Projekt OWASP TOP 10 dla programistów… sprzętu AGD

29 stycznia 2014, 16:15 | W biegu | komentarzy 10
: zin o bezpieczeństwie - pobierz w pdf/epub/mobi.

Organizacja OWASP pracuje nad odmianą znanego projektu OWASP TOP 10. Nowe przedsięwzięcie – OWASP Internet of Things Top Ten Project – ma na celu rozpowszechnienie informacji o najczęściej spotykanych błędach wśród nowoczesnych gadżetów oraz inteligentnego sprzętu domowego.

Oto obecne propozycje najpowszechniejszych zagrożeń czających się w „Internet of Things„:

  1. Administrative Interface with Weak/Default Credentials
  2. Buffer Overflow of Available Network Service
  3. Lack of Network Encryption
  4. Insecure Software Update System
  5. Denial of Service
  6. Information Disclosure Through Network Services
  7. Insecure Web Interface
  8. Network Attack Magnification
  9. Trivial Physical Security Bypass
  10. Poor Security Management Capabilities

Lodówki może nie będą tak groźne

 

Adrian Vizzdoom Michalczyk

Spodobał Ci się wpis? Podziel się nim ze znajomymi:



Komentarze

  1. bl4de

    Już niedługo na exploit-db.org będzie wysyp exploitów w rodzaju „Bosch KGV36VL30E fridge Remote Fruit&Vegetable Container Opener”

    :D

    Odpowiedz
  2. Jezus

    To bę ciekawa odmiana. Hakować ekspres do kawy

    Odpowiedz
  3. no login

    Help, mój ekspres leje wino zamiast kawy!

    Odpowiedz
  4. MateuszM

    Nie podoba mi się ta inicjatywa. Nie uśmiecha mi się wpisywać 12 znakowego hasła do lodówki lub ekspresu do kawy. Jak tak dalej pójdzie rozmrożenie lodówki będzie wymagało uprawnień administracyjnych a wyjęcie gatek z pralki zostanie zapisane do w logach systemowych. Liczę na zdrowy rozsądek producentów sprzętu AGD i twórców OWASP.

    Odpowiedz
  5. bl4de

    @MateuszM

    Niestety, ale to już się dzieje i nie liczyłbym tutaj na zdrowy rozsądek kogokolwiek (a producentów tym bardziej).

    „Internet of Things” pojawił się w idealnym momencie. Ten moment to XXI wiek i praktycznie stagnacja, jeśli chodzi o nowe rozwiązania techniczne w produkowanym sprzęcie. Przez jakiś czas producenci zarówno sprzętu AGD, RTV jak i samochodów próbowali grać nutą „eko”, ale i to po jakimś czasie stało się oklepane i konsumenci już nie łykają tak łatwo zielonej propagandy.

    Internet i generalnie komputery (w sensie komputerów osobistych, nie np. sterujących silnikiem) pierwsi z powodzeniem zaczęli wykorzystywać wg. mnie producenci samochodów (wszystkie systemy infotainment, nawigacja połączona z mapami Google, połączenia z centrami alarmowymi itp.), a zaraz po nich branża RTV (Smart TV, VoD wbudowane w telewizory itd.). Teraz nadeszła kolej na branżę AGD.

    XX wiek stał pod znakiem konkurencji technicznej. Nowe generacje samochodów czy sprzętu faktycznie wprowadzały nową jakość (np. ewolucja diesli od rzędowej pompy wtryskowej, poprzez turbodoładowanie, wtrysk bezpośredni, aż po najnowsze układy Common Rail; automatyczne skrzynie biegów – od nieruchawych 3-biegowych ze sprzęgłem hydrokinetycznym, po dzisiejsze 7-io czy nawet 8-io biegowe, sekwencyjne skrzynie z podwójnym sprzęgłem).
    To samo branża RTV czy audio – od czarnobiałych kineskopów po kolorowe ekrany plazmowe i wyświetlacze LCD wysokiej rozdzielczości.

    To się skończyło, ciężko wymyślec i wprowadzić do produkcji coś naprawdę innowacyjnego (4D to nie innowacja, to tylo zwiększanie ilości pikseli). Wszystko, co nowe, powiela znane schematy, tylko w nowszym opakowaniu. I tu nadeszło zbawienie w postaci internetu i social media. Szlak przetarły urządzenia w postaci tabletów, smartfonów i komputerów przenośnych. Producenci zobaczyli, że konsumenci lubią kolorowe wyświetlacze, najlepiej dotykowe. No i zaczęła się jazda bez trzymanki, której efektem będzie (już jest?) „Internet of Things” – wszystko, co tylko spełnia jakąś funkcję użytkową, od teraz będzie mogło spełniać ją równocześnie udostępniając do tego dostęp poprzez internet i wyświetlacz.

