Blockchain no setor elétrico: conceitos, potenciais aplicações e iniciativas
(In)segurança em iot no setor elétrico
1. Conceitos, desafios e cases
(In)Segurança em IoT e o Setor
Elétrico
Abril 2017
José Reynaldo Formigoni Filho, MSc
Gerente de Desenvolvimento de Tecnologias
de Segurança da Informação
3. SEGURANÇA EM IOT: MODELO DE REFERÊNCIA DO ITU
Cidade
Inteligente
Transporte
Inteligente
Edifício
Inteligente
Energia
Inteligente
Indústria
Inteligente
Saúde
Inteligente
Moradia
Inteligente
Camada de suporte de
Serviço e Aplicação
Camada de
conetividade
Camada de
Dispositivos
Camada de
Aplicação
Capacidade de
Gerência
Capacidades
de Rede
Dispositivos Gateways
Capacidades
de Transporte
Suporte
Genérico
Suporte
Específico
Aplicações IoT
Capacidade de
Segurança
Autorização
Confiança e
Reputação
Gestão de Chaves
Criptográficas
Identificação
AutenticaçãoGestão de QoS
Gestão de
Dispositivos
4. DESAFIOS DA SEGURANÇA EM IOT
Grande quantidade de fornecedores e
diversidade dos dispositivos
Baixa maturidade em segurança
Dispositivos de baixo custo
Dificuldades para atualizações
Controles tradicionais não compatíveis
Maior superfície de ataque
5. SEGURANÇA IOT - CAMADA DE DISPOSITIVOS
O fabricante do dispositivo deve ser capaz de atender:
• Desenvolvimento de hardware seguro
• Hardware o mais restritivo possível
• Hardware e software embarcado à prova de
adulteração
• Mecanismos de atualizações segura
Requisitos de segurança para sensores:
• Funcionalidades de identificação e
autenticação
• Criptografia para:
• Integridade de dados armazenados
• Comunicação segura
Estado atual da segurança para dispositivos IoT merece atenção:
• Muitos dispositivos IoT já saem de fábrica com software desatualizado
• Suscetibilidade a software malicioso
• Potencial de persistência (longevidade) dos problemas de segurança e privacidade
• Falta de experiência e cultura de segurança dos fabricantes
6. SEGURANÇA IOT - CAMADA DE CONECTIVIDADE
Principais problemas:
• Vazamentos de dados
• Comunicação não autenticada
• Comunicação não encriptada
• Falta de isolamento de redes
• Falta de autenticação mútua
Os mecanismos de segurança utilizados:
• A segmentação da rede é fundamental para evitar a
propagação de ataques
• Boas práticas para as redes domésticas HAN:
segregação e uso de gateways
• Uso de SDN para alterar o comportamento da rede
dinamicamente
• TLS para a camada de transporte (TCP)
• DTLS para a camada de transporte (UDP)
7. SEGURANÇA IOT - CAMADAS DE SERVIÇOS E
APLICAÇÕES
Barreiras e maturidade:
• Processos de desenvolvimento inseguros
• Falta de cultura de segurança
• Processos de responsabilização dentro de uma cadeia de
fornecedores
• Integração dos processos de segurança contra acidentes e falhas
(safety) e segurança contra ataques (security)
• Processos de validação de segurança
Tendências:
• Troca de informação de segurança
• Divisão de responsabilidade sobre segurança entre os
atores
Tecnologias em destaque:
• Blockchain
• Ambiente de execução confiável (TEE).
9. IMPLANTAÇÃO DE SMART GRID NO BRASIL:
SITUAÇÃO ATUAL
• Pesquisa e
desenvolvimento
• Projetos pilotos
• Recursos
governamentais
Primeira onda
Smart Grid 1.0
• Implantação de estruturas
AMI
• Automação e
monitoramento da rede
Segunda onda
Smart Grid 2.0 •Abordagem multicamada e
multitecnologia
•Integração TI/TO
•Geração distribuída e
armazenamento
•Veículos elétricos
• Big data analytics
Terceira onda
Smart Grid 3.0
Developed
countries
Brasil
11. PRINCIPAIS AMEAÇAS
A mais relevante
ameaça no Brasil
Fraude no consumo de
energia: uma interferência
na infraestrutura de medição
pode possibilitar o não
pagamento da energia
consumida
Exposição à privacidade do
usuário: Pesquisas apontam que os
dados de medição podem revelar
atividades e comportamentos dos
usuários
Propagração de código
malicioso: propagação de
códigos maliciosos sobre a
estrutura AMI (Advanced
Meter Infrastructure)
Ataques à rede para desligamento
em massa do serviço
12. ARQUITETURA AMI - UK
Fonte: Department of Energy & Climate Change - Smart Metering Implementation Programme.
