## O bezpečnosti v Internete ovládanom toastermi
[Miroslav "mirek" Biňas](https://bletvaska.github.io)
/ [**OSSConf 2025**](https://ossconf.soit.sk/)
> Písmeno "S" v skratke IoT znamená _bezpečnosť_.
notes:
* legenda
## Bezpečnostné riziko
notes:
* uvedomme si dopad problemu
* teplomer v akvarku v kasine
* firma vyrobi dajme tomu milion zariadeni, ktore aj preda. a dojde k bezpecnostnemu incidentu.
* budeme ho vediet opravit? nie je "poskodeny" aj aktualizacny mechanizmus? a mame ho vlastne? a da sa este aj pouzit?
* co ak zakaznici zacnu predane kusy vracat a chciet peniaze? utiahneme to?
* co ak my budeme musiet chodit a servisovat zakaznicke nasadenia? utiehneme to?
* co to spravi s menom nasej spolocnosti? prezijeme to?
* bankrot?
[](https://owasp.org/)
notes:
* a tak som rozmyslal, ako tuto temu dostat do vyucby.
* OWASP
* organizacia, ktora popularizuje bezpecnost
* vytvara konferencie, talky, nastroje, ...
* najznamejsi projekt sa vola OWASP Top 10
* hovori o 10 najvacsich problemoch/rizikach pri vyvoji webovych aplikacii
* aktualizuje sa kazde zhruba 4 roky komunitou odbornikov (desattisice ludi (mozno stotisice))
[](https://wiki.owasp.org/index.php/OWASP_Internet_of_Things_Project#tab=IoT_Top_10)
notes:
* jednym z jej projektov je vsak aj OWASP IoT Top 10
* zoznam 10 najvacsich hrozieb v oblasti IoT
[](https://github.com/OWASP/IoTGoat)
notes:
* spekuloval som nad praktickym prevedenim
* OWASP IoT Goat
* obraz pre RPi2 (ide aj na 3, ale verzia 2015)
* zalozeny na OpenWRT projekte
* plus niekolko bezpecnostnych problemov
## Aký to malo dopad?
notes:
* bola to supa
* praktike cviko + vyrobeny docker obraz
* studenti bez skusenosti nemohli robit sami
* talk pre it spolocnost
* talk pre klub ucitelov
* ale nasi studenti?
## Žiadny :-(
notes:
* ziadny alebo minimalny
* predposleny den pred deadline-om ma napadlo pozerat sa aj na tento problem
* najhorsi/najslabsi studenti
* sprava hesiel/uctov
### #1 Weak, guessable or hard coded passwords
> Use of easily bruteforced, publicly available, or unchangeable credentials, including backdoors in firmware or client software that grants unauthorized access to deployed systems.

notes:
* staticka (hardcoded passwords) konfiguracia pre mqtt pripojenie
* TUYA like - posiela to na cinske servery

notes:
* to iste, len zapisane inac
* co sa stane, ak dojde k vyzradeniu loginu a hesla a admini prijmu strasne rozhodnutie, ze credentials zmenia?

notes:
* to iste, ale pre zmenu v pythone

notes:
* opat defaults pre mqtt a databazu


[](https://s1.nordcdn.com/nord/misc/0.42.0/vpn/brand/your-smart-devices-put-you-at-risk.pdf)
notes:
* aby som zdovodnil, ze preco je to dolezite - Nordic VPN urobil prieskum a polozil tuto otazku
* vsimnite si, ze predvolene heslo na zariadeni zmeni len necelych 36% pouzivatelov
* to znamena, ze 64%, resp. 2 z 3 zariadeni maju nastavene predvolene heslo a utocnik ma sancu 2 z 3, ze sa s tym heslom trafi :-P
## Capture the Flag
* CTF je typ [bezpečnostnej súťaže]()
* úlohou súťažiacich (hackerov) je nájsť tzv. [vlajky]() (špeciálny reťazec, napr `CTF-A1B2C3`)
* vlajky je možné nájsť na rozličných miestach (napr. v kóde webovej stránky, hlavičke HTTP správy, v konfiguračnom súbore, v MOTD, v binárke súboru, ...)
* na ich získanie sú potrebné technické zručnosti a znalosti
notes:
* na popularizaciu a otestovanie bezpecnosti sa organizuju rozlicne sutaze. jednou z nich je aj CTF
* ulohou sutaziacich si hladat vlajky
* je to specialny retazec
* moze byt kdekolvek
* kdekolvek znamena fakt kdekolvek
* priklad:
* mame webovu appku
* vlajky mozu byt:
* v HTML kode v prehliadaci
* v dotahovanom JS kode v prehliadaci
* v hlavicke/tele odpovede HTTP protokolu
* vo websockete
* v konkretnej polozke v databaze
* v konfiguracnom subore webovej aplikacie
* v konfiguracnom subore weboveho servera, ktory tuto aplikaciu spusta
* v konfigracnom subore databazavoeho systemu
* v MOTD
* v premennych prostredia spusteneho kontajneru
### Cieľ - [integrovať CTF do zariadení IoT Gateway]()
notes:
* detiska budu moct hackovat
* budu odmenovani bodmi navyse
* mozno aj velmi velkymi bodmi

notes:
* hovoril som vlani
* trojvrstvova iot architektura
1. senzory a akcne cleny
2. IoT Gateway
3. Webove appky a sluzby
* plan bol doniest uz ukazkove zariadenie tu, ale nevyslo to tak, ako som zamyslal :-/
* dufam, ze o rok :-)
## Otázky?
### Odkazy
* [Namakaný webinár #43](https://namakanyden.sk/webinare/)
* [OWASP IoT Top 10](https://wiki.owasp.org/index.php/OWASP_Internet_of_Things_Project#tab=IoT_Top_10)
* [OWASP IoT Goat](https://github.com/OWASP/IoTGoat)
* Marek Šoltés: [Bezpečnosť v IoT riešeniach podľa OWASP IoT Top 10 projektu](https://opac.crzp.sk/?fn=detailBiblioFormChildU1NMN&sid=226A7A544DA3649F675838E9F6D0&seo=CRZP-detail-kniha) - diplomovka

(**http://bit.ly/4np46AN**)