Navigacija
Lista poslednjih: 16, 32, 64, 128 poruka.

Dobrodosli - IoT Security Foundation

[es] :: Security :: Dobrodosli - IoT Security Foundation

Strane: 1 2

[ Pregleda: 5340 | Odgovora: 31 ] > FB > Twit

Postavi temu Odgovori

Autor

Pretraga teme: Traži
Markiranje Štampanje RSS

mikikg
System administrator
Srbija

Član broj: 3779
Poruke: 5059
*.dynamic.sbb.rs.

Sajt: yu3ma.net


+505 Profil

icon Dobrodosli - IoT Security Foundation17.02.2019. u 04:42 - pre 62 meseci
Napokon nesto malo "ozbiljnije":

https://www.iotsecurityfoundation.org

Citat:

Our Mission: Make it Safe to Connect

Our mission is to help secure the Internet of Things, in order to aid its adoption and maximise its benefits. To do this we will promote knowledge and clear best practice in appropriate security to those who specify, make and use IoT products and systems.

Build Secure, Buy Secure, Be Secure

About Us

The IoT Security Foundation was established to respond to the myriad of challenges and concerns over security:

It is a non-profit organisation dedicated to driving security excellence.
It is a collaborative, vendor-neutral, international initiative aspiring to be the expert resource for sharing knowledge, best practice and advice.
It is a member-driven, interactive resource led by an executive steering board.
It has an on-going programme designed to propagate good security practice, increase adopter knowledge and raise user confidence.

Along with the opportunity comes the security challenge: With more and more devices becoming connected, the attack surface for adversaries is target-rich. What is considered secure today may not be tomorrow. A typical IoT system will rely on data and networks of variable provenance, Cloud_pngdevices may be expected to run on batteries for many years and new vulnerabilities are likely to be required to be patched in the field and at scale. Whilst we can learn lessons from the pc and mobile era’s, IoT systems are breaking new ground and so are the security challenges.

IoT security is top concern for executives. Along with the technical challenges, IoT security is on the board room agenda. With more than just reputations at stake, it is imperative that technology providers, system adopters and users work together to ensure security is fit-for-purpose. It is fundamental to the adoption of systems and reaping the social and business benefits.



Ukratko, neprofitabilna organizacija koja se bavi preporukama, best practice i temeljnom studio svih aspekta sigurnosti nekog IoT uredjaja ili sistema.

Kao sto trenutno postoje razni standardi i sertifikati vezani za "struju", EMI testovi i slicno, generalno na primer jedna CE sertifikacija uredjaja, tako ce vrlo vrlo brzo poceti da se primenjuje klasifikacija i sertifikacija IoT uredjaja vezane za razne aspekte "digitalne sigurnosti", postojace na primer Class 0 koji ce da bude "generalna", dakle uredjaj nema nikakve "probleme niti posledice" u vezi sigurnosti (total offline), dalje na primer Class 1 ce biti uredjaji koji su online ali bez nekih vecih sigurnostnih rizika, pa Class 2 za uredjaje vezane na struju ili gas i tako dalje i tako dalje.

Tema je veoma obimna i vrlo je nezgodna posto se provlaci kroz KOMLETAN biznis model i nacin poslovanja pa tek na kraju dolazi neka tehnicka implementacija prakticnih resenja.
Ne moze nista da se resi nekakvom "bibliotekom", stvar je drasticno slozenija i podrazumeva da se neke stvari i pristupi fundamentalno promene ili u suprotnom produkt ili sistem nece moci da prodje buducu sertifikaciju za odredjenu oblast primene!

Nece moci vise da se pustaju u rad i eksploataciju uredjaji koje ne zadovoljavaju makar OSNOVNE zahteve digitalne sigurnosti, tacno ce da se zna sta mora da se ispuni.

Na primer pogledajte ovaj template-upitnik koji je u prilogu. Tu je spakovano nekih 15-ak stranica, svaka stranica sa 10 do 40 stavki tj pitanja na koja mora da se upise odgovor i da se predoci dokaz za to (evidence) kako je tacno ta stvaka resena.

