UNIVERSIDADE FEEVALE
ANDRÉ GUILHERME ATZ DOS SANTOS
SEGURANÇA DA INTENET DAS COISAS
Novo Hamburgo
2016
ANDRÉ GUILHERME ATZ DOS SANTOS
SEGURANÇA DA INTENET DAS COISAS
Trabalho de Conclusão de Curso apresentado como requisito à
obtenção do grau de Especialização
em Segurança de Redes pela Universidade Feevale
Orientador: Me.Vandersilvio da Silva
Novo Hamburgo
2016
AGRADECIMENTOS
Gostaria de agradecer a todas as
pessoas que, de alguma forma, me
ajudaram na realização deste trabalho de
conclusão, em especial:
A todos meus amigos e familiares,
especialmente, aos meus pais, minha
irmã, e a minha namorada por me
incentivarem, acreditarem em mim, e
estarem presentes em todos os
momentos da minha vida.
Agradecimento especial ao meu
Orientador, Me. Vandersilvio da Silva,
pela oportunidade de trabalharmos
juntos, pelas orientações e ensinamentos
que contribuíram substancialmente para
a realização deste e outros trabalhos e,
principalmente, para o meu crescimento
profissional e pessoal. Você sempre será
uma referência para mim. Obrigada por
tudo.
RESUMO
A proliferação de objetos inteligentes com capacidade de monitoramento,
processamento e comunicação tem sido crescente nos últimos anos. Neste cenário, a
Internet das Coisas (Internet of Things (IoT)) surge como sendo uma extensão da internet
atual, habilitando que objetos dos mais variados possíveis, estejam conectados na rede
mundial de dados (Internet) e promovam comunicação transparente entre usuários e
dispositivos. A IoT possui um portfólio imenso de aplicações das quais a indústria pode
se beneficiar, fornecendo mobilidade aos indivíduos e escalabilidade a longo prazo. Por
outro lado, não existem apenas pontos positivos, pois das redes inteligentes emergem
diversos desafios em âmbito social, prático e até teórico como, por exemplo, é necessário
um modo eficiente para endereçar as comunicações seguras entre os sensores destes
equipamentos, nos quais bilhões de objetos inteligentes podem estar vulneráveis a
diversos ataques atuados por black hats que se aproveitam das brechas que a tecnologia
possui, afim de tirar proveito dos usuários.
Enfim, para responder a estas questões é preciso entender as limitações com
problemas, tais como as restrições em relação aos recursos dos objetos inteligentes sendo
(processamento, armazenamento, memória, largura de banda e hardware). Deste modo,
se faz necessário explorar novos paradigmas de comunicação, protocolos de roteamento,
arquiteturas de hardware e software. Além disso, as questões sobre o endereçamento IP e
adaptações devem ser respondidas, para que seja possível conectar os objetos à Internet
mantendo interoperabilidade. No que tange aplicações IoT, outras questões surgem, por
exemplo, como coletar, armazenar, processar e extrair conhecimento de modo eficiente
das informações obtidas dos objetos inteligentes. Neste sentido, o objetivo deste trabalho
é descrever quais os tipos de segurança que estão sendo implementados em IoT; riscos,
ameaças, vulnerabilidades, tudo isso é um grande empecilho para o progresso de IoT em
nossas vidas com segurança. Finalmente, vimos que o grande problema não está
relacionado aos protocolos de segurança, mas sim ás companhias de IoT, que não estão
dando importância suficiente para o requisito segurança; não investindo nos
programadores, recursos e o tempo de testes de segurança nos produtos; pois só querem
produtos novos no mercado e atualizações de modelos para lucrarem cada vez mais.
Palavras-chave: Internet das coisas. Iot. Segurança. Dispositivos
ABSTRACT
The proliferation of smart objects that are able to monitor, process and
communicate has been increasing in the last years. In this scenario, the Internet of Things
(IoT) arises as an extension of the current Internet, enabling different kinds of objects to
be connected to the World wide data network (Internet) and to promote a transparent
communication between users and devices. The IoT has a vast portfolio of applications
from which the industry can benefit, providing mobility to people and scalability in the
long term. In the other hand, there are not only positive aspects as many social, practical
and theoretical challenges may emerge from the smart networks, for example, requiring
a more efficient way to address safe communication between the device's sensors, in
which billions of smart objects might be vulnerable to black hats' attacks that use
opportunities left behind by technology to take advantage of the users.
In order to answer these questions, it is necessary to understand problem's
limitations such as restrictions related to the smart objects resources, being processing,
storage, bandwidth and hardware. In this way, new paradigms in communication, routing
protocols, hardware architecture and software must be explored. Besides, questions about
IP addressing and adaptations must be developed so that objects may be connected to the
Internet maintaining interoperability. In what refers to IoT applications, other questions
arise, for example, about collecting, storage, processing and extracting knowledge from
smart objects' data in an efficient way. The goal of the present work is to describe which
types of security are being applied to IoT, its risks, threats and vulnerabilities, as all of
these are obstacles to the advance of IoT in people's lives. Finally, it has been noticed that
the biggest issue is not related to the security protocols but to the lack of importance given
by the IoT companies to the security issues, as they are not investing in developers, in
resources and in time for testing their products' security as they tend to focus in
developing new products and updates for the market and for the business profit.
Keywords: Internet of things. Iot. Security. Devices
LISTA DE FIGURAS
Figura 1 – Modelo de referência OSI e suas devidas funções.......................................... 15
Figura 2 – Comparativo entre o modelo OSI e modelo atual TCP/IP.............................. 17
Figura 3 – Blocos básicos da IoT .................................................................................... 24
Figura 4 – Geladeira Samsung RF4289HARS................................................................. 24
Figura 5 – Painel Solar.................................................................................................... 25
Figura 6 – Tesla Motors ................................................................................................. 25
Figura 7 – Philips Lighting............................................................................................. 25
Figura 8 – Camadas IoT-A.............................................................................................. 26
Figura 9 – Exemplos dos componentes do M2M............................................................. 28
Figura 10 – Camadas de segurança................................................................................. 29
Figura 11 – Pulseira FitBit.............................................................................................. 30
Figura 12 – Detector de fumaça NEST............................................................................. 30
Figura 13 – Tabela comparativa entre redes tradicionais e IoT ...................................... 33
Figura 14 – Baba eletrônica............................................................................................. 34
Figura 15 – Marca passo inteligente ................................................................................ 35
Figura 16 – Visão Geral nuvem computacional............................................................... 40
LISTA DE GRÁFICOS
Gráfico 1 - Tendências emergentes .................................................................................11
Gráfico 2 – Publicações por ano ......................................................................................23
Gráfico 3 – Incidentes de SI reportados e índice de dados violados ............................... 36
LISTA DE ABREVIATURAS E SIGLAS
API Application Programming Interface
APPS Applications
ARPA Advanced Research Projects Agency
AWS Amazon Web Services
CID Confidentiality, Integrity and Availability
CIO Chief Information Officer
DDoS Distributed Denial-of-Service attack
DNS Domain Name System
DoS Denial Of Service
E-mail Eletronic Email
FBI Federal Bureau of Investigation
FTP File Transfer Protocol
GPO Group Policy Objects
GPS Global Positioning System
HD Hard disk
HTTPS Hyper Text Transfer Protocol Secure
IDS Intrusion Detection System
IEC International Electrotechnical Commission
IEEE Institute of Electrical and Electronics Engineers
IERC European Research Cluster on the Internet of Things
IoT Internet of things
IPS Intrusion Prevention System
ISO International Standards Organization
NFC Near Field Communication
OS Operating System
OSI Open System Interconnection
OTA Online Trust Alliance
OWASP Open Web Application Security Project
POP Post Office Protocol
RFID Radio-Frequency IDentification
SLA Service Level Agreement
SI Segurança da Informação
SNMP Simple Network Management Protocol
SSL Secure Socket Layer
TCP/IP Transmition Control Protocol/ Internet Protocol
TI Tecnologia da Informação
VPN Virtual private network
Wi-Fi Wireless Fidelity
WSN Wireless sensor networks
WWW Worl Wide Web
SUMÁRIO
INTRODUÇÃO.............................................................................................................11
1 INTERNET................................................................................................................. 13
2 OPEN SYSTEM INTERCONNECTION................................................................... 14
3 TRANSMISSION CONTROL PROTOCOL/INTENET PROTOCOL TCP/IP....... 16
4 SEGURANÇA............................................................................................................ 18
4.1 SEGURANÇA FÍSICA................................................................................. 19
4.2 SEGURANÇA LÓGICA............................................................................... 19
4.3 SERVIÇOS DE SEGURANÇA.................................................................... 20
4.4 PRIVACIDADE X SEGURANÇA............................................................... 21
5 PROCEDIMENTO METODOLOGICO..................................................................23
6 INTENET DAS COISAS (IoT) ................................................................................. 23
6.1 IoT ARCHITECTURE (IoT –A) .................................................................. 26
6.2 MACHINE TO MACHINE (M2M) ............................................................. 27
6.2.1 PROBLEMAS E PREOCUPAÇÕES M2M................................... 28
6.3 WIRELESS SENSOR NETWORK (WSN) ................................................. 28
6.4 PROBLEMAS DA IoT ................................................................................. 29
7 RISCOS, AMEAÇAS E VULNERABILIDADES ................................................. 32
7.1 SENARIO DE VULNERABILIDADE DE IoT........................................... 33
7.2 PRINCIPAIS RISCOS DE ATAQUES EM REDES IoT ............................ 35
7.3 OPEN WEB APPLICATION SECURITY PROJECT (OWASP) ................... 36
8 TIPOS DE SEGURNÇA SENDO IMPLEMENTADOS EM IOT ........................ 38
8.1 SEGURANÇA NO DESENVOLVIMENTO DE SISTEMAS ..................... 38
8.2 ASPECTOS DE SEGURANÇA NA COMPUTAÇÃO EM NUVEM IoT
........................................................................................................................................ 39
9 BOAS PRATICAS EM SEGURANÇA DE IoT ..................................................... 42
CONCLUSÃO .............................................................................................................. 43
REFERENCIAS ........................................................................................................... 45
INTRODUÇÃO
O termo IoT, é um emaranhado de dispositivos, objetos e sistemas embarcados
inteligentes, que se comunicam através de sensores utilizando a internet. Os mesmos,
capazes de realizar múltiplos processamentos, capturar variáveis ambientais e reagir a
estímulos externos. A IoT e uma das principais tecnologias na atualidade em que vivemos,
e permitem contribuir com a concretização de novos domínios e esferas de aplicação das
tecnologias e comunicação em geral; a exemplo, cito, cidades inteligentes, comunicação
avançadas e sensoriamento (Zanella et al. 2014). Segundo (KHAN et al, 2012), a Internet
das coisas promovera a conectividade de todos e de tudo em um curto espaço de tempo.
