La sécurité iot est difficile: voici ce que vous devez savoir

la sécurité pour tout ce que vous vous connectez à Internet est important. Pensez à ces appareils comme des portes. Ils permettent d’avoir accès aux services de services ou de fournitures pour quelqu’un d’autre. Les portes doivent être en sécurité – vous ne laissez pas votre porte déverrouillée si vous viviez dans la mauvaise partie d’une ville animée, n’est-ce pas? Chaque connexion Internet est la mauvaise partie d’une ville animée. La chose est que le matériel de construction connecté à Internet est la nouvelle hotness ces jours-ci. Alors promenons les bases que vous devez savoir pour commencer à penser à la sécurité avec vos projets.

Si vous avez déjà exécuté un serveur et que vous avez vérifié vos journaux, vous avez probablement observé qu’il y a beaucoup de trafic automatisé essayant d’accéder à votre serveur de manière presque constante. Un périphérique non sécurisé sur un réseau ne se compromette pas seulement, il présente également un risque pour tous les autres appareils en réseau.

Le moyen le plus simple de sauver un appareil est de l’éteindre, mais permet de le présumer que vous le souhaitez. Vous pouvez faire beaucoup de choses pour sécuriser votre appareil IOT. Il peut sembler intimidant de commencer, mais comme vous commencez à devenir beaucoup plus de choses que les choses soucieuses de la sécurité commencent à cliquer ensemble un peu comme une puzzle et cela devient beaucoup plus facile.

Quels sont les problèmes et comment les réparez-vous?

Mots de passe et sécurité du mot de passe

Avant de commencer, rappelez-vous de changer de mots de passe par défaut pour chaque colis et chaque périphérique que vous utilisez. C’est la première chose à faire avec n’importe quel appareil connecté. Sécurité Web charnière sur deux buts: garder les personnes non autorisées d’avoir accès aux ressources et que les autorisations ont accès aux ressources dont elles ont besoin. Si votre appareil fournit des informations différentes sur différentes personnes, vous devrez avoir une manière à vous permettre de distinguer les gens, par exemple un système de connexion. Cela peut être réalisé de différentes manières, comme l’utilisation des cookies de la session et sécuriser les cookies conjointement avec des mots de passe.

Il est très crucial que vous ne stockez pas les mots de passe ou les identifiants de session dans les cookies car ils peuvent facilement être interceptés par l’homme dans les attaques moyens, les logiciels malveillants ou une personne ayant un accès physique à l’ordinateur de l’utilisateur final. Les mots de passe doivent toujours être hachés. Ceci est un processus à sens unique et ne peut pas être inversé s’il est fait de manière appropriée en utilisant “salage”. Salting utilise une chaîne de caractères, donc lorsque vous avez le mot de passe, le sel est utilisé pour créer un hachage spécial. Cela arrête les attaquants utilisant des tables arc-en-ciel dans Acheter pour craquer vos mots de passe s’ils possèdent une prise de votre base de données. Pedro Umbelino a fait un excellent travail de détaillant la sécurité par mot de passe dans son poste de hackaday quelques semaines en arrière.

Le salage sécurisé du mot de passe est le moyen d’aller dans cet âge numérique Cliquez sur le lien pour en savoir plus. Les mots de passe sont cruciaux et il est préférable que même vous ne connaissez pas les mots de passe de vos utilisateurs car ils peuvent les utiliser pour d’autres comptes. Si vous venez de les crypter, vous avez l’indication de l’indique de les déchiffrer, car le cryptage est un processus à deux sens chiffré / déchiffrer. C’est pourquoi nous hachas et ne crisez pas.

Vieux logiciel avec des vulnérabilités connues

Les guichets automatiques sont notoires pour la traîne sur des mises à jour logicielles. Cela en fait des cibles faciles.
C’est évident, mais ça vaut la peine de dire. Évitez d’utiliser des logiciels anciens avec des vulnérabilités connues, n’utilisez jamais d’anciennes versions de logiciels. Le logiciel est mis à jour pour une raison valide. Utilisez les versions les plus récentes, même si le changelog ne mentionne pas certains correctifs de sécurité.