Na firmi tj direktorima i developerima je da se "snadju kako znaju", nema vise opravdanja "nisam znao da treba da zastitim program", nema vise nikakvih predpostavki da li ce nesto desiti ili nece (nekakva zloupotreba/hack itd), jednostavno ce morati da se sve te situacije propisno "izhendluju" ukljucujuci biznis model i sve SW i HW komponente u okviru njega.



Site about Software Defined Radio – SDR
http://yu3ma.net/
https://github.com/yu3ma
On-line LM317 kalkulator
Prikačeni fajlovi
 
Odgovor na temu

mikikg
System administrator
Srbija

Član broj: 3779
Poruke: 5059
*.dynamic.sbb.rs.

Sajt: yu3ma.net


+505 Profil

icon Re: Dobrodosli - IoT Security Foundation17.02.2019. u 05:40 - pre 62 meseci
Why Does Everything Get Hacked?


Site about Software Defined Radio – SDR
http://yu3ma.net/
https://github.com/yu3ma
On-line LM317 kalkulator
 
Odgovor na temu

bojan_bozovic

Član broj: 29028
Poruke: 3292
87.116.180.*

Sajt: angelstudio.org


+392 Profil

icon Re: Dobrodosli - IoT Security Foundation17.02.2019. u 07:06 - pre 62 meseci
To je snake oil, nikome, a pre svega drzavama i firmama, nije u interesu da ljudi zaista budu bezbedni, u to spada koriscenje privacy enhancing tools poput Tor i FOSS iskljucivo jer nijedna firma nece odbiti da radi sa law enforcement zastititi identitet svoga klijenta i dobiti silne kazne, a whistle bloweri i novinari koji se bore za ljudska prava po represivnim drzavama mogu i cesto koriste ista sredstva kao i cyber kriminalci od kojih nas "stite". IoT ce samo povecati deset puta podatke koje represivne drzave imaju o gradjanima, a npr. uopste nije potrebno nista dekriptovati, dovoljno je posmatrati kretanje nekoga da se sa velikom pouzdanoscu identifikuje sto je lako mobilnim telefonima sa GPS i geo-taggingom za fotografije.

Ako ja komuniciram sa nekim drugim, moze biti to osoba, ili glupi IoT uredjaj, zasto bih, ako ne moram, koristio javnu infrastrukturu (javne IP adrese) koje potencijalni protivnik moze koristiti (recimo da me identifikuje zato sto bas vzim BMW koji je IoT uredjaj), zasto ne bih koistio privatne IP adrese da potencijalni protivnik uopste i ne dodje do paketa izmedju mene i te druge osobe/iOT uredjaja? Bolesno, lose koncipirano, bas kako bi represivna drzava i zelela.
 
Odgovor na temu

mikikg
System administrator
Srbija

Član broj: 3779
Poruke: 5059
*.dynamic.sbb.rs.

Sajt: yu3ma.net


+505 Profil

icon Re: Dobrodosli - IoT Security Foundation17.02.2019. u 07:21 - pre 62 meseci
Problem je u tome sto ova IoTSF fondacija ne daje nikakve garancije, totalno ih bas briga za sve moguce razloge koje neko moze da navede, vendor-indenpendent, cinjenica je da ce tih kojekakvih IoT cuda da bude sve vise i vise, ovi ljudi makar daju dobronamerne savete koje neko moze a ni u kom slucaju da mora da poslusa ili bilo sta radi po tom pitanju.

Svaku od tih IoT spravica se da "saceka" bad-guy u nekom trenutku i da se posle svi cekaju po glavi u firmi sto se to desilo.

Nisu oni sertifikaciono telo, upravo se radi o "Self-signed" sertifikatu, tek ce da se pojave negde neka sertifikaciona tela ...


Site about Software Defined Radio – SDR
http://yu3ma.net/
https://github.com/yu3ma
On-line LM317 kalkulator
 
Odgovor na temu

mikikg
System administrator
Srbija

Član broj: 3779
Poruke: 5059
*.dynamic.sbb.rs.

