Hardware / IoT Pentesting

Hardware / IoT pentesten

IoT-apparaten zijn een groeiend doelwit van onze test- en beoordelingsdiensten. Hardware, firmware en (cloud-)backends zijn allemaal doelwitten voor aanvallers en worden vaak niet goed begrepen.

Secura kan al deze aspecten testen, en ook reverse engineering en firmware hacking technieken toepassen om te achterhalen welke zwakke plekken er zijn. Interessant in dit verband is dat Secura ook actief partner is in het INTERSECT onderzoeksconsortium dat alle Nederlandse Technische Universiteiten en veel multinationals omvat, en zich richt op het ontwikkelen van nieuwe technologieën voor het testen en beveiligen van (Industriële) IoT-apparaten.

In het algemeen hangt het grotendeels van het apparaat af welke exacte stappen worden genomen in een IoT assessment. Als er echter hardware in het spel is, zullen we interfaces identificeren zoals serieel, SPI, I2C, JTAG en andere. We zullen proberen om alle componenten en hun zwakke punten te identificeren. Voor bepaalde componenten kan Secura 'chip-off' technieken uitvoeren door de component van de PCB te verwijderen en in een specifiek testbed te plaatsen. Dit wordt meestal gedaan om geheugeninhoud uit de component te halen voor latere analyse.

Als een IoT apparaat een companion app heeft, kunnen we een Mobile app assessment uitvoeren op dat onderdeel, en als het IoT apparaat een web interface heeft, kunnen we daar een web applicatie assessment op uitvoeren. Normaal gesproken hebben we meerdere hardware samples nodig, die destructief getest kunnen worden (dus: reken er niet op dat je ze in 1 stuk terug krijgt).