Palco Inovação (Desenvolvimento) Segurança em um Mundo Conectado (IoT x Segurança) Ricardo Kléber @ricardokleber @segurancaderede youtube.com/segurancaderedes
O Futuro Chegou!? Acho que sim :) IPv6 IPv4 4.294.967.296 endereços possíveis Ipv6 340.282.366.920.938.463.463.374.607.431.768.211.456 2128 = 3,4 x 1038 (undecilhões) Problema de falta de IPs...
O Futuro Chegou!? Acho que sim :) Sistemas de Localização 370 milhões de equipamentos com GPS (2015) Evolução de tecnologias complementares GPS + Wi-Fi + RFID + GSM + 3G/4G GPS + Sistemas de Navegação Inercial Novos sistema de localização GNSS, WAAS, MSAS, EGNOS, GALILEO... NAVSOP (Navegação via Sinais de Oportunidade)
O Futuro Chegou!? Acho que sim :) Celular Plano de dados oferecidos por operadoras (celular) Serviço de telefonia (VoIP) sobre operadora de rede (mundial) Aparelho móvel (VoIP) com número acessível mundialmente
O Futuro Chegou!? Acho que sim :) 802.16 Complemento (e não substituição) ao Wi-Fi Solução de longo alcance sem fio mais barata (custo/benefício), rápida e com menor interferência
O Futuro Chegou!? Acho que sim :) Redes Mesh 802.11s Públicas Privadas Abertas Autenticadas Redes em malha
O Futuro Chegou!? Acho que sim :) Infraestrutura de redes/sistemas Utilizando nuvens PÚBLICAS e/ou PRIVADAS
O Futuro Chegou!? Acho que sim :) Sistemas de Identificação RFID + Códigos de Barra (TAGs) Miniaturização Implante de chips!!??
O Futuro Chegou!? Acho que sim :) "megadados" Armazenamento + Velocidade 5 "V": velocidade, volume, variedade, veracidade e valor Gerenciar = saber usar!!! "Mineração de dados Estatística + IA + Detecção de Padrões
O Futuro Chegou!? Longo caminho de avanços na... Infraestrutura Quase tudo depende da rede... ou já podemos dizer... X Quase tudo depende da rede!!!
O Futuro Chegou!? Acho que sim :) A tecnologia está sendo construída sobre tudo que conhecemos David Dodd (vice-presidente de TI da Stevens Institute of Technology) Sobre que coisas estamos falando?
O Futuro Chegou!? Acho que sim :) Sobre que coisas estamos falando? O mercado de internet das coisas saltará de um patamar de US$ 1,9 trilhão em 2014 para US$ 7,1 trilhões em 2020 Fonte: IDC Um Mundo Conectado!!!
Internet das Coisas Sobre o que estamos falando? Que tipos de redes estão envolvidas? WANs LANs / WLANs (Redes Locais cabeadas ou sem fio) HANs (Home = Dispositivos Domésticos) PANs (Personal = Dispositivos de Uso Pessoal) BANs (Body = Dispositivos vestíveis = anexados ao corpo)
O Futuro Chegou!? Acho que sim :) A ficção virando realidade...
O Futuro Chegou!? Acho que sim :) A ficção virando realidade...
O Futuro Chegou!? Acho que sim :) A ficção virando realidade...
O Futuro Chegou!? Acho que sim :) A ficção virando realidade...
O Futuro Chegou!? Acho que sim :) A ficção virando realidade... Filme Código Da Vinci Prof. Langdon Ponto GPS Precisão = 60cm
O Futuro Chegou!? Acho que sim :) Tudo acessível via rede
O Futuro Chegou!? Acho que sim :) Tudo???
O Futuro Chegou!? Acho que sim :) Convergência plena IPv6 Interfaces de Rede / Localização Wi-Fi / Wi-MAX Bluetooth Zigbee NFC RFID Receptor GPS??? o que vier mais!!! Qualquer coisa que valha mais de $100
O Futuro Chegou!? Acho que sim :) Wearables Tecnologias vestíveis
Sim!!! O Futuro Chegou!!! Qual a análise atual dessa chegada? A Tecnologia Evoluiu como nunca... Mas... E a Segurança? Também Evoluiu???
O (principal) Desafio da IoT (só!?) Sentir o Futuro Sem Esquecer o Passado... Sempre lembrar dos problemas... e de suas soluções Não voltar a cometer os mesmos erros; Usar a experiência para lidar com os novos desafios! Frases de Auto-Ajuda? Não!!! O Dilema da Segurança na Era IoT
IoT x Segurança Sentir o Futuro Sem Esquecer o Passado... O Caso Emmy
IoT x Segurança Sentir o Futuro Sem Esquecer o Passado... O Caso Emmy Abril de 2014 Ohio/EUA Bebê de 10 meses Babá Eletrônica com acesso via Celular Interceptação (Wi-Fi) Acorda Neném http://oglobo.globo.com/economia/tecnologia/estranho-hackeia-babaeletronica-noite-grita-acorda-nenem-12329990
IoT x Segurança Sentir o Futuro Sem Esquecer o Passado... O Caso Emmy Alguma Novidade? Câmera IP (Foscam) com Acesso via Web Comportamento padrão de usuários: Senha default Da câmera e/ou da Rede Wi-Fi usada para acesso Modelo (IP Cam Foscam) apresentou em 2013 vulnerabilidade de firmware Corrigida (upgrade) mas... quem aplicou a correção?
