Post on 31-Dec-2020
SEGURANÇA EM INTERNET DAS COISAS (IOT)Autor: Marlon Henrique Santos Carvalho1
Orientador: Robson Leandro Carvalho Canato2
RESUMO: Considerada como uma revolução tecnológica, e uma das tecnologias mais marcantes da Indústria 4.0, a Internet das Coisas (IoT - Internet Of Things) tem transformado a forma de comunicação e interação das pessoas e produtos. Dessa forma, a demanda por produtos e serviços apresenta um cenário com crescimento exponencial, sem precedentes. Sobre este panorama, a Internet das Coisas tem sido realidade no dia a dia de muitas pessoas, sendo incorporadas cada vez mais por empresas, seja na oferta de um produto, um serviço ou ambos. Com base nesta afirmação, este trabalho propõe apresentar como funciona a IoT e seus riscos baseados em sua segurança, a eficiência da segurança de nossas informações e os perigos ao expor nossos dados mesmo sem percebermos.
PALAVRAS-CHAVE: Internet das Coisas, riscos, segurança, informações, dados.
ABSTRACT: Considered as a technological revolution, and one of the most striking technologies in Industry 4.0, the Internet of Things (IoT - Internet Of Things) has transformed the way people and products communicate and interact. Thus, the demand for products and services presents a scenario with exponential growth, unprecedented. In this context, the Internet of Things has been a reality in the daily lives of many people, being increasingly incorporated by companies, whether in offering a product, a service or both. Based on this statement, this paper proposes to present how IoT works and its risks based on its security, the efficiency of the security of our information and the dangers of exposing our data without even realizing it.
KEYWORDS: Internet of Things, risks, security, information, data.
INTRODUÇÃO
A Internet das Coisas - IoT é um conjunto de tecnologias, protocolos e
sensores que permitem que dispositivos móveis ou não, se conectem a uma rede,
com a capacidade de coletar e transmitir dados. Até o momento, pode-se afirmar
que a principal forma de comunicação entre os humanos é a internet, seguindo disso
podemos dizer que a IoT é uma evolução da internet.
1 Marlon Henrique Santos Carvalho é discente de graduação em Ciência da Computação (2017) pela Faculdade Municipal Professor Franco Montoro, Mogi Guaçu, São Paulo. E-mail: marlon.h_99@hotmail.com
2 Robson Leandro Carvalho Canato possui graduação em Análise de Sistemas pela PUC-CAMPINAS (2006), pós-graduação em Banco de Dados pelo IBTA (2010), mestrado em Ciência da Computação pela UNICAMP (2016), pós-graduação em Data Warehouse e Business Intelligence pelo IBF (2018) e pós-graduação em Formação Pedagógica pelo Centro Paula Souza (2019). Docente da Faculdade Municipal Professor Franco Montoro, Mogi Guaçu, São Paulo. E-mail: rcanato@gmail.com
1
2
3
4
56789
10111213
14
15
1617181920212223
24
25
26
27
28
29
30
31
12
3
45678
Dispositivos que necessitam de conexão à internet estão cada vez mais
comuns nas residências e em ambientes corporativos, como dispositivos de
automação, assistentes virtuais, Smartphones, eletrodomésticos como: Tvs,
Geladeiras, Lâmpadas etc.
1. MOTIVAÇÃO
Enquanto estudava sobre Segurança da Informação e Internet das Coisas
percebi como estamos vulneráveis com tantos dispositivos conectados em nossas
redes domésticas ou comerciais. A internet das coisas está em todo lugar
atualmente então repensei em nossa segurança num todo, nossos dados estão
expostos 24 horas por dia, nossos costumes, o que gostamos de ver, de comer,
pode estar tudo nas mãos de grandes empresas, ou até mesmo de pessoas mal
intencionadas.
Após a aquisição de uma assistente virtual e uma lâmpada inteligente, tendo
dessa forma, a oportunidade de experimentar um pouco da realidade da Internet das
Coisas, comecei a questionar a forma de armazenamento e acesso as informações
em tais dispositivos, afinal, de imediato, não sabemos ou temos a certeza de como é
o funcionamento desses dispositivos conectados a minha rede, ou seja, eles
poderiam estar acessando e processando meus dados.
É indiscutível o quão revolucionário e interessante são os dispositivos
inteligentes, mas pode existir, o que consideramos um lado sombrio com relação ao
acesso aos nossos dados e dessa forma, da nossa privacidade. As estatísticas
confirmam um crescimento exponencial na obtenção de dispositivos de Internet das
Coisas, será que essas pessoas sabem ou estão cientes dos perigos que rondam
essas tecnologias?
Neste cenário a Lei nº 13.709/18 é alterada pela Lei n°13.853/19, para dispor
sobre a proteção de dados pessoais e para criar a Autoridade Nacional de Proteção
de Dados, passando a vigorar com a seguinte redação “Lei Geral de Proteção de
Dados Pessoais (LGPD)”. De acordo com o “Art. 1º Esta Lei dispõe sobre o
tratamento de dados pessoais, inclusive nos meios digitais, por pessoa natural ou
por pessoa jurídica de direito público ou privado, com o objetivo de proteger os
32
33
34
35
36
37
38
39
40
41
42
43
44
45
46
47
48
49
50
51
52
53
54
55
56
57
58
59
60
61
direitos fundamentais de liberdade e de privacidade e o livre desenvolvimento da
personalidade da pessoa natural.” (BRASIL, 2019).
