Bezpečnostní výzvy internetu věcí z pohledu praxe Marek Šottl, Karel Medek public -

Podobné dokumenty
PENETRAČNÍ TESTY CYBER SECURITY

Zabezpečení mobilních bankovnictví

Efektivní řízení rizik webových a portálových aplikací

Mobilní aplikace ve světě ERP. Asseco Solutions, a.s. a Simac Technik ČR, a.s.

VÝBĚR CLOUDU, ANEB JAK ZVOLIT TEN NEJLEPŠÍ

CYBER SECURITY. Ochrana zdrojů, dat a služeb.

Bezpečnostní témata spojená se Zákonem o kybernetické bezpečnosti

Zranitelnost databáze a ochrana vašich citlivých dat. Michal Lukanič, Database Specialist

IT bezpečnost na ZČU včera, dnes a zítra Seminář CIV by Ing. Petr Žák

Adware ENISA. Aktivní kybernetická obrana. Aktivum. Analýza hrozeb. Analýza počítačového viru. Antispamový filtr. Antivirový program

Bezpečnostní aspekty informačních a komunikačních systémů KS2

Útoky na HTTPS. PV210 - Bezpečnostní analýza síťového provozu. Pavel Čeleda, Radek Krejčí

Technické aspekty zákona o kybernetické bezpečnosti

Penetrační test & bezpečnostní audit: Co mají společného? V čem se liší?

Bezpečnost IS. Základní bezpečnostní cíle

Z internetu do nemocnice bezpečně a snadno

Úvod - Podniková informační bezpečnost PS1-2

GDPR A INFORMAČNÍ SYSTÉM. Nadežda Andrejčíková Libor Piškula

Enterprise Mobility Management AirWatch & ios v businessu

PB169 Operační systémy a sítě

Chytré telefony pohledem operátora. Petr Dvořáček, Jan Fišer, T-Mobile Czech Republic a.s

CASE MOBILE MOBIL JAKO AUTENTIZAČNÍ TOKEN

Představujeme KASPERSKY ENDPOINT SECURITY FOR BUSINESS

12. Bezpečnost počítačových sítí

Informační bezpečnost. Dana Pochmanová, Boris Šimák

Symantec Mobile Management for Configuration Manager 7.2

Intune a možnosti správy koncových zařízení online

SSL Secure Sockets Layer

BEZPEČNÁ SPRÁVA KLÍČŮ POMOCÍ HSM. Petr Dolejší Senior Solution Consultant

VZOROVÝ STIPENDIJNÍ TEST Z INFORMAČNÍCH TECHNOLOGIÍ

Řešení ochrany databázových dat

Penetrační testy OSSTMM. Jaromír Vaněk ICQ: Jabber:

Specifikace Části 1 Hacking

0x5DLaBAKx5FC517D0FEA3

Bezpečnostní monitoring SIEM (logy pod drobnohledem)

Zavádění PKI infrastruktury v organizaci - procesní aspekty. Vlastimil Červený, Kateřina Minaříková Deloitte Advisory, s.r.o.

Bezpečnost sítí

Představení Kerio Control

Obrana sítě - základní principy

Bezpečnostní rizika chytrých spotřebičů a Internetu věcí

HP JetAdvantage Management. Oficiální zpráva o zabezpečení

Úvod Bezpečnost v počítačových sítích Technologie Ethernetu

Informatika / bezpečnost

Návrh a implementace bezpečnosti v podnikových aplikacích. Pavel Horal

Základy kryptografie. Beret CryptoParty Základy kryptografie 1/17

AUTENTIZAČNÍ SERVER CASE BEZPEČNÁ A OVĚŘENÁ IDENTITA

<Insert Picture Here> Jak garantovat bezpečnost systémů ve státní správě

IP telephony security overview

Jiří SLABÝ Deloitte Téma: Bezpečnost informací zajímavé trendy nedávné minulosti Zajímavé statistiky a trendy z oblasti kybernetické bezpečnosti uplyn

