UNIVERSIDADE FEEVALE

ANDRÉ GUILHERME ATZ DOS SANTOS

SEGURANÇA DA INTENET DAS COISAS

Novo Hamburgo

2016

ANDRÉ GUILHERME ATZ DOS SANTOS

SEGURANÇA DA INTENET DAS COISAS

Trabalho de Conclusão de Curso apresentado como requisito à

obtenção do grau de Especialização

em Segurança de Redes pela Universidade Feevale

Orientador: Me.Vandersilvio da Silva

Novo Hamburgo

2016

AGRADECIMENTOS

Gostaria de agradecer a todas as

pessoas que, de alguma forma, me

ajudaram na realização deste trabalho de

conclusão, em especial:

A todos meus amigos e familiares,

especialmente, aos meus pais, minha

irmã, e a minha namorada por me

incentivarem, acreditarem em mim, e

estarem presentes em todos os

momentos da minha vida.

Agradecimento especial ao meu

Orientador, Me. Vandersilvio da Silva,

pela oportunidade de trabalharmos

juntos, pelas orientações e ensinamentos

que contribuíram substancialmente para

a realização deste e outros trabalhos e,

principalmente, para o meu crescimento

profissional e pessoal. Você sempre será

uma referência para mim. Obrigada por

tudo.

RESUMO

A proliferação de objetos inteligentes com capacidade de monitoramento,

processamento e comunicação tem sido crescente nos últimos anos. Neste cenário, a

Internet das Coisas (Internet of Things (IoT)) surge como sendo uma extensão da internet

atual, habilitando que objetos dos mais variados possíveis, estejam conectados na rede

mundial de dados (Internet) e promovam comunicação transparente entre usuários e

dispositivos. A IoT possui um portfólio imenso de aplicações das quais a indústria pode

se beneficiar, fornecendo mobilidade aos indivíduos e escalabilidade a longo prazo. Por

outro lado, não existem apenas pontos positivos, pois das redes inteligentes emergem

diversos desafios em âmbito social, prático e até teórico como, por exemplo, é necessário

um modo eficiente para endereçar as comunicações seguras entre os sensores destes

equipamentos, nos quais bilhões de objetos inteligentes podem estar vulneráveis a

diversos ataques atuados por black hats que se aproveitam das brechas que a tecnologia

possui, afim de tirar proveito dos usuários.

Enfim, para responder a estas questões é preciso entender as limitações com

problemas, tais como as restrições em relação aos recursos dos objetos inteligentes sendo

(processamento, armazenamento, memória, largura de banda e hardware). Deste modo,

se faz necessário explorar novos paradigmas de comunicação, protocolos de roteamento,

arquiteturas de hardware e software. Além disso, as questões sobre o endereçamento IP e

adaptações devem ser respondidas, para que seja possível conectar os objetos à Internet

mantendo interoperabilidade. No que tange aplicações IoT, outras questões surgem, por

exemplo, como coletar, armazenar, processar e extrair conhecimento de modo eficiente

das informações obtidas dos objetos inteligentes. Neste sentido, o objetivo deste trabalho

é descrever quais os tipos de segurança que estão sendo implementados em IoT; riscos,

ameaças, vulnerabilidades, tudo isso é um grande empecilho para o progresso de IoT em

nossas vidas com segurança. Finalmente, vimos que o grande problema não está

relacionado aos protocolos de segurança, mas sim ás companhias de IoT, que não estão

dando importância suficiente para o requisito segurança; não investindo nos

programadores, recursos e o tempo de testes de segurança nos produtos; pois só querem

produtos novos no mercado e atualizações de modelos para lucrarem cada vez mais.

Palavras-chave: Internet das coisas. Iot. Segurança. Dispositivos

ABSTRACT

The proliferation of smart objects that are able to monitor, process and

communicate has been increasing in the last years. In this scenario, the Internet of Things

(IoT) arises as an extension of the current Internet, enabling different kinds of objects to

be connected to the World wide data network (Internet) and to promote a transparent

communication between users and devices. The IoT has a vast portfolio of applications

from which the industry can benefit, providing mobility to people and scalability in the

long term. In the other hand, there are not only positive aspects as many social, practical

and theoretical challenges may emerge from the smart networks, for example, requiring

a more efficient way to address safe communication between the device's sensors, in

which billions of smart objects might be vulnerable to black hats' attacks that use

opportunities left behind by technology to take advantage of the users.

In order to answer these questions, it is necessary to understand problem's

limitations such as restrictions related to the smart objects resources, being processing,

storage, bandwidth and hardware. In this way, new paradigms in communication, routing

protocols, hardware architecture and software must be explored. Besides, questions about

IP addressing and adaptations must be developed so that objects may be connected to the

Internet maintaining interoperability. In what refers to IoT applications, other questions

arise, for example, about collecting, storage, processing and extracting knowledge from

smart objects' data in an efficient way. The goal of the present work is to describe which

types of security are being applied to IoT, its risks, threats and vulnerabilities, as all of

these are obstacles to the advance of IoT in people's lives. Finally, it has been noticed that

the biggest issue is not related to the security protocols but to the lack of importance given

by the IoT companies to the security issues, as they are not investing in developers, in

resources and in time for testing their products' security as they tend to focus in

developing new products and updates for the market and for the business profit.

Keywords: Internet of things. Iot. Security. Devices

LISTA DE FIGURAS

Figura 1 – Modelo de referência OSI e suas devidas funções.......................................... 15

Figura 2 – Comparativo entre o modelo OSI e modelo atual TCP/IP.............................. 17

Figura 3 – Blocos básicos da IoT .................................................................................... 24

Figura 4 – Geladeira Samsung RF4289HARS................................................................. 24

Figura 5 – Painel Solar.................................................................................................... 25

Figura 6 – Tesla Motors ................................................................................................. 25

Figura 7 – Philips Lighting............................................................................................. 25

Figura 8 – Camadas IoT-A.............................................................................................. 26

Figura 9 – Exemplos dos componentes do M2M............................................................. 28

Figura 10 – Camadas de segurança................................................................................. 29

Figura 11 – Pulseira FitBit.............................................................................................. 30

Figura 12 – Detector de fumaça NEST............................................................................. 30

Figura 13 – Tabela comparativa entre redes tradicionais e IoT ...................................... 33

Figura 14 – Baba eletrônica............................................................................................. 34

Figura 15 – Marca passo inteligente ................................................................................ 35

Figura 16 – Visão Geral nuvem computacional............................................................... 40

LISTA DE GRÁFICOS

Gráfico 1 - Tendências emergentes .................................................................................11

Gráfico 2 – Publicações por ano ......................................................................................23

Gráfico 3 – Incidentes de SI reportados e índice de dados violados ............................... 36

LISTA DE ABREVIATURAS E SIGLAS

API Application Programming Interface

APPS Applications

ARPA Advanced Research Projects Agency

AWS Amazon Web Services

CID Confidentiality, Integrity and Availability

CIO Chief Information Officer

DDoS Distributed Denial-of-Service attack

DNS Domain Name System

DoS Denial Of Service

E-mail Eletronic Email

FBI Federal Bureau of Investigation

FTP File Transfer Protocol

GPO Group Policy Objects

GPS Global Positioning System

HD Hard disk

HTTPS Hyper Text Transfer Protocol Secure

IDS Intrusion Detection System

IEC International Electrotechnical Commission

IEEE Institute of Electrical and Electronics Engineers

IERC European Research Cluster on the Internet of Things

IoT Internet of things

IPS Intrusion Prevention System

ISO International Standards Organization

NFC Near Field Communication

OS Operating System

OSI Open System Interconnection

OTA Online Trust Alliance

OWASP Open Web Application Security Project

POP Post Office Protocol

RFID Radio-Frequency IDentification

SLA Service Level Agreement

SI Segurança da Informação

SNMP Simple Network Management Protocol

SSL Secure Socket Layer

TCP/IP Transmition Control Protocol/ Internet Protocol

TI Tecnologia da Informação

VPN Virtual private network

Wi-Fi Wireless Fidelity

WSN Wireless sensor networks

WWW Worl Wide Web

SUMÁRIO

INTRODUÇÃO.............................................................................................................11

1 INTERNET................................................................................................................. 13

2 OPEN SYSTEM INTERCONNECTION................................................................... 14

3 TRANSMISSION CONTROL PROTOCOL/INTENET PROTOCOL TCP/IP....... 16

4 SEGURANÇA............................................................................................................ 18

4.1 SEGURANÇA FÍSICA................................................................................. 19

4.2 SEGURANÇA LÓGICA............................................................................... 19

4.3 SERVIÇOS DE SEGURANÇA.................................................................... 20

4.4 PRIVACIDADE X SEGURANÇA............................................................... 21

5 PROCEDIMENTO METODOLOGICO..................................................................23

6 INTENET DAS COISAS (IoT) ................................................................................. 23

6.1 IoT ARCHITECTURE (IoT –A) .................................................................. 26

6.2 MACHINE TO MACHINE (M2M) ............................................................. 27

6.2.1 PROBLEMAS E PREOCUPAÇÕES M2M................................... 28

6.3 WIRELESS SENSOR NETWORK (WSN) ................................................. 28

6.4 PROBLEMAS DA IoT ................................................................................. 29

7 RISCOS, AMEAÇAS E VULNERABILIDADES ................................................. 32

7.1 SENARIO DE VULNERABILIDADE DE IoT........................................... 33

7.2 PRINCIPAIS RISCOS DE ATAQUES EM REDES IoT ............................ 35

7.3 OPEN WEB APPLICATION SECURITY PROJECT (OWASP) ................... 36

8 TIPOS DE SEGURNÇA SENDO IMPLEMENTADOS EM IOT ........................ 38

8.1 SEGURANÇA NO DESENVOLVIMENTO DE SISTEMAS ..................... 38

8.2 ASPECTOS DE SEGURANÇA NA COMPUTAÇÃO EM NUVEM IoT

........................................................................................................................................ 39

9 BOAS PRATICAS EM SEGURANÇA DE IoT ..................................................... 42

CONCLUSÃO .............................................................................................................. 43

REFERENCIAS ........................................................................................................... 45

INTRODUÇÃO

O termo IoT, é um emaranhado de dispositivos, objetos e sistemas embarcados

inteligentes, que se comunicam através de sensores utilizando a internet. Os mesmos,

capazes de realizar múltiplos processamentos, capturar variáveis ambientais e reagir a

estímulos externos. A IoT e uma das principais tecnologias na atualidade em que vivemos,

e permitem contribuir com a concretização de novos domínios e esferas de aplicação das

tecnologias e comunicação em geral; a exemplo, cito, cidades inteligentes, comunicação

avançadas e sensoriamento (Zanella et al. 2014). Segundo (KHAN et al, 2012), a Internet

das coisas promovera a conectividade de todos e de tudo em um curto espaço de tempo.