    To jest oczekiwane zbawienie dla całego światowego przemysłu i coś, co może ponownie napędzić konsumpcję do skali znanej z lat 80-tych i 90-tych. Wszystko oczywiście ubierze się w odpowiednią otoczkę marketingową, okrasi olśniewającymi reklamami itd. Wszystko w imię nowych zysków.

    A druga strona medalu – wiemy, co nas czeka. W parze z pośpiechem kierującym chęcią bycia lepszym, pierwszym itd. nie pójdzie na pewno jakość softu w takich sprzętach. Dodatkowo ich podpięcie do internetu zwielokrotni ryzyko. Botnety oparte o urządzenia AGD, włamania do sieci domowych i firmowych poprzez podatne interfejsy administracyjne takich urządzeń (że piszę bzdury? A ataki na sieci korporacyjne z wykorzystaniem np. drukarek? A dziury w urządzeniach sieciowych, o których pełno można przeczytać choćby na Sekuraku?).

    Każde urządzenie mające adres IP i dostępne z zewnątrz będzie potencjalnie nowym punktem wejścia do dowolnej sieci. Cieszy to, że OWASP jako jedna z pierwszych organizacji widzi to zagrożenie i już nas na nie szykuje.

    To już było – początki internetu (lata 90-te) i ataki na serwery, których oprogramowanie nie było przystosowane do obrony przed nowymi zagrożeniami, potem początek ery www i „ataki” na ciasteczka przechowujące ‚admin=1’, zanim webmasterzy nie nauczyli się, że choć ciasteczek „nie widać”, to one jednak są :). Potem nadeszła era Web 2.0 – i znowu, zanim cały światek programistyczny się ogarnął, takie rzeczy jak SQLi, słabe mechanizmy autoryzacji, LFI, RFI, ataki poprzez niezabezpieczone requesty asynchroniczne i tak dalej były chlebem powszednim.

    To samo czeka „Internet of Things”.

    Jedyne, czego się obawiam, to to, że wielu programistów nie nadąża za rozwojem tych zagrożeń. O ile zagrożenia z ery początków internetu i ery ‚admin=1’ w ciasteczku raczej mamy za sobą (przynajmniej nie są to tak powszechne podatności, jak wtedy), o tyle zagrożenia związane z Web 2.0 nadal pozostają słabą stroną dużej części aplikacji webowych.

    Gdy nałożymy na to początkową fazę IoT, możemy mieć problem. Duży problem. Naprawdę stoimy przed ogromnym wyzwaniem, jak przeciętnemu, nie obeznanemu z bezpieczeńswtem użytkownikowi – to bezpieczeńswto zapewnić. Na producentów nie ma co liczyć, każdą wpadkę będą łatać na bieżąco, pijarowo zamiatając problem pod dywan. Jak pokazuje historia, nawet bardzo duże wpadki w obszarze security nie zaszkodziły mocno żadnej firmie, bo po prostu takie rzeczy owszem, są medialne, ale tylko przez moment, i konsumenci szybko zapominają (bo to trudny temat).

    Odpowiedz
  6. Warto obserwować temat, szczególnie ze względu na prace nad Smart Grid i HAN (home area network). To wbrew pozorom może mieć dużo wspólnego :)

    Odpowiedz
  7. @bl4de – bardzo dobry komentarz, mam podobne przemyślenia w tym temacie.

    Odpowiedz
  8. MateuszM

    @bl4de, tak to jest jak się chce używać lodówki do oglądania [misia koralgola]. Może warto sobie przypomnieć filozofię UNIX-a i przełożyć ją na grunt urządzeń – niech każde robi dobrze jedną konkretną rzecz. Mam wrażenie, że te komputery w lodówkach mają tylko zamaskować problem niskiej jakości chłodzenia itp.

    Odpowiedz
  9. @bl4de

    @MateuszM
    Zapomniałeś, że żyjemy w czasach, w których na pierwszym miejscu stawia się zysk i ciągłe wzrosty (wszystkiego: sprzedaży, zysku R/R, udziału w rynku). Komu nie „wzrasta”, ten się cofa.

    Idee, filozofie i zasady odeszły w kąt i stały się domeną pasjonatów. A rynek – rynek rządzi się prawem $$$.

    Przemysł wkracza w erę IoT, gdzie wszystkie urządzenia będą „smart” i „intelligent” i to będzie teraz mocno eksponowane.
    Jeśli konsumenci będą chcieli oglądać „misia kolabora” na ekranie lodówki – to zapewniam Cię, że taka lodówka na rynku się pojawi i nikt nie będzie przejmował się głosem paru krytyków, że nie bardzo chłodzi.

    Odpowiedz
  10. tak, a najbardziej trafionym produktem jest taki, który psuje się zaraz po upływie gwarancji…

    Odpowiedz

Odpowiedz