SlideShare a Scribd company logo

Интернет уязвимых вещей

SQALab
SQALab
SQALabSQALab

Доклад Екатерины Овеченко на конференции SQA Days-20. 24-26 ноября 2016. Минск www.sqadays.com

Интернет уязвимых вещей

1 of 13
Download to read offline
Software quality assurance days
20 Международная конференция
по вопросам качества ПО
sqadays.com
Минск. 24–26 ноября 2016
Катерина Овеченко
ITERA. Киев, Украина
Интернет уязвимых вещей
Интернет уязвимых вещей
ВЗЛОМ SAMSUNG IOT
ПЛАТФОРМЫ
WEB THINGS
EMBEDDED SYSTEMS
Интернет уязвимых вещей
(ВСТРОЕННЫЕ СИСТЕМЫ)
(ВЕБ ВЕЩЕЙ)
ОСНОВНЫЕ РИСКИ
Интернет уязвимых вещей
Вопросы
конфиден-
циальности
Перебои и DOS
атаки
Понимание всех
последствий уязвимости
Процесс
управления IoT
уявимостями
Спрос на
увеличение
пропускной
способности
сети
TOP 10 УЯЗВИМОСТЕЙ IOT УСТРОЙСТВ (OWASP)
Интернет уязвимых вещей
Веб и мобильные
интерфейсы
Облако Сеть и
передача
Умные
устройства
I1 Ненадежные веб интерфейсы
Insecure web interfaces
I6 Ненадежный облачный
интерфейс
Insecure cloud interface
I2 Недостаточная
аутентификация и авторизация
Insufficient authentication/authorization
I7 Ненадежный мобильный
интерфейс
Insecure mobile interface
I3 Ненадежные сетевые сервисы
Insecure network services
I8 Недостаточная
конфигурируемость безопасности
Insufficient security configurability
I4 Отсутствие траспортного
шифрования
Lack of transport encryption
I9 Ненадежное ПО прошивка
Insecure software/firmware
I5 Вопросы конфиденциальности
Privacy concerns
I10 Недостаточная физическая
безопасность
Poor physical security
Интернет уязвимых вещей
I2 Недостаточная аутентификация и авторизация
(Insufficient authentication/authorization)
Основные проблемы
•Недостаточная сложность пароля
•Стандартные логины/ пароли
•Учетные данные не защищены при передаче
•Небезопасный механизм восстановления пароля
•Отсутвие управления доступом на основе ролей
Ad

Recommended

Использование Fiddler для эмуляции различных сетевых условий в автотестах
Использование Fiddler для эмуляции различных сетевых условий в автотестахИспользование Fiddler для эмуляции различных сетевых условий в автотестах
Использование Fiddler для эмуляции различных сетевых условий в автотестахSQALab
 
Экосистема Selenium
Экосистема SeleniumЭкосистема Selenium
Экосистема SeleniumSQALab
 
Пользовательские требования в жизни тестировщика
Пользовательские требования в жизни тестировщикаПользовательские требования в жизни тестировщика
Пользовательские требования в жизни тестировщикаSQALab
 
Тестирование PhoneGap-приложений: специфика + опыт
Тестирование PhoneGap-приложений: специфика + опытТестирование PhoneGap-приложений: специфика + опыт
Тестирование PhoneGap-приложений: специфика + опытSQALab
 
Psychology and testing
Psychology and testingPsychology and testing
Psychology and testingSQALab
 
Автоматизируем GUI тесты на питоне
Автоматизируем GUI тесты на питонеАвтоматизируем GUI тесты на питоне
Автоматизируем GUI тесты на питонеSQALab
 
Examples how to move towards Zero Defects
Examples how to move towards Zero DefectsExamples how to move towards Zero Defects
Examples how to move towards Zero DefectsSQALab
 
Автоматизация тестирования WEB API
Автоматизация тестирования WEB APIАвтоматизация тестирования WEB API
Автоматизация тестирования WEB APISQALab
 

More Related Content

Viewers also liked

Better Page Object Handling with Loadable Component Pattern
Better Page Object Handling with Loadable Component PatternBetter Page Object Handling with Loadable Component Pattern
Better Page Object Handling with Loadable Component PatternSQALab
 