Segundo (Gartner 2015), IoT foi identificada como uma tecnologia emergente em

2012 por especialistas da área.

Gráfico 1 - Tendência Emergentes

Fonte: Gartner (2015)

Estudos apontam que, cerca de dois bilhões de pessoas pelo globo inteiro, usam a

internet para se comunicar, trocar informações, navegar na Web, acessar Apps

multimídias, games, e demais aplicações. A gama de objeto desta família das coisas pode

variar, sendo TVs, Laptops, automóveis, smartphones, consoles de jogos, webcams,

relógios, óculos, geladeira, painéis solares e etc. Todos terão habilidades de se comunicar

umas com as outras, promovendo a interação entre os mesmos na nossa realidade.

Com o crescente incremento das infraestruturas de redes e popularização em

massa da internet nas nossas vidas, torna-se uma obrigação mantermos nossos

dispositivos e sistemas de comunicação seguros. A segurança da informação ainda é uma

incógnita no nosso cotidiano. Muitos sistemas e redes podem acarretar ataques

cibernéticos por falta de contramedidas de SI em seus ambientes. De acordo com IERC

(Cluster of European Research Projects on the Internet of Things), a IoT é uma

infraestrutura de rede global dinâmica e escalável, baseada em protocolos de

12

comunicação, e por ser baseada em protocolos, a mesma necessita de uma atenção

redobrada quanto se trata de intercomunicações interoperáveis.

Este trabalho tem o principal intuito, analisar as diversidades de vulnerabilidades

existentes em um mundo inteligente no qual vivenciamos, abordar os desafios e ações de

segurança para ambientes IoT, mostrar as melhores práticas para mantermos um ambiente

inteligente relativamente seguro, conceituar os pilares que compõe a IoT e seus percalços,

acentuando nos principais aspectos de segurança a serem atentados quanto ao

desenvolvimento seguro de aplicações e soluções para Internet das coisas.

13

1 INTERNET

A Internet de hoje é um conjunto de redes mundiais interligadas, a qual troca

informações entre si, e sua nomenclatura tem origem inglesa onde “Inter, vem da palavra

internacional e o complemento “net”, significa Rede, ou seja, a junção destas duas

palavras, resulta em redes de computadores como é conhecida até hoje

(TANENBAUM,2011). A Internet primeiramente, foi criada com o objetivo de permitir

a comunicação entre bases militares durante a Guerra Fria. Esta foi criada pela ARPA –

Advanced Research Projects Agency, situada nos Estados Unidos da América (EUA) em

1960. A Arpa foi conhecida depois como ARPANET, a qual deu origem a Internet. Esta

rede era destinada apenas aos computadores do governo e de órgãos acadêmicos, e eram

muito usados principalmente para enviar e-mails.

A partir de 1983, o fenômeno TCP-IP veio à tona, assumindo como sendo o

protocolo responsável pela comunicação mundial entre computadores e dispositivos. A

definição de Internet é muito complexa conforme Kurose e Ross (2010), no qual eles

queriam definir em uma única frase o seu conceito. Em 1990 a Internet se popularizou

com a vinda do WWW – World Wide Web como conhecemos hoje. Em 1993, a Internet

de tudo começou a surgir para nós usuários e empresas, quebrando assim, a restrição do

uso entre academias de ensino, governos e outros órgãos.

Atualmente, a Internet é composta por milhões de redes particulares espalhadas

pelo mundo à fora, e este mecanismo fenomenal, permite acesso a informações,

transferências de dados, variedade de serviços e recursos sendo, e-mail,

compartilhamentos, serviço multimídia, downloads de fotos, músicas, livros, compras

online, Internet Banking e uma infinidade de outros (TANENBAUM,2011).

14

2 OPEN SYSTEM INTERCONNECTION

O modelo OSI é um padrão de referência criado pela Internacional Standards

Organization (ISO), órgão que padroniza a normatização com mais de 900 organizações

mundo a fora em mais de 170 países (TANENBAUM, 2011). A ISO foi um dos patriarcas

a oferecer grandes soluções para praticamente todos os computadores e problemas

situados nas redes de dados. Em 1984, a ISO decidiu criar uma padronização que

resolveria momentaneamente os problemas da falta de normatização das redes de

computação e seus processos. Este padrão seria hoje o popular modelo OSI como é

conhecido, e iria funcionar sempre da mesma forma, procedimento que antes não existia,

devido as funcionalidades de diferentes fabricantes em suas plataformas. A partir deste

momento, foi aberto um novo horizonte para a conversação dentre equipamentos de

diferentes fabricantes, permitindo-se assim, uma melhora aos usuários, pois estes se

desprenderam de obrigações de se fechar apenas com um fabricante individual,

melhorando assim, o conjunto da obra toda, resolução de problemas, que passariam a

trabalhar em conjunto e não mais individual, e uma série de outras atrativas

(TANENBAUM, 2011). Com a aplicabilidade do padrão OSI, as redes passaram a

trabalhar e operar de forma padronizada, melhorando todo o processo de transferência e

recebimento de dados.

A ISO desenvolveu um padrão constituído por sete camadas (cadeias), cada uma

com características diferentes sendo, Física, Enlace, Redes, Transporte, Sessão

Apresentação e Aplicação. O funcionamento na transmissão dentre as camadas, são

baseadas nas funções em que a camada mais próxima irá receber o dado, ou seja, o

processamento dos dados, ocorre entre camadas adjacentes, superior e inferior,

encapsulando e descapsulando os dados (TANENBAUM, 2011).

Façamos um breve overview abaixo sobre o que cada camada faz e suas

responsabilidades:

15

Figura 1 – Modelo de referência OSI e suas devidas funções

Fonte: Silva (2011)

16

3 TRANSMISSION CONTROL PROTOCOL / INTERNET PROTOCOL (TCP/IP)

Protocolo de padrão aberto mundialmente responsável pelas comunicações entre

dispositivos que utilizam a rede de dados e suas interfaces, desenvolvida em meados dos

anos 70, é considerado um protocolo de comunicação sem dono, o qual significa que não

é um produto de ligação alguma com empresa específica, e sim, criada e incentivada pelos

desenvolvedores e entusiastas da área, sem nenhum fim lucrativo. Seu funcionamento na

prática ocorre quebrando as informações (dados) e formando diversos pacotes

endereçando-os para que o sigam ao seu destino através de um caminho lógico e físico

criado pelos roteadores que são programados para definirem uma rota (saltos) até o

destinatário (TANENBAUM, 2011). Dentro da pilha TCP/IP existem toda estrutura base

IP na comunicação com a Internet, baseando-se no paradigma best-effort (melhor

esforço), ou seja, será feito o possível para entregar a informação, mas não será garantido.

Esta espécie de chaveamento de pacotes com datagramas sem confiabilidade e sem

verificação ao estabelecer a conexão entre as pontas, está relacionado com o protocolo

Internet Protocol (IP), protocolo universal de endereçamento, sendo que não existem

nenhum outro método de verificação de entrega de pacotes sem antes estabelecer a

conexão, ficando para camadas mais altas esta função de garantir a entrega confiável,

verificação de erros, caso haja em uma transmissão e retransmissões, se for o caso

(TANENBAUM, 2011).

O processamento de criação e modelagem dos pacotes é formado de camadas em

camadas, sendo que, cada entidade é responsável por suas funções, encapsulando-as as

informações que as recebem e repassando para que a próxima entidade o faça o mesmo,

sendo assim, ao montar o frame ethernet final (dado), todas as informações do cabeçalho

do pacote, estarão prontas para serem enviadas e processadas pelos dispositivos que

estiverem no meio do caminho (TANENBAUM, 2011). O modelo prático e em uso até a

presente data é constituído por 5 camadas sendo, Física, Enlance de dados ou Link de

dados, Rede, Transporte e Aplicação. Alguns autores acabam englobando duas dessas

entidades em uma única apenas, sendo Física e Enlance totalizando 4 camadas e não 5

(TANENBAUM, 2011). A figura abaixo mostra detalhadamente a composição das

camadas do modelo TCP/IP.