Segundo (Gartner 2015), IoT foi identificada como uma tecnologia emergente em
2012 por especialistas da área.
Gráfico 1 - Tendência Emergentes
Fonte: Gartner (2015)
Estudos apontam que, cerca de dois bilhões de pessoas pelo globo inteiro, usam a
internet para se comunicar, trocar informações, navegar na Web, acessar Apps
multimídias, games, e demais aplicações. A gama de objeto desta família das coisas pode
variar, sendo TVs, Laptops, automóveis, smartphones, consoles de jogos, webcams,
relógios, óculos, geladeira, painéis solares e etc. Todos terão habilidades de se comunicar
umas com as outras, promovendo a interação entre os mesmos na nossa realidade.
Com o crescente incremento das infraestruturas de redes e popularização em
massa da internet nas nossas vidas, torna-se uma obrigação mantermos nossos
dispositivos e sistemas de comunicação seguros. A segurança da informação ainda é uma
incógnita no nosso cotidiano. Muitos sistemas e redes podem acarretar ataques
cibernéticos por falta de contramedidas de SI em seus ambientes. De acordo com IERC
(Cluster of European Research Projects on the Internet of Things), a IoT é uma
infraestrutura de rede global dinâmica e escalável, baseada em protocolos de
12
comunicação, e por ser baseada em protocolos, a mesma necessita de uma atenção
redobrada quanto se trata de intercomunicações interoperáveis.
Este trabalho tem o principal intuito, analisar as diversidades de vulnerabilidades
existentes em um mundo inteligente no qual vivenciamos, abordar os desafios e ações de
segurança para ambientes IoT, mostrar as melhores práticas para mantermos um ambiente
inteligente relativamente seguro, conceituar os pilares que compõe a IoT e seus percalços,
acentuando nos principais aspectos de segurança a serem atentados quanto ao
desenvolvimento seguro de aplicações e soluções para Internet das coisas.
13
1 INTERNET
A Internet de hoje é um conjunto de redes mundiais interligadas, a qual troca
informações entre si, e sua nomenclatura tem origem inglesa onde “Inter, vem da palavra
internacional e o complemento “net”, significa Rede, ou seja, a junção destas duas
palavras, resulta em redes de computadores como é conhecida até hoje
(TANENBAUM,2011). A Internet primeiramente, foi criada com o objetivo de permitir
a comunicação entre bases militares durante a Guerra Fria. Esta foi criada pela ARPA –
Advanced Research Projects Agency, situada nos Estados Unidos da América (EUA) em
1960. A Arpa foi conhecida depois como ARPANET, a qual deu origem a Internet. Esta
rede era destinada apenas aos computadores do governo e de órgãos acadêmicos, e eram
muito usados principalmente para enviar e-mails.
A partir de 1983, o fenômeno TCP-IP veio à tona, assumindo como sendo o
protocolo responsável pela comunicação mundial entre computadores e dispositivos. A
definição de Internet é muito complexa conforme Kurose e Ross (2010), no qual eles
queriam definir em uma única frase o seu conceito. Em 1990 a Internet se popularizou
com a vinda do WWW – World Wide Web como conhecemos hoje. Em 1993, a Internet
de tudo começou a surgir para nós usuários e empresas, quebrando assim, a restrição do
uso entre academias de ensino, governos e outros órgãos.
Atualmente, a Internet é composta por milhões de redes particulares espalhadas
pelo mundo à fora, e este mecanismo fenomenal, permite acesso a informações,
transferências de dados, variedade de serviços e recursos sendo, e-mail,
compartilhamentos, serviço multimídia, downloads de fotos, músicas, livros, compras
online, Internet Banking e uma infinidade de outros (TANENBAUM,2011).
14
2 OPEN SYSTEM INTERCONNECTION
O modelo OSI é um padrão de referência criado pela Internacional Standards
Organization (ISO), órgão que padroniza a normatização com mais de 900 organizações
mundo a fora em mais de 170 países (TANENBAUM, 2011). A ISO foi um dos patriarcas
a oferecer grandes soluções para praticamente todos os computadores e problemas
situados nas redes de dados. Em 1984, a ISO decidiu criar uma padronização que
resolveria momentaneamente os problemas da falta de normatização das redes de
computação e seus processos. Este padrão seria hoje o popular modelo OSI como é
conhecido, e iria funcionar sempre da mesma forma, procedimento que antes não existia,
devido as funcionalidades de diferentes fabricantes em suas plataformas. A partir deste
momento, foi aberto um novo horizonte para a conversação dentre equipamentos de
diferentes fabricantes, permitindo-se assim, uma melhora aos usuários, pois estes se
desprenderam de obrigações de se fechar apenas com um fabricante individual,
melhorando assim, o conjunto da obra toda, resolução de problemas, que passariam a
trabalhar em conjunto e não mais individual, e uma série de outras atrativas
(TANENBAUM, 2011). Com a aplicabilidade do padrão OSI, as redes passaram a
trabalhar e operar de forma padronizada, melhorando todo o processo de transferência e
recebimento de dados.
A ISO desenvolveu um padrão constituído por sete camadas (cadeias), cada uma
com características diferentes sendo, Física, Enlace, Redes, Transporte, Sessão
Apresentação e Aplicação. O funcionamento na transmissão dentre as camadas, são
baseadas nas funções em que a camada mais próxima irá receber o dado, ou seja, o
processamento dos dados, ocorre entre camadas adjacentes, superior e inferior,
encapsulando e descapsulando os dados (TANENBAUM, 2011).
Façamos um breve overview abaixo sobre o que cada camada faz e suas
responsabilidades:
16
3 TRANSMISSION CONTROL PROTOCOL / INTERNET PROTOCOL (TCP/IP)
Protocolo de padrão aberto mundialmente responsável pelas comunicações entre
dispositivos que utilizam a rede de dados e suas interfaces, desenvolvida em meados dos
anos 70, é considerado um protocolo de comunicação sem dono, o qual significa que não
é um produto de ligação alguma com empresa específica, e sim, criada e incentivada pelos
desenvolvedores e entusiastas da área, sem nenhum fim lucrativo. Seu funcionamento na
prática ocorre quebrando as informações (dados) e formando diversos pacotes
endereçando-os para que o sigam ao seu destino através de um caminho lógico e físico
criado pelos roteadores que são programados para definirem uma rota (saltos) até o
destinatário (TANENBAUM, 2011). Dentro da pilha TCP/IP existem toda estrutura base
IP na comunicação com a Internet, baseando-se no paradigma best-effort (melhor
esforço), ou seja, será feito o possível para entregar a informação, mas não será garantido.
