sikkerhet i internet of things
TRANSCRIPT
SINTEFIKT 1
MarieMoe,PhD,ForskervedSINTEFIKT,Systemutviklingogsikkerhet
SikkerhetiInternet of Things
@MarieGMoe@SINTEF_Infosec
SINTEFIKT
• Hvakangågalt?• Hvordansikre”dingsenesInternett”bedre?
2
Agenda
SINTEFIKT
• Mangesmåaktørerogoppstartsbedrifter påmarkedet• Manglendestandardiseringoginteroperabilitet• Mangeeksemplerpådårligsikkerhetiproduktene• Billighardwaresomikkeharkapasitettilsikkerhetsprotokoller• Litebevissthetogkunnskapomsikkerhetogpersonvern iIoT hosforbrukerne• Personsensitivdatalastesopptilskyen• Patching kanværeproblematisk• Umodentlovverkogregulering
3
IoT-sikkerhet:Statusi 2016
SINTEFIKT
• Gartner:• 5,5millioner nye dingser vil bli koblet opp motIoT hver eneste dagi 2016• I2020vil posten i sikkerhetsbudsjettene forhåndtering av sikkerhetshendelser i IoT haøkt til 20%
• IDC:• Innen 2018vil 66%av alle nettverk hablitt kompromittert viaIoT• Innen 2020vil 10%av alle cyberangrep være rettet motIoT systemer
4
Hvordan ser fremtiden ut?
SINTEFIKT 5
Kilde:http://www.weforum
.org/agenda/2015/11/is-this-future-of-the-internet-of-things/
SINTEFIKT 6
Hva kan gå galt?
SINTEFIKT 7
Smarthusovervåkningssystemsomikkevarslervedsensorutfall
https://community.rapid7.com/community/infosec/blog/2016/01/05/r7-2015-23-comcast-xfinity-home-security-system-insecure-fail-open
SINTEFIKT 8
Softwarebug ismarttermostatsomtømmerbatterietogslåravstrømmen
http://mobile.nytimes.com/2016/01/14/fashion/nest-thermostat-glitch-battery-dies-software-freeze.html
SINTEFIKT 9
Smarthustermostatgiruvedkommendetilgangtiltrådløsnettet
http://krebsonsecurity.com/2016/02/iot-reality-smart-devices-dumb-defaults/
SINTEFIKT 10
http://blog.talosintel.com/2016/02/trane-iot.html
SINTEFIKT 11
Lekker informasjonviasårbarhet i API!
Barnets navnFødselsdatoKjønn
Kilde:https://community.rapid7.com/community/infosec/blog/2016/02/02/security-vulnerabilities-within-fisher-price-smart-toy-hereo-gps-platform
SINTEFIKT 12
Kilde:http://www.somersetrecon.com/blog/2015/11/20/hello-barbie-security-part-1-teardown
SINTEFIKT 13
Kilde:http://www.somersetrecon.com/blog/2015/11/20/hello-barbie-security-part-2-analysis
SINTEFIKT 14
Fitnessarmbåndetditttillateruvedkommendeåsporedeg
https://openeffect.ca/reports/Every_Step_You_Fake.pdf
SINTEFIKT 15
SINTEFIKT 16
http://motherboard.vice.com/read/hacker-obtained-childrens-headshots-and-chatlogs-from-toymaker-vtech
SINTEFIKT 17
SINTEFIKT 18
VTech sinrespons:OppdatertEULA
http://www.troyhunt.com/2016/02/no-vtech-cannot-simply-absolve-itself.html
SINTEFIKT 19
Overvåkningskameraogbabymonitoreråpenttilgjengeligpånett
http://arstechnica.com/security/2016/01/how-to-search-the-internet-of-things-for-photos-of-sleeping-babies/
SINTEFIKT
http://video.wired.com/watch/hackers-wireless-jeep-attack-stranded-me-on-a-highway
SINTEFIKT
http://www.ioactive.com/pdfs/IOActive_Remote_Car_Hacking.pdf
SINTEFIKT
http://www.ioactive.com/pdfs/IOActive_Remote_Car_Hacking.pdf
SINTEFIKT
http://www.bbc.com/news/technology-34156598
SINTEFIKT
http://www.wired.com/2015/09/gm-took-5-years-fix-full-takeover-hack-millions-onstar-cars/
SINTEFIKT
Det”medisinskeInternet of Things”
Nårsensorsystemeneimplanteresikroppenmåvibeskyttevårpersonligekritiskeinfrastruktur!
