IOT safety IS HARD: HERE’S WHAT YOU need TO know
safety for anything you connect to the Internet is important. think of these devices as doorways. They either allow access to services or supplies services for someone else. Doorways need to be safe — you wouldn’t leave your door unlocked if you lived in the bad part of a busy city, would you? Every Internet connection is the bad part of a busy city. The thing is, building hardware that is connected to the Internet is the new hotness these days. So let’s walk through the basics you need to know to start thinking safety with your projects.
If you have ever run a server and checked your logs you have probably observed that there is a lot of automated traffic trying to get access to your server on a nearly constant basis. An insecure device on a network doesn’t just compromise itself, it presents a risk to all other networked devices too.
The easiest way to safe a device is to turn it off, but lets presume you want it on. There are lots of things you can do to secure your IoT device. It may seem daunting to begin with but as you start becoming a lot more safety conscious things begin to click together a bit like a jigsaw and it becomes a lot easier.
What are the problems and how do you fix them?
Passwords and Password Security
Before we start always remember to change default passwords for every package and device you use. This is the first thing you must make with any connected device. web safety hinges on two goals: keeping the unauthorized from getting access to resources and ensuring the authorized have access to resources they need. If your device supplies different information to different people you will need to have some way for your device to tell people apart, for example a login system. This can be achieved in many different ways like using session ID’s and secure cookies in conjunction with passwords.
It’s very crucial that you do not store passwords or session ID’s in cookies as these can easily be intercepted either by man in the middle attacks, malware or someone who has physical access to the end user’s computer. Passwords must always be hashed. This is a one way process and cannot be reversed if done appropriately using “salting”. Salting is using a string of characters so when you hash the password the salt is used to create a special hash. This stops attackers using rainbow tables in buy to crack your passwords if they got a hold of your database. Pedro Umbelino did a great job of detailing password safety in his Hackaday post a few weeks back.
Secure Salting of password hashes is the way to go in this digital age click the link to learn more. Passwords are crucial and it’s best that even you don’t know your users passwords as they may use them for other accounts. If you just encrypted them then you have the indicates to decrypt them as encryption is a two way process encrypt/decrypt. This is why we hash and don’t encrypt.
Old software with known Vulnerabilities
ATMs are notorious for lagging behind on software updates. This makes them easy targets.
It’s obvious, but well worth saying. avoid using old software with known vulnerabilities, never use older versions of software. software is updated for a valid reason. use the most recent versions, even if the changelog doesn’t mention certain safety patches.
There are web sites out there that paper most known vulnerabilities and this is worth checking out for packages you plan to use. You may be thinking that providing all known vulnerabilities is helping the bad guys, but these are actually the good guys. yes it does help a would-be attacker find a way to attack older web scripts or software but if you use the current version from a trusted vendor they will hopefully have fixed any previous problems they had with their product. providing the vulnerabilities gives companies a reason to get updates out the door and to stop attackers preying on software with bugs in it because your software vendor is lazy. It also helps developers avoid the worst offenders.
If You Don’t need It, Why keep It?
Lets assume your device is running some form of Linux. There are lots of protocols you can use to communicate with the device. For example you may have SMB, SSH, Telnet, FTP, VNC etc. but you need to decide which of these protocols you need and which you don’t. If you don’t use a protocol why have it enabled in the first place?
These are like doorways to your device the less doorways you have the less attack avenues a computer “hacker” has to get access. It’s common sense really but is often overlooked. another good bit of recommendations is to disable root login for SSH and create another account to use. Your root account is the most likely to be brute-forced. If you need remote login use at least 8 digit passwords and make it random and odd chars, capitals, numbers etc. If you use a word and maybe 123 at the end, It would take a hacker literally minutes with a dictionary brute force attack.
Dando muita informação
Expondo informações que possam ajudar um atacante a um ataque muito mais complicado é um grande não-não. Seu servidor IOT pode estar dando muito mais informações do que você pensou ou mesmo informações que você não sentiu era importante.
Por exemplo, sites auto-escritos podem estar vinculando diretamente aos arquivos no servidor em vez de esconder sua localização real. Isso deve ser evitado. Você tem um “diretório web” por um motivo; O software do seu dispositivo espera que seus arquivos sejam neste local e as permissões estejam configuradas para parar o REACH ALTEIRO. Não abra a parte traseira (parte não http), pois isso pode causar um atacante recebendo privilégios por meio de um bug básico em um script da Web no que é para ser uma parte segura do seu dispositivo.
Não se preocupe muito com isso, pois é uma coisa bastante trivial para consertar. Você ainda precisa usar o diretório da Web, mas também pode ocultar o URL usando .htaccess com o servidor HTTP Apache. Se você estiver usando outro servidor HTTP, ele terá um sistema de configuração semelhante. Para aprender muito mais, pesquise a rede para “Nome-Of-Your-HTTP-Server URL Rewrite”.
