Il progetto IoTGoat (gestito dalla community OWASP) aggiorna periodicamente un firmware deliberatamente vulnerabile basato su OpenWrt, utile come piattaforma di training per programmatori a digiuno di Secure Coding e professionisti InfoSec, poiché è possibile utilizzarlo come target vulnerabile ad exploit IoT, e quindi target di vulnerability assessment e studi affini. Le vulnerabilità si basano sull’OWASP IoT Top 10, nonché sugli easter egg (backdoor, password hardcoded e segreti industriali volutamente annidati nel firmware) degli ideatori del progetto. Per un elenco delle sfide di vulnerabilità, è possibile consultare l’apposita pagina wiki.
Un elenco di letture e lab utili per questo progetto:
- “OWASP Firmware Security Testing Methodology“
- “Practical IoT Hacking: The Definitive Guide to Attacking the Internet of Things”
- “SQL Injection strategies”
- “The Hardware Hacking Handbook – Breaking Embedded Security with Hardware Attacks”, 2022
- Mikko Hyppönen, If It’s Smart, It’s Vulnerable
dmzware.com 