Os programas carregados na placa NodeMCU podem ser extraídos?

Estou usando uma placa NodeMCU com recursos WiFi para criar um rastreador de ativos simples. Consegui encontrar alguns esboços do Arduino que permitem conectividade ao Hub IoT do Azure e postar mensagens.

Uma das chaves que eu preciso "carregar" no quadro é a string de Conexão do dispositivo do Azure e, é claro, um SSID e uma senha WiFi.

Meu medo é que alguém possa simplesmente assumir o controle e "baixar" os arquivos para obter acesso às credenciais de segurança.

Meu medo é injustificado ou a perda de credenciais é uma ameaça real que preciso mitigar?

[aviso: sou um profissional de segurança / criptografia e lido diariamente com questões de arquitetura de segurança.]

Você se deparou com o problema de armazenar credenciais de forma que um processo autônomo possa acessá-las, mas um invasor não. Este é um problema bem conhecido e muito difícil de resolver.

Se o seu dispositivo IoT tiver um keystore de hardware embutido na placa-mãe, como alguns TPMs, ou o equivalente ao Keystore suportado por hardware Android ou ao Apple Secure Enclave, você poderá usá-lo.

Nos servidores tradicionais, você pode usar HSMs ou cartões inteligentes, mas a única solução de software completa que eu conheço é derivar uma chave AES de algum tipo de "impressão digital de hardware" criada combinando números de série de todos os dispositivos de hardware. Em seguida, use essa chave AES para criptografar as credenciais. Um processo em execução no mesmo servidor pode reconstruir a chave AES e descriptografar as credenciais, mas depois que você extrai o arquivo do servidor, é essencialmente descriptografável.

A IoT lança uma chave nisso por dois motivos:

1. A suposição de que os números de série do hardware são únicos provavelmente não se sustenta e

2. Ao contrário dos servidores, os atacantes têm acesso físico ao dispositivo, portanto, provavelmente podem obter um shell no dispositivo para executar o programa de descriptografia.

Tanto a criptografia de hardware (TPMs) quanto a criptografia de "impressão digital de hardware" são ofuscação, na melhor das hipóteses, porque, fundamentalmente, se um processo local pode descriptografar os dados, um invasor capaz de executar esse processo local também pode descriptografá-lo.

Portanto, o truque padrão parece que não funciona aqui. A primeira pergunta que você precisa fazer é:

• Qual é o meu modelo de ameaça / onde esse projeto se situa Secure <--> Convenient?

Por fim, acho que você precisa decidir isso security > conveniencee solicitar que um humano insira as credenciais após cada inicialização (usando algo como a resposta de @ BenceKaulics ), ou você decide isso security < conveniencee apenas coloca as credenciais no dispositivo, talvez usando alguma ofuscação, se você sinto que faz a diferença.

Esse é um problema difícil, dificultado pela natureza dos dispositivos IoT.

Para ser completo, a solução industrial completa para esse problema é:

• Dê a cada dispositivo IoT uma chave pública RSA exclusiva no momento da fabricação. Grave essa chave pública em um banco de dados com o número de série do dispositivo.
• Armazene as credenciais confidenciais em um servidor adequado, vamos chamá-lo de "gateway".
• Quando um dispositivo IoT se autentica no gateway (usando sua chave RSA), o gateway abre uma sessão para ele usando as credenciais armazenadas e entrega o token da sessão de volta ao dispositivo.
• Para melhor segurança, o gateway é um gateway físico (ou VPN), para que todo o tráfego do dispositivo IoT passe pelo gateway e você tenha mais controle sobre as regras e outras coisas do firewall - idealmente impedindo que o dispositivo seja direto (sem VPN) acesso à internet.

Dessa forma, o invasor que compromete um dispositivo pode abrir uma sessão, mas nunca tem acesso direto às credenciais.

A ameaça é real, mas, felizmente, você não é o primeiro ou o único com esse tipo de preocupação de segurança.

O que você precisa é o ESP WiFi Manager é o que você precisa aqui.

Com esta biblioteca, o ESP que não possui uma sessão salva alternará para o modo AP e hospedará um portal da web. Se você se conectar a este ponto de acesso com um PC ou smartphone, poderá configurar as credenciais de WiFi por meio de uma página da web.

Você não precisa codificar as informações críticas e pode usar o dispositivo em qualquer rede Wi-Fi que desejar, sem a necessidade de atualizar novamente.

Como funciona

• Quando o ESP é inicializado, ele é configurado no modo Estação e tenta se conectar a um Ponto de Acesso salvo anteriormente.

• se não tiver êxito (ou nenhuma rede anterior salva), ele move o ESP para o modo de ponto de acesso e gera um DNS e um servidor da Web (ip padrão 192.168.4.1)

• usando qualquer dispositivo habilitado para wifi com um navegador (computador, telefone, tablet) conectado ao ponto de acesso recém-criado

• por causa do Captive Portal e do servidor DNS, você receberá um tipo de pop-up 'Ingressar na rede' ou qualquer domínio que tentar acessar redirecionado para o portal de configuração

• escolha um dos pontos de acesso digitalizados, digite a senha, clique em salvar

• O ESP tentará se conectar. Se for bem-sucedido, ele renuncia ao controle de volta ao seu aplicativo. Caso contrário, reconecte-se ao AP e reconfigure.

(Documentação do ESP WiFi Manager)

Sim, eles podem acessar sua senha se você a deixar como texto sem formatação.

O ponto positivo é que muitas interfaces de conexão wifi aceitam senhas com hash. Embora os que eu usei hash MD5 aceitos e o MD5 não sejam super seguros, ainda é um desafio muito difícil para o Joe comum. Dependendo do seu arquivo de configuração, você indica o nome do seu algoritmo de hash e depois escreve sua senha ou usa o padrão usado pela interface wifi.

Resposta simples - SIM. Pode ser feito. Você deve, pelo menos, executar algum tipo de ofuscação para fornecer proteção mínima.