Sajt: yu3ma.net


+505 Profil

icon Re: Dobrodosli - IoT Security Foundation17.02.2019. u 15:25 - pre 62 meseci
Dodatni problem koji se tu javlja je u B2B, na primer neka firma koja radi integraciju i prakticnu implmentaciju nekog sistema u nekakvoj buducoj na primer stambenoj zgradi gde treba da se ugradi nekakav IoT device.

U tom celom lancu vrlo verovatno da se da se jave sledeci problemi po ovom scenariju:

- jedan od dobavljaca i provajdera nekog servisa (hosting, cloud itd) moze da ispuni gore spomenute klasifikacije
- druga firma radi neki drugi deo, recimo nekakvu aplikaciju vezano za to
- treca firma pravi konketano parce HW (ili ista firma radi i SW + tu je i firmware)

Problem nastaje kada recimo firma/team koja radi HW ne moze da ispuni potrebnu klasifikaciju, nebitno je zbog kog razloga ne moze, firma koja se bavi integraciom resenja onda preuzima odgovornost na sebe za necije tudje propuste, sto bi to iko radio.
Dakle zna se da postoje problemi, neko to u svom segmentu svog posla ne zeli ili ne ume ili ne zna (kazem nebitan je razlog) da resi i sad neko drugi da preuzme njegovu odgovornost? :)


Site about Software Defined Radio – SDR
http://yu3ma.net/
https://github.com/yu3ma
On-line LM317 kalkulator
 
Odgovor na temu

bojan_bozovic

Član broj: 29028
Poruke: 3292
87.116.181.*

Sajt: angelstudio.org


+392 Profil

icon Re: Dobrodosli - IoT Security Foundation17.02.2019. u 15:29 - pre 62 meseci
@mikikg

Nece biti takvih resenja, recimo samo par velikih firmi ce praviti to, Google Home, Amazon Echo/Alexa i to je to.
 
Odgovor na temu

mikikg
System administrator
Srbija

Član broj: 3779
Poruke: 5059
*.dynamic.sbb.rs.

Sajt: yu3ma.net


+505 Profil

icon Re: Dobrodosli - IoT Security Foundation17.02.2019. u 15:52 - pre 62 meseci
Mnogo ce jos petabajta proteci internetom dog stignemo dotle, u medjuvremenu ce poceti da se postavljaju pitanja tipa "sinko jel' tebi ta sprava sigurna?" :) ... ah da jeste ... "dokazi mi" ... pa znas ...

[Ovu poruku je menjao mikikg dana 17.02.2019. u 18:24 GMT+1]
Site about Software Defined Radio – SDR
http://yu3ma.net/
https://github.com/yu3ma
On-line LM317 kalkulator
 
Odgovor na temu

bojan_bozovic

Član broj: 29028
Poruke: 3292
87.116.181.*

Sajt: angelstudio.org


+392 Profil

icon Re: Dobrodosli - IoT Security Foundation17.02.2019. u 15:59 - pre 62 meseci
Bice nego sta. Sigurnost ce biti nula, a kolicina podataka koje ce advertiseri poput Googlea dobijati su strahovite, kao i nasrtaj na privatnost. Imas Smart Fridge i Google Home, glavno je tu da mozes da naredis glasom frizideru da ti ohladi vino za veceru na 20 stepeni. I kad to uradi, onda ce da te zatrpaju reklamama za skupa vina. DRM je manje zlo.
 
Odgovor na temu

mikikg
System administrator
Srbija

Član broj: 3779
Poruke: 5059
*.dynamic.sbb.rs.

