Rétro-ingénierie de dispositifs IoT suspects installés sous les bureaux des employés

Que feriez-vous si vous trouviez un appareil IoT (Internet des objets) suspect sous votre bureau au travail ? Si vous êtes un employeur, comment installez-vous des appareils IoT inoffensifs dans votre immeuble de bureaux en soulevant les inquiétudes de vos employés ? Si vous souhaitez produire vos propres appareils IoT, comment vous assurez-vous qu'ils sont éthiques, légaux et sécurisés ?

Erich Styger répond à toutes ces questions dans un journal de son voyage à travers la rétro-ingénierie d'un appareil IoT trouvé dans un vrai bureau. Pour des raisons éthiques et probablement juridiques, Styger ne dit pas où exactement cet appareil a été trouvé, ni qui l'a conçu ou fabriqué. Il a été en contact avec le fabricant pour lui faire part des défauts qu'il a trouvés, mais son message est principalement destiné à des fins éducatives.

Ces dispositifs particuliers ont été trouvés montés dans un espace de travail, y compris sous les bureaux des employés. Chaque appareil IoT a été monté magnétiquement et facilement retiré, mais leur objectif n'était pas clair. Cela, en soi, est le premier drapeau rouge.

Les employeurs ne doivent jamais installer d'équipement de surveillance à l'insu de leurs employés. La plupart des autres drapeaux rouges concernent la sécurité du matériel, qui était plein de vulnérabilités. À l'intérieur du boîtier facile à ouvrir se trouvaient un circuit imprimé avec un module et une antenne LoRa, un microcontrôleur STM32 Arm Cortex-M0, un capteur d'humidité/température, un capteur de mouvement PID et un accéléromètre qui n'était apparemment pas connecté.

Il s'avère que l'appareil était destiné à surveiller simplement les conditions environnementales dans le bureau et était déclenché par un mouvement via le capteur PID afin d'économiser la batterie. Cependant, Styger a trouvé plusieurs façons d'intercepter ces données, et même des méthodes pour injecter de fausses données. Le moyen le plus simple de collecter les données, et plus important encore la clé secrète de l'application, consistait simplement à la récupérer lorsqu'elle était transmise entre le microcontrôleur et le module LoRa, car elle était envoyée en texte clair.

Avec ces informations, l'appareil pourrait être usurpé via le réseau LoRaWAN. Les broches et les fonctions de débogage étaient même laissées accessibles, de sorte que le micrologiciel des appareils pouvait être copié, rétro-conçu et modifié. Fondamentalement, si vous cherchez une explication approfondie de ce qu'il ne faut pas faire lors de la conception d'un appareil IoT qui devrait être sécurisé, le billet de blog de Stygers est parfait QUESTION CONNEXE Je n'ai pas reçu Google Glass Explorer Edition.

Est-ce que d'essayer d'apprendre Glass dev sans le matériel est un effort futile? Non, vous pouvez toujours apprendre les principes fondamentaux du développement du verre sans le matériel. Il existe trois approches principales pour y parvenir: 1) Visitez la documentation de l'API Mirror, entrez dans le terrain de jeu et commencez à hacher du code.

Téléchargez la bibliothèque PHP, Java et Python, celui avec qui vous êtes le plus à l'aise. Familiarisez-vous avec le jargon et les converntions (chronologie, bundles, menus, etc.). Lisez la documentation d'assistance (deuxième lien ci-dessous) pour voir comment le matériel Glass fonctionne réellement.

Construisez des applications selon cette spécification. Bientôt, vous trouverez un ami avec du matériel à t