Esta espécie de chaveamento de pacotes com datagramas sem confiabilidade e sem
verificação ao estabelecer a conexão entre as pontas, está relacionado com o protocolo
Internet Protocol (IP), protocolo universal de endereçamento, sendo que não existem
nenhum outro método de verificação de entrega de pacotes sem antes estabelecer a
conexão, ficando para camadas mais altas esta função de garantir a entrega confiável,
verificação de erros, caso haja em uma transmissão e retransmissões, se for o caso
(TANENBAUM, 2011).
O processamento de criação e modelagem dos pacotes é formado de camadas em
camadas, sendo que, cada entidade é responsável por suas funções, encapsulando-as as
informações que as recebem e repassando para que a próxima entidade o faça o mesmo,
sendo assim, ao montar o frame ethernet final (dado), todas as informações do cabeçalho
do pacote, estarão prontas para serem enviadas e processadas pelos dispositivos que
estiverem no meio do caminho (TANENBAUM, 2011). O modelo prático e em uso até a
presente data é constituído por 5 camadas sendo, Física, Enlance de dados ou Link de
dados, Rede, Transporte e Aplicação. Alguns autores acabam englobando duas dessas
entidades em uma única apenas, sendo Física e Enlance totalizando 4 camadas e não 5
(TANENBAUM, 2011). A figura abaixo mostra detalhadamente a composição das
camadas do modelo TCP/IP.
17
Figura 2 – Comparativo entre a o modelo OSI e o modelo atual TCP/IP
Fonte: Tanenbaum (2011)
Nível Físico – Responsável pela geração e transmissão de bits através de
um canal de comunicação (satélite, fibra) e define caraterísticas mecânicas, elétricas,
funcionais, assim como, procedurais para acessar o meio físico (TANENBAUM, 2011).
Nível de Enlace – Corrige possíveis erros iniciais gerados no nível Físico
e prepara os quadros para serem enviados livres de erros ao nível de rede, envia blocos
de dados (quadros) através da ligação física, organiza o acesso ao meio físico, encapsula
os dados, endereça-os, controla erros que podem ter sidos gerados, controle de fluxo e
controle de acesso ao meio (TANENBAUM, 2011).
Nível de Rede – Determina o caminho (roteamento) de um pacote através
da sub-rede, endereçando-os da origem até o destino, passando por vários nodos, controla
e previne contra congestionamentos, conversão e compatibilização de protocolos e
esquemas de endereçamento. Provê serviços segundo o paradigma do melhor esforço
(TANENBAUM, 2011).
Nível de Transporte – Fornece comunicação transparente (fim-a-fim) entre
os pontos finais, confiabilidade na transmissão, entrega ordenada dos datagramas,
controle de fluxo e congestionamento e abstração da conexão (TANENBAUM, 2011).
Nível de Aplicação – Reúne diversos protocolos que fornecem serviços
aos usuários como: transferência de arquivos File Transfer Protocol (FTP), e-mails
Simple Mail Transfer Protocol e Post Office Protocol (SMTP e POP), terminal virtual,
serviço de diretórios e etc (TANENBAUM, 2011).
18
4 SEGURANÇA
A segurança em ambientes computacionais é o ato de se proteger contra quaisquer
anormalidades que coloque em risco os nossos dados patrimoniais. Para
Tanenbaum,Andrew S. (2011), quando se está conectada a Internet, coloca-se estes três
itens em risco: dados, recursos e reputação.
A cadeia da segurança como um todo, é constituída de diversas vertentes, sendo
segurança física, lógica, dos ativos, de serviços dentre outras. Questões de projeto, ajudam
a entender a importância de um plano de segurança, contingência e disponibilidade nas
organizações. É preciso saber o que está tentando se proteger? O que é preciso para isso?
Qual a probabilidade de um ataque? E se este será bem-sucedido? E o prejuízo disso,
quem arca? Será vantajoso realizar procedimentos de segurança do ponto de vista custo-
benefício? Essas e outras questões ajudam na reflexão sobre o que é necessário para
começar a esboçar um projeto de segurança nas empresas que estão na atualidade na
Internet das Coisas (IoT), quebrando assim, este desleixo por esta causa. Sabemos
também, que com toda a modernidade de hoje, não podemos garantir 100 % de segurança
em qualquer ambiente computacional, entretanto, se com um bom gerenciamento,
administração qualificada do ambiente das corporações, com um bom planejamento de
diretivas de segurança na Tecnologia da Informação (TI) da corporação, e com
monitoramento constante da aplicabilidade dos modelos de segurança, pode-se reforçar
ainda mais os fatores intelectuais, físicos e lógicos da cadeia de segurança, diminuindo
ainda mais, a probabilidade de efeitos reversos que possam colocar em risco os nossos
dados patrimoniais.
Deve-se lembrar hoje, que a maioria dos protocolos situados na arquitetura da
Internet como principais, IP, TCP e Domain Name System (DNS) possuem falhas
gravíssimas do ponto de vista segurança em suas comunicações, sendo que, a maioria dos
protocolos possuem mecanismos fracos de autenticidade, muitos meios de transmissão
utilizando broadcast, informações sendo transmitidas em claro pela rede, na internet não
existem limites definidos, vários caminhos para um mesmo ponto, uma rede gigantesca
sem controle centralizado, e uma série de outros fatores que contribuem para um
funcionamento duvidoso e incerto de nossos dados. Alguns mecanismos que fazem parte
da cadeia de segurança física e lógica são: firewall, antivírus, autenticação de entidades,
sistema de detecção de intrusão, ferramentas de detecção de falhas, criptografia,
segurança física das instalações entre outras (KUROSE, J. F.; ROSS 2010).
19
4.1 SEGURANÇA FÍSICA
A segurança física é uma das vertentes da cadeia de proteção mais importantes de
todas, e é composta por fatores como prédios, piso, portas de acesso, alarmes, sala de
equipamento e servidores, local do datacenter, sala dos backups e outros. De acordo com
a normativa de segurança a estrutura física contempla quesitos que englobam todo o
ambiente como arquitetura e engenharia da construção do prédio, teto, paredes, passagem
de cabos de dados e de energia, facilidade física na instalação de dispositivo contra
incêndios entre outros. A vertente física, destina-se a proteger os nossos ativos físicos
como equipamentos, links de comunicação, equipamentos de rede, local de
armazenamento das cópias de segurança, servidores, modens, hard disk (Hd externos).
Os quesitos de segurança física também valem para os dispositivos que estão
conectados na rede da internet das coisas como: relógios, carros, drones, eletrodomésticos
inteligentes e tecnologias vestíveis como o wareables entre outros. A segurança física é
tão importante quanto em relação a segurança lógica pois do que adianta nos restringirmos
apenas em segurança lógicas na criação de regras de firewall, policies de segurança,
Group Policy Objects (GPO), controle de conta do usuário e restrições em gerais, se
tivermos esquecido dos ativos físicos que também podem ser burlados alterados e
furtados mediante ao furo de uma vulnerabilidade causado pelo desleixo no fator físico?
Os profissionais da área da tecnologia da informação e segurança tens que se organizar,
estudar bem o ambiente onde será implantado um projeto inteligente e moderno, que será
adaptado a realidade da internet das coisas. Em diversos ambientes de alto escalão, é
necessário sim que seja implantado métricas bem drásticas e robustas para garantir que
qualquer material físico da corporação não seja afetado, por isso criar uma plano de
segurança anexado as políticas da segurança da organização, se torna imprescindível pois
desta maneira, terá como saber o que haverá em mãos em caso de desastres inesperados,
e qual os passos a seguir caso ocorra algo errado pois, algo que não está escrito, não tem
porque ser cobrado (Tanenbaum 2011).
4.2 SEGURANÇA LÓGICA
A segurança lógica envolve tudo que esteja relacionado a coleta de dados,
sensores, monitores, softwares, senhas, controle de acesso, firewall, proxy, anti-vírus,
Intrusion Detection System / Intrusion Prevention System IDS/IPS, applainces virtuais,
ou seja, tudo que não é palpável, e sim apenas lógico, no qual, praticamente lida-se
20
diariamente com isso. Os profissionais da segurança da tecnologia da informação,
respiram constantemente a parte lógica de um ambiente computacional, seja na criação
de políticas de autenticação, criptografia dos dados das aplicações, criação e manutenção
e atualização constante de regras e pachs de firewall e aplicações em gerais. A proteção
lógica dos recursos computacionais, baseia-se na necessidade em que cada indivíduo terá.
