Insecurity of things - Insegurança das Coisas

31
IoT - Insecurity of Things Insegurança das Coisas João Paulo Barraca < [email protected] > Imagem: Flickr, Steve Crane

Transcript of Insecurity of things - Insegurança das Coisas

Page 1: Insecurity of things - Insegurança das Coisas

IoT - Insecurity of Things

InsegurançadasCoisas

JoãoPauloBarraca<[email protected]>

Imagem:Flickr,SteveCrane

Page 2: Insecurity of things - Insegurança das Coisas

Apresentação

[email protected]• Programação,Informática,redes,Segurança

• Investigador/CoordenadordeGrupo@InstitutodeTelecomunicações• Redes,IoT,ServiçoseVirtualização

Page 3: Insecurity of things - Insegurança das Coisas
Page 4: Insecurity of things - Insegurança das Coisas
Page 5: Insecurity of things - Insegurança das Coisas

Interfaces

Processos

PlataformaIoT

InfraestruturaTelco

Dispositivos

Page 6: Insecurity of things - Insegurança das Coisas
Page 7: Insecurity of things - Insegurança das Coisas

90%dosdispositivos

recolhemnomínimoumdadodeinformação

pessoalatravésdodispositivo,serviçosou

aplicaçãomóvel

70%dosdispositivoscomunicamsemrecursoacifras

60%dosdispositivoscominterfacedeutilizadorsãovulneráveisa

ataquescomoXSSecredenciaisfracas

80%dosdispositivos,

serviçoseaplicaçõesfalhamnaexigênciadacomplexidadedas

senhas

70%dosdispositivos,

serviçoseaplicaçõespermitemidentificar

utilizadoresenumerandocontas

InternetofthingsHPESecurityResearchStudy,CraigSmithandDanielMiessler,HPEFortify,June2014

Page 8: Insecurity of things - Insegurança das Coisas
Page 9: Insecurity of things - Insegurança das Coisas

HardwareSeguroImagem:TeslaModel 3

Page 10: Insecurity of things - Insegurança das Coisas

HardwareSeguro:Riscos

• NegaçãodeServiço• Desativarsistemas

• Firmware oficioso• Adicionar/alterarfunções

• Backdoors• Provocarerros,acederainformação

• Acesso/Manipulaçãodosdados• Segredosindústriais,provocarerros

Imagem:Flickr,GutoAraki

Page 11: Insecurity of things - Insegurança das Coisas
Page 12: Insecurity of things - Insegurança das Coisas
Page 13: Insecurity of things - Insegurança das Coisas

HardwareSeguro:Soluções

• ExecuçãoSeguradeSoftware• Bootloader cifradoeSOassinado• MecanismosdelimitaçãodeAcesso

• ArmazenamentoSeguro• Cifrardadoscomchaveúnica• Módulosseguros

• Mecanismodeatualizaçãoremota

Page 14: Insecurity of things - Insegurança das Coisas

Bootloader

Firmware 1 Firmware 2

Flash&Swtich

Page 15: Insecurity of things - Insegurança das Coisas

Imagem:Flickr,coreforce

ComunicaçõesSeguras

Page 16: Insecurity of things - Insegurança das Coisas

ComunicaçõesSeguras:Riscos• Negaçãodacomunicação• Bloquearalarmes/relatórios

• Acessoaosdadostransmitidos• Obterinformação

• Alteraçãodosdadostransmitidos• Forjaracontecimentos

Imagem:Flickr,AlanStrakey

Page 17: Insecurity of things - Insegurança das Coisas
Page 18: Insecurity of things - Insegurança das Coisas

ComunicaçõesSeguras:Soluções• Usarmeiosdecomunicaçãofisicamenterobustos

• Resistentesainterferências• Resistentesàinspeção

• Frequency Hopping• Alternarafrequênciadeemissão(deformaaleatória)

• SpreadSpectrum• Espalharcomunicaçõesemváriasportadoras(frequências)

Imagem:Flickr,AnnePetersen

Page 19: Insecurity of things - Insegurança das Coisas
Page 20: Insecurity of things - Insegurança das Coisas

ComunicaçõesSeguras:Soluções

• Utilizaçãodecifrasseguras• Comunicaçõescifradaseautenticadas

• ChavePartilhada(ex:TLS_PSK_AES_CCM_128)• Dispositivospartilhamchavecomservidor• Acessoàchavepermitedecifrarcomunicações(passadasefuturas)

• Problemas:• pelomenosmais15-20KBROM,3.9KBRAM• atrasodedezenas/centenasdemilisegundos

Page 21: Insecurity of things - Insegurança das Coisas

ComunicaçõesSeguras:Soluções

• ChavesAssimétricas(ex:TLS_ECDHE_ECDSA_AES_128_CCM_8)• Servidor/Dispositivopossuemchavespúblicasdecadaum• Acessoachavesnãocomprometecomunicaçõespassadas

• Problemas:• pelomenosmais15-20KBROM,4KBRAM• atrasodeváriossegundos

• Gestãodechaves?• Muitomaiscomplexo• ValidaçãodeCRL,OCSP,Stapling,RTC,NTP,

Page 22: Insecurity of things - Insegurança das Coisas

ComunicaçõesSeguras:Problemas

• Arduino (ecompanhia)executamMQTT/CoAP• GrandeimpulsionadoresdesoluçõesdeIoT

• Masnuncadeformasegura! 16Mhz,32KBROM,2KBRAM

+----------------------+-----------------+| | DTLS || +--------+--------+| | ROM | RAM |+----------------------+--------+--------+| State Machine | 8.15 | 1.9 || Cryptography | 3.3 | 1.5 || DTLS Record Layer | 3.7 | 0.5 |+----------------------+--------+--------+| TOTAL | 15.15 | 3.9 |+----------------------+--------+--------+

