Rapid7 habilita pruebas de seguridad de hardware IoT con Metasploit
Rapid7 ha anunciado que los equipos de seguridad pueden conectar el hardware IoT directamente con Metasploit Framework para hacer pruebas y detectar vulnerabilidades. Esto permitirá a los usuarios concentrarse en el desarrollo de exploits para probar su hardware en lugar de dedicar recursos a crear y soportar múltiples herramientas, convirtiendo a Metasploit en la primera herramienta de pruebas de penetración en hardware y software directamente.
Con los más de 20 billones de dispositivos IoT que se esperan tener en 2020, la capacidad de asegurarlos en todas las partes del ecosistema, incluyendo hardware y software, depende de pruebas exhaustivas para que las empresas y consumidores estén completamente seguros. Rapid7 insta a los equipos de TI y seguridad a diseñar, construir y desplegar de manera eficaz y segura la tecnología para impulsar la innovación en todas las industrias. Todo esto se suma al lanzamiento en noviembre de los Servicios de Asesoría y Evaluación Estratégica de IoT de la compañía.
Metasploit Framework, el software de test de penetración open source de Rapid7 que ayuda a detectar vulnerabilidades y realizar evaluaciones de seguridad, se basa tradicionalmente en una red Ethernet para comunicarse. Con todo esto, Metasploit se convierte en la primera herramienta de test de penetración de uso general que puede ir más allá de las limitaciones tradicionales de la red, mediante la manipulación directa del hardware inalámbrico para probar las vulnerabilidades. Ahora, los equipos de seguridad pueden probar en IoT el Industrial Control Systems (ICS) y el Software Defined Radio (SDR) para las posibles brechas de seguridad. Para comprobar el hardware de Metasploit, los usuarios crearon herramientas personalizadas para interactuar con cada uno de los productos, un proceso que consumía muchos recursos y tardaba en evaluar la seguridad.
El puente de hardware se centrará en las capacidades de automoción, con extensiones de otros hardwares verticales, y se unirá a una creciente biblioteca de módulos que apuntan a dispositivos integrados, industriales y de hardware. Dichos módulos incluyen el Controller Area Network (CAN bus), con planes para otros sistemas bus, tales como K-Line. Metasploit también incluye una serie de explotaciones de control industrial para sistemas SCADA y módulos auxiliares; los hay para orientar, al menos, a ocho dispositivos de control industrial distintos y varios de denegación de servicio.