Desafios à deteção de intrusões nas cidades inteligentes

Henrique SantosCAlg/UM

1LOGO

Sumário

• Introdução– Smart Cities e as TIC

• SegInfo e sua evolução– Principais ameaças no âmbito das SCs

• Sistemas de Deteção de Intrusões– Perspetiva evolutiva– Novos desafios à implementação

• Conclusões

2

Introdução

3

Ubiquitous Computing

Wireless Sensor Networks (WSN)Ambient Intelligence (AmI)

Pervasive Computing

RFID → Smart ObjectsMachine-to-Machine communication (M2M)

Web of Things (WoT)Social Web of Things (SWT)

Internet (IPv4) … Internet of Things (IPv6)

Future Internet

Smart Cities e as TIC

4

Fonte: http://www.smartcity.center/en/

Fatores críticos:‐ Gestão e organização‐ Tecnologia‐ Governação‐ Contexto político‐ Pessoas e comunicações‐ Economia‐ Infraestruturas‐ Ambiente natural

Smart Cities e as TIC

5

(Kozlov, 2014)

Smart Cities e as TIC

6

https://www.gartner.com/doc/2816917

Drivers relevantes para as Smart Cities

Segurança da Informação

• Proteger a informação e os Sistemas de Informação do  que não é (deve ser) autorizado quanto a:– Acesso– Utilização – Divulgação– Modificação– Destruição– Interrupção– … Fonte: http://en.wikipedia.org/wiki/Information_security, 2010

Tende a permanecer ao longo do tempo

7

Quais são as ameaças?

• Terrorismo e Crime organizado• Erros e falhas humanas• Erros e falhas técnicas• Atentados contra a Propriedade Intelectual• Várias formas de

ludibriação• Roubo• Fraude• Degradação da QoS• Coação física e

psicológica• Acidentes naturais• Privacidade• …

Alteram‐se com frequência

8

Quais são as ameaças?

9

Fonte: H.F. Lipson, CERT Coordination Center, CMU/SEI-2002-SR-009

Origem das vulnerabilidades

• Sistemas informáticos, terminais de comunicação e componentes de redes– Complexidade, flexibilidade, grau de autonomia,

miniaturização, desmaterialização, ubiquidade, interconetividade (…)

– Requisitos não funcionais incompletos (o que o sistema não deve fazer?)

• Comportamentos inadequados dos utilizadores

10

Complexidade nas Smart Cities

• Novas interconexões (sensor networks)– “Things” ↔ Pessoas– “Things” ↔ Servidores– “Things” ↔ “Things”

• Dispositivos com recursos limitados (computação e energia)

• Exigências regulamentares (e.g., veículos, nos EUA)

11

Comportamentos indevidos

12

http://www.veooz.com/photos/uH9xpw3.html

Principais ameaças

• Ataques ao nível das WSN– DoS– Sinkhole/Blackhole– Reencaminhamento seletivo– Replicação de nós– HELLO flood– Wormhole– Sybil– Manipulação de reprogramação– Homing– Alteração de prioridades (neglet and greed)– Atraso forçado– …

13

(Abduvaliyev, 2013)

Principais ameaças

• Privacidade e confidencialidade– Smart meters, videovigilância, monitorização de

“atividade”,…• Integridade e disponibilidade

– Os dispositivos e tecnologias de interligação (IoT, 6LoWPAN, WSN, CoAP, RPL, Contiki OS…) apresentam níveis de segurança “aceitáveis” para aplicações “críticas”? (e.g., edifícios inteligentes, monitorização de transportes, monitorização de sinais críticos de saúde)

14

Controlos de Segurança

ISO/IEC 27002:2013 (Code of Practice for InfoSec Management)

14 classes (Cláusulas) –secção 5 a secção 1835 objetivos de controlo114 Controlos de segurançaCerca de metade de natureza tecnológicaOs restantes de natureza organizacional e de gestão

http://www.iso27001security.com/html/27002.html

15

Evolução da SegInfo

16

(Hitchcock, 2005)

Evolução das competências

17

Fonte: Paul Braxton, In-depth: Security Data Science, securitydatascince.org (2012)

Intrusion Detection Systems (IDS)

• Maioria dos controlos operacionais (e.g., Firewalls, Controlo de Acessos) previnem a utilização indevida

• E a má utilização “legítima”? Deve ser detectada… ⇒ IDS– Tipicamente algum SI que procura identificar atividade maliciosa ou

suspeitaArquitectura básica de um IDS • Propriedades relevantes

- Eficiência- Problema da deteção: falsos positivos- Extensibilidade- Adaptabilidade

18

hds14

Diapositivo 18

hds14 Não existem IDSs que executem todas as tarefas acima listadashsantos; 16-12-2011

Intrusion Detection Systems (IDS)

• Tipos de IDS (função característica)– Baseados em Redes

• Componente isolado que monitoriza o tráfego de uma rede

– Baseados em Computadores• Correm num computador, observando o seu

comportamento(log analyzers; file integrity checkers;…)

• Tipos de IDS (arquitectura)– Centralizada– Descentralizada (árvore; cluster; hierárquica)