Sajt: yu3ma.net


+505 Profil

icon Re: Dobrodosli - IoT Security Foundation17.02.2019. u 16:12 - pre 62 meseci
@bojan_bozovic da li si za to da nama svima u kompletu bude sigurnost i privatnost 0% i da nas rade koje-kakvi dokoni mamlazi i hakeri, da nam cure licni podaci na sve strane da moze da ih gleda svaka susa kako hoce ili si za to da se pomerimo makar na 1% i da se potrudimo da neke stvari makar predupredimo?
Site about Software Defined Radio – SDR
http://yu3ma.net/
https://github.com/yu3ma
On-line LM317 kalkulator
 
Odgovor na temu

bojan_bozovic

Član broj: 29028
Poruke: 3292
87.116.180.*

Sajt: angelstudio.org


+392 Profil

icon Re: Dobrodosli - IoT Security Foundation17.02.2019. u 16:21 - pre 62 meseci
Naravno da nisam, ali takvi se sistemi ne prave na zalost sa sigurnoscu korisnika u prvom planu, i tesko da ce se to promeniti. Uvek ce biti mogucnosti da se takve stvari ne kupe i smanji uticaj na sigurnost, problem je sto ce vecina koristiti IOT, recimo ako tvoj auto bude IOT neke stvari neces moci da izbegnes. A sumnjam da ce polovnjaci imati ikakve security updateove. Uzas.
 
Odgovor na temu

mikikg
System administrator
Srbija

Član broj: 3779
Poruke: 5059
*.dynamic.sbb.rs.

Sajt: yu3ma.net


+505 Profil

icon Re: Dobrodosli - IoT Security Foundation17.02.2019. u 16:27 - pre 62 meseci
Citat:
bojan_bozovic: A sumnjam da ce polovnjaci imati ikakve security updateove. Uzas.


Bas uzas. Ovi iz IotSF su se bavili upravo i takvim scenariom. Bas si lep primer spomenuo.

Sta se desava sa uredjajem nakon sto promeni vlasnika ili zavrsi radni vek a u njemu ili preko njega tamo vezano brdo nekih informacija, tipa gde je to vozilo islo, koje pumpe je posecivao i sta ja znam sta ce sve da smisle i uvezu u mrezu i sutra neko dodje na "izvolte" takvim informacijama? Ogroooomni problemi ....
Site about Software Defined Radio – SDR
http://yu3ma.net/
https://github.com/yu3ma
On-line LM317 kalkulator
 
Odgovor na temu

mikikg
System administrator
Srbija

Član broj: 3779
Poruke: 5059
*.dynamic.sbb.rs.

Sajt: yu3ma.net


+505 Profil

icon Re: Dobrodosli - IoT Security Foundation17.02.2019. u 23:46 - pre 62 meseci
Cela ova prica i trenutna situacija sa security bi mogla da se predstavi bukvalno ovako :)


Site about Software Defined Radio – SDR
http://yu3ma.net/
https://github.com/yu3ma
On-line LM317 kalkulator
 
Odgovor na temu

bojan_bozovic

Član broj: 29028
Poruke: 3292
87.116.182.*

Sajt: angelstudio.org


+392 Profil

icon Re: Dobrodosli - IoT Security Foundation18.02.2019. u 08:32 - pre 62 meseci
Problem je sto executive funkcioneri u firmama ne smeju da rade na stvarima koje se odnose na security arhitekturu a to rade. Njima je vazno samo da nesto lici na dobru ideju, nije bitno sto je sa aspekta bezbednosti losa, kao IOT, ipak se oni pitaju kakav ce proizvod da se izbaci na trziste, a kupci kupuju sve sto im se servira. Lepo je to iz USA i "zapada" gde policija ne sme da pritvara bez razloga, mlati, ucenjuje, gde postuju tvoja prava, u vukojebinskim diktaturama uopste nije tako. A tu su i cyber kiminalci, zeljni da dodju do licnih podataka da bi mogli da ostvare korist. Samo napraviti uredjaj i staviti softver na njega podrazumeva odgovornost, ali kupci ne zele da plate kvalitetan softver, nisu nikada, i zato je dozvoljeno zakonom da firme nude sa aspekta bezbednosti problematicna resenja i da niko nije odgovoran. U starom Rimu su graditelji mostova morali da budu ispod njih dok legija marsira preko, sta bi bilo da sw/hw danas mora da prolazi takve testove?
 
