ソフトウェアの品質を学びまくる

ソフトウェアの品質、ソフトウェアテストなどについて学んだことを記録するブログです。

「脆弱なIoTデバイスのテスト」 #IoTテストアドカレ(13)

はじめに

 この記事は、IoTのテストに関するネットの記事を読んでいく、「IoTテスト アドベントカレンダー」の13日目です。12日目はコチラ。

kzsuzuki.hatenablog.com

プロファイル

  • タイトル: 『Testing for vulnerable IoT devices』
  • 著者: Michael Horowitz
  • 参照サイト: COMPUTERWORLD

ポイント

 XiongMai Technologies製の多くのビデオレコーダーやカメラが脆弱性を突かれてクラックされ、ボットネットに参加させられてDDoS攻撃を行うという事件があった。telnetSSHのパスワードはハードコードされており、変更ができない。
 この記事では、自宅やオフィスののIoTデバイスが安全かどうか、Steve Gibson氏のShieldsUp!というサービスを利用した簡易チェックを紹介する。

 telnet経由で不正なtelnet要求を受け付けないかを確認するには、以下をクリックする*1

h ttps://www.grc.com/x/portprobe=23

 画面遷移先で「Stealth」が出れば、telnetについては大丈夫。「Closed」もたぶん大丈夫だが、「Open」だとtelnetのポートが開いているということで、悪人からのコマンドを歓迎しているということになる。他のプロトコルについては、portprobeの値を変えればよい。

 より徹底したテストは、わたしのページで行うことができる。

所感

 今日の資料は打って変わって、簡単なポートセキュリティチェック、という内容です。ここでの「test」は、「ソフトウェアテスト」的なテストではなく、「確認」くらいの意味ですね。
 Steve Gibsonさんは、Security Now!というやたら長時間のソフトウェアセキュリティ系Podcastをやっていて一時聴いていましたが、いつも入眠剤替わりでした・・・。

www.grc.com

 14日目はコチラです。(12月14日の0時に公開されます)

kzsuzuki.hatenablog.com

*1:ハイパーリンクなしです。自己責任でお願いします。