С чего начинается родина в автоматизации Qiwi Wallet
С чего начинается родина в автоматизации Qiwi WalletС чего начинается родина в автоматизации Qiwi Wallet
С чего начинается родина в автоматизации Qiwi WalletSQALab
 
Оптимизация процесса тестирования с использованием аналитических подходов RCA...
Оптимизация процесса тестирования с использованием аналитических подходов RCA...Оптимизация процесса тестирования с использованием аналитических подходов RCA...
Оптимизация процесса тестирования с использованием аналитических подходов RCA...SQALab
 
Git хуки на страже качества кода
Git хуки на страже качества кодаGit хуки на страже качества кода
Git хуки на страже качества кодаSQALab
 
Мобильные браузеры: очевидное-невероятное
Мобильные браузеры: очевидное-невероятноеМобильные браузеры: очевидное-невероятное
Мобильные браузеры: очевидное-невероятноеSQALab
 
Что было, что есть, что будет: Current State vs. Common Sense
Что было, что есть, что будет: Current State vs. Common SenseЧто было, что есть, что будет: Current State vs. Common Sense
Что было, что есть, что будет: Current State vs. Common SenseSQALab
 
Обратная связь и целеполагание, как маяки надежды тестировщика
Обратная связь и целеполагание, как маяки надежды тестировщикаОбратная связь и целеполагание, как маяки надежды тестировщика
Обратная связь и целеполагание, как маяки надежды тестировщикаSQALab
 
Анализ инструментов автоматизации мобильного тестирования
Анализ инструментов автоматизации мобильного тестированияАнализ инструментов автоматизации мобильного тестирования
Анализ инструментов автоматизации мобильного тестированияSQALab
 
Автоматизация тестирования базы на примере PostgreSQL
Автоматизация тестирования базы на примере PostgreSQLАвтоматизация тестирования базы на примере PostgreSQL
Автоматизация тестирования базы на примере PostgreSQLSQALab
 
Ответственность за качество в разных ИТ-проектах
Ответственность за качество в разных ИТ-проектахОтветственность за качество в разных ИТ-проектах
Ответственность за качество в разных ИТ-проектахSQALab
 
Управление хаосом, или как жить когда число тестов перевалило за десятки тысяч
Управление хаосом, или как жить когда число тестов перевалило за десятки тысячУправление хаосом, или как жить когда число тестов перевалило за десятки тысяч
Управление хаосом, или как жить когда число тестов перевалило за десятки тысячSQALab
 
Определение pass/fail критериев при тестировании и анализе производительности
Определение pass/fail критериев при тестировании и анализе производительностиОпределение pass/fail критериев при тестировании и анализе производительности
Определение pass/fail критериев при тестировании и анализе производительностиSQALab
 
Путь тестировщика: Расту или деградирую?
Путь тестировщика: Расту или деградирую?Путь тестировщика: Расту или деградирую?
Путь тестировщика: Расту или деградирую?SQALab
 

Viewers also liked (13)

Better Page Object Handling with Loadable Component Pattern
Better Page Object Handling with Loadable Component PatternBetter Page Object Handling with Loadable Component Pattern
Better Page Object Handling with Loadable Component Pattern
 
С чего начинается родина в автоматизации Qiwi Wallet
С чего начинается родина в автоматизации Qiwi WalletС чего начинается родина в автоматизации Qiwi Wallet
С чего начинается родина в автоматизации Qiwi Wallet
 
Оптимизация процесса тестирования с использованием аналитических подходов RCA...
Оптимизация процесса тестирования с использованием аналитических подходов RCA...Оптимизация процесса тестирования с использованием аналитических подходов RCA...
Оптимизация процесса тестирования с использованием аналитических подходов RCA...
 