Il existe des sites Web dans ce document que le papier connu vulnérabilités et cela vaut la peine de vérifier les packages que vous envisagez d’utiliser. Vous pensez peut-être que toutes les vulnérabilités connues aident les méchants, mais ce sont les bons gars. Oui, il aidez un attaquant de volonté Trouver un moyen d’attaquer des scripts ou des logiciels Web plus anciens, mais si vous utilisez la version actuelle d’un vendeur de confiance, vous aurez corrigé tous les problèmes précédents qu’ils avaient avec leur produit. Fournir aux vulnérabilités donne aux entreprises une raison de se mettre à jour de la porte et d’arrêter les assaillants en proie à des logiciels avec des bugs, car votre fournisseur de logiciels est paresseux. Cela aide également les développeurs à éviter les pires délinquants.

Si vous n’en avez pas besoin, pourquoi le garder?

Supposons que votre appareil exécute une forme de Linux. Vous pouvez utiliser de nombreux protocoles pour communiquer avec l’appareil. Par exemple, vous pouvez avoir SMB, SSH, Telnet, FTP, VNC, etc. Mais vous devez décider lequel de ces protocoles dont vous avez besoin et que vous ne le faites pas. Si vous n’utilisez pas de protocole, pourquoi l’avoir activé en premier lieu?

Celles-ci sont comme des portes à votre appareil, les moins de portes que vous avez les avenues d’attaque moins un ordinateur “Hacker” doit avoir accès. C’est un bon sens, mais est souvent négligé. Une autre bonne baisse de recommandations consiste à désactiver la connexion racine pour SSH et à créer un autre compte à utiliser. Votre compte root est le plus susceptible d’être forcé brut. Si vous avez besoin de la connexion à distance, utilisez au moins 8 mots de passe de chiffres et que vous en faites des caractères, des capitales, des chiffres, etc. Si vous utilisez un mot et peut-être 123 à la fin, il faudrait un pirate informatique littéralement minutes avec un dictionnaire brute force Attack.

Donner trop d’informations

Exposer des informations susceptibles d’aider un attaquant former une attaque beaucoup plus compliquée est un grand non-non. Votre serveur IOT pourrait donner beaucoup plus d’informations que vous ne le pensez ou même que vous n’avez pas ressenties était importante.

Par exemple, les sites Web auto-écrits peuvent être liés directement aux fichiers du serveur au lieu de cacher leur emplacement réel. Cela doit être évité. Vous avez un “répertoire Web” pour une raison; Votre logiciel de périphérique s’attend à ce que vos fichiers soient à cet endroit et que les autorisations sont configurées pour arrêter la portée au-delà de ce répertoire. N’ouvrez pas la partie arrière (partie non HTTP) car cela pourrait entraîner une attaquante Obtenir des privilèges via un bogue de base dans un script Web dans ce qui est censé être une partie sûre de votre appareil.

Ne vous inquiétez pas trop à ce sujet car c’est une chose bien triviale à réparer. Vous devez toujours utiliser votre répertoire Web, mais vous pouvez également masquer l’URL à l’aide de .htaccess avec Apache HTTP Server. Si vous utilisez un autre serveur HTTP, il aura un système de configuration similaire. Pour apprendre beaucoup plus Rechercher sur le Net pour “Nom-of-Your-HTTP-SERVER URL REWRITE”.

Vous ne voulez pas que des attaquants puissent avoir beaucoup plus d’informations que le minimum que votre serveur doit fournir à la fonction. Les informations qui fuient peuvent aider un attaquant à comprendre votre structure de fichiers et à ce que vous rencontrez sous votre couche HTTP. La plupart des attaques sont automatisées, conçues pour supprimer votre serveur car ils ont observé que vous utilisez un certain logiciel. Faire la découverte HARDS aide à combattre cette automatisation.

Dans votre répertoire de site Web, vous souhaiterez également vous assurer que vos fichiers ne sont pas fournis dans les index de répertoires, la mise en place d’un fichier de base index.html à l’intérieur de chaque répertoire cessera les yeux ci-dessous. Si votre serveur dispose d’une base de données, conservez-le sur un autre appareil (meilleure pratique) ou si cela n’est pas possible, assurez-vous de le garder derrière un pare-feu. Ne conservez pas non plus de bases de données dans votre répertoire “Web”. Pour beaucoup plus d’informations sur le verrouillage de votre serveur, vérifiez le lien.

Script de site croisé

Samy Kamkar, designer du ver Samy; Photo au moyen de l’interview de l’heure AMP à partir de 2016
Les attaques de script de XSS ou de sites croisés sont l’un des vecteurs d’attaque beaucoup plus courants. C’est ici que l’attaquant exploite un script, par exemple la section Commentaires Hackaday au bas de cette page même. Un attaquant peut essayer de laisser un commentaire avec le script l’identifie. En cas de succès, cela publiera un code malveillant dans le commentaire qui est exécuté sur le navigateur d’un utilisateur chaque fois que quelqu’un visite cette page. Bien sûr, HackAday est protégé de ce type d’attaques, mais l’exemple détient des sites qui ont des vulnérabilités XSS. Will Sweatman a écrit un parcours de crash sur XSS qui vaut la peine de vérifier.

