Location via proxy:   [ UP ]  
[Report a bug]   [Manage cookies]                
SlideShare una empresa de Scribd logo

IoT - Internet de las Cosas

El documento habla sobre Internet de las Cosas (IoT) y los riesgos de seguridad que plantean los electrodomésticos conectados. Explica brevemente el concepto de IoT, los protocolos de comunicación comunes como ZigBee y MQTT, y formas en que los datos son almacenados y procesados. También menciona ejemplos como dispositivos vestibles, compras y ventas, y uso médico. Finalmente, ofrece recomendaciones para fabricantes sobre incorporar seguridad por defecto y proteger la privacidad de los usuarios.

1 de 37
Internet of Thing (IoT) ¿Son los electrodomésticos la próxima SkyNet? Lic. Cristian Borghello, CISSP – CCSK – MVP www.segu-info.com.ar info@segu-info.com.ar @seguinfo @CursosSeguInfo
• Licenciado en Sistemas UTN desde 2000 • Desarrollador desde los 8 años • CISSP (Certified Information Systems Security Professional) • Microsoft MVP Security (Most Valuable Professional) • CCSK (Certificate Cloud Security Knowledge) • Creador y Director de Segu-Info y Segu-Kids • Instructor y Orador con experiencia internacional en Seguridad • Miembro de organizaciones internacionales Sobre Cristian Borghello
Objetivos • Alcances de IoT • Funcionamiento • Riesgos • Casos reales • Guías y Recomendaciones
¡Nuestra Vida en Internet! Vida Digital Vida Física
Kevin Ashton (MIT) definió “sin querer” Internet de las Cosas en 1999 en una PPT sobre el uso de RFID en cadenas de producción En 2000 Neil Gershenfeld (MIT) publicóWhen Things Start to Think agregando elementos a la definición
Internet de las Cosas Uso de los objetos cotidianos conectados a Internet y/o conectados entre ellos • Describe cómo en el futuro todos los objetos estarán conectados y serán capaces de identificarse entre ellos • Incluye tecnologías como RFID, sensores, wireless, QR, etc. • Al conectarse, el objeto digital se transforma en algo más grande que él mismo… se relaciona con otros objetos, personas y bases de datos • Nace la Inteligencia Ambiental (AmI): entornos electrónicos que son sensibles y receptivos a la presencia de personas
Cosas “Inteligentes”
IoT - Internet de las Cosas
Evolución
ProcesarGenerar Almacenar Etapas de IoT Creación y recopilación inicial y envío a través de Internet El sistema central recopila y organiza los datos Uso continuo de los datos en el futuro
(1) Protocolos de comunicación • HTTP/S: utilizados de forma tradicional • ZigBee: conjunto de protocolos de alto nivel utilizados para crear redes de área personal de baja potencia, bajo consumo de energía y distancias de 10 a 100 metros • MQTT: protocolo “ligero“ de mensajería M2M, diseñado para conexiones con ubicaciones remotas y ancho de banda limitado • CoAP: estándar para entornos de bajo ancho de banda, sensores de baja potencia y conexiones uno a uno ¿Qué se envía y por qué? http://electronicdesign.com/iot/understanding-protocols-behind-internet-things
(2) Almacenamiento • Según el ancho de banda, los datos son capturados y enviados por lotes o en tiempo real • Se tiende a utilizar bases de datos NoSQL (Cassandra, Mongo, Dynamo, BigTable, etc.) • Se utilizan BD distribuidas, diseñadas para soportar gran cantidad de datos y análisis • Ya no hay servidor “primario” sino un “cluster” capaz de soportar pérdidas de conectividad y la caída de nodos independientes ¿Qué se almacena y durante cuánto tiempo?
(3) Procesamiento y análisis de datos • Permite el Data-Mining y crear modelos predictivos • El histórico permite buscar tendencias y dar mayor valor a los datos de los propietarios de los dispositivos • El tiempo real permite detectar “alertas” para ahorrar tiempo y dinero • Los datos se interpretan y es posible “aprender de ellos” ¿Y la privacidad del dueño de datos?
