O bezpečnosti v Internete ovládanom toastermi

## O bezpečnosti v Internete ovládanom toastermi [Miroslav "mirek" Biňas](https://bletvaska.github.io) / [**OSSConf 2025**](https://ossconf.soit.sk/)

> Písmeno "S" v skratke IoT znamená _bezpečnosť_. notes: * legenda

Statistic: Number of Internet of Things (IoT) connections worldwide from 2022 to 2023, with forecasts from 2024 to 2034 (in billions) | Statista

## Bezpečnostné riziko notes: * uvedomme si dopad problemu * teplomer v akvarku v kasine * firma vyrobi dajme tomu milion zariadeni, ktore aj preda. a dojde k bezpecnostnemu incidentu. * budeme ho vediet opravit? nie je "poskodeny" aj aktualizacny mechanizmus? a mame ho vlastne? a da sa este aj pouzit? * co ak zakaznici zacnu predane kusy vracat a chciet peniaze? utiahneme to? * co ak my budeme musiet chodit a servisovat zakaznicke nasadenia? utiehneme to? * co to spravi s menom nasej spolocnosti? prezijeme to? * bankrot?

[![](images/logo-owasp.png)](https://owasp.org/) notes: * a tak som rozmyslal, ako tuto temu dostat do vyucby. * OWASP * organizacia, ktora popularizuje bezpecnost * vytvara konferencie, talky, nastroje, ... * najznamejsi projekt sa vola OWASP Top 10 * hovori o 10 najvacsich problemoch/rizikach pri vyvoji webovych aplikacii * aktualizuje sa kazde zhruba 4 roky komunitou odbornikov (desattisice ludi (mozno stotisice))

[![](images/owasp.iot.top.ten.jpg)](https://wiki.owasp.org/index.php/OWASP_Internet_of_Things_Project#tab=IoT_Top_10) notes: * jednym z jej projektov je vsak aj OWASP IoT Top 10 * zoznam 10 najvacsich hrozieb v oblasti IoT

IoT a bezpečnosť

[![](https://opengraph.githubassets.com/f993c8e3694331cd888fa6ca319a677984f9609bdfb5ce8bfe5bb245ac557e1e/OWASP/IoTGoat)](https://github.com/OWASP/IoTGoat) notes: * spekuloval som nad praktickym prevedenim * OWASP IoT Goat * obraz pre RPi2 (ide aj na 3, ale verzia 2015) * zalozeny na OpenWRT projekte * plus niekolko bezpecnostnych problemov

## Aký to malo dopad? notes: * bola to supa * praktike cviko + vyrobeny docker obraz * studenti bez skusenosti nemohli robit sami * talk pre it spolocnost * talk pre klub ucitelov * ale nasi studenti?

## Žiadny :-( notes: * ziadny alebo minimalny * predposleny den pred deadline-om ma napadlo pozerat sa aj na tento problem * najhorsi/najslabsi studenti * sprava hesiel/uctov

### #1 Weak, guessable or hard coded passwords

> Use of easily bruteforced, publicly available, or unchangeable credentials, including backdoors in firmware or client software that grants unauthorized access to deployed systems.

![](images/students-js1.jpg) notes: * staticka (hardcoded passwords) konfiguracia pre mqtt pripojenie * TUYA like - posiela to na cinske servery

![](images/students-js2.jpg) notes: * to iste, len zapisane inac * co sa stane, ak dojde k vyzradeniu loginu a hesla a admini prijmu strasne rozhodnutie, ze credentials zmenia?

![](images/students-python1.jpg) notes: * to iste, ale pre zmenu v pythone

![](images/students-python2.jpg) notes: * opat defaults pre mqtt a databazu

![](images/students-python3.jpg)

![](images/students-python4.jpg)

[![](images/nordvpn.png)](https://s1.nordcdn.com/nord/misc/0.42.0/vpn/brand/your-smart-devices-put-you-at-risk.pdf) notes: * aby som zdovodnil, ze preco je to dolezite - Nordic VPN urobil prieskum a polozil tuto otazku * vsimnite si, ze predvolene heslo na zariadeni zmeni len necelych 36% pouzivatelov * to znamena, ze 64%, resp. 2 z 3 zariadeni maju nastavene predvolene heslo a utocnik ma sancu 2 z 3, ze sa s tym heslom trafi :-P

## Capture the Flag * CTF je typ [bezpečnostnej súťaže]() * úlohou súťažiacich (hackerov) je nájsť tzv. [vlajky]() (špeciálny reťazec, napr `CTF-A1B2C3`) * vlajky je možné nájsť na rozličných miestach (napr. v kóde webovej stránky, hlavičke HTTP správy, v konfiguračnom súbore, v MOTD, v binárke súboru, ...) * na ich získanie sú potrebné technické zručnosti a znalosti notes: * na popularizaciu a otestovanie bezpecnosti sa organizuju rozlicne sutaze. jednou z nich je aj CTF * ulohou sutaziacich si hladat vlajky * je to specialny retazec * moze byt kdekolvek * kdekolvek znamena fakt kdekolvek * priklad: * mame webovu appku * vlajky mozu byt: * v HTML kode v prehliadaci * v dotahovanom JS kode v prehliadaci * v hlavicke/tele odpovede HTTP protokolu * vo websockete * v konkretnej polozke v databaze * v konfiguracnom subore webovej aplikacie * v konfiguracnom subore weboveho servera, ktory tuto aplikaciu spusta * v konfigracnom subore databazavoeho systemu * v MOTD * v premennych prostredia spusteneho kontajneru

### Cieľ - [integrovať CTF do zariadení IoT Gateway]() notes: * detiska budu moct hackovat * budu odmenovani bodmi navyse * mozno aj velmi velkymi bodmi

![](images/smart.department-architecture.png) notes: * hovoril som vlani * trojvrstvova iot architektura 1. senzory a akcne cleny 2. IoT Gateway 3. Webove appky a sluzby * plan bol doniest uz ukazkove zariadenie tu, ale nevyslo to tak, ako som zamyslal :-/ * dufam, ze o rok :-)

## Otázky?

### Odkazy * [Namakaný webinár #43](https://namakanyden.sk/webinare/) * [OWASP IoT Top 10](https://wiki.owasp.org/index.php/OWASP_Internet_of_Things_Project#tab=IoT_Top_10) * [OWASP IoT Goat](https://github.com/OWASP/IoTGoat) * Marek Šoltés: [Bezpečnosť v IoT riešeniach podľa OWASP IoT Top 10 projektu](https://opac.crzp.sk/?fn=detailBiblioFormChildU1NMN&sid=226A7A544DA3649F675838E9F6D0&seo=CRZP-detail-kniha) - diplomovka

![qr code](https://api.qrserver.com/v1/create-qr-code/?data=http://bit.ly/4np46AN&size=300x300) (**http://bit.ly/4np46AN**)