Este trabalho retrata como funcionam os dispositivos inteligentes e quais seus
perigos diante dos dados dos usuários.
2. FUNDAMENTAÇÃO TEÓRICA
Este trabalho expõe a preocupação relacionada aos perigos da privacidade
dos usuários de dispositivos inteligentes. Apesar da evolução da Segurança da
Informação (SI), para proporcionar uma maior proteção em inúmeros dispositivos,
mas nem sempre isso esteve relacionado a Internet das Coisas devido as suas
características.
Diversos ataques podem ser sofridos devido as fragilidades das aplicações
que utilizam hardwares muito restritos, colocando os usuários em exposição a
preocupações relacionadas a Lei Geral de Proteção de Dados. Tendo em vista que
os dispositivos inteligentes estão fortemente ligados a SI e a LGPD, será abordado o
item Segurança em Internet das Coisas.
2.1 Internet das Coisas (IoT)
Posteriormente ao surgimento da grande rede mundial de computadores a
“Internet” e sua concretização, e juntamente com o exponencial crescimento da
telecomunicação, principalmente com a conexão TCP/IP, surge no ano de 1999, o
termo “Internet das Coisas” – Internet of Things (IoT).
A IoT pode ser designada como uma rede de sensores que se comunicam e
compartilham informações entre si, com o objetivo de desempenhar atividades de
identificação inteligente, rastreamento, monitoramento e administração das “coisas”.
A IoT é composta tecnicamente por elementos de hardware, middleware (software
que se encontra entre o sistema operacional e os aplicativos nele executados)
(MICROSOFT AZURE, 2020) e software.
2.2 Arquitetura básica dos dispositivos
62
63
64
65
66
67
68
69
70
71
72
73
74
75
76
77
78
79
80
81
82
83
84
85
86
87
88
A arquitetura básica dos dispositivos inteligentes é composta por 4 unidades:
sensores/atuadores, energia, comunicação e processamento/memória. A descrição
desses dispositivos pode ser visualizada abaixo:
Sensores/Atuadores: Monitoram o ambiente onde o objeto está localizado.
São dirigentes por lidar com amplitudes físicas como umidade, temperatura,
pressão, entre ouras. Já os atuadores são dispositivos que produzem
movimento, atendendo comandos que podem ser mecânicos, manuais ou
elétricos.
Energia: Supre a energia dos componentes do dispositivo. Comumente essa
fonte consiste em baterias recarregáveis ou não. Entretanto, podem ser
supridas com energia solar, elétrica etc.
Comunicação: Consiste em um meio de comunicação com ou sem fio. Na
modalidade de comunicação sem fio é usada uma plataforma de rádio de
baixo custo e de baixa potência.
Processamento/Memória: É Composta por uma memória interna que
armazena programas e dados, além de um microcontrolador e um conversor
analógico-digital para receber sinais e sensores. As CPU’s em geral não têm
um alto poder computacional, porém, no caso das Manufaturas da Indústria
Moderna, grandes empresas como IBM e Oracle, investem neste poder.
2.3 Tipos de Comunicação
Diversos protocolos de rede e os tipos de comunicação tem evoluído e
aparecido no mercado à medida que os equipamentos IoT surgem e amadurecem.
Taxas de transferência ou o número de nós permitidos para se conectar ao mesmo
tempo e a distância para o gateway encontram-se na origem de novos e diversos
tipos de comunicação nos permitindo ligá-los em simultâneo.
Os vários dispositivos que constituem os dispositivos IoT são limitados aos
níveis de recurso, mas suas formas de comunicação são muito diferentes, e a
comunicação varia de dispositivo para dispositivo.
89
90
91
92
93
94
95
96
97
98
99
100
101
102
103
104
105
106
107
108
109
110
111
112
113
114
115
116
117
O método de coleta de informações é desenvolvido de acordo como a forma
de comunicação ganha sua maturidade, aumentando assim o uso e a proliferação
de equipamentos conectados à Internet.
A Figura 1 resume as diferentes formas de transmissão das informações, por
exemplo Wi-Fi, Bluetooth, NFC, entre outras, bem como o espectro de alcance
dessa informação, atravessando de uma rede pessoal (PAN) considerando o uso de
um monitor cardíaco, ou dispositivo móvel, redes locais (LAN), rede de área
metropolitana (MAN) ou rede de área de ampla Distância (WAN). A figura também
mostra como a Internet das Coisas se enraíza em nossa sociedade, destacando a
crescente crença de que a informação pode ser procedente de qualquer "coisa".
Figura 1: Diferentes formas de conectividade
Fonte: Adaptado de (POSTSCAPES, 2109)
2.4 Protocolos de comunicação
Como se pode constatar, é notável a crescente evolução das mais variadas
tecnologias pelo que se tem verificado que estas têm acompanhado as
necessidades dos variados negócios onde se enquadram. Os fabricantes têm
tentado responder às solicitações que lhes são pedidas, pelo que diariamente
aparecem novos produtos com novas funcionalidades e múltiplos propósitos.