14. REQUISITOS DE SEGURANÇA PARA SMART METER
Requisitos de hardware analisados:
• Mecanismos anti-tampering
• Acesso e identificação de componentes
• Interface JTAG habilitada
• Conexão do PC com a interface óptica do
medidor
Requisitos de software:
• Recuperação do código do firmware
• Análise e recuperação do código do
firmware
• Recuperação dos dados do barramento
de memória
• Proteção dos dados de memória
• Recuperação de chaves criptográficas
• Análise do protocolo de autenticação
15. RESULTADOS
• Testes funcionais: possibilidade de alterações dos
parâmetros de medição via interface óptica
• Testes de segurança:
• Vulnerabilidades de hardware
• Vulnerabilidades de software
16. ARTIGOS E LIVRO
O livro
• Publicado no final de 2016
Artigos internacionais:
• Smart Meters Security Assessment in the Brazilian
Scenario. The Third International Conference on Smart
Grids, Green Communications and IT Energy-aware
Technologies - Lisbon, Portugal. March 24, 2013
• A Fast Attack against a Smart Meter Authentication
Protocol. Proc. of the 3rd International Conference on
Informatics, Environment, Energy and Applications. IEEA
2014. China, 27-28 March, 2014.
• MeterGoat: A Low Cost Hardware Platform for Teaching
Smart Meter Security. ICCGI 2014 - The Ninth International
Multi-Conference on Computing in the Global Information
Technology - Sevilha – Espanha. June 22, 2014
• Implementation Aspects of MeterGoat, a Smart Meter
Security Training Platform. SINCONF 2014 - The 7th
Internation Conference on Security of Information and
Networks - Glasgow - Reino Unido. September 1, 2014
17. IMPLANTAÇÃO DE SMART GRID NO BRASIL:
SITUAÇÃO ATUAL
• Pesquisa e
desenvolvimento
• Projetos pilotos
• Recursos
governamentais
Primeira onda
Smart Grid 1.0
• Implantação de estruturas
AMI
• Automação e
monitoramento da rede
Segunda onda
Smart Grid 2.0 •Abordagem multicamada e
multitecnologia
•Integração TI/TO
•Geração distribuída e
armazenamento
•Veículos elétricos
• Big data analytics
Terceira onda
Smart Grid 3.0
Developed
countries
Brasil
18. APLICAÇÕES NO SETOR ELÉTRICO: GESTÃO DE
ATIVOS
• Controle e monitoramentos de ativos -combinação de redes mesh +
dispositivo IoT + tecnologia blockchain: fornecedor de solução
The Tap is the perfect grab-and-go connectivity device.
•Easily connects to old machinery through diagnostic
and communication ports
•Long-range wireless - up to 10 miles line of sight
between nodes
•Built-in sensors for environmental monitoring
•Integrates with external sensors and devices
•Long-life batteries last for years
19. IMPLANTAÇÃO DE SMART GRID NO BRASIL:
SITUAÇÃO ATUAL
• Pesquisa e
desenvolvimento
• Projetos pilotos
• Recursos
governamentais
Primeira onda
Smart Grid 1.0
• Implantação de
estruturas AMI
• Automação da rede
Segunda onda
Smart Grid 2.0 •Abordagem multicamada e
multitecnologia
•Integração TI/TO
•Geração distribuída e
armazenamento
•Veículos elétricos
• Big data analytics
Terceira onda
Smart Grid 3.0
Developed
countries
Brasil
20. APLICAÇÕES NO SETOR ELÉTRICO: COMPRA E VENDA
DE ENERGIA
Gestão descentralizada da compra e venda de energia na
geração distribuída:
• Em abril de 2016 foi implantado em Nova York o primeiro
sistema blockchain de compra em venda de energia entre
vizinhos sem intermediários.
• Empresas envolvidas no projeto piloto =>
• Necessidade de:
• Análise de impacto nos modelos de negócio das
concessionárias
• Mudança no quadro regulatórios
21. IMPLANTAÇÃO DE SMART GRID NO BRASIL:
SITUAÇÃO ATUAL
• Pesquisa e
desenvolvimento
• Projetos pilotos
• Recursos
governamentais
Primeira onda
Smart Grid 1.0
• Implantação de
estruturas AMI
• Automação da rede
Segunda onda
Smart Grid 2.0 •Abordagem multicamada e
multitecnologia
•Integração TI/TO
•Geração distribuída e
armazenamento
•Veículos elétricos
• Big data analytics
Terceira onda
Smart Grid 3.0
Developed
countries
Brasil
22. COMENTÁRIOS FINAIS
Segurança IoT no Setor Elétrico
• Nos últimos anos as concessionárias
passaram a se preocupar mais ao
assunto
• Com o início das implantações em
escalada comercial de soluções smart
grid, as superfícies de ataques
aumentarão significativamente:
• Monitoramento e automação da
rede
• Smart metering
• VE
• Geração distribuída
• Muitas ações nos EUA e CE para mitigar o
problema
• E o que estamos fazendo no Brasil?
Segurança em IoT:
• Estamos vivendo algo semelhante ao que
aconteceu com TIC na década de 90
• Fabricantes de dispositivo não tem histórico no
desenvolvimento de seguro: necessidade de
mudança de cultura
• As soluções se segurança e privacidade devem
suportar diferentes contextos (casa, trabalho, etc.) e
também escalabilidade e interoperabilidade.
• O sucesso da IoT depende do desenvolvimento de
um ecossistema suportado por um apropriado
arcabouço regulatório e um clima de confiança
onde questões como identificação, privacidade,
segurança e interoperabilidade são essenciais.
• Forte recomendação da utilização da metodologia
“security-by-design”.