17

Figura 2 – Comparativo entre a o modelo OSI e o modelo atual TCP/IP

Fonte: Tanenbaum (2011)

Nível Físico – Responsável pela geração e transmissão de bits através de

um canal de comunicação (satélite, fibra) e define caraterísticas mecânicas, elétricas,

funcionais, assim como, procedurais para acessar o meio físico (TANENBAUM, 2011).

Nível de Enlace – Corrige possíveis erros iniciais gerados no nível Físico

e prepara os quadros para serem enviados livres de erros ao nível de rede, envia blocos

de dados (quadros) através da ligação física, organiza o acesso ao meio físico, encapsula

os dados, endereça-os, controla erros que podem ter sidos gerados, controle de fluxo e

controle de acesso ao meio (TANENBAUM, 2011).

Nível de Rede – Determina o caminho (roteamento) de um pacote através

da sub-rede, endereçando-os da origem até o destino, passando por vários nodos, controla

e previne contra congestionamentos, conversão e compatibilização de protocolos e

esquemas de endereçamento. Provê serviços segundo o paradigma do melhor esforço

(TANENBAUM, 2011).

Nível de Transporte – Fornece comunicação transparente (fim-a-fim) entre

os pontos finais, confiabilidade na transmissão, entrega ordenada dos datagramas,

controle de fluxo e congestionamento e abstração da conexão (TANENBAUM, 2011).

Nível de Aplicação – Reúne diversos protocolos que fornecem serviços

aos usuários como: transferência de arquivos File Transfer Protocol (FTP), e-mails

Simple Mail Transfer Protocol e Post Office Protocol (SMTP e POP), terminal virtual,

serviço de diretórios e etc (TANENBAUM, 2011).

18

4 SEGURANÇA

A segurança em ambientes computacionais é o ato de se proteger contra quaisquer

anormalidades que coloque em risco os nossos dados patrimoniais. Para

Tanenbaum,Andrew S. (2011), quando se está conectada a Internet, coloca-se estes três

itens em risco: dados, recursos e reputação.

A cadeia da segurança como um todo, é constituída de diversas vertentes, sendo

segurança física, lógica, dos ativos, de serviços dentre outras. Questões de projeto, ajudam

a entender a importância de um plano de segurança, contingência e disponibilidade nas

organizações. É preciso saber o que está tentando se proteger? O que é preciso para isso?

Qual a probabilidade de um ataque? E se este será bem-sucedido? E o prejuízo disso,

quem arca? Será vantajoso realizar procedimentos de segurança do ponto de vista custo-

benefício? Essas e outras questões ajudam na reflexão sobre o que é necessário para

começar a esboçar um projeto de segurança nas empresas que estão na atualidade na

Internet das Coisas (IoT), quebrando assim, este desleixo por esta causa. Sabemos

também, que com toda a modernidade de hoje, não podemos garantir 100 % de segurança

em qualquer ambiente computacional, entretanto, se com um bom gerenciamento,

administração qualificada do ambiente das corporações, com um bom planejamento de

diretivas de segurança na Tecnologia da Informação (TI) da corporação, e com

monitoramento constante da aplicabilidade dos modelos de segurança, pode-se reforçar

ainda mais os fatores intelectuais, físicos e lógicos da cadeia de segurança, diminuindo

ainda mais, a probabilidade de efeitos reversos que possam colocar em risco os nossos

dados patrimoniais.

Deve-se lembrar hoje, que a maioria dos protocolos situados na arquitetura da

Internet como principais, IP, TCP e Domain Name System (DNS) possuem falhas

gravíssimas do ponto de vista segurança em suas comunicações, sendo que, a maioria dos

protocolos possuem mecanismos fracos de autenticidade, muitos meios de transmissão

utilizando broadcast, informações sendo transmitidas em claro pela rede, na internet não

existem limites definidos, vários caminhos para um mesmo ponto, uma rede gigantesca

sem controle centralizado, e uma série de outros fatores que contribuem para um

funcionamento duvidoso e incerto de nossos dados. Alguns mecanismos que fazem parte

da cadeia de segurança física e lógica são: firewall, antivírus, autenticação de entidades,

sistema de detecção de intrusão, ferramentas de detecção de falhas, criptografia,

segurança física das instalações entre outras (KUROSE, J. F.; ROSS 2010).

19

4.1 SEGURANÇA FÍSICA

A segurança física é uma das vertentes da cadeia de proteção mais importantes de

todas, e é composta por fatores como prédios, piso, portas de acesso, alarmes, sala de

equipamento e servidores, local do datacenter, sala dos backups e outros. De acordo com

a normativa de segurança a estrutura física contempla quesitos que englobam todo o

ambiente como arquitetura e engenharia da construção do prédio, teto, paredes, passagem

de cabos de dados e de energia, facilidade física na instalação de dispositivo contra

incêndios entre outros. A vertente física, destina-se a proteger os nossos ativos físicos

como equipamentos, links de comunicação, equipamentos de rede, local de

armazenamento das cópias de segurança, servidores, modens, hard disk (Hd externos).

Os quesitos de segurança física também valem para os dispositivos que estão

conectados na rede da internet das coisas como: relógios, carros, drones, eletrodomésticos

inteligentes e tecnologias vestíveis como o wareables entre outros. A segurança física é

tão importante quanto em relação a segurança lógica pois do que adianta nos restringirmos

apenas em segurança lógicas na criação de regras de firewall, policies de segurança,

Group Policy Objects (GPO), controle de conta do usuário e restrições em gerais, se

tivermos esquecido dos ativos físicos que também podem ser burlados alterados e

furtados mediante ao furo de uma vulnerabilidade causado pelo desleixo no fator físico?

Os profissionais da área da tecnologia da informação e segurança tens que se organizar,

estudar bem o ambiente onde será implantado um projeto inteligente e moderno, que será

adaptado a realidade da internet das coisas. Em diversos ambientes de alto escalão, é

necessário sim que seja implantado métricas bem drásticas e robustas para garantir que

qualquer material físico da corporação não seja afetado, por isso criar uma plano de

segurança anexado as políticas da segurança da organização, se torna imprescindível pois

desta maneira, terá como saber o que haverá em mãos em caso de desastres inesperados,

e qual os passos a seguir caso ocorra algo errado pois, algo que não está escrito, não tem

porque ser cobrado (Tanenbaum 2011).

4.2 SEGURANÇA LÓGICA

A segurança lógica envolve tudo que esteja relacionado a coleta de dados,

sensores, monitores, softwares, senhas, controle de acesso, firewall, proxy, anti-vírus,

Intrusion Detection System / Intrusion Prevention System IDS/IPS, applainces virtuais,

ou seja, tudo que não é palpável, e sim apenas lógico, no qual, praticamente lida-se

20

diariamente com isso. Os profissionais da segurança da tecnologia da informação,

respiram constantemente a parte lógica de um ambiente computacional, seja na criação

de políticas de autenticação, criptografia dos dados das aplicações, criação e manutenção

e atualização constante de regras e pachs de firewall e aplicações em gerais. A proteção

lógica dos recursos computacionais, baseia-se na necessidade em que cada indivíduo terá.

A identificação de um usuário por exemplo, pode ser feita por reconhecimento de voz,

retina, face, localização geográfica e biometria facilitando assim o processo de validação

do usuário correspondente ao equipamento inteligente (Tanenbaum,Andrew S. / J.

Wetherall,David, 2011).

4.3 SERVIÇOS DE SEGURANÇA

Com o crescimento exorbitante nos últimos anos de usuários conectados à rede de

dispositivos inteligentes, aumentou-se a necessidade de implantar e garantir, mecanismos

que façam e definam métricas nos serviços de segurança e contribuam na manutenção

destas na tecnologia da informação na organização. A seguir serão citados serviços que

fazem parte da cadeia de segurança da informação, segundo (Tanenbaum,Andrew S. / J.

Wetherall,David, 2011).

Confidencialidade: Esta métrica de serviço garante que a informação que está

tentando acessar, esteja sempre disponível apenas para pessoas e dispositivos autorizados,

garantindo assim que, entidades ou dados não sejam forjados por qualquer usuário que

não obtenha a autorização (credencial). Esta cadeia engloba também, aspectos de

autenticidade e privacidade, podendo ser incluídas autenticação de pessoas, máquinas e

Smartcard e etc. Para aumentar ainda mais a segurança e evitar o identify spoofing são

usados mecanismos de controle de acesso como biometria, firewalls, smartcards,

assinatura digital, certificado digital e até criptografia em dispositivos que aumentam e

sustentam ainda mais esta cadeia.

Integridade: Esta cadeia, garante que as informações não sejam adulteradas sem

que obtenham autorização, ou seja, somente pessoas devidamente autorizadas terão o

acesso a alteração e manipulação desses dados, garantindo assim, a integridade do

determinado dado. Um exemplo bem comum disso, é o caso de controle de permissões

no sistema operacional. A integridade, também faz uso de mecanismos de Hash, com a

finalidade de detectar mudanças na essência de um arquivo original (KUROSE, J. F.;

ROSS 2010).

21

Disponibilidade: Esta métrica de serviço, garante que as informações sempre

estejam disponíveis apenas para entidades autorizadas, criando assim, um sistema

hierarquicamente administrado baseado em políticas. A disposição da informação, faz

uso também de mecanismos de tolerância à falhas como Hardware redundante. Sistemas

hospedado na nuvem, sistemas para prevenção ou tratamento de incêndios, segurança

física das dependências, onde os dados se encontrarão, e aspectos de armazenamento

como cópias de segurança entre outros (KUROSE, J. F.; ROSS 2010).

