¿Cuáles son las vulnerabilidades más comunes para dispositivos de IoT mal diseñados? [cerrado]

Navega tus respuestas
0

Estoy aprendiendo a proteger dispositivos IoT y estoy empezando a aprender cómo desarrollar mi propio software para ellos.

Quería saber cuáles son las vulnerabilidades más comunes que cualquier scriptkiddie podría explotar y cómo conocerlas en términos generales.

Estoy en una etapa muy inicial, por lo que cualquier sugerencia o información relacionada con:

  • Vulnerabilidades populares en dispositivos o marcas
  • Asegurar el software típico para cámaras / sensores / dispositivos pequeños ...
  • Herramientas para pentesting dispositivos / ejemplos
pregunta David Rivas 20.04.2018 - 10:31
fuente

2 respuestas

2

La vulnerabilidad más común es la ausencia de seguridad. Muchas marcas solo:

  • coloca un servidor web completamente inseguro en sus dispositivos.
  • coloque las contraseñas codificadas en texto sin formato en su código para "acceso de mantenimiento".
  • problemas estándar como el desbordamiento de búfer.
  • la funcionalidad de actualización del firmware es a menudo vulnerable
  • la firma de una actualización se verificó en el pasado como una firma válida, pero el certificado en sí no se verificó en cuanto a su validez. Así que cualquier certificado autofirmado proporcionó acceso.

Para las mejores prácticas, intente mantener su código simple y autenticar todo. Probablemente no habrá necesidad de incluir algo como un servidor web en una cámara y esto trae muchas vulnerabilidades. Además, recuerde que es posible que los usuarios no actualicen nunca su firmware, por lo que mantener los errores al mínimo al hacer que el dispositivo sea simplista es una buena idea.

PS: También autentíquese usando algo como HMAC, ya que su conexión probablemente no será segura. Debes evitar el envío de contraseñas.

PPS: si quieres algún tipo de acceso de desarrollador, usa criptografía de clave pública y siempre incluye una opción para desactivarlo .

    
respondido por el Peter Harmann 20.04.2018 - 10:37
fuente
1

La respuesta de Peter es buena y cubre la mayoría de los problemas. El usuario final típico también debe ser tomado en consideración. El problema con los dispositivos IoT es que muchos de ellos hacen algo que el usuario final no percibe como procesamiento de datos. Por lo tanto, podrían usarse como el elemento anterior a su nueva versión inteligente, dejando la contraseña predeterminada tal como está.

Como desarrollador, usar una contraseña predeterminada común para todos los dispositivos no es una buena práctica. Mejores alternativas incluyen:

  • utilizando una contraseña aleatoria mostrada al usuario en la configuración inicial
  • obligando al usuario a elegir su propia contraseña durante la configuración inicial
  • utilizando contraseñas predeterminadas calculadas desde, por ejemplo, Dispositivo S / N y / o dirección MAC usando algoritmo complejo. Dicha contraseña se puede imprimir en una etiqueta fuera del dispositivo y sobrevivirá a los reinicios y las actualizaciones de firmware.
respondido por el Esa Jokinen 20.04.2018 - 11:39
fuente

Lea otras preguntas en las etiquetas

Generar una lista de palabras usando John the Ripper ¿Por qué el escáner de huellas dactilares no funciona después de reiniciar en Mis teléfonos?