Bezpečnostní rizika chytrých spotřebičů a Internetu věcí

Směry rozvoje v oblasti ochrany informací KS - 7

ISMS. Autentizace ve WiFi sítích. V Brně dne 5. a 12. prosince 2013

Enterprise Mobility Management

DNSSEC. Proč je důležité chránit internetové domény? CZ.NIC z.s.p.o. Pavel Tůma

Bezpečnost sítí, Firewally, Wifi. Ing. Pavel Píše

ISMS. Síťová bezpečnost. V Brně dne 7. a 14. listopadu 2013

Demilitarizovaná zóna (DMZ)

McAfee EMM Jan Pergler Pre-Sales Engineer I

Vývoj Internetových Aplikací

Bezpečnost sítí. Bezpečnostní služby v sítích kategorie:

Případová studie migrace z Cisco ACE a další možnosti nasazení

Technická specifikace zařízení

Advanced IT infrastructure control: Do it better, safer, easier and cheaper. FlowMon ADS 3. Nová generace řešení pro analýzu provozu datové sítě

Specifikace předmětu zakázky

ICZ - Sekce Bezpečnost

Cloud Computing pro státní správu v praxi. Martin Vondrouš - Software602, a.s. Pavel Kovář - T-Systems Czech Republic a.s.

IT Bezpečnostní technologie pro systémy integrované bezpečnosti

Bezpečnost vzdáleného přístupu. Jan Kubr

Co se děje za Firewallem. Máte zajištěna data a funkce systémů před útokem z vnitřního segmentu sítě?

1.05 Informační systémy a technologie

Důvěryhodná výpočetní základna v prostředí rozsáhlých IS státní správy

Flow Monitoring & NBA. Pavel Minařík

Mobile application developent

Dell SonicWALL. Security tips & tricks. Jan Ježek business communication s.r.o.

Implementace informačního systému pro knihovnu Jiřího Mahena v Brně

Penetrační testy. Pohled na vaši síť očima hackera. Ing. Jan Pawlik IT Security Specialist

Nasazení nových modulů McAfee Seminář CIV (nejen) pro lokální správce

Bezpečnost je jedna, v drátu i bezdrátu

metodický list č. 1 Internet protokol, návaznost na nižší vrstvy, směrování

Mobilní komunikace a bezpečnost. Edward Plch, System4u

Kaspersky Lab. Unikátní bezpečnostní technologie. Jan Sekera, Channel Manager CZ/SK Kaspersky Lab Eastern Europe

Možnosti zabezpečení mobilní komunikace. Jan Křečan Manažer prodeje mobilních firemních řešení

Enterprise Mobility Management & GDPR AirWatch - představení řešení

Bezpečnost ve vývoji webových aplikací

Jen správně nasazené HTTPS je bezpečné

Katalog služeb a podmínky poskytování provozu

2.přednáška. Informační bezpečnost: Systém řízení informační bezpečnosti (ISMS)

Bezpečnost internetového bankovnictví, bankomaty

Ing. Jiří Kula, Průmyslová automatizace, ABB s.r.o., Informační propojení aktivit a procesů v automatizované výrobě Koncept Průmysl 4.

Monitorování a audit databází v reálném čase. Ing. Jan Musil IBM Česká republika

DNSSEC Validátor - doplněk prohlížečů proti podvržení domény

FlowMon ADS 3. Nová generace řešení pro analýzu provozu datové sítě. Pavel Minařík

Hynek Cihlář Podnikový architekt Od Indoše ke Cloudu

Jako příklady typicky ch hrozeb pro IT lze uvést: Útok

Cloud pro utajované informace. OIB BO MV 2012, Karel Šiman

Normy ISO/IEC NISS. V Brně dne 7. listopadu 2013

Možnosti využití cloudových služeb pro provoz IT

S C A D A S Y S T É M Y

Transkript:

Bezpečnostní výzvy internetu věcí z pohledu praxe Marek Šottl, Karel Medek 17.8.2017 - public -