Odgovor na temu

mikikg
System administrator
Srbija

Član broj: 3779
Poruke: 5059
*.dynamic.sbb.rs.

Sajt: yu3ma.net


+505 Profil

icon Re: Dobrodosli - IoT Security Foundation18.02.2019. u 11:14 - pre 62 meseci
Vidi, recimo da je neki StartUp u pitanju, direktoru i developerima je u interesu da sve ove gore spomenute stvari oko security znaju, nevezano za sertifikaciju, to je u njihovom interesu da im servis i proizvod budu fino i uredno odradjeni.
U tom trenutku, nova firma, implementacija samo ovakve logike razmisljanja je ogroman iskorak koji generalno povecava kvalitet i tacno znas gde si dobar a gde si slab i firma bi trebala da se trudi da radi dalje na unapredjenju tog segmenta, svesni su da ne mogu 100% da ispostuju sve, ispostuj koliko mozes a ostalo bar da znas da ti je problem.

IoTSF je koliko vidim stvarno vrlo ozbiljan pokusaj i vidim da su samo za WEB segment bazirali metodologiju na O.W.A.S.P.
Moze da prica ko sta hoce, mene su ti OWASP testovi nebrojeno puta spasili na raznim WEB projektima!
Iskreno, najsikrenije, WEB developer koji ne koristi ili nije upucen oko O.W.A.S.P. bolje da mi se "ne pojavljuje na oci" :)
Site about Software Defined Radio – SDR
http://yu3ma.net/
https://github.com/yu3ma
On-line LM317 kalkulator
 
Odgovor na temu

bojan_bozovic

Član broj: 29028
Poruke: 3292
87.116.183.*

Sajt: angelstudio.org


+392 Profil

icon Re: Dobrodosli - IoT Security Foundation18.02.2019. u 13:37 - pre 62 meseci
Citat:
2.Use a hardware-based tamper-resistant capability (e.g. a microcontroller security subsystem, Secure Access Module (SAM) or Trusted Platform Module (TPM)) to store crucial data items and run the trusted authentication/cryptographic functions required for the boot process. Its limited secure storage capacity must hold the read-only first stage of the bootloader and all other data required to verify the authenticity of firmware.


Samo sto je nesto hardware based, ne znaci da je bolje od softverskog resenja. Nije moguce patchovati security flaw osim ako nije u mikrokodu/firmwareu! Mozda ovo bude dobar primer https://motherboard.vice.com/e...ves-have-really-bad-encryption

Citat:
According to Green, the worst of the problems is how the encryption keys are generated. "[Western Digital] does it using the C rand() function, which is known not to be cryptographically secure," he wrote. Rand() is a very simple command for returning a pseudo-random number, and is not up to the task of producing a suitably strong key for keeping data secure.


I to je gigant Western Digital.

Citat:
7.Set permissions so users/applications cannot write to the root file system.


https://www.iotsecurityfoundat...-1.2.1-December-2018_final.pdf

Ako hacker moze da dobije root privilegije, mora i korisnik. Sta cu ja kao korinik da radim ako je IOT uredjaj kompromitovan i root fs izmenjen, ako mi je onemoguceno da ga menjam? A to je samo vrh ledenog brega. Sta konkretno zahtev [7] cini i od koga "stiti" uredjaj, od hackera ili korisnika?

Citat:
5.Incorporate security into all stages of the software development lifecycle, including software design,secure source code storage and traceability, code reviews, code analysis tools etc.


Problem je s ovim veliki, zasto?
Sertifikacija development procesa ne moze da garantuje da nece biti security propusta. Samo testiranje softvera ne moze da garantuje da nema bagova [Dijkstra]. Potrebna je zakonska regulativa koja ce od IOT vendora da trazi da zakrpe security rupe izvestan broj godina nakon sto je uredjaj povucen iz prodaje

Citat:
1.A device should be uniquely identifiable by means of a factory-set tamper resistant hardware identifier if possible.