+----------------------------+---------------+| Cryptographic functions | Code size |+----------------------------+---------------+| MD5 | 4,856 bytes || SHA1 | 2,432 bytes || HMAC | 2,928 bytes || RSA | 3,984 bytes || Big Integer Implementation | 8,328 bytes || AES | 7,096 bytes || RC4 | 1,496 bytes || Random Number Generator | 4,840 bytes |+----------------------------+---------------+https://tools.ietf.org/html/draft-ietf-lwig-tls-minimal-01

Page 23: Insecurity of things - Insegurança das Coisas

ServiçosSeguros

Page 24: Insecurity of things - Insegurança das Coisas
Page 25: Insecurity of things - Insegurança das Coisas

ServiçosSeguros:Riscos

• Acessomassivoainformação• Pacientes,clientes,faturação,conversas

• Negaçãodeserviço• Impactodiretononegócio/imagem/faturação

• Cloud éopacapordefinição• Tudosegueparalá• Nãosesabeondeestáinformação,quemacede

Imagem:Flickr,Joaquin Casarini

Page 26: Insecurity of things - Insegurança das Coisas

ServiçosSeguros:Soluções

• Standardização:ISO27001eoutros

• Autenticaçãomultifactorial• Smartcards,telemóveis,tokens

• SeparaçãoentreserviçosWebesistemasIoT• Emaisbarreirasinternas

• Recolherapenasinformaçãoessencial• Atualmentefavorece-searecolhamassiva

SHIPIT!Imagem:Flickr,bizilica

Page 27: Insecurity of things - Insegurança das Coisas
Page 28: Insecurity of things - Insegurança das Coisas
Page 29: Insecurity of things - Insegurança das Coisas
Page 30: Insecurity of things - Insegurança das Coisas

SegurançaemIoT

• Temdeserconsideradadesdeoinício• iráalterartodaainteraçãocomodispositivo

• Implicacustosbastantesuperiores• Processadoresmaispoderosos,maisRAM,maisFlash,.

• Implicamaiorpercentagemdefalhas• Númerodedispositivosmuitoelevados• 1%defalhasem1.000.000são10.000dispositivos

• Implicaseraplicadaatodaastack• Dispositivos,comunicações,serviços(pessoas,processos,etc..)

Imagem:Flickr,Maurits Verbiest

Page 31: Insecurity of things - Insegurança das Coisas

Questões?

Imagem:Flickr,SteveDavis


Internet of Things Iot

Internet of Things Iot

Agile of Things - Treinamentos em 2016

Agile of Things - Treinamentos em 2016

Brasoftware Executive Meeting 2016 The Future of Making Things · Brasoftware Executive Meeting 2016 The Future of Making Things Rodrigo Girardi Gerente de Território

Brasoftware Executive Meeting 2016 The Future of Making Things · Brasoftware Executive Meeting 2016 The Future of Making Things Rodrigo Girardi Gerente de Território

Insegurança No Trabalho

Insegurança No Trabalho

INSEGURANÇA ALIMENTAR NAS CIDADES

INSEGURANÇA ALIMENTAR NAS CIDADES

Android Things - Droid Talks S02E01

Android Things - Droid Talks S02E01

InsegurançA. Jr Cordeiro.

InsegurançA. Jr Cordeiro.

A caminho da internet of things

A caminho da internet of things

Superando a Insegurança

Superando a Insegurança

Internet das Coisas com Java e Things API

Internet das Coisas com Java e Things API

Things ilove 3A

Things ilove 3A

Apresentação GTD - Getting Things Done (WiseAction)

Apresentação GTD - Getting Things Done (WiseAction)

Simple Things

Simple Things

Internet of Things · Internet of Things Pessoas e M2M – Perspectiva da Academia Rodrigo Filev Maia Departamento de Ciência da Computação Centro de Inovação Telefônica-Vivo

Internet of Things · Internet of Things Pessoas e M2M – Perspectiva da Academia Rodrigo Filev Maia Departamento de Ciência da Computação Centro de Inovação Telefônica-Vivo

Internet das Coisas (IoT - Internet of Things)

Internet das Coisas (IoT - Internet of Things)

Joseph & all things semitic port

Joseph & all things semitic port

O espetáculo da Insegurança Pública: o RJ TV 1ª Edição e a ...¡culo-da-Insegurança... · O espetáculo da Insegurança Pública: o RJ TV 1ª Edição e a Intervenção Militar

O espetáculo da Insegurança Pública: o RJ TV 1ª Edição e a ...¡culo-da-Insegurança... · O espetáculo da Insegurança Pública: o RJ TV 1ª Edição e a Intervenção Militar

A ConstruçãO Da InsegurançA Psp

A ConstruçãO Da InsegurançA Psp

15 things you should know about ba pt

15 things you should know about ba pt

XXVI ENCONTRO NACIONAL DO CONPEDI … · Keywords/Palabras-claves/Mots-clés: Legal inequality, Legal insecurity, Federal courts, Insignificance, Administration of conflicts 5. INTRODUÇÃO

XXVI ENCONTRO NACIONAL DO CONPEDI … · Keywords/Palabras-claves/Mots-clés: Legal inequality, Legal insecurity, Federal courts, Insignificance, Administration of conflicts 5. INTRODUÇÃO