לדלג לתוכן

תקיפת מכשירי IoT - מדריך בסיס

מצלמת אבטחה, נתב ביתי, תרמוסטט חכם, מדפסת רשת - כל אלה הם מחשבים לכל דבר, רק שלרוב אף אחד לא חשב עליהם ככה כשעיצב את האבטחה שלהם. עולם ה-IoT (Internet of Things) הפך לאחד היעדים הכי פופולריים בבדיקות חדירות, בדיוק כי הרבה יצרנים עדיין מתייחסים לאבטחה כמחשבה שנייה. הנה בסיס להבין איך בודקים את זה נכון.

למה מכשירי IoT הם יעד כל כך נגיש

בניגוד לשרת או תחנת עבודה, למכשיר IoT יש לרוב משאבים מוגבלים - זיכרון קטן, מעבד חלש, ולעיתים אין אפילו מסך או מקלדת לניהול. זה גורם ליצרנים לוותר על מנגנוני הגנה בסיסיים: סיסמאות ברירת מחדל שלא מתחלפות, ממשקי ניהול פתוחים בלי הצפנה, ועדכוני קושחה שכמעט אף אחד לא מתקין. לזה מוסיפים את העובדה שהמכשירים האלה מחוברים לרשת 24 שעות ביממה, ולרוב באותה רשת כמו מחשבים רגישים יותר - מה שהופך אותם לנקודת כניסה מצוינת להמשך תנועה ברשת.

משטח התקיפה של מכשיר IoT

  • ממשק הניהול - כמעט לכל מכשיר יש ממשק ווב או אפליקציה לניהול. הרבה פעמים אפשר למצוא שם חולשות ווב קלאסיות, כולל הזרקות ואי מספיק בקרת הרשאות.
  • הקושחה - Firmware - התוכנה שרצה על המכשיר עצמו. חילוץ וניתוח קושחה חושפים לפעמים סיסמאות מוצפנות בצורה חלשה, מפתחות API קבועים בקוד, או פונקציות ניהול נסתרות.
  • ממשקי חומרה - יציאות UART ו-JTAG על הלוח הפיזי של המכשיר יכולות לתת גישה ישירה למערכת ההפעלה שלו, לפעמים בלי כל אימות.
  • פרוטוקולי תקשורת - הרבה מכשירי IoT מדברים בפרוטוקולים ייעודיים כמו MQTT או Zigbee, שלא תמיד עוברים ביקורת אבטחה קפדנית כמו HTTP רגיל.

איך ניגשים לבדיקה בפועל

השלב הראשון הוא תמיד רקון - לזהות איזה מכשיר זה, מי היצרן, ומה גרסת הקושחה. הרבה מכשירים חושפים את זה דרך באנרים ברשת או דרך ממשק הניהול עצמו. משם, כדאי לבדוק קודם כל את הדברים הכי בסיסיים: האם יש סיסמת ברירת מחדל שעדיין פעילה, והאם הממשק חשוף לרשת בכלל בלי צורך.

אם יש גישה פיזית למכשיר, חילוץ הקושחה הוא צעד טבעי - דרך עדכון תוכנה שהיצרן מפרסם באתר שלו, או ישירות מהחומרה. כלי כמו binwalk מאפשר לפרק קובץ קושחה ולחלץ ממנו את מערכת הקבצים, ואז לחפש בתוכה סיסמאות קבועות, מפתחות הצפנה, או קוד שמראה בדיוק איך המכשיר מתנהג מאחורי הקלעים.

סיסמאות ברירת מחדל - האויב הכי גדול

זו אולי הנקודה הכי חשובה בכל בדיקת IoT: כמות עצומה של מכשירים בשוק עדיין רצים עם שם משתמש וסיסמה שמופיעים במדריך היצרן, זמינים לכל אחד שמחפש אותם. בדיקת חדירות רצינית על מכשיר IoT תמיד תתחיל משם, לפני שעוברים לחיפוש חולשות מתוחכמות יותר.

לא לשכוח את התמונה הגדולה

מכשיר IoT בודד שנפרץ הוא בעיה. אבל הבעיה האמיתית היא מה אפשר לעשות איתו אחר כך - לרוב הוא נקודת דריסת רגל לתוך רשת פנימית שמכילה מחשבים ומידע הרבה יותר רגישים. בדיקת חדירות טובה על IoT תמיד בודקת גם את זה: אם תקפתי את המצלמה, לאן אני יכול להגיע משם.

מי שרוצה להעמיק בתחום הזה כחלק ממסלול מסודר של בדיקות חדירות יכול להתחיל מקורס בדיקות החדירות שלנו, שם התשתית הזו נבנית שלב אחר שלב.

לסיכום

תקיפת מכשירי IoT משלבת ידע ברשתות, ווב, וגם קצת חומרה - זה מה שהופך אותה למאתגרת ומעניינת כאחד. תתחילו מהבסיס: זהוי המכשיר, בדיקת סיסמאות ברירת מחדל, ואם אפשר - ניתוח קושחה. משם, כל השאר נבנה בהדרגה.

יש לכם מכשיר IoT שאתם רוצים לתרגל עליו בצורה חוקית? דברו איתנו בדיסקורד.

הצטרפו לקהילה בדיסקורד