19

hds15

Diapositivo 19

hds15 - Os IDS baseados em assinaturas (comercialmente já bastante banalizados) tem o inconveniente de só detectar ataques conhecidos. Um atacante experiente consegue alterar ligeiramente um ataque, por forma a que ele deixe de ser detectadopelo IDS- Os IDS baseados em Anomalias são mais robustos no que respeita à sua resistência a ataques novos ou pequenas variações de ataques conhecidos. Contudo, a sua necessidade de, continuamente, ajustar o modelo de actividade normal para se ajustar a normais alterações dos utilizadores legítimos, conduzem a uma nova vulnerabilidade. Um atacante experientes consegue, com ligeiras modificações, viciar o IDS levando-o a aceitar um novo ataque com parte integrante do modelo normal de comportamento!hsantos; 16-12-2011

Intrusion Detection Systems (IDS)

• Tipos de IDS (operação)– Baseados em Assinaturas

• Verificação de padrões associados a ataques conhecidosSNORT; IDIOT; STAT; …

– Baseados em Anomalias – Heurísticos• Modelo de comportamento normal ou

aceitávelIDES

– Baseados na especificação• Híbridos

20

hds15

Diapositivo 20

hds15 - Os IDS baseados em assinaturas (comercialmente já bastante banalizados) tem o inconveniente de só detectar ataques conhecidos. Um atacante experiente consegue alterar ligeiramente um ataque, por forma a que ele deixe de ser detectadopelo IDS- Os IDS baseados em Anomalias são mais robustos no que respeita à sua resistência a ataques novos ou pequenas variações de ataques conhecidos. Contudo, a sua necessidade de, continuamente, ajustar o modelo de actividade normal para se ajustar a normais alterações dos utilizadores legítimos, conduzem a uma nova vulnerabilidade. Um atacante experientes consegue, com ligeiras modificações, viciar o IDS levando-o a aceitar um novo ataque com parte integrante do modelo normal de comportamento!hsantos; 16-12-2011

Intrusion Detection Systems (IDS)

• Técnicas para deteção de anomalias– Baseadas em modelos estatísticos– Algoritmos de clustering– Inspiradas no sistema imunitário– Baseadas em Machine Learning– Baseadas na teoria de jogos

21

SIEM (SecInfo Event Manager)

• Framework para deteção de intrusões e gestão de eventos. Exemplo: OSSIM– NIDS: Snort– HIDS: Osiris; OSSEC; Snare– Análise de vulnerabilidades: Nessus– Pesquisa e inventário: Nmap; OCS– Deteção de anomalias: Spade; p0f; Pads; Arpwatch– Monitor de rede: Ntop; Tcptrack; Nagios– Monitor de logs: Ntsyslog; Syslog; Snarewindows– Coletor de sistemas: Cisco PIX; IPTables; IIS Colector; Apache

Colector– Antivírus: ClamAv

22

Desafios na implementação em SCs

• Simulações e análise de dados (aprendizagem)

• Estudos de eficiência (energética e de recursos)

• Qual a estrutura adequada numa SC?• A que nível (ou níveis) de abstração deve(m)

operar?• Adaptação à mobilidade• Impacto do IPv6 e a IoT

23

Conclusões

• As SCs apresentam um contexto bastante complexo para a SegInfo– Arquitetura dos IDS

• Tecnologias de deteção de intrusões já bastante maduras– Tendência para deteção baseada na análise dados

• Recolha de dados para construção de modelos é um enorme desafio

• Limitação de recursos, questões energéticas e impacto de tecnologias emergentes, carecem de mais estudos

24

25

Obrigado pela vossa atenção. Questões?

Bibliografia

• Kozlov, D., et al., "Security and privacy threats in IoT architectures." Proceedings of the 7th International Conference on Body Area Networks. ICST (Institute for Computer Sciences, Social-Informatics and Telecommunications Engineering), 2012

• Elmaghraby, A., et al., "Cyber security challenges in Smart Cities: Safety, security and privacy." Journal of Advanced Research (2014).

• Abduvaliyev, Abror, et al. "On the Vital Areas of Intrusion Detection Systems in Wireless Sensor Networks." IEEE Communications Surveys and Tutorials 15.3 (2013): 1223-1237.

• Raza, Shahid, Linus Wallgren, and Thiemo Voigt. "SVELTE: Real-time intrusion detection in the Internet of Things." Ad hoc networks 11.8 (2013): 2661-2674.

• Garcia-Teodoro, Pedro, et al. "Anomaly-based network intrusion detection: Techniques, systems and challenges." computers & security 28.1 (2009): 18-28.

• Lipson, Howard F. Tracking and tracing cyber-attacks: Technical challenges and global policyissues. No. CMU/SEI-2002-SR-009. CARNEGIE-MELLON UNIV PITTSBURGH PA SOFTWARE ENGINEERING INST, 2002.

--------------------------------------------------------• City Science, http://cities.media.mit.edu/ (visitado em julho, 2014)• Smart Cities and Communities, http://ec.europa.eu/eip/smartcities/ (visitado em julho, 2014)• Smart City, http://en.wikipedia.org/wiki/Smart_city (visitado em agosto, 2014)• Smartcities, http://www.smartcities.info/ (visitado em agosto, 2014)• Information security standards, http://www.iso27001security.com/index.html (visitado em

setembro, 2014)

26