Elementos para um IOT mais seguro 2017

Transcript

1. www.nascent.com.br Elementos para um IoT mais Seguro Pensando em Segurança

2. Tchelinux Porto Alegre / 2017 Sean Michael Wykes [email protected] •

   Mestre em Information Engineering pela Universidade de Southampton • 20+ anos de experiência em design e desenvolvimento de projetos pioneiros de sistemas e aplicações seguros baseados em tecnologias como cartões inteligentes e elementos seguros. • Autor do livro “Criptografia Essencial - a Jornada do Criptógrafo”.

3. Tchelinux Porto Alegre / 2017 PORQUE A SEGURANÇA É IMPORTANTE?

   I o T

4. Tchelinux Porto Alegre / 2017 I o T União entre

   MUNDOS Lógica, Virtual INTERNET Físicos THINGS

5. Tchelinux Porto Alegre / 2017 União Colisão entre MUNDOS Lógica,

   Virtual INTERNET Físicos THINGS I o T

6. Tchelinux Porto Alegre / 2017 Prioridades Origem: SISTEMAS EMBARCADOS ü

   Eficiência Energética ü Confiabilidade (fail-safe) mas não .. Segurança da Informação ü Custo (~$1 por CPU) ü Funcionalidade I o T

7. Tchelinux Porto Alegre / 2017 Marca-passos Protocolo decodificado Aplicou choque

   de 850V remotamente Carros Jeep Cherokee hackeado remotamente Controlados freios, aceleração .. Wearables Fitbit e cia Máquinas de Lavar! LG SmartThinQ 4/11/2017 MIRAI Botnet Hackeados 200k+ Cameras de IP Ataque de DDOS > 1Tb/segundo BYOD nas empresas Já desistimos… STUXNET et al Sistemas de Controle Industrial - SCADA Lâmpadas Philips ’Hue’ Infectado a partir de um drone! IoT – Algumas Falhas de Segurança

8. Tchelinux Porto Alegre / 2017 AMEAÇAS À SEGURANÇA I o

   T

9. Tchelinux Porto Alegre / 2017 Arquitetura Típica Gateway Sensores /

   Atuadores Servidor Usuários

10. Tchelinux Porto Alegre / 2017 Como Identificar as Ameaças? Gateway

    Sensores / Atuadores Servidor Usuários Ameaça? É preciso utilizar uma metodologia Ameaça? Ameaça? Ameaça? Ameaça? Ameaça? Ameaça?

11. Tchelinux Porto Alegre / 2017 Modelagem de Ameaças S T

    R I D E poofing ampering epudiation nformation Disclosure enial of Service scalation of Privileges

12. Tchelinux Porto Alegre / 2017 Modelagem de Ameaças S T

    R I D E Personificação Modificação Repúdio Vazamento de Informações Negação de Serviço Escalação de Privilégios

13. Tchelinux Porto Alegre / 2017 Mapeamento das Ameaças Gateway Sensores

    / Atuadores Servidor Usuários D.I.R.T. S.I.T.E. S.I.T.E. S.I.T.E. D.I.R.T. S.I.T.E. D.I.R.T. D.I.R.T. Negação de Serviço Vazamento Repúdio Modificação S.I.T.E. Personificação/clonagem Vazamento Modificação Escalação de Privilégios Lembre-se: IoT é muito diversificado, as ameaças podem variar

14. Tchelinux Porto Alegre / 2017 PROJETANDO PARA A SEGURANÇA I

    o T

15. Tchelinux Porto Alegre / 2017 Thinking para Desenvolvedores Security

16. Tchelinux Porto Alegre / 2017 L Proteção de Dados Locais

    U Autenticação de Usuários D Datagramas Seguros I Identidades Criptográficas C Canais Seguros Modelagem de Serviços Seguros

17. Tchelinux Porto Alegre / 2017 Serviços mapeados na Arquitetura Gateway

    Sensores / Atuadores Servidor Usuários C.I.D. L.U.D.I. L.U.D.I. L.U.D.I. C.I.D. L.U.D.I. C.I.D. L.U.D.I. Proteção de Dados Locais Autenticação de Usuário Datagramas Seguros Identidades Criptográficas C.I.D. Canais Seguros Identidades Criptográficas Datagramas Seguros

18. Tchelinux Porto Alegre / 2017 • Secure by Design •

    Hardened Configurations • Secure Updates • Unique Credentials per Device • Cryptography ** BITAG Internet of Things Security and Privacy Recommendations NOV/2016 • Projetar para Segurança • Configurações Seguras • Atualizações Seguras • Credenciais Únicas por Dispositivo • Criptografia IoT : Recomendações de Segurança**

19. Tchelinux Porto Alegre / 2017 19 Encriptação Comunicações, Controles e

    Configurações Credenciais Únicas Autenticação forte e mútua Atualizações Seguras Atualizações assinadas digitalmente Armazenamento Seguro Chaves, certificados e configurações Segurança Aplicada D C L I U

20. Tchelinux Porto Alegre / 2017 Lembrete: Segurança envolve todas as

    partes Plataforma Aplicação Usuário

21. Tchelinux Porto Alegre / 2017 Lembrete: Segurança envolve todas as

    partes Plataforma Aplicação Usuário

22. Tchelinux Porto Alegre / 2017 Obrigado! [email protected] https://www.linkedin.com/in/seanwykes/ Uma marca

    Nascent https://cryptographix.org/explore

23. Tchelinux Porto Alegre / 2017 Bienal do Livro, 2016 https://CriptografiaEssencial.com.br

24. Tchelinux Porto Alegre / 2017 Processo Seletivo 2018 Bolsas de

    Estudo para Curso de Desenvolvimento Seguro https://cryptographix.org Deixe o seu nome e e-mail

25. Tchelinux Porto Alegre / 2017 Elemento Seguro & TEE Proteções

    • Lógica crítica da aplicação embarcada • Armazenamento Seguro • Criptografia e Chaves • Proteções físicas, elétricas e lógicas “Elemento Seguro”

26. Tchelinux Porto Alegre / 2017 Modelo de Serviços Criptográficos de

    Segurança ** 26 L U D I C Modelagem de Serviços Seguros

27. Tchelinux Porto Alegre / 2017 Cryptographic Keys Keys must be

    kept secure Secret Keys. Private Keys from Public/Private Key Pairs How? Secure Key Storage Secure Cryptographic Functions + Tamper Resistance (TR,FI) + Side Channel Resistance (SCA) 27 IoT devices are often PHYSICALLY accessible and susceptible to: Probing, Glitching & Interference, Reverse- engineering, Monitoring and Modification