Seguridad en Internet de las Cosas (IoT)

Seguridad en Internet de las Cosas (IoT) Administración y Seguridad de Sistemas Facultad de ingeniería – UDELAR 2016 Alfonso Methol – 4.667.137-8 Gui

0 downloads 202 Views 1MB Size

Recommend Stories


Internet de la Cosas: Ciberseguridad
Internet de la Cosas: Ciberseguridad Marco Antonio Arenas Porcel Sucre – Bolivia 2016 About Me • About Me: – Marco Antonio Arenas Porcel – CCNA – C

Seguridad en Internet
Comunicaciones. Firewall. Proxy. Servidor {SSL}. Intranet. Certificado. Compras por Internet. Navegadores. {WWW}. Virus

Story Transcript

Seguridad en Internet de las Cosas (IoT) Administración y Seguridad de Sistemas Facultad de ingeniería – UDELAR 2016

Alfonso Methol – 4.667.137-8 Guillermo López – 4.257.602-1 Santiago Bianchi – 4.523.351-3

Contenido Objetivos.................................................................................................................. 4 Introducción. ............................................................................................................ 5 ¿Qué es IoT?............................................................................................................. 5 Ingeniería de IoT....................................................................................................... 6 Las “Cosas” ................................................................................................................... 6 Comunicaciones M2M. ................................................................................................. 8 Redes WSN ................................................................................................................... 9 Nodos WSN ................................................................................................................... 9 Tecnologías WSN ........................................................................................................ 10 Protocolos en IoT ........................................................................................................ 12 Situación actual. ..................................................................................................... 15 Desafíos técnicos. ................................................................................................... 17 Aplicaciones. .......................................................................................................... 18 Salud. .......................................................................................................................... 18 Transporte. ................................................................................................................. 18 Industria. ..................................................................................................................... 19 Comercio..................................................................................................................... 19 Domótica y vigilancia. ................................................................................................. 19 Administración pública. .............................................................................................. 19 Beneficios directos e indirectos. ............................................................................. 20 Debilidades. ........................................................................................................... 21 Seguridad. .............................................................................................................. 23 OWASP (Open Web Application Security Project) ..................................................... 23 Microsoft – Bitlocker y Secure Boot ........................................................................... 27

2

Internet of Things Foundation .................................................................................... 27 Capas de la seguridad ................................................................................................. 28 Recomendaciones de seguridad para IoT .................................................................. 29 Otras consideraciones de seguridad .......................................................................... 30 Soluciones actuales. ............................................................................................... 31 Device Security Frameworks – Mocana Framework. ................................................. 31 Red celular y el IoT...................................................................................................... 32 IoT - las organizaciones, la seguridad y el futuro. .................................................... 34 Consecuencias del aumento de dispositivos: ............................................................. 34 Fuentes. ................................................................................................................. 36

3

Objetivos. Este documento busca recopilar e integrar la información de distintas fuentes (ver referencias) respecto al desarrollo tecnológico del área denominada “Internet de las Cosas” que de ahora en más llamaremos “IoT” por su sigla en inglés. Se darán los conceptos básicos necesarios para entender esta área. Analizaremos los beneficios que trae consigo, así como ejemplos de aplicaciones. Luego nos centraremos en los riesgos y vulnerabilidades que la acompañan enfocándonos en los aspectos de seguridad. Para esto se mostraremos casos reales donde se han encontrado vulnerabilidades importantes y las lecciones aprendidas en estos casos. Luego analizaremos las recomendaciones y consideraciones definidas por diferentes organizaciones especializadas, para encaminar los aspectos de seguridad de esta tecnología, aun en desarrollo, por el mejor camino posible. Por ultimo veremos algunas de las recomendaciones para incorporar en forma segura IoT a las organizaciones, así como algunas opciones disponibles para esto.

4

Introducción. Hoy en día vivimos en un mundo cada vez más conectado. Años atrás muchos de los dispositivos y funcionalidades con los que contamos actualmente se encontraban únicamente en películas de ficción. La velocidad con la que se desarrolla e innova tecnológicamente trae consigo muchos beneficios. Son algunos los que impactan y revolucionan en casi todas las áreas de la humanidad. Podemos considerar Internet como un buen ejemplo de esto. Internet de las Cosas(IoT) es un concepto que tiene el potencial de ser revolucionario y para esto debe resolver varios desafíos que aun presenta.

¿Qué es IoT? No existe una definición única y formal para este concepto, pero todas comparten la misma idea. Oxford define IoT como: “Una propuesta de desarrollo de Internet en la que los objetos cotidianos tienen conectividad a internet, lo que les permite enviar y recibir datos”. Algunos lo describen como “una red interconectada de dispositivos y objetos que interactúan con el mundo físico, las personas y entre sí”. Otros consideran que está conformada por dispositivos no muy distintos a computadoras donde el usuario no tiene mucha libertad para decidir que programas correr o algunos aspectos de seguridad. Como mencionamos, estas definiciones comparten la misma idea. Donde los objetos o dispositivos se comunican y comparten información a través de internet, algo muy similar a lo que realizamos hoy en día con nuestras computadoras y celulares, pero a una escala mucho mayor, donde la cafetera puede conectarse con el supermercado para comprar más café si queda poco, donde los sensores de una planta se comuniquen entre ellos y monitoreen el funcionamiento general en forma combinada, donde el medico puede conectarse y ver los signos vitales de su paciente en tiempo real. Estos ejemplos y muchos más son lo que muestran el potencial de esta tecnología.

5

Ingeniería de IoT. Desde el punto de vista de la ingeniería el punto central del internet de las cosas radica en construir productos interconectados. Los sistemas embebidos ya están cumpliendo un rol muy importante en el área. En un sistema IoT podemos identificar a grandes rasgos cuatro componentes relevantes: 

El dispositivo



Red local, incluyendo aquellos dispositivos que conecten la red local al exterior



Internet



Back-End: Sistemas empresariales, PCs, Dispositivos Móviles, etc.

