Powrót

Testy bezpieczeństwa urządzeń

Architektura współczesnych urządzeń – łączących software, hardware, komunikację bezprzewodową i rozwiązania chmurowe – wymaga specjalnego podejścia bezpieczeństwa, gdyż atakujący zawsze wykorzysta najsłabsze ogniwo.

Testy bezpieczeństwa urządzeń opierają się na analizie urządzenia z perspektywy widzenia hackera, pozwalając na efektywną selekcję i analizę potencjalnie podatnych komponentów.

Oferta testów bezpieczeństwa urządzeń


W zależności od potrzeb oraz wykorzystanych rozwiązań, analiza może obejmować na przykład:

  • Elektronikę: bezpieczeństwo architektury i projektu, wykorzystanych wbudowanych i zewnętrznych pamięci, zabezpieczeń mikrokontrolerów, interfejsów debugowych, szyn komunikacyjnych, rozwiązań tamper protection…
  • Sygnały radiowe: Bluetooth Low Energy, Zigbee, 802.15.4, WiFi, innych własnościowe,
  • RFID/NFC,
  • Firmware: proces aktualizacji, binarna analiza obrazu (podpisywanie, szyfrowanie, zawartość danych wrażliwych, ocena możliwości analizy wstecznej…
  • Bezpieczeństwo własnościowych protokołów komunikacyjnych,
  • Proces wdrożenia, pierwszej konfiguracji urządzenia,
  • Bezpieczeństwo łańcucha dostaw,
  • Komunikację z chmurą IoT,
  • Interakcje z aplikacją mobilną,
  • Interfejsy WWW: administracyjne, backendowe, wbudowane.

Badania przeprowadzone przez samych producentów pokazują, że nawet 70 procent urządzeń IoT może być podatnych na atak.



Jak wygląda przykładowy zakres oceny bezpieczeństwa Bluetooth Low Energy?



Bluetooth Low Energy, jako jedna z najbardziej popularnych technologii bezprzewodowych Internet of Things, jest używania nie tylko w inteligentnych gadżetach i wearables, ale również w inteligentnych zamkach, tokenach bankowych i urządzeniach medycznych.

Przykładowy zakres analizy rozwiązań BLE:

  • Podsłuchiwanie komunikacji (na warstwie radiowej, zrzut pakietów), porównanie zawartości rzeczywistych pakietów z dokumentacją,
  • Atak powtórzeniowy (w tym ataki “pre-play” i “rolljam” dla kluczy jednorazowych),
  • Podszywanie się pod urządzenie, nadawanie skopiowanych rozgłoszeń, serwisów i charakterystyk,
  • Analiza nadmiarowych usług, charakterystyk i deskryptorów BLE GATT,
  • Atak przedłużenia komunikacji, nadużycie reakcji na zbliżenie,
  • Ataki MitM, wstrzyknięcie komend, modyfikacja przesyłanych między urządzeniami danych,
  • Oskryptowanie komunikacji z urządzeniami,
  • Analiza protokołu komunikacyjnego pod kątem błędów logicznych,
  • Ominięcie uwierzytelniania, nadanych uprawnień i ograniczeń,
  • Wywołanie nieautoryzowanych komend (np. jako gość albo nieuwierzytelniony użytkownik) w celu przywrócenia urządzenia do ustawień fabrycznych lub zmiany poświadczeń,
  • Identyfikacja komend ukrytych, komend debugowych pozostałych po procesie developmentu,
  • Fuzzowanie danych wejściowych (nieprawidłowe wartości, przekroczone długości komunikatów),
  • Weryfikacja procesu aktualizacji oprogramowania (OTA DFU) i sposobu jego podpisywania oraz szyfrowania,
  • Próba podmiany oprogramowania wbudowanego, nadużycie procesu DFU,
  • Analiza zrzutu firmware pod kątem ukrytych współdzielonych poświadczeń, wykorzystanie wiedzy do próby ataku na inne urządzenia,
  • Weryfikacja znanych podatności na użyte komponenty (np. stos BLE, SoftDevice),
  • Analiza podatności i wpływu na ataki odmowy usługi (DoS).

Dlaczego Securing?

Wierzymy, że kluczem do skutecznych testów bezpieczeństwa urządzeń jest zrozumienie sposobu ich działania oraz technologii, które wykorzystują – dlatego ciągle rozszerzamy swoją wiedzę, badamy nowe trendy świata IoT i niezależnie analizujemy pojawiające się rozwiązania.

Zgodność z rozporządzeniem DORA

Testy bezpieczeństwa urządzeń pomagają zapewnić zgodność z rozporządzeniem DORA. Stanowią one odpowiedź do zapisów DORA, które kładzą nacisk na uwzględnienie wszystkich potencjalnie słabych punktów infrastruktury. 

Jak uzyskać wycenę projektu?



Jeśli jesteś zainteresowany testami bezpieczeństwa swoich urządzeń, zarezerwuj spotkanie z naszym specjalistą lub napisz do nas, aby uzyskać szczegółową wycenę. Skontaktujemy się z Tobą w celu omówienia funkcjonalności aplikacji i jej szerszego kontekstu, tak aby wyniki testów bezpieczeństwa miały dla Ciebie najlepszą możliwą wartość.

Case study

Jak zwiększyliśmy bezpieczeństwo aplikacji do bankowości internetowej?

Klientem był jeden z wiodących banków, oferujący serwis internetowy dla podmiotów indywidualnych i biznesowych. Zakres testu obejmował bezpieczeństwo serwisu transakcyjnego, usług zarządzania płatnościami, giełdy finansowej oraz produkty pożyczkowe.

Wkrótce więcej…
Zaufali nam

Zostań naszym klientem

I zbudujmy razem bezpieczną przyszłość

Zarezerwuj spotkanie

Lub napisz do nas