panorama de segurança na internet das coisas
TRANSCRIPT
![Page 1: Panorama de Segurança na Internet das Coisas](https://reader033.vdocuments.pub/reader033/viewer/2022052606/588451021a28ab903b8b4f4f/html5/thumbnails/1.jpg)
Panorama de Segurança na Internet das Coisas
Nichols Aron Jasper - Novembro/2015
![Page 2: Panorama de Segurança na Internet das Coisas](https://reader033.vdocuments.pub/reader033/viewer/2022052606/588451021a28ab903b8b4f4f/html5/thumbnails/2.jpg)
2
Agenda
06
1. Definições Importantes
2. Cenário Atual
3. Ameaças
4. Vulnerabilidades
5. Desafios de Segurança
6. Será que devemos nos preocupar?
7. Controles de Segurança
8. Simulação – Firmware de um IoT
9. Observação importante
10.Aprofundamento
![Page 3: Panorama de Segurança na Internet das Coisas](https://reader033.vdocuments.pub/reader033/viewer/2022052606/588451021a28ab903b8b4f4f/html5/thumbnails/3.jpg)
3
1. Definições
• A Internet das Coisas ou Internet of Things
(IoT) se refere à rede de objetos físicos
que contém tecnologias para se comunicar
e interagir com demais objetos, ou o
ambiente externo, através das redes de
computadores.*
• Internet das Coisas se refere a um
desenvolvimento da Internet no qual
objetos do cotidiano possuem
conectividade de rede, permitindo o envio
e recebimento de dados.**
*Fonte: Gartner - http://www.gartner.com/it-glossary/internet-of-things/
**Fonte: Oxford - http://www.oxforddictionaries.com/definition/english/internet-of-things
![Page 4: Panorama de Segurança na Internet das Coisas](https://reader033.vdocuments.pub/reader033/viewer/2022052606/588451021a28ab903b8b4f4f/html5/thumbnails/4.jpg)
4
1. Definições
Fonte: http://electronicdesign.com/iot/understanding-protocols-behind-internet-things
![Page 5: Panorama de Segurança na Internet das Coisas](https://reader033.vdocuments.pub/reader033/viewer/2022052606/588451021a28ab903b8b4f4f/html5/thumbnails/5.jpg)
5
1. Definições
• M2M – Comunicações Machine-to-machine (M2M) - é o nome dado aouso de transmissão automatizada dedados e/ou métricas entre dispositivoseletrônicos ou mecânicos.
• São características de um SistemaM2M
Operação de dispositivos em campo.
Comunicação de rede (com fio / sem fio)em um mais protocolos (Wi-Fi, ZigBee,WiMAX, wireless LAN (WLAN), genericDSL (xDSL), fiber to the x (FTTx), etc
Sensores embarcados para coleta dedados.
• As tecnologias M2M são apenas umaparte do conceito de IoT.
Fonte: http://www.gartner.com/it-glossary/machine-to-machine-m2m-communications
![Page 6: Panorama de Segurança na Internet das Coisas](https://reader033.vdocuments.pub/reader033/viewer/2022052606/588451021a28ab903b8b4f4f/html5/thumbnails/6.jpg)
6
1. Definições
• As “coisas” são dispositivos que um identificadorúnico, um sistema embarcado e tem capacidade dese conectar a uma rede e transmitir dados,podendo até estar integrados a seres humanos eanimais.*
• Eles compartilham algumas características.• Inteligentes (Software)
• Ubíquos (“Onipresente”)
• Conectados (Redes)
• Conscientes (Sensores ou Atuadores)
*Fonte: http://whatis.techtarget.com/definition/Internet-of-Things
![Page 7: Panorama de Segurança na Internet das Coisas](https://reader033.vdocuments.pub/reader033/viewer/2022052606/588451021a28ab903b8b4f4f/html5/thumbnails/7.jpg)
7
1. Definições
Dispositivos
Redes
ServiçosEcossistema
![Page 8: Panorama de Segurança na Internet das Coisas](https://reader033.vdocuments.pub/reader033/viewer/2022052606/588451021a28ab903b8b4f4f/html5/thumbnails/8.jpg)
8
1. Definições
1º Vídeo
Estamos numa nova fase – TV Cultura
![Page 9: Panorama de Segurança na Internet das Coisas](https://reader033.vdocuments.pub/reader033/viewer/2022052606/588451021a28ab903b8b4f4f/html5/thumbnails/9.jpg)
10
2. Cenário Atual
Fonte: Gartner Hype Cycle for Emerging Technologies, 2015
![Page 10: Panorama de Segurança na Internet das Coisas](https://reader033.vdocuments.pub/reader033/viewer/2022052606/588451021a28ab903b8b4f4f/html5/thumbnails/10.jpg)