Otras aplicaciones Harvard Forest es un bosque experimental monitoreado con sensores y tecnologías IoT
IoT - Internet de las Cosas
Dispositivos vestibles Sistema electrónico que puede ubicarse en el cuerpo de una persona • Se usan para monitorear el comportamiento • Aplicaciones que requieren almacenamiento sobre la geo localización, salud, órganos físicos, cuerpo humano, desplazamientos, usos y costumbres sociales, actividad deportiva, etc.
IoT - Internet de las Cosas
Dispositivos para el Totó
Compras y ventas
Uso médico Se puede reducir de 15% a 30% en costos de equipos hospitalarios
AdhereTech desarrolla píldoras wireless “inteligentes” que recolectan datos del paciente y los envía para investigación en tiempo real http://www.adheretech.com/
Uso de Nanobots fabricados con polímeros, capaces de ser introducidos en el torrente sanguíneo humano, teledirigidos para detectar células cancerígenas y liberar medicamentos sobre ellas http://pubs.acs.org/doi/abs/10.1021/acs.nanolett.5b01981
¿Seguridad? Veracode realizó un análisis de seguridad en dispositivos que: • no necesitan conocimientos técnicos especiales para usarlos; • están siempre encendidos y conectados a Internet; • interactúan significativamente con el entorno físico y doméstico https://info.veracode.com/whitepaper-the-internet-of-things-poses-cybersecurity-risk.html
¿Seguridad? Algunos de los problemas detectados fueron: • Tienen interfaces de depuración abiertas • Permiten ejecución remota y arbitraria de código • Utilizan protocolos débiles • Permiten a los atacantes acceder a datos sensibles • Falta de aplicación de contraseñas seguras Se debe obligar a los fabricantes y desarrolladores a generar soluciones con perfiles de seguridad más fuertes que respondan a las demandas de protección y privacidad de los usuarios
Domótica - La “estrella”: Roomba http://www.instructables.com/id/Hacking-Your-iRobot/
No hackees la Roomba… Eso te pasa! http://www.telegraph.co.uk/news/worldnews/asia/southkorea/11399713/Robot-vacuum- cleaner-attacks-South-Korea-housewifes-hair.html
Búsquedas en Shodan Creado por John Matherly, es un buscador de dispositivos capaz de indexar 500 millones de servicios por mes
Bases de datos http://blog.segu-info.com.ar/2015/07/600-terabytes-de-bases-de- datos-mongodb.html
Impresoras
Ubicación
Cámaras (SIN autenticación)
Recomendaciones de la UE (8/2014) • Implementar desde el diseño mecanismos de privacidad y protección de datos • Incorporar seguridad por defecto, sin que haga falta implementarla ante “bugs eventuales” • Los datos recolectados no deben permitir inferir y correlacionar otros (ej. el acelerómetro y el seguro de vida) • No permitir la individualización de usuarios • Política clara de cómo se comparten e intercambian datos con terceros http://ec.europa.eu/justice/data-protection/article- 29/documentation/opinion-recommendation/files/2014/wp223_en.pdf
OWASP IoT Top 10 https://www.owasp.org/index.php/OWASP_Internet_of_Things_Project 1. Insecure Web Interface 2. Insufficient Authentication/Authorization 3. Insecure Network Services 4. Lack of Transport Encryption 5. Privacy Concerns 6. Insecure Cloud Interface 7. Insecure Mobile Interface 8. Insufficient Security Configurability 9. Insecure Software/Firmware 10.Poor Physical Security
Recomendaciones personales • No almacenar información sensible en la nube (o en el aparato) • Proteger el dispositivo con una contraseña (cuando tenga) • Realizar una instalación segura (cuando se pueda) • Permitir actualizaciones (cuando haya) • Controlar el espectro de la red • Utilizar redes “seguras” para la conexión Exigir conocer el funcionamiento de las “cosas”
Recomendaciones generales (I) • Se debe incorporar la seguridad a los aparatos al inicio, no después • El sector debe pensar en implementar un conjunto completo de estándares de seguridad o prácticas recomendadas en IoT • Es necesario colaboración entre el sector privado y público • Se debe trabajar en estándares y aprobación reglamentaria de aparatos
Recomendaciones generales (II) El objetivo es alcanzar un equilibrio entre la eficacia, facilidad de uso y seguridad cuando los aparatos y las redes sean implementados y operados por los consumidores EL objetivo debe ser proteger al usuario
Lic. Cristian Borghello, CISSP – CCSK – MVP www.segu-info.com.ar info@segu-info.com.ar @seguinfo @CursosSeguInfo Hasta la vista Baby!