Hoje em dia existe a necessidade de se estar ligado ao mundo, de ver mais
além e as demais tecnologias têm acompanhado essas expectativas e dado
118
119
120
121
122
123
124
125
126
127
128
129
130
131
132
133
134
135
136
137
138
resposta aos seus utilizadores. Com o rápido desenvolvimento da Internet das
Coisas, a monitorização da saúde tem adquirido novos players no mercado, contudo
a introdução destes novos equipamentos tem trazido novos desafios, sendo que
uma das principais preocupações se foca nos protocolos de comunicação. Elencam-
se assim os principais protocolos de comunicação de equipamentos IoT:
2.4.1 6LowPAN
6LowPan é um protocolo da Internet (IP). Essa abreviatura é chamada de
Low-power wireless Personal Area Network IPv6 (Rede de área pessoal sem fio
IPv6 de baixa potência). Além de ser uma tecnologia da Internet das Coisas, como
Zigbee ou Bluetooth, 6LowPAN é um protocolo de rede que define um
encapsulamento com um mecanismo de compactação e header. O atributo principal
é o IPv6 stack, que é uma etapa muito importante para habilitar a Internet das
Coisas. Com o IPv6, cada objeto ou dispositivo no mundo pode receber seu IP
exclusivo e conectá-lo à rede ou à Internet. (CHOI et al., 2009)
Alguns headers IPv6 e UDP foram removidos para este tipo de comunicação
porque têm valores conhecidos e, no caso mais comum (ao usar redes de
sensores), apenas um número limitado de portas é usado, portanto, quatro bits são
suficientes para descrevê-los. Em vez dos 8 bits normais.
2.4.2 ZigBee
Zigbee é um dos protocolos mais amplamente usados e sua aplicação se
concentra mais em ambientes industriais do que em ambientes residenciais. Ele é
baseado no padrão IEEE802.15.4, que é um padrão para redes sem fio na banda
onde há frequência de 2,4 GHz. Geralmente não precisa mudar constantemente a
taxa de transmissão. Todos os principais fabricantes de semicondutores têm
módulos Zigbee em seus portfólios de produtos. O intervalo do protocolo é de 10 a
100 metros e a taxa de transmissão máxima é de 250 kbps. Este protocolo é
mantido atualmente pela Zigbee Alliance. (ERGEN, 2004)
2.4.3 Bluetooth
O protocolo é mantido pela empresa Bluetooth SIG (Special Interest Group) e
possui um grande número de documentos e exemplos de aplicações disponíveis na
Internet, o que promove sobremaneira a integração da tecnologia para projetos de
139
140
141
142
143
144
145
146
147
148
149
150
151
152
153
154
155
156
157
158
159
160
161
162
163
164
165
166
167
168
169
automação residencial, comercial e de produtos eletrônicos em geral. O alcance do
acordo depende da classe do módulo. O alcance máximo dos chips Tipo 1 é de 100
metros e a potência é de 100 mW. O alcance máximo do módulo Tipo 2 é de 10
metros e a potência é de 2,5 mW. O intervalo da Categoria 3 é de apenas 1 metro e
a dissipação máxima é de 1 mW. O alcance máximo do Bluetooth 5.0 é de 240
metros e a taxa de transmissão é de 50 Mbps. (DECUIR, 2015)
2.4.4 Wi-Fi
As redes Wi-Fi funcionam com o padrão IEEE 802.11 b/g/n, 2.4 GHz e 5 GHz
e utilizam sinal de Rádio Frequência para difusão, são consideradas redes de alta
qualidade e de alta flexibilidade indicadas para utilização a médias distâncias
(dezenas de metros). É uma tecnologia que possui uma evolução de altas taxas
(Gbps) de comunicação.
Este tipo de comunicação permite a transmissão de dados para
computadores, portáteis, tele móveis, tablets, entre outros equipamentos com este
tipo de tecnologia de forma simultânea e permite uma liberdade de utilização, não
estando limitado a uma zona, uma vez que o seu alcance é amplo.(WU e LEE, 2014)
2.4.5 RFID
O RFID - Radio-Frequency IDentification utiliza campos magnéticos para
automaticamente identificar e rastrear as etiquetas ou em inglês as tags que são
coladas nos objetos. Os sistemas RFID incluem equipamentos eletrônicos
denominados de transponders ou tags e leitores que comunicam com essas
etiquetas. As tags RFID contêm antenas para permitir receber e responder a pedidos
por radiofrequência, não necessitando de alimentação elétrica para funcionarem. A
frequência varia dos 100 KHz aos 5,8 GHz e o alcance varia dependendo do leitor
podendo chegar aos 8 metros. (PARK, 2018)
2.4.6 NFC
Near Field Communication (NFC) é uma tecnologia usada para trocar
informações entre dois dispositivos eletrônicos. É uma extensão da tecnologia de
cartão RF (RFID), que permite que os dispositivos troquem informações, desde que
as informações estejam dentro da distância máxima (geralmente alguns
170
171
172
173
174
175
176
177
178
179
180
181
182
183
184
185
186
187
188
189
190
191
192
193
194
195
196
197
198
199
centímetros). Taxa de transmissão de 100 a 420 Kpbs. O padrão NFC foi
estabelecido pelo padrão ISO / IEC18000-3. É uma tecnologia que pode trocar
informações entre dispositivos sem cabos, mas como o alcance geral do protocolo é
de 10 cm, são necessários métodos de aproximações físicas para a leitura correta e
identificação das informações. (ECMA, 2013)
2.4.7 Thread
Foi lançado pelo Thread Group em 2014 e é baseado em vários padrões,
incluindo IEEE802.15.4, IPv6 e 6LoWPAN. Fornece soluções do tipo IP para a
Internet das Coisas em ambiente residencial. Este método de comunicação pode
gerenciar uma rede de até 250 nós. (RZEPECKI et al., 2018)
2.4.8 LoraWAN
O protocolo LoRa é projetado para comunicação de baixo consumo de
energia. O protocolo é mantido pela LoRa Alliance e suporta grandes redes com
milhões de dispositivos, com velocidades que variam de 0,3 kbps a 50 kbps. É um
dos mais populares protocolos IoT. (BUYUKAKKASLAR, 2017)
Na Figura 2 está presente a evolução dos demais protocolos ao longo dos
anos. Durante este período o âmbito de ação também foi alargado, assim como
existiu um crescimento e o aparecimento de novos sistemas e novas
funcionalidades.
