17-18 listopada, Warszawa Michał Kurek, OWASP Polska IoT na celowniku cyberprzestępców Czy jest ratunek?
Agenda Czym jest IoT? Przyszłość IoT Czy IoT jest bezpieczne? Dlaczego NIE? Gdzie szukać pomocy?
Czym jest IoT? (1/2) Najpopularniejsza definicja IoT jest siecią fizycznych obiektów, które mają wbudowane technologie do komunikowania się, odbierania rzeczywistości i interakcji ze swoimi wewnętrznymi zbiorami danych oraz środowiskiem zewnętrznym. The Internet of Things is the network of physical objects that contains embedded technologies to communicate and sense or interact with their internal states or the external environment. The Internet of Things, Gartner IT. (n.d.). Retrieved from http://www.gartner.com/it-glossary/internet-of-things
Czym jest IoT? (2/2) Inne spojrzenie Illusion of Trust Internet of Junk Insecurity of Things IoT to interfejs pomiędzy fizycznym i cyfrowym światem który pozwala na przepływ informacji i kontrolowanie obiektów nas otaczających. IoT is the interface between the physical and digital world that allows one to gather information from and control everyday objects. Daniel Miessler, IoT Village, DEFCON 23, August 2015. Retrieved from https://www.owasp.org/images/3/36/iottestingmethodology.pdf
W jakim kierunku zmierzamy? Przyszłość IoT wg Cisco W 2008 roku ludność Ziemi i liczba podłączonych rzeczy się wyrównała Rok 2015: Ludzkość: 7,2 mld Podłączone rzeczy : 25 mld 99% rzeczy jest jeszcze niepodłączona Źródło: http://blogs.cisco.com/diversity/the-internet-of-things-infographic
Czy IoT jest bezpieczne? (1/2) Aplikacja internetowa
Czy IoT jest bezpieczne? (2/2) Podatność Prywatność Autoryzacja Szyfrowanie Opis Możliwe zbieranie danych użytkowników (w tym kart kredytowych i danych medycznych) 80% urządzeń Niewystarczające wymagania dotyczące złożoności haseł 80% urządzeń Brak szyfrowania komunikacji 70% urządzeń, 50% aplikacji mobilnych Interfejs webowy Software Interfejs użytkownika podatny na ataki typu XSS, słabe zarządzanie sesją, przesyłanie danych czystym tekstem 60% urządzeń Brak szyfrowania aktualizacji oprogramowania (a nawet modyfikacji) 60% urządzeń Źródło: Raport HP, Internet of Things Research Study.
Zwiększona powierzchnia ataku IoT Security!= Device Security Bezpieczeństwo aplikacji webowych Bezpieczeństwo aplikacji mobilnych Bezpieczeństwo komunikacji sieciowej Bezpieczeństwo software / firmware IoT Bezpieczeństwo fizyczne urządzeń Inne
Projekty OWASP poświęcone tematyce IoT (1/3)
Projekty OWASP poświęcone tematyce IoT (2/3) Ecosystem Access Control Ecosystem Communication Device Memory Device Physical Interfaces Device Web Interface Device Firmware Device Network Services Administrative Interface Update Mechanism Local Data Storage Mobile Application Network Traffic Cloud Web Interface Vendor Backend APIs Third-party Backend APIs
Projekty OWASP poświęcone tematyce IoT (3/3) I1 I2 I3 I4 I5 I6 I7 I8 I9 I10 Niebezpieczny interfejs webowy/ Web Interface Niewystarczające uwierzytelnianie/ autoryzacja Niebezpieczne serwisy sieciowe Brak szyfrowania komunikacji Kwestie dotyczące prywatności Niebezpieczny interfejs chmurowy/ Cloud Interface Niebezpieczny interfejs mobilny/ Mobile Interface Niewystarczająca konfigurowalność zabezpieczeń Niebezpieczny Software/ Firmware Słabe zabezpieczenia fizyczne
Podsumowanie Najbliższe lata to era IoT Zwiększone ryzyko ataków hakerskich Połączone rzeczy są jedynie tak bezpieczne jak cały ekosystem w którym się znajdują, włączając w to ludzi, procesy, technologie które biorą udział w ich wytwarzaniu i utrzymaniu. A właściwie jak najmniej bezpieczny element tej układanki! Testowanie bezpieczeństwa IoT nie jest niczym nowym Dorobek OWASP może pomóc w całościowym podejściu do bezpieczeństwa IoT Źródło: Cybersecurity and the Internet of Things, EY
17-18 listopada, Warszawa Dziękuje za uwagę!