IoT (Internet of Things) e Segurança

Transcrição

1 VI Senasic Seminário da Rede Nacional de Segurança da Informação e Criptografia 12, 13 e 14 de Setembro de 2017 Brasília, Brasil IoT (Internet of Things) e Segurança Carla Merkle Westphall, Carlos Becker Westphall

2 MoHvação Cidades inteligentes (smart cities) - Vagas disponíveis em estacionamento - Congestionamento de tráfego - Controle industrial - Auto diagnóstico de equipamentos e controle de ativos como frotas - Monitoramento de temperatura 2

3 3

4 Botnets q Redes Infectadas: DVRs (Digital Video Recorder), CCTVs (Closed-circuit television), roteadores domésticos,... q Malwares normalmente propagam via Telnet (23/ TCP). Acesso remoto sem criptografia q Explora senhas padrão ou fracas q Dispositivos alvo com versões embarcadas de Linux 4

5 5

6 IoT Internet of Things Composto de objetos físicos embutidos com eletrônica, software e sensores que permitem sensoriamento e controle remoto de objetos através de uma estrutura de rede Facilita integração direta entre mundo físico e redes de comunicação Comunicação: any TIME, any THING, any PLACE Reference: ZHOU, Jun et al. Security and Privacy for Cloud-Based IoT: Challenges. IEEE Communications Magazine, v. 55, n. 1, p ,

7 IoT Internet of Things Recommendation ITU -T Y.2060 : Overview of the Internet of things: 7

8 Definição ITU-T Things (Coisas) Físicas: robôs industriais, suprimentos, equipamentos elétricos Virtuais: conteúdo multimídia, software Recommendation ITU -T Y.2060 : Overview of the Internet of things: I 8

9 Definição ITU Recommendation ITU -T Y.2060 : Overview of the Internet of things: 9

10 Fonte da figura: Figura traduzida de: Recommendation ITU -T Y.2060 : Overview of the Internet of things: 10

11 Sensores 11

12 ConecHvidade 12

13 Exemplos de aplicações q Doméstica: controle de irrigação, alarme de fumaça q Prédios: iluminação, alertas de emergência q Saúde: monitoramento de pacientes e idosos 13

14 q Fábricas inteligentes: sensores e cloud para reduzir custos e melhorar qualidade processos. Ex.: Caso Polibol, Espanha Low Rate-WPAN 14

15 IoT baseada em Cloud Reference: ZHOU, Jun et al. Security and Privacy for Cloud-Based IoT: Challenges. IEEE Communications Magazine, v. 55, n. 1, p ,

16 IoT baseada em Cloud? 1) Serviços de cloud estão sempre ligados, e são acessíveis globalmente, assim as coisas podem ser localizadas em qualquer lugar, podem ser móveis, podem transmitir dados diferentes em momentos diferentes. 2) Serviços de cloud tem escalabilidade, o que é bom em IoT já que muitas coisas podem se comunicar com velocidades diferentes em momentos diferentes. 3) Cloud ajuda a gerenciar limitações de recursos. Muitas coisas podem ser limitadas no poder computacional, bateria e capacidade de armazenamento. Reference: J. Singh, T. Pasquier, J. Bacon, H. Ko and D. Eyers, "Twenty Security Considerations for Cloud-Supported Internet of Things," in IEEE Internet of Things Journal, vol. 3, no. 3, pp , June

17 IoT, Fog, Cloud q Grandes volumes de dados devem ser processados e/ou armazenados na borda (edge) dos dispositivos IoT: Fog computing 17

18 Segurança de IoT q Segurança de IoT não é apenas segurança de dispositivos! q Todos os elementos precisam ser considerados (ecossistema) q O dispositivo IoT q A nuvem (cloud) / o nevoeiro (fog) q A aplicação móvel q As interfaces de rede q O software q Uso da criptografia q Uso da autenticação (RFID, X.509, end. MAC) q Segurança física q Autorização 18

19 Segurança de IoT Autenticação Controle de acesso Confidencialidade Privacidade Middleware Seguro Aplicação de políticas Segurança Móvel Confiança Reference: S. Sicari, A. Rizzardi, L.A. Grieco, A. Coen-Porisini, Security, privacy and trust in Internet of Things: The road ahead, Computer Networks, Volume 76, 15 January 2015, Pages

