<html><head><meta http-equiv="Content-Type" content="text/html charset=us-ascii"></head><body style="word-wrap: break-word; -webkit-nbsp-mode: space; -webkit-line-break: after-white-space;" class="">Hi Everyone, <div class=""><br class=""></div><div class=""><br class=""></div><div class="">Thanks to all who have joined within the last week. I have created a google group to collaborate better. </div><div class=""><br class=""></div><div class=""><a href="https://groups.google.com/a/owasp.org/forum/?hl=en#!forum/embedded-appsec" class="">https://groups.google.com/a/owasp.org/forum/?hl=en#!forum/embedded-appsec</a></div><div class=""><br class=""></div><div class=""><br class=""></div><div class="">Below is a discussion I have started on the google group. If anyone is interested in making additions, please fill free to reply on the google group thread.</div><div class=""><br class=""></div><div class=""><div style="margin: 0px; padding: 0px; border: 0px; vertical-align: baseline; color: rgb(34, 34, 34); font-family: Arial, Helvetica, sans-serif; font-size: 13px; widows: 1; background-color: rgb(255, 255, 255);" class=""><br class=""></div><div style="margin: 0px; padding: 0px; border: 0px; vertical-align: baseline; color: rgb(34, 34, 34); font-family: Arial, Helvetica, sans-serif; font-size: 13px; widows: 1; background-color: rgb(255, 255, 255);" class="">We want to start creating a list of best practices and top risks for embedded technology. Whether we want to keep it at a list of 10 or more, I think it is important that we collaborate and put our embedded experiences together for a reference. It is</div><div style="margin: 0px; padding: 0px; border: 0px; vertical-align: baseline; color: rgb(34, 34, 34); font-family: Arial, Helvetica, sans-serif; font-size: 13px; widows: 1; background-color: rgb(255, 255, 255);" class=""><br class=""></div><div style="margin: 0px; padding: 0px; border: 0px; vertical-align: baseline; color: rgb(34, 34, 34); font-family: Arial, Helvetica, sans-serif; font-size: 13px; widows: 1; background-color: rgb(255, 255, 255);" class="">I will start with my list of best practices </div><div style="margin: 0px; padding: 0px; border: 0px; vertical-align: baseline; color: rgb(34, 34, 34); font-family: Arial, Helvetica, sans-serif; font-size: 13px; widows: 1; background-color: rgb(255, 255, 255);" class=""><br class=""></div><div style="margin: 0px; padding: 0px; border: 0px; vertical-align: baseline; color: rgb(34, 34, 34); font-family: Arial, Helvetica, sans-serif; font-size: 13px; widows: 1; background-color: rgb(255, 255, 255);" class=""><br class=""></div><div style="margin: 0px; padding: 0px; border: 0px; vertical-align: baseline; color: rgb(34, 34, 34); font-family: Arial, Helvetica, sans-serif; font-size: 13px; widows: 1; background-color: rgb(255, 255, 255);" class="">1. <span style="margin: 0px; padding: 0px; border: 0px; vertical-align: baseline; color: rgb(51, 51, 51); font-family: Arial, sans-serif; font-size: 14px; line-height: 20px;" class="">Cryptographic Signing of firmware required for firmware updating functions</span></div><div style="margin: 0px; padding: 0px; border: 0px; vertical-align: baseline; color: rgb(34, 34, 34); font-family: Arial, Helvetica, sans-serif; font-size: 13px; widows: 1; background-color: rgb(255, 255, 255);" class="">2.<span style="margin: 0px; padding: 0px; border: 0px; vertical-align: baseline; color: rgb(51, 51, 51); font-family: Arial, sans-serif; font-size: 14px; line-height: 20px;" class="">Verify SSL/TLS Certificates (SSL Pinning) during secure functions to embedded devices. I.E. Firmware updates</span></div><div style="margin: 0px; padding: 0px; border: 0px; vertical-align: baseline; color: rgb(34, 34, 34); font-family: Arial, Helvetica, sans-serif; font-size: 13px; widows: 1; background-color: rgb(255, 255, 255);" class="">3.<span style="margin: 0px; padding: 0px; border: 0px; vertical-align: baseline; color: rgb(51, 51, 51); font-family: Arial, sans-serif; font-size: 14px; line-height: 20px;" class="">Modify Busybox to only libraries and functions that are being used. (e.g. take out telnet, perl etc)</span></div><div style="margin: 0px; padding: 0px; border: 0px; vertical-align: baseline; color: rgb(34, 34, 34); font-family: Arial, Helvetica, sans-serif; font-size: 13px; widows: 1; background-color: rgb(255, 255, 255);" class=""><span style="margin: 0px; padding: 0px; border: 0px; vertical-align: baseline; color: rgb(51, 51, 51); font-family: Arial, sans-serif; font-size: 14px; line-height: 20px;" class="">4.</span><span style="margin: 0px; padding: 0px; border: 0px; vertical-align: baseline; color: rgb(51, 51, 51); font-family: Arial, sans-serif; font-size: 14px; line-height: 20px;" class="">Prevent the use of static passwords such as admin/admin or similar variants for service passwords inside the firmware</span></div><div style="margin: 0px; padding: 0px; border: 0px; vertical-align: baseline; color: rgb(34, 34, 34); font-family: Arial, Helvetica, sans-serif; font-size: 13px; widows: 1; background-color: rgb(255, 255, 255);" class=""><span style="margin: 0px; padding: 0px; border: 0px; vertical-align: baseline; color: rgb(51, 51, 51); font-family: Arial, sans-serif; font-size: 14px; line-height: 20px;" class="">5.