4.4 PRIVACIDADE x SEGURANÇA

Privacidade e segurança são os principais paradigmas da internet das coisas; este

novo paradigma implica em uma comunicação não apenas entre seres humanos, mas

também com objetos muitas vezes sem intervenção humana.

Segundo Glenn Greenwald (2015), existe uma grande diferença entre privacidade

e segurança; sendo que a privacidade; refere se as possíveis limitações de acesso de outros

a um indivíduo. Em relação a segurança, caracteriza se os mecanismos utilizados para

preservar o bem social, patrimonial e intelectual.

Um exemplo recende de um acontecimento que engloba estas duas vertentes,

ocorreu em 2015 entre a Apple e FBI, onde ocorreu um ataque terrorista a um centro

regional americano causando 14 mortes. No desenrolar deste processo a FBI, começou a

sua investigação onde, buscou acessar o iphone do atirador, sendo que, o mesmo estava

com senha de bloqueio; devido a isto, o FBI decidiu entrar com uma ação na justiça,

solicitando a quebra de autenticação da senha do iphone junto a Apple. A Apple, por

questão de privacidade acabou contrapondo a decisão não fornecendo a solução

precedente solicitada pela FBI, gerando assim um tumulto naquela época; sendo assim, a

FBI decidiu seguir linhas consideradas ilegais pelo governo americano afim de quebrar o

sigilo e a privacidade dos sistemas da Apple, utilizando o conceito de jailbreak.

Usando o conceito citado anteriormente, a FBI, abriu precedentes para possíveis

indivíduos mal-intencionados usar, adulterar, crakear os possíveis dados do dispositivo

quebrado por uma fonte não confiável. Isso mostra, que quando a privacidade é aferida,

usuários sem autorização podem realizar monitoramento de dispositivos interligados a

rede de dados. Outro exemplo, seria o risco associado a semáforos inteligentes,

acarretando em problemas de ordem coletiva, podendo congestionar diversas vias e rotas

de grandes centros ocasionando um grande desastre no transito metrópoles popularmente

conhecidas em questões de minutos.

A privacidade necessita ser balanceada para o bem-estar social. Eventualmente,

necessitamos tomar a decisão de abrir mão da privacidade em certos casos, afim de

22

obtermos informações que jamais poderiam ser obtidas por meios legais, por isso, sempre

documente e justifique o uso de dados pessoais pelo aplicativo, colete apenas dados

pessoais necessários, considere a privacidade de aplicativos moveis e certifique-se de que

haverá transparência no acordo com os consumidores.

23

5 PROCEDIMENTO METODOLOGICO

O trabalho foi realizado em base de pesquisas de 34 artigos publicados entre os

anos de 2010 até 2016. A pesquisa foi executada com palavras chaves e questões do

interesse de segurança para internet das coisas nas plataformas como Google Scholar,

IEEEXPLORE e ACM Digital Library. Segue abaixo as palavras chaves e questões de

interesse.

• Palavras chaves:

– IoT, technology, sucurity, protocol, architecture, sensor, device,

application, Middleware, layer

• Questões de interesse:

– Quais tipos de segurança têm sido aplicados?

– Qual a arquitetura em IoT?

– Quais tipos IoT tem apresentado mais problemas?

– Protocolos em IoT?

– Qual a privacidade em IoT?

Dos 34 artigos pesquisados, 5 foram de 2010, 1 de 2011, 3 de 2012, 5 de 2013, 8

de 2014, 6 de 2015 e 6 de 2016 como mostra o gráfico abaixo.

Gráfico 2: Publicações por ano

Fonte: Minha Autoria

24

6 INTERNET DAS COISAS (IoT)

A internet das coisas nada mais é do que agregação (linkar) da comunicação entre

os demais dispositivos, objetos e coisas em geral que estão interconectados na internet.

Segundo Russell (2016) podemos caracterizar a internet das coisas como possuindo em

sua infraestrutura; sensores, automação predial, eletrodomésticos, medidores de energia,

smartphones e outras. Basicamente, se dá pela possibilidade da conexão e do dinamismo

entre o mundo físico entre o mundo digital por meio da web.

Essa ampliação da conectividade é útil para muitas atividades rotineiras do nosso

dia a dia, como fornecer dados para sistemas de controle integrado de atividades, acender

uma lâmpada da casa online, colocar a roupa para lavar, controlar a temperatura do

ambiente, sendo que todas estas atividades são realizadas de modo interativo, sem o

mínimo esforço do usuário, apenas em questões de segundos com seu dispositivo máster.

Outro exemplo, seria uma geladeira inteligente poder notificar quando um determinando

alimento está por acabar, sendo que a mesma se conecta a rede dos supermercados, e

realiza a pesquisa dos menores preços possíveis do produto em falta. Todas essas

combinações de diversas tecnologias complementares dão o sentido à vida da IoT. De

acordo com Al-Fugaha et al. (2015) apresentaremos os blocos básicos da construção da

IoT, sendo:

-Identificação: É primordial identificar os objetos que estarão conectados na

internet e suas tecnologias empregadas RFID, NFC e protocolo IP.

-Sensores: São usados com o intuito de coletar dados que estão ao seu redor e

encaminha lós para centros de armazenamentos como a nuvem.

-Comunicação: É fundamental este parâmetro, pois a comunicação permite a

conectividade dos objetos inteligentes como wi-fi, Bluetooth, IEEE 802.15.4 e RFID.

-Computação: Diz respeito a capacidade de um dispositivo inteligente computar

processamento de informações.

-Serviços: Os serviços facilitam o mapeamento de objetos no mundo real em que

vivemos com o mundo virtual dos mesmos. Provem diversas classes de serviços como,

serviços de identificação, entidades físicas e entidades virtuais.

-Semântica: Trata-se da descoberta do uso inteligente dos recursos possibilitando

o provimento de um serviço, extraindo conhecimentos da diversidade dos objetos do IoT.

25

Figura 3 - Blocos básicos da IoT

Fonte: Al-Fuqaha, Mattern and Floerkemeier (2015)

Com toda essa combinação de base e pilares que sustentam IoT, é possível

obtermos dispositivos com tal inteligência suprema para tornar a vida do usuário mais

fácil. Mostraremos alguns exemplos abaixo que são utilizados na atualizada.

Figura 4: Geladeira Samsung RF4289HARS

Fonte: Samsung (2016)

Também é importante a questão da interoperabilidade entre os objetos,

permitindo-se a comunicação de um com outros; como exemplo o termostato de um

painel solar, que se conecta ao smartphone enviando informações e relatórios apurados

da quantidade de energia captada pelos painéis e seu consumo diário.

26

Figura 5: Painel Solar

Fonte: Solares (2016)

Os veículos da marca Tesla, é uma tecnologia especializada em carros elétricos de

alta performance, com mecanismos de recarga automática de bateria, os mesmos se

conectam a internet, a fim de receber os últimos uptades de softwares do fabricante,

fornecendo uma maior segurança para os sensores que transmitem os dados de

geolocalização.

Figura 6: Tesla Motors

Fonte: Tesla Motors (2016)

A Philips Lighting é uma companhia que desenvolve lâmpadas de leds

inteligentes, que podem ser configuradas junto com o smartphone do usuário, permitindo

a mudança da intensidade das cores da iluminação de acordo com seu ambiente.

Figura 7: Philips Lighting

Fonte: Philips (2016)

27

A principal proposta da internet das coisas não é apenas fornecer mais um meio

de comunicação entre os dispositivos, e sim, faze los os mesmos serem mais eficientes e

objetivos.

6.1 IoT ARCHITECTURE (IoT –A)

A camada da arquitetura das coisas foi projetada para atender as diversas

demandas de empresas, industrias e sociedades em geral, interconectando dispositivos,

objetos, propondo uma visão heterogenia. Segue abaixo a arquitetura das 5 camadas de

forma genérica. (ZARGHAMI 2013)

Edge Technology layer: É uma camada voltado a sistemas embarcados, serviços,

sensores e hardware. O intuito desta camada é a coleta das informações pertinentes sobre;

sistemas sobre o ambiente, processamento de informações e comunicações.

Access Gateway layer: Está camada se preocupa com a publicação dos dados e

assinatura, sem contar com o tratamento dos mesmos, roteamento de mensagens entre

plataformas de comunicação.

Middleware layer: Camada que possui funcionalidades importantes e críticas

quando aos dados recebidos por dispositivos de hardware, agregação e filtragem dos

dados, fornecendo a descoberta e controle no acesso às aplicações e dispositivos.

Application layer: Está camada como o próprio nome diz, se responsabiliza pela

entrega de serviços e aplicações que é fornecida através da camada superior (middleware).

O serviço desta aplicação é fornecido para industrias saúde, varejo e logística.

Figura 8: Camadas IoT-A

Fonte: Zarghami (2013)

28

6.2 MACHINE TO MACHINE (M2M)

Refere-se ao mecanismo de tecnologia de comunicação entre maquinas heterogênea,

utilizando sensores, podem ser utilizadas com ou sem fio, sendo que os dados coletados

serão roteados para um servidor na internet, no qual permite a comunicação centralizada

ou independente entre essas maquinas sem a intervenção humana.

A comunicação que ocorre entre máquina-máquina permitiu transformar um sistema

de redes que transmite dados para equipamentos pessoais. Com o crescimento das redes

IP em todo o mundo, tornou-se a comunicação máquina a máquina muito mais rápida e

fácil, ao mesmo tempo em que utiliza menos poder de energia. Aumentando as

oportunidades de negócios para consumidores e fornecedores (TEC 2014).

