Panorama de Segurança na Internet das Coisas

Transcript

1. Panorama de Segurança na Internet das Coisas Nichols Aron Jasper

   - Novembro/2015

2. 2 Agenda 06 1. Definições Importantes 2. Cenário Atual 3.

   Ameaças 4. Vulnerabilidades 5. Desafios de Segurança 6. Será que devemos nos preocupar? 7. Controles de Segurança 8. Simulação – Firmware de um IoT 9. Observação importante 10.Aprofundamento

3. 3 1. Definições • A Internet das Coisas ou Internet

   of Things (IoT) se refere à rede de objetos físicos que contém tecnologias para se comunicar e interagir com demais objetos, ou o ambiente externo, através das redes de computadores.* • Internet das Coisas se refere a um desenvolvimento da Internet no qual objetos do cotidiano possuem conectividade de rede, permitindo o envio e recebimento de dados.** *Fonte: Gartner - http://www.gartner.com/it-glossary/internet-of-things/ **Fonte: Oxford - http://www.oxforddictionaries.com/definition/english/internet-of-things

4. 4 1. Definições Fonte: http://electronicdesign.com/iot/understanding-protocols-behind-internet-things

5. 5 1. Definições • M2M – Comunicações Machine-to- machine (M2M)

   - é o nome dado ao uso de transmissão automatizada de dados e/ou métricas entre dispositivos eletrônicos ou mecânicos. • São características de um Sistema M2M  Operação de dispositivos em campo.  Comunicação de rede (com fio / sem fio) em um mais protocolos (Wi-Fi, ZigBee, WiMAX, wireless LAN (WLAN), generic DSL (xDSL), fiber to the x (FTTx), etc  Sensores embarcados para coleta de dados. • As tecnologias M2M são apenas uma parte do conceito de IoT. Fonte: http://www.gartner.com/it-glossary/machine-to-machine-m2m-communications

6. 6 1. Definições • As “coisas” são dispositivos que um

   identificador único, um sistema embarcado e tem capacidade de se conectar a uma rede e transmitir dados, podendo até estar integrados a seres humanos e animais.* • Eles compartilham algumas características. • Inteligentes (Software) • Ubíquos (“Onipresente”) • Conectados (Redes) • Conscientes (Sensores ou Atuadores) *Fonte: http://whatis.techtarget.com/definition/Internet-of-Things

7. 7 1. Definições Dispositivos Redes Serviços Ecossistema

8. 8 1. Definições 1º Vídeo Estamos numa nova fase –

   TV Cultura

9. 10 2. Cenário Atual Fonte: Gartner Hype Cycle for Emerging

   Technologies, 2015

10. 11 2. Cenário Atual Fonte: http://tctechcrunch2011.files.wordpress.com/2013/05/internetofthings2.jpg

11. 12 2. Cenário Atual Fonte: Security_Guidance_for_Early_Adopters_of_the_Internet_of_Things – CSA Alliance

12. 13 2. Cenário Atual Fonte: Insecurity in the Internet of

    Things - https://www.elevenpaths.com/wp- content/uploads/2015/10/TDS_Insecurity_in_the_IoT.pdf

13. 14 Ameaças IoT 3. Ameaças Malware Violação de Privacidade Danos

    a pessoas Negação de Serviço Perdas Financeiras / Fraudes Backdoors

14. 15 4. Vulnerabilidades – Owasp IoT Project (2014) 1. Interface

    Web insegura. 2. Falha nos processos de autenticação e autorização. 3. Serviços de rede inseguros. 4. Ausência de proteção no transporte de informações. 5. Falhas na proteção da privacidade. 6. Interface Cloud insegura. 7. Interface Mobile insegura. 8. Mecanismos de segurança insuficientes 9. Atualizações inseguras de software e firmware. 10.Segurança física insuficiente. Fonte: https://www.owasp.org/index.php/OWASP_Internet_of_Things_Top_Ten_Project#tab=OWASP_Internet_of_Things_Top_10_for_2014

15. 16 4. Vulnerabilidades – IoT – o pior dos mundos?

    Rede Aplicação Mobile Cloud IoT Serviços, criptografia, firewall Auth, Autz, Validação de Entradas APIs inseguras, criptografia fraca Integração massiva, gestão de privilégios e identidades Rede + App + Mobile + Cloud Fonte: Daniel Miessler - Securing the Internet of Things: Mapping Attack Surface Areas Using the OWASP IoT Top 10 – RSA CONF 2015

16. 17 4. Vulnerabilidades – IoT – o pior dos mundos?

    Rede Aplicação Mobile Cloud IoT Fonte: Daniel Miessler - Securing the Internet of Things: Mapping Attack Surface Areas Using the OWASP IoT Top 10 – RSA CONF 2015 • 10/10 sistemas de segurança aceitam ‘123456’ • 10/10 sistemas de segurança não bloqueiam usuários • 10/10 sistemas de segurança permitem enumeração de serviços • Serviços de SSH aceitam acesso com root/“” • 6/10 interfaces web possuem falha de XSS/SQLi • 70% dos dispositivos não usam nenhuma criptografia • 8/10 coletam informações pessoais • 9/10 não possuem configurações de autenticação forte • Transmitem streaming de vídeo sem autenticação • Praticamente não existem sistemas de atualização de software

17. 18 5. Desafios de Segurança • Dificuldades para atualizar sistemas

    vulneráveis. • Dispositivos operando fora do perímetro, as vezes a quilômetros de distância. • Grande quantidade de fornecedores e padrões. • Baixa maturidade em segurança. • Baixo custo – muitos dispositivos são “descartáveis”. • Restrições nativas dos equipamentos (memória, processamento e rede). • Controles e modelos tradicionais de segurança podem não ser aplicáveis. • Provisionamento da largura de banda ainda é um desafio.