11
2. Cenário Atual
Fonte: http://tctechcrunch2011.files.wordpress.com/2013/05/internetofthings2.jpg
![Page 11: Panorama de Segurança na Internet das Coisas](https://reader033.vdocuments.pub/reader033/viewer/2022052606/588451021a28ab903b8b4f4f/html5/thumbnails/11.jpg)
12
2. Cenário Atual
Fonte: Security_Guidance_for_Early_Adopters_of_the_Internet_of_Things – CSA Alliance
![Page 12: Panorama de Segurança na Internet das Coisas](https://reader033.vdocuments.pub/reader033/viewer/2022052606/588451021a28ab903b8b4f4f/html5/thumbnails/12.jpg)
13
2. Cenário Atual
Fonte: Insecurity in the Internet of Things - https://www.elevenpaths.com/wp-content/uploads/2015/10/TDS_Insecurity_in_the_IoT.pdf
![Page 13: Panorama de Segurança na Internet das Coisas](https://reader033.vdocuments.pub/reader033/viewer/2022052606/588451021a28ab903b8b4f4f/html5/thumbnails/13.jpg)
14
Ameaças IoT
3. Ameaças
Malware
Violação de Privacidade
Danos a pessoas
Negação de Serviço
Perdas Financeiras / Fraudes
Backdoors
![Page 14: Panorama de Segurança na Internet das Coisas](https://reader033.vdocuments.pub/reader033/viewer/2022052606/588451021a28ab903b8b4f4f/html5/thumbnails/14.jpg)
15
4. Vulnerabilidades – Owasp IoT Project (2014)
1. Interface Web insegura.
2. Falha nos processos de autenticação e autorização.
3. Serviços de rede inseguros.
4. Ausência de proteção no transporte de informações.
5. Falhas na proteção da privacidade.
6. Interface Cloud insegura.
7. Interface Mobile insegura.
8. Mecanismos de segurança insuficientes
9. Atualizações inseguras de software e firmware.
10.Segurança física insuficiente.
Fonte: https://www.owasp.org/index.php/OWASP_Internet_of_Things_Top_Ten_Project#tab=OWASP_Internet_of_Things_Top_10_for_2014
![Page 15: Panorama de Segurança na Internet das Coisas](https://reader033.vdocuments.pub/reader033/viewer/2022052606/588451021a28ab903b8b4f4f/html5/thumbnails/15.jpg)
16
4. Vulnerabilidades – IoT – o pior dos mundos?
Rede
Aplicação
Mobile
Cloud
IoT
Serviços, criptografia, firewall
Auth, Autz, Validação de Entradas
APIs inseguras, criptografia fraca
Integração massiva, gestão de privilégios e identidades
Rede + App + Mobile + Cloud
Fonte: Daniel Miessler - Securing the Internet of Things: Mapping Attack Surface Areas Using the OWASP IoT Top 10 – RSA CONF
2015
![Page 16: Panorama de Segurança na Internet das Coisas](https://reader033.vdocuments.pub/reader033/viewer/2022052606/588451021a28ab903b8b4f4f/html5/thumbnails/16.jpg)
17
4. Vulnerabilidades – IoT – o pior dos mundos?
Rede
Aplicação
Mobile
Cloud
IoT
Fonte: Daniel Miessler - Securing the Internet of Things: Mapping Attack Surface Areas Using the OWASP IoT Top 10 – RSA CONF
2015
• 10/10 sistemas de segurança aceitam ‘123456’
• 10/10 sistemas de segurança não bloqueiam
usuários
• 10/10 sistemas de segurança permitem
enumeração de serviços
• Serviços de SSH aceitam acesso com root/“”
• 6/10 interfaces web possuem falha de XSS/SQLi
• 70% dos dispositivos não usam nenhuma
criptografia
• 8/10 coletam informações pessoais
• 9/10 não possuem configurações de
autenticação forte
• Transmitem streaming de vídeo sem
autenticação
• Praticamente não existem sistemas de
atualização de software
![Page 17: Panorama de Segurança na Internet das Coisas](https://reader033.vdocuments.pub/reader033/viewer/2022052606/588451021a28ab903b8b4f4f/html5/thumbnails/17.jpg)
18
5. Desafios de Segurança
• Dificuldades para atualizar sistemas
vulneráveis.
• Dispositivos operando fora do perímetro, as
vezes a quilômetros de distância.
• Grande quantidade de fornecedores e padrões.
• Baixa maturidade em segurança.
• Baixo custo – muitos dispositivos são
“descartáveis”.
• Restrições nativas dos equipamentos
(memória, processamento e rede).
• Controles e modelos tradicionais de segurança
podem não ser aplicáveis.
