Dispositivos IoT sospechosos de ingeniería inversa instalados debajo de los escritorios de los empleados

¿Qué haría si encontrara un dispositivo IoT (Internet de las cosas) de apariencia sospechosa debajo de su escritorio en el trabajo? Si es un empleador, ¿cómo instala dispositivos IoT inocuos en su edificio de oficinas sin generar inquietudes entre sus empleados? Si desea producir sus propios dispositivos IoT, ¿cómo se asegura de que sean éticos, legales y seguros?

Erich Styger responde todas esas preguntas en un registro de su viaje a través de la ingeniería inversa de un dispositivo IoT encontrado en una oficina real. Por razones éticas y probablemente legales, Styger no dice dónde se encontró exactamente este dispositivo, ni quién lo diseñó o fabricó. Estuvo en contacto con el fabricante para informarles sobre las fallas que encontró, pero su publicación tiene principalmente fines educativos.

Estos dispositivos en particular se encontraron montados en un espacio de trabajo, incluso debajo de los escritorios de los empleados. Cada dispositivo IoT se montó magnéticamente y se quitó fácilmente, pero su propósito no estaba claro. Eso, en sí mismo, es la primera bandera roja.

Los empleadores nunca deben instalar equipos de monitoreo sin el conocimiento de sus empleados. La mayoría del resto de las banderas rojas tienen que ver con la seguridad del hardware, que estaba lleno de vulnerabilidades. Dentro de la caja de fácil apertura había una PCB con un módulo LoRa y una antena, un microcontrolador STM32 Arm Cortex-M0, un sensor de humedad/temperatura, un sensor de movimiento PID y un acelerómetro que aparentemente no estaba conectado.

Resultó que el dispositivo estaba destinado a monitorear simplemente las condiciones ambientales a través de la oficina y se activaba con el movimiento a través del sensor PID para ahorrar batería. Sin embargo, Styger encontró múltiples formas de interceptar esos datos e incluso métodos para inyectar datos falsos. La forma más fácil de recopilar los datos y, lo que es más importante, la clave secreta de la aplicación, era simplemente recogerlos cuando se transmitían entre el microcontrolador y el módulo LoRa, porque se enviaban como texto claro.

Con esa información, el dispositivo podría falsificarse a través de la red LoRaWAN. Los pines de depuración y las funciones incluso se dejaron accesibles, por lo que el firmware de los dispositivos se podía copiar, realizar ingeniería inversa y modificar. Básicamente, si está buscando una explicación detallada de lo que no debe hacer al diseñar un dispositivo IoT que debería ser seguro, la publicación del blog de Stygers es perfecta. PREGUNTA RELACIONADA No obtuve Google Glass Explorer Edition.

¿Es un esfuerzo inútil intentar aprender Glass dev sin el hardware? No, todavía puede aprender los fundamentos del desarrollo de vidrio sin el hardware. Hay tres enfoques principales para lograr esto: 1) Visite la documentación de la API de Mirror, ingrese al patio de recreo y comience a elaborar un código.

Descargue la biblioteca PHP, Java y Python, con la que se sienta más cómodo. Familiarízate con la jerga y las conjuras (línea de tiempo, paquetes, menús, etc). Lea la documentación de soporte (segundo enlace a continuación) para ver cómo funciona realmente el hardware Glass.

Cree algunas aplicaciones según esta especificación. Muy pronto, encontrará un amigo con hardware a t