Git хуки на страже качества кода
Git хуки на страже качества кодаGit хуки на страже качества кода
Git хуки на страже качества кода
 
Мобильные браузеры: очевидное-невероятное
Мобильные браузеры: очевидное-невероятноеМобильные браузеры: очевидное-невероятное
Мобильные браузеры: очевидное-невероятное
 
Что было, что есть, что будет: Current State vs. Common Sense
Что было, что есть, что будет: Current State vs. Common SenseЧто было, что есть, что будет: Current State vs. Common Sense
Что было, что есть, что будет: Current State vs. Common Sense
 
Обратная связь и целеполагание, как маяки надежды тестировщика
Обратная связь и целеполагание, как маяки надежды тестировщикаОбратная связь и целеполагание, как маяки надежды тестировщика
Обратная связь и целеполагание, как маяки надежды тестировщика
 
Анализ инструментов автоматизации мобильного тестирования
Анализ инструментов автоматизации мобильного тестированияАнализ инструментов автоматизации мобильного тестирования
Анализ инструментов автоматизации мобильного тестирования
 
Автоматизация тестирования базы на примере PostgreSQL
Автоматизация тестирования базы на примере PostgreSQLАвтоматизация тестирования базы на примере PostgreSQL
Автоматизация тестирования базы на примере PostgreSQL
 
Ответственность за качество в разных ИТ-проектах
Ответственность за качество в разных ИТ-проектахОтветственность за качество в разных ИТ-проектах
Ответственность за качество в разных ИТ-проектах
 
Управление хаосом, или как жить когда число тестов перевалило за десятки тысяч
Управление хаосом, или как жить когда число тестов перевалило за десятки тысячУправление хаосом, или как жить когда число тестов перевалило за десятки тысяч
Управление хаосом, или как жить когда число тестов перевалило за десятки тысяч
 
Определение pass/fail критериев при тестировании и анализе производительности
Определение pass/fail критериев при тестировании и анализе производительностиОпределение pass/fail критериев при тестировании и анализе производительности
Определение pass/fail критериев при тестировании и анализе производительности
 
Путь тестировщика: Расту или деградирую?
Путь тестировщика: Расту или деградирую?Путь тестировщика: Расту или деградирую?
Путь тестировщика: Расту или деградирую?
 

More from SQALab

Готовим стажировку
Готовим стажировкуГотовим стажировку
Готовим стажировкуSQALab
 
Куда приводят мечты? или Искусство развития тестировщика
Куда приводят мечты? или Искусство развития тестировщикаКуда приводят мечты? или Искусство развития тестировщика
Куда приводят мечты? или Искусство развития тестировщикаSQALab
 
Оптимизация Selenium тестов и ускорение их поддержки
Оптимизация Selenium тестов и ускорение их поддержкиОптимизация Selenium тестов и ускорение их поддержки
Оптимизация Selenium тестов и ускорение их поддержкиSQALab
 
Автоматизация 0.0: 0 - бюджет, 0 - опыт программирования
Автоматизация 0.0: 0 - бюджет, 0 - опыт программированияАвтоматизация 0.0: 0 - бюджет, 0 - опыт программирования
Автоматизация 0.0: 0 - бюджет, 0 - опыт программированияSQALab
 
Нагрузочное тестирование нестандартных протоколов с использованием Citrix и J...
Нагрузочное тестирование нестандартных протоколов с использованием Citrix и J...Нагрузочное тестирование нестандартных протоколов с использованием Citrix и J...
Нагрузочное тестирование нестандартных протоколов с использованием Citrix и J...SQALab
 
Continuous performance testing
Continuous performance testingContinuous performance testing
Continuous performance testingSQALab
 
Конфиги вместо костылей. Pytestconfig и зачем он нужен
Конфиги вместо костылей. Pytestconfig и зачем он нуженКонфиги вместо костылей. Pytestconfig и зачем он нужен
Конфиги вместо костылей. Pytestconfig и зачем он нуженSQALab
 
Команда чемпионов в ИТ стихии
Команда чемпионов в ИТ стихииКоманда чемпионов в ИТ стихии
Команда чемпионов в ИТ стихииSQALab
 
API. Серебряная пуля в магазине советов
API. Серебряная пуля в магазине советовAPI. Серебряная пуля в магазине советов
API. Серебряная пуля в магазине советовSQALab
 
Добиваемся эффективности каждого из 9000+ UI-тестов
Добиваемся эффективности каждого из 9000+ UI-тестовДобиваемся эффективности каждого из 9000+ UI-тестов
Добиваемся эффективности каждого из 9000+ UI-тестовSQALab
 
