Pentesting IOT (Internet de las Cosas)
Cada día aumentan más los dispositivos conectados a nuestra vida. La superficie de ataque es inmensa: Internet, dispositivos móviles, Bluetooth, protocolos de RF personalizados, DAB, archivos multimedia USB importados, diagnósticos remotos, telemática, aplicaciones móviles, entre muchos otros. ¿Puede un atacante abusar de esta interfaz?
Un dispositivo comprometido se puede usar para acceder a su red o datos, además puede ser usado para espiar conversaciones y movimientos al obtener acceso no autorizado a un micrófono y una cámara. Los dispositivos IoT comprometidos pueden ser usados para actuar como host de salto para que los cibercriminales lancen un ataque interno o externo.
¿Cuáles son los problemas más comunes?
- Uso de comunicaciones de texto claro, que permiten interceptar y alterar el tráfico. El cifrado de transporte es vital, especialmente en dispositivos móviles que a menudo usan conexiones Wi-Fi no confiables.
- Almacenamiento inseguro de datos en el dispositivo, lo que permite que un atacante obtenga secretos como contraseñas almacenadas, Wi-Fi PSK y otras claves. Capturar el dispositivo o una aplicación maliciosa puede hacer que esto sea posible.
- Referencia de objeto directo inseguro: la API usa algo como un número VIN o una identificación secuencial sin verificaciones de autorización para acceder a los datos.
- Conexión de dispositivo débil: ¡Es importante que no sea posible emparejar un nuevo dispositivo móvil con un dispositivo ya emparejado!
- Depurar u ocultar la funcionalidad: la aplicación móvil a menudo contiene referencias a características que nunca deberían terminar en manos de un cliente.
- Desarrollo de aplicaciones subcontratadas, lo que lleva a la pérdida de control y supervisión de la API y la seguridad de las aplicaciones.
Pruebas principales a realizar
- Entorno de red IoT se ejecuta y se actuaLliza a través de una red, como Internet, BLE, 4G, LTE, Zigbee, LoRA, WiFi, MQTT, 802.11.15.4, etc. u otros.
- Las aplicaciones IoT administran que dispositivos y son potencialmente vulnerables: aplicación web, aplicación móvil y pueden ser aplicaciones web, aplicaciones móviles o API (SOAP, REST)).
- Firmware: Este es el software y el sistema operativo del dispositivo. Realizar un dump, verificar su integridad y posibles agujeros de seguridad.
- Verificar el cifrado: el cifrado protege las comunicaciones y los datos almacenados en el dispositivo.
- Hardware: este es el hardware del dispositivo IoT (chip, como un conjunto de chips, almacenamiento, JTAG, puertos UART, sensores, cámara, etc.), puerto, sensor, cámara u otro dispositivo.
- Con cinco niveles de funcionalidad necesarios para operar una solución de IoT, puede ver la amplia superficie de amenazas. Es por eso que las pruebas de penetración para un dispositivo IoT deben abarcar la red, las aplicaciones, el firmware, el análisis de cifrado y las pruebas de penetración de hardware.