интернета вещей, могут раскрыть интересную техническую инфор- мацию. Например, если человек сообщает, что он имеет серьезный опытработы с определенной архитектурой CPU,весьма вероятно,что многие устройства производителя построены с использованием этой архитектуры. Если другой сотрудник описывает (или, что реже, хва- лит) какой-то определенный фреймворк, есть большая вероятность, что компания использует его для разработки программного обеспе- чения.

Как правило, в каждой отрасли интернета вещей есть признанные эксперты, с которыми можно проконсультироваться для получения полезной информации. Например, если вы оценивали безопасность­ электростанции,опрос операторов илитехнических специалистов об их рабочих процессах может оказаться полезным для определения потенциальныхвектороватаки.Вмиремедицинысистемнымиадми- нистраторамииосновнымиоператорамиIoT-системобычноявляют- ся медсестры – следовательно, они осведомлены о входах и выходах устройства, и вам следует по возможности переговорить с ними.

жесткие диски и считывать их или записывать на них даже без до- ступа к загрузочным USB-портам, хотя этот метод менее удобен. Об- ратите внимание, что вмешательство в аппаратное обеспечение для извлечения дисков может привести к повреждению компонентов.

Атака может вестись через USB-порты по другой причине: неко- торые устройства, в основном на базе Windows, имеют режим кио- ска, в котором пользовательский интерфейс имеет ограниченные возможности.Рассмотрим банкоматдля снятия наличных; даже если на самом деле он работает под управлением встроенной операцион- ной системы Windows XP, пользователь видит только ограниченный графический интерфейс с небольшим набором команд. Представьте, что вы могли бы сделать,если бы смогли подключитьUSB-клавиатуру к открытому порту на устройстве. Используя определенные комби- нации клавиш, например Ctrl+Alt+Delete или клавишу Windows, вы можете выйти из режима киоска и получить прямой доступ к осталь- ной системе.

Среда загрузки

Для систем, использующих обычный BIOS (обычно платформы x86

иx64),проверьте,установленлипарольBIOSприначальнойзагрузке

икаков предпочтительный порядок загрузки. Если система снача- ла пытается выполнить загрузку со съемного носителя, вы можете загрузить свою операционную систему, не внося никаких измене- ний в настройки BIOS. Кроме того, проверьте, включает ли система

иустанавливает ли она приоритетность среды выполнения перед за-

грузкой Preboot Execution Environment (PXE), что позволяет клиентам загружать операционную систему по сети, используя комбинацию DHCP и TFTP.Это оставляетзлоумышленникам возможностьнастро- ить серверы загрузки из мошеннической сети. Даже если последова- тельность загрузки надежно настроена и все настройки защищены паролем, вы, как правило, можете сбросить BIOS до стандартных, чистых и незащищенных настроек (например, путем временного извлечения батареи BIOS). Если в системе есть безопасная загрузка

Unified Extensible Firmware Interface (UEFI), также оцените ее реализа-

цию. UEFI Secure Boot – это стандарт безопасности­ , который прове- ряет, что загрузочное программное обеспечение не было изменено (например, с помощью пакета программ для взлома системы). Для этого проверяются подписи драйверов микропрограмм UEFI и опе- рационной системы.

на платформах Arm или функция безопасной загрузки Qualcomm Technologies, которая проверяет защищенные загрузочные образы.

Блокировки

Проверьте, защищено ли устройство каким-либо замком, и, если да, насколько легко взломать замок. Также проверьте, есть ли универ- сальный ключ для всех замков или отдельный для каждого устрой- ства.В наших оценках мы видели случаи,когда все устройства одного производителя использовали один и тот же ключ, делая блокировку бесполезной, потому что любой человек в мире мог легко получить копию ключа. Например, мы обнаружили, что одним ключом можно разблокировать всю линейку шкафов, которые давали физический доступ к конфигурации системы инфузионных помп.

Чтобы оценить блокировки, вам понадобится набор инструментов для взлома–помимотого,что нужно знатьтип используемого замка. Например, тумблерный замок открывается иначе, чем замок с элек- трическим приводом, который может не открываться или не закры- ваться при отключении питания.

Предотвращение и обнаружение несанкционированного доступа

Убедитесь, что устройство защищено от несанкционированного до- ступа. Один из способов защитить его – использование этикетки

сперфорированной лентой, которая сигнализирует о факте откры- тия. К другим средствам защиты от несанкционированного доступа относятся выступы, зажимы, специальные кожухи, залитые эпоксид- ной смолой,или физические предохранители,которые могут стереть конфиденциальные данные, если устройство разобрано. Механизмы обнаружения несанкционированного доступа отправляет предупре- ждение или создает файл журнала на устройстве при обнаружении попытки нарушения целостности устройства. Особенно важно про- верять защиту и обнаруживать несанкционированный доступ при проведении теста на проникновение в системы интернета вещей на предприятии. Многие угрозы исходят изнутри – от сотрудников, подрядчиков или бывших сотрудников, поэтому защита от несанк- ционированного доступа может помочь обнаружить любое намерен- но измененное устройство. У злоумышленника возникнут проблемы

сразборкой устройства, защищенного от взлома.

Прошивка

Мы подробно рассмотрим безопасность­ прошивки в главе 9, поэтому здесь не задержимся на этой теме. Пока же имейте в виду, что доступ

Интерфейсы отладки

Проверьте наличие интерфейсов отладки, служб или точек тестиро-

вания, которые производитель может использовать для упрощения разработки, производства и отладки. Вы обычно найдете эти интер- фейсы во встраиваемых устройствах и можете использовать их для немедленного получения корневого доступа. Мы не смогли бы пол- ностью понятьмногие из протестированных нами устройств,если бы сначала не открыли корневую оболочку в системах, взаимодействуя спортамиотладки,потомучтонебылопутиполучениядоступаипро- веркидействующей системы.Для этого сначала можетпотребоваться некоторое знакомство с внутренней работой протоколов связи, ис- пользуемых этими интерфейсами отладки, но конечный результат обычно того стоит. Наиболее распространенные типы интерфейсов отладки включают UART,JTAG,SPI и I2C.Мы обсудим их в главах 7 и 8.

Физическая устойчивость

Проверьте ограничения, связанные с физическими характеристика- ми оборудования. Например, оцените систему на предмет атак раз- рядки батареи, которые происходят, когда злоумышленник перегру- жает устройство, что приводит к разрядке аккумулятора за короткий период времени и последующему отказу в обслуживании.Подумайте, насколько это опасно для имплантируемого кардиостимулятора, от которого зависит жизнь пациента. Другой тип тестов в этой кате- гории – glitch-атаки, преднамеренные аппаратные сбои, провоци- руемые для преодоления мер безопасности­ во время выполнения чувствительных операций. Одна из наших самых успешных атак представляла собой загрузку встроенной системы в режиме команд- ной строки суперпользователя, когда мы выполняли glitch-атаку на печатной плате (PCB). Кроме того, попробуйте атаки по вторичным каналам,такие как дифференциальный анализ энергопотребления, ког-

да пытаются измерить энергопотребление криптографической опе- рации для получения секретов.

Изучение физических характеристик устройства поможет вам сде- лать выводы о его безопасности­ в целом. Так, миниатюрное устрой- ствосдлительнымвременемавтономнойработыможетиметьслабые формы шифрования сетевого канала коммуникации. Причина в том, чтоприиспользованиивычислительноймощности,необходимойдля более надежного шифрования, аккумулятор разряжался бы быстрее, а его емкость ограничена из-за размера устройства.