18. 19 6. Será que devemos nos preocupar?

19. 20 6. Será que devemos nos preocupar?

20. 21 6. Será que devemos nos preocupar? Fonte: http://www.defenseone.com/technology/2015/04/how-hack-military- drone/111391/

21. 22 6. Será que devemos nos preocupar? Fonte: http://community.hpe.com/t5/Security-Research/Hacking-my-smart-TV- an-old-new-thing/ba-p/6645844

22. 23 6. Será que devemos nos preocupar? Fonte: https://www.incapsula.com/blog/ddos-botnet-soho-router.html

23. 24 6. Será que devemos nos preocupar? Fonte: http://www.bbc.com/news/technology-34390165

24. 25 6. Será que devemos nos preocupar? Fonte: http://www.economist.com/news/special-report/21606420-perils-connected-devices-home- hacked-home

    e http://www.wired.com/2014/07/hacking-home-alarms/

25. 26 6. Será que devemos nos preocupar? Fonte: http://www.forbes.com/sites/andygreenberg/2013/07/24/hackers-reveal-nasty-new-car- attacks-with-me-behind-the-wheel-video/

26. 27 6. Será que devemos nos preocupar? Fonte: http://www.wired.com/wp- content/uploads/2014/08/Screen-

    Shot-2014-08-05-at-10.08.53- AM.png

27. 28 7. Controles de segurança IoT Fonte: Architectural Considerations in

    Smart Object Networking- https://www.ietf.org/proceedings/92/slides/slides-92-iab-techplenary-2.pdf • Realizar exercícios de Modelagem de Ameaças • Avaliar os controles e estratégias de tratamento de riscos Gestão de Riscos • Padrões de segurança • Especificação de requisitos de segurança Seguir boas práticas de arquitetura • Realizar testes de intrusão simulando possíveis atacantes • Avaliar ciclicamente novas ameaças Aprender com os ataques

28. 29 7. Controles de segurança IoT • Proteção dos dispositivos

     Boot seguro dos dispositivos  Funções de segurança embarcadas (Firewall, IPS)  Atualizações de segurança  Autenticação  Detecção contra adulteração (tampering)  Registros de auditoria (logs) • Proteção das Comunicações  Segurança no acesso remoto ao dispositivo  Segurança de dados – transmissão e armazenamento • Gestão de Segurança  Monitoramento dos dispositivos – Security Analytics  Aplicação de políticas de segurança Fonte: The Internet of Secure Things – What is Really Needed to Secure the Internet of Things? - http://www.iconlabs.com/prod/internet-secure-things-%E2%80%93-what-really-needed-secure-internet-things

29. 30 7. Controles de segurança IoT Fonte: Symantec - An

    Internet of Things Reference Architecture

30. 31 8. Simulação – Firmware de um IoT • Demo

    – IoT Goat

31. 32 9. Observação Importante • Quando as empresas irão se

    importar com segurança em IoT?  “Only after Internet of Things devices get hacked en masse, and only after billions of internet-connected devices are deployed in the wild,” (…)“We know this future is coming, and there isn’t a lot we can do to stop it. The question I’m asking myself today, is when that day comes, and it will, how can we address the IoT problem 5-10 years from now with billion of those insecure devices in circulation? I don’t have a good answer yet, but we’ve got time.” Fonte: Jeremiah Grossman, chief technology officer at WhiteHat Security - http://krebsonsecurity.com/2015/11/the-lingering-mess-from-default-insecurity/

32. 33 10. Aprofundamento • IEEE - Internet of Things -

    12 Webinars  http://iot.ieee.org/whats-new/webinars.html

33. 34 10. Aprofundamento • Coursera - Internet of Things –

    19 Cursos  https://www.coursera.org/courses/?query=%22internet%20of%20things%22

34. 35 10. Aprofundamento • FutureLearn - The Internet of Things

     https://www.futurelearn.com/courses/internet-of-things

35. 36 10. Aprofundamento • Microsoft Virtual Academy – Fundamentos de

    IoT  https://mva.microsoft.com/pt-br/training-courses/a-internet-das-coisas-fundamentos-de-iot-12622

36. 37 10. Aprofundamento • CPQD – Webinars / Desafio IoT

     https://www.cpqd.com.br/midia-eventos/webinars/webinars-iot-internet-das-coisas-programacao/

37. 38 Referências • Security of things - break for better:

    Chris Valasek at TED - https://www.youtube.com/watch?v=ie_JC2tG_G4 • RSA 2015 - IOT: When Things Crawl Into Your Corporate Network • RSA 2015 - Securing the Internet of Things: Mapping Attack Surface Areas Using the OWASP IoT Top 10 • Gibi - Inspirando a internet das coisas - https://iotcomicbook.files.wordpress.com/2013/10/iot_comic_book_speci al_br.pdf • Security Guidance for Early Adopters of the Internet of Things (IoT) – CSA • Understanding The Protocols Behind The Internet Of Things - http://electronicdesign.com/iot/understanding-protocols-behind-internet- things • Internet of Bad Things - https://www.lightbluetouchpaper.org/2015/11/13/internet-of-bad-things/