La seguridad de IOT es difícil: Esto es lo que necesita saber
La seguridad para cualquier cosa que se conecte con Internet es importante. Piense en estos dispositivos como puertas. O bien permiten el acceso a los servicios o servicios de suministros para otra persona. Las puertas deben estar a salvo, no dejarías la puerta desbloqueada si vivieras en la mala parte de una ciudad ocupada, ¿verdad? Cada conexión a Internet es la mala parte de una ciudad ocupada. La cosa es que la construcción de hardware que está conectada a Internet es el nuevo calor en estos días. Así que caminemos por lo básico que necesita saber para comenzar a pensar la seguridad con sus proyectos.
Si alguna vez ha ejecutado un servidor y ha marcado sus registros, probablemente haya observado que hay un gran tráfico automatizado que intenta acceder a su servidor de manera casi constante. Un dispositivo inseguro en una red no se ve solo comprometido, presenta un riesgo para todos los demás dispositivos en red.
La forma más fácil de segura de un dispositivo es apagarlo, pero le permite que lo desee. Hay muchas cosas que puede hacer para asegurar su dispositivo IOT. Puede parecer desalentador comenzar con, pero a medida que comienza a ser mucho más, las cosas conscientes de la seguridad comienzan a hacer clic en un poco como un rompecabezas y se vuelve mucho más fácil.
¿Cuáles son los problemas y cómo los arreglas?
Contraseñas y seguridad de contraseña
Antes de que comencemos, siempre recuerde cambiar las contraseñas predeterminadas para cada paquete y dispositivo que usa. Esto es lo primero que debe realizar con cualquier dispositivo conectado. Bisagras de seguridad web en dos objetivos: mantener a los no autorizados al obtener acceso a los recursos y garantizar que los autorizados tengan acceso a los recursos que necesitan. Si su dispositivo suministra información diferente a diferentes personas, deberá tener alguna manera de que su dispositivo le dé a las personas, por ejemplo, un sistema de inicio de sesión. Esto se puede lograr de muchas maneras diferentes, como usar las cookies de identificación de sesión y asegurar conjuntamente con las contraseñas.
Es muy crucial que no almacene contraseñas o identificaciones de sesión en cookies, ya que pueden ser fácilmente interceptadas por el hombre en los ataques intermedios, malware o alguien que tiene acceso físico a la computadora del usuario final. Las contraseñas siempre deben ser hashed. Este es un proceso de una forma y no se puede revertir si se realiza de manera adecuada para usar “saltación”. La salazón está utilizando una cadena de caracteres, por lo que cuando ha hecho la contraseña, la sal se usa para crear un hash especial. Esto detiene a los atacantes utilizando las tablas Rainbow en Comprar para descifrar sus contraseñas si obtuvieron una retención de su base de datos. Pedro Umbelino hizo un gran trabajo de detallar la seguridad de la contraseña en su publicación de hackaday unas pocas semanas hacia atrás.
La salada segura de las hashes de contraseña es la forma de ir en esta era digital, haga clic en el enlace para obtener más información. Las contraseñas son cruciales y es mejor que incluso no conocen las contraseñas de sus usuarios, ya que pueden usarlas para otras cuentas. Si los acaba de cifrarlos, entonces tiene las indicaciones para descifrarlas, ya que el cifrado es un proceso de dos vías cifrado / descifrado. Por eso nos has hecho y no ciframos.
Old Software con vulnerabilidades conocidas.
Los cajeros automáticos son notorios para retrasarse en las actualizaciones de software. Esto los hace objetivos fáciles.
Es obvio, pero vale la pena decir. Evite usar el software antiguo con vulnerabilidades conocidas, nunca use versiones anteriores de software. El software se actualiza por una razón válida. Use las versiones más recientes, incluso si el registro de cambios no menciona ciertos parches de seguridad.
