Tag Archive for iot

Superficie de ataque en un dispositivo IoT según OWASP

El pasado 23 de noviembre tuve el placer de poder participar, por segundo año consecutivo, en el XI OWASP Spain Chapter Meeting, celebrado en La Salle Campus de la preciosa ciudad de Barcelona. Más información sobre este evento la podéis encontrar en el siguiente enlace: https://www.owasp.org/index.php/Spain/Chapter_Meeting. Este año elegí IoT como temática para mi charla, aprovechando que OWASP tiene un proyecto específico.

El objetivo de la misma era poder mostrarles a los asistentes los diferentes recursos para evaluar la seguridad en dispositivos IoT. No explicaré a estas alturas lo que es IoT, todos sabemos ya que es Internet Insecurity of Things.

Peso IoT traidorSe mostraron varios ejemplos de dispositivos IoT, como el que muestro a continuación, y que, aún no entiendo cómo hemos podido subsistir sin él. Sí, señoras y señores, existe un i.Con. ¡El Internet of Shit ya está aquí!

iot-i.conUna vez que los allí presentes superamos el shock, procedí a explicar en qué consiste el proyecto de seguridad en IoT de OWASP, cuyo sitio web oficial podéis encontrar en este enlace. Pero antes, quise hacer hincapié en la valoración del riesgo que hacemos sobre estos dispositivos. ¿Realmente somos conscientes de cuáles son las amenazas que afectan a estos dispositivos? Si no lo somos, podemos caer en una mala percepción del riesgo, y pasar por alto algunos de los vectores de ataque que pueden poner en peligro la seguridad de éste.

Para no caer en este error, y evaluar todos los controles de seguridad aplicables al dispositivo IoT que vamos a auditar, necesitamos tener claro cuál es el escenario, cuál es el ecosistema habitual en el que nos podemos encontrar este tipo de dispositivos. OWASP nos propone el siguiente esquema como ejemplo:

iot-ecosystem

En este ejemplo podemos ver cómo unos dispositivos IoT son gestionados de forma centralizada por su IoT Gateway, mediante protocolos de comunicación como Zigbee o zWave, que este IoT Gateway se conecta mediante WiFi, GSM o Ethernet a un servicio Cloud para su gestión a través de una web, que a través de una aplicación móvil se pueden gestionar estos dispositivos, ya sea a través de WiFi (vía IoT Gateway) o mediante BLE (Bluetooth Low Energy). Read more