safety for anything you connect to the Internet is important. think of these devices as doorways. They either allow access to services or supplies services for someone else. Doorways need to be safe — you wouldn’t leave your door unlocked if you lived in the bad part of a busy city, would you? Every Internet connection is the bad part of a busy city. The thing is, building hardware that is connected to the Internet is the new hotness these days. So let’s walk through the basics you need to know to start thinking safety with your projects.
If you have ever run a server and checked your logs you have probably observed that there is a lot of automated traffic trying to get access to your server on a nearly constant basis. An insecure device on a network doesn’t just compromise itself, it presents a risk to all other networked devices too.
The easiest way to safe a device is to turn it off, but lets presume you want it on. There are lots of things you can do to secure your IoT device. It may seem daunting to begin with but as you start becoming a lot more safety conscious things begin to click together a bit like a jigsaw and it becomes a lot easier.
What are the problems and how do you fix them?
Passwords and Password Security
Before we start always remember to change default passwords for every package and device you use. This is the first thing you must make with any connected device. web safety hinges on two goals: keeping the unauthorized from getting access to resources and ensuring the authorized have access to resources they need. If your device supplies different information to different people you will need to have some way for your device to tell people apart, for example a login system. This can be achieved in many different ways like using session ID’s and secure cookies in conjunction with passwords.
It’s very crucial that you do not store passwords or session ID’s in cookies as these can easily be intercepted either by man in the middle attacks, malware or someone who has physical access to the end user’s computer. Passwords must always be hashed. This is a one way process and cannot be reversed if done appropriately using “salting”. Salting is using a string of characters so when you hash the password the salt is used to create a special hash. This stops attackers using rainbow tables in buy to crack your passwords if they got a hold of your database. Pedro Umbelino did a great job of detailing password safety in his Hackaday post a few weeks back.
Secure Salting of password hashes is the way to go in this digital age click the link to learn more. Passwords are crucial and it’s best that even you don’t know your users passwords as they may use them for other accounts. If you just encrypted them then you have the indicates to decrypt them as encryption is a two way process encrypt/decrypt. This is why we hash and don’t encrypt.
Old software with known Vulnerabilities
ATMs are notorious for lagging behind on software updates. This makes them easy targets.
It’s obvious, but well worth saying. avoid using old software with known vulnerabilities, never use older versions of software. software is updated for a valid reason. use the most recent versions, even if the changelog doesn’t mention certain safety patches.
There are web sites out there that paper most known vulnerabilities and this is worth checking out for packages you plan to use. You may be thinking that providing all known vulnerabilities is helping the bad guys, but these are actually the good guys. yes it does help a would-be attacker find a way to attack older web scripts or software but if you use the current version from a trusted vendor they will hopefully have fixed any previous problems they had with their product. providing the vulnerabilities gives companies a reason to get updates out the door and to stop attackers preying on software with bugs in it because your software vendor is lazy. It also helps developers avoid the worst offenders.
If You Don’t need It, Why keep It?
Lets assume your device is running some form of Linux. There are lots of protocols you can use to communicate with the device. For example you may have SMB, SSH, Telnet, FTP, VNC etc. but you need to decide which of these protocols you need and which you don’t. If you don’t use a protocol why have it enabled in the first place?
These are like doorways to your device the less doorways you have the less attack avenues a computer “hacker” has to get access. It’s common sense really but is often overlooked. another good bit of recommendations is to disable root login for SSH and create another account to use. Your root account is the most likely to be brute-forced. If you need remote login use at least 8 digit passwords and make it random and odd chars, capitals, numbers etc. If you use a word and maybe 123 at the end, It would take a hacker literally minutes with a dictionary brute force attack.
Zu viel Informationen verschenken
Informationsbelegung von Informationen, die einem Angreifer helfen können, ist ein viel komplizierterer Angriff, ein großer No-Nein. Ihr IOT-Server verleiht viel mehr Informationen, als Sie dachten oder sogar Informationen, die Sie nicht fühlten, war wichtig.
