Embedded/IoT Pentests

Penetrationstests für Embedded/IoT

Unser Leben wird zunehmend digitalisiert. Um mit unserer Umwelt zu interagieren verwenden wir dabei immer stärker vernetzte Endgeräte. Die Sicherheitsanforderungen an diese sind jedoch enorm. Die Folgen ungesicherter IoT-Geräte werden regelmäßig durch immer noch stärkere DDoS-Angriffe demonstriert. Im Embedded-Bereich sind die Gefahren anders gelegen: schließlich steuern diese verschiedene Teile kritischer Infrastrukturen.

Und genau das macht es noch wichtiger, dass du dich dem Thema Embedded/IoT Security annimmst: den mit Hilfe deiner Geräte können digitale Angriffe Auswirkungen auf die physikalische Realität haben. Mit IoT-Pentesting bzw. Embedded-Penetrationstests bist du einen Schritt voraus und weißt, welche Angriffe noch verhindert werden können.

Pentest

Die Feuerprobe für dein Gerät

Wir denken wie echte Angreifer und simulieren die selben Angriffsszenarien, die auch in der Realität genutzt werden. Dabei passen wir unser Vorgehen natürlich auf die spezielle Umgebung an, in der dein Gerät arbeitet. Egal ob für den Heimgebraucht, oder in der Industriesteuerung. Wir analysieren die Kommunikationswege des Geräts - egal ob per Bluetooth, ZigBee bzw. anderen Funkprotokollen oder kabelgunden. Außerdem greifen wir administrative Oberflächen an, und untersuchen, welche Angriffe durch die Analyse deiner Firmware möglich sind. Auch die Hardware wird untersucht: gibt es noch Debugging-Werkzeuge, die Angreifer nutzen können, oder gibt es andere physikalischen Schutzmaßnahmen?

Wissen was zu tun ist

Mit unseren detaillierten Berichten erklären wir dir und deinem Team, welche Sicherheitslücken vorhanden sind, welche Auswirkungen diese in der realen Welt haben und - am wichtigsten - welche konkreten Maßnahmen umgesetzt werden müssen, um sicher zu sein. Der Einfachheit halber klassifzieren wir die Schwachstellen in fünf Stufen: Von Kritisch bis Information. Somit erhältst du sofort einen Überblick, wie du dein Gerät am schnellsten absichern kannst. CVSS-Scores und CWE-Kategorien fügen wir dir gerne ergänzend hinzu. Den Bericht gehen wir mit dir im Rahmen einer Abschlusspräsentation durch - dein Team und du sollen wirklich verstehen, was die Ergebnisse bedeuten und was zu tun ist.

Anpassung an deine Bedürfnisse

Im Rahmen der Erstberatung gehen wir die Bedürfnisse ein. Wir klären was die Ziele des Pentests auf dein Embedded Device bzw. IoT-Gerät ist und stecken zusammen mit dir den Umfang ab. Wir gehen mit dir durch, wie das Testsetup aussehen muss, um genau deine Ziele zu erreichen. Wir erklären dir welche Geräte du uns zur Verfügung stellen musst und wie diese eingerichtet sein müssen, bzw. was wir zusätzlich benötigen um das Testsetup zum fliegen zu kriegen. Wir stecken viel Zeit in die Vorbereitung, damit wir den Test für dich so reibungslos und nutzbringend wie möglich für dich gestalten könnne.