A identificação de um usuário por exemplo, pode ser feita por reconhecimento de voz,
retina, face, localização geográfica e biometria facilitando assim o processo de validação
do usuário correspondente ao equipamento inteligente (Tanenbaum,Andrew S. / J.
Wetherall,David, 2011).
4.3 SERVIÇOS DE SEGURANÇA
Com o crescimento exorbitante nos últimos anos de usuários conectados à rede de
dispositivos inteligentes, aumentou-se a necessidade de implantar e garantir, mecanismos
que façam e definam métricas nos serviços de segurança e contribuam na manutenção
destas na tecnologia da informação na organização. A seguir serão citados serviços que
fazem parte da cadeia de segurança da informação, segundo (Tanenbaum,Andrew S. / J.
Wetherall,David, 2011).
Confidencialidade: Esta métrica de serviço garante que a informação que está
tentando acessar, esteja sempre disponível apenas para pessoas e dispositivos autorizados,
garantindo assim que, entidades ou dados não sejam forjados por qualquer usuário que
não obtenha a autorização (credencial). Esta cadeia engloba também, aspectos de
autenticidade e privacidade, podendo ser incluídas autenticação de pessoas, máquinas e
Smartcard e etc. Para aumentar ainda mais a segurança e evitar o identify spoofing são
usados mecanismos de controle de acesso como biometria, firewalls, smartcards,
assinatura digital, certificado digital e até criptografia em dispositivos que aumentam e
sustentam ainda mais esta cadeia.
Integridade: Esta cadeia, garante que as informações não sejam adulteradas sem
que obtenham autorização, ou seja, somente pessoas devidamente autorizadas terão o
acesso a alteração e manipulação desses dados, garantindo assim, a integridade do
determinado dado. Um exemplo bem comum disso, é o caso de controle de permissões
no sistema operacional. A integridade, também faz uso de mecanismos de Hash, com a
finalidade de detectar mudanças na essência de um arquivo original (KUROSE, J. F.;
ROSS 2010).
21
Disponibilidade: Esta métrica de serviço, garante que as informações sempre
estejam disponíveis apenas para entidades autorizadas, criando assim, um sistema
hierarquicamente administrado baseado em políticas. A disposição da informação, faz
uso também de mecanismos de tolerância à falhas como Hardware redundante. Sistemas
hospedado na nuvem, sistemas para prevenção ou tratamento de incêndios, segurança
física das dependências, onde os dados se encontrarão, e aspectos de armazenamento
como cópias de segurança entre outros (KUROSE, J. F.; ROSS 2010).
4.4 PRIVACIDADE x SEGURANÇA
Privacidade e segurança são os principais paradigmas da internet das coisas; este
novo paradigma implica em uma comunicação não apenas entre seres humanos, mas
também com objetos muitas vezes sem intervenção humana.
Segundo Glenn Greenwald (2015), existe uma grande diferença entre privacidade
e segurança; sendo que a privacidade; refere se as possíveis limitações de acesso de outros
a um indivíduo. Em relação a segurança, caracteriza se os mecanismos utilizados para
preservar o bem social, patrimonial e intelectual.
Um exemplo recende de um acontecimento que engloba estas duas vertentes,
ocorreu em 2015 entre a Apple e FBI, onde ocorreu um ataque terrorista a um centro
regional americano causando 14 mortes. No desenrolar deste processo a FBI, começou a
sua investigação onde, buscou acessar o iphone do atirador, sendo que, o mesmo estava
com senha de bloqueio; devido a isto, o FBI decidiu entrar com uma ação na justiça,
solicitando a quebra de autenticação da senha do iphone junto a Apple. A Apple, por
questão de privacidade acabou contrapondo a decisão não fornecendo a solução
precedente solicitada pela FBI, gerando assim um tumulto naquela época; sendo assim, a
FBI decidiu seguir linhas consideradas ilegais pelo governo americano afim de quebrar o
sigilo e a privacidade dos sistemas da Apple, utilizando o conceito de jailbreak.
Usando o conceito citado anteriormente, a FBI, abriu precedentes para possíveis
indivíduos mal-intencionados usar, adulterar, crakear os possíveis dados do dispositivo
quebrado por uma fonte não confiável. Isso mostra, que quando a privacidade é aferida,
usuários sem autorização podem realizar monitoramento de dispositivos interligados a
rede de dados. Outro exemplo, seria o risco associado a semáforos inteligentes,
acarretando em problemas de ordem coletiva, podendo congestionar diversas vias e rotas
de grandes centros ocasionando um grande desastre no transito metrópoles popularmente
conhecidas em questões de minutos.
A privacidade necessita ser balanceada para o bem-estar social. Eventualmente,
necessitamos tomar a decisão de abrir mão da privacidade em certos casos, afim de
22
obtermos informações que jamais poderiam ser obtidas por meios legais, por isso, sempre
documente e justifique o uso de dados pessoais pelo aplicativo, colete apenas dados
pessoais necessários, considere a privacidade de aplicativos moveis e certifique-se de que
haverá transparência no acordo com os consumidores.
23
5 PROCEDIMENTO METODOLOGICO
O trabalho foi realizado em base de pesquisas de 34 artigos publicados entre os
anos de 2010 até 2016. A pesquisa foi executada com palavras chaves e questões do
interesse de segurança para internet das coisas nas plataformas como Google Scholar,
IEEEXPLORE e ACM Digital Library. Segue abaixo as palavras chaves e questões de
interesse.
• Palavras chaves:
– IoT, technology, sucurity, protocol, architecture, sensor, device,
application, Middleware, layer
• Questões de interesse:
– Quais tipos de segurança têm sido aplicados?
– Qual a arquitetura em IoT?
– Quais tipos IoT tem apresentado mais problemas?
– Protocolos em IoT?
– Qual a privacidade em IoT?
Dos 34 artigos pesquisados, 5 foram de 2010, 1 de 2011, 3 de 2012, 5 de 2013, 8
de 2014, 6 de 2015 e 6 de 2016 como mostra o gráfico abaixo.
Gráfico 2: Publicações por ano
Fonte: Minha Autoria
24
6 INTERNET DAS COISAS (IoT)
A internet das coisas nada mais é do que agregação (linkar) da comunicação entre
os demais dispositivos, objetos e coisas em geral que estão interconectados na internet.
Segundo Russell (2016) podemos caracterizar a internet das coisas como possuindo em
sua infraestrutura; sensores, automação predial, eletrodomésticos, medidores de energia,
smartphones e outras. Basicamente, se dá pela possibilidade da conexão e do dinamismo
entre o mundo físico entre o mundo digital por meio da web.
Essa ampliação da conectividade é útil para muitas atividades rotineiras do nosso
dia a dia, como fornecer dados para sistemas de controle integrado de atividades, acender
uma lâmpada da casa online, colocar a roupa para lavar, controlar a temperatura do
ambiente, sendo que todas estas atividades são realizadas de modo interativo, sem o
mínimo esforço do usuário, apenas em questões de segundos com seu dispositivo máster.
Outro exemplo, seria uma geladeira inteligente poder notificar quando um determinando
alimento está por acabar, sendo que a mesma se conecta a rede dos supermercados, e
realiza a pesquisa dos menores preços possíveis do produto em falta. Todas essas
combinações de diversas tecnologias complementares dão o sentido à vida da IoT. De
acordo com Al-Fugaha et al. (2015) apresentaremos os blocos básicos da construção da
IoT, sendo:
-Identificação: É primordial identificar os objetos que estarão conectados na
internet e suas tecnologias empregadas RFID, NFC e protocolo IP.
-Sensores: São usados com o intuito de coletar dados que estão ao seu redor e
encaminha lós para centros de armazenamentos como a nuvem.
-Comunicação: É fundamental este parâmetro, pois a comunicação permite a
conectividade dos objetos inteligentes como wi-fi, Bluetooth, IEEE 802.15.4 e RFID.
-Computação: Diz respeito a capacidade de um dispositivo inteligente computar
processamento de informações.
-Serviços: Os serviços facilitam o mapeamento de objetos no mundo real em que
vivemos com o mundo virtual dos mesmos. Provem diversas classes de serviços como,
serviços de identificação, entidades físicas e entidades virtuais.
-Semântica: Trata-se da descoberta do uso inteligente dos recursos possibilitando
o provimento de um serviço, extraindo conhecimentos da diversidade dos objetos do IoT.
