Owasp IoT top 10 + IoTGOAT Cyber Security Meeting Brazil 3rd 2015
-
Upload
mauro-risonho-de-paula-assumpcao -
Category
Technology
-
view
699 -
download
2
Transcript of Owasp IoT top 10 + IoTGOAT Cyber Security Meeting Brazil 3rd 2015
PowerPoint Presentation
Monumentos-s-Bandeiras_-Victor-Brecheret-008-12-Foto-Cecilia-Bastos-48.jpegOWASP IoT Top 10 + IoTGOAT (Ambiente IoT para testes em IoT para aplicaes vulnerveis)
C:\Users\Andreia\Desktop\SHADOWSEC\EVENTO CYBER SEC MEETING BRAZIL\logotipos\CyberSecurityMeetingBrazil.pngC:\Users\rui.lopes\Desktop\imagem sampa.png
3rd Edition
Mauro Risonho de Paula Assumpo aka firebitsChapter LeaderOwasp So Paulo, Brazil Chapter
Monumentos-s-Bandeiras_-Victor-Brecheret-008-12-Foto-Cecilia-Bastos-48.jpeg
Agenda
WHO AM I
IOTBack to the Future (10/21/2015)
Plataform end-to-end model of the foundation
OWASP Internet of Things Project
IoTGOAT
QA
3rd Edition
Monumentos-s-Bandeiras_-Victor-Brecheret-008-12-Foto-Cecilia-Bastos-48.jpeg
Pensamento
"Estradas? Para onde vamos no precisamos de estradas."
Dr. Emmett BrownDe Volta para Futuro II
3rd Edition
Monumentos-s-Bandeiras_-Victor-Brecheret-008-12-Foto-Cecilia-Bastos-48.jpeg
Mindset
O uso da palavra Hacker para se referir ao violador de segurana uma concluso que vem por parte dos meios de comunicao de massa. Ns, hackers, nos recusamos a reconhecer este significado, e continuamos usando a palavra para indicar algum que ama programar e que gosta de ser hbil e engenhoso.
3rd Edition
Richard StallmanFundador do projeto GNU, e da FS(open source)
Monumentos-s-Bandeiras_-Victor-Brecheret-008-12-Foto-Cecilia-Bastos-48.jpeg
WHO AM I
Mauro Risonho de Paula Assumpo aka firebits
Nerd/Autodidata/Entusiasta/Pentester/Analista em
Vulnerabilidades/
Security Researcher/Instrutor/Palestrante e Eterno Aprendiz
Senior Information Security Analyst (R&D) (R&D) - Agility Networks, SIS (Reverse Eng. Malwares, Deep Web, VA/VM and Pentest)
3rd Edition
www.agilitynetworks.com.br
Monumentos-s-Bandeiras_-Victor-Brecheret-008-12-Foto-Cecilia-Bastos-48.jpeg
3rd Edition
Monumentos-s-Bandeiras_-Victor-Brecheret-008-12-Foto-Cecilia-Bastos-48.jpeg
3rd Edition
DRONEDOMSTICO
De Volta para Futuro
Dia 21/10/2015 o Futuro no Filme De volta para o Futuro
Ainda no tempos carros voadores em 2015, mas com transito de So Paulo, imagine um acidente entre carros voadores no ar
Drones domsticos daquele filme, levavam seus cachorros, para passear, mas ser que vo recolher suas necessidades? Muita gente imaginou que isso iria acontecer, talvez um IoT nos dias de hoje.
Dar comida para o cachorro, conforme o filme, seria de forma automatica, talvez isso seria um ancestral de IoTs, no passado.
Monumentos-s-Bandeiras_-Victor-Brecheret-008-12-Foto-Cecilia-Bastos-48.jpeg
3rd Edition
De Volta para Futuro
Dia 21/10/2015 o Futuro no Filme De volta para o Futuro
Ainda no tempos carros voadores em 2015, mas com transito de So Paulo, imagine um acidente entre carros voadores no ar
Drones domsticos daquele filme, levavam seus cachorros, para passear, mas ser que vo recolher suas necessidades? Muita gente imaginou que isso iria acontecer, talvez um IoT nos dias de hoje.
Dar comida para o cachorro, conforme o filme, seria de forma automatica, talvez isso seria um ancestral de IoTs, no passado.
