Panorama de Segurança na Internet das Coisas

Nichols Aron Jasper - Novembro/2015

2

Agenda

06

1. Definições Importantes

2. Cenário Atual

3. Ameaças

4. Vulnerabilidades

5. Desafios de Segurança

6. Será que devemos nos preocupar?

7. Controles de Segurança

8. Simulação – Firmware de um IoT

9. Observação importante

10.Aprofundamento

3

1. Definições

• A Internet das Coisas ou Internet of Things

(IoT) se refere à rede de objetos físicos

que contém tecnologias para se comunicar

e interagir com demais objetos, ou o

ambiente externo, através das redes de

computadores.*

• Internet das Coisas se refere a um

desenvolvimento da Internet no qual

objetos do cotidiano possuem

conectividade de rede, permitindo o envio

e recebimento de dados.**

*Fonte: Gartner - http://www.gartner.com/it-glossary/internet-of-things/

**Fonte: Oxford - http://www.oxforddictionaries.com/definition/english/internet-of-things

4

1. Definições

Fonte: http://electronicdesign.com/iot/understanding-protocols-behind-internet-things

5

1. Definições

• M2M – Comunicações Machine-to-machine (M2M) - é o nome dado aouso de transmissão automatizada dedados e/ou métricas entre dispositivoseletrônicos ou mecânicos.

• São características de um SistemaM2M

Operação de dispositivos em campo.

Comunicação de rede (com fio / sem fio)em um mais protocolos (Wi-Fi, ZigBee,WiMAX, wireless LAN (WLAN), genericDSL (xDSL), fiber to the x (FTTx), etc

Sensores embarcados para coleta dedados.

• As tecnologias M2M são apenas umaparte do conceito de IoT.

Fonte: http://www.gartner.com/it-glossary/machine-to-machine-m2m-communications

6

1. Definições

• As “coisas” são dispositivos que um identificadorúnico, um sistema embarcado e tem capacidade dese conectar a uma rede e transmitir dados,podendo até estar integrados a seres humanos eanimais.*

• Eles compartilham algumas características.• Inteligentes (Software)

• Ubíquos (“Onipresente”)

• Conectados (Redes)

• Conscientes (Sensores ou Atuadores)

*Fonte: http://whatis.techtarget.com/definition/Internet-of-Things

7

1. Definições

Dispositivos

Redes

ServiçosEcossistema

8

1. Definições

1º Vídeo

Estamos numa nova fase – TV Cultura

10

2. Cenário Atual

Fonte: Gartner Hype Cycle for Emerging Technologies, 2015

11

2. Cenário Atual

Fonte: http://tctechcrunch2011.files.wordpress.com/2013/05/internetofthings2.jpg

12

2. Cenário Atual

Fonte: Security_Guidance_for_Early_Adopters_of_the_Internet_of_Things – CSA Alliance

13

2. Cenário Atual

Fonte: Insecurity in the Internet of Things - https://www.elevenpaths.com/wp-content/uploads/2015/10/TDS_Insecurity_in_the_IoT.pdf

14

Ameaças IoT

3. Ameaças

Malware

Violação de Privacidade

Danos a pessoas

Negação de Serviço

Perdas Financeiras / Fraudes

Backdoors

15

4. Vulnerabilidades – Owasp IoT Project (2014)

1. Interface Web insegura.

2. Falha nos processos de autenticação e autorização.

3. Serviços de rede inseguros.

4. Ausência de proteção no transporte de informações.

5. Falhas na proteção da privacidade.

6. Interface Cloud insegura.

7. Interface Mobile insegura.

8. Mecanismos de segurança insuficientes

9. Atualizações inseguras de software e firmware.

10.Segurança física insuficiente.

Fonte: https://www.owasp.org/index.php/OWASP_Internet_of_Things_Top_Ten_Project#tab=OWASP_Internet_of_Things_Top_10_for_2014

16

4. Vulnerabilidades – IoT – o pior dos mundos?

Rede

Aplicação

Mobile

Cloud

IoT

Serviços, criptografia, firewall

Auth, Autz, Validação de Entradas

APIs inseguras, criptografia fraca

Integração massiva, gestão de privilégios e identidades

Rede + App + Mobile + Cloud

Fonte: Daniel Miessler - Securing the Internet of Things: Mapping Attack Surface Areas Using the OWASP IoT Top 10 – RSA CONF

2015

17

4. Vulnerabilidades – IoT – o pior dos mundos?

Rede

Aplicação

Mobile

Cloud

IoT

Fonte: Daniel Miessler - Securing the Internet of Things: Mapping Attack Surface Areas Using the OWASP IoT Top 10 – RSA CONF

2015

• 10/10 sistemas de segurança aceitam ‘123456’

• 10/10 sistemas de segurança não bloqueiam

usuários

• 10/10 sistemas de segurança permitem

enumeração de serviços

• Serviços de SSH aceitam acesso com root/“”

• 6/10 interfaces web possuem falha de XSS/SQLi

• 70% dos dispositivos não usam nenhuma

criptografia

• 8/10 coletam informações pessoais

• 9/10 não possuem configurações de

autenticação forte

• Transmitem streaming de vídeo sem

autenticação

• Praticamente não existem sistemas de

atualização de software

18

5. Desafios de Segurança

• Dificuldades para atualizar sistemas

vulneráveis.

• Dispositivos operando fora do perímetro, as

vezes a quilômetros de distância.