25
Figura 3 - Blocos básicos da IoT
Fonte: Al-Fuqaha, Mattern and Floerkemeier (2015)
Com toda essa combinação de base e pilares que sustentam IoT, é possível
obtermos dispositivos com tal inteligência suprema para tornar a vida do usuário mais
fácil. Mostraremos alguns exemplos abaixo que são utilizados na atualizada.
Figura 4: Geladeira Samsung RF4289HARS
Fonte: Samsung (2016)
Também é importante a questão da interoperabilidade entre os objetos,
permitindo-se a comunicação de um com outros; como exemplo o termostato de um
painel solar, que se conecta ao smartphone enviando informações e relatórios apurados
da quantidade de energia captada pelos painéis e seu consumo diário.
26
Figura 5: Painel Solar
Fonte: Solares (2016)
Os veículos da marca Tesla, é uma tecnologia especializada em carros elétricos de
alta performance, com mecanismos de recarga automática de bateria, os mesmos se
conectam a internet, a fim de receber os últimos uptades de softwares do fabricante,
fornecendo uma maior segurança para os sensores que transmitem os dados de
geolocalização.
Figura 6: Tesla Motors
Fonte: Tesla Motors (2016)
A Philips Lighting é uma companhia que desenvolve lâmpadas de leds
inteligentes, que podem ser configuradas junto com o smartphone do usuário, permitindo
a mudança da intensidade das cores da iluminação de acordo com seu ambiente.
Figura 7: Philips Lighting
Fonte: Philips (2016)
27
A principal proposta da internet das coisas não é apenas fornecer mais um meio
de comunicação entre os dispositivos, e sim, faze los os mesmos serem mais eficientes e
objetivos.
6.1 IoT ARCHITECTURE (IoT –A)
A camada da arquitetura das coisas foi projetada para atender as diversas
demandas de empresas, industrias e sociedades em geral, interconectando dispositivos,
objetos, propondo uma visão heterogenia. Segue abaixo a arquitetura das 5 camadas de
forma genérica. (ZARGHAMI 2013)
Edge Technology layer: É uma camada voltado a sistemas embarcados, serviços,
sensores e hardware. O intuito desta camada é a coleta das informações pertinentes sobre;
sistemas sobre o ambiente, processamento de informações e comunicações.
Access Gateway layer: Está camada se preocupa com a publicação dos dados e
assinatura, sem contar com o tratamento dos mesmos, roteamento de mensagens entre
plataformas de comunicação.
Middleware layer: Camada que possui funcionalidades importantes e críticas
quando aos dados recebidos por dispositivos de hardware, agregação e filtragem dos
dados, fornecendo a descoberta e controle no acesso às aplicações e dispositivos.
Application layer: Está camada como o próprio nome diz, se responsabiliza pela
entrega de serviços e aplicações que é fornecida através da camada superior (middleware).
O serviço desta aplicação é fornecido para industrias saúde, varejo e logística.
Figura 8: Camadas IoT-A
Fonte: Zarghami (2013)
28
6.2 MACHINE TO MACHINE (M2M)
Refere-se ao mecanismo de tecnologia de comunicação entre maquinas heterogênea,
utilizando sensores, podem ser utilizadas com ou sem fio, sendo que os dados coletados
serão roteados para um servidor na internet, no qual permite a comunicação centralizada
ou independente entre essas maquinas sem a intervenção humana.
A comunicação que ocorre entre máquina-máquina permitiu transformar um sistema
de redes que transmite dados para equipamentos pessoais. Com o crescimento das redes
IP em todo o mundo, tornou-se a comunicação máquina a máquina muito mais rápida e
fácil, ao mesmo tempo em que utiliza menos poder de energia. Aumentando as
oportunidades de negócios para consumidores e fornecedores (TEC 2014).
Exemplos de sensores incluídos nessas redes são: telemetria, controle de tráfego,
robótica e outras aplicações que envolvem comunicações entre dispositivos.
A gama de aplicações que cobre o M2M são:
Security - Vigilância, Sistemas de alarme, Controle de acesso, Segurança de carro
/motorista;
Racking & Tracing - Gerenciamento de Frotas, Rastreamento de Ativos,
Navegação, Informações de trânsito, Pedágio;
Payment - Pontos de vendas, maquinas de jogos;
Health - Acompanhamento de sinais vitais, apoio a idosos ou deficientes, VIA
Web, Diagnóstico remoto;
Remote Maintenance/Control - Sensores, Iluminação, Bombas, Válvulas,
Controle de elevador, Controle de máquina de venda automática, Diagnóstico de
veículos;
Manufacturing - Monitoramento e automação da cadeia produtiva e etc.
29
Figura 9: Exemplos dos componentes do M2M
Fonte: TEC (2014)
6.2.1 PROBLEMAS E PREOCUPAÇÕES M2M:
Alguns equipamentos M2M são tipicamente pequenos. Baratos e portáteis, capazes
de operar ser a vigência do ser humano. Esta tendência, apensar de ser bem atual, pode-
se se tornar vulnerável pois, espera-se que os dispositivos M2M operem livremente sem
proteção de seres humanos e, portanto, estão sujeitos a níveis bem cruciais de ameaças à
segurança da informação, tais como adulteração física, hacking em geral, monitoramento
não autorizado, etc. Devices M2M devem possuir, portanto, uma capacidade de fornecer
segurança adequada para detecção e resistência a milhares de ataques. Os dispositivos
também podem precisar de gerenciamento remoto, incluindo atualizações de firmware
para corrigir falhas ou recuperar de ataques mal-intencionados (TEC 2014).
6.3 WIRELESS SENSOR NETWORKS WSN
É uma rede de sensores sem fio, interligados em um ambiente físico disperso sem
qualquer infraestrutura física pré-estabelecida. Rede formada por nós equipados por
sensores. Estes sensores são distribuídos em um ambiente geográfico que pode ser fixo
ou aleatório e por fim móvel, influenciando diretamente no aspecto desempenho ao se
tratar dos protocolos de roteamento de sensores. (DWIVEDI e VYAS, 2010). Cada sensor
em seus nós, pode ser equipado com detectores de calor, pressão fumaça, posição e
diversos. O WSN já é comum em ambientes industriais, monitorando-os e controlando os
processos de sistemas elétricos, e até em nível de saúde. Tradicionalmente, as redes WSN,
necessitam de um índice de processamento muito maior para funcionar, gerando energia
aos sensores, e aumentando a vida útil dos alimentadores de baterias dos equipamentos.
O rápido desenvolvimento destas redes sensoriais, torna-a WSN a tecnologia chave de ponta
para redes IOT. No aspecto segurança em redes WSN, a mesma, necessita de mecanismos
para aumentar a proteção tradicional e requisitos especiais de confiança e privacidade
30
pois, assim como num ambiente tcp/ip tradicional, onde são necessários proteger a triade
“CIA”, mas redes Wsn a camada de proteção terá que ser equivalente. Exigir proteção de
segurança de integridade, disponibilidade, confidencialidade, não-repúdio e privacidade
do usuário dependendo do cenário, pode ser um desafio para a segurança em ambientes
de sensores. A mesma suporta a integridade dos sistemas, confiabilidade, protegendo o
sistema contra-ataques mal-intencionados e etc. A camada de proteção nas redes WSNs,
pode precisar de proteção contra os nós e adulteração do canal de comunicação, e
encaminhamento na camada de rede
As necessidades da camada de segurança da WSNs podem ser categorizadas da
seguinte forma como é ilustrado abaixo
Figura 10: Camadas de segurança WSN
Fonte: IEC (2014)
Cryto algorithms – A criptografia é usada para garantir a confidencialidade dos sensores
dos dados, fazendo com que o usuário sem autorização, não consiga ver o conteúdo das
mensagens trocadas entre os devices e protocolos.
Key management of wsn – No gerenciamento de chaves, estão inclusos, geração das
mesmas, validação e destruição.
Secure routing of wsn – Foram projetados exclusivamente para redes wsn. O protocolo
de roteamento seguro que toma as decisões eficazes seguindo o pré-requisito para
agregação dos dados, eliminação segura, redundância. Os mesmos são divididos em três
categorias, sendo roteamento baseado na estrutura de rede, roteamento plano hierárquico,
e baseado na localização geográfica.
Secure data aggregation – Garante a proteção de cada dado a dentro do no seguro. Quanto
maior a agregação, maior a credibilidade e redundância dos nos.