</span><span style="margin: 0px; padding: 0px; border: 0px; vertical-align: baseline; color: rgb(51, 51, 51); font-family: Arial, sans-serif; font-size: 14px; line-height: 20px;" class="">Private Keys and passwords should not be stored on the embedded device.</span></div><div style="margin: 0px; padding: 0px; border: 0px; vertical-align: baseline; color: rgb(34, 34, 34); font-family: Arial, Helvetica, sans-serif; font-size: 13px; widows: 1; background-color: rgb(255, 255, 255);" class=""><span style="margin: 0px; padding: 0px; border: 0px; vertical-align: baseline; color: rgb(51, 51, 51); font-family: Arial, sans-serif; font-size: 14px; line-height: 20px;" class="">6.</span><span style="margin: 0px; padding: 0px; border: 0px; vertical-align: baseline; color: rgb(51, 51, 51); font-family: Arial, sans-serif; font-size: 14px; line-height: 20px;" class="">Protection against memory-corruption vulnerabilities inside firmware functions. (do not use dangerous C functions)</span></div><div style="margin: 0px; padding: 0px; border: 0px; vertical-align: baseline; color: rgb(34, 34, 34); font-family: Arial, Helvetica, sans-serif; font-size: 13px; widows: 1; background-color: rgb(255, 255, 255);" class="">7.Update kernel and packages on embedded images to prevent known vulnerabilities</div><div style="margin: 0px; padding: 0px; border: 0px; vertical-align: baseline; color: rgb(34, 34, 34); font-family: Arial, Helvetica, sans-serif; font-size: 13px; widows: 1; background-color: rgb(255, 255, 255);" class=""><br class=""></div><div style="margin: 0px; padding: 0px; border: 0px; vertical-align: baseline; color: rgb(34, 34, 34); font-family: Arial, Helvetica, sans-serif; font-size: 13px; widows: 1; background-color: rgb(255, 255, 255);" class="">Maybe one about testing embedded images for ODM backdoors? up for discussion</div><div style="margin: 0px; padding: 0px; border: 0px; vertical-align: baseline; color: rgb(34, 34, 34); font-family: Arial, Helvetica, sans-serif; font-size: 13px; widows: 1; background-color: rgb(255, 255, 255);" class=""><br class=""></div><div style="margin: 0px; padding: 0px; border: 0px; vertical-align: baseline; color: rgb(34, 34, 34); font-family: Arial, Helvetica, sans-serif; font-size: 13px; widows: 1; background-color: rgb(255, 255, 255);" class=""><br class=""></div><div style="margin: 0px; padding: 0px; border: 0px; vertical-align: baseline; color: rgb(34, 34, 34); font-family: Arial, Helvetica, sans-serif; font-size: 13px; widows: 1; background-color: rgb(255, 255, 255);" class="">Feel free to make additions and discussions around embedded security. I would love to have a call in the coming weeks to flesh out and make a best practice list mature.</div><div style="margin: 0px; padding: 0px; border: 0px; vertical-align: baseline; color: rgb(34, 34, 34); font-family: Arial, Helvetica, sans-serif; font-size: 13px; widows: 1; background-color: rgb(255, 255, 255);" class=""><br class=""></div><div style="margin: 0px; padding: 0px; border: 0px; vertical-align: baseline; color: rgb(34, 34, 34); font-family: Arial, Helvetica, sans-serif; font-size: 13px; widows: 1; background-color: rgb(255, 255, 255);" class=""><br class=""></div><div style="margin: 0px; padding: 0px; border: 0px; vertical-align: baseline; color: rgb(34, 34, 34); font-family: Arial, Helvetica, sans-serif; font-size: 13px; widows: 1; background-color: rgb(255, 255, 255);" class="">thanks again!</div></div><div class=""><br class=""></div><div class=""><div class="">
<div style="color: rgb(0, 0, 0); letter-spacing: normal; orphans: auto; text-align: start; text-indent: 0px; text-transform: none; white-space: normal; widows: auto; word-spacing: 0px; -webkit-text-stroke-width: 0px; word-wrap: break-word; -webkit-nbsp-mode: space; -webkit-line-break: after-white-space;" class=""><div style="color: rgb(0, 0, 0); letter-spacing: normal; orphans: auto; text-align: start; text-indent: 0px; text-transform: none; white-space: normal; widows: auto; word-spacing: 0px; -webkit-text-stroke-width: 0px; word-wrap: break-word; -webkit-nbsp-mode: space; -webkit-line-break: after-white-space;" class=""><div style="color: rgb(34, 34, 34); font-family: arial, sans-serif; font-size: small; background-color: rgb(255, 255, 255);" class="">--</div><div style="color: rgb(34, 34, 34); font-family: arial, sans-serif; font-size: small; background-color: rgb(255, 255, 255);" class="">Aaron G</div><div style="color: rgb(34, 34, 34); font-family: arial, sans-serif; font-size: small; background-color: rgb(255, 255, 255);" class="">OWASP-LA Board Member</div><span style="color: rgb(34, 34, 34); font-family: arial, sans-serif; font-size: small; background-color: rgb(255, 255, 255);" class="">Twitter: @scriptingxss</span><div style="color: rgb(34, 34, 34); font-family: arial, sans-serif; font-size: small; background-color: rgb(255, 255, 255);" class="">Linkedin: <a href="http://lnkd.in/bds3MgN" target="_blank" style="color: rgb(17, 85, 204);" class="">http://lnkd.in/bds3MgN</a></div></div></div>
</div>
<br class=""></div></body></html>