Security Testing
Internet of Things Assessment
Security Assessments von IoT Geräten erfordern die Berücksichtigung des gesamten Systemumfelds.
Das Internet of Things…
… bzw. Internet der Dinge beschreibt verschiedene Alltagsgegenstände oder industriellen Maschinen, die mit dem Internet verbunden sind. Diese („smarten“) Geräte handeln meistens automatisiert und autonom, sammeln Informationen über sich und die Umgebung und senden diese zur Auswertung an andere vernetzte Geräte. Viele der vernetzten Geräte stellen dem Benutzer zusätzlich über das Internet eine Anwendung zur Verfügung, über die die Geräte von einem beliebigen Ort aus bedient und gesteuert werden können.
Das Testen von Internet of Things (IoT) Geräten unterscheidet sich in einigen Aspekten von einem klassischen Penetrationstest. In einem IoT Assessment werden üblicherweise mehrere Arten von Penetrationstests durchgeführt. Dies liegt daran, dass sich eine IoT Umgebung aus mehreren Komponenten wie der Mobile Applikation und ggf. Web Applikationen, einem Backend (Cloud) und einem Gateway zusammensetzt.
In dem von uns durchgeführten IoT Assessment werden alle Bereiche der IoT Umgebung mit dem Mittel des Penetrationstests auf Schwachstellen untersucht. Die exakte Ausprägung der Analyse wird individuell festgelegt.
Wir unterstützen Sie:
Informationsbeschaffung: Identifikation der verbauten Hardwarekomponenten und Schnittstellen
Analyse der üblichen Geräteschnittstellen wie UART, JTAG, SWD, USB
Analyse des Speicherchips (Auslesen von Firmware und sensiblen Daten)
Analyse der Netzwerk-Kommunikation (Bluetooth Low Energy, ZigBee, WLAN, MQTT, HTTP(S), TCP, …) sowie Scannen des Zielobjekts und Identifikation der Dienste
Überprüfung der Web Applikation des Gerätes gemäß der Beschreibung „Web Application Security Pentest“
Brute-force von Logindiensten, sowie ggf. Passwortcracking von möglicherweise gefundenen Passworthashes in unserem Grafikkartencluster
Überprüfung der Mobile App gemäß der Beschreibung „Mobile Application Security Pentest“
Recherche nach bekannten Verwundbarkeiten und Konfigurationsfehlern sowie Validierung und Ausschluss von False-Positives
Ausführlicher Ergebnisbericht mit Maßnahmenvorschlägen im vom Ihnen gewünschten Format
Ihr Ansprechpartner
Dr. Benjamin Kellermann
Nehmen Sie Kontakt per E-Mail auf, rufen Sie uns an oder nutzen Sie unser Kontaktformular.
Mehr Infos
Statische Codeanalyse kann eine Ergänzung oder Alternative zum Penetrationstest sein: Manuelle und automatische Codeanalyse
KARRIERE
Du bist Experte in diesem Thema?
Dann könnte unser tolles Team vielleicht zur neuen Heimat für dich werden.
Du bist noch Einsteiger?
Dann schau auch hier:
