Ein unsicheres Gerät ist ein blinder Fleck in der IT des Unternehmens. Sowohl HerstellerInnen als auch IntegratorInnen von IoT-Devices müssen die Qualität und Sicherheit der Software und Hardware bzw. des Ökosystems sicherstellen. Eine angreifende Person kann dabei schnell zum Problem für das Unternehmen werden, da entweder das IoT-Device missbraucht werden kann oder eine abhängige Dienstleistung stark beeinträchtigt werden kann. Auch die HerstellerInnen des Gerätes tragen hier Mitverantwortung und eine großflächige Ausnutzung von Schwachstellen kann zu großen Imageschäden führen. Diese Probleme wurden sowohl im Kleinen, bei unscheinbaren Geräten wie Präsentationshardware oder VPN-Boxen, aber auch im Großen, wie bei Industriesystemen mehrfach identifiziert. Versteckte Schwachstellen in Hard- und Software befinden sich z. B.:

In einem unsicheren Updateprozess, womit das Gerät manipuliert und Backdoors eingebracht werden.
Schlüssel und Passwörter können ausgelesen werden, womit auch das Backend des Gesamtsystems betroffen ist.
Offizielle oder verdeckte Schnittstellen (z. B. Backend-Anbindungen oder Wartungszugänge) können missbraucht werden.
Unsichere Einstellungen entsprechen nicht der Best Practice.
Einsatz von einzelnen veralteten Softwarekomponenten mit bekannten Schwachstellen ermöglichen eine Kompromittierung des Gerätes.

Unsere Leistung

Bei einem Kickoff werden der Einsatzzweck und die Funktionalität besprochen. Aus diesem Analysegespräch werden Angriffsvektoren entwickelt und praktisch am Gerät und auf der Firmware getestet. Für eine effiziente Durchführung des Sicherheitstests wird eine Zusammenarbeit mit dem Entwicklungsteam empfohlen. Die besten Ergebnisse werden im Whitebox-Verfahren erreicht.

Leistungen:

Analyse von IoT Device Firmware auf Schwachstellen und unsicheren Einstellungen
Penetrationstest von IoT Devices auf Basis der OWASP IoT Top 10
Review von Firmware Source Code bei Eigenentwicklungen
Prüfung des Backend auf Schwachstellen und Möglichkeiten des Missbrauchs

Die Ergebnisse werden in einem schriftlichen Endbericht festgehalten. Dieser beinhaltet unter anderem ein Managementsummary, das die Problemfelder und Angriffsvektoren zusammenfasst. Die Schwachstellen werden technisch detailliert beschrieben, das Risiko systematisch bewertet und Gegenmaßnahmen beschrieben.

Benefits

Visualisierung von Schwachstellen im blinden Fleck der IoT Security.
Weiterentwicklung des Entwicklungsprozesses bzw. des Produktes für HerstellerInnen.

Ergänzende Leistungen

Penetrationstest der externen Infrastruktur

Kontaktieren Sie uns!

Name	SBA Research Cookie
Provider	SBA Research
Purpose	Saves the settings of the visitors selected in the cookie box.
Cookie name	sba-research-cookie
Cookie runtime	1 year

Name	YouTube
Provider	YouTube
Purpose	Used to unblock YouTube content.
Privacy policy	https://policies.google.com/privacy
Host(s)	google.com
Cookie name	NID
Cookie runtime	6 months

Name	Vimeo
Provider	Vimeo
Purpose	Used to unblock Vimeo content.
Privacy policy	https://vimeo.com/privacy
Host(s)	player.vimeo.com
Cookie name	vuid
Cookie runtime	2 years

Firmware Analyse und IoT/Embedded Security Test

Benefits

Ergänzende Leistungen

Ihr Ansprechpartner

Weitere Professional Services

Firmware Analyse und IoT/Embedded Security Test

Benefits

Ergänzende Leistungen

Ihr Ansprechpartner

Weitere Professional Services

Privacy settings