Das Internet der Dinge (IdD) (auch: „Allesnetz“, englisch Internet of Things, Kurzform: IoT) ist ein Sammelbegriff für Technologien einer globalen Infrastruktur der Informationsgesellschaften, die es ermöglicht, physische und virtuelle Objekte miteinander zu vernetzen und sie durch Informations- und Kommunikationstechniken zusammenarbeiten zu lassen.
^{Quelle: https://de.wikipedia.org/wiki/Internet_der_Dinge}

Das IoT braucht Standardprotokolle. Zwei der vielversprechendsten für kleine Geräte sind MQTT und CoAP. Sowohl MQTT als auch CoAP:

• Sind offene Standards
• Eignet sich besser für eingeschränkte Umgebungen als HTTP
• Bereitstellen von Mechanismen für die asynchrone Kommunikation
• Läuft auf IP
• Haben Sie eine Reihe von Implementierungen

MQTT bietet Flexibilität bei Kommunikationsmustern und fungiert lediglich als Pipeline für binäre Daten.
CoAP ist auf Interoperabilität mit dem Internet ausgelegt.

Weite Infos: https://www.eclipse.org/community/eclipse_newsletter/2014/february/article2.php

HomePwn ist ein Framework, das Funktionen zum Auditieren und Pentesten von Geräten bietet, die Mitarbeiter des Unternehmens bei ihrer täglichen Arbeit und innerhalb derselben Arbeitsumgebung verwenden können. Es wurde entwickelt, um Geräte zu Hause oder im Büro zu finden und bestimmte Schwachstellen auszunutzen, um Daten zu lesen oder an diese Geräte zu senden. Mit einer starken Modulbibliothek können Sie dieses Tool verwenden, um neue Funktionen zu laden und sie in einer Vielzahl von Geräten zu verwenden.

HomePwn hat eine modulare Architektur, in der jeder Benutzer die Wissensbasis über verschiedene Technologien erweitern kann. Im Prinzip hat es zwei unterschiedliche Komponenten:

• Discovery-Module. Diese Module bieten Funktionalitäten im Zusammenhang mit der Discovery-Phase, unabhängig von der zu verwendenden Technologie. Beispielsweise kann es verwendet werden, um WiFi-Scans über einen Adapter im Überwachungsmodus durchzuführen, die Erkennung von BLE-Geräten durchzuführen, Bluetooth Low-Energy, welche anderen Geräte in der Nähe sind und ihren Verbindungsstatus anzuzeigen usw. Außerdem kann es zur Erkennung verwendet werden IoT-Dienste zu Hause oder im Büro, die Protokolle wie SSDP oder Simple Service Discovery Protocol und MDNS oder Multicast DNS verwenden.
• Spezifische Module für die zu auditierende Technologie. Andererseits gibt es spezifische Module für geprüfte Technik. Heute kann HomePwn Auditing-Tests für Technologien wie WiFi, NFC oder BLE durchführen. Mit anderen Worten, es gibt Module für jede dieser Technologien, in denen verschiedene bekannte Schwachstellen oder verschiedene Techniken implementiert sind, um das Sicherheitsniveau des Geräts zu bewerten, das mit dieser Art von Technologien implementiert und kommuniziert wird.

^{Quelle: https://github.com/Telefonica/HomePWN/blob/master/README.md}

sudo su
mkdir /opt/tools/
cd /opt/tools/
git clone https://github.com/Telefonica/HomePWN.git
./install.sh

Während der (langen) Installation die Frage nach der virt-Umgebung mit y beantworten

Starten mit:

source homePwn/bin/activate
python3 /opt/tools/homePwn.py

Beispielvideos sind hier zu sehen: https://github.com/Telefonica/HomePWN/blob/master/README.md

https://play.google.com/store/apps/details?id=com.knabl.iotsecurityscanner
Das Tool ist selbsterklärend…

Ein Script für nmap: https://github.com/firmalyzer/iotvas-nmap

cd ~
git clone https://github.com/firmalyzer/iotvas-nmap.git
cp ~/iotvas-nmap/iotvas.nse  /usr/share/nmap/scripts/

Then, test if script is recognized by nmap:

nmap --script-help iotvas

API key auf https://iotvas-api.firmalyzer.com/portal/signup ausstellen lassen und aktivieren:

nmap -sSU -p U:161,T:- --top-ports 1000 --script iotvas.nse --script-args iotvas.api_key=<API_KEY> <target>