owasp iot top 10 + iotgoat cyber security meeting brazil 3rd 2015

PowerPoint Presentation

Monumentos-s-Bandeiras_-Victor-Brecheret-008-12-Foto-Cecilia-Bastos-48.jpegOWASP IoT Top 10 + IoTGOAT (Ambiente IoT para testes em IoT para aplicaes vulnerveis)

C:\Users\Andreia\Desktop\SHADOWSEC\EVENTO CYBER SEC MEETING BRAZIL\logotipos\CyberSecurityMeetingBrazil.pngC:\Users\rui.lopes\Desktop\imagem sampa.png

3rd Edition

Mauro Risonho de Paula Assumpo aka firebitsChapter LeaderOwasp So Paulo, Brazil Chapter

Monumentos-s-Bandeiras_-Victor-Brecheret-008-12-Foto-Cecilia-Bastos-48.jpeg

Agenda

WHO AM I

IOTBack to the Future (10/21/2015)

Plataform end-to-end model of the foundation

OWASP Internet of Things Project

IoTGOAT

QA

3rd Edition


Pensamento

"Estradas? Para onde vamos no precisamos de estradas."

Dr. Emmett BrownDe Volta para Futuro II

3rd Edition


Mindset

O uso da palavra Hacker para se referir ao violador de segurana uma concluso que vem por parte dos meios de comunicao de massa. Ns, hackers, nos recusamos a reconhecer este significado, e continuamos usando a palavra para indicar algum que ama programar e que gosta de ser hbil e engenhoso.

3rd Edition

Richard StallmanFundador do projeto GNU, e da FS(open source)


WHO AM I

Mauro Risonho de Paula Assumpo aka firebits

Nerd/Autodidata/Entusiasta/Pentester/Analista em Vulnerabilidades/
Security Researcher/Instrutor/Palestrante e Eterno Aprendiz

Senior Information Security Analyst (R&D) (R&D) - Agility Networks, SIS (Reverse Eng. Malwares, Deep Web, VA/VM and Pentest)

3rd Edition

www.agilitynetworks.com.br


3rd Edition


3rd Edition

DRONEDOMSTICO

De Volta para Futuro

Dia 21/10/2015 o Futuro no Filme De volta para o Futuro

Ainda no tempos carros voadores em 2015, mas com transito de So Paulo, imagine um acidente entre carros voadores no ar

Drones domsticos daquele filme, levavam seus cachorros, para passear, mas ser que vo recolher suas necessidades? Muita gente imaginou que isso iria acontecer, talvez um IoT nos dias de hoje.

Dar comida para o cachorro, conforme o filme, seria de forma automatica, talvez isso seria um ancestral de IoTs, no passado.


3rd Edition

De Volta para Futuro

Dia 21/10/2015 o Futuro no Filme De volta para o Futuro

Ainda no tempos carros voadores em 2015, mas com transito de So Paulo, imagine um acidente entre carros voadores no ar

Drones domsticos daquele filme, levavam seus cachorros, para passear, mas ser que vo recolher suas necessidades? Muita gente imaginou que isso iria acontecer, talvez um IoT nos dias de hoje.

Dar comida para o cachorro, conforme o filme, seria de forma automatica, talvez isso seria um ancestral de IoTs, no passado.


3rd Edition

The Intel IoT Platform illustrates an end-to-end model of the foundationhttp://www.fabricatingandmetalworking.com/wp-content/uploads/2015/07/fmaugust1.jpg

IOTs

Esta imagem representa bem, toda a cadeia produtiva, desde os IoTs at os usurios consumidores finais


3rd Edition

https://www.owasp.org/index.php/OWASP_Internet_of_Things_Project


3rd Edition

1 Interfaces Web InsegurasObstaculos- Senhas e Usurios padres de fbrica- Nenhuma conta bloqueada por padro- Vulnerabilidades que j conhecemos pela OWASP (XSS, SQLi, CSRF e outras vulnerabilidades)

Solues- Permitir que usurios e senhas sejam alterados durante a instalao- Habilitar bloqueios de contas no usadas- Conduzir Anlise em Vulnerabilidades em Aplicaes Web com recorrncia.


3rd Edition

2. Autenticao/Autorizao InsuficientesObstaculos- Senhas Fracas- Mecanismos de recuperao de senha so inseguros.- No h opes de segundo fator de autenticao. Solues- Requerer senhas fortes e complexas- Verificar se os mecanismos de senhas so seguros.- Implantar segundo fator de autenticao quando possvel.


3rd Edition

Este item engloba todos os canais de comunicao (nuvem, rede e dispositivos)

3- Servios de redes insegurosObstculos- Portas Abertas desnecessrias- Portas expostas para internet via UPnP (Universal Plug and Play)- Servios de Rede esto expostos ataques DoS (Denial of Service)

Solues- Minimizar a quantidade de portas abertas (hardening)- No utilizar comunicaes via UPnP (Universal Plug and Play)- Revisar/Analisar por vulnerabilidades em servios de rede.


3rd Edition

4 Falta de criptografia de transporteObstculos- Informaes Sensveis vo enviados por texto claro.- SSL/TLS no est disponvel ou configurado corretamente.- Protocolos de criptografia proprietrios so usados.

Solues- Encriptao entre comunicao e componentes do sistema.- Manter implementaes de SSL/TLS- No utilizar solues proprietras de ccriptografia.


