Añadir a la recogida (s) Añadir a salvo
  1. Ingeniería
  2. Informática
  3. Red de computadoras
Subido por JUAN ELOY ESPOZO ESPINOZA

CIDSI2019-Seguridad-IoT-Fog 4-3

Anuncio 
2° CONGRESO INTERNACIONAL
SEGURIDAD
INFORMÁTICA
Aspectos de seguridad en
escenarios de IoT basados en Fog
Computing
MSc. Eloy Espozo Espinoza
Introducción
Entorno IoT
Protocolos propietarios
Objetos distribuidos
Aplicaciones externas
Jerarquía y delegación
Identidad y propiedad
Objetos con capacidad limitada
IoT presenta un escenario complejo
Ataques IoT
•
En 2016, Ataque DDoS contra el servicio
Dyn, uso Mirai
– Perjudicó a Twitter, the Guardian, Netflix,
Reddit, y CNN
•
En 2015, se consiguió tomar el control de
un Jeep SUV a través de la red celular
– Se podía detener, acelerar o frenar al
automovil pudiendo generar
accidentes de tránsito sin problema
Ataques IoT
• En 2016, se informó que varios dispositivos cardiacos implantables, como
desfibriladores y marcapasos son vulnerables a acceso remoto, descarga de
la batería o administración del ritmo del marcapasos.
• También se evidenció que un monitor cardíaco para bebés wi-fi tenía nulos
mecanismos de seguridad
Ataques IoT
• En 2015, rifles automáticos de largo
alcance, asistidos por ordenador,
fueron atacados a través de su red
WiFi.
• Un par de Hackers tomó el control
remoto de una patineta electrónica
mediante una conexión por BlueTooth.
Ataques IoT
Principios de seguridad IoT
Vulnerabilidades en la Capa de
Dispositivos
Dispositivos limitados
•
Los dispositivos IoT tienen recursos limitados de potencia, memoria y
procesamiento, comunicaciones y seguridad
Vulnerabilidades físicas
Robo del dispositivo
Daño físico del dispositivo
Inhabilitación del dispositivo
Inhabilitación de las comunicaciones
Manipulación del entorno
Adulteración
Descalibración de sensores por movimiento
Remoción de medios de almacenamiento
(FIPS 140-2
NIST 800-88)
Vulnerabilidades en las Interfaces
de los dispositivos
•
•
•
•
Exposición de Números seriales, Id de
dispositivos
Conexiones con sensores y actuadores a
través de interfaces seriales (UART, JTAG,
I2C, SPI)
Accesibilidad al dispositivo, baterías de
respaldo y otros en caso de fallos
Reset a estados inseguros
Gestión de claves y módulos de
plataforma confiables
•
TPM (Trusted Platform Module), componente
de hardware con una clave secreta RSA
grabada en el dispositivo durante la
fabricación.
•
Mantiene, protege y administra claves para
servicios como el cifrado de disco, la raíz de
confianza, autenticación del
hardware/software y la administración de
contraseñas.
Tecnologías inalámbricas
Hacia redes 5G
Vulnerabilidades en la capa de
Comunicación
Retos de la Infraestructura
Tecnológica para IoT
Incremento en la densidad y cantidad de
los dispositivos
Dispositivos IoT con nuevas posibles
vulnerabilidades de seguridad
Dispositivos IoT sensibles a operaciones
en tiempo real o velocidad
Administración, configuración y el
monitoreo de dispositivos IoT, será crítica
Cantidad de información y sensores
•
Se espera que el tráfico de datos se
incremente alrededor de 10000%
en los próximos 5 años
•
En América Latina, el tráfico de
centros de datos en nube alcanzará
448 Exabytes al año (37 Exabytes
por mes) en 2020.
•
En América Latina, el tráfico de
centros de datos en nube
representará el 84% del tráfico
total de centros de datos en 2020.
Requisitos de la red IoT
•
•
Capacidad de conectar grandes cantidades de elementos de IoT heterogéneos
Capacidad de asegurar todos los flujos de tráfico
La computación en la nube
Problemas de la Nube
Problemas de la Nube
•
Latencia
– Difícil procesamiento en tiempo real
•
Privacidad
– falta de confiabilidad
Problemas de la Nube
•
Tiempo de inactividad en la nube.
– En mayo de 2018 AWS fue desconectado durante 30
minutos.
– En noviembre de 2018, Microsoft Azure cayó dos veces.
