Auditoría en seguridad sobre una API aplicada a un entorno IoT

Abstract

El Internet de las Cosas (IoT) es una tecnología claramente disruptiva en crecimiento, con impacto y capacidad inconcebible. Las API REST constituye una tecnología capaz de registrar e interconectar todo. Por la tanto es importante introducir una API segura que permita acaparar y/o defender la infiltración de atacantes en la red hacia los dispositivos IoT. La seguridad en una API representa una búsqueda de vulnerabilidades constantemente. Las vías de comunicación entre el cliente y el servidor son el medio por el que las API sufren ataques que alteran el estado o funcionamiento del sistema. Asegurar el formato de las peticiones, los tipos de datos que se reciben o la validación de éstos representan una respuesta a posibles riesgos que afectan al rendimiento de la API. Por lo tanto auditar la seguridad de una API en desarrollo, diseño o implementación permite asegurar el correcto funcionamiento, gracias a la aplicación de buenas prácticas y el uso de herramientas de seguridad que permitan descubrir esas vulnerabilidades. En el presente Trabajo Fin de Máster (TFM) se desarrolla una API de autoría propia adaptada a un entorno IoT con el objetivo de realizar una auditoría de seguridad y por consiguiente asegurar el sistema a posibles ataques, evitando la perdida de datos o alteración de los mismos tanto del lado del cliente como del servidor. La auditoría se llevará a cabo siguiendo las buenas prácticas de la OWASP Foundation y haciendo uso de ZAP como herramienta de pentesting. De igual forma se adhiere a este proyecto OpenAPI Specification para generar la documentación mediante el framework Swagger. La adquisición de los datos se realiza con BLE desde un nodo sensor genérico conectado a Node RED y se envían los datos por peticiones REST hacia el servidor, donde se almacenan todos los datos en MongoDB. Para el desarrollo de la API se utilizó Node.js.

Internet of Things (IoT) is a clearly disruptive technology in growth, with impact and capability unthinkable. One REST API’s role is a technology capable of tracking and interconnecting everything. For this reason it is important to introduce a secure API that allows to control and/or defense the infiltration of attackers in the network towards the IoT devices. A secure API represents a constant searching of vulnerabilities. Client-server communication channels are the way APIs suffer attacks that alter the state or functioning of the system. Secure the format of the requests, the types media of data received or the validation of these represent a response to possible risks that may alter API performance. Auditing API security under development, design or implementation makes it possible to ensure its optimum operation, through the application of proper practices and the use of security tools that allow these vulnerabilities to be discovered. In this final work (TFM) is developed an API with the goal of conducting a security audit and then ensure the system to possible attacks, avoiding the loss of data or altering them on the client side and server side. The audit will be implemented following OWASP best practices and making use of ZAP as a pentesting tool. OpenAPI Specification is also added to this project and is implemented to integrate the documentation through Swagger framework. Data acquisition is done by BLE from a generic sensor node connected to RED Node and sent using REST requests to the server, which stores all data in MongoDB. Node.js was employed for API development.