SINTEFIKT
Ienganskenærfremtid...
https://www.youtube.com/watch?v=ZiQJIpd2n8k
SINTEFIKT 27
SINTEFIKT
Utfordringer
• Proprietæreløsningerutenvelkjenteogstandardiserteprotokoller• Masseprodusertelektronikkhvordetikkelønnersegåinvestereisikkerhetsmekanismer• Sikkerhetsmekanismerertilstede,menvanskeligeåkonfigurereellerikkeslåttpåsomstandard• Standardellerhardkodedepassord,dårlignøkkelhåndtering• Ikkeimplementerttilfredsstillendemekanismerellerrutinerforsoftware-oppdatering• Detfysiskeproduktetharlanglevetidogblirhengendeetteriforholdtilnyesikkerhetsmekanismerog
utviklingenitrusselbildet
SINTEFIKT 29
HvordanfåbedreIoT-sikkerhet?
SINTEFIKT
SINTEFIKT
² Safety-By-Design² Tredjepartssamarbeid² Bevissikring² Sikkerhetsoppdateringer² Segmentering ogisolering
31
5-Stjernersrammeverk(automotive)
ü Innseatdetvilgågaltogplanlegg håndteringü Kjenndineallierteførdetgårgaltü Finnproblemetog læravdinefeilü Tatakihendelsenogfiksproblemetü Unngåatproblemetpåvirkerfleredelerav
systemet
Oversattfra:https://www.iamthecavalry.org/domains/automotive/5star/
SINTEFIKT
SINTEFIKT
• Dethandler ikkebareomåblikvittbugs,ogsåfeildesign• Sikkerhetbyggesikkekunavsikkerhetsfunksjoner
• F.eks vedå“leggetilkrypto”• Sikkerhetangåralle,ikkebaresikkerhetsfolkogsystemadministratorer• Sikkerhetskravbørlikestillesmedkvalitetskrav• Ikke-funksjonelle kraveressensielt!
• Oppetid• Kapasitet
Sikkerprogramvarekreverfokuspåsikkerhetgjennomheleutviklingsløpet!
33
Hvordan “bygge inn”sikkerhet?
SINTEFIKT 34
http://www.gsma.com/newsroom/press-release/gsma-announces-security-guidelines-to-support-growth-of-the-internet-of-things/
SINTEFIKT
• UseInternalMemoryforSecrets• AnomalyDetection• UseTamperResistantProductCasing• EnforceConfidentialityandIntegrityto/fromtheTrustAnchor• OvertheAirApplicationUpdates• MutualAuthentication• PrivacyManagement• RunApplicationswithAppropriatePrivilegeLevels• EnforceaSeparationofDutiesintheApplicationArchitecture• EnforceLanguageSecurity
35
UtdragfraGSMAretningslinjer
SINTEFIKT
Våravhengighetavsystemersomstyresavprogramvareøkerraskereennvårevnetilåsikresystemene
• Enmuligløsningeråbyggeinnsikkerhetsomendelavprogramvareutviklingen
• Vimåogsåinnseatdetvilgågalt,ogplanleggefordette
36
Konklusjon
SINTEFIKTSINTEFIKT
Takkforoppmerksomheten!
[email protected]://infosec.sintef.no
http://swsec.no
@MarieGMoe@SINTEF_Infosec