6.4 PROBLEMAS DE IoT
A cada dia que passa, novos dispositivos aparecem conectados e a tendência é que
o número dos mesmos cresça ainda mais nos próximos semestres. Um dos problemas que
31
vem afetando a IoT, é a fragmentação das soluções técnicas. Grande parte das empresas
estão a oferecer soluções integradas que se conectam entre si, mas, o resultado disso é
muito traumático para os usuários. Atualmente muitos sistemas diferentes na IoT, não se
conversam entre si, ignorado a acessibilidade. Diminuir os riscos de segurança não é o
mesmo que elimina-los; profissionais do ramo de tecnologia da informação precisam
estar atentos regularmente, afim de criar novas estratégias de mercado para lidar com
eventuais problemas e ataques em dispositivos eletrônicos, causando um problema maior
na infraestrutura da empresa (ZHOUA 2013)
Um dos grandes problemas de segurança e privacidade na internet atualmente, é
as câmeras IPs tradicionais em todo o planeta, pois, muitas destas redes não possuem
mecanismos de proteção e acabam permitindo que o invasor controle remotamente a
mesma, aferindo a privacidade. O serviço conhecido como Shodan, constitui de um
mecanismo de busca on-cloud focado em dispositivos IoT, fazendo um scan completo
por IP, cidade, protocolo de aplicações e diversos outros parâmetros que podem ser
setados nas bucas, para verificar a brecha de segurança nas redes.
Acessibilidade: O termo acessibilidade, refere-se a um significado totalmente
novo no mundo da mobilidade. As experiências dos usuários são acessíveis, e também
existe uma preocupação básica de criar consistência na forma de como as operações são
realizadas. Afim de garantir a acessibilidade nos dispositivos IoT, precisamos identificar
de forma automática o contexto do seu uso, comunicar com o servidor e então obter a
melhor experiência possível de condições de uso para os usuários. Cito alguns exemplos
abaixo:
- Hoje em dia, existe a possibilidade de que uma balança inteligente, se torne a
apropriada a enxergar pequenos números da mesma com o uso de uma pulseira da FitBit
em caso de problema de visão;
- Um deficiente físico se torna impossibilitado de alcançar o detector de fumaça
do modelo Nest pelo mesmo motivo de obter a dificuldade em saber a temperatura atual
de um termostato.
Figura 11: Pulseira FitBit Figura 12: Detector de Fumaça Nest
Fonte: FitBit Fonte: Nest
32
-Interoperabilidade: Neste cenário atual no qual vivemos, é imprescindível a
comunicação entre os diversos dispositivos de fabricantes diferentes. A questão da falta
de compatibilidade entre os fabricantes e os protocolos, ainda existe, porém, não pode ser
um empecilho para que as tecnologias avancem no mercado atual. Será apresentado
grandes players abaixo e suas plataformas.
O Google desenvolveu um protocolo Weave que permite a comunicação entre
smartphone android e relógios inteligentes. O mesmo desenvolveu o Brillo que é um OS
baseado em android, voltado para aplicações com baixo poder de processamento, sendo
que o Brillo, endereça problemas de integração entre OS e o hardware. O outro grande
player que é da Apple, possui em seu portfólio, o Homekit, sendo, uma outra grande
plataforma de interligação de acessórios e controle de coisas. E por último a Amazon com
o seu AWS IoT, no qual permite a conectividade de dispositivos inteligentes com serviço
da AWS.
A questão principal é que independe do player, do hardware, do software mais
cedo ou mais tarde a comunicação entre os dispositivos precisarão existir garantindo
assim a interoperabilidade, melhorando a agilidade na comunicação, e na vida de quem
usa.
33
7 RISCO, AMEAÇAS E VULNERABILIDADES
Ameaça consiste na possibilidade de algo anormal acontecer mediante ao
descoberto, seja por exploração de bugs propositalmente, vulnerabilidades encontradas e
outras, colocando em risco a reputação do sistema. Ameaça também pode ser considerada
uma violação da segurança em um sistema computacional. Existem diferenças entre risco
e ameaça, apesar de serem muito parecidas, sendo que o risco, é a medida da
probabilidade da ocorrência de uma ameaça, ou seja, é a probabilidade do evento causador
da perda ocorrer. Já a vulnerabilidade, é um ponto fraco do próprio sistema, uma fraqueza
ou falta de medidas de segurança que podem ocasionar a exploração desta em diferentes
cenários adversos. Se um ambiente não estiver bem preparado para lidar com a internet
atual da interatividade, corremos sérios riscos de falhas de configuração, defeitos de
softwares, uso inadequado dos sistemas, projetos sem levar em conta a segurança,
fraquezas advindas da complexidade dos sistemas, perda financeira, privacidade e
confiança na tecnologia, indisponibilidade de serviços, furto de dados e danos à imagem
da empresa. Fazendo uma analogia básica em relação a ameaça, risco e vulnerabilidade,
se o seu carro estiver com a porta aberta em pleno andamento, você com certeza estará
ameaçado de ser jogado para fora do carro, e isso é um risco muito grande, ou então,
poderá sofrer algum dano mesmo estando com cinto de segurança, devido a
vulnerabilidade (porta) encontrada estar aberta. Esta analogia mostra muito bem o porquê
da preocupação que profissionais de segurança tem que ter com seus sistemas. Se uma
nova correção for disponibilizada pelo fabricante desenvolvedor de um software,
firmware por exemplo, significa que esta atualização, poderá apresentar novas
funcionalidades além do mais, apresentará melhorias nos aspectos de segurança do
programa (código), caso contrário, você poderá sofrer alguma ameaça de ataque ou
tentativa de invasão através da vulnerabilidade encontrada devido as brechas de
segurança situadas. Por isso é de extrema importância que os sistemas sejam
constantemente atualizados e verificados de acordo com os change-logs, só assim, pode-
se minimizar a probabilidade de ameaças em nossos sistemas e ter ciência do que está
sendo atualizados (ZHOUA 2013)
Em relação a riscos, citaremos alguns abaixo sobre IoT
- Vazamento de informações privativas;
34
- Malwares em geral e ataques associados em redes de zobies (Botnets);
- Falhas de segurança em geral, exposição de privacidade (risco de vida);
- Equipamentos que possuem dados sensíveis relacionados a saúde;
- Coleta de informações de dispositivos vestíveis;
- Objetos que não foram projetados para serem conectados à internet.
7.1 CENÁRIOS DE VULNERABILIDADES IOT
Muitas características se diferem entre redes de computadores tradicionais e
sistemas inteligentes IoT. De acordo com Wangham et al (2013) enquanto ambientes
tradicionais, possuem um rico recurso computacional, em redes inteligentes a mesma
possui um índice menor do que o esperado, além do mais, a linguagem padrão de
programação dos desenvolvedores são inerentemente mais vulneráveis devido o padrão
C e C++, que diga se de passagem são apropriadas para sistemas embarcados (mais leves).
Uma outra maneira de impactar a segurança nas redes IoT, é a forma com a qual a
comunicação entre os sistemas é realizada de modo eminentemente distribuída,
aumentando ainda mais riscos de potenciais ataques, devido a troca de mensagens entre
os dispositivos (Atzori et al 2010). Contudo, diversos pontos podem impactar o aspecto
segurança, conforme demonstrado na tabela abaixo.
Figura 13: Tabela comparativa entre redes tradicionais e IoT
Fonte: Atzori (2010)
Abaixo citaremos exemplos de casos reais que potenciais ataques aconteceram em
dispositivos inteligentes.
35
Carros: Carros inteligentes, correm um grande risco de invasões, tornando o
mesmo impossibilitado de um correto funcionamento. Como por exemplo, acionamento
remoto de faróis, buzinas, freios, motor, direção entre outros. Em contraponto, empresas
afirmam que monitorar os mesmos via GPS melhora a qualidade dos produtos e da
vigilância dos mesmos.
Babá eletrônica: Diversos casos no mundo ocorreram falhas de segurança no
acesso ao aparelho, tendo assim, imagens e áudio capturados gerando desconforto aos
consumidores. Um caso recente ocorreu 2013 com um casal nos EUA, no qual escutou
gritos de obscenidades para sua filha por meio do aparelho.
Figura 14: Baba Eletrônica
Fonte: Motorola (2016)
Geladeira: Mais de 100 mil eletrodomésticos foram invadidos por hackers mal-
intencionados disparando cerca de 750 spams, ocasionada por falha de configuração
destes produtos e por negligencia de fabricantes em não se preocupar com o aspecto
segurança em seus projetos de programação.
Marca passo: Sistema vulnerável que pode ser invadido por um black hat com o
intuito de mata-lo o paciente deste equipamento que utilizava para sua sobrevivência.