Figura 2: Diferentes formas de conectividade
200
201
202
203
204
205
206
207
208
209
210
211
212
213
214
215
216
217
218
219
Fonte: Adaptado de (LAVRATTI, 2016)
3. SEGURANÇA NO ÂMBITO DE IOT
A Internet das Coisas tem toda essa conectividade entre dois ou mais
dispositivos e um grande fluxo de informações para uma série de riscos para
usuários domésticos e empresariais. Esses riscos podem ser do próprio dispositivo,
como das plataformas e a rede em que estão conectados. O dispositivo conectado
pode ser usado como uma forma de entrada à rede então começar uma grande
ofensiva.
Mecanismos comumente usados, como criptografia leve, garantias de
segurança e privacidade não são mais suficientes para a IoT. Ao contrário do
computador que possuímos atualmente, os dispositivos IoT são equipados com
menos poder de processamento, memória e energia. Portanto, O mecanismo do
protocolo de segurança deve ser analisado para ver se pode ser integrado à Internet
das Coisas.
A privacidade deve existir na tecnologia atual de alguma forma, e em futuras
também. O objetivo é proteger os dados pessoais e evitar que sejam acessados por
pessoas não autorizadas. Se uma pessoa não autorizada fizer tal acesso, então
220221
222
223
224
225
226
227
228
229
230
231
232
233
234
235
236
237
238
perde-se a privacidade e a confidencialidade, que são aspectos que garantem
anonimato de dados e de comunicações.
De acordo com Peter Waher (2015), muitas das soluções e produtos de hoje
vendidos sob a denominação IoT não têm uma arquitetura de segurança básica, o
que não só coloca o equipamento em risco, mas também coloca edifícios, carros,
ônibus, aeroportos, serviços de saúde, automação, aplicações de logística
vulneráveis e automação industrial, por isso é necessário desenvolver
contramedidas para proteger suas soluções de IoT. (WAHER, 2015)
Porém, proteger a Internet das Coisas será uma tarefa complexa e árdua,
com uma população estimada em bilhões de pessoas. Esses objetos irão se
influenciar e interagir com outras entidades (como humanos ou entidades virtuais),
proporcionando muito para pessoas más. A possibilidade de ataque. Ataques em
vários canais de comunicação, ameaças físicas, negação de serviço, falsificação de
identidade, etc.
3.1 Riscos em Cibersegurança
Os riscos abrangem desde áreas gerenciais até operacionais e processos
técnicos, sendo capazes de atingir equipamentos e sistemas, integração e
gerenciamento da rede, que podem muito bem estar vulneráveis aos riscos de
segurança que incluem as aplicações de TI, os equipamentos inteligentes e redes de
comunicação. Há muitas vulnerabilidades de segurança que envolvem as redes
corporativas e domésticas, conforme as mencionadas a seguir:
Segurança do Consumidor: os dispositivos inteligentes automaticamente
reúnem numerosas quantidades de dados e os transmitem ao vasto banco de
dados das empresas. Dados dos quais poderiam ser utilizados para monitorar
as atividades dos consumidores, equipamentos em uso, e horários em que a
casa ou estabelecimento encontra-se vazio.
Quantidade massiva de dispositivos inteligentes: Estima-se que até o ano de
2023 o número de dispositivos conectados à internet somente no Brasil
239
240
241
242
243
244
245
246
247
248
249
250
251
252
253
254
255
256
257
258
259
260
261
262
263
264
265
266
267
268
269
alcance a marca de 755,1 milhões de dispositivos conectados à internet, em
um levantamento feito pela Cisco de 2011 estimava-se que até 2020 o mundo
teria mais de 50 bilhões de dispositivos de Internet das Coisas (CISCO,
2011). Em uma pesquisa mais recente, o uso cada vez mais frequente da IoT
em dispositivos, aplicativos e nos dados que os acompanham está
promovendo a criação de novos modelos computacionais distribuídos que
consistem em níveis exponencialmente maiores de escala e complexidade.
Conforme o relatório “VNI Forecast Highlights Tool” da Cisco, os dispositivos
machine-to-machine (M2M) representarão 51% (14,6 bilhões) de todos os
dispositivos em rede no mundo até 2022 (CISCO, 2011).
Segurança Física: Existentes em dispositivos de segurança residencial que se
utilizam da tecnologia da IoT, isso aumenta o número de locais vulneráveis a
ataques o que os torna inseguros, e passivos a invasões físicas.
