Successfully reported this slideshow.
We use your LinkedIn profile and activity data to personalize ads and to show you more relevant ads. You can change your ad preferences anytime.

Интернет уязвимых вещей

242 views

Published on

Доклад Екатерины Овеченко на конференции SQA Days-20. 24-26 ноября 2016. Минск
www.sqadays.com

Published in: Education
  • Be the first to comment

  • Be the first to like this

Интернет уязвимых вещей

  1. 1. Software quality assurance days 20 Международная конференция по вопросам качества ПО sqadays.com Минск. 24–26 ноября 2016 Катерина Овеченко ITERA. Киев, Украина Интернет уязвимых вещей
  2. 2. Интернет уязвимых вещей ВЗЛОМ SAMSUNG IOT ПЛАТФОРМЫ
  3. 3. WEB THINGS EMBEDDED SYSTEMS Интернет уязвимых вещей (ВСТРОЕННЫЕ СИСТЕМЫ) (ВЕБ ВЕЩЕЙ)
  4. 4. ОСНОВНЫЕ РИСКИ Интернет уязвимых вещей Вопросы конфиден- циальности Перебои и DOS атаки Понимание всех последствий уязвимости Процесс управления IoT уявимостями Спрос на увеличение пропускной способности сети
  5. 5. TOP 10 УЯЗВИМОСТЕЙ IOT УСТРОЙСТВ (OWASP) Интернет уязвимых вещей Веб и мобильные интерфейсы Облако Сеть и передача Умные устройства I1 Ненадежные веб интерфейсы Insecure web interfaces I6 Ненадежный облачный интерфейс Insecure cloud interface I2 Недостаточная аутентификация и авторизация Insufficient authentication/authorization I7 Ненадежный мобильный интерфейс Insecure mobile interface I3 Ненадежные сетевые сервисы Insecure network services I8 Недостаточная конфигурируемость безопасности Insufficient security configurability I4 Отсутствие траспортного шифрования Lack of transport encryption I9 Ненадежное ПО прошивка Insecure software/firmware I5 Вопросы конфиденциальности Privacy concerns I10 Недостаточная физическая безопасность Poor physical security
  6. 6. Интернет уязвимых вещей I2 Недостаточная аутентификация и авторизация (Insufficient authentication/authorization) Основные проблемы •Недостаточная сложность пароля •Стандартные логины/ пароли •Учетные данные не защищены при передаче •Небезопасный механизм восстановления пароля •Отсутвие управления доступом на основе ролей
  7. 7. I5 Вопросы конфиденциальности (Privacy concerns) Интернет уязвимых вещей Основные проблемы •Слишком много личных данных собирается •Данные не защищены при хранении и при передаче •У пользователей нет возможности отказаться от сбора определнных данных Что и как проверять? •Политика конфиденциальности •HTTPS и алгоритмы шифрования •Роли и уровни доступа
  8. 8. Интернет уязвимых вещей I8 Недостаточная конфигурируемость безопасности (Insufficient security configurability) Основные проблемы •Отсутвие возможности поменять настройки безопасности •Отсутсвие разделенных моделей прав и ролей •Отсутствие параметров безопасности паролей •Отсутвие мониторинга и логирования
  9. 9. Интернет уязвимых вещей Основные проблемы •Наличие механизма обновления •Устройство может быть быстро обновлено при обнаружении уязвимостей •файлы обновления зашифрованы и передаются через защищенный канал •Файлы обновления подписаны и подпись проверяется перед установкой •Файлы обновления не содержат конфиденциальную информацию I9 Ненадежное ПО/ прошивка (insecure software/firmware)
  10. 10. Интернет уязвимых вещей Основные проблемы •Легко получить доступ к носителю информации (например, SD-карте) •Данные хранятся в незашифрованном виде •USB и аналогичные порты незащищены •Добавление ненужных портов на устройство I10 Недостаточная физическая безопасность (poor physical security)
  11. 11. Интернет уязвимых вещей Для безопасности IOT девайсов нужно менять подходы к их разработке 1. Фокус на безопаность с первого дня 2. Долгосрочная поддержка 3. Знай своего врага 4. Будьте готовы к уязвимостям
  12. 12. Интернет уязвимых вещей Следующие шаги Теория •OWASP IOT Project •ISACA Практика •Bug Bounty
  13. 13. Интернет уязвимых вещей Email: Kateryna.Ovechenko@Itera.no Skype: kateryna.ovechenko

×