Please enable JavaScript.

Coggle requires JavaScript to display documents.

Безопасность (ОСНОВНОЕ (Подробнее про последствия (Identy Spoofing Суть…

- - - - Устройства
        Возможно читать/изменять данные из KV.
        Возможность писать данные в очереди (например показания датчиков).
        Невозможность читать старые из очередей (истории показаний датчиков).
      - Пользователя
        Полный доступ ко всем данным пользователя и его устройств и гейтвеев в пределах сервиса, в котором выполнена аутентификация.
        Если аутентификация выполнена в личном кабинете платформы - права доступа к данным всех сервисов пользователя.
        Некоторые критические операции требуют только "свежего" ключа доступа.
      - Сервиса
        Доступ ко всем данным сервиса, всех его устройств, мониторингу статистики и прочему.
        Что нужно сделать:
        Аутентификация сервиса должна так же проходить по сертификату или ассиметричному ключу (цифровая подпись или шифрование), который не передается в запросе. Выбор способа аутентификации должен быть в настройках разработчика.
      - Гейтвея
        Сумма всех прав всех управляемых устройства.
    - - DDoS на
        API требующих аутентификацию
        Что делать:
        Rate-limit для анонимных запросов (по IP) при неуспешных запросах.
        Rate-limit для аутентифицированных сущностей (устройства или пользователи), при успешных запросах.
      - DDoS на открытое для всех API
        (регистрация пользователя, восстановление доступа)
        Что делать:
        Rate-limit для анонимных запросов (по IP)
        (успешных и неуспешных).
    - - Remote Code Execution
        Суть:
        RCE - возможность выполнить злоумышленником произвольынй код из под текущего процесса. Максимальный уровень опасности.
        Полный контроль над исполняемым кодом.
        Так же злоумышленник получает права в системе текущего процесса, что может так же дать повысить привилегии до суперпользователя, если в ОС присутствуют подобные уязвимости.
        В случае с интерпретируемыми языками можно менять логику программы через изменения файлов или сливать исходные коды. Подкладывать вредоносные скрипты/логику без выдачи из поведения.
        Обычно вызвана наличием такой уязвимости используемом во фреймворке, библиотеках или языке, нежели в коде платформы.
        Что делать:
        Использовать проверенные современные версии библиотек и фреймворков.
        Постоянный мониторинг патчей безопасности для фреймворка, библиотек, языка.
        По минимуму использовать нативный код (RCE обычно связано с переполнением буферов и обращениями мимо памяти).
      - SQL Injection
        Суть:
        Неэкранированный/плохоэкранированный запрос в базу данных позволяет выполнить произвольный SQL запрос в базу данных.
        Злоумышленник может изменить, удалить или по возможности вытащить все данные из таблиц, к которым у него есть доступ из текущего места кода.
        Что делать:
        Экранирование всех запросов к базам данных.
        Еще:
        Критические таблицы (например биллинг) должны быть доступны только под другим пользователем используя другое соединения с базой.
  - - - Прослушивание незащищенного канала
        через взломанные или модифицированные роутеры
        
        Identy Spoofing
        
        Возможность чтения всех передаваемых сообщений.
        Что делать:
        Использовать шифрованный канал передачи данных. Не все устройства могут его поддержать.
        
        Чтение передаваемых данных
      - MiTM
        
        Identy Spoofing
        
        Чтение передаваемых данных
        
        Фальсификация данных
        
        Возможности расшифровать трафик, чтения и изменения всех передаваемых сообщений.
        Что делать:
        Использовать HTTPs с обязательной сверкой сертификатов.
        Некоторые устройства не позволяют/не умееют в HTTPs. Разрешаем им использовать HTTP на свой страх и риск
    - - Возможность загрузить и исполнить произвольный код на железо. Возможность получить доступ к содержимому устройства.
        Что делать:
        Позволять устанавливать только подписанные прошивки.
        Шифровать содержимое памяти. Защищать чип памяти от извлечения. Тем самым сильно повысив требуемый уровень по технической подготовке для взлома.
      - Произвольное исполнение кода
        
        Модификация прошивки
        
        Identy Spoofing
        
        Чтение передаваемых данных
        
        Фальсификация данных
    - - Произвольное исполнение кода/ RCE #
        
        Identy Spoofing
        
        Чтение передаваемых данных
        
        Модификация прошивки
        
        Фальсификация данных
      - Наличие Remote Code Execution уязвимости в прошивке, что позволяет залить и исполнить любой код. При этом возможно использования еще одной уязвимости по получению повышенных привилегий для перманентной модификации прошивки.
        Что делать:
        Требуется крайне высокий уровень подкованности для понимания как это диагностировать.
    - - Наличие Remote Code Execution уязвимости в коде сервера, что позволяет залить и исполнить любой код. При этом возможно использования еще одной уязвимости по получению повышенных привилегий для перманентной модификации всей машины.
        Что делать:
        Требуется крайне высокий уровень подкованности для понимания как это диагностировать.
- - - - Подбор токена для API требующий аутентификацию
        *Суть:
        Злоумышленник может попытаться подобрать одноразовый токен для какого-либо действия для авторизованной сущности.
        Например код регистрации нового устройства для пользователя.
        Как избегаем:
        Rate-limit для этого действия у текущей сущности (например текущего пользователя). #
        
        Регистрация устройств по подбору кода другим пользователем
        Суть:
        При регистрации устройства по коду отображаемому на устройстве есть ненулевая вероятность подобрать код другим пользователем.
        Как избегаем:
        Короткое время жизни кода - 30 секунд.
        Большое количество вариантов кода: 16^8 для семисигнментного дисплея.
        Легитимный пользователь вероятно заметит неладное, когда оно не отобразится в личном кабинете и попробует повторить операцию. Устройство забудет старый ключ авторизации.
        Последствия:
        Устройство будет привязано к чужому пользователю. Все данные с датчиков и прочее будут поступать злоумышленнику.
      - Подбор токена для открытое для всех API
        Суть:
        Злоумышленник может попытаться подобрать одноразовый токен для какого-либо действия не требующего авторизации существующей сущности.
        Например токен восстановления пароля для существующего пользователя.
        Как избегаем:
        Для критических действий токен имеет высокую сложность (по умолчанию UUID).
        Rate-limit для анонимных запросов (по IP). #
    - - Подбор пароля для конкретного пользователя
        Суть:
        Попытка подобрать пароль для существующего пользователя.
        Как избегаем:
        Rate-limit запросов для указанного пользователя.
        При превышении квоты на запрос решения Капчи.
        Что нельзя делать:
        Блокировать легитимного пользователя каким-либо способом. В таком случае злоумышленник может блокировать работу конкретных пользователей просто вводя постоянно неверные пароли.
      - Подбор пользователя под конкретный паролль
        Суть:
        Часто подбор делается по имени пользователя вводя только очень популярные пароли вроде qwerty.
        Как избегаем:
        Rate-limit для анонимных запросов (по IP).#
        При превышении квоты на запрос решения Капчи.