Делаем автоматизацию проектных KPIs
Делаем автоматизацию проектных KPIsДелаем автоматизацию проектных KPIs
Делаем автоматизацию проектных KPIsSQALab
 
Вредные привычки в тест-менеджменте
Вредные привычки в тест-менеджментеВредные привычки в тест-менеджменте
Вредные привычки в тест-менеджментеSQALab
 
Мощь переполняет с JDI 2.0 - новая эра UI автоматизации
Мощь переполняет с JDI 2.0 - новая эра UI автоматизацииМощь переполняет с JDI 2.0 - новая эра UI автоматизации
Мощь переполняет с JDI 2.0 - новая эра UI автоматизацииSQALab
 
Как hh.ru дошли до 500 релизов в квартал без потери в качестве
Как hh.ru дошли до 500 релизов в квартал без потери в качествеКак hh.ru дошли до 500 релизов в квартал без потери в качестве
Как hh.ru дошли до 500 релизов в квартал без потери в качествеSQALab
 
Стили лидерства и тестирование
Стили лидерства и тестированиеСтили лидерства и тестирование
Стили лидерства и тестированиеSQALab
 
"Давайте не будем про качество"
"Давайте не будем про качество""Давайте не будем про качество"
"Давайте не будем про качество"SQALab
 
Apache.JMeter для .NET-проектов
Apache.JMeter для .NET-проектовApache.JMeter для .NET-проектов
Apache.JMeter для .NET-проектовSQALab
 
Тестирование геолокационных систем
Тестирование геолокационных системТестирование геолокационных систем
Тестирование геолокационных системSQALab
 
Лидер или босс? Вот в чем вопрос
Лидер или босс? Вот в чем вопросЛидер или босс? Вот в чем вопрос
Лидер или босс? Вот в чем вопросSQALab
 
От Зефира в коробке к Structure Zephyr или как тест-менеджеру перекроить внут...
От Зефира в коробке к Structure Zephyr или как тест-менеджеру перекроить внут...От Зефира в коробке к Structure Zephyr или как тест-менеджеру перекроить внут...
От Зефира в коробке к Structure Zephyr или как тест-менеджеру перекроить внут...SQALab
 

More from SQALab (20)

Готовим стажировку
Готовим стажировкуГотовим стажировку
Готовим стажировку
 
Куда приводят мечты? или Искусство развития тестировщика
Куда приводят мечты? или Искусство развития тестировщикаКуда приводят мечты? или Искусство развития тестировщика
Куда приводят мечты? или Искусство развития тестировщика
 
Оптимизация Selenium тестов и ускорение их поддержки
Оптимизация Selenium тестов и ускорение их поддержкиОптимизация Selenium тестов и ускорение их поддержки
Оптимизация Selenium тестов и ускорение их поддержки
 
Автоматизация 0.0: 0 - бюджет, 0 - опыт программирования
Автоматизация 0.0: 0 - бюджет, 0 - опыт программированияАвтоматизация 0.0: 0 - бюджет, 0 - опыт программирования
Автоматизация 0.0: 0 - бюджет, 0 - опыт программирования
 
Нагрузочное тестирование нестандартных протоколов с использованием Citrix и J...
Нагрузочное тестирование нестандартных протоколов с использованием Citrix и J...Нагрузочное тестирование нестандартных протоколов с использованием Citrix и J...
Нагрузочное тестирование нестандартных протоколов с использованием Citrix и J...
 
Continuous performance testing
Continuous performance testingContinuous performance testing
Continuous performance testing
 
Конфиги вместо костылей. Pytestconfig и зачем он нужен
Конфиги вместо костылей. Pytestconfig и зачем он нуженКонфиги вместо костылей. Pytestconfig и зачем он нужен
Конфиги вместо костылей. Pytestconfig и зачем он нужен
 
Команда чемпионов в ИТ стихии
Команда чемпионов в ИТ стихииКоманда чемпионов в ИТ стихии
Команда чемпионов в ИТ стихии
 
API. Серебряная пуля в магазине советов
API. Серебряная пуля в магазине советовAPI. Серебряная пуля в магазине советов
API. Серебряная пуля в магазине советов
 
