Reverse-Engineering di dispositivi IoT sospetti installati sotto le scrivanie dei dipendenti

Cosa faresti se trovassi un dispositivo IoT (Internet of Things) dall'aspetto sospetto sotto la tua scrivania al lavoro? Se sei un datore di lavoro, come installi dispositivi IoT innocui nel tuo edificio per uffici che destano preoccupazioni da parte dei tuoi dipendenti? Se vuoi produrre i tuoi dispositivi IoT, come ti assicuri che siano etici, legali e sicuri?

Erich Styger risponde a tutte queste domande in un registro del suo viaggio attraverso il reverse engineering di un dispositivo IoT trovato in un ufficio reale. Per ragioni etiche e probabilmente legali, Styger non dice dove sia stato trovato esattamente questo dispositivo, né chi lo abbia progettato o prodotto. È stato in contatto con il produttore per informarli dei difetti che ha riscontrato, ma il suo post è principalmente destinato a scopi educativi.

Questi particolari dispositivi sono stati trovati montati in uno spazio di lavoro, anche sotto le scrivanie dei dipendenti. Ogni dispositivo IoT è stato montato magneticamente e facilmente rimovibile, ma il loro scopo non era chiaro. Questa, di per sé, è la prima bandiera rossa.

I datori di lavoro non dovrebbero mai installare apparecchiature di monitoraggio all'insaputa dei propri dipendenti. La maggior parte del resto delle bandiere rosse riguarda la sicurezza dell'hardware, che era piena di vulnerabilità. All'interno della custodia facilmente apribile c'era un PCB con un modulo LoRa e un'antenna, un microcontrollore STM32 Arm Cortex-M0, un sensore di umidità/temperatura, un sensore di movimento PID e un accelerometro apparentemente non collegato.

A quanto pare, il dispositivo doveva semplicemente monitorare le condizioni ambientali attraverso l'ufficio ed è stato attivato dal movimento tramite il sensore PID per risparmiare la durata della batteria. Tuttavia, Styger ha trovato diversi modi per intercettare quei dati e persino metodi per iniettare dati falsi. Il modo più semplice per raccogliere i dati, e soprattutto la chiave segreta dell'app, era semplicemente raccoglierli quando venivano trasmessi tra il microcontrollore e il modulo LoRa, perché veniva inviato come testo non crittografato.

Con queste informazioni, il dispositivo potrebbe essere falsificato attraverso la rete LoRaWAN. I pin e le funzioni di debug sono stati persino lasciati accessibili, in modo che il firmware dei dispositivi potesse essere copiato, decodificato e modificato. Fondamentalmente, se stai cercando una spiegazione approfondita di cosa non fare durante la progettazione di un dispositivo IoT che dovrebbe essere sicuro, il post sul blog di Stygers è perfetto DOMANDA CORRELATA Non ho ricevuto Google Glass Explorer Edition.

Provare a imparare Glass dev senza l'hardware è uno sforzo inutile? No, puoi ancora imparare i fondamenti dello sviluppo del vetro senza l'hardware. Ci sono tre approcci principali per raggiungere questo obiettivo: 1) Visita la documentazione di Mirror API, entra nel parco giochi e inizia a eseguire l'hashing di un codice.

Scarica la libreria PHP, Java e Python, a seconda di quale ti trovi più a tuo agio. Familiarizzare con il gergo e le convernazioni (timeline, fasci, menu, ecc.). Leggi la documentazione di supporto (secondo link sotto) per vedere come funziona effettivamente l'hardware Glass.

Costruisci alcune app secondo questa specifica. Ben presto, troverai un amico con hardware per t