Tempo de vida dos dispositivos IoT: Como sabemos, a maioria de nossos
dispositivos se tornam descartáveis após um tempo, e é inevitável que haja
dispositivos que usam tecnologias inferiores às atuais fiquem desatualizados
e continuem em funcionamento. Esses dispositivos podem ter um
comprometimento de sua segurança mais facilmente, além das
incompatibilidades com sistemas novos.
3.2 Riscos dos Equipamentos IoT
A Internet das Coisas (IoT) possui um vasto leque de possibilidades de
utilização, sendo que é necessário ter consciência dos problemas que estes poderão
proporcionar no futuro. Este capítulo aborda os riscos dos equipamentos IoT e a
necessidade de se efetuar essa correta identificação.
A identificação dos riscos é uma tarefa muito importante para que se possa
entender como e onde agir, mitigando ou eliminando qualquer aspecto de segurança
ou privacidade de dados que possa advir da incorreta utilização destes
equipamentos. Os IoT ligados à rede na área de saúde são potenciais alvos
atraentes para hackers, cibercriminosos ou pessoas mal intencionadas pelas mais
variadas razões:
As organizações de saúde têm muitos equipamentos ligados à rede e pode
haver lacunas de segurança num determinado equipamento;
270
271
272
273
274
275
276
277
278
279
280
281
282
283
284
285
286
287
288
289
290
291
292
293
294
295
296
297
298
299
300
301
Os equipamentos IoT pessoais transportados pelos utentes, famílias e ou
funcionários não são analisados pelas equipes de sistemas de informação
locais;
Estes equipamentos contêm informações valiosas tais como dados pessoais
e histórico de saúde pessoal, que podem ser exploradas para obter um
determinado lucro.
Este novo paradigma do IoT caracteriza-se por adicionar novos objetos/coisas
ligadas às redes, inclusive com ligação à internet, na maioria das vezes com baixo
custo, no entanto qualquer objeto inteligente ligado às redes poderá ou não ser
controlado através de um computador remoto ou um smartphone.
As aplicações IoT estão em crescente expansão sendo que diariamente surge
um novo aplicativo, um novo sensor ou uma nova funcionalidade. A cada novo
desenvolvimento surgem novos desafios ao nível de segurança que necessitam de
ser ultrapassados de forma a garantir a confiabilidade, integridade e disponibilidade
dos dados transmitidos e recolhidos.
Numa pesquisa publicada pelo HIPAA Journal, em 2016, 89% dos executivos
de saúde disseram que sofreram uma violação de segurança resultante da adoção
da IoT, enquanto 49% disse que o malware é um problema (ALDER, 2016).
Segundo o HIPAA JOURNAL (2020), citado por ALDER(2020), os números
continuaram a bater recordes ano a ano, chegando neste ano de 2020, no mês de
setembro a ter um aumento de 156,75% em relação ao mês de agosto do mesmo
ano, dados estes que representam somente as entidades do HIPAA e associados.
As unidades de saúde enfrentam um desafio único quando se trata de
segurança da informação. Estas instituições são um emaranhado de "sistemas de
sistemas" com enormes matrizes de equipamentos interligados entre si. Esta
situação cria múltiplos pontos de entrada para a rede, tornando a gestão difícil e
criando uma ampla superfície de ataque para os cibercriminosos.
Segundo o NIST (National Institute of Standards and Technology), as
ameaças da cibersegurança podem ter um impacto negativo nas redes das
organizações e unidades de saúde, assim como nos equipamentos IoT ligados na
rede. No entanto estes equipamentos podem ser afetados comprometendo o
302
303
304
305
306
307
308
309
310
311
312
313
314
315
316
317
318
319
320
321
322
323
324
325
326
327
328
329
330
331
332
desempenho do workflow hospitalar, impedindo procedimentos clínicos ou a
indisponibilidade de prestar cuidados de saúde. (STOUFFER, 2014)
3.3 Tipos de Ameaça
Um sistema IoT pode ser atacado das mais variadas maneiras, de tal forma
que o ataque pode ser físico, dentro da própria rede ou com recursos a outros
equipamentos. Como os equipamentos IoT são implementados em tecnologias de
redes diferentes, existe uma necessidade de efetuar uma catalogação adequada dos
ataques para se desenvolverem medidas preventivas ou de mitigação de ataque.
Qualquer dispositivo ligado à rede está suscetível de ser atacado, quer por
fins comerciais, quer por fins destrutivos, vandalismo ou terrorismo, ou então
simplesmente para se pesquisar vulnerabilidades dos sistemas, dos servidores ou
dos equipamentos interligados. Este tipo de pesquisa de vulnerabilidade tem como
principal objetivo melhorar a segurança do mesmo.
Apesar do potencial do IoT em todos os eixos em que opera, a infraestrutura
de comunicação dos equipamentos IoT tem falhas conhecidas do ponto de vista da
segurança, pelo que é suscetível a quebras na privacidade dos dados transmitidos.