Computación en la Niebla
Estructura centralizada
Arquitectura distribuida
Soporta aplicaciones M2M locales directamente entre sensores y actuadores
Interacción Nube/Niebla
Interacción Nube/Niebla
Interacción Nube/Niebla
Interacción Nube/Niebla
Vulnerabilidades de Red
Internet
Red Interna
Todo sobre IP
DoS/DDoS, ICMP, Falsificación de
direcciones
Secuestro de sesiones, MITM
Soporte del stack TCP/IP
incompleto
Inundación TCP SYN, Falsificación de sesiones
TCP
Cifrado de los datagramas, Inundación UDP
Vulnerabilidades de Red
Internet
Red Interna
Todo sobre IP
DoS/DDoS, ICMP, Falsificación de
direcciones
Secuestro de sesiones, MITM
Soporte del stack TCP/IP
incompleto
Inundación TCP SYN, Falsificación de sesiones
TCP
Cifrado de los datagramas, Inundación UDP
Identificación de dispositivos
•
componente fundamental en la
infraestructura IoT
– Identificación de dispositivos
– Gestión de accesos a los datos
•
Formas de comunicación
– M2H. Machine to Human
– M2M. Machine to Machine
– D2D. Device to Device
Gestión de acceso de dispositivos
•
•
•
IRM (Identity Relationship
Management)
IAM (Identity Access Management)
IAM es un componente crítico en las
soluciones IoT para organizaciones
– Se recomienda usar el Framework
de Autorización OAuth 2.0 (RFC
6749)
Escenarios de comunicación en IoT
• Mesh
• Hub-and-Spoke
• Directa
Vulnerabilidades en la capa de
Aplicación
Seguridad de datos y contraseñas
•
No hay un estándar definido
–
–
–
–
–
•
Data Encryption Standard (DES)
Advanced Encryption Standard (AES)
Triple Data Encryption Standard (3DES)
Cifrado RSA (SSL, TLS, DTLS)
Twofish
NIST libera el standard ISO/IEC 29192
“Criptografía ligera”
– Soporta ECDH (Elliptic Curve Diffie–
Hellman) con ECDSA (Elliptic Curve Digital
Signature Algorithm)
Vulnerabilidades en el Firmware
de dispositivo
•
•
Firmware desactualizado
Exposición de funciones API relacionadas a
seguridad
– Visualización de la versión de Firmware
– Credenciales de ingreso por defecto
•
•
•
•
•
Vulnerabilidad de servicios
Escalamiento de privilegios
Instalación de Backdoors
Ataques DDoS
Ataques de sobrecarga de Buffers
Vulnerabilidades en la
actualización de Firmware
•
•
•
•
•
Envío de actualizaciones sin cifrar
Actualizaciones no firmadas
Actualizaciones sin verificación ni autenticación
Actualizaciones maliciosas
Cambio en los mecanismos de actualización
•
Aspecto crítico de la seguridad de red
– Actualización continua del Firmware
– Plan de actualización regular y continuo
Vulnerabilidades en Aplicaciones
Aplicaciones
•
•
•
•
Exposición de datos sensibles
Contraseñas débiles
Ausencia de autenticación de
factores múltiples
Componentes de terceros
inseguros
Aplicaciones móviles:
•
•
Almacenamiento de datos inseguro
Uso inapropiado de plataforma
Vulnerabilidades de Aplicación
•
Los exploits locales:
–
–
–
–
–
–
Reemplazo de Firmware
Clonación
Denegación de Servicio (DoS)
Extracción de parámetros de seguridad
Acceso no autorizado
Escalamiento de privilegios
•
Aplicaciones, APIs y servicios
–
–
–
–
–
–
Inyección SQL
Cross Site Scripting (XSS)
Autenticación rota
Ataques MITM
Ataques de Eavesdropping
Ataques de enrutamiento
Vulnerabilidades de aplicación
El Proyecto OWASP (Open Web
Application Security Project)
• Ayuda a comprender
problemas de seguridad
asociados con IoT.
• Ayuda a tomar decisiones de
seguridad al construir,
implementar o evaluar
tecnologías IoT.
1. Contraseñas débiles
2. Servicios de red inseguros
3. Interfaces de ecosistema inseguras
4. Ausencia de mecanismos de actualización seguros
5. Uso de componentes inseguro o desactualizados
6. Protección a la privacidad insuficiente
7. Almacenamiento y transferencia de datos inseguros
8. Ausencia de gestión de dispositivos
9. Configuraciones por defecto inseguras
10. Ausencia de seguridad física
Vulnerabilidades de aplicaciones
Cloud
•
•
Exposición de datos sensibles
Criptografía insuficiente
•
•
•
•
Control de acceso
Autenticación debil o nula
Inyección de datos
XML External Entity (XXE)
Principal fuente de fugas de datos
Vulnerabilidades de la niebla
• Problemas heredados de la computación en la nube.