La Internet de las Cosas también se puede ver o dividir en dos grandes categorías: 

Industrial IoT: para redes locales se utiliza una gran variedad de tecnologías, donde típicamente los dispositivos están conectados a una red IP que los conecta a Internet



Comercial IoT: comúnmente se utiliza Ethernet (cableada o inalámbrica) o Bluetooth para redes locales, en la cual, generalmente, los dispositivos solo interactúan con otros dispositivos locales.

Las “Cosas” La empresa Micrium las define como sistemas embebidos que transmiten y reciben información a través de una red. Los sistemas embebidos están basados en microcontroladores (MCUs) que corren software de baja utilización de memoria. Algunos dispositivos basados en Linux y Android pueden ser considerados sistemas embebidos, aunque estos sistemas operativos de uso general requieren procesadores de aplicaciones y proveen prestaciones adicionales no tan relevantes. Es por esto que los dispositivos basados en MCUs normalmente se los denomina sistemas profundamente embebidos (deeply embedded systems en inglés).

6

Procesadores Hasta la fecha los dos principales fabricantes de procesadores para dispositivos IoT son Intel y ARM. Intel posicionó el procesador Atom como una solución para sistemas embebidos, enfocado en la IoT industrial. Por otro lado, con el nuevo controlador Quark se enfocó en el mercado de los sistemas profundamente embebidos. Los chips ARM están dentro de las mejores arquitecturas de bajo consumo de energía, y el software requerido para el arranque del dispositivo es mucho más simple comparado con los procesadores Intel. Comúnmente se cree que los dispositivos IoT deben utilizar hardware de bajo costo para poder tener una gran penetración de mercado. Pero esto no es aplicable para cada realidad, ya que estos dispositivos no son idóneos para soluciones IP. Esto se debe a que el stack TCP/IP no es una pieza liviana de código y además requiere de una cierta cantidad de buffers para trabajar eficientemente. Todo esto lleva a un mayor requerimiento de RAM, lo que implica mayores costos. Diseño En el caso que el costo del dispositivo no sea un problema, se puede optar por utilizar un único procesador potente que corra todas las tareas operativas requeridas.

Una práctica común que se utiliza en dispositivos sensores/actuadores, es utilizar un procesador de bajo costo (8 o 16 bit) para la interfaz con el mundo físico, y un procesador

7

32-bit que corra la interfaz de red. Usualmente el segundo procesador se coloca en un módulo separado, el cual es certificado para un cierto protocolo y estándares FCC.

Comunicaciones M2M. Este concepto está muy vinculado con IoT y describe el conjunto de dispositivos interconectados que permiten comunicarse con otros dispositivos tanto en forma inalámbrica como por cable. Por lo general este tipo de comunicaciones tiene una estructura vertical. Inicialmente la tecnología de la información avanzo con el objetivo de mantener conectadas a las personas ya sea en su casa, su trabajo o cuando están desplazándose. Hoy en día el foco se encuentra en conectar “cosas” entre sí y con nosotros, utilizando sensores y comunicaciones tanto por cable como inalámbricas.

Ejemplos de conexiones M2M con sus medidas de protección recomendadas Ejemplo

Protección recomendada

Accesorios personales como relojes

Encriptación, autentificación

Medidores

Encriptación

Domótica

Encriptación y vpn

NFC

Encriptación, anti malware, controles de acceso

Electrodomésticos

Encriptación, autentificación para impedir usuarios no autorizados.

MHealth (salud)

Encriptación, control de acceso, cumplir con requerimientos críticos de seguridad

Automóviles

Monitoreo central, control de acceso, técnicas de autentificación.

8

Redes WSN No existe una única tecnología de red que abarque todas las necesidades posibles. La elección de una tecnología en particular afecta directamente los requerimientos de hardware de los dispositivos utilizados, así como los costos involucrados. Una fábrica es un ejemplo típico donde se puede utilizar un sistema IoT, donde se tiene un gran número de sensores y actuadores conectados sobre un área amplia, en la que una red inalámbrica es la mejor opción. Este tipo de redes se denomina Red de Sensores Inalámbricos, o Wireless Sensor Network (WSN) en inglés. Típicamente se tiene un conjunto de sensores distribuidos que monitorean condiciones físicas o ambientales (temperatura, presión, vibraciones, etc.), de los cuales se obtienen datos que se envían a través de la red nodo a nodo.

Nodos WSN Los nodos WSN son dispositivos de bajo costo lo que permite que sean utilizados en grandes números. Operan en condiciones de poco consumo de energía lo cual los hace ideales para aplicaciones con baterías o de recolección de energía (energy harvesting en inglés). Típicamente un nodo realiza una tarea sencilla como sensor o actuador, por ejemplo: medir temperatura o presión, o encender un motor o abrir una puerta. Energy harvesting es una nueva tecnología que extrae energía de fuentes externas, como ser energía solar, eólica, termal, cinética, etc.

9

En una red WSN típica se tienen nodos bordes o periféricos, los cuales poseen conectividad IP. Esto permite que actúen como puerta de enlace entre la red WSN y una red IP. Además, pueden realizar procesamiento local de datos, almacenamiento de los mismos o inclusive proveer una interfaz de usuario.

Tecnologías WSN Wi-Fi Claramente es la primera tecnología a considerar debido a su gran cobertura de mercado en la actualidad. Es una buena solución para una gran variedad de aplicaciones donde ya se tiene presente la tecnología. Por ejemplo, prácticamente en cada casa donde se tenga una conexión a internet se tiene un router Wi-Fi. Tiene como desventaja que requiere una cantidad considerable de energía para su funcionamiento. Soluciones de Bajo Consumo Están apareciendo nuevas tecnologías que permiten el desarrollo de soluciones de bajo costo y bajo consumo de energía. Estas, soportan la construcción de grandes redes de pequeños e inteligentes dispositivos. Actualmente se trabajando y desarrollando en:    

Radios eficientes y de bajo consumo de energía Energy Harvesting como fuente de energía para dispositivos IoT Redes de mallas para operatividad desatendida de largo plazo. Por ejemplo, redes M2M (máquina a máquina). Nuevos protocolos de aplicaciones y formato de datos que permitan funcionamiento autónomo.