(BORGOHAIN et al., 2012)
De acordo com os estudos efetuados pela ENISA (EUROPEAN UNION
AGENCY FOR CYBERSECURITY, 2017), as principais ameaças são listadas a
seguir:
3.3.1 DDoS
O DDoS é a designação de Denial Of Service. É um ataque de negação de
serviço e que pode ter como alvo um sistema IoT, resultando assim na
indisponibilidade e na interrupção da produção causada por um elevado número de
pedidos enviados para o sistema. (KRUSHANG e UPADHYAY, 2014)
Segundo o RFC 8576 os equipamentos IoT implementam mecanismos para
verificar as rotas de retorno com base na análise de cookies para atrasar a resposta
do host, no entanto estes mecanismos de defesa podem ser infrutíferos dado que
quem ataca tem mais capacidade de processamento do que o equipamento que
está a ser atacado. (GARCIA, 2019).
333
334
335
336
337
338
339
340
341
342
343
344
345
346
347
348
349
350
351
352
353
354
355
356
357
358
359
360
361
362
3.3.2 Malware
Trata-se da penetração de software malicioso, destinado a realizar ações não
autorizadas, podendo causar danos no equipamento ou na rede. O ransomware,
vírus, cavalos de troia e Spyware são exemplos comuns desta ameaça.
3.3.3 Manipulação de hardware ou software
Este tipo de ameaça foca-se na manipulação não autorizada do equipamento,
alterando e modificando as suas configurações e a génese ou o propósito para que
se destina. São ataques que alteram o código fonte do equipamento criando a
ilusão de que o equipamento está com o comportamento normal, mas poderá estar a
efetuar outras tarefas, como por exemplo o envio de uma cópia dos dados para
outro local ou servidor.
3.3.4 Manipulação da informação
A manipulação da informação pode acontecer, se um atacante se colocar a
capturar o tráfego de rede e o entregar alterado ao seu destinatário. Este tipo de
ataque por norma denomina-se man-in-the-midle, podendo também este tipo de
manipulação ser efetuado por uso de malware destinado a esse fim. É um ataque
transparente para o utilizador final de difícil detecção.
3.3.5 Brute Force
A ameaça de obter acesso não autorizado a um ou vários recursos da
organização, através de um ataque de Brute Force (força bruta). Este tipo de ataque
vai tentado adivinhar as credenciais corretas para aceder a dispositivos ou
servidores não autorizados tornando os sistemas vulneráveis.
Este tipo de ataque é um ataque demorado, que numa primeira instância
efetua testes com as credenciais padrão dos equipamentos, passando por ataques
com o recurso as palavras de dicionário, e numa fase mais avançada, poderá ser
efetuado um ataque de engenharia social de forma a perceber quem opera com
determinados acessos focando o ataque para esse utilizador.
363
364
365
366
367
368
369
370
371
372
373
374
375
376
377
378
379
380
381
382
383
384
385
386
387
388
389
390
3.3.6 Ataques direcionados
Os ataques direcionados, tem como objetivo roubar informação em alvos
específicos. São ataques que são planeados e estruturados podendo demorar dias,
meses ou semanas a planejar e a implementar para surtir o efeito desejado.
3.3.7 Reconhecimento de rede
O reconhecimento de rede tem como principal função validar a ligação dos
nós na rede, enumerar os serviços que se encontram ativos e verificar por
vulnerabilidades nas aplicações. (LEITE, 2017)
Este tipo de sniffer faz uma pesquisa a todos os nós ligados na rede,
identificado com detalhe, algumas características do equipamento, nomeadamente
as portas e o ip onde conseguiu acesso.
3.3.8 Exploits de vulnerabilidades
Neste tipo de ameaça o invasor aproveita falhas de firmware ou de software
do dispositivo. Os equipamentos IoT são frequentemente vulneráveis devido à falta
de atualizações, uso de passwords por defeito ou configuração imprópria.
Atualmente existem bibliotecas atualizadas das vulnerabilidades mais comuns para
cada equipamento, onde é facilmente identificado se determinado equipamento
cumpre com determinada falha ou requisito, podendo ser explorado as
vulnerabilidades elencadas.
4. TÉCNICAS PARA FORTALECER A SEGURANÇA
Devido à dependência das organizações e instituições das aplicações de TI e
ao surgimento de novas tecnologias e métodos de trabalho, as empresas estão
cientes da necessidade de segurança porque se tornaram vulneráveis a um grande
número de ameaças.
4.1 Princípios básicos de segurança
A segurança é a base para dar às empresas as possibilidades e liberdade
necessárias para a criação de novas oportunidades de negócio, pelo que garante os
princípios básicos da segurança, nomeadamente:
391
392
393
394
395
396
397
398
399
400
401
402
403
404
405
406
407
408
409
410
411
412
413
414
415
416
417
418
Verificação: O dispositivo deve ser capaz de verificar mutuamente com
outros dispositivos ou serviços para provar sua confiabilidade;
Disponibilidade: O equipamento deve estar disponível quando necessário;
Vulnerabilidades: os dispositivos devem estar livres de vulnerabilidades ou
vírus, ou seja, antes de acessar outros dispositivos, devem ser comprovados
nestas condições;
Proteção de dados: Caracteriza-se na utilização de dispositivos de
armazenamento com auto criptografia para proteger dados confidenciais por
meio de criptografia, que é um mecanismo somente leitura para armazenar
dados no dispositivo, ou um dispositivo que limita a chave de criptografia à
precisão de suas configurações.
5. BIG DATA E IOT
Um dos principais desafios na combinação de Big Data e Internet das Coisas
é a questão da segurança do dispositivo, que costumava ser isolado, mas agora
está conectado. As empresas precisam ter conexões e ambientes seguros e
confiáveis para oferecer suporte a todos os dispositivos conectados.