Monumentos-s-Bandeiras_-Victor-Brecheret-008-12-Foto-Cecilia-Bastos-48.jpeg
3rd Edition
The Intel IoT Platform illustrates an end-to-end model of the foundationhttp://www.fabricatingandmetalworking.com/wp-content/uploads/2015/07/fmaugust1.jpg
IOTs
Esta imagem representa bem, toda a cadeia produtiva, desde os IoTs at os usurios consumidores finais
Monumentos-s-Bandeiras_-Victor-Brecheret-008-12-Foto-Cecilia-Bastos-48.jpeg
3rd Edition
https://www.owasp.org/index.php/OWASP_Internet_of_Things_Project
Monumentos-s-Bandeiras_-Victor-Brecheret-008-12-Foto-Cecilia-Bastos-48.jpeg
3rd Edition
1 Interfaces Web InsegurasObstaculos- Senhas e Usurios padres de fbrica- Nenhuma conta bloqueada por padro- Vulnerabilidades que j conhecemos pela OWASP (XSS, SQLi, CSRF e outras vulnerabilidades)
Solues- Permitir que usurios e senhas sejam alterados durante a instalao- Habilitar bloqueios de contas no usadas- Conduzir Anlise em Vulnerabilidades em Aplicaes Web com recorrncia.
Monumentos-s-Bandeiras_-Victor-Brecheret-008-12-Foto-Cecilia-Bastos-48.jpeg
3rd Edition
2. Autenticao/Autorizao InsuficientesObstaculos- Senhas Fracas- Mecanismos de recuperao de senha so inseguros.- No h opes de segundo fator de autenticao. Solues- Requerer senhas fortes e complexas- Verificar se os mecanismos de senhas so seguros.- Implantar segundo fator de autenticao quando possvel.
Monumentos-s-Bandeiras_-Victor-Brecheret-008-12-Foto-Cecilia-Bastos-48.jpeg
3rd Edition
Este item engloba todos os canais de comunicao (nuvem, rede e dispositivos)
3- Servios de redes insegurosObstculos- Portas Abertas desnecessrias- Portas expostas para internet via UPnP (Universal Plug and Play)- Servios de Rede esto expostos ataques DoS (Denial of Service)
Solues- Minimizar a quantidade de portas abertas (hardening)- No utilizar comunicaes via UPnP (Universal Plug and Play)- Revisar/Analisar por vulnerabilidades em servios de rede.
Monumentos-s-Bandeiras_-Victor-Brecheret-008-12-Foto-Cecilia-Bastos-48.jpeg
3rd Edition
4 Falta de criptografia de transporteObstculos- Informaes Sensveis vo enviados por texto claro.- SSL/TLS no est disponvel ou configurado corretamente.- Protocolos de criptografia proprietrios so usados.
Solues- Encriptao entre comunicao e componentes do sistema.- Manter implementaes de SSL/TLS- No utilizar solues proprietras de ccriptografia.
Monumentos-s-Bandeiras_-Victor-Brecheret-008-12-Foto-Cecilia-Bastos-48.jpeg
3rd Edition
5. Preocupaes com a privacidade
obstculos- Muita informao pessoal coletada- A Informao Coletada no protegida- O usurio final no tem a opo de coleta de determinatos tipos de dados
Solues- Minimizar a quantidade de dados coletados.- Anonimizar os dados coletados- Oferecer aos usurios, a habilidade de decidir quais dados so coletados.
Monumentos-s-Bandeiras_-Victor-Brecheret-008-12-Foto-Cecilia-Bastos-48.jpeg
3rd Edition
6. Interfaces Inseguras na Nuvem
Obstculos- Interfaces passam por reviso de cdigo-fonte/anlise em vulnerabilidades (SAST/DAST e at IAST)- Senhas Fracas esto presentes nas APIs- No h presena de segundo fator de autenticao
Solues- Anlise de vulnerabilidades dos ambientes de todas interfaces das nuvens.- Implementar segundo fator de autenticao- Requerer senhas fortes e complexas.
Monumentos-s-Bandeiras_-Victor-Brecheret-008-12-Foto-Cecilia-Bastos-48.jpeg
3rd Edition
7. Interfaces Inseguras dispositivos mveis
Obstculos- Senhas Fracas esto presentes- No h presena de segundo fator de autenticao- No requerem senhas fortes e complexas.
Solues- Implementar contas de bloqueio, aps tentativas de logins sem sucesso.- Implementar segundo fator de autenticao- Requerer senhas fortes e complexas.
Monumentos-s-Bandeiras_-Victor-Brecheret-008-12-Foto-Cecilia-Bastos-48.jpeg
3rd Edition
8. Configuraes de Segurana InsuficientesObstculos- No h opes de segurana de senhas- No h opes de criptografia- No h opes de segurana para gerao de logs.
Solues- Aumento de segurana, habilitando/criando logs.- Opes para seleo de tipos de criptografia.- Notificar os usurios sobre alertas de segurana.