Ayatollah of Iran approves. Nakon sto se ID uredjaja poveze sa korisnikom (moze prilikom kupovine npr. automobila), bice ga moguce uvek prepoznati dok se ne proda, pa tako i pratiti, ili instalirati rootkit na njega. Tacno ce "sluzba" da zna gde rootkit treba da se instalira. Nesto kao IMEI za telefon.

Citat:
–Securing Software Updates


Mnogo problema ima ovde, to je borba protiv FOSS a ne protiv dovoljno sposobnog napadaca. Ako postoji security flaw i napadac dobije root privilegije, nece mu trebati koriscenje oficijalnog update mehanizma da instalira sopstveni maliciozni payload na sistem. Traze zatvoreni a ne otvoreni sistem, proizvodjac moze odbiti da se na IOT uredjaj instalira alternativni softver koji nema security flaw. Korisnik nece moci sam da vrsi update. Vlasnik takvog zatvorenog sistema u sustini nije korisnik vec proizvodjac uredjaja.



 
Odgovor na temu

bojan_bozovic

Član broj: 29028
Poruke: 3292
87.116.183.*

Sajt: angelstudio.org


+392 Profil

icon Re: Dobrodosli - IoT Security Foundation18.02.2019. u 13:37 - pre 62 meseci
Sa https://www.iotsecurityfoundat...-1.2.1-December-2018_final.pdf


Citat:
2.Use a hardware-based tamper-resistant capability (e.g. a microcontroller security subsystem, Secure Access Module (SAM) or Trusted Platform Module (TPM)) to store crucial data items and run the trusted authentication/cryptographic functions required for the boot process. Its limited secure storage capacity must hold the read-only first stage of the bootloader and all other data required to verify the authenticity of firmware.


Samo sto je nesto hardware based, ne znaci da je bolje od softverskog resenja. Nije moguce patchovati security flaw osim ako nije u mikrokodu/firmwareu! Mozda ovo bude dobar primer https://motherboard.vice.com/e...ves-have-really-bad-encryption

Citat:
According to Green, the worst of the problems is how the encryption keys are generated. "[Western Digital] does it using the C rand() function, which is known not to be cryptographically secure," he wrote. Rand() is a very simple command for returning a pseudo-random number, and is not up to the task of producing a suitably strong key for keeping data secure.


I to je gigant Western Digital.

Citat:
7.Set permissions so users/applications cannot write to the root file system.



Ako hacker moze da dobije root privilegije, mora i korisnik. Sta cu ja kao korinik da radim ako je IOT uredjaj kompromitovan i root fs izmenjen, ako mi je onemoguceno da ga menjam? A to je samo vrh ledenog brega. Sta konkretno zahtev [7] cini i od koga "stiti" uredjaj, od hackera ili korisnika?

Citat:
5.Incorporate security into all stages of the software development lifecycle, including software design,secure source code storage and traceability, code reviews, code analysis tools etc.


Problem je s ovim veliki, zasto?
Sertifikacija development procesa ne moze da garantuje da nece biti security propusta. Samo testiranje softvera ne moze da garantuje da nema bagova [Dijkstra]. Potrebna je zakonska regulativa koja ce od IOT vendora da trazi da zakrpe security rupe izvestan broj godina nakon sto je uredjaj povucen iz prodaje

Citat:
1.A device should be uniquely identifiable by means of a factory-set tamper resistant hardware identifier if possible.


Ayatollah of Iran approves. Nakon sto se ID uredjaja poveze sa korisnikom (moze prilikom kupovine npr. automobila), bice ga moguce uvek prepoznati dok se ne proda, pa tako i pratiti, ili instalirati rootkit na njega. Tacno ce "sluzba" da zna gde rootkit treba da se instalira. Nesto kao IMEI za telefon.