• Provisionamento da largura de banda ainda é
um desafio.
![Page 18: Panorama de Segurança na Internet das Coisas](https://reader033.vdocuments.pub/reader033/viewer/2022052606/588451021a28ab903b8b4f4f/html5/thumbnails/18.jpg)
19
6. Será que devemos nos preocupar?
![Page 19: Panorama de Segurança na Internet das Coisas](https://reader033.vdocuments.pub/reader033/viewer/2022052606/588451021a28ab903b8b4f4f/html5/thumbnails/19.jpg)
20
6. Será que devemos nos preocupar?
![Page 20: Panorama de Segurança na Internet das Coisas](https://reader033.vdocuments.pub/reader033/viewer/2022052606/588451021a28ab903b8b4f4f/html5/thumbnails/20.jpg)
21
6. Será que devemos nos preocupar?
Fonte: http://www.defenseone.com/technology/2015/04/how-hack-military-
drone/111391/
![Page 21: Panorama de Segurança na Internet das Coisas](https://reader033.vdocuments.pub/reader033/viewer/2022052606/588451021a28ab903b8b4f4f/html5/thumbnails/21.jpg)
22
6. Será que devemos nos preocupar?
Fonte: http://community.hpe.com/t5/Security-Research/Hacking-my-smart-TV-
an-old-new-thing/ba-p/6645844
![Page 22: Panorama de Segurança na Internet das Coisas](https://reader033.vdocuments.pub/reader033/viewer/2022052606/588451021a28ab903b8b4f4f/html5/thumbnails/22.jpg)
23
6. Será que devemos nos preocupar?
Fonte: https://www.incapsula.com/blog/ddos-botnet-soho-router.html
![Page 23: Panorama de Segurança na Internet das Coisas](https://reader033.vdocuments.pub/reader033/viewer/2022052606/588451021a28ab903b8b4f4f/html5/thumbnails/23.jpg)
24
6. Será que devemos nos preocupar?
Fonte: http://www.bbc.com/news/technology-34390165
![Page 24: Panorama de Segurança na Internet das Coisas](https://reader033.vdocuments.pub/reader033/viewer/2022052606/588451021a28ab903b8b4f4f/html5/thumbnails/24.jpg)
25
6. Será que devemos nos preocupar?
Fonte: http://www.economist.com/news/special-report/21606420-perils-connected-devices-home-
hacked-home e http://www.wired.com/2014/07/hacking-home-alarms/
![Page 25: Panorama de Segurança na Internet das Coisas](https://reader033.vdocuments.pub/reader033/viewer/2022052606/588451021a28ab903b8b4f4f/html5/thumbnails/25.jpg)
26
6. Será que devemos nos preocupar?
Fonte: http://www.forbes.com/sites/andygreenberg/2013/07/24/hackers-reveal-nasty-new-car-
attacks-with-me-behind-the-wheel-video/
![Page 26: Panorama de Segurança na Internet das Coisas](https://reader033.vdocuments.pub/reader033/viewer/2022052606/588451021a28ab903b8b4f4f/html5/thumbnails/26.jpg)
27
6. Será que devemos nos preocupar?
Fonte: http://www.wired.com/wp-
content/uploads/2014/08/Screen-
Shot-2014-08-05-at-10.08.53-
AM.png
![Page 27: Panorama de Segurança na Internet das Coisas](https://reader033.vdocuments.pub/reader033/viewer/2022052606/588451021a28ab903b8b4f4f/html5/thumbnails/27.jpg)
28
7. Controles de segurança IoT
Fonte: Architectural Considerationsin Smart Object Networking- https://www.ietf.org/proceedings/92/slides/slides-92-iab-techplenary-2.pdf
• Realizar exercícios de Modelagemde Ameaças
• Avaliar os controles e estratégias detratamento de riscos
Gestão de Riscos
• Padrões de segurança
• Especificação de requisitos desegurança
Seguir boas práticas de arquitetura
• Realizar testes de intrusãosimulando possíveis atacantes
• Avaliar ciclicamente novasameaças
Aprender com os ataques
![Page 28: Panorama de Segurança na Internet das Coisas](https://reader033.vdocuments.pub/reader033/viewer/2022052606/588451021a28ab903b8b4f4f/html5/thumbnails/28.jpg)
29
7. Controles de segurança IoT
• Proteção dos dispositivos
Boot seguro dos dispositivos
Funções de segurança embarcadas (Firewall, IPS)
Atualizações de segurança
Autenticação
Detecção contra adulteração (tampering)
Registros de auditoria (logs)
• Proteção das Comunicações
Segurança no acesso remoto ao dispositivo
Segurança de dados – transmissão e armazenamento
• Gestão de Segurança
Monitoramento dos dispositivos – Security Analytics
Aplicação de políticas de segurança
Fonte: The Internet of Secure Things – What is Really Needed to Secure the Internet of Things? -http://www.iconlabs.com/prod/internet-secure-things-%E2%80%93-what-really-needed-secure-internet-things
![Page 29: Panorama de Segurança na Internet das Coisas](https://reader033.vdocuments.pub/reader033/viewer/2022052606/588451021a28ab903b8b4f4f/html5/thumbnails/29.jpg)
30
7. Controles de segurança IoT
Fonte: Symantec - An Internet of Things Reference Architecture
![Page 30: Panorama de Segurança na Internet das Coisas](https://reader033.vdocuments.pub/reader033/viewer/2022052606/588451021a28ab903b8b4f4f/html5/thumbnails/30.jpg)
31
8. Simulação – Firmware de um IoT
• Demo – IoT Goat
![Page 31: Panorama de Segurança na Internet das Coisas](https://reader033.vdocuments.pub/reader033/viewer/2022052606/588451021a28ab903b8b4f4f/html5/thumbnails/31.jpg)
32
9. Observação Importante
• Quando as empresas irão se importar com
segurança em IoT?