Добиваемся эффективности каждого из 9000+ UI-тестов
Добиваемся эффективности каждого из 9000+ UI-тестовДобиваемся эффективности каждого из 9000+ UI-тестов
Добиваемся эффективности каждого из 9000+ UI-тестов
 
Делаем автоматизацию проектных KPIs
Делаем автоматизацию проектных KPIsДелаем автоматизацию проектных KPIs
Делаем автоматизацию проектных KPIs
 
Вредные привычки в тест-менеджменте
Вредные привычки в тест-менеджментеВредные привычки в тест-менеджменте
Вредные привычки в тест-менеджменте
 
Мощь переполняет с JDI 2.0 - новая эра UI автоматизации
Мощь переполняет с JDI 2.0 - новая эра UI автоматизацииМощь переполняет с JDI 2.0 - новая эра UI автоматизации
Мощь переполняет с JDI 2.0 - новая эра UI автоматизации
 
Как hh.ru дошли до 500 релизов в квартал без потери в качестве
Как hh.ru дошли до 500 релизов в квартал без потери в качествеКак hh.ru дошли до 500 релизов в квартал без потери в качестве
Как hh.ru дошли до 500 релизов в квартал без потери в качестве
 
Стили лидерства и тестирование
Стили лидерства и тестированиеСтили лидерства и тестирование
Стили лидерства и тестирование
 
"Давайте не будем про качество"
"Давайте не будем про качество""Давайте не будем про качество"
"Давайте не будем про качество"
 
Apache.JMeter для .NET-проектов
Apache.JMeter для .NET-проектовApache.JMeter для .NET-проектов
Apache.JMeter для .NET-проектов
 
Тестирование геолокационных систем
Тестирование геолокационных системТестирование геолокационных систем
Тестирование геолокационных систем
 
Лидер или босс? Вот в чем вопрос
Лидер или босс? Вот в чем вопросЛидер или босс? Вот в чем вопрос
Лидер или босс? Вот в чем вопрос
 
От Зефира в коробке к Structure Zephyr или как тест-менеджеру перекроить внут...
От Зефира в коробке к Structure Zephyr или как тест-менеджеру перекроить внут...От Зефира в коробке к Structure Zephyr или как тест-менеджеру перекроить внут...
От Зефира в коробке к Structure Zephyr или как тест-менеджеру перекроить внут...
 

Интернет уязвимых вещей

  • 1. Software quality assurance days 20 Международная конференция по вопросам качества ПО sqadays.com Минск. 24–26 ноября 2016 Катерина Овеченко ITERA. Киев, Украина Интернет уязвимых вещей
  • 3. WEB THINGS EMBEDDED SYSTEMS Интернет уязвимых вещей (ВСТРОЕННЫЕ СИСТЕМЫ) (ВЕБ ВЕЩЕЙ)
  • 4. ОСНОВНЫЕ РИСКИ Интернет уязвимых вещей Вопросы конфиден- циальности Перебои и DOS атаки Понимание всех последствий уязвимости Процесс управления IoT уявимостями Спрос на увеличение пропускной способности сети
  • 5. TOP 10 УЯЗВИМОСТЕЙ IOT УСТРОЙСТВ (OWASP) Интернет уязвимых вещей Веб и мобильные интерфейсы Облако Сеть и передача Умные устройства I1 Ненадежные веб интерфейсы Insecure web interfaces I6 Ненадежный облачный интерфейс Insecure cloud interface I2 Недостаточная аутентификация и авторизация Insufficient authentication/authorization I7 Ненадежный мобильный интерфейс Insecure mobile interface I3 Ненадежные сетевые сервисы Insecure network services I8 Недостаточная конфигурируемость безопасности Insufficient security configurability I4 Отсутствие траспортного шифрования Lack of transport encryption I9 Ненадежное ПО прошивка Insecure software/firmware I5 Вопросы конфиденциальности Privacy concerns I10 Недостаточная физическая безопасность Poor physical security
  • 6. Интернет уязвимых вещей I2 Недостаточная аутентификация и авторизация (Insufficient authentication/authorization) Основные проблемы •Недостаточная сложность пароля •Стандартные логины/ пароли •Учетные данные не защищены при передаче •Небезопасный механизм восстановления пароля •Отсутвие управления доступом на основе ролей
  • 7. I5 Вопросы конфиденциальности (Privacy concerns) Интернет уязвимых вещей Основные проблемы •Слишком много личных данных собирается •Данные не защищены при хранении и при передаче •У пользователей нет возможности отказаться от сбора определнных данных Что и как проверять? •Политика конфиденциальности •HTTPS и алгоритмы шифрования •Роли и уровни доступа
  • 8. Интернет уязвимых вещей I8 Недостаточная конфигурируемость безопасности (Insufficient security configurability) Основные проблемы •Отсутвие возможности поменять настройки безопасности •Отсутсвие разделенных моделей прав и ролей •Отсутствие параметров безопасности паролей •Отсутвие мониторинга и логирования
  • 9. Интернет уязвимых вещей Основные проблемы •Наличие механизма обновления •Устройство может быть быстро обновлено при обнаружении уязвимостей •файлы обновления зашифрованы и передаются через защищенный канал •Файлы обновления подписаны и подпись проверяется перед установкой •Файлы обновления не содержат конфиденциальную информацию I9 Ненадежное ПО/ прошивка (insecure software/firmware)
  • 10. Интернет уязвимых вещей Основные проблемы •Легко получить доступ к носителю информации (например, SD-карте) •Данные хранятся в незашифрованном виде •USB и аналогичные порты незащищены •Добавление ненужных портов на устройство I10 Недостаточная физическая безопасность (poor physical security)
  • 11. Интернет уязвимых вещей Для безопасности IOT девайсов нужно менять подходы к их разработке 1. Фокус на безопаность с первого дня 2. Долгосрочная поддержка 3. Знай своего врага 4. Будьте готовы к уязвимостям
  • 12. Интернет уязвимых вещей Следующие шаги Теория •OWASP IOT Project •ISACA Практика •Bug Bounty
  • 13. Интернет уязвимых вещей Email: Kateryna.Ovechenko@Itera.no Skype: kateryna.ovechenko