L’attaque XSS la plus populaire était peut-être le ver Samy. Samy Kamkar a trouvé une vulnérabilité myspace qui a causé tout le monde qui a vérifié sa page pour l’ajouter comme ami et afficher un message sur sa page de profil. C’était auto-propagation, donc toute personne qui a ensuite vérifié une page avec ce message devenu un transporteur d’infecter de nouveaux visiteurs. Près du jour au lendemain, tout le monde sur MySpace suivait Samy. Il envisage de devenir chercheur en sécurité et est un excellent ami de Hackaday.

Lors de l’hébergement de vos propres services Web qui fournissent des formulaires de soumission pour contrôler votre truc IoD piraté, assurez-vous de considérer XSS. L’option à ceci est ce que nous appelons les données désinfectionnantes. Bien sûr, vous devez limiter ce que votre formulaire Web inclut (nettoyer le «script» et autres balises HTML). Les attaques XSS sont très courantes, de sorte que l’interface Web de votre appareil iOT prendra une entrée, c’est un moment idéal pour apprendre autant que vous pouvez en apprendre autant que possible sur XSS.

Attaques d’accès physique

L’accès physique peut également être un problème. Vous pouvez avoir votre appareil dans un lieu public ou facilement accessible. Vous devez vous assurer que personne ne vient et pousse un tueur USB, ou un outil de piratage USB, par exemple, qui apparaît comme un hid (périphérique d’interface humaine) comme un clavier et démarre des commandes de désactivation d’un script préconfiguré. Si vous n’avez pas besoin d’USB, faites-les inaccessible ou éteignez-les via des logiciels. Si vous êtes vraiment conscient de la sécurité, pourquoi ne pas les retirer du plateau complètement, ou pour les époxy sur eux? Même les ports PS / 2 doivent être sécurisés. Vous pouvez voir un modèle émergeant ici, une bonne approche de sécurité est, si vous n’en avez pas besoin, pourquoi l’avez-vous en premier lieu.

Utiliser des mesures de sécurité éprouvées et vérifiées

La sécurité par l’obscurité n’est pas une bonne idée non plus, il y a toujours quelqu’un qui est plus intelligent ou plus chanceux que vous. Essayez de vous tenir à des mesures de sécurité testées et vérifiées, ne pensez pas une seconde que parce que vous avez un appareil impair avec une taille de marché de moins de 100 personnes / entreprises que vous serez en sécurité. Rien n’est 100% anti-épreuve, mais si vous pensez que votre appareil ne sera jamais attaqué, car des “raisons” puis réfléchissent à nouveau. Réévaluez votre position et triez votre sécurité.

Si vous suivez ces recommandations, vous devez être assez bien sécurisé aussi longtemps que vous vous êtes rappelé de modifier ce mot de passe par défaut et de vous rappeler que ce n’est pas un def.Guide intime Il y a toujours quelque chose d’autre que vous pourriez faire pour protéger votre appareil. Le plus grand problème jusqu’à maintenant n’a pas été sans réfléchir à la sécurité de quelque manière que ce soit – nous pouvons faire mieux!

Prévention future

L’Internet des équipements de choses sont traqués de manière vélèche pour le sport idéal maintenant. Vous devez être vigilant et assurez-vous que vos appareils ne craignent pas d’attaquer comme BrickerBot ou de devenir une partie de l’actuel iot Botnet. Il y aura beaucoup plus d’attaques comme celle-ci pour venir à l’avenir. Obtenez de l’avant de la courbe en apprenant sur la sécurité et en gardant vos appareils enfermés. Si vous êtes grave sur la cybersécurité, commencez à lire les tendances actuelles, car de nouvelles vulnérabilités trouvées quotidiennement. Si vous faites des appareils pour d’autres, vous devez devenir un expert en ces compétences. Si vous ne pouvez pas dire cela de vous-même, embauchez des professionnels. Vous ne voulez pas de procès, vous ne voulez pas perdre confiance au client et vous ne voulez pas construire du matériel qui menace notre monde connecté.

Leave a Reply

Your email address will not be published. Required fields are marked *