Más contenido relacionado

IoT - Internet de las Cosas

  • 1. Internet of Thing (IoT) ¿Son los electrodomésticos la próxima SkyNet? Lic. Cristian Borghello, CISSP – CCSK – MVP www.segu-info.com.ar info@segu-info.com.ar @seguinfo @CursosSeguInfo
  • 2. • Licenciado en Sistemas UTN desde 2000 • Desarrollador desde los 8 años • CISSP (Certified Information Systems Security Professional) • Microsoft MVP Security (Most Valuable Professional) • CCSK (Certificate Cloud Security Knowledge) • Creador y Director de Segu-Info y Segu-Kids • Instructor y Orador con experiencia internacional en Seguridad • Miembro de organizaciones internacionales Sobre Cristian Borghello
  • 3. Objetivos • Alcances de IoT • Funcionamiento • Riesgos • Casos reales • Guías y Recomendaciones
  • 4. ¡Nuestra Vida en Internet! Vida Digital Vida Física
  • 5. Kevin Ashton (MIT) definió “sin querer” Internet de las Cosas en 1999 en una PPT sobre el uso de RFID en cadenas de producción En 2000 Neil Gershenfeld (MIT) publicóWhen Things Start to Think agregando elementos a la definición
  • 6. Internet de las Cosas Uso de los objetos cotidianos conectados a Internet y/o conectados entre ellos • Describe cómo en el futuro todos los objetos estarán conectados y serán capaces de identificarse entre ellos • Incluye tecnologías como RFID, sensores, wireless, QR, etc. • Al conectarse, el objeto digital se transforma en algo más grande que él mismo… se relaciona con otros objetos, personas y bases de datos • Nace la Inteligencia Ambiental (AmI): entornos electrónicos que son sensibles y receptivos a la presencia de personas
  • 10. ProcesarGenerar Almacenar Etapas de IoT Creación y recopilación inicial y envío a través de Internet El sistema central recopila y organiza los datos Uso continuo de los datos en el futuro
  • 11. (1) Protocolos de comunicación • HTTP/S: utilizados de forma tradicional • ZigBee: conjunto de protocolos de alto nivel utilizados para crear redes de área personal de baja potencia, bajo consumo de energía y distancias de 10 a 100 metros • MQTT: protocolo “ligero“ de mensajería M2M, diseñado para conexiones con ubicaciones remotas y ancho de banda limitado • CoAP: estándar para entornos de bajo ancho de banda, sensores de baja potencia y conexiones uno a uno ¿Qué se envía y por qué? http://electronicdesign.com/iot/understanding-protocols-behind-internet-things
  • 12. (2) Almacenamiento • Según el ancho de banda, los datos son capturados y enviados por lotes o en tiempo real • Se tiende a utilizar bases de datos NoSQL (Cassandra, Mongo, Dynamo, BigTable, etc.) • Se utilizan BD distribuidas, diseñadas para soportar gran cantidad de datos y análisis • Ya no hay servidor “primario” sino un “cluster” capaz de soportar pérdidas de conectividad y la caída de nodos independientes ¿Qué se almacena y durante cuánto tiempo?
  • 13. (3) Procesamiento y análisis de datos • Permite el Data-Mining y crear modelos predictivos • El histórico permite buscar tendencias y dar mayor valor a los datos de los propietarios de los dispositivos • El tiempo real permite detectar “alertas” para ahorrar tiempo y dinero • Los datos se interpretan y es posible “aprender de ellos” ¿Y la privacidad del dueño de datos?
  • 14. Otras aplicaciones Harvard Forest es un bosque experimental monitoreado con sensores y tecnologías IoT
  • 16. Dispositivos vestibles Sistema electrónico que puede ubicarse en el cuerpo de una persona • Se usan para monitorear el comportamiento • Aplicaciones que requieren almacenamiento sobre la geo localización, salud, órganos físicos, cuerpo humano, desplazamientos, usos y costumbres sociales, actividad deportiva, etc.