Monumentos-s-Bandeiras_-Victor-Brecheret-008-12-Foto-Cecilia-Bastos-48.jpeg
3rd Edition
OBS: No caso vrios IoTs tem o firmware disponibilizado no site, como qualquer outro equipamento em geral, mas poder ser modificado localmente em outro IoT ou emulador de arquitetura, sendo passvel de ser realizado upload no IoT target via USB, MicroSD e at alguns casos via Wifi, com ou sem interface de gerncia.
O que implica em monitorao contnua fisicamente (via GPS, portas USB, unidades MicroSD e outros) como logicamente via software.
- Instalao de micro-endpoints na bios e no prprio sistema operacional contra APTs
9. Insegurana no Software/FirmwareObstculos- Update em servers no esto seguros- Updates em Devices so transmitidos sem criptografia.- Updates em Devices no so assinados digitalmente pelo seus vendors.
Solues- Assinatura nos updates.- Verificar os updates, se so oficiais do vendor antes de instalar.- Aumentar a segurana dos updates nos servers.
Monumentos-s-Bandeiras_-Victor-Brecheret-008-12-Foto-Cecilia-Bastos-48.jpeg
3rd Edition
10. Segurana Fsica PobreObstculos- Portas USB externas desnecessrias- Acesso ao sistema operacionais atravs de mdias mveis.- Inabilidade de limitar capacidades administrativas de uso.
Solues- Minimizar o acesso e quantidade de portas USB.- Proteger de maneira eficiente o sistema operacional.- Inclir a habilidade de limitar capacidades administrativas de uso.
Monumentos-s-Bandeiras_-Victor-Brecheret-008-12-Foto-Cecilia-Bastos-48.jpeg
3rd Edition
Tamanhos variados de IoTs facilitam sua implementao nos ambientes, mas em contra partida tambm facilita o roubo ou troca por rogue IoT.
Acabei de cunhar este termo para IoTs, que Rogue IoT onde um IoT autorizado para uso, por ser substituido por um IoT Falso, com mesmo mac address, sistema operacional, interfaces, mas programado para uso maliciosos.
Monumentos-s-Bandeiras_-Victor-Brecheret-008-12-Foto-Cecilia-Bastos-48.jpeg
3rd Edition
GPS
Talvez uma idia minha, a princpio seria nestes casos:
- Bateria de alimentao interna- comunicao por 3G- mapeamento por GPS para localizao do IoT roubado
Monumentos-s-Bandeiras_-Victor-Brecheret-008-12-Foto-Cecilia-Bastos-48.jpeg
3rd Edition
https://www.youtube.com/watch?v=_TidRpVWXBE
Desabilitar o uso da porta USB (logicamente ou fisicamente?)
Monumentos-s-Bandeiras_-Victor-Brecheret-008-12-Foto-Cecilia-Bastos-48.jpegC:\Users\Andreia\Desktop\SHADOWSEC\EVENTO CYBER SEC MEETING BRAZIL\logotipos\CyberSecurityMeetingBrazil.png
IoTGOAT(DEMO)
C:\Users\rui.lopes\Desktop\imagem sampa.png
3rd Edition
fork removido:- retirado menu captcha- retirado menu PHPIDS- adicionado mais links sobre IoTs
Monumentos-s-Bandeiras_-Victor-Brecheret-008-12-Foto-Cecilia-Bastos-48.jpeg
Q/A?
Email [email protected]@firebitsbr
Linkedinhttps://br.linkedin.com/in/firebitsbrBloghttps://firebitsbr.wordpress.com 3rd Edition
Mauro Risonho de Paula Assumpo aka firebits
Chapter Leader Owasp So Paulo, Brazil Chapter
[email protected]
Monumentos-s-Bandeiras_-Victor-Brecheret-008-12-Foto-Cecilia-Bastos-48.jpegC:\Users\Andreia\Desktop\SHADOWSEC\EVENTO CYBER SEC MEETING BRAZIL\logotipos\CyberSecurityMeetingBrazil.png
REFERENCES/THANK YOU
C:\Users\rui.lopes\Desktop\imagem sampa.png
http://resources.infosecinstitute.com/closing-privacy-gap-owasp-iot-top-ten/http://th3-incognito-guy.blogspot.com.br/2014/11/a-walkthrough-of-owasp-iot-internet-of.htmlhttps://www.owasp.org/index.php/OWASP_Internet_of_Things_Top_Ten_Projecthttp://ardiri.com/blog/electric_imp_iot_disgused_as_an_sd_cardhttp://www.google.com.br
3rd Edition