Figura 15: Marca passo inteligente
Fonte: Accent (2016)
36
7.2 PRINCIPAIS RISCOS DE ATAQUES EM REDES IOT
Com a enormidade de dados gerados pelos dispositivos interconectados, as
proteções dessas informações são significativas para a continuidade das operações de
negócio. O primeiro passo de tudo é criar uma estrutura robusta de segurança para
reconhecer os tipos de ameaças (Gartner 2014). Citaremos os principais tipos de ameaça
existentes:
Ataque DOS e DDOS: Método responsável por interromper atividades legítimas,
tendo como objetivo a indisponibilidade de um serviço como por exemplo, navegar na
Internet, fazer um download de um determinado dado, assistir a um canal de televisão via
streaming, dentre outros. O DoS baseia-se em simular, diversas requisições de conexões
ao mesmo tempo (SYN Flood), gerando uma espécie de congestionamento de
processamento nas conexões, ocasionando a indisponibilidade de um serviço devido à
sobrecarga gerada além do esperado (Gartner 2014).
Hacking de APP: Existe diversas formas de quebrar uma aplicação aferindo o seu
funcionamento por completo como por exemplo, Buffer overflow entre outras. Muitas
ferramentas trabalhão de forma automatizadas neste contexto, estão e de fáceis acessos
na internet para qualquer indivíduo malicioso se usufruir.
Phishing: Técnica de engenharia social muito comum nos dias atuais, utilizadas
principalmente para disseminar e-mails fraudulentos para pessoas, sem o conhecimento,
afim de obter informações confidencias da mesma.
Intrusão Física (Bypassing Physical Security): Normalmente os ataques
cibernéticos ocorrem de forma virtual (lógica), porém, a intrusão física é suscetível a
ocorrer, por isso, são necessários mecanismos de segurança física conforme citados
anteriormente. Desativar portas de redes desnecessárias e proteger senhas são ótimas
práticas que ajudam a mitigar esta ameaça.
Spoofing Identity: Método de ataque que usurpa a identidade de uma pessoa ou
de uma máquina por parte de um atacante, ou seja, ele se passa pelos mesmos, sem ter o
consentimento e a autorização dos verídicos.
Tampering with Data: Técnica de restringir configurações de leitura escrita e
gravação. Este conceito deve ser implantado baseando-se no princípio do menor
37
privilegio, ou seja, liberar os requisitos mínimos para o correto funcionamento de um
sistema.
Repudiation: Incorpora verificações de saúde da integridade dos sistemas
utilizados, protegendo as autenticações, à não alteração dos dados pelos produtos IoT.
Information Disclosure: Técnica que se baseia em restringir a divulgação
inapropriada de informações entre produtos IoT e APIs. A validação da criptografia dos
serviços e recursos em nuvem, restringem o acesso dos mesmos por parte dos
fornecedores de IoT.
Elevation of Privilege: Foca em fornecer privilégios mínimos necessários para o
usuário e serviços, garantindo assim, um nível de proteção aceitável.
Gráfico 3: Incidentes de SI reportados e índice de dados violados.
Fonte: Simpósio Gartner/ITExpo (2014)
7.3 OPEN WEB APPLICATION SECURITY PROJECT (OWASP)
É uma organização reconhecida mundialmente, sem fins lucrativos, que ajuda na
melhoria da segurança de softwares e riscos relacionado a segurança na Internet. Possui
uma ampla documentação e metodologias, assim como ferramentas de aplicações web.
Através das estatísticas da OWASP é possível identificar os ataques mais críticos
do mundo inteiro, e com base nisso, priorizar uma lista top 10 que é regularmente
atualizada e disponibilizada na web.
1- Interface Web insegura
2- Autenticação / Autorização insuficientes
38
3- Serviços de rede inseguros
4- Falta de transporte criptografado
5- Problemas de privacidade
6- Interface com a Nuvem insegura
7- Interface móvel insegura
8- Configuração insuficientes de segurança
9- Software / Firmware inseguros
10- Segurança física insuficiente
39
8 TIPOS DE SEGURANÇA SENDO IMPLANTADOS EM IOT
Confidencialidade, integridade, autenticidade e controle de acesso são
dependências do desenvolvimento de segurança nas redes IoT. A implantação da
infraestrutura de chave pública com o uso de certificados digitais, permitem a troca de
informações confiáveis entre dispositivos que estão na nuvem e interligados com
plataformas IoT. A confiança nos dispositivos em IoT, começa no desenvolvimento do
seu produto. De acordo com a Online Trust Allliance (OTA) a mesma elaborou um
framework com intuito de ajudar as organizações a tornarem seus ambientes mais
robustos privados, priorizando no desenvolvimento de um produto seguro.
Citamos abaixo alguns dos requisitos mínimos como sugestões para as empresas
em IoT incluírem em seu portfólio. A lista completa foi publicada no portal OTA, sendo
que, alguns dos itens a seguir, podem não ser aplicáveis a todos os dispositivos e serviços.
- As informações transmitidas entre dispositivos, devem ser criptografadas tanto
em transito quanto armazenadas;
- Redefinir senhas padrões de equipamentos e alterar com regularidade;
- Desenvolvedores e usuários devem aderir as melhores práticas da indústria
usando SSL e HTTPS nos acessos;
- O consumidor deve revisar regularmente as documentações dos fabricantes em
relação à privacidade, preferencias de segurança incluindo informações transmitidas
através dos Devices;
- Eventualmente os fabricantes necessitam divulgar dados de identificação pessoal
dos usuários;
- A política de privacidade deve estar sempre disponível à todos os usuários de
forma facilitada em relação à compra do produto, download e ativação.
8.1 SEGURANÇA NO DESENVOLVIMENTO DE SISTEMAS
Atualmente é necessário que os programadores possuam uma postura segura no
desenvolvimento de suas aplicações, que é a base principal de tudo, porque, de nada
40
adianta implantarmos métodos de proteção em diversas camadas da segurança, se o
esqueleto (código) que é a base de tudo, é vulnerável (Serebryany et al. 2012).
Análise Estática: Neste modelo, também conhecida como análise de código,
ocorre a supervisão do programa antes do mesmo ser distribuído para o varejo. Um ponto
positivo, seria o não overhead durante a real execução do programa, já um ponto negativo
deste modelo, é não possuir informações que apenas estarão disponíveis no momento real
(Serebryany et al. 2012).
Análise Dinâmica: É uma técnica que se beneficia do monitoramento das
informações disponíveis em tempo real, mitigando alarmes falsos (falso positivo) em
relação a análise estática. O resultado, desta análise, não pode concluir acerca do
comportamento geral do programa, pois, são apenas testadas as entradas pertinentes da
aplicação (Serebryany et al. 2012).
8.2 ASPECTOS DE SEGURANÇA NA COMPUTAÇÃO EM NUVEM EM IoT
A nuvem, é uma realidade grandiosa hoje para a maioria das empresas. A internet
das nuvens (Cloud Computing) segundo a Google, será o futuro da internet, esta é a
tendência que o mundo está seguindo. Com essa tecnologia em nossas mãos, facilitará
ainda mais diversos aspectos para o usuário final, fornecendo uma maior abstração da
mobilidade, e a não necessidade de instalação de softwares em computadores físicos,
enfim, tudo acontecerá por meio da internet com o advento da nuvem das coisas, que
trabalhará como uma plataforma; isso já acontece com o Google docs, por exemplo, onde
o usuário não necessita da ferramenta instalada no computador físico local, e sim, apenas
ter acesso à internet para uso da aplicação. Com esse tipo de realidade aumentada, os
computadores e sistemas tendem a ficar bem baratos e as empresas irão aumentar sua
presença online. (DELPHINO, 2011).
A nuvem nos propicia, a possibilidade de acesso sobre demanda a um pool de
recursos compartilhados gerenciáveis de forma centralizada; a mesma permite a abstração
de infraestrutura, gerenciamento de software, plataformas de desenvolvimento remota,
alocação e realocação de recursos de forma dinâmica, sem contatar que a principal
característica da mesma, é a rápida elasticidade (Leitão et al 2012). Novos mecanismos
virtuais estão aparecendo com a integração entre a nuvem e a IoT, fornecendo um
acionamento automático dos mesmos on-cloud.
