20 marzo 2025. 17:30 h.

SEGURIDAD IoT EN ACCIÓN: ATAQUES COMUNES Y CÓMO PREVENIRLOS

Taller

Día 20 de marzo a las 17:30 h.

hasta las 19:00 h.

Evento online

En este taller práctico, transmitido de forma online, se explorarán las vulnerabilidades más comunes en dispositivos IoT según la organización OWASP. Los asistentes aprenderán cómo los atacantes pueden explotar fallos en firmware, redes y configuraciones inseguras, así como técnicas para mitigar estos riesgos. En particular, durante la sesión se realizarán ejercicios prácticos de hacking ético como el análisis de firmware y extracción de credenciales, ataques a protocolos de comunicación IoT, y explotación de servicios inseguros en dispositivos conectados.

PONENTE:

Manuel Mancera, Senior cyber security analyst DEKRA

REQUISITOS TÉCNICOS:

Este es un taller eminentemente práctico, en donde el ponente irá mostrando como realizar los ataques más importantes del IoT OWASP Top Ten (https://www.owasp.org/images/1/1c/OWASP-IoT-Top-10-2018-final.pdf) contra la plataforma IoTGoat (https://github.com/OWASP/IoTGoat) – una aplicación vulnerable a esos ataques.

Para poder sacar partido de este taller práctico, y que podáis realizar estos ataques vosotros mismos/as, es necesario disponer de un entorno en donde tengamos a) una máquina Linux con herramientas de análisis y seguridad ofensiva, y b) una Raspberry Pi accesible por la máquina Linux que tenga instalado el “firmware” de IoTGoat (ver https://github.com/OWASP/IoTGoat/releases/tag/v1.0, fichero “IoTGoat-raspberry-pi2.img”).

Dado que no todas las personas participantes dispondrán de una Raspberry Pi, se ofrecen diversas soluciones:
Para la máquina Linux:
– Utilizar un ordenador Linux, instalando herramientas de análisis (p.ej. binwalk, medusa, hydra, nmap, netcat, john / hashcat, SQLite Browser, y otras).
– Utilizar una máquina virtual “Kali Linux” (https://www.kali.org/get-kali/#kali-virtual-machines).
Para el dispositivo IoTGoat al que vamos a atacar:
– Utilizar una máquina virtual VMWare (ver https://github.com/OWASP/IoTGoat, “Getting started”, opción 2) y conectar el sistema Linux a la misma red que esta máquina virtual.
– Utilizar docker (ver https://github.com/OWASP/IoTGoat/blob/master/docker/README.md) para instalar IoTGoat en la misma máquina Linux.

Adicionalmente, se proporciona una máquina virtual x86_64 (XUbuntu con herramientas instaladas y con IoTGoat como un contenedor docker en la carpeta “Documentos”, ver instrucciones de uso en https://github.com/OWASP/IoTGoat/blob/master/docker/README.md), la cual puede importarse en VirtualBox y VMWare, y que se encuentra disponible en la siguiente dirección: https://www.nics.uma.es:8081/owncloud/index.php/s/dSzGuWCuKtAiN2h (Se recomienda descargar e instalar la máquina con antelación, para que esté preparada durante el taller).

Tratamiento de Datos de Carácter Personal

ORGANIZADORES