El día de hoy estaba leyendo el libro de Practical IoT Hacking es que me recordó que algo que siempre me ha gustado desde niño, es saber cómo funcionan las cosas por dentro. Era ese niño que abría la radio, la televisión y plancha para saber qué había adentro, nunca terminaba bien o terminaban sin funcionar pero la verdad, eso alimentó esa bonita curiosidad para seguir aprendiendo.
Es muy curioso porque hoy sentí lo mismo al terminar de leer el libro Practical IoT Hacking un libro sobre vulnerabilidades en el Internet de las Cosas.
¿Qué es Practical IoT Hacking?
Este libro escrito por Fotios Chantzi, Paulino Calderon (Que conocí en OWASP Rivera Maya) y otros investigadores de seguridad. Te enseña como probar sistemas, dispositivos y protocolos de IoT para mitigar el riesgo de vulnerabilidad.
Ustedes preguntaran ¿Y esto para que me sirve?
Muchas veces, al crear hardware para Internet de las cosas, no nos damos cuenta de los puntos vulnerables en nuestros dispositivos. Y mucho menos pensamos en lo que pueden implicar estas fallas de seguridad. Que en ocasiones, están implícitas en la tecnología, y en otras ocasiones por falta de conocimiento.
Tecnologías como MQTT, que es ampliamente utilizada en el IoT, BLE que se utiliza en wereables o seguridad residencial. Han tenido vulnerabilidades conocidas y explotadas en congresos de seguridad. Y en muchas de estas ocasiones, ni siquiera sabemos de su existencia.
¿Qué puedo esperar de este libro?
El libro comienza explicando una serie de amenazas comunes y un marco de modelado de amenazas. Este arranque nos introducirá a como funcionan ciertos sistemas básicos de Internet que muchas veces desconocemos. Y esto es super importante para usuarios sin conocimientos en el área.
Después se desarrolla una metodología de prueba de seguridad. Inicialmente, muestra el arte del reconocimiento pasivo; el como evaluar la seguridad en todas las capas de un sistema de IoT. Posteriormente, muestra como realizar saltos de VLAN y descifrar la autenticación MQTT (Que es uno de los protocolos más usados en plataformas IoT). Para finalmente, explicar como abusar de UPnP, a desarrollar un envenenador mDNS y crear ataques WS-Discovery.
Esto, solo es por parte del software…
¿Y el hardware?
Una parte importante, y por la cual creo que se debe destacar este libro, es por la sección de Hacking Hardware.
Hacking Hardware aborda temas desde identificación de los dispositivos y pinout de señales. Iniciando en protocolos como JTAG, SWD, I2C, SPI y Serial. Hasta llegar a protocolos de radio como BLE, WIFI, RFID hasta LoRaWAN. Con una cobertura en profundidad de los ataques contra este tipo de tecnologías, por medio de dispositivos de fácil acceso y códigos de ejemplo. Dando una lista de herramientas con las que puedas replicar los ataques. Que me parece una de las muchas cosas a destacas en este libro. Porque no lo encontrarás en muchas otras publicaciones.
Mi Evaluación
Lo bueno: A mi forma de ver, Fotios Chantzi, ha logrado crear un excelente libro para iniciar en el hacking de IoT. Va desde lo más básico hasta lo medianamente avanzado. Con ejemplos claros y cubriendo la parte de hardware y software.
Lo malo: Si eres un experto en el tema de seguridad de software, puede llegar a pasar que la primer parte del libro parezca poco interesante. Pero la parte bonita de este libro es que seguramente, descubrirá en el hardware hacking un area poco experimentada por los ingenieros de software.
Si tú eres un ingeniero en electrónica o creador de dispositivos electrónicos. Practical IoT hacking es definitivamente una lectura que debes considerar en tu biblioteca.
Por cierto, hoy es el último día de pre-venta con un 25% de descuento (https://nostarch.com/practical-iot-hacking) con el código PREORDER.
Así que ya sabes, si estás interesado en este libro, corre a comprarlo 😉
1 Comment