Beispielsweise verbinden sich selbst geschriebene Websites möglicherweise direkt auf Dateien auf dem Server, anstatt den tatsächlichen Standort zu verbergen. Dies muss vermieden werden. Sie haben aus einem bestimmten Grund ein “Web-Verzeichnis”; Ihre Gerätesoftware erwartet, dass sich Ihre Dateien an diesem Ort befinden, und die Berechtigungen sind eingerichtet, um die Reichweite dieses Verzeichnisses zu beenden. Öffnen Sie nicht das hintere Ende (Nicht-HTTP-Teil), da dies dazu führen kann, dass ein Angreifer Privilegien durch einen grundlegenden Fehler in einem Web-Skript in einem sicheren Teil Ihres Geräts erhalten kann.
Mach dir keine Sorgen zu viel darüber, da es eine ziemlich triviale Sache ist, um zu reparieren. Sie müssen immer noch Ihr Web-Verzeichnis verwenden, aber Sie können auch die URLs mithilfe von .htaccess mit Apache HTTP-Server ausblenden. Wenn Sie einen anderen HTTP-Server verwenden, hat dies ein ähnliches Konfigurationssystem. So lernen Sie viel mehr Suche das Netz für “Name-of-Your-HTTP-Server-URL-REWRITE”.
Sie möchten keine Angreifer von Angreifern mit viel mehr Informationen als das Minimum, das Ihr Server für die Funktion liefern muss. Durchlaufende Informationen können einem Angreifer helfen, Ihre Dateistruktur zu verstehen und was Sie unter Ihrer HTTP-Ebene ausgeführt haben. Die meisten Angriffe sind automatisiert, um Ihren Server abzunehmen, da sie beobachtet haben, dass Sie ein bestimmtes Software verwenden. Discovery Hard machen hilft, diese Automatisierung zu bekämpfen.
In Ihrem Web-Site-Verzeichnis möchten Sie auch sicherstellen, dass Ihre Dateien nicht in den Verzeichnisindizes bereitgestellt werden, wobei eine grundlegende Index.HTML-Datei in jedes Verzeichnis eingesetzt wird, wobei jedes Verzeichnis die neugierigen Augen aufhört. Wenn Ihr Server über eine Datenbank verfügt, halten Sie es auf einem anderen Gerät (Best-Practice), oder wenn dies nicht möglich ist, müssen Sie unbedingt hinter einer Firewall behalten. Behalten Sie Datenbanken auch nicht in Ihrem “Web” -Verzeichnis. Für viele weitere Informationen zum Verriegeln Ihres Servers finden Sie den Link.
Querort-Skripting.
Samy Kamkar, Designerin des Samy-Wurms; Foto durch das Amp-Stundeninterview von 2016
XSS- oder Cross-Site-Skriptanfälle sind einer der vielen häufigeren Angriffsvektoren. Hier nutzt der Angreifer ein Skript, z. B. den Abschnitt des Hackaday-Kommentars unten auf dieser Seite. Ein Angreifer kann versuchen, einen Kommentar mit dem Skript zu hinterlassen, identifiziert darin. Wenn dies erfolgreich ist, wird dies schädlichen Code im Kommentar veröffentlicht, der auf dem Browser eines Benutzers ausgeführt wird, wenn jemand diese Seite besucht. Natürlich ist Hackaday vor diesen Arten von Angriffen geschützt, aber das Beispiel gilt für Websites, die XSS-Schwachstellen haben. Wird Sweatman einen Crash-Kurs auf XSS schrieb, der sich lohnt, ausprozelt zu werden.
Vielleicht war der beliebteste XSS-Angriff der Samy-Wurm. Samy Kamkar fand eine MySpace-Sicherheitsanfälligkeit, die alle dazu führte, dass jeder, der seine Seite überprüfte, ihn als Freund hinzufügte, und eine Nachricht auf ihrer Profilseite anzuzeigen. Es war selbstausbreitend, daher wurde jede Person, die dann eine Seite mit dieser Nachricht ausgecheckt, mit dieser Nachricht überprüft wurde, um neue Besucher zu infizieren. Nahezu übernachtete jeder auf MySpace folgte Samy. Er erwägt, dass er ein Sicherheitsforscher wird und ist ein großer Freund von Hackaday.
