Jaką krytyczną podatność w znanym urządzeniu IoT znaleźli nasi naukowcy? Przyjdź na Hack Summit 2023
Marek Janiszewski i Jan Adamski na tegoroczny Hack Summit przygotowali dwa wystąpienia. Wspólnie przedstawią więcej informacji o krytycznej podatności w API jednego z producentów popularnych urządzeń IoT lub zaprezentują metodykę i wnioski z badań bezpieczeństwa urządzeń IoT. Wszystko zależy od statusu procesu CVD, ale już dziś zapraszamy do udziału!
Gdy do czasu rozpoczęcia Hack Summit zakończy się proces skoordynowanego ujawniania podatności (CVD), wystąpienie naukowców z NASK SCIENCE skupi się wokół prezentacji krytycznej podatności wykrytej w API jednego z popularnych producentów urządzeń IoT/Smart Home. Podatność ta pozwala na zdalne (przez Internet) dodanie urządzenia do własnego konta użytkownika i zdalne sterowanie nim, bez żadnej autoryzacji. Marek Janiszewski i Jan Adamski przedstawią szczegóły dotyczące tej podatności, proces badawczy, który pozwolił na jej wykrycie oraz pełne PoC wraz z przykładem video wykorzystania tej luki w praktyce. Omówią wówczas środki zaradcze, które skutecznie wyeliminowałaby podatność. W przypadku niezakończenia procesu CVD, ich wystąpienie będzie prezentować wypracowaną w projekcie LaVA metodykę badań urządzeń IoT oraz wnioski płynące z tych badań. Podczas prelekcji omówią problem bezpieczeństwa niektórych urządzeń codziennego użytku podłączonych do Internetu. Przedstawią zdefiniowane w metodyce krytyczne obszary bezpieczeństwa dla urządzeń IoT wraz z metodami badawczymi pozwalającymi na modelowanie scenariuszy ataków, a następnie weryfikację możliwości ich przeprowadzenia. Zaprezentują również pomniejsze podatności zgłoszone dotychczas do producentów sprzętu Internetu Rzeczy.
Marek Janiszewski
Posiada doświadczenie w przeprowadzaniu audytów bezpieczeństwa oraz testów penetracyjnych, a także w realizacji projektów doradczych w zakresie budowy infrastruktury ICT, administrowaniu systemami IT i zarządzaniu projektami rozwojowymi. Posiada certyfikaty branżowe, w tym: OSCP (Offensive Security Certified Professional) i CEH (Certified Ethical Hacker). W NASK odpowiada za konceptualizację, projektowanie, tworzenie i wdrażanie nowych narzędzi cyberbezpieczeństwa oraz bierze udział w międzynarodowych i krajowych projektach badawczych. Jego zainteresowania naukowe obejmują zagadnienia związane z szeroko pojętym cyberbezpieczeństwem w tym: badania efektywności i wiarygodności systemów zarządzania zaufaniem i reputacją, rozwój i ewaluację narzędzi i metod wykrywania podatności oraz ocenę bezpieczeństwa w Internecie Rzeczy.
Jan Adamski
Absolwent kierunku Telekomunikacja na wydziale Elektroniki i Technik Informacyjnych Politechniki Warszawskiej. Od małego zarażony pasją do nowoczesnych technologii. Od 2022 roku zatrudniony w NASK-u w Zakładzie Systemów Bezpieczeństwa Informacji na stanowisku Inżyniera Oprogramowania, przedtem pracował w amerykańskim startupie Cerebre na tym samym stanowisku. Szczególnie zaangażowany w projekt LaVA w obszarze aplikacji mobilnych. Po godzinach entuzjasta sportu i sędzia piłkarski.