Dispositivos IoT suspeitos de engenharia reversa instalados sob as mesas dos funcionários

O que você faria se encontrasse um dispositivo IoT (Internet das Coisas) de aparência suspeita sob sua mesa de trabalho? Se você é um empregador, como você instala dispositivos IoT inócuos em seu prédio de escritórios, levantando preocupações de seus funcionários? Se você deseja produzir seus próprios dispositivos IoT, como garantir que eles sejam éticos, legais e seguros?

Erich Styger responde a todas essas perguntas em um registro de sua jornada pela engenharia reversa de um dispositivo IoT encontrado em um escritório real. Por razões éticas e provavelmente legais, Styger não diz onde exatamente esse dispositivo foi encontrado, nem quem o projetou ou fabricou. Ele entrou em contato com o fabricante para informá-los sobre as falhas que encontrou, mas seu post é principalmente destinado a fins educacionais.

Esses dispositivos específicos foram encontrados montados em todo o espaço de trabalho, inclusive sob as mesas dos funcionários. Cada dispositivo IoT foi montado magneticamente e facilmente removido, mas sua finalidade não era clara. Isso, por si só, é a primeira bandeira vermelha.

Os empregadores nunca devem instalar equipamentos de monitoramento sem o conhecimento de seus funcionários. A maior parte do resto das bandeiras vermelhas lida com a segurança do hardware, que estava cheio de vulnerabilidades. Dentro da caixa de fácil abertura havia um PCB com um módulo LoRa e antena, um microcontrolador STM32 Arm Cortex-M0, um sensor de umidade/temperatura, um sensor de movimento PID e um acelerômetro que aparentemente foi deixado desconectado.

Como se vê, o dispositivo foi projetado para simplesmente monitorar as condições ambientais através do escritório e foi acionado por movimento através do sensor PID para economizar a vida útil da bateria. No entanto, Styger encontrou várias maneiras de interceptar esses dados e até métodos para injetar dados falsos. A maneira mais fácil de coletar os dados e, mais importante, a chave secreta do aplicativo, era simplesmente pegá-los quando eram transmitidos entre o microcontrolador e o módulo LoRa, porque eram enviados como texto não criptografado.

Com essas informações, o dispositivo pode ser falsificado pela rede LoRaWAN. Os pinos e funções de depuração foram deixados acessíveis, para que o firmware dos dispositivos pudesse ser copiado, submetido a engenharia reversa e modificado. Basicamente, se você está procurando uma explicação completa sobre o que não fazer ao projetar um dispositivo IoT que deve ser seguro, a postagem do blog Stygers é perfeita PERGUNTA RELACIONADA Não recebi o Google Glass Explorer Edition.

Tentar aprender Glass dev sem o hardware é um esforço inútil? Não, você ainda pode aprender os fundamentos do desenvolvimento do Glass sem o hardware. Existem três abordagens principais para realizar isso: 1) Visite a documentação da API Mirror, entre no playground e comece a hash algum código.

Faça o download da biblioteca PHP, Java e Python, com a qual você se sentir mais confortável. Familiarize-se com o jargão e as convernções (linha do tempo, pacotes, menus, etc). Leia a documentação de suporte (segundo link abaixo) para ver como o hardware do Glass realmente funciona.

Construa alguns aplicativos para esta especificação. Em breve, você encontrará um amigo com hardware para t