Post on 04-Aug-2020
Ramicés dos Santos Silva
IoT - Desafios e Soluções de segurança em um mundo de 50 bilhões de dispositivos
Agenda
• Contextualização
• 50 Bilhões de Coisas
• Insecurity of things
• Desafios
• Soluções
Contextualização
Fonte: http://www.cisco.com/c/dam/en_us/solutions/industries/docs/gov/everything-for-cities.pdf
Contextualização
https://www.mckinsey.com/industries/semiconductors/our-insights/security-in-the-internet-of-things
Contextualização
Fonte: http://www.cisco.com/c/dam/global/pt_pt/assets/cisco-connect-2013/pdf/15_outubro_robert_vassoyan.pdf
Contextualização
Perímetros?
Vulnerabilidades
Vazamento de Informação?
Ataques massivos
Contextualização
https://www.cnet.com/news/hackers-discover-security-weaknesses-within-the-lifx-smart-led/
Contextualização
https://www.darkreading.com/vulnerabilities---threats/internet-of-things-contains-average-of-25-vulnerabilities-per-device/d/d-id/1297623
Contextualização
https://blogs.oglobo.globo.com/pagenotfound/post/hacker-consegue-entrar-em-smart-tv-e-filma-casal-fazendo-sexo-em-sofa.html
Contextualização
https://www.diariodoamapa.com.br/2016/10/04/bombas-de-insulina-da-johnson-johnson-podem-ser-hackeadas/
Segurança não é prioridade mesmo em dispositivos de segurança!
Sistemas operacionais simples: não possuem mecanismos adequados de proteção e não sofrem atualizações
Repetição dos erros do passado
• Inúmeras vulnerabilidades nos softwares embarcados
• Falta ou falha de autenticação
• Protocolos sem criptografia ou mal implementados
Desejo das empresas fabricantes de equipamentos de manter backdoors
• Criam mecanismos que coletam informações sobre utilização, sobre o que foi acessado, assistido,
comprado etc.,
Monitoramento governamental em larga escala
• Portas que os fabricantes de hardware e software foram “obrigados” a deixar abertas e exploração de
Vulnerabilidades zero-day
Desafios
Desafios e Soluções
https://www.owasp.org/index.php/Top_10_IoT_Vulnerabilities_(2014)
Desafios e Soluções
Impacto Possível Solução
Denial-of-service Medindo a força do sinal, computando taxa de entrega de pacotes, codificando pacotes com códigos de correção de erros e alteração de frequências e locais
Denial-of-service Violação de privacidade
Segmentação de rede, introdução de ruído artificial de comunicação
Denial-of-service
Medições da intensidade do sinal e estimativa de canal
Denial-of-service Violação de privacidade
Evitar o acesso de software / firmware ao USB módulos de TPM baseados em hardware e evitando ferramentas de teste / depuração
Consumo de energia Denial-of-service
Sistema de detecção de intrusão multi-camada
Desafios e Soluções
Desafios e Soluções
Impacto Possível Solução
Denial-of-service Introdução de timestamp e opções nonce para proteger contra ataques de repetição e verificação de fragmento através cadeias de hash
IP Spoofing Autenticação usando assinaturas baseadas em criptografias de curvas elípticas
Denial-of-service
Abordagem do buffer dividido exigindo transmissão completa de fragmentos
MitM Autenticação baseada em Assinatura e Hashing e monitoramento do comportamento do nó, gerenciamento do nível de confiança
Denial-of-service Autenticação baseada em Assinatura e Hashing e monitoramento do comportamento do nó, gerenciamento do nível de confiança
Violação Privacidade Falhas Bizantinas
Análise de comportamento, gerenciamento do nível de confiança
Violação Privacidade Criptografia e Autenticação
Violação Privacidade
VPN, Segregação de Rede (Criptografia, autenticação e autorização)
Denial-of-service Autenticação com base em chaves complexas e longas, criptografia
Violação Privacidade
Autenticação, Criptografia
Desafios e Soluções
Impacto Possível Solução
Denial-of-service
Criptografia TLS e Mapeamento HTTP/COAP, VPN tunnel
Denial-of-service Violação de privacidade
Políticas de senhas fortes, testes de vulnerabilidades, https e firewall para limite de acesso.
Denial-of-service Violação de privacidade
Atualização regular de software/firmware, assinatura de código e criptografia com validação incluindo a configuração.
Denial-of-service Violação de privacidade
Comunicação segura usando autenticação, política de segurança restrita, gerenciamento adequado de chaves entre os dispositivos.
Desafios e Soluções
Sanz J., et al, 2017 - Segurança Definida por Software através do encadeamento de um sistema de detecção e prevenção de intrusão e de um firewall virtuais.
Desafios e Soluções
Desafios e Soluções
Soluções – Big Data Analytics
https://goo.gl/images/HHGX3i
Soluções – Big Data Analytics
https://www.helpnetsecurity.com/images/articles/opensoc.jpg
DE LOOF, J.; SAP, C. M.; MEISSNER, S.; NETTSTRÄTER, A.; CEA, A. O.; SAP, M. T.; WALEWSKI, J. W. Internet of Things–Architecture IoT-A Deliverable D1. 5–Final architectural reference model for the IoT v3. 0. v., n., p.
RAZZAQUE, M. A.; MILOJEVIC-JEVRIC, M.; PALADE, A.; CLARKE, S. Middleware for internet of things: a survey. IEEE Internet of Things Journal, v. 3, n. 1, p. 70-95, 2016.
NGU, A. H.; GUTIERREZ, M.; METSIS, V.; NEPAL, S.;
SHENG, Q. Z. IoT middleware: A survey on issues and enabling technologies. IEEE Internet of Things Journal, v. 4, n. 1, p. 1-20, 2017.
Khan, M. A., & Salah, K. (2018). IoT security: Review, blockchain solutions, and open challenges. Future Generation Computer Systems, 82, 395–411.
Alaba, F. A., Othman, M., Hashem, I. A. T., &
Alotaibi, F. (2017). Internet of Things security: A survey. Journal of Network and Computer Applications, 88, 10–28.
Kouicem, D. E., Bouabdallah, A., & Lakhlef, H.
(2018). Internet of things security: A top-down survey. Computer Networks, 141, 199–221.
Roman, R., Lopez, J., & Mambo, M. (2018). Mobile
edge computing, Fog et al.: A survey and analysis of security threats and challenges. Future Generation Computer Systems, 78,
Referências Bibliográficas
Riahi Sfar, A., Natalizio, E., Challal, Y., & Chtourou, Z. (2018). A roadmap for security challenges in the Internet of Things. Digital Communications and Networks, 4(2), 118–137. doi:10.1016/j.dcan.2017.04.003
Adat, V., & Gupta, B. B. (2017). Security in Internet
of Things: issues, challenges, taxonomy, and architecture. Telecommunication Systems, 67(3), 423–441. doi:10.1007/s11235-017-0345-9
A survey on emerging SDN and NFV security
mechanisms for IoT systems. (2018). IEEE Communications Surveys & Tutorials, 1–1. doi:10.1109/comst.2018.2862350
Sanz J.,Alvarenga Igor D.,Martin A.,Leopoldo A. F. Mauricio, Uma avaliação de Desempenho de Segurança Definida por Software através de Cadeias de Funções de Rede, XVII Simpósio Brasileiro de Segurança da Informação e de Sistemas Computacionais, 2017
Referências Bibliográficas
Obrigado(a)!
Ramicés dos Santos Silva
ramices@ciasc.sc.gov.br
www.linkedin.com/in/ramices