conexiones activas representan una amenaza? (Dado que las cuentas en dichos sitios tienen contraseñas decentes). ¿Es necesario tener miedo de los ataques de intermediarios en el mecanismo de actualización de FW, o imágenes de FW alteradas de manera malintencionada?
¿Pero qué más me estoy perdiendo?
[Por supuesto, hay dos sugerencias más básicas, una que se escucha a diario: cambiar las contraseñas predeterminadas y aplicar actualizaciones de firmware (si el fabricante se preocupa de proporcionarlas). ]