{" . "}
{ 01 }
< . >
La ciberseguridad de los dispositivos (I)IoT es cada vez más importante.
Los dispositivos (I)IoT operan con firmware/software, que muchas veces contiene errores y vulnerabilidades de ciberseguridad.
Detectar esas vulnerabilidades de ciberseguridad lo antes posible, preferiblemente antes que los atacantes, y reportarlas de manera responsable al proveedor es de suma importancia para una digitalización cibersegura global.
En este desafío de hackathon, se ofrecerá a los participantes una serie de firmware/software de dispositivos (I)IoT emulados/virtualizados que emulan el dispositivo y, más específicamente, se centran en su interfaz web. El objetivo principal es encontrar vulnerabilidades en la interfaz web, como XSS, inyección de comandos, bypass de inicio de sesión, otras circunvalaciones de control de acceso, etc.
Binare está desarrollando una plataforma de ciberseguridad única a nivel mundial para analizar firmware/dispositivos (I)IoT en busca de problemas y vulnerabilidades. El hackathon contará con el apoyo de la plataforma de emulación de Binare desarrollada bajo el proyecto EUH4D OC3 IoT-DiTwiCS.
{ 02 }
< . >
El objetivo principal es encontrar vulnerabilidades en la interfaz web, como XSS, inyección de comandos, bypass de inicio de sesión, otras formas de eludir el control de acceso, etc.
El objetivo general del equipo es encontrar el mayor número de vulnerabilidades que también tengan el mayor impacto (por ejemplo, puntuaciones CVSSv3 medianas más altas en todo el conjunto de descubrimientos realizados por el equipo).
Documentar los descubrimientos con el mayor nivel de detalle utilizando medios estandarizados como CVE, CWE, CPE, CVSSv3/CVSSv2, etc.
Descubrir limitaciones/errores en la plataforma de emulación y eventualmente sugerir/proveer soluciones para ello.
Se agradece el descubrimiento y reporte de errores no relacionados con la ciberseguridad, pero no es obligatorio ni está entre los objetivos principales.
El enfoque y objetivos principales están en el firmware (I)IoT emulado; el servidor (detrás de la IP pública) y el “Tablero de hackathon de Binare” no están dentro del alcance de las pruebas de ciberseguridad, “ataque, auditoría, etc.
{ 03 }
< . >
Un equipo puede estar compuesto por una o varias personas, y al menos un miembro del equipo debe estar físicamente presente en el lugar del hackathon.
Cada equipo recibirá un servidor (IP pública) y una contraseña de acceso, y el “Tablero de hackathon de Binare” mediante el cual se puede controlar el inicio/parada/estado del firmware IoT emulado.
El “Tablero de hackathon de Binare” permite emular un único firmware (I)IoT a la vez.
Algunas de las herramientas que pueden ser útiles son OWASP ZAP, Burp Community Edition, el tablero/consola de herramientas de desarrollador/debug del navegador, quizás Metasploit (para adaptar/verificar vulnerabilidades y exploits conocidos). Además, ejecutar una distribución reciente de Kali Linux (sistema operativo principal del ordenador o dentro de una VM en tu ordenador) puede ser de gran ayuda, ya que muchas herramientas de ciberseguridad vienen preinstaladas allí. Sin embargo, la elección depende de cada miembro del equipo sobre lo que utilicen. Encontrar y confirmar manualmente las vulnerabilidades de ciberseguridad también es una opción que siempre funciona, especialmente para errores menos obvios o más complicados.