Insecurity of things - Insegurança das Coisas

187 visualizações

Publicada em

Segurança (e falta dela) na Internet das Coisas atual e as necessidades de a aplicar a vários níveis. Focado nas comunicações, dispositivos e serviços.

Apresentada no evento BEST InnovationNow 2016 em Aveiro.

Publicada em: Software
0 comentários
0 gostaram
Estatísticas
Notas
  • Seja o primeiro a comentar

  • Seja a primeira pessoa a gostar disto

Sem downloads
Visualizações
Visualizações totais
187
No SlideShare
0
A partir de incorporações
0
Número de incorporações
67
Ações
Compartilhamentos
0
Downloads
4
Comentários
0
Gostaram
0
Incorporações 0
Nenhuma incorporação

Nenhuma nota no slide

Insecurity of things - Insegurança das Coisas

  1. 1. IoT - Insecurity of Things Insegurança das Coisas João Paulo Barraca <jpbarraca@ua.pt> Imagem: Flickr, Steve Crane
  2. 2. Apresentação • Professor Auxiliar @ DETI.UA • Programação, Informática, redes, Segurança • Investigador/Coordenador de Grupo @ Instituto de Telecomunicações • Redes, IoT, Serviços e Virtualização
  3. 3. Interfaces Processos Plataforma IoT Infraestrutura Telco Dispositivos
  4. 4. 90% dos dispositivos recolhem no mínimo um dado de informação pessoal através do dispositivo, serviços ou aplicação móvel 70% dos dispositivos comunicam sem recurso a cifras 60% dos dispositivos com interface de utilizador são vulneráveis a ataques como XSS e credenciais fracas 80% dos dispositivos, serviços e aplicações falham na exigência da complexidade das senhas 70% dos dispositivos, serviços e aplicações permitem identificar utilizadores enumerando contas Internet of things HPE Security Research Study, Craig Smith and Daniel Miessler, HPE Fortify, June 2014
  5. 5. Hardware SeguroImagem: Tesla Model 3
  6. 6. Hardware Seguro: Riscos • Negação de Serviço • Desativar sistemas • Firmware oficioso • Adicionar/alterar funções • Backdoors • Provocar erros, aceder a informação • Acesso/Manipulação dos dados • Segredos indústriais, provocar erros Imagem: Flickr, Guto Araki
  7. 7. Hardware Seguro: Soluções • Execução Segura de Software • Bootloader cifrado e SO assinado • Mecanismos de limitação de Acesso • Armazenamento Seguro • Cifrar dados com chave única • Módulos seguros • Mecanismo de atualização remota
  8. 8. Bootloader Firmware 1 Firmware 2 Flash & Swtich
  9. 9. Imagem: Flickr, coreforce Comunicações Seguras
  10. 10. Comunicações Seguras: Riscos • Negação da comunicação • Bloquear alarmes/relatórios • Acesso aos dados transmitidos • Obter informação • Alteração dos dados transmitidos • Forjar acontecimentos Imagem: Flickr, Alan Strakey
  11. 11. Comunicações Seguras: Soluções • Usar meios de comunicação fisicamente robustos • Resistentes a interferências • Resistentes à inspeção • Frequency Hopping • Alternar a frequência de emissão (de forma aleatória) • Spread Spectrum • Espalhar comunicações em várias portadoras (frequências) Imagem: Flickr, Anne Petersen
  12. 12. Comunicações Seguras: Soluções • Utilização de cifras seguras • Comunicações cifradas e autenticadas • Chave Partilhada (ex: TLS_PSK_AES_CCM_128) • Dispositivos partilham chave com servidor • Acesso à chave permite decifrar comunicações (passadas e futuras) • Problemas: • pelo menos mais 15-20 KB ROM, 3.9KB RAM • atraso de dezenas/centenas de milisegundos
  13. 13. Comunicações Seguras: Soluções • Chaves Assimétricas (ex: TLS_ECDHE_ECDSA_AES_128_CCM_8) • Servidor/Dispositivo possuem chaves públicas de cada um • Acesso a chaves não compromete comunicações passadas • Problemas: • pelo menos mais 15-20 KB ROM, 4KB RAM • atraso de vários segundos • Gestão de chaves? • Muito mais complexo • Validação de CRL, OCSP, Stapling, RTC, NTP,
  14. 14. Comunicações Seguras: Problemas • Arduino (e companhia) executam MQTT/CoAP • Grande impulsionadores de soluções de IoT • Mas nunca de forma segura! 16Mhz, 32KB ROM, 2KB RAM +----------------------+-----------------+ | | DTLS | | +--------+--------+ | | ROM | RAM | +----------------------+--------+--------+ | State Machine | 8.15 | 1.9 | | Cryptography | 3.3 | 1.5 | | DTLS Record Layer | 3.7 | 0.5 | +----------------------+--------+--------+ | TOTAL | 15.15 | 3.9 | +----------------------+--------+--------+ +----------------------------+---------------+ | Cryptographic functions | Code size | +----------------------------+---------------+ | MD5 | 4,856 bytes | | SHA1 | 2,432 bytes | | HMAC | 2,928 bytes | | RSA | 3,984 bytes | | Big Integer Implementation | 8,328 bytes | | AES | 7,096 bytes | | RC4 | 1,496 bytes | | Random Number Generator | 4,840 bytes | +----------------------------+---------------+https://tools.ietf.org/html/draft-ietf-lwig-tls-minimal-01
  15. 15. Serviços Seguros
  16. 16. Serviços Seguros: Riscos • Acesso massivo a informação • Pacientes, clientes, faturação, conversas • Negação de serviço • Impacto direto no negócio/imagem/faturação • Cloud é opaca por definição • Tudo segue para lá • Não se sabe onde está informação, quem acede Imagem: Flickr, Joaquin Casarini
  17. 17. Serviços Seguros: Soluções • Standardização: ISO 27001 e outros • Autenticação multifactorial • Smart cards, telemóveis, tokens • Separação entre serviços Web e sistemas IoT • E mais barreiras internas • Recolher apenas informação essencial • Atualmente favorece-se a recolha massiva SHIP IT! Imagem: Flickr, bizilica
  18. 18. Segurança em IoT • Tem de ser considerada desde o início • irá alterar toda a interação com o dispositivo • Implica custos bastante superiores • Processadores mais poderosos, mais RAM, mais Flash, . • Implica maior percentagem de falhas • Número de dispositivos muito elevados • 1% de falhas em 1.000.000 são 10.000 dispositivos • Implica ser aplicada a toda a stack • Dispositivos, comunicações, serviços (pessoas, processos, etc..) Imagem: Flickr, Maurits Verbiest
  19. 19. Questões? Imagem: Flickr, Steve Davis

×