IoT x Segurança Sentir o Futuro Sem Esquecer o Passado... Curiosidade... Youtube IP Cam Troll
IoT x Segurança Sentir o Futuro Sem Esquecer o Passado... Será que só Babás Eletrônicas Estão Vulneráveis?
IoT x Segurança Sentir o Futuro Sem Esquecer o Passado... Shodan... O Buscador de IoT desprotegidos
IoT x Segurança Sentir o Futuro Sem Esquecer o Passado... Lançado em 2009 (John Matherly) www.shodanhq.com www.shodan.io Câmeras IP... e mais: Roteadores, DVRs, CFTVs, Servidores de Impressão, Eletrodomésticos... e quaisquer dispositivos ligados na rede (Internet) com: Senhas default Vulnerabilidades conhecidas Busca por banners (metadados) informados pelos dispositivos Informa portas abertas (Web, FTP, SNMP, SIP, Telnet, SSH...)
IoT x Segurança Sentir o Futuro Sem Esquecer o Passado... Smart TVs estão seguras??
IoT x Segurança Sentir o Futuro Sem Esquecer o Passado... Smart TVs estão seguras?? Agosto de 2013 Vulnerabilidades em modelos Samsung Demonstração na BlackHat'2013 Acesso remoto à webcam (integrada) = Imagem e Som Quem está na sala e o que está fazendo? (privacidade!?); O que estão conversando? (privacidade!?) Redirecionamento de navegadores da SmartTV para sites maliciosos. http://www.slashgear.com/samsung-smart-tv-a-spy-in-the-living-room-as-webcam-hack- revealed-02292655/
IoT x Segurança Sentir o Futuro Sem Esquecer o Passado... Acesso Indevido a SmartTVs Alguma Novidade? Vulnerabilidades em firmwares (culpa = fabricante) Fabricantes apresentam patches (correções) Quem atualiza? (atualização é automática ou manual)? Backdoors podem ser propositais!? Acesso legítimo após acesso à Rede Wi-Fi doméstica Além da (nova) tecnologia... nada de novo :(
IoT x Segurança Os Desafios de um Mundo Conectado Parece Óbvio... mas precisa ser dito! praticamente todas tecnologias emergentes estão exigindo, e continuarão a exigir, ainda mais atenção em aspectos relacionados a segurança, privacidade e acesso a sistemas, equipamentos e dados
IoT x Segurança Sentir o Futuro Sem Esquecer o Passado... E os Veículos Conectados??? É seguro prover acesso remoto a sistemas veiculares?
IoT x Segurança Sentir o Futuro Sem Esquecer o Passado... E os Veículos Conectados??? Artigo: Hacks on The Highway (The Washington Post) http://www.washingtonpost.com/sf/business/2015/07/22/hacks -on-the-highway/ (Vídeo)
IoT x Segurança Sentir o Futuro Sem Esquecer o Passado... E os Veículos Conectados??? Que sistemas podem/devem ser acessíveis remotamente? Fragilidade na definição de senhas/mecanismos de acesso Vulnerabilidades nos próprios sistemas (fabricante!?) Voltamos à questão da aplicação do patch Recall de sistemas de acesso Como e quando atualizar? O que acontece com o veículo durante uma atualização; O patch é mesmo do fabricante? Chrysler enviou correção de falha em pendrive (via correio)
IoT x Segurança Sentir o Futuro Sem Esquecer o Passado... Usabilidade x Segurança Eletrodomésticos com acesso remoto Verificar/ligar/desligar remotamente; Qual o risco e consequências de um acesso indevido? Uso (já reportado) como host para ataques a outros hosts... Tomadas (elétricas) conectadas ligar/desligar equipamentos Verificar/ligar/desligar remotamente equipamentos convencionais; Qual o risco e consequências de um acesso indevido? Equipamentos médicos (ligados a pacientes) Monitoramento/configuração remotos = agilidade no atendimento; Qual o risco e consequências de um acesso indevido?
IoT x Segurança Sentir o Futuro Sem Esquecer o Passado... Principais Problemas (Resumo) Gerenciamento de Dados Violação de privacidade Acessos Indevidos a equipamentos e ambientes Golpes (perdas financeiras) Acesso/bloqueio em casos de perdas ou roubos A partir do acesso aos dados nos dispositivos Indisponibilidade de Serviços Críticos (ou não tão críticos) Excesso de dependência da rede Sistemas críticos com alto nível de automatização e/ou acesso via rede
IoT x Segurança Sentir o Futuro Sem Esquecer o Passado... Principais Desafios (Resumo) Segurança Nativa em IoT Custo da Segurança em Dispositivos IoT Soluções de segurança não podem/devem ser opcionais Dispositivos muito baratos inviabilizam o investimento!? Definição e normatização de responsabilidades Diminuição de vulnerabilidades em firmwares e backdoors Quem é responsável pela atualização de software? (cabe discussão) O que deve ser acessível, níveis de acessos e restrições
Segurança em um Mundo Conectado (IoT x Segurança) ricardokleber@ricardokleber.com @ricardokleber @segurancaderede www.youtube.com/segurancaderedes