IoT jako pojem Je samotný pojem IoT postačující? Pojem IoT se stává podobným fenoménem jako před lety pojem Cloud. Je často využíván, bez jasné specifikace technologie a stává se spíše Marketingovým pojmem. Důležitost některých aspektů se pro různé oblasti implementace (včetně bezpečnosti) významně liší. Samotný pojem tedy označuje spíše přístup a trend než řešení. Aktuálně je přijímáno dělení IoT zařízení do tří oblastí segmentů: Podnikový segment (Použití v podnikových prostředích) Státní správa (Použití státní správou a různými stupni samosprávy) Rezidenční segment (Domácí a soukromé použití) public 8/17/2017 2

IoT a bezpečnost Mezera v technologiích Nedostatečná složitost IoT Nedostatek nových technologií pro End to End komunikaci. Nevyzrálé bezpečnostní standardy Proprietární standardy výrobců Technologie se pomalu odrážejí v regulatorice Nemožnost definovat vynucení standardů Technologie se rozvíjí rychleji než uživatel. Dosavadní zkušenosti z Deutsche Telekomu naznačují, že zde zmíněné mezery jsou v praxi spíše širší, než jak je neznačeno. Obtížná monetizace bezpečnostních rešení Zákazník obyčejně nechce platit bezpečnost Společnosti vyrábějící HW mají problém přesunout se do SW řešení. Nemožnost vidět plnou hodnotu v IoT security Nedostatek vhledu do technologií Nedostatek znalostí koncového uživatele. http://www.mckinsey.com/industries/semiconductors/our-insights/security-in-the-internet-of-things -public 8/17/2017 3

Bezpečnost IoT v číslech Dosavadní zkušenosti Typy zranitelností 43% Organizací očekává nějakou formu nasazení IoT 5% 28% 3% 14% 28% 22% Odhalení informací Kryptografie Konfigurace Síťová bezpečnost Injekce Další Information disclosure Cryptography Security Misconfiguration Network security Injection Other +40% instalací chytrých budov ročně 70% procent aplikačních útoků na IoT zařízení v penetračních testech Brickerbot - Dropbear, nalezen na 21 milionech zařízení Počet IoT zařízení se za poslední dva roky zdvojnásobil Chytrý dům Zařízení Brikerbot public 8/17/2017 4

Typické hrozby v jednotlivých vrstvách IoT Hardcoded údaje Dekompilace Injektáž Autentizační útoky Zastaralé UI knihovny SQL injekce REPLAY útoky DoS útoky Obcházení business logiky Spoofing Denial of service Man in the middle útoky Podvržení firmware Změna konfigurace public 8/17/2017 5

Tlak na cenu IoT jako evoluční a nikoli revoluční aspekt Internet věcí je tu s námi již dlouho Neproprietární senzory Masivní nasazení Hlavní změny Propojení hrozeb z IT s fyzickým světem Přesun na internet Nedostatečná legislativa Podceňování analýzy rizik Pokus se zaměříme např. na technologický aspekt, tak : Internet věcí je de facto komunikace mezi dvěma stroji. Problémy s replay útoky na REST rozhraní nebo bezdrátovou komunikaci. Chybějící vrstvená ochrana pro SOAP rozhraní, kde může být problém s šifrováním a výkonem. (Využívání WS proxy) Android malware není mýtem Například problém knihovny Androidu, zvaný Stagefright. Co když takový Malware využije IoT? Zranitelnosti ios klienta jakou jsou injekce a únik dat z interního uložiště. Nezměrné možnosti DoS útoku pomocí IoT infrastruktury. 17.8.2017 public 8/17/2017 6