Un gran avance en el área se produjo con el lanzamiento del estándar de radios IEEE 802.15.4 en 2003, extendido y revisado en 2006 y 2011 con las correcciones 15.4e y 15.4g. Los dispositivos de radio que cumplen con esta especificación proveen la base para sistemas de bajo consumo energético. Comparado a hace unos años atrás, los dispositivos comerciales disponibles en la actualidad consumen un 50% menos de energía y se espera que el mismo disminuya nuevamente a la mitad en las próximas generaciones.

10

6LoWPAN Los dispositivos de bajo consumo deben realizar sus tareas en el menor tiempo posible para ahorrar energía, esto implica reducir el tamaño de los mensajes transmitidos. Este requerimiento tiene implicancias en los protocolos de comunicación utilizados. Estas necesidades explican la adopción del protocolo 6LoWPAN (IPv6 over Low power Wireless Personal Area Networks) por parte de las empresas ARM y Cisco. Este protocolo permite el encapsulamiento y mecanismos de compresión necesarios que habilitan tiempos de transmisión de datos más cortos. Wireless radio technologies Standard

IEE 802.15.4

Bluetooth

WiFi

Frequency

868/915 MHZ, 2.4

2.4 GHz

2.4, 5.8 Ghz

GHZ Data rate

250 Kbps

723 Kbps

11 to 105 Mbps

Range

10 to 300 m

10 m

10 to 100 m

Power

Very Low

Low

High

Battery

Alkaline (months to

Rechargeable (days to

Rechargeable

Operation

years)

weeks)

(hours)

Existe una gran variedad de protocolos para redes inalámbricas, dentro de la misma podemos identificar algunos relevantes:         

6LoWPAN ANT Bluetooth DASH7 ISA100 Wireless HART Wireless M-Bus Z-Wave Zigbee IP 11

IPv6 En el caso de redes locales o máquina a máquina los protocolos anteriores resultan adecuados. Por el contrario, si se desea controlar remotamente los dispositivos o transmitir datos a través de Internet, es necesario utilizar IPv6. La utilidad de los dispositivos IoT radica más allá de las redes locales, incluye las comunicaciones globales a través de Internet. En lo posible es crucial que las redes IoT aprovechen todo el conjunto de protocolos de Internet (IP, TCP, UDP, SSL, etc.), e inclusive, utilicen IPv6 debido al agotamiento de direcciones IPv4. Con IPv6 resulta mucho más sencillo para un dispositivo IoT obtener una dirección IP global, lo que permite una comunicación punto a punto más eficiente. Esto no significa que los dispositivos que no utilicen tecnologías IP sean inútiles, sino que es necesario la utilización de puertas de enlace que conecten dichos aparatos a redes externas.

Protocolos en IoT Es posible utilizar las tecnologías web actuales para un sistema IoT, aunque es posible que no se obtengan resultados tan eficientes como se obtendrían con el uso de los protocolos más recientes. Entre otros estándares se destacan HTTP y WebSockets, los cuales se utilizan para enviar datos en forma de XML o JSON. HTTP Es la base de la arquitectura cliente-servidor de la Web. En la realidad de IoT, la forma más segura de implementarlo es, incluir un cliente HTTP en el dispositivo IoT. De esta manera, el sistema solo puede iniciar conexiones, no recibirlas, evitando conexiones desde el exterior. WebSocket Es un protocolo que provee comunicación full-duplex a través de una única conexión TCP entre un cliente y un servidor. En gran parte simplifica la complejidad involucrada en las comunicaciones web bidireccionales y el manejo de conexiones.

12

Extensible Messaging and Presence Protocol (XMPP) Inicialmente orientado a la mensajería instantánea e información de presencia, es un protocolo de la web existente que encuentra nueva utilidad en IoT. Su uso se ha expandido a otras áreas, como ser: señalización de telefonía VoIP, middleware liviano, difusión de contenidos, entre otros. Resulta útil para la administración remota de grandes electrodomésticos, por ejemplo: lavadoras, secadoras, heladeras, hornos y cocinas. Constrained Application Protocol (CoAP) El protocolo de aplicaciones restringido fue diseñado por la IETF para uso en redes de baja potencia. Cumple con las características de un protocolo RESTful y esta semánticamente alineado con HTTP, al punto de proveer un mapeo uno a uno con dicho protocolo. Es una buena elección para el uso en dispositivos que trabajen a batería o con energy harvesting. MQTT Es un protocolo de código abierto para aplicaciones en dispositivos restringidos o situaciones de redes de alta latencia y poco ancho de banda. Es extremadamente liviano, simple e ideal para conectar pequeños dispositivos en redes de capacidades restringidas. El enfoque principal de este protocolo radica en grandes redes de pequeños dispositivos que necesitan ser monitoreados o controlados desde un servidor back-end en Internet. No está diseñado para transferencias de dispositivo a dispositivo, así como tampoco para realizar multicast a muchos receptores.

13

Comparación de protocolos IoT Beyond MQTT: A Cisco View on IoT Protocols, Paul Duffy, April 30 2013 Protocol

CoAP

XMPP

RESTful HTTP

MQTT

Transport

UDP

TCP

TCP

TCP

Messaging

Request/Response

Publish/Subscribe

Request/Response

Publish/Subscribe

Request/Response 2G, 3G, 4G

Request/Response

Excellent

Excellent

Excellent

Excellent

Excellent

Fair

Fair

Fair

10Ks RAM/Flash

10Ks RAM/Flash

10Ks RAM/Flash

10Ks RAM/Flash

Success

Utility Field Area

Remote

Smart

Energy

Extending

Stories

Networks

management

Profile 2 (premise

enterprise

energy

messaging into IoT

management, home

applications

Suitability (1000s nodes) LLN Suitability (1000s nodes) Compute Resources

consumer goods

of white

services)

