IoT3 UART로 펌웨어 접근해보기 장비들의 펌웨어를 얻는 방법은 여러가지가 있다. 1. 제조사가 제공하는 펌웨어 받기 제조사에서는 펌웨어의 주기적인 패치를 내놓고 그것을 자신들의 홈페이지에서 제공하는 경우가 왕왕 있다. 보안적인 측면에서 권장 사항은 자체적으로 업데이트를 하는 것인데, 그 이유로는 낮은 버전의 펌웨어를 사용자 임의로 올려버릴 수 있기 때문이다. 2. 자동/수동 업데이트 시 network packet sniffing 요즘 나오는 기기들을 보면 거의 다 자체 앱이 있고 거기서 업데이트를 지원한다. 업데이트를 눌러놓고 패킷을 스니핑해보자. 사실 이 방법은 요즘에 나온 기기들이라면 거의 다 불가능하다. 제조사마다 업데이트 서버와 통신을 할텐데 암호화 통신을 한다면 우리는 중간에 패킷을 가로채도 펌웨어 파일을 찾을 수 없기 때문 .. 2022. 4. 14. OWASP IoT top 10 - 2018 OWASP는 오픈소스 웹 애플리케이션 보안 프로젝트이다. 주로 웹에 관한 정보노출, 악성 파일 및 스크립트, 보안 취약점을 연구하며 많이 발생하고 보안상 크게 영향을 끼치는 것들 10가지를 선정해 공개한다. (출처 : OWASP 위키백과) OWASP에 웹 취약점만 있다고 생각했는데, IoT 프로젝트도 진행하고 있었다. 그게 바로 OWASP IoT top 10이다. 설명을 보면 IoT 시스템을 구축, 배포 또는 관리할 때 피해야 할 상위 10가지 사항이라고 적혀있다. 이 포스트는 OWASP IoT top 10을 해석하고, 그와 관련된 나의 생각을 적어보았다. 최대한 팩트만을 이용해 생각을 적기 위해 관련 용어들을 검색하는 등 여러가지 노력을 기울였다. OWASP Internet of Things OWASP.. 2021. 9. 21. IoT 장비 분석 (공유기 펌웨어 분석) 공유기 펌웨어를 분석해보았다. 실습에 앞서 IoT 장비 분석은 아래와 같이 진행된다고 한다. IoT 장비 분석 단계 1. 장비 기능, 동작 파악 2. 구성 요소 파악 (하드웨어, 앱, 클라우드 서비스 등 물리적인 장비 외에도 어떤 서비스들이 엮여있는지 파악해야한다.) 3. 취약점 진단 (2번에서 파악한 구성요소 별로 취약전 진단을 수행한다. 웹 해킹, 앱 해킹 등이 포함된다.) 4. 모든 분석이 끝나고 더 분석을 진행할 것이 없다면 장비를 뜯어본다. 1. 장비 기능, 동작 파악 - 어떻게 동작하고 어떤 기능이 있는지, 사용법은 어떻게 되는지 파악해야한다. 2. 구성 요소 파악 - 하드웨어, 앱, 클라우드 서비스 등 물리적인 장비 외에도 어떤 서비스들이 엮여있는지 파악해야한다. 3. 취약점 진단 - 2번에.. 2021. 9. 12. 이전 1 다음 728x90
