Reverse-Engineering verdächtiger IoT-Geräte, die unter den Schreibtischen der Mitarbeiter installiert sind

Was würden Sie tun, wenn Sie bei der Arbeit ein verdächtig aussehendes IoT-Gerät (Internet of Things) unter Ihrem Schreibtisch finden? Wenn Sie ein Arbeitgeber sind, wie installieren Sie harmlose IoT-Geräte in Ihrem Bürogebäude, ohne Ihre Mitarbeiter zu beunruhigen? Wenn Sie Ihre eigenen IoT-Geräte herstellen möchten, wie stellen Sie sicher, dass sie ethisch, legal und sicher sind?

Erich Styger beantwortet all diese Fragen in einem Protokoll seiner Reise durch das Reverse-Engineering eines IoT-Geräts, das in einem echten Büro gefunden wurde. Aus ethischen und wahrscheinlich rechtlichen Gründen sagt Styger nicht, wo genau dieses Gerät gefunden wurde, noch wer es entwickelt oder hergestellt hat. Er war in Kontakt mit dem Hersteller, um ihn über die von ihm gefundenen Mängel zu informieren, aber sein Posten ist hauptsächlich für Bildungszwecke gedacht.

Diese speziellen Geräte wurden überall in einem Arbeitsbereich montiert gefunden, einschließlich unter den Schreibtischen der Mitarbeiter. Jedes IoT-Gerät wurde magnetisch befestigt und konnte leicht entfernt werden, aber ihr Zweck war nicht klar. Das ist an sich schon die erste rote Fahne.

Arbeitgeber sollten Überwachungsgeräte niemals ohne das Wissen ihrer Mitarbeiter installieren. Die meisten der restlichen roten Fahnen befassen sich mit der Sicherheit der Hardware, die voller Schwachstellen war. In dem leicht zu öffnenden Gehäuse befand sich eine Platine mit einem LoRa-Modul und einer Antenne, einem STM32 Arm Cortex-M0-Mikrocontroller, einem Feuchtigkeits-/Temperatursensor, einem PID-Bewegungssensor und einem Beschleunigungsmesser, der anscheinend nicht angeschlossen war.

Wie sich herausstellte, sollte das Gerät einfach die Umgebungsbedingungen im Büro überwachen und wurde über den PID-Sensor durch Bewegung ausgelöst, um Batterielebensdauer zu sparen. Styger fand jedoch mehrere Möglichkeiten, diese Daten abzufangen, und sogar Methoden, um falsche Daten einzuschleusen. Der einfachste Weg, die Daten und vor allem den geheimen App-Schlüssel zu sammeln, bestand darin, ihn einfach bei der Übertragung zwischen dem Mikrocontroller und dem LoRa-Modul abzuholen, da er als Klartext gesendet wurde.

Mit diesen Informationen könnte das Gerät über das LoRaWAN-Netzwerk gespooft werden. Die Debug-Pins und -Funktionen wurden sogar zugänglich gelassen, sodass die Geräte-Firmware kopiert, rückentwickelt und modifiziert werden konnte. Wenn Sie nach einer gründlichen Erklärung suchen, was Sie beim Entwerfen eines IoT-Geräts, das sicher sein sollte, nicht tun sollten, ist der Blogbeitrag von Stygers perfekt. VERWANDTE FRAGE Ich habe Google Glass Explorer Edition nicht erhalten.

Ist der Versuch, Glass dev ohne Hardware zu lernen, eine vergebliche Anstrengung? Nein, Sie können immer noch die Grundlagen der Glasent wicklung ohne die Hardware lernen. Es gibt drei Haupt ansätze, um dies zu erreichen: 1) Besuchen Sie die Mirror-API-Dokumentation, gehen Sie auf den Spielplatz und beginnen Sie, Code zu erstellen.

Laden Sie die PHP-, Java-und Python-Bibliothek herunter, je nachdem, was Sie sich am wohlsten fühlen. Machen Sie sich mit dem Jargon und den Konvertitionen (Timeline, Bundles, Menüs usw.) vertraut. Lesen Sie die Support-Dokumentation (zweiter Link unten), um zu sehen, wie die Glass-Hardware tatsächlich funktioniert.

Erstellen Sie einige Apps nach dieser Spezifikation. Schon bald finden Sie einen Freund mit Hardware zu t