• Grande quantidade de fornecedores e padrões.

• Baixa maturidade em segurança.

• Baixo custo – muitos dispositivos são

“descartáveis”.

• Restrições nativas dos equipamentos

(memória, processamento e rede).

• Controles e modelos tradicionais de segurança

podem não ser aplicáveis.

• Provisionamento da largura de banda ainda é

um desafio.

19

6. Será que devemos nos preocupar?

20

6. Será que devemos nos preocupar?

21

6. Será que devemos nos preocupar?

Fonte: http://www.defenseone.com/technology/2015/04/how-hack-military-

drone/111391/

22

6. Será que devemos nos preocupar?

Fonte: http://community.hpe.com/t5/Security-Research/Hacking-my-smart-TV-

an-old-new-thing/ba-p/6645844

23

6. Será que devemos nos preocupar?

Fonte: https://www.incapsula.com/blog/ddos-botnet-soho-router.html

24

6. Será que devemos nos preocupar?

Fonte: http://www.bbc.com/news/technology-34390165

25

6. Será que devemos nos preocupar?

Fonte: http://www.economist.com/news/special-report/21606420-perils-connected-devices-home-

hacked-home e http://www.wired.com/2014/07/hacking-home-alarms/

26

6. Será que devemos nos preocupar?

Fonte: http://www.forbes.com/sites/andygreenberg/2013/07/24/hackers-reveal-nasty-new-car-

attacks-with-me-behind-the-wheel-video/

27

6. Será que devemos nos preocupar?

Fonte: http://www.wired.com/wp-

content/uploads/2014/08/Screen-

Shot-2014-08-05-at-10.08.53-

AM.png

28

7. Controles de segurança IoT

Fonte: Architectural Considerationsin Smart Object Networking- https://www.ietf.org/proceedings/92/slides/slides-92-iab-techplenary-2.pdf

• Realizar exercícios de Modelagemde Ameaças

• Avaliar os controles e estratégias detratamento de riscos

Gestão de Riscos

• Padrões de segurança

• Especificação de requisitos desegurança

Seguir boas práticas de arquitetura

• Realizar testes de intrusãosimulando possíveis atacantes

• Avaliar ciclicamente novasameaças

Aprender com os ataques

29

7. Controles de segurança IoT

• Proteção dos dispositivos

Boot seguro dos dispositivos

Funções de segurança embarcadas (Firewall, IPS)

Atualizações de segurança

Autenticação

Detecção contra adulteração (tampering)

Registros de auditoria (logs)

• Proteção das Comunicações

Segurança no acesso remoto ao dispositivo

Segurança de dados – transmissão e armazenamento

• Gestão de Segurança

Monitoramento dos dispositivos – Security Analytics

Aplicação de políticas de segurança

Fonte: The Internet of Secure Things – What is Really Needed to Secure the Internet of Things? -http://www.iconlabs.com/prod/internet-secure-things-%E2%80%93-what-really-needed-secure-internet-things

30

7. Controles de segurança IoT

Fonte: Symantec - An Internet of Things Reference Architecture

31

8. Simulação – Firmware de um IoT

• Demo – IoT Goat

32

9. Observação Importante

• Quando as empresas irão se importar com

segurança em IoT?

“Only after Internet of Things devices get hacked en masse,

and only after billions of internet-connected devices are

deployed in the wild,” (…)“We know this future is coming,

and there isn’t a lot we can do to stop it. The question I’m

asking myself today, is when that day comes, and it will,

how can we address the IoT problem 5-10 years from now

with billion of those insecure devices in circulation? I don’t

have a good answer yet, but we’ve got time.”

Fonte: Jeremiah Grossman, chief technology officer at WhiteHat Security -http://krebsonsecurity.com/2015/11/the-lingering-mess-from-default-insecurity/

33

10. Aprofundamento

• IEEE - Internet of Things - 12 Webinars http://iot.ieee.org/whats-new/webinars.html

34

10. Aprofundamento

• Coursera - Internet of Things – 19 Cursos https://www.coursera.org/courses/?query=%22internet%20of%20things%22

35

10. Aprofundamento

• FutureLearn - The Internet of Things https://www.futurelearn.com/courses/internet-of-things

36

10. Aprofundamento

• Microsoft Virtual Academy – Fundamentos de IoT https://mva.microsoft.com/pt-br/training-courses/a-internet-das-coisas-fundamentos-de-iot-12622

37

10. Aprofundamento

• CPQD – Webinars / Desafio IoT https://www.cpqd.com.br/midia-eventos/webinars/webinars-iot-internet-das-coisas-programacao/

38

Referências

• Security of things - break for better: Chris Valasek at TED -

https://www.youtube.com/watch?v=ie_JC2tG_G4

• RSA 2015 - IOT: When Things Crawl Into Your Corporate Network

• RSA 2015 - Securing the Internet of Things: Mapping Attack Surface

Areas Using the OWASP IoT Top 10

• Gibi - Inspirando a internet das coisas -

https://iotcomicbook.files.wordpress.com/2013/10/iot_comic_book_speci

al_br.pdf

• Security Guidance for Early Adopters of the Internet of Things (IoT) –

CSA

• Understanding The Protocols Behind The Internet Of Things -

http://electronicdesign.com/iot/understanding-protocols-behind-internet-

things

• Internet of Bad Things -

https://www.lightbluetouchpaper.org/2015/11/13/internet-of-bad-things/