14

Situación actual. Internet nació en 1960 con el objetivo de permitir compartir información entre sistemas y redes que no eran compatibles. Literalmente surgió como una “red de redes”. El internet actual se basa en los protocolos originales solo que a una escala global. Los cuales por su diseño son extremadamente simples. El diseño original asume muy poco del tipo de información que se trasmite, así como los dispositivos que se conectan a la red. Esto es lo que ha permitido la inmensa expansión que ha tenido desde su creación a la fecha. El incremento masivo de puntos de acceso generados por el creciente y diverso número de dispositivos superara las capacidades previstas lo que genera un gran desafío. Además del crecimiento de la red a causa de los nuevos dispositivos, muchas de las redes que antes eran independientes como telefonía fija, cable, celular están migrando a IP. Además de esto los tipos de comunicaciones están variando, incrementándose en gran medida las comunicaciones M2M, pero también persona máquina y máquina persona. El potencial más grande de internet está en su habilidad para conectar miles de millones de sensores y dispositivos en un “sistema nervioso global” que tiene el potencial de beneficiar casi todas las áreas de la humanidad Una analogía de la situación actual es la siguiente; Supongamos que nos encontramos en un barco que comienza a hundirse, para salvarnos podemos utilizar una mesa ya que esta cumple con el objetivo de salvarnos. Si cambiamos la perspectiva y nos plantemos cual es la mejor opción a la hora de diseñar el salvavidas, no optaríamos por una mesa. De la misma manera podemos considerar las arquitecturas cliente/servidor de la web como la mesa. Para la expansión que hemos tenido desde la creación del internet sirvió, pero no significa que sea el mejor diseño o califique como solución a largo plazo. En la última década la sociedad se ha vuelto tan dependiente de la Web que utiliza indistintamente este término e internet. Pero la Web e internet no son lo mismo. Internet es un sistema de comunicación tecnológicamente independiente, simple, elegante y escalable el cual cumplirá el objetivo para el que fue diseñado indefinidamente. 15

No se puede decir lo mismo de la Web, la cual básicamente es una aplicación corriendo sobre internet. La debilidad principal está en el cuello de botella que generan las relaciones e interacciones complejas entre dispositivos cada vez más complejos y el tipo de arquitectura de la web. La diminución de los costos de memoria y procesamiento permite agregar cada vez más funcionalidades en sus diseños. La diversidad de dispositivos es lo que complica la capacidad de administrarlos en forma eficiente. La gente espera que sus dispositivos tengan muchas funcionalidades y sean fáciles de usar, cosa que muchas veces son opuestas. Para lograr esto se deben hacer redes más inteligentes. Cuando surgió la telefonía las llamadas se realizaban a través de tableros que un operador debía controlar para establecer la conexión. Rápidamente se dieron cuenta que bajo este concepto a una escala mundial todas las personas deberían convertirse en operadores. Esto llevo a una mejora en la red que permitió la automatización de esta tarea, lo que le agrego inteligencia a la comunicación. En manera similar nos encontramos en una circunstancia donde el aumento de dispositivos en la red, cada uno con sus requerimientos propios obliga a desarrollar métodos automáticos que faciliten las funciones básicas comunes a todos como la seguridad.

16

Desafíos técnicos. IoT es un concepto aun en desarrollo y su implementación presenta desafíos que aún quedan por resolver. Estos varían desde problemas técnicos o tecnológicos a incluso legales y éticos dependiendo del área. A nivel técnico o tecnológico podemos encontrar los siguientes desafíos: 

La estandarización de la comunicación y manejo de protocolos es un desafío aún por resolver. Esto resulta particularmente complejo debido a la variedad de plataformas usadas. Los dispositivos y usuarios pueden comunicarse por wifi, 3g, 4g etc. y estas redes pueden ser privadas o públicas y variar en el tiempo.



La variedad de plataformas dificulta la definición de un ecosistema en sí. Por lo que es difícil definir buenas guías y protocolos en forma general que se aplique a distintas industrias o incluso se cumpla para la misma industria en distintas regiones.



La falta de experiencia de los usuarios en el manejo de sistemas que interactúen con gran variedad de dispositivos puede ser considerado otro desafío a superar.



A nivel de dispositivo, los recursos limitados como memoria, procesador, etc. pueden dificultar la implementación de medidas de seguridad adecuadas.



A nivel de Hardware, la variedad de arquitecturas y sistemas operativos puede generar restricciones para mantener consistencias a la hora implementar medidas de seguridad entre los dispositivos.



Limitaciones de información: Algunos dispositivos contienen integrados métodos de identificación e información que puede generar limitaciones para utilizar esa información.

17

Aplicaciones. Como mencionamos anteriormente esta tecnología aún se encuentra en constante desarrollo y expansión. Algunas investigaciones indican que para el 2020 la cantidad de dispositivos conectados superen los 40 mil millones, esto en parte es posible a la utilización de iPv6 (ya que con iPv4 no podríamos identificar esa cantidad de dispositivos) así como el aumento de disponibilidad de internet en el mundo. Es por esto que las aplicaciones con las que contamos hoy, así como las áreas de aplicación son solo la punta del iceberg de lo que se podrá realizar en el futuro. A continuación, pondremos de ejemplo algunas aplicaciones en distintas áreas tecnologías. Es importante aclarar que solo mencionaremos dichas aplicaciones ya que la profundización en cada área implicaría una gran extensión en este informe. De todas formas, motivamos a que, si les interesa, investiguen más sobre el área deseada ya que cada una presenta interesantes desafíos para incorporar el concepto de IoT.

Salud. Existen distintos dispositivos que permiten el monitoreo en tiempo real de los pacientes, transmitiendo información como su ubicación, presión arterial, ritmo cardiaco, niveles de oxígeno, etc. Incluso alertando ante variaciones anormales de los parámetros fijados.

Transporte. Los mecánicos cada vez requieren de más conocimientos en electrónica e informática para poder realizar su trabajo. Esto se debe a que en la actualidad los vehículos son máquinas más complejas que en el pasado. Hoy en día cuentan con computadoras a bordo y una variedad de sensores que se comunican entre sí permitiendo monitorear el estado del vehículo (temperatura, presión de aceite, nivel de agua, presión de neumáticos, etc.), así como brindándole diferentes funcionalidades a su conductor como, por ejemplo: sistema de posicionamiento global (GPS) y sistema de entretenimiento multimedia con acceso a internet.

18

Industria. Si bien es un área muy variada en muchos casos la utilización de sensores permite monitorear tanto el estado de la planta como su eficiencia, niveles de producción, así como potenciales fallos.

