Resumo do Webinar: Vamos dar uma olhada rápida nos desafios peculiares da Internet das Coisas, os principais ataques e examinar os requisitos para um desenvolvimento seguro.
Convidado: Daniel Quadros – Engenheiro Eletrônico, sócio-fundador do Garoa Hacker Clube e posta regularmente em seu blog DQSoft
Link do Embarcados: https://www.embarcados.com.br/webinars/webinar-iot-o-s-e-de-seguranca/
Webinar: Utilizando o Yocto Project para automatizar o desenvolvimento em Lin...
Segurança em IoT: Engenharia Segura e Proteção de Dispositivos
1.
2.
3. Agenda
• Um pouco sobre IoT
• Porque segurança é um ponto secundário em IoT
• Alguns ataques a IoT
• Protegendo IoT - Engenharia Segura
• Autenticação e Autorização
• Privacidade
• Conclusão
4. O que é IoT?
Internet das Coisas (ou Trecos)
E o que é uma “Coisa”?
Dispositivo inteligente conectado cuja finalidade principal é ser um
sensor ou atuador do mundo físico
5. Características de um sistema IoT
• Diversidade de aplicações: eletrodomésticos, automação
residencial, automação industrial, medição remota, wearables,
transporte, etc.
• Quantidade grande de dispositivos
• Dispositivos com recursos limitados
• Comunicação (normalmente via rádio)
6. Arquitetura de um sistema IoT
“Coisas”
“Coisas”
Gateway
Gateway
“Internet”
Servidores
Gerenciamento
Usuários
7. Porque segurança não é prioridade
• Quem desenvolve IoT
• Fabricantes sem experiência com segurança em informática
• Startups
• Makers
• Segurança pode significar outra coisa para o fabricante (safety vs
cyber-security)
• Falta de visibilidade dos riscos
• Segurança não costuma ser prioridade no desenvolvimento
8. Ataques a IoT
• Busca e mapeamento de dispositivos
• Uso de dispositivo IoT como ponte para acesso a outros dispositivos
• Interceptação de comunicações
• Ataques à comunicação (DOS, jamming)
• Ataques a criptografia (algoritmos e chaves)
• “Clonagem” de dispositivos ou servidores
• Ataques a aplicação ou sistema operacional
• Ataques à atualização de firmware
• Escalada de privilégios
• Ataques à segurança física
9. Protegendo IoT: Engenharia Segura
• Modelagem das ameaças
• Avaliação de privacidade e segurança física
• Compliance
• Processos e acordos seguros
• Escolha da tecnologias
• MCU
• SO
• Criptografia
• Autenticação e Autorização
• Monitoração e Gerenciamento do Sistema
10. Protegendo IoT: Engenharia Segura
• Treinamento em segurança
• Revisão de código
• Verificação e validação
• Teste específicos de segurança
• Garantir o uso de configurações seguras
• Gerenciamento de usuários
• Tratamento de incidentes
• Inventário de dispositivos, descarte seguro
11. Protegendo IoT: Criptografia
• Usar padrões
• Estar ciente das limitações das criptografias nos protocolos
• Atenção na criação e armazenamento de chaves
• Hardware pode ser um limitante
12. Autenticação e Autorização
• Autenticação: provar identidade
• Credenciais: senha, chaves, certificados
• Dificuldades no uso de certificados em dispositivos IoT
• Autorização: definir o que cada um pode fazer
• Gerenciamento de usuários (criação, atualização, revogação)
• Validade das credenciais
• O que fazer em caso de vazamento?
13. Privacidade
• Muitas informações a proteger
• Informações cadastrais
• Posição geográfica
• Padrões de uso
• Informações biométricas
• Identificação pessoal
• Compartilhamento com outras empresas
14. Conclusão
• A superfície de ataque de um sistema IoT é enorme
• (Alto) Volume e (baixa) capacidade dos dispositivos IoT dificulta
• Deve-se incluir a segurança desde o início do projeto
• Não perder de vista a segurança frente a prazos e features
• Preocupação com segurança não termina no final do projeto