Palestra ministrada no Workshop de Segurança da Telefônica em Novembro de 2015 sobre a revolução das "coisas" e os riscos de segurança que acompanham esse novo ecossistema de redes e dispositivos.
Ameaças 4. Vulnerabilidades 5. Desafios de Segurança 6. Será que devemos nos preocupar? 7. Controles de Segurança 8. Simulação – Firmware de um IoT 9. Observação importante 10.Aprofundamento
of Things (IoT) se refere à rede de objetos físicos que contém tecnologias para se comunicar e interagir com demais objetos, ou o ambiente externo, através das redes de computadores.* • Internet das Coisas se refere a um desenvolvimento da Internet no qual objetos do cotidiano possuem conectividade de rede, permitindo o envio e recebimento de dados.** *Fonte: Gartner - http://www.gartner.com/it-glossary/internet-of-things/ **Fonte: Oxford - http://www.oxforddictionaries.com/definition/english/internet-of-things
- é o nome dado ao uso de transmissão automatizada de dados e/ou métricas entre dispositivos eletrônicos ou mecânicos. • São características de um Sistema M2M Operação de dispositivos em campo. Comunicação de rede (com fio / sem fio) em um mais protocolos (Wi-Fi, ZigBee, WiMAX, wireless LAN (WLAN), generic DSL (xDSL), fiber to the x (FTTx), etc Sensores embarcados para coleta de dados. • As tecnologias M2M são apenas uma parte do conceito de IoT. Fonte: http://www.gartner.com/it-glossary/machine-to-machine-m2m-communications
identificador único, um sistema embarcado e tem capacidade de se conectar a uma rede e transmitir dados, podendo até estar integrados a seres humanos e animais.* • Eles compartilham algumas características. • Inteligentes (Software) • Ubíquos (“Onipresente”) • Conectados (Redes) • Conscientes (Sensores ou Atuadores) *Fonte: http://whatis.techtarget.com/definition/Internet-of-Things
Web insegura. 2. Falha nos processos de autenticação e autorização. 3. Serviços de rede inseguros. 4. Ausência de proteção no transporte de informações. 5. Falhas na proteção da privacidade. 6. Interface Cloud insegura. 7. Interface Mobile insegura. 8. Mecanismos de segurança insuficientes 9. Atualizações inseguras de software e firmware. 10.Segurança física insuficiente. Fonte: https://www.owasp.org/index.php/OWASP_Internet_of_Things_Top_Ten_Project#tab=OWASP_Internet_of_Things_Top_10_for_2014
Rede Aplicação Mobile Cloud IoT Serviços, criptografia, firewall Auth, Autz, Validação de Entradas APIs inseguras, criptografia fraca Integração massiva, gestão de privilégios e identidades Rede + App + Mobile + Cloud Fonte: Daniel Miessler - Securing the Internet of Things: Mapping Attack Surface Areas Using the OWASP IoT Top 10 – RSA CONF 2015
Rede Aplicação Mobile Cloud IoT Fonte: Daniel Miessler - Securing the Internet of Things: Mapping Attack Surface Areas Using the OWASP IoT Top 10 – RSA CONF 2015 • 10/10 sistemas de segurança aceitam ‘123456’ • 10/10 sistemas de segurança não bloqueiam usuários • 10/10 sistemas de segurança permitem enumeração de serviços • Serviços de SSH aceitam acesso com root/“” • 6/10 interfaces web possuem falha de XSS/SQLi • 70% dos dispositivos não usam nenhuma criptografia • 8/10 coletam informações pessoais • 9/10 não possuem configurações de autenticação forte • Transmitem streaming de vídeo sem autenticação • Praticamente não existem sistemas de atualização de software
vulneráveis. • Dispositivos operando fora do perímetro, as vezes a quilômetros de distância. • Grande quantidade de fornecedores e padrões. • Baixa maturidade em segurança. • Baixo custo – muitos dispositivos são “descartáveis”. • Restrições nativas dos equipamentos (memória, processamento e rede). • Controles e modelos tradicionais de segurança podem não ser aplicáveis. • Provisionamento da largura de banda ainda é um desafio.
Smart Object Networking- https://www.ietf.org/proceedings/92/slides/slides-92-iab-techplenary-2.pdf • Realizar exercícios de Modelagem de Ameaças • Avaliar os controles e estratégias de tratamento de riscos Gestão de Riscos • Padrões de segurança • Especificação de requisitos de segurança Seguir boas práticas de arquitetura • Realizar testes de intrusão simulando possíveis atacantes • Avaliar ciclicamente novas ameaças Aprender com os ataques
Boot seguro dos dispositivos Funções de segurança embarcadas (Firewall, IPS) Atualizações de segurança Autenticação Detecção contra adulteração (tampering) Registros de auditoria (logs) • Proteção das Comunicações Segurança no acesso remoto ao dispositivo Segurança de dados – transmissão e armazenamento • Gestão de Segurança Monitoramento dos dispositivos – Security Analytics Aplicação de políticas de segurança Fonte: The Internet of Secure Things – What is Really Needed to Secure the Internet of Things? - http://www.iconlabs.com/prod/internet-secure-things-%E2%80%93-what-really-needed-secure-internet-things
importar com segurança em IoT? “Only after Internet of Things devices get hacked en masse, and only after billions of internet-connected devices are deployed in the wild,” (…)“We know this future is coming, and there isn’t a lot we can do to stop it. The question I’m asking myself today, is when that day comes, and it will, how can we address the IoT problem 5-10 years from now with billion of those insecure devices in circulation? I don’t have a good answer yet, but we’ve got time.” Fonte: Jeremiah Grossman, chief technology officer at WhiteHat Security - http://krebsonsecurity.com/2015/11/the-lingering-mess-from-default-insecurity/
Chris Valasek at TED - https://www.youtube.com/watch?v=ie_JC2tG_G4 • RSA 2015 - IOT: When Things Crawl Into Your Corporate Network • RSA 2015 - Securing the Internet of Things: Mapping Attack Surface Areas Using the OWASP IoT Top 10 • Gibi - Inspirando a internet das coisas - https://iotcomicbook.files.wordpress.com/2013/10/iot_comic_book_speci al_br.pdf • Security Guidance for Early Adopters of the Internet of Things (IoT) – CSA • Understanding The Protocols Behind The Internet Of Things - http://electronicdesign.com/iot/understanding-protocols-behind-internet- things • Internet of Bad Things - https://www.lightbluetouchpaper.org/2015/11/13/internet-of-bad-things/