Exemplos de sensores incluídos nessas redes são: telemetria, controle de tráfego,

robótica e outras aplicações que envolvem comunicações entre dispositivos.

A gama de aplicações que cobre o M2M são:

Security - Vigilância, Sistemas de alarme, Controle de acesso, Segurança de carro

/motorista;

Racking & Tracing - Gerenciamento de Frotas, Rastreamento de Ativos,

Navegação, Informações de trânsito, Pedágio;

Payment - Pontos de vendas, maquinas de jogos;

Health - Acompanhamento de sinais vitais, apoio a idosos ou deficientes, VIA

Web, Diagnóstico remoto;

Remote Maintenance/Control - Sensores, Iluminação, Bombas, Válvulas,

Controle de elevador, Controle de máquina de venda automática, Diagnóstico de

veículos;

Manufacturing - Monitoramento e automação da cadeia produtiva e etc.

29

Figura 9: Exemplos dos componentes do M2M

Fonte: TEC (2014)

6.2.1 PROBLEMAS E PREOCUPAÇÕES M2M:

Alguns equipamentos M2M são tipicamente pequenos. Baratos e portáteis, capazes

de operar ser a vigência do ser humano. Esta tendência, apensar de ser bem atual, pode-

se se tornar vulnerável pois, espera-se que os dispositivos M2M operem livremente sem

proteção de seres humanos e, portanto, estão sujeitos a níveis bem cruciais de ameaças à

segurança da informação, tais como adulteração física, hacking em geral, monitoramento

não autorizado, etc. Devices M2M devem possuir, portanto, uma capacidade de fornecer

segurança adequada para detecção e resistência a milhares de ataques. Os dispositivos

também podem precisar de gerenciamento remoto, incluindo atualizações de firmware

para corrigir falhas ou recuperar de ataques mal-intencionados (TEC 2014).

6.3 WIRELESS SENSOR NETWORKS WSN

É uma rede de sensores sem fio, interligados em um ambiente físico disperso sem

qualquer infraestrutura física pré-estabelecida. Rede formada por nós equipados por

sensores. Estes sensores são distribuídos em um ambiente geográfico que pode ser fixo

ou aleatório e por fim móvel, influenciando diretamente no aspecto desempenho ao se

tratar dos protocolos de roteamento de sensores. (DWIVEDI e VYAS, 2010). Cada sensor

em seus nós, pode ser equipado com detectores de calor, pressão fumaça, posição e

diversos. O WSN já é comum em ambientes industriais, monitorando-os e controlando os

processos de sistemas elétricos, e até em nível de saúde. Tradicionalmente, as redes WSN,

necessitam de um índice de processamento muito maior para funcionar, gerando energia

aos sensores, e aumentando a vida útil dos alimentadores de baterias dos equipamentos.

O rápido desenvolvimento destas redes sensoriais, torna-a WSN a tecnologia chave de ponta

para redes IOT. No aspecto segurança em redes WSN, a mesma, necessita de mecanismos

para aumentar a proteção tradicional e requisitos especiais de confiança e privacidade

30

pois, assim como num ambiente tcp/ip tradicional, onde são necessários proteger a triade

“CIA”, mas redes Wsn a camada de proteção terá que ser equivalente. Exigir proteção de

segurança de integridade, disponibilidade, confidencialidade, não-repúdio e privacidade

do usuário dependendo do cenário, pode ser um desafio para a segurança em ambientes

de sensores. A mesma suporta a integridade dos sistemas, confiabilidade, protegendo o

sistema contra-ataques mal-intencionados e etc. A camada de proteção nas redes WSNs,

pode precisar de proteção contra os nós e adulteração do canal de comunicação, e

encaminhamento na camada de rede

As necessidades da camada de segurança da WSNs podem ser categorizadas da

seguinte forma como é ilustrado abaixo

Figura 10: Camadas de segurança WSN

Fonte: IEC (2014)

Cryto algorithms – A criptografia é usada para garantir a confidencialidade dos sensores

dos dados, fazendo com que o usuário sem autorização, não consiga ver o conteúdo das

mensagens trocadas entre os devices e protocolos.

Key management of wsn – No gerenciamento de chaves, estão inclusos, geração das

mesmas, validação e destruição.

Secure routing of wsn – Foram projetados exclusivamente para redes wsn. O protocolo

de roteamento seguro que toma as decisões eficazes seguindo o pré-requisito para

agregação dos dados, eliminação segura, redundância. Os mesmos são divididos em três

categorias, sendo roteamento baseado na estrutura de rede, roteamento plano hierárquico,

e baseado na localização geográfica.

Secure data aggregation – Garante a proteção de cada dado a dentro do no seguro. Quanto

maior a agregação, maior a credibilidade e redundância dos nos.

6.4 PROBLEMAS DE IoT

A cada dia que passa, novos dispositivos aparecem conectados e a tendência é que

o número dos mesmos cresça ainda mais nos próximos semestres. Um dos problemas que

31

vem afetando a IoT, é a fragmentação das soluções técnicas. Grande parte das empresas

estão a oferecer soluções integradas que se conectam entre si, mas, o resultado disso é

muito traumático para os usuários. Atualmente muitos sistemas diferentes na IoT, não se

conversam entre si, ignorado a acessibilidade. Diminuir os riscos de segurança não é o

mesmo que elimina-los; profissionais do ramo de tecnologia da informação precisam

estar atentos regularmente, afim de criar novas estratégias de mercado para lidar com

eventuais problemas e ataques em dispositivos eletrônicos, causando um problema maior

na infraestrutura da empresa (ZHOUA 2013)

Um dos grandes problemas de segurança e privacidade na internet atualmente, é

as câmeras IPs tradicionais em todo o planeta, pois, muitas destas redes não possuem

mecanismos de proteção e acabam permitindo que o invasor controle remotamente a

mesma, aferindo a privacidade. O serviço conhecido como Shodan, constitui de um

mecanismo de busca on-cloud focado em dispositivos IoT, fazendo um scan completo

por IP, cidade, protocolo de aplicações e diversos outros parâmetros que podem ser

setados nas bucas, para verificar a brecha de segurança nas redes.

Acessibilidade: O termo acessibilidade, refere-se a um significado totalmente

novo no mundo da mobilidade. As experiências dos usuários são acessíveis, e também

existe uma preocupação básica de criar consistência na forma de como as operações são

realizadas. Afim de garantir a acessibilidade nos dispositivos IoT, precisamos identificar

de forma automática o contexto do seu uso, comunicar com o servidor e então obter a

melhor experiência possível de condições de uso para os usuários. Cito alguns exemplos

abaixo:

- Hoje em dia, existe a possibilidade de que uma balança inteligente, se torne a

apropriada a enxergar pequenos números da mesma com o uso de uma pulseira da FitBit

em caso de problema de visão;

- Um deficiente físico se torna impossibilitado de alcançar o detector de fumaça

do modelo Nest pelo mesmo motivo de obter a dificuldade em saber a temperatura atual

de um termostato.

Figura 11: Pulseira FitBit Figura 12: Detector de Fumaça Nest

Fonte: FitBit Fonte: Nest

32

-Interoperabilidade: Neste cenário atual no qual vivemos, é imprescindível a

comunicação entre os diversos dispositivos de fabricantes diferentes. A questão da falta

de compatibilidade entre os fabricantes e os protocolos, ainda existe, porém, não pode ser

um empecilho para que as tecnologias avancem no mercado atual. Será apresentado

grandes players abaixo e suas plataformas.

O Google desenvolveu um protocolo Weave que permite a comunicação entre

smartphone android e relógios inteligentes. O mesmo desenvolveu o Brillo que é um OS

baseado em android, voltado para aplicações com baixo poder de processamento, sendo

que o Brillo, endereça problemas de integração entre OS e o hardware. O outro grande

player que é da Apple, possui em seu portfólio, o Homekit, sendo, uma outra grande

plataforma de interligação de acessórios e controle de coisas. E por último a Amazon com

o seu AWS IoT, no qual permite a conectividade de dispositivos inteligentes com serviço

da AWS.

A questão principal é que independe do player, do hardware, do software mais

cedo ou mais tarde a comunicação entre os dispositivos precisarão existir garantindo

assim a interoperabilidade, melhorando a agilidade na comunicação, e na vida de quem

usa.