Comercio. Visa y MasterCard proponen usar tokens digitales en vez de números de cuenta para procesar compras online y móviles. Combinado con EMV chips se espera que mejore la seguridad.

Domótica y vigilancia. AT&T ofrece soluciones para el monitoreo y seguridad de los hogares. Entre los servicios ofrece la posibilidad de abrir y cerrar puertas en forma remota, encender y apagar luces y controlar el termostato de la casa.

Administración pública. Telefónica UK gano contrataciones en UK para desplegar 53 millones de medidores eléctricos inteligentes antes del 2020. Con este programa de 11.000 millones de libras se estima un beneficio de 6.700 millones en reducción de consumo y manejo más eficiente de los servicios eléctricos en el país.

19

Beneficios directos e indirectos. Los beneficios del IoT no solo son directos facilitando y haciendo más eficientes las tareas mencionadas en el punto anterior, sino que además radican en la gran cantidad de información del mundo físico que pretende detectar y convertir al mundo digital. Esta información puede ser utilizada tanto por personas como por otros dispositivos pudiendo impactar en el mundo físico (a través de las personas u otros dispositivos) e incluso en el mundo digital generando nuevo conocimiento a partir de esa información. Es en este caso donde las interacciones M2M se destacan, pudiendo encontrar relaciones a partir de las grandes cantidades de información que por su volumen y complejidad no podrían ser encontradas por el hombre. Se estima que para el 2020 contaremos con cerca de 10 veces más información que la que contamos hoy. Llevándolo a los ejemplos de la sección anterior. El beneficio directo en el área de la salud es que el medico puede acceder a la información de su paciente y se le puede alertar ante algún cambio, el beneficio indirecto está en que analizar la información recopilada de todos los pacientes puede tener un gran impacto en el desarrollo de nuevas técnicas y medicamentos. De forma similar podemos considerar que tener acceso al estado del auto es un beneficio directo, pero además esta información puede ser analizada y utilizada de forma más indirecta, por ejemplo, para personalizar el seguro del vehículo según la manera de manejar del conductor o para investigar accidentes. Queda reflejado en el ejemplo de Telefónica UK y los medidores eléctricos el impacto económico que puede generar la suma de los beneficios directos e indirectos en un área.

20

Debilidades. Como observamos en la sección anterior un mayor número de dispositivos brinda aspectos muy positivos. El problema es que también hay que considerar los aspectos negativos que esto puede generar. Un mayor número de dispositivos implica un aumento en el interés de hackers en el área, así como más puntos de acceso para que estos traten acceder a nuestros dispositivos e información. Si bien anteriormente mencionamos los beneficios que presenta IoT en el área automotriz, es en esta área, así como en domótica que encontramos casos donde se encontraron vulnerabilidades críticas. Un artículo de wired.com demostró como 2 especialistas de seguridad lograron acceder al sistema multimedia de una camioneta Jeep Cherokee. Inicialmente esto parecía bastante inofensivo, pero a través de este sistema lograron controlar casi en su totalidad el auto, desde el acelerador y el volante hasta los frenos del vehículo deshabilitándolos y dándole un buen susto al periodista de la revista que hizo de conejillo de indias. Fallas similares se han encontrado en una gran cantidad de marcas. Otro caso que tuvo bastante repercusión se dio cuando una compañía dedicada a la seguridad informática en Estados Unidos decidió analizar que vulnerabilidades presentaban algunos de los monitores para niños que se encontraban en plaza. Para su sorpresa, descubrieron vulnerabilidades críticas a través de las cuales, alguien con nociones básicas de seguridad, puede tener acceso a la transmisión de la cámara, así como a su configuración. Entre las vulnerabilidades que encontraron descubrieron que algunas cámaras establecían conexiones directas con la aplicación web en forma no encriptada ni autentificada. Esto puede permitir que alguien mediante fuerza bruta tenga acceso. Otras permitían modificar el identificador de la cámara en una URL y obtener acceso a capturas de otras cámaras. Otra cámara tenía un web service que no requería autentificación que permitía brindar autorización a alguien para ver una cámara.

21

Estos y una gran variedad de casos más implican porque la seguridad es un tema clave para el desarrollo de IoT. Cada vez dependemos de un mayor número de dispositivos y esto hace que el impacto en nuestras vidas pueda ser mayor si estos son vulnerados. A modo de ejemplo, imagínense que pasaría si un hacker logra tener acceso a la bomba de insulina de una persona diabética o a un marcapasos.

22

Seguridad. La vertiginosidad con la que se desarrollan nuevos dispositivos genera que se deje un poco de lado aspectos de seguridad. En algunos casos hasta los aspectos más básicos y críticos como los mencionamos anteriormente en las cámaras para bebes o el caso del Jeep Cherokee. Ante esto cada vez son más las organizaciones que buscan investigar y establecer las mejores decisiones en materia de seguridad vinculada a IoT.

OWASP (Open Web Application Security Project) Es una organización sin fines de lucro que tiene como objetivo mejorar la seguridad de las aplicaciones. Es una fuente de información e investigación sobre las mejores prácticas y estándares aplicables a diferentes sistemas. Con esta información y con otras herramientas que busca lograr que los usuarios, sean individuos, empresas, universidades, etc. tomen las mejores decisiones relacionada a la seguridad de sus sistemas. La organización cuenta con muchos proyectos, cada uno vinculado a alguna tecnología o tipo de aplicación particular. Un proyecto abraca toda la información vinculada a ese tema. Es de nuestro interés el proyecto vinculado a IoT. Este proyecto esta licenciado bajo “Creative Commons Attribution-ShareAlike 3.0 license” lo que permite a cualquier persona u organización utilizarlo ya sea en forma personal o comercial y adaptarlo a su necesidad. La única condición es que si se distribuye alguna modificación debe ser bajo la misma licencia o similar.

23

Vulnerabilidades por área afectada Entre la información que brinda incluye una extensa lista con los posibles puntos de acceso, así como las vulnerabilidades que estos pueden presentar vinculados al IoT. A modo de ejemplo listaremos algunos. El link con lista completa se encuentra en las referencias.