Você não quer que todos os atacantes tenham muito mais informações do que o mínimo que seu servidor precisa fornecer para funcionar. A informação vazando pode ajudar um invasor a entender sua estrutura de arquivos e o que você está executando sob sua camada HTTP. A maioria dos ataques é automatizada, projetada para levar seu servidor porque eles observaram que você usa um determinado software. Fazer a descoberta Hard ajuda a combater essa automação.
No diretório do seu site, você também desejará ter certeza de que seus arquivos não são fornecidos em índices de diretório, colocando um arquivo index.html básico dentro de cada diretório pararão de despertar os olhos. Se o seu servidor tiver um banco de dados, mantenha-o em outro dispositivo (as melhores práticas), ou se isso não for possível, certifique-se de mantê-lo por trás de um firewall. Também não mantenha bancos de dados no diretório “web”. Para muito mais informações no bloqueio do seu servidor, confira o link.
Cross Site Scripting
Samy Kamkar, designer do verme samy; foto por meio da entrevista de hora de amp de 2016
XSS ou ataques de script do site Cross são um dos vetores de ataque muito mais comuns. É aqui que o atacante explora um script, por exemplo, a seção de comentários do HackAvay na parte inferior desta própria página. Um invasor pode tentar deixar um comentário com script identifica nele. Se for bem sucedido, isso publicará código malicioso no comentário que é executado no navegador de um usuário sempre que alguém visitar esta página. É claro que o HackAvay é protegido desses tipos de ataques, mas o exemplo mantém para sites que possuem vulnerabilidades do XSS. Will Sweatman escreveu um curso de acidente em xss que vale a pena conferir.
Talvez o ataque XSS mais popular seja o verme samy. Samy Kamkar encontrou uma vulnerabilidade do MySpace que fez com que todos que chequeam sua página para adicioná-lo como um amigo e exibir uma mensagem na página de perfil deles. Foi autoprovacionado, então qualquer indivíduo que então verifique uma página com essa mensagem se tornou uma operadora para infectar novos visitantes. Quase durante a noite todos no Myspace estavam seguindo samy. Ele está pensando que se tornou um pesquisador de segurança e é um grande amigo de Hackaday.
Ao hospedar seus próprios serviços da Web que fornecem formulários de envio para controlar suas coisas hackeadas, certifique-se de considerar o XSS. A opção para isso é o que chamamos de dados de sanitização. Claro que você deve restringir o que seu formulário da Web inclui (esfregando “script” e outras tags HTML). Os ataques XSS são muito comuns, portanto, a interface da Web para você o dispositivo IOT assumirá a entrada, agora é um ótimo momento para ir e aprender tanto quanto você puder sobre XSS.
Ataques de acesso físico
O acesso físico também pode ser um problema. Você pode ter seu dispositivo em um local que seja público ou facilmente acessível. Você precisa ter certeza de que ninguém vem e empurra uma assassina USB ou a ferramenta de hacking USB, por exemplo, que apareça como um HID (dispositivo de interface humana) como um teclado e inicia os comandos de revestimento de um script pré-configurado. Se você não precisar de USB, torná-los inacessíveis ou desligá-los através do software. Se você é realmente consciente de segurança, por que não removê-los da placa completamente, ou despeje epóxi sobre eles? Mesmo as portas PS / 2 devem ser protegidas. Você pode ver um padrão emergindo aqui, uma boa abordagem de segurança é, se você não precisar, por que tem lá em primeiro lugar.
Use medidas de segurança tentadas e verificadas
Segurança através da obscuridade também não é uma boa ideia, há sempre alguém por aí que é mais esperto ou mais sortido que você. Tente manter as medidas de segurança experimentadas e verificadas, não pense por um segundo que, porque você tem algum dispositivo estranho com talvez um tamanho de mercado de menos de 100 pessoas / empresas que você estará segura. Nada é 100% à prova de balas, mas se você acha que seu dispositivo nunca será atacado porque “motivos” então pensam novamente. Reavalie sua posição e classifique sua segurança.
Se você seguir essas recomendações, você deve estar muito bem protegido, desde que você tenha se lembrado de alterar essa senha padrão e lembre-se que isso não é um defGuia Initivo Há sempre algo mais que você poderia fazer para segurar seu dispositivo. O maior problema até agora tem sido inchaço em segurança de qualquer maneira – podemos fazer melhor!
Prevenção futura
Internet de coisas que os dispositivos estão sendo vadiosamente caçados para o esporte ideal agora. Você precisa estar vigilante e certifique-se de que seus dispositivos não sejam sujos a ataques como brickerbot ou se tornar uma parte do atual botnet IOT. Haverá muito mais ataques como este para vir no futuro. Fique à frente da curva aprendendo sobre segurança e manter seus dispositivos trancados. Se você é grave sobre a segurança cibernética, comece a ler sobre as tendências atuais, pois há novas vulnerabilidades encontradas diariamente. Se você fizer dispositivos para os outros, então você precisa se tornar um especialista nessas habilidades. Se você não pode dizer isso sobre você, contratar alguns profissionais. Você não quer uma ação judicial, você não quer perder a confiança do cliente, e você não quer estar construindo hardware que ameace nosso mundo conectado.