Se ha denunciado esta presentación.
Utilizamos tu perfil de LinkedIn y tus datos de actividad para personalizar los anuncios y mostrarte publicidad más relevante. Puedes cambiar tus preferencias de publicidad en cualquier momento.
Армия освобождения домохозяек: структура,
состав вооружений, методы коммуникации
Петухов Андрей	

 	

 	

 	

 	

 	

 ЛБИ...
Бытовое представление IoT
Технологическое представление IoT
• Умный дом	

➡ сигнализация (о ворах, о пожаре, о протечках), освещение, климат-контроль,
управление разморозкой продукто...
• Средства идентификации и считывания	

➡ RFID, NFC, QR, штрих-коды и т.д.	

• Средства измерения	

➡ сенсорные сети	

• С...
• Зачем изобретать велосипед, возьмем существующие дистрибутивы
и допилим их под себя! 	

- известные уязвимости в стандар...
• Использование стандартного ПО с уязвимостями	

• Ошибки в собственном коде (обычно веб-компоненты)	

- ошибки авторизаци...
• В стандартном варианте умные устройства подключены к домашней
сети или управляются по Bluetooth/ИК	

➡ активное воздейст...
• Если моссад захочет провести таргетированную атаку, он ее
проведет в любом случае	

• Маршрутизатор на периметре - Минас...
➡ Twitter: @p3tand
➡ Email: petand@seclab.cs.msu.su
Вопросы???
Próxima SlideShare
Cargando en…5
×

Армия освобождения домохозяек: структура, состав вооружений, методы коммуникации

733 visualizaciones

Publicado el

В докладе сделан обзор актуальных угроз для различных классов «умных» вещей.

Publicado en: Tecnología
  • Sé el primero en comentar

  • Sé el primero en recomendar esto

Армия освобождения домохозяек: структура, состав вооружений, методы коммуникации

  1. 1. Армия освобождения домохозяек: структура, состав вооружений, методы коммуникации Петухов Андрей ЛБИС ВМК МГУ РусКрипто 2014
  2. 2. Бытовое представление IoT
  3. 3. Технологическое представление IoT
  4. 4. • Умный дом ➡ сигнализация (о ворах, о пожаре, о протечках), освещение, климат-контроль, управление разморозкой продуктов, ТВ и медиа-системы, IP-камеры, унитаз, irobot, приставки (в т.ч. kinect) • Умные сети электроснабжения • Пассивные метки (RFID) в логистике, инвентаризации, предотвращении краж, платежах, изучении миграции животных, системах контроля доступа (в т.ч. паспортах) • Сети из активных элементов в задаче получения данных об окружающей среде (smartdust) Примеры из IoT
  5. 5. • Средства идентификации и считывания ➡ RFID, NFC, QR, штрих-коды и т.д. • Средства измерения ➡ сенсорные сети • Средства передачи данных ➡ IEEE 802.15.4 (Phys / MAC), ZigBee,WirelessHart, MiWi, 6LoWPAN, PLC • Основа для умных вещей ➡ ARM, дистрибутивы Linux для встроенных систем Технологии IoT, подробнее
  6. 6. • Зачем изобретать велосипед, возьмем существующие дистрибутивы и допилим их под себя! - известные уязвимости в стандартном ПО - ненужные компоненты, предоставляющие интерфейс вовне - “security hardening”? Ой, а что это? • Давайте изобретем свой протокол, свою ОС, свой веб-сервер и напишем свой софт! - собственные уязвимости в коде • Для управления устройством, сделаем удобный интерфейс через HTTP/Bluetooth, а в руководстве обязательно напишем про пароли - пароли по умолчанию, настройки по умолчанию • К.О.: недостатки появляются в областях ответственности тех участников жизненного цикла устройства, где про ИБ мало знают Nothing Ever Changes или откуда берутся уязвимости
  7. 7. • Использование стандартного ПО с уязвимостями • Ошибки в собственном коде (обычно веб-компоненты) - ошибки авторизации, CSRF, OS command injection, и т.п. • Небезопасные настройки используемых компонент - пример: unauthenticated UPnP • Слабая защита от исследования и обратной инженерии - всплывают “сервисные” учетные записи - находится несложный обход доверенной загрузки ОС • Небезопасная эксплуатация - пароли по умолчанию - словарные пароли - отказ от обновлений - подключение к Интернет напрямую (например, через PLC или 3G) Итого
  8. 8. • В стандартном варианте умные устройства подключены к домашней сети или управляются по Bluetooth/ИК ➡ активное воздействие из Интернет на них невозможно • Остаются нарушители класса “человек рядом с домом” и “человек за периметром” • “Человек рядом с домом” - есть ли мотив? ➡ исследования? - не страшно ➡ хулиганство? - тоже не очень с точки зрения последствий ➡ таргетированная атака? - возможно, для слежки • “Человек за периметром” - как он туда попал и каков был мотив? ➡ ИК и bluetooth устройства не пострадают ➡ захвачен компьютер/телефон, атака таргетированная - логично, слежка ➡ захвачен компьютер/телефон/маршрутизатор, атака нетаргетированная - развитие атаки на окружение через autopwn - пока не видел, но выглядит не нереально! Посмотрим на это строже
  9. 9. • Если моссад захочет провести таргетированную атаку, он ее проведет в любом случае • Маршрутизатор на периметре - Минас Тирит вашего свободного западного мира умных вещей • Если у вас может быть захвачен маршрутизатор на периметре, то бояться стоит в первую очередь за свои данные (в т.ч. учетные), а не за армию умных вещей Выводы для “домохозяйки”
  10. 10. ➡ Twitter: @p3tand ➡ Email: petand@seclab.cs.msu.su Вопросы???

×