Ao coletar informações desses dispositivos, certos problemas podem afetar o
desempenho da análise. Por exemplo, os dados podem ser coletados
indiscriminadamente, levando a violações de segurança, problemas de governança,
acesso não autorizado, dados suspeitos e falhas de escalabilidade. Portanto, alguns
métodos de proteção aprimorada devem ser usados, como controle de informações
por meio de autenticação e autorização, acesso de usuário privilegiado, criptografia
de dados (não apenas dados coletados, mas também dados na transmissão),
segurança de API, monitoramento e criação de relatórios. Além disso, ter uma
equipe dedicada é essencial para distinguir responsabilidades e funções, o que é
essencial para manter a segurança geral. (WESTCON, 2018)
Ao mesmo tempo que essas duas tecnologias podem trazer uma série de
benefícios, que mantêm a empresa em uma posição de liderança no mercado,
podem impactar de forma negativa e significativa o negócio, caso não recebam a
devida atenção, pois o desenvolvimento de análises mais eficientes e inteligentes
demandam que a segurança deve fazer parte estratégica de inovação da empresa.
419
420
421
422
423
424
425
426
427
428
429
430
431
432
433
434
435
436
437
438
439
440
441
442
443
444
445
446
447
448
449
6. CONCLUSÃO
Com o crescimento tecnológico, maiores possibilidades e necessidades
aparecem a cada dia, e isto não ficou diferente com a IoT, que tem como foco
conectar todos os dispositivos através da internet, proporcionando a troca de
informações e realização de tarefas com o mínimo de fator humano possível,
tornando-se mais rápido, seguro e automatizado. As previsões de crescimento para
o Brasil nesta área são positivas, porém é necessário ultrapassar algumas barreiras
que atualmente atrapalham sua implementação, como regulamentos, tributos,
segurança, custos de operação e sindicatos conservadores. Mesmo sendo um
assunto que se tornou centro das atenções nos últimos anos, podemos observar que
existem barreiras, desafios e dificuldades que necessitam ser superadas para que
esta tecnologia possa ser aplicada por todo o mundo.
A utilização de IPV6 ao invés do ultrapassado IPv4 é necessária, no entanto,
é preciso padronizar a comunicação para tornar a IoT possível. A segurança é um
dos maiores problemas enfrentados atualmente, tornando necessário inovar para
criar ferramentas, conceitos ou equipamentos que possam garantir a segurança de
dispositivos. Criptografia mais complexa pode ser utilizada para aumentar a
segurança, bem como firewall, monitoramento, gerenciamento e acesso controlado,
garantindo a segurança de dentro para fora e vice-versa. Contudo, é necessário
aprimorar o hardware dos dispositivos para garantir que os mesmos não afetem o
desempenho geral. Assim, é possível identificar que existe muito trabalho a ser
realizado, com foco em inovação para criar novos conceitos e tendências que
possam ultrapassar estas barreiras e viabilizar o IoT por todo o mundo, diminuindo
suas rejeições e receios, aumentando seus resultados.
6.1. LIMITAÇÕES DO ESTUDO
Este estudo descreveu o funcionamento e a segurança da Internet das Coisas
a partir de artigos e livros.
O tempo foi um elemento crucial, pois todos tivemos muito pouco tempo
devido ao trabalho e tarefas demasiadas propostas nessa pandemia inesperada,
muitas vezes cansado do trabalho.
450
451
452
453
454
455
456
457
458
459
460
461
462
463
464
465
466
467
468
469
470
471
472
473
474
475
476
477
478
479
Afinal eu trabalho o dia todo sentado em frente ao computador não muito
confortável e durante a noite temos a aula online, muita das vezes eu só queria me
deitar assim que aula terminasse para poder descansar, mas a força de vontade
para terminar o quanto antes era sempre mais forte.
Tive um pouco de dificuldade no início de encontrar boas fontes de conteúdo,
mas graças a Deus com o passar do tempo consegui desenvolver bem o trabalho,
esse é o primeiro TCC que faço e espero ter mais facilidade para fazer outros de
agora em diante.
Creio que tudo isso impactou no TCC, pois desejava muito ter adicionado um
estudo ou proposto um trabalho mais aprofundado de como é o funcionamento de
uma assistente virtual como Amazon Echo e Google Home, afinal o uso desses
dispositivos está crescendo cada vez mais em nossa sociedade por conta da
indústria 4.0.
6.1. TRABALHOS FUTUROS
Em trabalhos futuros, pretendo me aprofundar e enaltecer os problemas com
a Segurança da Informação no geral pois é um assunto que sempre será atual,
importante e necessário. Mostrando para cada vez mais pessoas a importância que
seus dados possuem nas redes mundiais.
REFERÊNCIAS BIBLIOGRÁFICAS
ALDER, S. P. 89 Percent of Healthcare Organizations Have Experienced a Data Breach. HIPAA Journal, 2016. Disponível em: <https://www.hipaajournal.com/ponemon-89-pc-healthcare-organizations-experienced-data-breach-3430/>. Acessado em: 28/10/2020.
BORGOHAIN, T.; KUMAR, U.; SANYAL, S. “Survey of Security and Privacy Issues of IoT,” p. 1–7, 2012.