3rd Edition

5. Preocupaes com a privacidade

obstculos- Muita informao pessoal coletada- A Informao Coletada no protegida- O usurio final no tem a opo de coleta de determinatos tipos de dados

Solues- Minimizar a quantidade de dados coletados.- Anonimizar os dados coletados- Oferecer aos usurios, a habilidade de decidir quais dados so coletados.


3rd Edition

6. Interfaces Inseguras na Nuvem

Obstculos- Interfaces passam por reviso de cdigo-fonte/anlise em vulnerabilidades (SAST/DAST e at IAST)- Senhas Fracas esto presentes nas APIs- No h presena de segundo fator de autenticao

Solues- Anlise de vulnerabilidades dos ambientes de todas interfaces das nuvens.- Implementar segundo fator de autenticao- Requerer senhas fortes e complexas.


3rd Edition

7. Interfaces Inseguras dispositivos mveis

Obstculos- Senhas Fracas esto presentes- No h presena de segundo fator de autenticao- No requerem senhas fortes e complexas.

Solues- Implementar contas de bloqueio, aps tentativas de logins sem sucesso.- Implementar segundo fator de autenticao- Requerer senhas fortes e complexas.


3rd Edition

8. Configuraes de Segurana InsuficientesObstculos- No h opes de segurana de senhas- No h opes de criptografia- No h opes de segurana para gerao de logs.

Solues- Aumento de segurana, habilitando/criando logs.- Opes para seleo de tipos de criptografia.- Notificar os usurios sobre alertas de segurana.


3rd Edition

OBS: No caso vrios IoTs tem o firmware disponibilizado no site, como qualquer outro equipamento em geral, mas poder ser modificado localmente em outro IoT ou emulador de arquitetura, sendo passvel de ser realizado upload no IoT target via USB, MicroSD e at alguns casos via Wifi, com ou sem interface de gerncia.

O que implica em monitorao contnua fisicamente (via GPS, portas USB, unidades MicroSD e outros) como logicamente via software.

- Instalao de micro-endpoints na bios e no prprio sistema operacional contra APTs

9. Insegurana no Software/FirmwareObstculos- Update em servers no esto seguros- Updates em Devices so transmitidos sem criptografia.- Updates em Devices no so assinados digitalmente pelo seus vendors.

Solues- Assinatura nos updates.- Verificar os updates, se so oficiais do vendor antes de instalar.- Aumentar a segurana dos updates nos servers.


3rd Edition

10. Segurana Fsica PobreObstculos- Portas USB externas desnecessrias- Acesso ao sistema operacionais atravs de mdias mveis.- Inabilidade de limitar capacidades administrativas de uso.

Solues- Minimizar o acesso e quantidade de portas USB.- Proteger de maneira eficiente o sistema operacional.- Inclir a habilidade de limitar capacidades administrativas de uso.


3rd Edition

Tamanhos variados de IoTs facilitam sua implementao nos ambientes, mas em contra partida tambm facilita o roubo ou troca por rogue IoT.

Acabei de cunhar este termo para IoTs, que Rogue IoT onde um IoT autorizado para uso, por ser substituido por um IoT Falso, com mesmo mac address, sistema operacional, interfaces, mas programado para uso maliciosos.


3rd Edition

GPS

Talvez uma idia minha, a princpio seria nestes casos:

- Bateria de alimentao interna- comunicao por 3G- mapeamento por GPS para localizao do IoT roubado


3rd Edition

https://www.youtube.com/watch?v=_TidRpVWXBE

Desabilitar o uso da porta USB (logicamente ou fisicamente?)

Monumentos-s-Bandeiras_-Victor-Brecheret-008-12-Foto-Cecilia-Bastos-48.jpegC:\Users\Andreia\Desktop\SHADOWSEC\EVENTO CYBER SEC MEETING BRAZIL\logotipos\CyberSecurityMeetingBrazil.png

IoTGOAT(DEMO)

C:\Users\rui.lopes\Desktop\imagem sampa.png

3rd Edition

fork removido:- retirado menu captcha- retirado menu PHPIDS- adicionado mais links sobre IoTs


Q/A?

Email [email protected]@firebitsbr

Linkedinhttps://br.linkedin.com/in/firebitsbrBloghttps://firebitsbr.wordpress.com 3rd Edition

[email protected]

Mauro Risonho de Paula Assumpo aka firebits

Chapter Leader Owasp So Paulo, Brazil Chapter
[email protected]

Monumentos-s-Bandeiras_-Victor-Brecheret-008-12-Foto-Cecilia-Bastos-48.jpegC:\Users\Andreia\Desktop\SHADOWSEC\EVENTO CYBER SEC MEETING BRAZIL\logotipos\CyberSecurityMeetingBrazil.png

REFERENCES/THANK YOU

C:\Users\rui.lopes\Desktop\imagem sampa.png

http://resources.infosecinstitute.com/closing-privacy-gap-owasp-iot-top-ten/http://th3-incognito-guy.blogspot.com.br/2014/11/a-walkthrough-of-owasp-iot-internet-of.htmlhttps://www.owasp.org/index.php/OWASP_Internet_of_Things_Top_Ten_Projecthttp://ardiri.com/blog/electric_imp_iot_disgused_as_an_sd_cardhttp://www.google.com.br

3rd Edition

owasp iot top 10 + iotgoat cyber security meeting brazil 3rd 2015

Technology