DOI:
https://doi.org/10.14483/2322939X.15712Publicado:
2019-12-11Número:
Vol. 16 Núm. 2 (2019)Sección:
Actualidad TecnológicaAnálisis de seguridad en redes LPWAN para dispositivos IoT
IoT Security analysis in LPWAN networks for IoT devices
Palabras clave:
devices, IoT, LoRaWAN, LPWAN, security, Sigfox, vulnerabilities (en).Palabras clave:
dispositivos, IoT, LoRaWAN, LPWAN, seguridad, Sigfox, vulnerabilidades (es).Descargas
Resumen (es)
Este documento muestra el análisis realizado sobre la seguridad en las tecnologías LPWAN, centrando el estudio en las vulnerabilidades presentes en la tecnología Sigfox. La metodología usada se basa en la guía de desarrollo de pruebas presentada por OWASP, que consiste básicamente en la identificación de vulnerabilidades y recomendaciones de pruebas para validarlas. Adicional al uso de la metodología, se realizó una investigación documental sobre vulnerabilidades en las tecnologías LPWAN similares. Se desarrollaron pruebas prácticas basadas en recomendaciones de la industria para el uso seguro del IoT, estas fueron realizadas en un entorno de pruebas básico de comunicación de Sigfox usando la tarjeta Xkit RCZ4; se obtuvo como resultado vulnerabilidades en los dispositivos físicos, en el diseño de estos y en el Backend de Sigfox. Se realizó una comparación con las tecnologías LPWAN en el mercado y se analizó si Sigfox es realmente la red más segura en el campo del IoT como se vende en el mercado.
Resumen (en)
This document shows the analysis carried out on the security of LPWAN technologies, focusing the study on the vulnerabilities present in Sigfox technology. The methodology used is based on the test development guide presented by OWASP, which consists basically of identifying vulnerabilities and testing recommendations to validate them. In addition to the use of the methodology, documentary research on vulnerabilities in similar LPWAN technologies was carried out. Practical tests were developed based on industry recommendations for the safe use of IoT, these were performed in a basic Sigfox communication test environment using the Xkit RCZ4 card, resulting in vulnerabilities in physical devices, in their design and in the Sigfox Backend. A comparison was made with LPWAN technologies in the market and it was analyzed if Sigfox is really the safest network in the field of IoT as it is sold in the market.
Referencias
[2] T. Janssen, M. Aernouts, R. Berkvens y M. Weyn, “Outdoor Fingerprinting Localization Using Sigfox”. https://www.researchgate.net/publication/328982852_Outdoor_Fingerprinting_Localization_Using_Sigfox
[3] Sigfox, “Sigfox - El proveedor de servicios de comunicaciones globales para Internet de las cosas (IoT)”. https://www.sigfox.com/
[4] LoRa Alliance, “LoRaWAN: redes de área amplia para IoT”. https://www.lora-alliance.org
[5] GSMA, “Tecnología Nb-iot”, https://www.gsma.com/iot/ estrecho-banda-internet-de-cosas-nb-iot
[6] M. Morelos, “Dispositivos de internet de las cosas generan desconfianza entre los usuarios”. https://elceo.com/tecnologia/dispositivos-de-internet-de-las-cosas-generan-desconfianza-entre-los-usuarios/
[7] X. Yang, E. Karampatzakis, C. Doerr, F. Kuipers, “Security vulnerabilities in lorawan”, En Proceedings - Acm/IEEE International Conference on Internet of Things Design and Implementation, 2018.
[8] F. Laurentiu, K. Mateusz y M. Nordal, “Security Issues in Internet of Things: Vulnerability Analysis of LoRaWAN, Sigfox and NB-IoT”. https://www.researchgate.net/publication/334629575_Security_Issues_in_Internet_of_Things_Vulnerability_Analysis_of_LoRaWAN_Sigfox_and_NB-IoT
[9] Franklin Heath Ltd, “LPWA Technology Security Comparison”. https://fhcouk.files.wordpress.com/2017/05/lpwa-technology-security-comparison.pdf
[10] Owasp.org, “OWASP Foundation”. https://www.owasp.org/index.php/Main_Page
[11] Owasp.org, “Pruebas de Seguridad en aplicaciones web según OWASP”. https://www.owasp.org/images/2/2f/OWASP_SUSCERTE.pdf
[12] WND Group, “WND Colombia”. https://www.wndgroup.io/colombia
[13] Thinxtra.com, “Xkit – Thinxtra”. https://www.thinxtra.com/solutions/thinxtraproducts/xkit
[14] Silex System and Telecom, “Estación Base de telefonía Móvil. Una estación base o BTS”. https://silexst.com/estacion-base-de-telefonia-movil
[15] Owasp.org, “IoT Testing Guides – OWASP”. https://www.owasp.org/index.php/IoT_Testing_Guides
[16] Blockchain Administration, “Como funciona la red LPWAN Sigfox”. https://blockchainadministration.blogspot.com/2018/12/como-funciona-la-red-lpwan-sigfox.html
[17] B. Vejlgaard et al., “Coverage Comparison of GPRS, NB-IoT, LoRa, and SigFox in a 7800 km² Area”, En IEEE 85th Vehicular Technology Conference (VTC Spring), Sydney, Australia, 2017, https://doi.org/10.1109/vtcspring.2017.8108182
[18] Sigfox, “Make things come alive in a secure way”. https://www.sigfox.com/en/technology/security
[19] E. Barker, “NIST Special Publication 800-57 Part 1 Revision 4. Recommendation for key management”. https://nvlpubs.nist.gov/nistpubs/SpecialPublications/NIST.SP.800-57pt1r4.pdf
[20] R. Davis, “What is burp suite. Pentest tool description”. https://www.pentestgeek.com/what-is-burpsuite
[21] Tools.kali.org, “Hydra Package Description”. https://tools.kali.org/password-attacks/hydra
[22] Systemadmin.es, “Medusa - Herramienta genérica para hacer ataques de fuerza bruta”. http://systemadmin.es/2010/09/medusa-herramienta-generica-para-hacer-ataques-de-fuerza-bruta
[23] Sigfox, “Data Security - ask Sigfox”. https://ask.sigfox.com/questions/155/data-security.html
[24] E. Aras, G. S. Ramachandran, P. Lawrence y D. Hughes, “Exploring the Security Vulnerabilities of LoRa”, En 3rd IEEE International Conference on Cybernetics (CYBCONF), 2017, pp. 1-6. https://doi.org/10.1109/cybconf.2017.7985777