“Only after Internet of Things devices get hacked en masse,
and only after billions of internet-connected devices are
deployed in the wild,” (…)“We know this future is coming,
and there isn’t a lot we can do to stop it. The question I’m
asking myself today, is when that day comes, and it will,
how can we address the IoT problem 5-10 years from now
with billion of those insecure devices in circulation? I don’t
have a good answer yet, but we’ve got time.”
Fonte: Jeremiah Grossman, chief technology officer at WhiteHat Security -http://krebsonsecurity.com/2015/11/the-lingering-mess-from-default-insecurity/
![Page 32: Panorama de Segurança na Internet das Coisas](https://reader033.vdocuments.pub/reader033/viewer/2022052606/588451021a28ab903b8b4f4f/html5/thumbnails/32.jpg)
33
10. Aprofundamento
• IEEE - Internet of Things - 12 Webinars http://iot.ieee.org/whats-new/webinars.html
![Page 33: Panorama de Segurança na Internet das Coisas](https://reader033.vdocuments.pub/reader033/viewer/2022052606/588451021a28ab903b8b4f4f/html5/thumbnails/33.jpg)
34
10. Aprofundamento
• Coursera - Internet of Things – 19 Cursos https://www.coursera.org/courses/?query=%22internet%20of%20things%22
![Page 34: Panorama de Segurança na Internet das Coisas](https://reader033.vdocuments.pub/reader033/viewer/2022052606/588451021a28ab903b8b4f4f/html5/thumbnails/34.jpg)
35
10. Aprofundamento
• FutureLearn - The Internet of Things https://www.futurelearn.com/courses/internet-of-things
![Page 35: Panorama de Segurança na Internet das Coisas](https://reader033.vdocuments.pub/reader033/viewer/2022052606/588451021a28ab903b8b4f4f/html5/thumbnails/35.jpg)
36
10. Aprofundamento
• Microsoft Virtual Academy – Fundamentos de IoT https://mva.microsoft.com/pt-br/training-courses/a-internet-das-coisas-fundamentos-de-iot-12622
![Page 36: Panorama de Segurança na Internet das Coisas](https://reader033.vdocuments.pub/reader033/viewer/2022052606/588451021a28ab903b8b4f4f/html5/thumbnails/36.jpg)
37
10. Aprofundamento
• CPQD – Webinars / Desafio IoT https://www.cpqd.com.br/midia-eventos/webinars/webinars-iot-internet-das-coisas-programacao/
![Page 37: Panorama de Segurança na Internet das Coisas](https://reader033.vdocuments.pub/reader033/viewer/2022052606/588451021a28ab903b8b4f4f/html5/thumbnails/37.jpg)
38
Referências
• Security of things - break for better: Chris Valasek at TED -
https://www.youtube.com/watch?v=ie_JC2tG_G4
• RSA 2015 - IOT: When Things Crawl Into Your Corporate Network
• RSA 2015 - Securing the Internet of Things: Mapping Attack Surface
Areas Using the OWASP IoT Top 10
• Gibi - Inspirando a internet das coisas -
https://iotcomicbook.files.wordpress.com/2013/10/iot_comic_book_speci
al_br.pdf
• Security Guidance for Early Adopters of the Internet of Things (IoT) –
CSA
• Understanding The Protocols Behind The Internet Of Things -
http://electronicdesign.com/iot/understanding-protocols-behind-internet-
things
• Internet of Bad Things -
https://www.lightbluetouchpaper.org/2015/11/13/internet-of-bad-things/