Área afectada

Memoria

Interfaces físicas

Interfaz web

Firmware

Servicios de red

Interfaz de administración

Vulnerabilidad 

Nombres de usuario sin encriptar.



Contraseñas sin encriptar.



Credenciales de terceros.



Claves de encriptación



Extracción de Firmware



User CLI



Admin CLI



Reseteo.



Perdida de medio de almacenamiento



Exposición de ID o número de serie.



Inyección de consultas SQL



Contraseñas débiles.



Credenciales por defecto.



Credenciales “Hardcodeadas”.



Claves de encriptación



Cuentas “Backdoor”



Servicios inseguros (web, ssh, tftp, etc.)



Divulgación de información.



User CLI



Admin CLI



Servicios no encriptados



Mala encriptación



UPnP



Inyección de SQL



Claves débiles

24



Bloqueo de cuentas.



Credenciales por defecto conocidas.



Información no encriptada



Información encriptada con claves descubiertas.



Falta de control de integridad de la información.



Actualizaciones enviadas sin encriptar.



Actualizaciones sin firma.

Mecanismos de



Verificación de actualización.

actualización



Autentificación de actualización



Actualizaciones alteradas.



Falta de mecanismo para actualizar.



Session key, token, cookie, etc. comprometidas



Reutilización de session key, token, etc.



Autentificación entre dispositivos



Autentificación entre dispositivos y aplicaciones

Almacenamiento local

Autentificación

móviles.

Hardware (sensores)



Falta de autentificaciones dinámicas.



Alternación del dispositivo.



Daño del dispositivo.

Vulnerabilidades más frecuentes en IoT También brinda el listado de las vulnerabilidades más comunes en IoT junto con las posibles áreas de ataque y una breve descripción de la misma:

Vulnerabilidad

Área afectada 

Interfaz administrativa

Captura de usuarios

Descripción



Interfaz web



Aplicación

Habilidad de recolectar un conjunto de nombres de usuarios validos interactuando con el mecanismo de autentificación

móvil

25



Interfaz administrativa

Contraseñas débiles



Interfaz web



Aplicación

Permiso para asignar contraseñas como '1234' o '123456'

móvil 

Interfaz administrativa

Bloqueo de Cuenta



Interfaz web



Aplicación

Poder tratar de ingresar después de 3 o 4 intentos fallidos.

móvil Servicios no



encriptados

Servicios de red



combinada.

debidamente encriptados para prevenir ataques.

Interfaz administrativa

Autentificación

Servicios de red no se encuentran



Interfaz web



Aplicación

Falte de mecanismos de autentificación en conjunto como tokens de seguridad o lector de huellas digitales.

móvil Si bien existe un mecanismo de Mala implementación de mecanismo de



encriptación

Servicios de

encriptación, este no se encuentra

red

bien configurado o no esta actualizado. Ejemplo: SSL v2

Actualizaciones



enviadas sin encriptar

Mecanismo de actualización

Las actualizaciones se trasmiten por la red sin utilizar TLS o encriptar el archivo. El directorio donde se ubica la

Directorio de actualización con



permisos globales de

Mecanismo de actualización

escritura.

actualización puede ser accedido en forma global, lo que puede permitir a alguien modificar los archivos de actualización y distribuirlos.

Bloqueo del Servicio



Servicios de red

El servicio puede ser atacado de tal manera que le se bloquee para todo el dispositivo.

26

Perdida de medio de



almacenamiento Falta de mecanismo manual para actualizar

físicas



dispositivo Falta de mecanismo de  actualización

Interfaces

Posibilidad de poder remover físicamente el medio de almacenamiento del dispositivo

Mecanismo de

Falta de mecanismo para forzar una

actualización

actualización en forma manual.

Mecanismo de

El dispositivo carece totalmente de un

actualización

mecanismo para actualizarse. El dispositivo no muestra su versión

Versión de Firmware

Firmware

actual de firmware ni la fecha de la última actualización.

Microsoft – Bitlocker y Secure Boot Microsoft también está teniendo en un papel activo en el desarrollo de mecanismos de seguridad para IoT. Bitlocker es un tipo de encriptación que permite codificar discos enteros, algo muy importante para proteger la información que se encuentro en los dispositivos. Secure Boot es un mecanismo que permite que la computadora solo inicie con software de confianza establecido por el desarrollador.

Internet of Things Foundation Un conglomerado de empresas tecnológicas entre las que se encuentra Vodafone, fundo “Internet of Things Foundation” la cual busca la detección y análisis de vulnerabilidades, así como brindar asistencia a desarrolladores y usuarios. Su objetivo es aumentar la conciencia en esta área a través de la colaboración de las compañías desarrolladoras y los usuarios, y fomentar la seguridad de los dispositivos a nivel de hardware.

27

Capas de la seguridad Bugcrowd, compañía especializada en seguridad y análisis de vulnerabilidades propone una visión distinta de la seguridad en la cual considera que esta se puede dividir en distintas capas. La seguridad del dispositivo: Esto abarca las plataformas que soportan estos dispositivos. El uso de librerías y componentes open source agrega las vulnerabilidades que estos presentan a los dispositivos en sí. Es muy difícil desarrollar código seguro. Los dispositivos de bajo costo presentan mayores riesgos y considera que la clave para desarrollar es en incorporar buenas prácticas para los vendedores, así como enfocar esfuerzos en el testing para detectar y corregir errores. La seguridad en relación con la función del dispositivo: El riesgo de que un dispositivo sea amenazado está muy vinculado con su función. Dispositivos como cerraduras electrónicas, detectores de humo, toma corrientes y cámaras son objetivos primarios y por eso son más propensos a ser atacados. Sin embargo, esto no deja libre al resto de los dispositivos. Nada garantiza que otros de tus dispositivos se vuelvan populares para los hackers. La seguridad de cómo y dónde se utiliza el dispositivo: Organizaciones sin normativas y protocoles estrictos frente a la utilización de diferentes tecnologías puede llevar a que se utilicen tecnologías sin que por ejemplo el departamento de IT sea notificado. Con esto pueden aparecer inesperados dispositivos en la organización cuyo nivel de seguridad es desconocido, los cuales tienen acceso a la red de la empresa. Esto es un riesgo para la compañía en gran parte por el desconocimiento de los actores claves de la organización capaces de mitigarlo.

