NET Rocks Podcast: La sicurezza dell'internet degli oggetti

Sai come hai sempre voluto una forcella con un processore ARM che potrebbe caricare i dati in modalità wireless su internet? C'mon, si sa che si desidera e ora è possibile ottenere un HAPIfork .

O come circa i tuoi globi di luce? Sì, LIFX totalmente rocce , ma no, non ero così entusiasta all'idea, una volta appresi i vostri vicini potrebbero PWN tuo wifi attraverso di loro .

Questa coraggiosa nuova "Internet degli oggetti" mondo è parti uguali impressionante e spaventoso e sembra che ci sia alcun limite per quanto andremo a collegare le nostre cose. Colleghiamo queste cose a Internet tramite API e, naturalmente, alla fine della giornata, una API non è molto più di un sito web senza un'interfaccia utente. Perché è un sito web che ha ancora vulnerabilità dei siti Web quando mettiamo queste API che stanno dietro le nostre "cose", che sono molto più difficili da monitorare in termini di rischi, a meno che non si sa dove guardare ...

Questo è il motivo per cui ho scritto il corso Pluralsight intitolato Hack Your First API . Ho spiegato perchè questo corso rocce prima quindi non mi soffermerò su di esso qui, ma ho avuto una buona occasione per parlare con il duo impressionante da NET Rocks di nuovo l'altro giorno sulle implicazioni di sicurezza degli oggetti, che cosa significa per collegare tutte le nostre cose e perché si potrebbe non essere più in grado di fidarti del tuo WC.

Guardando "Non ho avuto pwned?" Notifiche Pastebin in azione

Immagino che questo è ciò che è come quando uno dei tuoi figli ottiene abbastanza vecchio per battere finalmente a qualcosa che hai versato il tuo cuore nel loro insegnamento. Sì, sono orgoglioso ed è impressionante che si è rivelato così bene, ma ero ancora un po 'deluso per ottenere questo l'altro giorno:

Questo è venuto completamente fuori dal nulla per me che, naturalmente, è esattamente come è pensato per funzionare. Se tutto questo è sconosciuto a voi, questa è la funzione di monitoraggio pasta di "Non ho avuto pwned?" (HIBP), che ho lanciato il mese scorso . Come succede, uno dei domini ho monitor per il lavoro ha avuto un colpo in una pasta dal titolo VikingElectronics.com Email / PW Dump. (7.5K-ish utenti.) - è stato uno dei 7381 messaggi di posta elettronica unici che pasta realmente.

Vedendo questa caratteristica utilizzata per la rabbia è una grande opportunità per vedere come tutto si stringe lungo. Avevo fatto tanto di test, come ho potuto tenerne, ma non c'è niente come vedere risultati concreti dallo strumento facendo organicamente la sua cosa. Ecco cosa è successo nel ciclo di vita dalla pasta stato fatto fino alla ultima volta che tutto ciò che riguarda esso successo:

1. 2014/09/27 04: 34: 42.00 (+ 0s): Paste è stata pubblicata
2. 2014/09/27 04: 35: 22.00 (+ 40s): Ribaltabile Monitor Tweet fatti
3. 2014/09/27 04: 35: 26,84 (+ 45s): Tweet memorizzato nel HIBP DB e inserita in coda di messaggi Azure
4. 2014/09/27 04: 35: 30.75 (+ 49s): Messaggio recuperati dalla coda dal ruolo di lavoratore
5. 2014/09/27 04: 35: 32,77 (+ 51s): Incolla recuperato da Pastebin
6. 2014/09/27 04: 39: 39,81 (+ 298s): Ultimo e-mail salvati in HIBP
7. 2014/09/27 04: 40: 10.20 (+ 328S): server SMTP SendGrid ottiene il messaggio
8. 2014/09/27 04: 40: 11.08 (329): terre-mail nella mia casella di posta

(In realtà, c'è un punto 9 che arriva un paio di ore dopo tutto questo - la pasta è soppresso.)

Non posso farci niente iniziale 40 secondi di ritardo e sono abbastanza soddisfatto solo essere 11 secondi dopo che è stato fatto che ho recuperato la pasta da Pastebin. E 'un po' di più rispetto ai dati medi che ho osservato nel post di cui sopra ho fatto quando ho lanciato il servizio, ma da qualsiasi misura ragionevole è ancora molto, molto veloce.

Ovviamente il grande ritardo qui è in realtà salvando gli indirizzi email dalla pasta in HIBP. Sono andato avanti e indietro sulla realizzazione di questo un po ', ma in breve il processo di individuazione e l'aggiornamento di una riga nella tabella Azure bagagli non è super-veloce, almeno non senza async'ing che attraverso le righe. Detto questo, stiamo guardando 30 registra un secondo attraverso una abbastanza grande pasta che non è troppo squallido. L'email viene inviata proprio alla fine di salvare tutti i conti a HIBP perché voglio fare in modo che se qualcuno ottiene una mail dicendo "Il tuo account è stato trovato in una pasta", possono andare e cercare immediatamente e realmente trovarlo . Ho anche consolidare la notifica quando vengono inviati messaggi di posta elettronica del dominio (vale a dire "Ci sono stati 3 indirizzi e-mail dal tuo dominio trovati") e quindi ho bisogno di tutti loro elaborare pienamente e salvarli in Tabella bagagli prima di inviare la notifica e-mail.

E 'stato solo poche settimane da quando ho lanciato questo nuovo servizio e stiamo già guardando 1.000 nuove paste da allora che comprende 800.000 conti. Questo è più di un quarto di milione di conti supplementari aggiunti ogni singola settimana. In realtà è abbastanza significativo che tra Mi cominciando a scrivere questo post sul blog in risposta l'avviso sopra e fare clic sul pulsante Pubblica, ho avuto due più di loro. Una delle segnalazioni di fatto incluse account da due domini separati I monitor. Questo è ciò che mi piace molto di questo servizio - si siede proprio lì sullo sfondo ticchettio lontano, a guardare quello che sta succedendo e l'invio di messaggi di posta elettronica, come richiesto.

Le notifiche sono impressionanti. Sono anche liberi e non ci sono in corso 100.000 persone che ottengono quando le violazioni dei dati o paste verificate vengono caricati nel sistema. Ottenere su oltre e impostare le notifiche , perché le probabilità sono voi siete come me - siamo stati sia pwned o quasi certamente sarà pwned e quando ciò accade, io voglio sapere al più presto.