Hay sitios web por ahí en ese papel, la mayoría de las vulnerabilidades conocidas y esto vale la pena revisar los paquetes que planea usar. Es posible que esté pensando que proporcionar todas las vulnerabilidades conocidas es ayudar a los malos, pero estos son en realidad los buenos. Sí, ayuda a un posible atacante, encontrará una manera de atacar los scripts o software de Web más antiguos, pero si usa la versión actual de un proveedor de confianza, con suerte habrán solucionado cualquier problema anterior que tuvieron con su producto. Proporcionar las vulnerabilidades brinda a las empresas una razón para obtener actualizaciones a la puerta y detener a los atacantes que se aprovechan del software con errores en él porque su proveedor de software es perezoso. También ayuda a los desarrolladores a evitar los peores delincuentes.
Si no lo necesitas, ¿por qué lo guardas?
Asumamos que su dispositivo está ejecutando algún tipo de Linux. Hay muchos protocolos que puede usar para comunicarse con el dispositivo. Por ejemplo, puede tener SMB, SSH, TELNET, FTP, VNC, etc., pero debe decidir cuál de estos protocolos necesita y que no. Si no usa un protocolo, ¿por qué tenerlo habilitado en primer lugar?
Estas son como las puertas de su dispositivo, menos puertas tiene las avenidas de menos ataque, una computadora “hacker” tiene que obtener acceso. Es realmente sentido común, pero a menudo se pasa por alto. Otra buena parte de las recomendaciones es deshabilitar el inicio de sesión de la raíz para SSH y crear otra cuenta para usar. Su cuenta raíz es la mayor probabilidad de ser forzado a bruta. Si necesita un inicio de sesión remoto, use las contraseñas de al menos 8 dígitos y haga caracteres aleatorios y extraños, capitales, números, etc. Si usa una palabra y quizás 123 al final, se llevaría a un hacker literalmente minutos con un diccionario bruto fuerza Attack.
Regalando demasiada información
Exponer la información que puede ayudar a un atacante a formar un ataque mucho más complicado es un gran no-no. Su servidor IOT puede estar repartiendo mucha más información de la que pensó o incluso la información que no sentiste fue importante.
Por ejemplo, los sitios web auto-escritos pueden estar vinculados directamente a los archivos en el servidor en lugar de ocultar su ubicación real. Esto debe ser evitado. Tienes un “directorio web” por una razón; El software de su dispositivo espera que sus archivos estén en este lugar y se configuran permisos para detener el alcance más allá de este directorio. No abra la parte posterior de la parte posterior (parte no HTTP), ya que esto podría hacer que un atacante obtenga privilegios a través de un error básico en un script web en lo que está destinado a ser una parte segura de su dispositivo.
No se preocupe demasiado por esto, ya que es algo bastante trivial para arreglar. Aún debe usar su directorio web, pero también puede ocultar URL usando .HTAccess con Apache HTTP Server. Si está utilizando otro servidor HTTP, tendrá un sistema de configuración similar. Para aprender mucho más, busque la red para “Name-of-Your-HTTP-Server UL Reescribe”.
No quiere que ningún posible que tenga atacantes que tengan mucha más información que el mínimo, su servidor necesita suministrar a funcionar. La información de fugas puede ayudar a un atacante a comprender su estructura de archivos y qué tiene en su capa HTTP. La mayoría de los ataques están automatizados, diseñados para eliminar su servidor porque observaron que utiliza un determinado software. Haciendo el descubrimiento Duro ayuda a combatir esta automatización.
En el directorio de su sitio web, también querrá asegurarse de que sus archivos no se proporcionen en los índices de directorios, poniendo un archivo de índice básico.html dentro de cada directorio deje de evitar los ojos de las manos. Si su servidor tiene una base de datos, manténgala en otro dispositivo (mejor práctica), o si no es posible asegúrese de mantenerlo detrás de un firewall. Además, no guarde las bases de datos en su directorio “Web”. Para una mayor información sobre el bloqueo de su servidor, visite el enlace.