20 20

21 21

22 Segurança de IoT 22

23 Segurança de IoT 23

24 OWASP IoT Top 10 Category I1: Insecure Web Interface I2: Insufficient Authentication/ Authorization I3: Insecure Network Services I4: Lack of Transport Encryption IoT Security Consideration Ensure that any web interface coding is written to prevent the use of weak passwords Ensure that applications are written to require strong passwords where authentication is needed Ensure applications that use network services don't respond poorly to buffer overflow, fuzzing Ensure all applications are written to make use of encrypted communication between devices Recommendations When building a web interface consider implementing lessons learned from web application security. Employ a framework that utilizes security Refer to the OWASP Authentication Cheat Sheet Try to utilize tested, proven, networking stacks and interfaces that handle exceptions gracefully... Utilize encrypted protocols wherever possible to protect all data in transit

25 Category IoT Security Consideration I5: Privacy Concerns Ensure only the minimal amount of personal information is collected from consumers I6: Insecure Cloud Interface I7: Insecure Mobile Interface I8: Insufficient Security Configurability I9: Insecure Software/ Firmware I10: Poor Physical Security Ensure all cloud interfaces are reviewed for security vulnerabilities (e.g. API interfaces and cloud-based web interfaces) Ensure that any mobile application coding is written to disallows weak passwords Ensure applications are written to include password security options (e.g. Enabling 20 character passwords or enabling two-factor authentication) Ensure all applications are written to include update capability Ensure applications are written to utilize a minimal number of physical external ports (e.g. USB ports) on the device Recommendations Data can present unintended privacy concerns when aggregated Cloud security presents unique security considerations, as well as countermeasures. Be sure to consult your cloud provider about options Mobile interfaces to IoT ecosystems require targeted security. Consult the OWASP Mobile Security can be a value proposition. Design should take into consideration a sliding scale of security requirements Many IoT deployments are either brownfield and/or have an extremely long deployment cycle... Plan on having IoT edge devices fall into malicious hands...

26 OWASP IoT AZack Surface Areas 26

27 OWASP IoT AZack Surface Areas DEF CON 23 - IoT Village - Daniel Miessler - IoT Attack Surface Mapping 27

28 DEF DEF CON CON IoT IoT Village Village - - Daniel Daniel Miessler Miessler - - IoT IoT Attack Attack Surface Surface Mapping Mapping

29 IoT Attack Surface Mapping DEFCON /36/IoTTestingMethodology.pdf 29

30 Considerações q Importante: q incluir segurança na fase de projeto q promover atualizações de segurança e gerenciamento de vulnerabilidades (distribuir atualizações) q Velhos erros: q autenticação fraca ou inexistente q default / senhas codificadas q implementações falhas q falta de validação (integridade de dados, restrições) q protocolos antigos sem criptografia q backdoors q contas não documentadas, reseta para o padrão 30

31 Considerações q Solução depende de várias partes q - usuários, administradores, desenvolvedores q - fabricantes/vendedores q Importante saber q É possível desabilitar alguns serviços desnecessários e trocar senhas padrão? q Existe algum gerenciamento seguro e remoto? q É necessário isolar dispositivos? q O produto tem apenas protocolos atualizados e usa autenticação e criptografia fortes? 31

32 Segurança de IoT: +desafios v Gerenciamento de identidades e de acesso em IoT q Identificar Coisas: esquema de nomes q Estabelecer níveis de proteção na arquitetura IoT q Definir processos de autenticação e autorização q Definir requisitos de privacidade q Interação segura com Fog e Cloud v Gerenciar dispositivos (atualizações, políticas) v Proteger dispositivos (boot e runtime) v Entender seu sistema (ameaças e vulnerabilidades) v Proteger comunicações 32

33 Segurança de IoT: padrões surgindo v Industrial Internet of Things: Security Framework 33

34 Agradecimentos FINEP Financiadora de Estudos e Projetos RENASIC - Rede Nacional de Segurança da Informação e Criptografia 34

35 Obrigada! Contatos Carla Merkle Westphall Carlos Becker Westphall 35