  • 20. Uso médico Se puede reducir de 15% a 30% en costos de equipos hospitalarios
  • 21. AdhereTech desarrolla píldoras wireless “inteligentes” que recolectan datos del paciente y los envía para investigación en tiempo real http://www.adheretech.com/
  • 22. Uso de Nanobots fabricados con polímeros, capaces de ser introducidos en el torrente sanguíneo humano, teledirigidos para detectar células cancerígenas y liberar medicamentos sobre ellas http://pubs.acs.org/doi/abs/10.1021/acs.nanolett.5b01981
  • 23. ¿Seguridad? Veracode realizó un análisis de seguridad en dispositivos que: • no necesitan conocimientos técnicos especiales para usarlos; • están siempre encendidos y conectados a Internet; • interactúan significativamente con el entorno físico y doméstico https://info.veracode.com/whitepaper-the-internet-of-things-poses-cybersecurity-risk.html
  • 24. ¿Seguridad? Algunos de los problemas detectados fueron: • Tienen interfaces de depuración abiertas • Permiten ejecución remota y arbitraria de código • Utilizan protocolos débiles • Permiten a los atacantes acceder a datos sensibles • Falta de aplicación de contraseñas seguras Se debe obligar a los fabricantes y desarrolladores a generar soluciones con perfiles de seguridad más fuertes que respondan a las demandas de protección y privacidad de los usuarios
  • 25. Domótica - La “estrella”: Roomba http://www.instructables.com/id/Hacking-Your-iRobot/
  • 26. No hackees la Roomba… Eso te pasa! http://www.telegraph.co.uk/news/worldnews/asia/southkorea/11399713/Robot-vacuum- cleaner-attacks-South-Korea-housewifes-hair.html
  • 27. Búsquedas en Shodan Creado por John Matherly, es un buscador de dispositivos capaz de indexar 500 millones de servicios por mes
  • 32. Recomendaciones de la UE (8/2014) • Implementar desde el diseño mecanismos de privacidad y protección de datos • Incorporar seguridad por defecto, sin que haga falta implementarla ante “bugs eventuales” • Los datos recolectados no deben permitir inferir y correlacionar otros (ej. el acelerómetro y el seguro de vida) • No permitir la individualización de usuarios • Política clara de cómo se comparten e intercambian datos con terceros http://ec.europa.eu/justice/data-protection/article- 29/documentation/opinion-recommendation/files/2014/wp223_en.pdf
  • 33. OWASP IoT Top 10 https://www.owasp.org/index.php/OWASP_Internet_of_Things_Project 1. Insecure Web Interface 2. Insufficient Authentication/Authorization 3. Insecure Network Services 4. Lack of Transport Encryption 5. Privacy Concerns 6. Insecure Cloud Interface 7. Insecure Mobile Interface 8. Insufficient Security Configurability 9. Insecure Software/Firmware 10.Poor Physical Security
  • 34. Recomendaciones personales • No almacenar información sensible en la nube (o en el aparato) • Proteger el dispositivo con una contraseña (cuando tenga) • Realizar una instalación segura (cuando se pueda) • Permitir actualizaciones (cuando haya) • Controlar el espectro de la red • Utilizar redes “seguras” para la conexión Exigir conocer el funcionamiento de las “cosas”
  • 35. Recomendaciones generales (I) • Se debe incorporar la seguridad a los aparatos al inicio, no después • El sector debe pensar en implementar un conjunto completo de estándares de seguridad o prácticas recomendadas en IoT • Es necesario colaboración entre el sector privado y público • Se debe trabajar en estándares y aprobación reglamentaria de aparatos
  • 36. Recomendaciones generales (II) El objetivo es alcanzar un equilibrio entre la eficacia, facilidad de uso y seguridad cuando los aparatos y las redes sean implementados y operados por los consumidores EL objetivo debe ser proteger al usuario
  • 37. Lic. Cristian Borghello, CISSP – CCSK – MVP www.segu-info.com.ar info@segu-info.com.ar @seguinfo @CursosSeguInfo Hasta la vista Baby!