Citat:
–Securing Software Updates


Mnogo problema ima ovde, to je borba protiv FOSS a ne protiv dovoljno sposobnog napadaca. Ako postoji security flaw i napadac dobije root privilegije, nece mu trebati koriscenje oficijalnog update mehanizma da instalira sopstveni maliciozni payload na sistem. Traze zatvoreni a ne otvoreni sistem, proizvodjac moze odbiti da se na IOT uredjaj instalira alternativni softver koji nema security flaw. Korisnik nece moci sam da vrsi update. Vlasnik takvog zatvorenog sistema u sustini nije korisnik vec proizvodjac uredjaja.

Evo bas o cemu se radi.

Citat:
1.Encrypt update packagesto hinder reverse engineering.

2.The update routine must cryptographically validate the integrity and authenticity of a software update package before installation begins. Updates performedduring a device re-boot must include these checksas part of the secure boot process -see Best Practice Guide C: Device Secure Boot.

6.Implement a trusted anti-rollback function, to prevent unauthorised reversion to earlier software versions with known security vulnerabilities.



 
Odgovor na temu

mikikg
System administrator
Srbija

Član broj: 3779
Poruke: 5059
*.dynamic.sbb.rs.

Sajt: yu3ma.net


+505 Profil

icon Re: Dobrodosli - IoT Security Foundation18.02.2019. u 14:23 - pre 62 meseci
>>> Samo sto je nesto hardware based, ne znaci da je bolje od softverskog resenja. Nije moguce patchovati security flaw osim ako nije u mikrokodu/firmwareu! Mozda ovo bude dobar primer https://motherboard.vice.com/e...ves-have-really-bad-encryption

To su predlozili iz iskustva, u mnogim slucajevima je problem iskljucivo bio vezan zbog toga sto je kompromitovan PRIVATNI kljuc (ne sto je falicna enkripcija), u SW domenu je mnogo lakse doci nekako do kljuca, posebno ako je zlonamerni user dobio root privilegije.
Ako imas TPM ili nesto slicno tome sto se iskljucivo bavi nekom crypto funkcijom, u tom HW je smesten i PRIVATNI kljuc, jednom je isprogramiran negde/nekako i stavljen FUSE katanac za iscitavanje, ne moze vise da se iscita kljuc (operise se sa JAVNIM), ajd da budem realniji, izuzetno tesko moze da se iscupa PRIVATNI kljuc iz takvog parceta HW cak i ako user ima root privilegije u OS!!!

Moram da idem, pisacu kasnije oko ostalih tacaka ...
Site about Software Defined Radio – SDR
http://yu3ma.net/
https://github.com/yu3ma
On-line LM317 kalkulator
 
Odgovor na temu

bojan_bozovic

Član broj: 29028
Poruke: 3292
87.116.181.*

Sajt: angelstudio.org


+392 Profil

icon Re: Dobrodosli - IoT Security Foundation18.02.2019. u 15:43 - pre 62 meseci
Ako je napadac dobio root privilegije, najmanji je problem da instalira rootkit i payload bez obzira na potpisani firmware/os.

Evo recimo da korisnik ima IOT automobil. Napadac recimo uspeva da posalje paket na ranjivi servis na IOT uredjaju, vrsi izvrsenje svog malicioznog koda. S obzirom da ne moze da zameni potpisani OS i boot loader, preko svoga servera instalira executable loader (za izvrsavanje nepotpisanih fajlova) i sopstveni maliciozni payload. Njgov command & control server ce izvrsiti periodicnu proveru, i ako ne postoji rootkit na IOT uredjaju, instalirati ga opet. Na taj nacin iako ne moze zameniti potpisani bootloader i OS IOT uredjaja, skoro uvek omogucava izvrsenje svog malicioznog payloada, koji na primer periodicno uploaduje podatke o kretanju automobila na njegov server.
 
Odgovor na temu

bojan_bozovic

Član broj: 29028
Poruke: 3292
87.116.181.*

Sajt: angelstudio.org


+392 Profil

icon Re: Dobrodosli - IoT Security Foundation18.02.2019. u 17:00 - pre 62 meseci
Dalje, kako je u TPM privatni kljuc? Recimo proizvodjac auta ima svoj mali CA, i RSA key pairs, jedan za IOT, i recimo drugi za entertainment system od drugog proizvodjaca.