Editor's Notes

  1. reference architecture THE DEVICE LAYER The bottom layer of the architecture is the device layer. Devices can be of various types, but in order to be considered as IoT devices, they must have some communications that either indirectly or directly attaches to the Internet. THE COMMUNICATIONS LAYER The communication layer supports the connectivity of the devices. There are multiple potential protocols for communication between the devices and the cloud. The most well-known three potential protocols are: • HTTP/HTTPS (and RESTful approaches on those) • MQTT 3.1/3.1.1 (protocols optimized for IoT use. MQTT is a publish-subscribe messaging system based on a broker model. The protocol has a very small overhead and was designed to support lossy and intermittently connected networks. MQTT was designed to flow over TCP.) • Constrained application protocol (CoAP) (designed to provide a RESTful application protocol modeled on HTTP semantics, but with a much smaller footprint and a binary rather than a text-based approach. CoAP is a more traditional client-server approach rather than a brokered approach. CoAP is designed to be used over UDP) THE AGGREGATION/BUS LAYER An important layer of the architecture is the layer that aggregates and brokers communications. This is an important layer for three reasons: 1. The ability to support an HTTP server and/or an MQTT broker to talk to the devices; 2. The ability to aggregate and combine communications from different devices and to route communications to a specific device (possibly via a gateway) 3. The ability to bridge and transform between different protocols, e.g. to offer HTTPbased APIs that are mediated into an MQTT message going to the device. THE EVENT PROCESSING AND ANALYTICS LAYER This layer takes the events from the bus and provides the ability to process and act upon these events. APPLICATION LAYER The reference architecture needs to provide a way for these devices to communicate outside of the device-oriented system DEVICE MANAGER Device management (DM) is handled by two components. A server-side system (the device manager) communicates with devices via various protocols and provides both individual and bulk control of devices. It also remotely manages software and applications deployed on the device. It can lock and/or wipe the device if necessary. The device manager also needs to maintain the list of device identities and map these into owners. It must also work with the identity and access management layer to manage access controls over devices IDENTITY AND ACCESS MANAGEMENT authentication and control of devices. This layer needs to provide the following services: • OAuth2 token issuing and validation • Other identity services including SAML2 SSO and OpenID Connect
  2. “APK Downloader” lets you download and inspect Android installations and updates on any platform.