28

Recomendaciones de seguridad para IoT 

Si tu router permite y lo único que requiere el dispositivo es conexión a internet, crear una red independiente para estos dispositivos manteniéndolos así alejados de la red local. Ante eventuales ataques no comprometerás tu información personal.



Muchos dispositivos como video cámaras tratan de abrir puertos para permitir conexiones desde fuera de la red local. Esto facilita el ingreso desde internet, pero nos deja expuestos al resto del mundo. Por eso es importante deshabilitar “Universal Plug and Play” (UPnP). Existen motores de búsqueda especializados en encontrar estas conexiones abiertas.



Mantener el firmware actualizado. Si bien esta tarea puede ser un poco compleja en algunos dispositivos vale la pena revisar la página de los desarrolladores un par de veces al año y descargar la última versión disponible del firmware.



Elegir contraseñas complejas como únicas. Idealmente no repetir contraseñas.



Modificar las contraseñas que vienen por defecto. Estas por lo general son muy fáciles de conseguir en la web.



Preferentemente optar por dispositivos que no requieran estar conectados a la “nube” para funcionar. Por lo general este tipo de dispositivos tiende a ser más inseguros y potencialmente puede llegar a proporcionar mucha más información que brindaría un dispositivo en forma local. Leer en la caja del dispositivo si requiere de conectividad permanente a internet para funcionar.



Evitar conexiones innecesarias. Si solo queremos controlar nuestra televisión desde nuestro celular no es necesario permitirle conectarse a internet.



No conectar nuestros dispositivos en el trabajo sin la autorización de IT. Pueden ser una puerta de ingreso a la empresa para obtener información en forma ilícita.



De ser posible optar por dispositivos de compañías que lleven registros de seguridad de los dispositivos. De esta forma fomentamos a las empresas a preocuparse por la seguridad.

29

Otras consideraciones de seguridad Las vulnerabilidades no solo se encuentran en los dispositivos en sí. Es clave asegurar las Gateways a las que se conectan los dispositivos, así como la red en sí. A diferencia de las conexiones que establece un humano estos dispositivos están siempre conectados y su autentificación se realiza una única vez. Esto los convierte en un objetivo muy atractivo para la infiltración en una red. Otro punto a tener en cuenta es que IoT genera muchísima información. Es tan importante como la seguridad del dispositivo en sí, asegurar dicha información. Tanto su almacenamiento y transferencia como su procesamiento. Asegurar los canales de comunicación es crítico. La encriptación es uno de los mecanismos más comunes, pero en algunos casos hay limitaciones en drivers o interfaces. Identificar tanto los dispositivos como los usuarios cuando se accede a sistemas o información debe ser promovido. Los dispositivos deben ser capaces de autentificar pedidos externos. Muchos dispositivos no siempre están disponibles y esto debe ser tomado en cuenta para implementar medidas de seguridad, esto es particularmente cierto en aquellos que dependen de energía solar o se activan en momentos o condiciones específicas.

30

Soluciones actuales. Device Security Frameworks – Mocana Framework. Una solución efectiva para manejar los requerimientos variados de seguridad tiene que tener 2 cualidades: Homogeneidad y automatización. Necesita manejar operaciones básicas sin la necesidad de intervención humana y debe proveer una única interfaz para interactuar con una variedad de dispositivos. Mocana ofrece una plataforma con una colección de servicios de seguridad para resolver posibles ataques a dispositivos con conexiones IP. 

Certificate Management



Cryptographic Engine



Security for IP communication (IPsec)



SSH client/server solution



Secure Data Transport



Firmware Update



EAP Transport Layer Security

31

Red celular y el IoT La red celular permite la comunicación entre dispositivos, así como cubrir algunas de las capas de seguridad en forma eficiente. Dentro del dispositivo. Entre las vulnerabilidades más comunes se encuentra las contraseñas simples. Una solución para este problema es incorporar políticas más estrictas respecto a las contraseñas. Asegurar con estándar GSM Dispositivos con SIM utilizan cifrado y encriptación en hardware con sistemas de autorización y autentificación de confianza. Permitiendo solamente que dispositivos autorizados conecten. Mecanismo de autentificación: 1. La red le manda un número de 128 bits al equipo con SIM. 2. El dispositivo autentifica con un algoritmo generando una respuesta de 32 bit. 3. Al recibir la respuesta del dispositivo, la red repite el cálculo para verificar la identidad. Estas tareas se llevan a cabo dentro del Hardware del SIM reduciendo la posibilidad de que un hacker pueda acceder. Esta tecnología también elimina las vulnerabilidades de comunicaciones P2P. Prevenir este tipo de comunicaciones evita que dispositivos comprometidos interactúen directamente con otros dispositivos. Transporte La vulnerabilidad viene dada por la escasa o nula encriptación que presentan algunos dispositivos o aplicaciones en la nube. La encriptación punto a punto es clave para evitar violaciones de seguridad. Muchos utilizan credenciales SSL y TSL para esto. Encriptación GSM La comunicación mediante redes celulares tiene un enfoque distinto. Brindando un estándar e encriptación entre la red y el dispositivo. El dispositivo utiliza una combinación de algoritmos incluidos dentro del SIM para trasmitir y recibir la 32

información en forma segura. Estas claves nunca son expuestas fuera del hardware del SIM y la verdadera identidad del dispositivo nunca es revelada. Factores que la convierten en una solución muy segura Seguridad de la Red Proteger la información es una tarea clave, pero también lo es prevenir que intrusos tengan acceso a la red por la que pasa esta información. Para garantizar esto se requiere conexiones dedicadas o protegidas. Esto es necesario en algunas conexiones claves, pero no es viable para dispositivos móviles. Conexiones dedicadas a dispositivos móviles son caras e imprácticas. Seguridad en redes celulares. Se provee mecanismos estandarizados y efectivos que en cierta medida permiten atender la red local de la empresa a través del operador de la red celular hasta los dispositivos individuales.