Scripting de sitio cruzado
Samy Kamkar, diseñador del gusano de Samy; Foto por medio de la entrevista de la hora de AMP desde 2016
Los ataques de scripts de XSS o sitio cruzados son uno de los vectores de ataque más comunes. Aquí es donde el atacante explota un script, por ejemplo, la sección Comentarios de Hackaday en la parte inferior de esta misma página. Un atacante puede intentar dejar un comentario con script se identifica en ella. Si exitosa, esto publicará un código malicioso en el comentario que se ejecuta en el navegador de un usuario cada vez que alguien visita esta página. Por supuesto, Hackaday está protegido de este tipo de ataques, pero el ejemplo tiene que los sitios que tienen vulnerabilidades XSS. Will Sweatman escribió un curso intensivo en XSS, lo que vale la pena revisar.
Quizás el ataque XSS más popular fue el gusano de Samy. Samy Kamkar encontró una vulnerabilidad de MySpace que causó a todos los que revisaron su página para agregarlo como amigo y mostrar un mensaje en su página de perfil. Fue auto propagable, por lo que cualquier persona que luego revisó una página con ese mensaje se convirtió en un transportista para infectar nuevos visitantes. Casi a la mañana, todos en MySpace siguieron a Samy. Él está considerando que se convierte en un investigador de seguridad y es un gran amigo de Hackaday.
Al hospedar sus propios servicios web que suministran formularios de envío para controlar su cosa de IOT pirateada, asegúrese de considerar XSS. La opción de esto es lo que llamamos datos de desinfección. Por supuesto, debe restringir lo que su forma web incluye (Freguebe “Script” y otras etiquetas HTML). Los ataques XSS son muy comunes, por lo que la interfaz web para su dispositivo IOT tomará la entrada, ahora es un gran momento para ir y aprender todo lo que pueda sobre los XSS.
Ataques de acceso físico
El acceso físico también puede ser un problema. Puede tener su dispositivo en un lugar público o fácilmente accesible. Debe asegurarse de que nadie viene y empuje un asesino USB, o una herramienta de piratería USB, por ejemplo, uno que aparezca como un HID (dispositivo de interfaz humana) como un teclado y comienza a tocar los comandos de un script preconfigurado. Si no necesita USB hacerlos inaccesibles o apagarlos a través del software. Si realmente eres consciente de la seguridad, ¿por qué no eliminarlos completamente de la placa, o verter epoxi sobre ellos? Incluso los puertos PS / 2 deben estar asegurados. Puede ver un patrón que emerge aquí, un buen enfoque de seguridad es, si no lo necesita, por qué tenerlo allí en primer lugar.
Utilice medidas de seguridad probadas y verificadas.
La seguridad a través de la oscuridad tampoco es una buena idea, siempre hay alguien que es más inteligente o más afortunado que tú. Trate de mantenerse a las medidas de seguridad probadas y verificadas, no piense por un segundo que, ya que tiene algún dispositivo extraño con un tamaño de mercado de menos de 100 personas / compañías que estará a salvo. Nada es 100% a prueba de balas, pero si cree que su dispositivo nunca será atacado porque “razones”, entonces piense nuevamente. Reevaluar su posición y ordenar su seguridad.
Si sigue estas recomendaciones, debe estar bastante bien asegurado siempre y cuando recuerde cambiar esa contraseña predeterminada y recordar esto no es un defGuía initial Siempre hay algo más que podría estar haciendo para seguro su dispositivo. ¡El mayor problema hasta ahora ha sido pensando en pensar en seguridad de alguna manera: podemos hacerlo mejor!
Prevención futura
Los dispositivos de Internet de las cosas están siendo vorazmente cazadas para el deporte ideal ahora. Debe estar vigilante y asegúrese de que sus dispositivos no se asuen en Falte de los ataques como Brickerbot o se convierten en parte de la BotNet de IOT actual. Habrá muchos más ataques como este para venir en el futuro. Asegúrese con la curva aprendiendo sobre la seguridad y manteniendo sus dispositivos bloqueados. Si está intensamente con respecto a la seguridad cibernética, comience a leer sobre las tendencias actuales, ya que hay nuevas vulnerabilidades que se encuentran diariamente. Si realiza dispositivos para otros, debe convertirte en un experto en estas habilidades. Si no puedes decir eso sobre ti mismo, contrata a algunos profesionales. No desea una demanda, no desea perder confianza al cliente, y no quiere estar construyendo hardware que amenace nuestro mundo conectado.