33

7 RISCO, AMEAÇAS E VULNERABILIDADES

Ameaça consiste na possibilidade de algo anormal acontecer mediante ao

descoberto, seja por exploração de bugs propositalmente, vulnerabilidades encontradas e

outras, colocando em risco a reputação do sistema. Ameaça também pode ser considerada

uma violação da segurança em um sistema computacional. Existem diferenças entre risco

e ameaça, apesar de serem muito parecidas, sendo que o risco, é a medida da

probabilidade da ocorrência de uma ameaça, ou seja, é a probabilidade do evento causador

da perda ocorrer. Já a vulnerabilidade, é um ponto fraco do próprio sistema, uma fraqueza

ou falta de medidas de segurança que podem ocasionar a exploração desta em diferentes

cenários adversos. Se um ambiente não estiver bem preparado para lidar com a internet

atual da interatividade, corremos sérios riscos de falhas de configuração, defeitos de

softwares, uso inadequado dos sistemas, projetos sem levar em conta a segurança,

fraquezas advindas da complexidade dos sistemas, perda financeira, privacidade e

confiança na tecnologia, indisponibilidade de serviços, furto de dados e danos à imagem

da empresa. Fazendo uma analogia básica em relação a ameaça, risco e vulnerabilidade,

se o seu carro estiver com a porta aberta em pleno andamento, você com certeza estará

ameaçado de ser jogado para fora do carro, e isso é um risco muito grande, ou então,

poderá sofrer algum dano mesmo estando com cinto de segurança, devido a

vulnerabilidade (porta) encontrada estar aberta. Esta analogia mostra muito bem o porquê

da preocupação que profissionais de segurança tem que ter com seus sistemas. Se uma

nova correção for disponibilizada pelo fabricante desenvolvedor de um software,

firmware por exemplo, significa que esta atualização, poderá apresentar novas

funcionalidades além do mais, apresentará melhorias nos aspectos de segurança do

programa (código), caso contrário, você poderá sofrer alguma ameaça de ataque ou

tentativa de invasão através da vulnerabilidade encontrada devido as brechas de

segurança situadas. Por isso é de extrema importância que os sistemas sejam

constantemente atualizados e verificados de acordo com os change-logs, só assim, pode-

se minimizar a probabilidade de ameaças em nossos sistemas e ter ciência do que está

sendo atualizados (ZHOUA 2013)

Em relação a riscos, citaremos alguns abaixo sobre IoT

- Vazamento de informações privativas;

34

- Malwares em geral e ataques associados em redes de zobies (Botnets);

- Falhas de segurança em geral, exposição de privacidade (risco de vida);

- Equipamentos que possuem dados sensíveis relacionados a saúde;

- Coleta de informações de dispositivos vestíveis;

- Objetos que não foram projetados para serem conectados à internet.

7.1 CENÁRIOS DE VULNERABILIDADES IOT

Muitas características se diferem entre redes de computadores tradicionais e

sistemas inteligentes IoT. De acordo com Wangham et al (2013) enquanto ambientes

tradicionais, possuem um rico recurso computacional, em redes inteligentes a mesma

possui um índice menor do que o esperado, além do mais, a linguagem padrão de

programação dos desenvolvedores são inerentemente mais vulneráveis devido o padrão

C e C++, que diga se de passagem são apropriadas para sistemas embarcados (mais leves).

Uma outra maneira de impactar a segurança nas redes IoT, é a forma com a qual a

comunicação entre os sistemas é realizada de modo eminentemente distribuída,

aumentando ainda mais riscos de potenciais ataques, devido a troca de mensagens entre

os dispositivos (Atzori et al 2010). Contudo, diversos pontos podem impactar o aspecto

segurança, conforme demonstrado na tabela abaixo.

Figura 13: Tabela comparativa entre redes tradicionais e IoT

Fonte: Atzori (2010)

Abaixo citaremos exemplos de casos reais que potenciais ataques aconteceram em

dispositivos inteligentes.

35

Carros: Carros inteligentes, correm um grande risco de invasões, tornando o

mesmo impossibilitado de um correto funcionamento. Como por exemplo, acionamento

remoto de faróis, buzinas, freios, motor, direção entre outros. Em contraponto, empresas

afirmam que monitorar os mesmos via GPS melhora a qualidade dos produtos e da

vigilância dos mesmos.

Babá eletrônica: Diversos casos no mundo ocorreram falhas de segurança no

acesso ao aparelho, tendo assim, imagens e áudio capturados gerando desconforto aos

consumidores. Um caso recente ocorreu 2013 com um casal nos EUA, no qual escutou

gritos de obscenidades para sua filha por meio do aparelho.

Figura 14: Baba Eletrônica

Fonte: Motorola (2016)

Geladeira: Mais de 100 mil eletrodomésticos foram invadidos por hackers mal-

intencionados disparando cerca de 750 spams, ocasionada por falha de configuração

destes produtos e por negligencia de fabricantes em não se preocupar com o aspecto

segurança em seus projetos de programação.

Marca passo: Sistema vulnerável que pode ser invadido por um black hat com o

intuito de mata-lo o paciente deste equipamento que utilizava para sua sobrevivência.

Figura 15: Marca passo inteligente

Fonte: Accent (2016)

36

7.2 PRINCIPAIS RISCOS DE ATAQUES EM REDES IOT

Com a enormidade de dados gerados pelos dispositivos interconectados, as

proteções dessas informações são significativas para a continuidade das operações de

negócio. O primeiro passo de tudo é criar uma estrutura robusta de segurança para

reconhecer os tipos de ameaças (Gartner 2014). Citaremos os principais tipos de ameaça

existentes:

Ataque DOS e DDOS: Método responsável por interromper atividades legítimas,

tendo como objetivo a indisponibilidade de um serviço como por exemplo, navegar na

Internet, fazer um download de um determinado dado, assistir a um canal de televisão via

streaming, dentre outros. O DoS baseia-se em simular, diversas requisições de conexões

ao mesmo tempo (SYN Flood), gerando uma espécie de congestionamento de

processamento nas conexões, ocasionando a indisponibilidade de um serviço devido à

sobrecarga gerada além do esperado (Gartner 2014).

Hacking de APP: Existe diversas formas de quebrar uma aplicação aferindo o seu

funcionamento por completo como por exemplo, Buffer overflow entre outras. Muitas

ferramentas trabalhão de forma automatizadas neste contexto, estão e de fáceis acessos

na internet para qualquer indivíduo malicioso se usufruir.

Phishing: Técnica de engenharia social muito comum nos dias atuais, utilizadas

principalmente para disseminar e-mails fraudulentos para pessoas, sem o conhecimento,

afim de obter informações confidencias da mesma.

Intrusão Física (Bypassing Physical Security): Normalmente os ataques

cibernéticos ocorrem de forma virtual (lógica), porém, a intrusão física é suscetível a

ocorrer, por isso, são necessários mecanismos de segurança física conforme citados

anteriormente. Desativar portas de redes desnecessárias e proteger senhas são ótimas

práticas que ajudam a mitigar esta ameaça.

Spoofing Identity: Método de ataque que usurpa a identidade de uma pessoa ou

de uma máquina por parte de um atacante, ou seja, ele se passa pelos mesmos, sem ter o

consentimento e a autorização dos verídicos.

Tampering with Data: Técnica de restringir configurações de leitura escrita e

gravação. Este conceito deve ser implantado baseando-se no princípio do menor

37

privilegio, ou seja, liberar os requisitos mínimos para o correto funcionamento de um

sistema.

Repudiation: Incorpora verificações de saúde da integridade dos sistemas

utilizados, protegendo as autenticações, à não alteração dos dados pelos produtos IoT.

Information Disclosure: Técnica que se baseia em restringir a divulgação

inapropriada de informações entre produtos IoT e APIs. A validação da criptografia dos

serviços e recursos em nuvem, restringem o acesso dos mesmos por parte dos

fornecedores de IoT.

Elevation of Privilege: Foca em fornecer privilégios mínimos necessários para o

usuário e serviços, garantindo assim, um nível de proteção aceitável.

Gráfico 3: Incidentes de SI reportados e índice de dados violados.

Fonte: Simpósio Gartner/ITExpo (2014)

7.3 OPEN WEB APPLICATION SECURITY PROJECT (OWASP)

É uma organização reconhecida mundialmente, sem fins lucrativos, que ajuda na

melhoria da segurança de softwares e riscos relacionado a segurança na Internet. Possui

uma ampla documentação e metodologias, assim como ferramentas de aplicações web.

Através das estatísticas da OWASP é possível identificar os ataques mais críticos

do mundo inteiro, e com base nisso, priorizar uma lista top 10 que é regularmente

atualizada e disponibilizada na web.

1- Interface Web insegura

2- Autenticação / Autorização insuficientes

38

3- Serviços de rede inseguros

4- Falta de transporte criptografado

5- Problemas de privacidade

6- Interface com a Nuvem insegura

7- Interface móvel insegura

8- Configuração insuficientes de segurança

9- Software / Firmware inseguros

10- Segurança física insuficiente

39

8 TIPOS DE SEGURANÇA SENDO IMPLANTADOS EM IOT

Confidencialidade, integridade, autenticidade e controle de acesso são

dependências do desenvolvimento de segurança nas redes IoT. A implantação da

infraestrutura de chave pública com o uso de certificados digitais, permitem a troca de

informações confiáveis entre dispositivos que estão na nuvem e interligados com

plataformas IoT. A confiança nos dispositivos em IoT, começa no desenvolvimento do

seu produto. De acordo com a Online Trust Allliance (OTA) a mesma elaborou um

framework com intuito de ajudar as organizações a tornarem seus ambientes mais

robustos privados, priorizando no desenvolvimento de um produto seguro.

Citamos abaixo alguns dos requisitos mínimos como sugestões para as empresas

em IoT incluírem em seu portfólio. A lista completa foi publicada no portal OTA, sendo

que, alguns dos itens a seguir, podem não ser aplicáveis a todos os dispositivos e serviços.

- As informações transmitidas entre dispositivos, devem ser criptografadas tanto

em transito quanto armazenadas;

- Redefinir senhas padrões de equipamentos e alterar com regularidade;

- Desenvolvedores e usuários devem aderir as melhores práticas da indústria

usando SSL e HTTPS nos acessos;

- O consumidor deve revisar regularmente as documentações dos fabricantes em

relação à privacidade, preferencias de segurança incluindo informações transmitidas

através dos Devices;

- Eventualmente os fabricantes necessitam divulgar dados de identificação pessoal

dos usuários;

- A política de privacidade deve estar sempre disponível à todos os usuários de

forma facilitada em relação à compra do produto, download e ativação.