33

IoT - las organizaciones, la seguridad y el futuro. “Internet de las cosas” introduce una gran cantidad de tecnologías, dispositivos, tráfico de información y protocolos. Esta mezcla genera potenciales vulnerabilidades que las organizaciones deberán enfrentar. Al día de hoy no contamos con normativas claras referentes a dispositivos móviles y aplicaciones en la nube, y el desafío para IoT es mucho mayor. Los profesionales vinculados a la seguridad creen que su trabajo presentara mayores dificultades en los años por venir. Consideran que aumentara el riesgo de ataques con malware en parte por el aumento de dispositivos con sistemas operativos y aplicaciones con escasos sistema de detección y prevención. Todo esto implicará un cambio de paradigma donde se deberá considerar medidas para proteger, almacenar procesar y analizar toda la información generada. Esto fomentara en gran medida el desarrollo y uso de Big Data. También será necesaria la coordinación y el trabajo en equipo de departamentos de IT (tecnologías de la información) y departamentos de OT (tecnologías operacionales). Esto se debe a la dependencia directa que hay entre los dispositivos y la información que generan. Si bien trabajan sobre ambientes distintos, deberá haber una comunicación y procesos definidos para trabajar en conjunto. A modo de ejemplo, cuando se reporta un incidente, los especialistas de IT buscan acciones inmediatas como poner en cuarentena el sistema. Este tipo de acciones no siempre se pude llevar a cabo en el caso de OT, una organización no puede dar de baja toda una estación de comunicación, aunque se detecte la presencia de malware. Por este motivo es que debe haber políticas claras para trabajar en equipo y así lograr definir mecanismos para garantizar la seguridad tanto a nivel físico (dispositivos) como lógico (información).

Consecuencias del aumento de dispositivos: 

Se debe considerar los mecanismos necesarios para mantener una gran escalabilidad. El tráfico en las redes aumentara substancialmente ya que sensores y otros dispositivos procesaran en tiempo real la información para adaptar su comportamiento. 34



Surge la necesidad de identificadores confiables. Para esto cada dispositivo deberá anunciar su identificador único a la red y esta tendrá que brindar algún sistema de autentificación a través de algún tipo de autoridad que determine la confiabilidad del dispositivo.



Son necesarios permisos más específicos. Se deberá dar controles más precisos sobre lo que los dispositivos pueden acceder a través de la red. Esto permite, por ejemplo, que dispositivos sospechosos se le niegue el acceso a la red, sean puestos en cuarentena en subdominios o sean monitoreados.



La gran cantidad de información que se genera hace imposible que un humano pueda analizar a partir de esta, las posibles vulnerabilidades que tiene una organización en tiempo real. Se deberá incorporar mecanismos automatizados de comunicación entre maquinas que permita detectar y alertar estas vulnerabilidades.

35

Fuentes. 

OWASP Internet of Things Project: https://www.owasp.org/index.php/OWASP_Internet_of_Things_Project



The Internet Of Things Has A Growing Number Of Cyber Security Problems: http://www.forbes.com/sites/sungardas/2015/01/29/the-internet-of-thingshas-a-growing-number-of-cyber-security-problems/



Internet of Things Security https://labs.opendns.com/2015/03/10/internet-of-things-security/



Why IoT Security Is So Critical http://techcrunch.com/2015/10/24/why-iot-security-is-so-critical/



7 tips for securing the Internet of Things https://nakedsecurity.sophos.com/2016/03/07/7-tips-for-securing-theinternet-of-things/



The Internet of Things: A CISO and Network Security Perspective http://www.cisco.com/c/dam/en_us/solutions/industries/docs/energy/networ k-security-perspective.pdf



Security Concerns for Connected Devices in Internet of Things Era http://www.machinetomachinemagazine.com/2014/05/02/iot-white-papersecurity-concerns-for-connected-devices/



http://www.machinetomachinemagazine.com/2015/05/07/iot-white-paperiot-gateways-secure-productivity/



Mobile Cybersecurity and the Internet of Things http://www.ctia.org/docs/default-source/default-document-library/ctia-iotwhite-paper.pdf



Security in the Internet of Things http://www.windriver.com/whitepapers/security-in-the-internetofthings/wr_security-in-the-internet-of-things.pdf



An Implementers’ Guide to Cyber-Security for Internet of Things Devices and Beyond. https://www.nccgroup.trust/media/481272/2014-04-09_-security_of_things_-

36

_an_implementers_guide_to_cyber_security_for_internet_of_things_devices_ and_beyond-2.pdf 

Securing the Future– Designing Security for the Internet of Things http://harborresearch.com/whitepaper-securing-the-future-designing-securityfor-the-internet-of-things/



Achieving end-to-end security in the Internet of Things: Why it’s time to embrace carrier-grade cellular IoT http://pages.jasper.com/White-Paper-Cellular-IoT-Security_Cellular-IoTSecurity.html



IoT Security http://1248.io/whitepapers/1248_iot_security.pdf



Building Security in the Internet of Things http://www.rfidjournal.com/whitepapers/download?490



IoT Privacy & Security in a Connected World http://www.rfidjournal.com/whitepapers/download?489



The Internet of Things Adds New Complications to Incident Response https://www.resilientsystems.com/blog-post/internet-things-adds-newcomplications-incident-response



http://www.sqlstream.com/blog/2014/10/cybersecurity-and-the-internet-ofthings-from-incident-response-tocontinuous-response/



The Internet of Things: New Threats Emerge in a Connected World http://www.symantec.com/connect/blogs/internet-things-new-threatsemerge-connected-world



Understanding The Protocols Behind The Internet Of Things http://electronicdesign.com/embedded/understanding-protocols-behindinternet-things



MQTT and CoAP, IoT Protocols http://eclipse.org/community/eclipse_newsletter/2014/february/article2.php



IoT Devices and Local Networks http://micrium.com/iot/devices/

37



The Thing: Embedded Devices http://micrium.com/iot/thing/



Internet Usage and Protocols http://micrium.com/iot/internet-protocols/



The Role of the Cloud in IoT http://micrium.com/iot/cloud/



The Internet of Things and the RTOS http://micrium.com/iot/iot-rtos/

38

Get in touch

Social

© Copyright 2013 - 2024 MYDOKUMENT.COM - All rights reserved.