RSA funkcionise ovako, recimo, sa GNU PG proizvodjac koristi svoj privatni kljuc da enkriptuje update tarball i javni kljuc od Mercedes-Benz S Class. Hardver koristi kljuc, to su javni kljuc (Mercedes-Benz AG) i svoj privatni kljuc (recimo kljuc Mercedes-Benz S class) da dekriptuje update. Tim kljucevima GNUPG (RSA) ne moze da enkriptuje update za drugi Mercedes-Benz S Class. To moze samo proizvodjac svojim privatnim kljucem.

Ako haker vec hakuje IOT auto, najmanji mu je problem iskoristiti sam hakovani IOT Mercedes-Benz S Class i njegov TPM da dekriptuje sta vec zeli od enkriptovanih updatea.

Imam GNUPG na kompjuteru i koristim RSA.
 
Odgovor na temu

mikikg
System administrator
Srbija

Član broj: 3779
Poruke: 5059
*.dynamic.sbb.rs.

Sajt: yu3ma.net


+505 Profil

icon Re: Dobrodosli - IoT Security Foundation18.02.2019. u 18:00 - pre 62 meseci
Ima i ja neke crypto HW i experimenttisem sa njim i ECDSA, dosta jednostavniji user case ...

Caka je tome da se resi i bootloader, i provera potpisa firmwera i ono najbitnije da se tokom rada programa koji recimo da salje neke podatke na udaljen server, svaki blok podataka da se potpise sa tim nekim TPM i njegovim super-tajnim privatnim kljucem (ja koristim Maximomv neki I2C device za to) i sa druge strane na serveru da se provera taj potpis sa javnim kljucevima.
Svaki device bi trebao da ima svoj jedinstvern privatni kljuc, nikako da se ponavlja isti na drugim primercima, svi Javni kljucevi od tih device stoje na serveru i tamo se proverava integritet poruke, IoT HW je potpisao razne podatke u bloku "datum, IP-ako-ima, neki seriski broj uredjaja, nesto trece, nesto cetvrto pa onda npr JSON sa podacima/payload", sve to na gomili potpisano.

Dakle poruka je vrlo tvrdo potpisna, nije zasticena nista (drugi mehanizmi se time bave ako treba), dakle server u najgorem slucaju moze da dobije nekako spufovane podatke, nije na primer izmerena vrednost tamo na A/D konverteru 123 nego haker jedino uspeo to da prebaci da pise 456, sve proslo kroz crypto i potpisano, tacno stoji koji device, koji IP, vreme itd samo su podaci "cudni".
Moramo priznati da je to malice sigurnije, opet ne savrseno ali smo se malo pomerili na bolje, bar mogu sa velikom verovatnocom da tvrdim da su stigli podaci bas sa tog nekog device koji ima taj neki moj modul i da je neko dosao u posed toga i pocinje da hakuje.
Kompromitovana je samo ta jedna sprava, nikako deo ili slucajno ceo sistem, drugi sad neki mehanizmi trebaju da prepoznaju "cudno ponasanje" pa da ti alertuju i da Administrator malo to detaljnije analizira.

Nista ne moze da se resi u jednoj tacki, to treba da bude integralno resenje, po svim nekim tackama da se ishendluju zahtevi.

Opet kazem, sa ovim smo se vec mrdnuli sa mrtve tacke, to je daleko sigurnije nego da nista od toga nije ni bilo implementirano.
Site about Software Defined Radio – SDR
http://yu3ma.net/
https://github.com/yu3ma
On-line LM317 kalkulator
 
Odgovor na temu

[es] :: Security :: Dobrodosli - IoT Security Foundation

Strane: 1 2

[ Pregleda: 5340 | Odgovora: 31 ] > FB > Twit

Postavi temu Odgovori

Navigacija
Lista poslednjih: 16, 32, 64, 128 poruka.