8.1 SEGURANÇA NO DESENVOLVIMENTO DE SISTEMAS

Atualmente é necessário que os programadores possuam uma postura segura no

desenvolvimento de suas aplicações, que é a base principal de tudo, porque, de nada

40

adianta implantarmos métodos de proteção em diversas camadas da segurança, se o

esqueleto (código) que é a base de tudo, é vulnerável (Serebryany et al. 2012).

Análise Estática: Neste modelo, também conhecida como análise de código,

ocorre a supervisão do programa antes do mesmo ser distribuído para o varejo. Um ponto

positivo, seria o não overhead durante a real execução do programa, já um ponto negativo

deste modelo, é não possuir informações que apenas estarão disponíveis no momento real

(Serebryany et al. 2012).

Análise Dinâmica: É uma técnica que se beneficia do monitoramento das

informações disponíveis em tempo real, mitigando alarmes falsos (falso positivo) em

relação a análise estática. O resultado, desta análise, não pode concluir acerca do

comportamento geral do programa, pois, são apenas testadas as entradas pertinentes da

aplicação (Serebryany et al. 2012).

8.2 ASPECTOS DE SEGURANÇA NA COMPUTAÇÃO EM NUVEM EM IoT

A nuvem, é uma realidade grandiosa hoje para a maioria das empresas. A internet

das nuvens (Cloud Computing) segundo a Google, será o futuro da internet, esta é a

tendência que o mundo está seguindo. Com essa tecnologia em nossas mãos, facilitará

ainda mais diversos aspectos para o usuário final, fornecendo uma maior abstração da

mobilidade, e a não necessidade de instalação de softwares em computadores físicos,

enfim, tudo acontecerá por meio da internet com o advento da nuvem das coisas, que

trabalhará como uma plataforma; isso já acontece com o Google docs, por exemplo, onde

o usuário não necessita da ferramenta instalada no computador físico local, e sim, apenas

ter acesso à internet para uso da aplicação. Com esse tipo de realidade aumentada, os

computadores e sistemas tendem a ficar bem baratos e as empresas irão aumentar sua

presença online. (DELPHINO, 2011).

A nuvem nos propicia, a possibilidade de acesso sobre demanda a um pool de

recursos compartilhados gerenciáveis de forma centralizada; a mesma permite a abstração

de infraestrutura, gerenciamento de software, plataformas de desenvolvimento remota,

alocação e realocação de recursos de forma dinâmica, sem contatar que a principal

característica da mesma, é a rápida elasticidade (Leitão et al 2012). Novos mecanismos

virtuais estão aparecendo com a integração entre a nuvem e a IoT, fornecendo um

acionamento automático dos mesmos on-cloud.

41

Figura 16: Visão Geral nuvem computacional

Fonte: Minha autoria

Vantagens

Uma das principais vantagens dessa nova tecnologia de computação, se dá

primeiramente na redução de custos físicos, como hardware, manutenções e infraestrutura

em geral, pois não serão mais precisos mega computadores para executar várias

aplicações ao mesmo tempo, e em relação ao custo de licenciamento de software e

licenças, pois poderão acessar diversos serviços via internet e, toda a gestão de

gerenciamento de software incluindo a responsabilidade dos mesmos, fica a rigor do

provedor da nuvem. Os departamentos de TI das empresas seriam minimizados, focando

mais em negócios e não mais apenas em apagar o incêndio que a TI representa na maioria

das organizações (DELPHINO, 2011)

Desvantagens

Um dos principais percalços da nuvem, é a falta de legislação nos países onde os

provedores de serviços estão. Questões como confidencialidade e espionagem industrial

causada por leis maiores e vigentes dos países de destino, tornam-se um impasse para

empresas e órgãos públicos adotarem essa tecnologia. O Brasil há alguns anos atrás, foi

vitima que de espionagem por parte do FBI, devido a toda nossa infraestrutura do

governo, ser alocada nos EUA. Outro fator é a localização geográfica dos dados que o

cliente está alocando, gerando certa desconfiança em muitas empresas para não migrar

para essa tecnologia em virtude desse fato. Todas essas questões poderiam ser amenizadas

se os CIOs tivessem uma cultura de incentivar seus subordinados, de se atenrem aos SLAs

dos provedores antes da fecha do contrato (DELPHINO, 2011).

Aspectos de segurança na nuvem e IoT

Nem tudo é maravilha, pois a nuvem possui elevados riscos de segurança caso a mesma

não seja levada em consideração, e fatores de segurança de última milha, deverão ser

priorizados ainda mais ao se tratar da interligação entre nuvem e IoT. Um dos fatores que

pode ser uma desvantagem na computação em nuvem, é a falta de interoperabilidade e

aprovisionamento de aplicações, segurança inadequada e incompatibilidade entre

aplicações.

Com a imensa evolução, pode se sentir o peso da realidade das coisas no nosso

cotidiano, no qual por sua vez, a nuvem, demonstra também alta velocidade de

42

crescimento no mercado, sendo igualada com forças junto com IoT, trazendo mobilidade

e impulsionando projetos e capacidades a demanda em tempo real nas redes inteligentes.

A realidade por si só não mente, a computação na nuvem é uma grande aliada e apoiadora

de projetos com ofertas em nuvem das coisas, oferecendo um processamento gigantesco

de informações que serão gerados pelos novos serviços que virão na atualidade.

43

9 BOAS PRÁTICAS EM SEGURANÇA EM IOT

Governos, corporações privadas e usuários estão suscetíveis a ataques digitais,

com toda esta informatização no mundo. Cabe aos profissionais da área encontrar

soluções que melhoram, neutralizam, mitigam, as possíveis brechas na área de IoT.

- Elaborar uma boa política de privacidade;

- Utilizar senhas complexas nos processos de autenticação;

- Trocar informações apenas com dispositivos em meios criptografados;

- Gerenciar atualizações e firmware de fontes confiáveis;

- Separar dispositivos de armazenamento de informações críticas;

- Desabilitar recursos de conexão remota e utilizar VPN sempre que é possível;

- Desabilitar portas não utilizadas;

- Dispositivos resistentes a violação de dados;

- Integrar as estratégias empresarias das organizações com a IoT, aumentando

assim a segurança digital;

- Considere incluir a autenticação de dois fatores nas aplicações;

- Contrate um profissional de segurança para aprovar e auditar as funções de

segurança e designer do aplicativo.

44

CONCLUSÃO

Ao término deste trabalho, conclui-se que, a IoT é uma realidade notória em

nossas vidas. A Internet das Coisas, permite a interconexão de pessoas, objetos e recursos

do mundo real, oferecendo uma gama variada de serviços que trazem conforto, qualidade

de vida, eficiência e oportunidade de negócios. A IoT se tornou um mercado promissor

em alto potencial pois, pode-se imaginar uma série de aplicações, nas mais diversas áreas

do conhecimento humano, e principalmente, no quotidiano das pessoas na atualidade. A

existência dos objetos em IoT, baseia-se pela existência de objetos conhecidos com o

codinome “inteligentes”, pelo desenvolvimento, capacidade e disponibilidade de uma

variação de sensores, e principalmente pela popularização da expansão e uso da Internet.

A medida que se tem, mais e mais, objetos proliferados e interconectados,

aumenta-se consequentemente a preocupação com a segurança da informação, sendo em

um ambiente tradicional ou em nuvem como a tendência. Não é nenhuma novidade

falarmos de privacidade e métodos de ataque que atualmente a internet e as empresas

sofrem hoje em dia.

De uma coisa é certa, quanto mais informações estiverem disponíveis na mão dos

usuários fornecendo a mobilidade, maior será a probabilidade de vulnerabilidades no

mercado. Outro aspecto como falta de interoperabilidade, compatibilidade e

escalabilidade de aplicações, são desafios futuros para a IoT, pois muitos sistemas hoje

ainda não se comunicam devido as limitações de seus protocolos proprietários, gerando

um desconforto para os usuários em termos de funcionamento, e neste mundo onde tudo

está conectado, se torna praticamente impossível não se comunicar, ainda mais de forma

segura. Em alguns casos, outros problemas como falta de heterogeneidade se torna um

dos principais desafios ao falarmos em IoT.

Enfim, nem tudo é mar de rosas para essa tecnologia do futuro. Muitos riscos e

brechas começam pela cultura do desenvolvedor em não programar com uma postura

segura o seu código pois, de nada adianta implantar mecanismos de mitigação em SI, se

o próprio código não foi construído de uma forma segura. É quase impossível afirmarmos

que existe um ambiente 100% seguro e livre de erros. Em qualquer ambiente sendo

drástico ou não, existem diferentes formas de se obter um determinado dado sem a

anuência das entidades autenticadas, infringindo assim, qualquer barreira de segurança

que garantam a privacidade de um determinado dado. Mesmo sem a obtenção de um

ambiente 100%, pode-se sim, atenuar os efeitos causados pelas pragas externas que

afetam as informações em uma sessão nas comunicações.