BUYUKAKKASLAR, M. T.; ERTURK, M. A.; AYDIN, M. A.; VOLLERO, L., “LoRaWAN as an e-Health Communication Technology” Proc. - Int. Comput. Softw. Appl. Conf., vol. 2, p. 310–313, 2017.
480
481
482
483
484
485
486
487
488
489
490
491
492
493
494
495
496
497
498
499
500
501502503504
505506
507508509
CISCO. Número de Dispositivos X Número de Pessoas. 2011. Disponível em: https://www.cisco.com/c/dam/global/pt_br/assets/executives/pdf/internet_of_things_iot_ibsg _0411final.pdf. Acessado em 10/10/2020.
CHOI, H.; Kim, N.; CHA, H., “6LoWPAN-SNMP: Simple network management protocol for 6LoWPAN” 2009 11th IEEE Int. Conf. High Perform. Comput. Commun. HPCC 2009, p. 305–313, 2009.
DECUIR, J., “Bluetooth Smart Support for 6LoBTLE: Applications and connection questions” IEEE Consum. Electron. Mag., vol. 4, no. 2, p. 67–70, 2015.
ECMA. “Near Field Communication - Interface and Protocol (NFCIP-1)” no. Jun. p. 52, 2013.
ENISA. Baseline Security Recommendations for IoT in the context of Critical Information Infrastructures. 2017.
ENISA. Good Practices for Security of Internet of Things in the context of Smart Manufacturing. 2018.
ERGEN, S. C., “ZigBee/IEEE 802.15. 4 Summary”. UC Berkeley, Sept., vol. 10, p. 3, 2004.
GARCIA, M. “RFC 8576: Internet of Things (IoT) Security: State of the Art and Challenges,” p. 1–50, 2019.
KRUSHANG, S.; UPADHYAY, H., “A survey on Internet of Things”, Int. J. Eng. Res. Dev., vol. 10, no. 11, p. 58–63, 2014.
LAVRATTI, F., Infográfico de alguns protocolos de rede para IoT embarcados, 2016. Disponível em: https://www.embarcados.com.br/infografico-protocolos-de-rede-para-iot/ . Acessado em: 10/11/2020.
LEITE, J. R. E.; MARTINS, P. S.; URSINI, E. A Internet das Coisas (IoT): Tecnologias e Aplicações. In: BRAZILIAN TECHNOLOGY SYMPOSIUM, 2017, Campinas - São Paulo. Proceedings [...]. [S. l.: s. n.], 2017. DOI ISSN 2447-8326. Disponível em: <http:// lcv.fee.unicamp.br/images/BTSym-17/Papers/76926.pdf>. Acessado em: 02/10/2020.
MICROSOFT AZURE." O que é middleware?", Microsoft Azure, 2020. Disponível em: https://azure.microsoft.com/pt-br/overview/what-is-middleware/ . Acessado em: 17/11/2020.
PARK, S. S., “An IoT application service using mobile RFID technology”, Int. Conf. Electron. Inf. Commun. ICEIC 2018, vol. 2018-Jan., p. 1–4, 2018.
PLANALTO. LEI Nº 13.709 DE 14 DE AGOSTO DE 2018. Planalto, 2018. Disponível em: <http://www.planalto.gov.br/ccivil_03/_ato2015-2018/2018/lei/L13709.htm>. Acessado em: 08/10/2020.
510511512
513514515
516517
518519
520521
522523
524525
526527
528529
530531532
533534535536537
538539540
541542
543544545
PLANALTO. LEI Nº 13.853 DE 08 DE JULHO DE 2019. Planalto, 2019. Disponível em: http://www.planalto.gov.br/ccivil_03/_Ato2019-2022/2019/Lei/L13853.htm#art1 Acessado em: 27/11/20.
POSTCAPES. Diagrama de conectividade. Postscapes 2020. Disponível em: ttps://www.postscapes.com/internet-of-things-technologies/. Acessado em: 25/10/2020.
POSTSCAPES. IoT. 2019. Disponível em: <https://www.postscapes.com/iot/>.. Acessado em: 28/10/2020.
RZEPECKI, W.; IWANECKI, L.; RYBA, P., “IEEE 802.15.4 thread mesh network - Data transmission in harsh environment”, Proc. - 2018 IEEE 6th Int. Conf. Futur. Internet Things Cloud Work. W-FiCloud 2018, p. 42–47, 2018.
STOUFFER, R. C.; KEITH A. “Measuring Impact of Cybersecurity on the Performance of Industrial Control Systems”, NIST, 2014. Disponível em: https://www.nist.gov/publications/measuring-impact-cybersecurity-performance-industrial-control-systems. Acesso em 20 de out. de 2020.
WAHER, Peter. Learning Internet of Things. 1. ed. [S.l.]: Packt Publishing, v. 1, 2015.
WESTCON. Qual a Relação entre Big Data e IoT? 2018. Disponível em: https://blogbrasil.westcon.com/qual-a-relacao-entre-big-data-e-iot. Acessado em 03/11/2020.
WU, T. Y.; LEE, W. T., “The research and analysis for rear view transmission based on ieee 802.11 wireless network,” Proc. - 2014 10th Int. Conf. Intell. Inf. Hiding Multimed. Signal Process. IIH-MSP 2014, no. Ieee 802, p. 646–649, 2014.
546547548
549550551
552553
554555556
557558559560
561562
563564565
566567568