Wenn Sie Ihre eigenen Webdienste hosten, die das Angebot an Submissions-Formulare angeben, um Ihre gehackt-zusammen-IOT-Sache zu steuern, sollten Sie XSS in Betracht ziehen. Die Option dazu nennen wir sanitierende Daten. Natürlich müssen Sie einschränken, was Ihr Webformular enthält (Script “Script” und andere HTML-Tags schrubben). XSS-Angriffe sind sehr häufig. Daher ist die Webschnittstelle für Ihr IOT-Gerät in die Eingabe, ist jetzt eine tolle Zeit, um zu gehen und so viel wie möglich von XSS zu lernen.
Physische Zugangsangriffe
Der physische Zugang kann auch ein Problem sein. Möglicherweise haben Sie Ihr Gerät an einem Ort, der öffentlich oder leicht zugänglich ist. Sie müssen sicherstellen, dass niemand entlangkommt und einen USB-Killer oder ein USB-Hackwerkzeug zum Beispiel schreibt, der beispielsweise als HID-Schnittstelle (Human Interface-Gerät) wie eine Tastatur angezeigt wird, und beginnt mit der Wiederholung von Befehlen aus einem vorkonfigurierten Skript. Wenn Sie keine USB benötigen, machen Sie sie nicht zuwendig oder schalten Sie sie durch Software aus. Wenn Sie wirklich sicherheitsbewusst sind, warum sie nicht vollständig von der Tafel entfernen, oder das Epoxid über sie gießen? Sogar PS / 2-Ports müssen gesichert sein. Sie können hier ein Muster sehen, das hier hervorgeht, ein guter Sicherheitsansatz ist, wenn Sie es nicht brauchen, warum haben Sie es an erster Stelle.
Verwenden Sie bewährte Sicherheitsmaßnahmen
Sicherheit durch Dunkelheit ist auch keine gute Idee, es gibt immer jemanden da draußen, der klüger oder glücklicher ist als Sie. Versuchen Sie, an bewährten Sicherheitsmaßnahmen zu bleiben, denken Sie nicht für eine Sekunde, denn Sie haben ein seltsames Gerät mit vielleicht einer Marktgröße von unter 100 Personen / Unternehmen, die Sie sicher sein werden. Nichts ist zu 100% kugelsicher, aber wenn Sie der Meinung sind, dass Ihr Gerät niemals angegriffen wird, weil “Gründe” noch einmal nachdenken. Bewerten Sie Ihre Position erneut und sortieren Sie Ihre Sicherheit.
Wenn Sie diesen Empfehlungen folgen, müssen Sie ziemlich gut gesichert sein, solange Sie sich daran erinnert, dieses Standardkennwort zu ändern und sich daran zu erinnern, dass dies kein Def istInitive Guide Es gibt immer etwas anderes, was Sie tun können, um Ihr Gerät zu schützen. Das größte Problem bisher ist bisher nicht gesunken, in irgendeiner Weise über die Sicherheit zu denken – wir können es besser machen!
Zukünftige Prävention.
Das Internet von Dingensgeräten wird jetzt für den Sport ideal gejagt. Sie müssen wachsam sein und stellen Sie sicher, dass Ihre Geräte nicht fehlerhaft fallen, um anzugreifen, um wie Brickerbot anzugreifen oder ein Teil des aktuellen IOT BOTNET zu werden. Es wird viel mehr Angriffe wie diese geben, um in der Zukunft zu kommen. Erlernen Sie die Kurve, indem Sie über die Sicherheit lernen und Ihre Geräte heruntergesperrt halten. Wenn Sie über Cyber-Sicherheit schwer sind, lesen Sie mit dem Lesen der aktuellen Trends, da es täglich neue Schwachstellen gibt. Wenn Sie Geräte für andere herstellen, müssen Sie sich in diesen Fähigkeiten erfahren. Wenn Sie das nicht über sich selbst sagen können, mieten Sie einige Fachleute. Sie wollen keine Klage, Sie möchten kein Kundenvertrauen verlieren, und Sie möchten keine Hardware bauen, die unsere verbundene Welt bedroht.