Интернет уязвимых вещей
TRANSCRIPT
Software quality assurance days20 Международная конференция по вопросам качества ПОsqadays.com
Минск. 24–26 ноября 2016
Катерина ОвеченкоITERA. Киев, Украина
Интернет уязвимых вещей
Интернет уязвимых вещей
ВЗЛОМ SAMSUNG IOT ПЛАТФОРМЫ
WEB THINGS
EMBEDDED SYSTEMS
Интернет уязвимых вещей
(ВСТРОЕННЫЕ СИСТЕМЫ)
(ВЕБ ВЕЩЕЙ)
ОСНОВНЫЕ РИСКИ
Интернет уязвимых вещей
Вопросы конфиден-циальности
Перебои и DOS атаки
Понимание всех последствий уязвимости
Процесс управления IoT уявимостями
Спрос на увеличение пропускной способности сети
TOP 10 УЯЗВИМОСТЕЙ IOT УСТРОЙСТВ (OWASP)
Интернет уязвимых вещей
Веб и мобильные интерфейсы
Облако Сеть и передача
Умные устройства
I1 Ненадежные веб интерфейсыInsecure web interfaces
I6 Ненадежный облачный интерфейс Insecure cloud interface
I2 Недостаточная аутентификация и авторизацияInsufficient authentication/authorization
I7 Ненадежный мобильный интерфейс Insecure mobile interface
I3 Ненадежные сетевые сервисы Insecure network services
I8 Недостаточная конфигурируемость безопасности Insufficient security configurability
I4 Отсутствие траспортного шифрованияLack of transport encryption
I9 Ненадежное ПО\ прошивка Insecure software/firmware
I5 Вопросы конфиденциальности Privacy concerns
I10 Недостаточная физическая безопасность Poor physical security
Интернет уязвимых вещей
I2 Недостаточная аутентификация и авторизация(Insufficient authentication/authorization)
Основные проблемы•Недостаточная сложность пароля•Стандартные логины/ пароли•Учетные данные не защищены при передаче•Небезопасный механизм восстановления пароля•Отсутвие управления доступом на основе ролей
I5 Вопросы конфиденциальности (Privacy concerns)
Интернет уязвимых вещей
Основные проблемы•Слишком много личных данных собирается•Данные не защищены при хранении и при передаче•У пользователей нет возможности отказаться от сбора определнных данных
Что и как проверять?•Политика конфиденциальности•HTTPS и алгоритмы шифрования•Роли и уровни доступа
Интернет уязвимых вещей
I8 Недостаточная конфигурируемость безопасности (Insufficient security configurability)
Основные проблемы•Отсутвие возможности поменять настройки безопасности•Отсутсвие разделенных моделей прав и ролей•Отсутствие параметров безопасности паролей•Отсутвие мониторинга и логирования
Интернет уязвимых вещей
Основные проблемы•Наличие механизма обновления•Устройство может быть быстро обновлено при обнаружении уязвимостей•файлы обновления зашифрованы и передаются через защищенный канал•Файлы обновления подписаны и подпись проверяется перед установкой•Файлы обновления не содержат конфиденциальную информацию
I9 Ненадежное ПО/ прошивка
(insecure software/firmware)
Интернет уязвимых вещей
Основные проблемы•Легко получить доступ к носителю информации (например, SD-карте)•Данные хранятся в незашифрованном виде•USB и аналогичные порты незащищены•Добавление ненужных портов на устройство
I10 Недостаточная физическая безопасность (poor physical security)
Интернет уязвимых вещей
Для безопасности IOT девайсов нужно менять подходы к их разработке
1. Фокус на безопаность с первого дня2. Долгосрочная поддержка3. Знай своего врага4. Будьте готовы к уязвимостям
Интернет уязвимых вещей
Следующие шаги
Теория•OWASP IOT Project•ISACA
Практика•Bug Bounty