IoT z pohledu legislativy Elementární případ chytrého auta prodávaného např. v USA. Položme si základní otázky, známe na ně odpověď? Kdo má právo přijmout nebo zamítnout použití IoT v automobilu? Uživatel může/musí/smí/nesmí mít právo zcela vypnout zařízení? Když budezařízení prolomeno a nebo uniknou data kdo budeinformovat a kdo budeinformován? Kdo je vlastníkem neanonymizovaných dat a má právo je využívat a nechat smazat? Kdo je zodpovědný za to, pokud se pomocí zranitelnosti v IoT platformě poškodí auto, nebo dojde ke zranění řidiče? Kdo je zodpovědný za update firmware v IoT? public 8/17/2017 7

Klient

Klienti - evaluace bezpečnosti Mobilní aplikace na Google zařízeních Burp suite / ZapProxy / Fiddler aplikační proxy Genymotion, Android studio / sdk tools virtualizace APK, Dex2Jar, JD-gui, LINT Dekompilace a statická analýza Drozer Framework pro testování bezpečnosti aplikací a procesů Android. Certificate pinning: Problém většiny nástrojů pro testování bezpečnosti. Android-SSL-TrustKiller může obejít SSL / TLS vrstvy. - public 8/17/2017 9

Klienti - evaluace bezpečnosti Mobilní aplikace Apple Burp suite / ZapProxy / Fiddler aplikační proxy FileDP, Filemon systémy pro audit souborového systému a oprávnění. Needle Framework na penetrační testování ios Cycript Interakce s běžícími aplikacemi v systémech ios nebo Mac OS X pomocí hybridní syntaxe Objective-C ++ a JavaScriptu. Perfektní nástroj pro úpravu běžících procesů. Užitečné pro vývojáře a penetrační testery. Source code review frameworky (CLANG/LLVM, Source clear) public 8/17/2017 10

Firmware

Bezpečnost správy zařízení v IoT síti Vybrané problémy: 1. Často je Firmware chráněn slabým heslem. 2. OTA update nejsou korektně podepisovány a šifrovány. (Relevantní pro operátory). 3. Nedostupnost FW, rychlost update, vyjednávání s výrobcem. 4. Při útoku MITM je vnutit vlastní upravený FW, který používá všechny funkcionality IoT zařízení. Možná řešení: Podepisování updatů a konfigurace pomocí se silným algoritmem. (Certifikát s signaturou alespoň SHA2 a kontrolní součet CRC16) Jakákoliv změna v konfiguraci a Firmware musí být chráněna vůči neoprávněné modifikaci. Provádění kontroly bezpečnosti konfigurace (tzv. Configuration review - Lynis, Nipper studio, Nessus) Patch management. Testování síly hesla pro přístup k konfiguračním souborům. public 8/17/2017 12

PROCES Cloud control

Typické útoky na IoT platformu Zranitelné knihovny používané zařízeními i aplikacemi SSL /TLS není dostatečně implementováno Často dochází k plaintext komunikaci. Slabé autentizační schéma Eskalace privilegií v rámci Os a řízení čidel. Cross site scripting na cloud control brány Nejčastější aplikační útok na skupinové ovládání IoT. Chybějící vazba na PKI Management klíčů je stále nedořešený. Slabá kryptografie Chybějící vazba na PKI, Hashe, slabé generátory náhodných čísel atd. - public - 8/17/2017 14

PROCES Infrastruktura

Infrastruktura Vybrané problémy pro některé typy sítí: Otevřené nepotřebné služby jako SSH, Telnet nebo UDP porty pro defaultní služby. Vnořené účty nebo defaultní od výrobců, které není možné smazat. Odhalení informací o účtech využívaných službami třetí stran jako je GPS, nebo obslužný cloud. GPS spoofing a podvržení pozice senzorů. DNS spoofing DNS resolving není nijak chráněn. Možná řešení: Port scan zařízení a kontrola otevřených služeb. Kontrola účtů a jejich oprávnění. Používání ochrany jako je DNSsec pro DNS řešení IoT, využívání PKI jako prostředků zajištění důvěrnosti přenášených dat. Kontrola business logiky a senzorů na straně back-endu. (Business processing engine) public 8/17/2017 16

2024 © DocPlayer.cz Ochrana osobních údajů | Podmínky obsluhování | Kontaktní formulář