A segurança da informação, infelizmente é vista pelos usuários como fator

negativo, devido aos conjuntos de restrições físicas e lógicas que são impostas pelos

gestores de segurança em um ambiente corporativo. Muitas vezes essas regras diminuem

45

a liberdade dos usuários em certas tarefas, tornando-se a utilização dos sistemas muito

mais complexas, devido às limitações aplicadas, por exemplo, em diretivas de segurança

de grupos pelo domínio. Enfim, a segurança mesmo sendo odiada por muitos, é um mal

necessário ironicamente falando, tanto para desenvolvedores, empresários, entusiastas e

consumidores da tecnologia por si só. Assim entendo, que a Internet nas nuvens por ser

algo grandioso, chegará aliado com a IoT em um momento que, a enormidade de dados

será assustadora, e o crescimento será sem barreiras. Pergunto, será que nós temos

tamanho em volume suficiente para suportar a grande quantidade de informações

transferidas entre dispositivos e tecnologia de forma segura e privada, evitando assim, o

vazamento de informações e até o fim de uma empresa?

Vale ressaltar, que este trabalho possibilitou um aprendizado e acréscimo

exorbitante em relação especial a área de Segurança da Tecnologia da Informação,

fortalecendo assim, muitos conceitos e métricas de proteção que irão contribuir para o

uso correto da informação em um determinado segmento.

46

REFERÊNCIAS BIBLIOGRÁFICAS

BORGES, João Neto et al. Internet das Coisas: da Teoria à Prática, 2014. Disponível

em: < http://homepages.dcc.ufmg.br/~mmvieira/cc/papers/internet-das-coisas.pdf>. Acessado em: 04/09/2016.

PITANGA, Marcelo et al. Plataformas para a Internet das Coisas, 2015. Disponível

em: < http://sbrc2015.ufes.br/wp-content/uploads/Ch3.pdf>. Acessado em: 04/09/2016.

OTA, Online Trust Alliance. IoT Trust Framework – Discussion Draft 2015. Disponível

em: <https://otalliance.org/system/files/files/resource/documents/iot_trust_frameworkv

1. pdf>. Acessado em: 04/09/2016.

ZARGHAMI, Shirin. Middleware for Internet of Things, 2013. Disponível em:

<http://essay.utwente.nl/64431/1/final_Thesis-ver2.pdf>. Acessado em 22/10/2016.

RUSSELL, Brian, Durem Van Drew. Practical Internet of Things Security, 2016.

Disponível em: < https://www.amazon.com/Practical-Internet-Things-Security-Russell/

dp/ 178588963X >. Acessado em 27/10/2016.

QIJING, Athanasios V et al. Security of the Internet of Things: perspectives and

challenges, 2014. Disponível em:< http://link.springer.com/article/10.1007/s11276-014-

0761-7>. Acessado em 25/09/2016.

CHUN-WEI, TsaiChin-Feng et al. Future Internet of Things: open issues and

challenges, 2014. Disponível em:< http://link.springer.com/article/10.1007/s11276-014-

0731-0 >. Acessado em 25/09/2016.

ZHOUA, Jianving et al. On the features and challenges of security and privacy in

distributed internet of things, 2013. Disonivel em: < http://www.sciencedirect.com/

science/article/pii/S1389128613000054 >. Acessado em 19/09/2016.

WAN, Jiafu et al. Security in the Internet of Things: A Review, 2012. Disponível em: <

http://ieeexplore.ieee.org/document/6188257 >. Acessado em 22/09/2016.

YEAGER, William James et al. Introduction to Securing the Cloud and the Internet of

Things Minitrack, 2016. Disponível em:<http://ieeexplore.ieee.org/document/

7427901>. Acessado em 10/10/2016.

GRIECOB, L.A et al. Security, privacy and trust in Internet of Things: The road ahead,

2014. Disponível em: <http://www.sciencedirect.com/science/article/pii/S13891286140

03971>. Acessado em 19/09/2016.

KUMAR, J Sathish et al. A Survey on Internet of Things: Security and Privacy Issues,

2014. Disponível em: < http://search.proquest.com/openview/40377b0dc480e8d

cceafd9d784228a9d/1?pq-origsite=gscholar>. Acessado em 19/09/2016.

GUBBI, Jayavardhana et al. Internet of Things (IoT): A vision, architectural elements,

and future directions, 2013.Disponível em: <http://www.sciencedirect.com/science/

article/pii/S0167739X13000241>. Acessado em 19/09/2016.

GARTNER, Hype Cycle for Emerging Technologies Identifies the Computing

Innovations That Organizations Should Monitor, 2015. Disponível em: < http://www.

gartner.com/newsroom/id/3114217>. Acessado em: 25/09/2016.

47

IEEEXPLORE. IEEE Xplore Digital Library, 2016. Disponível em: <http://ieeexplore.ieee.org/xpl/aboutUs.jsp>. Acessado em 17/09/2016.

DWIVEDI, A. K.; VYAS, O. P. Network layer protocols for wireless sensor networks:

existing classifications and design challenges. In: International Journal of Computer

Applications, 2010. Acessado em: 25/09/2016.

ZANELLA, A., Bui, N., Castellani, A., Vangelista, L., Zorzi, M. (2014) “Internet of

Things for smart cities”, IEEE Internet of Things Journal. Acessado em: 25/09/2016.

TANENBAUM, Andrew S. / J. Wetherall,David. Redes de Computadores - 5ª Ed. –

2011. Acessado em: 17/09/2016.

KHAN, R et al. 2012. Future internet: the internet of things architecture, possible

applications and key challenges. In Frontiers of Information Technology (FIT), 2012.

International Conference. IEEE. Acessado em: 10/10/2016.

KUROSE, J. F.; ROSS, K. W. Redes de Computadores e a Internet: uma abordagem

top-down. 5. ed. São Paulo: Pearson, 2010. Acessado em: 10/10/2016.

GEMALTO, security to be free. Uma Internet das Coisas Mais Segura, 2016. Disponível

em< http://www.gemalto.com/brochures-site/download-site/Documents/iot-security-

ebook-po.pdf>. Acessado em 07/10/2016.

IEC, International Electrotechnical Commission Internet of Things: Wireless Sensor

Networks, 2014. Disponível em: < http://www.iec.ch/whitepaper/pdf/iecWP-

internetofthings-LR-en.pdf >. Acessado em 22/09/2016.

AL-FUQAHA et al. Internet of things: A survey on enabling technologies, protocols,

and applications, 2015. Disponível em: < http://ieeexplore.ieee.org/document/7123563/

>. Acessado em 25/09/2016.

ZARGHAMI, Shirin. Middleware for Internet of Things, 2013. Disponível em:

<http://essay.utwente.nl/64431/1/final_Thesis-ver2.pdf>. Acessado em 22/10/2016.

TEC, Telecommunication Engineering Center, Ministry of Communications of

government of índia. Machine-to-Machine Communication (M2M), 2014. Disponivel:

<http://tec.gov.in/pdf/studypaper/white%20paper%20on%20machinetomachine%20(m2

m)communication.pdf >. Acessado em 25/09/2016.

WANGHAM, M. S. et al. Gerenciamento de Identidades Federadas. Minicursos do

Simpósio Brasileiro em Segurança da Informação e de Sistemas Computacionais.

Acessado em 25/10/2016.

ATZORI et al. The Internet of Things: A survey, 2010. Disponível em:< https://www.

miun.se/siteassets/fakulteter/nmt/summer-university/1-s20s1389128610001568mainpdf

>. Acessado em 23/09/2016.

SEREBRYANY et al. Addresssanitizer: a fast address sanity Checker, 2012. Disponível

em:< https://www.usenix.org/conference/atc12/addresssanitizer-fast-address-sanity-

checker>. Acessado em 15/10/2016.

48

ACM. ACM Digital Library. 2016. Disponível em: <http://dl.acm.org/>. Acessado em: 22/09/2016.

FREIRE, Jean et al. Segurança de Software em Sistemas Embarcados: Ataques & Defesas, 2013. Disponível em:< http://wiki.inf.ufpr.br/maziero/lib/exe/fetch.php?media =ceseg:2013-sbseg-mc3.pdf >. Acessado em 21/10/2016.

LINS, Theo. Internet Das Coisas : Coletando Dados Na IoT, 2015 Disponível: <http://www.decom.ufop.br/imobilis/iot-coletando-dados/> Acessado em: 27/09/2016.

OHTA, Luis Ricardo; ITO, Márcia; SILVA, Ademir Ferreira da. Passado, Presente e Futuro: Wearables e Internet das Coisas, 2015. Acessado em: 25/09/2016.

AIRTON A. de Jesus Junior et al. Infrastructure Security for Internet of Things, 2010

Disponível em:< http://www.revista.ufpe.br/gestaoorg/index.php/gestao/article/viewFile

/787/493>. Acessado em 17/09/2016.

SILVA, R. Arquiteturas e protocolos de comunicação. Escola Náutica Infante

Henrique. 2010. Disponível em: < http://www.enautica.pt/publico/professores/

ruisilva/2012201 3/itd/pdfalunos/1-Modelo%20OSI%20e%20TCPIP.pdf >. Acesso em:

10/09/2016.

LEITÃO, L. NaturalCloud: Um framework para integração de Rede de Sensores sem

Fio na Nuvem. In: X Workshop em Clouds, Grids e Aplicações WCGA, 2012, Ouro

Preto -MG. Anais do X Workshop em Clouds, Grids e Aplicações, 2012. Acessado em

22/09/2016.

EVANS, Dave. A Internet das Coisas Como a próxima evolução da Internet está

mudando tudo. Cisco Internet Business Solutions Group (IBSG), 2011. Disponível

em: <http://www.cisco.com/web/BR/assets/executives/pdf/internet_of_things_iot_ibsg

_0411final. pdf>. Acessado em: 22/10/2016.