我正在指导一群学生,他们的任务是为一些不同的任务(即温度、运动)构建物联网传感器。我想根据他们设计传感器的安全程度给他们打分,因为安全似乎是一个很大的问题……希望通过将其变成一个挑战,这将激励他们更加关注安全,而我不会事先警告他们安全性将受到考验。
如何测试传感器以查看它们是否容易出现常见问题?
设备规格- 所有设备都基于 Raspberry Pi 3s,并且必须通过 Wifi 连接到路由器才能将一些数据发送到服务器。我将能够连接到与传感器相同的接入点,但我对设备使用的代码一无所知。
有没有人知道如何测试设备是否容易受到以下攻击:
DoS 攻击(如砖头机器人:http ://hackaday.com/2017/04/08/brickerbot-takes-down-your-iot-devices-permanently/ )
窥探(我告诉学生数据应该保密,并让他们以自己的方式保护数据)
谁能描述一下让我探测学生传感器安全性的方法吗?也许有任何渗透测试框架?要尝试的密码列表?其他提示/技巧?
除了Sean Houlihane的回答,我还想补充几点。我并不是要听起来很傲慢,但我认为您不想测试传感器本身的安全性,因为我假设温度和运动传感器是从 OEM 购买的。这些传感器仅供学生用来记录 Raspberry Pi 上的信息。我想你想测试的是学生在树莓派上的软件实现的安全性,对吧?
如果是这样,那么 OWASP 网页上 有一个非常有前途的物联网测试新项目https://www.owasp.org/index.php/IoT_Testing_Guides在那里您可以找到您可能想要测试的方面的列表。
PS:公平地说,学生应该知道安全方面是分级的。分级的透明度总是比惊喜好。
我将列出我认为重要的要点,而不是解释如何保护这样的系统。我确定我错过了一些。
我认为测试这个最简单的方法是要求提供所有应用保护的规范 - 作为公开审查,而不是试图自己破解设备。然后你可以检查他们是否已经实施了他们所说的。例如,要求证明他们处理证书和密钥的方式。
我不知道 Raspberry Pi 是否有安全存储(也许有一些受信任区保护的内部闪存 - 不知道)。没有它,他们将很难通过彻底的安全审查......