the drones 4099837 640
0 0
Read Time:5 Minute, 54 Second

Les drones sont désormais plus importants que jamais pour les entreprises, ce qui signifie que la sécurité des drones est également plus importante. Ici, l’expert en développement mobile et auteur Godfrey Nolan donne 5 points que les fabricants de drones, les développeurs de logiciels pour l’industrie des drones et les utilisateurs de l’industrie doivent prendre en compte dans le processus de développement.
Ce qui suit est un article d’invité de Godfrey Nolan, expert en développement d’applications mobiles et président de RIIS, LLC, une société de développement mobile basée au Michigan.
Edmund Burke est celui qui a dit le premier: «Ceux qui ne connaissent pas l’histoire sont condamnés à la répéter». Tout le monde dans le monde de la sécurité est bien conscient de ce mantra.

À la fin des années 90, il y avait une éruption de sites Web piratés parce que personne ne savait comment sécuriser un site Web. Vous pourriez mettre un point à la fin d’une page Web Microsoft ASP et il vous donnerait le code source de la page Web sur le serveur. Microsoft, Sun, Oracle et tous les autres ont progressivement fermé ces trous. Et bien qu’il y ait encore des hacks notables sur les sites Web, c’est généralement parce que les sites n’exécutent pas les logiciels les plus récents et les plus performants, par exemple le site Web d’Experian utilisait un logiciel Struts obsolète; ou si quelqu’un a fait quelque chose de stupide, comme laisser le stagiaire créer le mot de passe.

Au cours de la dernière décennie, la même chose s’est produite sur la plate-forme mobile. À peine une semaine s’est écoulée sans un piratage bouleversant qui a exposé une application sur votre téléphone. Les développeurs fonctionnaient si vite qu’ils accordaient peu ou pas d’attention à la sécurité de leur application: il était beaucoup plus important d’arriver sur le marché plus rapidement que la concurrence. Le fait que vos préférences de rencontres, vos numéros de carte de crédit et vos mots de passe soient exposés n’était pas pertinent. La mauvaise presse a déplacé l’attention, et finalement les principes fondamentaux de la sécurité mobile sont devenus une pratique courante.

Ce qui nous amène aux drones. En tant qu’industrie, tout comme les acteurs du mobile, nous nous concentrons tous sur une mise sur le marché plus rapide que nos concurrents. La sécurité est le problème de DJI, pas le nôtre.

Donc, pour aider à engager la conversation, voici 5 éléments de sécurité auxquels vous devriez penser en tant que fabricant de drones ou développeur de logiciels.

1. Ne stockez rien sur le téléphone que vous ne pouvez pas vous permettre de perdre.

Les applications mobiles font partie intégrante de l’expérience des drones. Ils sont le centre de contrôle, la passerelle vers le cloud, etc. Comprenez que les pirates peuvent procéder à l’ingénierie inverse, décompiler ou désassembler le code en quelque chose de lisible. Si vous mettez des clés de décryptage ou de cloud dans votre code source, quelqu’un va le trouver. Il est également très tentant de stocker les mots de passe, les jetons ou d’autres données des utilisateurs sur le téléphone pour faciliter les choses pour le pilote de drone. Ne fais pas ça. Et alors qu’Android et iOS ont tous deux développé un stockage sécurisé, nous en avons tous entendu parler auparavant et quelqu’un l’a finalement piraté et les données ont été exposées. Lisez les 10 principaux risques OWASP pour les mobiles pour en savoir plus.

2. Frida est votre ennemie

À l’époque où tout le monde piratait des applications mobiles, ils effectuaient principalement des analyses statiques pour faire de l’ingénierie inverse du code ou consulter les données enregistrées. Cependant, il existe de nombreux nouveaux outils, tels que Frida, qui effectueront une injection de code dynamique pour déchirer toutes les restrictions de connexion ou d’autorisation que vous pensez être en place. Toutes les informations de nom d’utilisateur et de mot de passe stockées en mémoire sont également potentiellement à gagner. Voir frida.re pour plus d’informations.3. « J’ai un compartiment S3 et je vais l’utiliser. »

Une grande partie de l’explosion du Web était en grande partie due à la facilité avec laquelle Amazon a réussi à créer une application cloud. Les applications de drone génèrent évidemment des tonnes de vidéos, qui semblent être en grande partie stockées sur des seaux Amazon S3 ou Azure. Amazon propose également des outils de ligne de commande très utiles qui automatisent une grande partie du travail banal de téléchargement, de téléchargement et de recherche de compartiments S3.

Les outils de l’homme du milieu, tels que Burpsuite, sont très bons pour flairer les touches. Ne stockez donc pas vos clés Amazon ou toute autre clé cloud dans l’application mobile et ne les envoyez pas en texte clair sur Internet, car elles peuvent être utilisées avec ces outils pour télécharger les vidéos de tout le monde. Le top 10 du cloud OWASP contient ceci et de nombreuses autres suggestions sur la façon de sécuriser votre cloud.

4. C’est le réseau, bon sang.
Utilisez-vous un signal crypté pour votre vidéo et votre télémétrie? Génial. Mais est-ce la même clé pour chaque drone? Pouvez-vous percuter le drone? Mais – utilisez-vous le même mot de passe pour chaque drone? Il est important de sécuriser votre réseau à l’aide de clés et de jetons uniques, sinon vous courez le risque que quelqu’un d’autre ait accès au flux vidéo du drone ou pire.

5. École de M. Robot d’OSINT
L’aspect le moins évident de la sécurité des drones est peut-être OSINT ou Open Source Intelligence. Ne laissez aucune trace des noms du développeur dans l’application mobile ou sur le drone. Les noms peuvent être exploités pour plus d’informations sur votre application sur des sites de développement tels que github et stackoverflow. Les développeurs aiment souvent parler de leur travail génial et sont souvent des cibles faciles pour l’ingénierie sociale. Ne laissez pas non plus de traces de présentations, de propositions, de contrats, etc. sur votre site Web ou sur les seaux S3. Google indexe tout et la bonne recherche Google peut être très informative. Pour commencer, essayez de googler filetype: site pdf:votredomaine.com sur votre propre site Web. Le livre OSINT Techniques de Michael Bazzell est également une excellente ressource pour l’utilisateur avancé.

Il ne fait aucun doute que nous aurons les mêmes problèmes avec la plate-forme technologique suivante. À peu près sûr, il y a déjà eu des hacks majeurs de ML dont nous n’avons pas encore entendu parler. En espérant quand nous pourrons mettre les problèmes de sécurité des drones dans le rétroviseur dans un avenir pas trop lointain.

Godfrey Nolan RIIS
Godfrey Nolan est le fondateur et président de RIIS LLC, une entreprise de développement mobile dans la région métropolitaine de Detroit créant des applications étonnantes pour l’industrie des drones. Conférencier fréquent lors d’événements de l’industrie et écrivain pour une grande variété de publications de l’industrie, il est également l’auteur de
Agile Swift et Android agile sur la mise en place de tests Agile pour les deux plates-formes mobiles à l’aide de l’intégration continue (CI).

Average Rating

5 Star
0%
4 Star
0%
3 Star
0%
2 Star
0%
1 Star
0%

Laisser un commentaire