•
•
•
•
•
APIs inseguras
Vulnerabilidades de aplicación
y sistemas
Expertos maliciosos
Uso indebido
Problemas tecnológicos
compartidos
•
•
•
•
•
•
Amenazas Persistentes Avanzadas
Control de acceso
Secuestro de cuentas
Denegación de servicio
Violación de datos
Pérdida de datos
Protocolos de mensajería
Protocolo
Seguridad
MQTT. Message Queueing
Telemetry Transport
TLS / SSL
(SharkMQTT,
SMQTT)
CoAP. Constrained
Application Protocol
DTLS, IPSec
XMPP. Extensible
Messaging and Presence
Protocol
TLS / SSL
AMQP. Advanced Message
Queuing Protocol
TLS / SSL
IPSec, SASL
DDS. Data Distribution
Service
SSL, DTLS
Sistemas de confianza PKI
•
Certificados para
servicios de distribución
o plataforma
•
Certificados para
dispositivos
•
Certificados entornos de
producción
Arquitectura funcional
IoT y BlockChain
•
•
•
•
•
•
Intercambio de datos
directo entre sensores
Los dispositivos IoT
directamente ubicables
Seguimiento de mediciones de sensores y
prevención de datos maliciosos.
Autenticación y transferencia segura de datos
Elimina fuentes de falla única
Costos de operación de IoT reducidos
Estrategias de mitigación de
riesgos
•
•
•
•
•
•
Seguridad por diseño
– Elegir dispositivos que hayan sido diseñados teniendo en
cuenta la seguridad.
Repensar las realidades operativas de la organización
– Garantizar la resiliencia.
– Monitoreo continuo
– Aprendizaje automático y la implementación de
respuestas efectivas y eficientes. Big Data
Aprender del pasado
Mantenerse informado
– Sobre amenazas y los estándares de seguridad
Educar continuamente a los usuarios
– Pueden ser la mayor línea de defensa o la mayor
vulnerabilidad
Implementar modelos de amenazas y simulacros de ataque
Modelado de amenazas en la
capa de aplicación
Identificar los objetivos de seguridad
Documentar la arquitectura del sistema
IoT
Descomponer el sistema IoT
• Descomponer la aplicación
Identificar y medir las amenazas
• STRIDE y DREAD
Recomendar mitigaciones
• Contramedidas
Evaluación de vulnerabilidades
Identificación de
activos
• Sistemas de
gestión de
activos
Inventario
Diagramas de
red
Escaneo de
descubrimiento
de dispositivos
•
•
•
•
Descubrimiento de
servicios
• Puertos TCP
• Puertos UDP
• Servicios Web
Escaneo de
software
• Configuraciones
de software
• Versiones de
software
• Servicios
vulnerables
Tests de evaluación de vulnerabilidades
– Caja blanca, gris, negra
Tests de Penetración
– Herramientas de Mapeo de Puertos
– Herramientas de prueba de contraseñas
– Herramientas de prueba de vulnerabilidad de aplicaciones web
Servicios de Evaluación de Vulnerabilidades
Fuentes informativas de vulnerabilidades
Validación
• Pruebas de caja
blanca
• Pruebas de
penetración
• Afinación de las
pruebas
Soluciones de seguridad
Control de acceso con actualización de
cifrado y externalización en la niebla
Wang, Yiang, Wang
Conclusiones
Gracias
MSc. Eloy Espozo Espinoza
Documentos relacionados
Proyecto tallet VLSM sep 2020 univalle
Proyecto tallet VLSM sep 2020 univalle
Jorge Fernández Miranda
Jorge Fernández Miranda
Internet de las cosas
Internet de las cosas
arca02.43.pdf
arca02.43.pdf
desafiosSepIndustrias
desafiosSepIndustrias
Internet of Things: cómo los objetos interconectados cambian el día a...
Internet of Things: cómo los objetos interconectados cambian el día a...
Internet de las cosas: nueva protagonista del cambio en las empresas
Internet de las cosas: nueva protagonista del cambio en las empresas
FORMATO PONENCIA[1]
FORMATO PONENCIA[1]
PRESENTACION JORGE MELENDEZ Haciendo un balance de la
PRESENTACION JORGE MELENDEZ Haciendo un balance de la
Descargar
Anuncio
Anuncio