41
Figura 16: Visão Geral nuvem computacional
Fonte: Minha autoria
Vantagens
Uma das principais vantagens dessa nova tecnologia de computação, se dá
primeiramente na redução de custos físicos, como hardware, manutenções e infraestrutura
em geral, pois não serão mais precisos mega computadores para executar várias
aplicações ao mesmo tempo, e em relação ao custo de licenciamento de software e
licenças, pois poderão acessar diversos serviços via internet e, toda a gestão de
gerenciamento de software incluindo a responsabilidade dos mesmos, fica a rigor do
provedor da nuvem. Os departamentos de TI das empresas seriam minimizados, focando
mais em negócios e não mais apenas em apagar o incêndio que a TI representa na maioria
das organizações (DELPHINO, 2011)
Desvantagens
Um dos principais percalços da nuvem, é a falta de legislação nos países onde os
provedores de serviços estão. Questões como confidencialidade e espionagem industrial
causada por leis maiores e vigentes dos países de destino, tornam-se um impasse para
empresas e órgãos públicos adotarem essa tecnologia. O Brasil há alguns anos atrás, foi
vitima que de espionagem por parte do FBI, devido a toda nossa infraestrutura do
governo, ser alocada nos EUA. Outro fator é a localização geográfica dos dados que o
cliente está alocando, gerando certa desconfiança em muitas empresas para não migrar
para essa tecnologia em virtude desse fato. Todas essas questões poderiam ser amenizadas
se os CIOs tivessem uma cultura de incentivar seus subordinados, de se atenrem aos SLAs
dos provedores antes da fecha do contrato (DELPHINO, 2011).
Aspectos de segurança na nuvem e IoT
Nem tudo é maravilha, pois a nuvem possui elevados riscos de segurança caso a mesma
não seja levada em consideração, e fatores de segurança de última milha, deverão ser
priorizados ainda mais ao se tratar da interligação entre nuvem e IoT. Um dos fatores que
pode ser uma desvantagem na computação em nuvem, é a falta de interoperabilidade e
aprovisionamento de aplicações, segurança inadequada e incompatibilidade entre
aplicações.
Com a imensa evolução, pode se sentir o peso da realidade das coisas no nosso
cotidiano, no qual por sua vez, a nuvem, demonstra também alta velocidade de
42
crescimento no mercado, sendo igualada com forças junto com IoT, trazendo mobilidade
e impulsionando projetos e capacidades a demanda em tempo real nas redes inteligentes.
A realidade por si só não mente, a computação na nuvem é uma grande aliada e apoiadora
de projetos com ofertas em nuvem das coisas, oferecendo um processamento gigantesco
de informações que serão gerados pelos novos serviços que virão na atualidade.
43
9 BOAS PRÁTICAS EM SEGURANÇA EM IOT
Governos, corporações privadas e usuários estão suscetíveis a ataques digitais,
com toda esta informatização no mundo. Cabe aos profissionais da área encontrar
soluções que melhoram, neutralizam, mitigam, as possíveis brechas na área de IoT.
- Elaborar uma boa política de privacidade;
- Utilizar senhas complexas nos processos de autenticação;
- Trocar informações apenas com dispositivos em meios criptografados;
- Gerenciar atualizações e firmware de fontes confiáveis;
- Separar dispositivos de armazenamento de informações críticas;
- Desabilitar recursos de conexão remota e utilizar VPN sempre que é possível;
- Desabilitar portas não utilizadas;
- Dispositivos resistentes a violação de dados;
- Integrar as estratégias empresarias das organizações com a IoT, aumentando
assim a segurança digital;
- Considere incluir a autenticação de dois fatores nas aplicações;
- Contrate um profissional de segurança para aprovar e auditar as funções de
segurança e designer do aplicativo.
44
CONCLUSÃO
Ao término deste trabalho, conclui-se que, a IoT é uma realidade notória em
nossas vidas. A Internet das Coisas, permite a interconexão de pessoas, objetos e recursos
do mundo real, oferecendo uma gama variada de serviços que trazem conforto, qualidade
de vida, eficiência e oportunidade de negócios. A IoT se tornou um mercado promissor
em alto potencial pois, pode-se imaginar uma série de aplicações, nas mais diversas áreas
do conhecimento humano, e principalmente, no quotidiano das pessoas na atualidade. A
existência dos objetos em IoT, baseia-se pela existência de objetos conhecidos com o
codinome “inteligentes”, pelo desenvolvimento, capacidade e disponibilidade de uma
variação de sensores, e principalmente pela popularização da expansão e uso da Internet.
A medida que se tem, mais e mais, objetos proliferados e interconectados,
aumenta-se consequentemente a preocupação com a segurança da informação, sendo em
um ambiente tradicional ou em nuvem como a tendência. Não é nenhuma novidade
falarmos de privacidade e métodos de ataque que atualmente a internet e as empresas
sofrem hoje em dia.
De uma coisa é certa, quanto mais informações estiverem disponíveis na mão dos
usuários fornecendo a mobilidade, maior será a probabilidade de vulnerabilidades no
mercado. Outro aspecto como falta de interoperabilidade, compatibilidade e
escalabilidade de aplicações, são desafios futuros para a IoT, pois muitos sistemas hoje
ainda não se comunicam devido as limitações de seus protocolos proprietários, gerando
um desconforto para os usuários em termos de funcionamento, e neste mundo onde tudo
está conectado, se torna praticamente impossível não se comunicar, ainda mais de forma
segura. Em alguns casos, outros problemas como falta de heterogeneidade se torna um
dos principais desafios ao falarmos em IoT.
Enfim, nem tudo é mar de rosas para essa tecnologia do futuro. Muitos riscos e
brechas começam pela cultura do desenvolvedor em não programar com uma postura
segura o seu código pois, de nada adianta implantar mecanismos de mitigação em SI, se
o próprio código não foi construído de uma forma segura. É quase impossível afirmarmos
que existe um ambiente 100% seguro e livre de erros. Em qualquer ambiente sendo
drástico ou não, existem diferentes formas de se obter um determinado dado sem a
anuência das entidades autenticadas, infringindo assim, qualquer barreira de segurança
que garantam a privacidade de um determinado dado. Mesmo sem a obtenção de um
ambiente 100%, pode-se sim, atenuar os efeitos causados pelas pragas externas que
afetam as informações em uma sessão nas comunicações.
A segurança da informação, infelizmente é vista pelos usuários como fator
negativo, devido aos conjuntos de restrições físicas e lógicas que são impostas pelos
gestores de segurança em um ambiente corporativo. Muitas vezes essas regras diminuem
45
a liberdade dos usuários em certas tarefas, tornando-se a utilização dos sistemas muito
mais complexas, devido às limitações aplicadas, por exemplo, em diretivas de segurança
de grupos pelo domínio. Enfim, a segurança mesmo sendo odiada por muitos, é um mal
necessário ironicamente falando, tanto para desenvolvedores, empresários, entusiastas e
consumidores da tecnologia por si só. Assim entendo, que a Internet nas nuvens por ser
algo grandioso, chegará aliado com a IoT em um momento que, a enormidade de dados
será assustadora, e o crescimento será sem barreiras. Pergunto, será que nós temos
tamanho em volume suficiente para suportar a grande quantidade de informações
transferidas entre dispositivos e tecnologia de forma segura e privada, evitando assim, o
vazamento de informações e até o fim de uma empresa?
Vale ressaltar, que este trabalho possibilitou um aprendizado e acréscimo
exorbitante em relação especial a área de Segurança da Tecnologia da Informação,
fortalecendo assim, muitos conceitos e métricas de proteção que irão contribuir para o
uso correto da informação em um determinado segmento.
46
REFERÊNCIAS BIBLIOGRÁFICAS
BORGES, João Neto et al. Internet das Coisas: da Teoria à Prática, 2014. Disponível
em: < http://homepages.dcc.ufmg.br/~mmvieira/cc/papers/internet-das-coisas.pdf>. Acessado em: 04/09/2016.
PITANGA, Marcelo et al. Plataformas para a Internet das Coisas, 2015. Disponível
em: < http://sbrc2015.ufes.br/wp-content/uploads/Ch3.pdf>. Acessado em: 04/09/2016.
OTA, Online Trust Alliance. IoT Trust Framework – Discussion Draft 2015. Disponível
em: <https://otalliance.org/system/files/files/resource/documents/iot_trust_frameworkv
1. pdf>. Acessado em: 04/09/2016.
ZARGHAMI, Shirin. Middleware for Internet of Things, 2013. Disponível em:
<http://essay.utwente.nl/64431/1/final_Thesis-ver2.pdf>. Acessado em 22/10/2016.
RUSSELL, Brian, Durem Van Drew. Practical Internet of Things Security, 2016.
Disponível em: < https://www.amazon.com/Practical-Internet-Things-Security-Russell/
dp/ 178588963X >. Acessado em 27/10/2016.
QIJING, Athanasios V et al. Security of the Internet of Things: perspectives and
challenges, 2014. Disponível em:< http://link.springer.com/article/10.1007/s11276-014-
0761-7>. Acessado em 25/09/2016.
CHUN-WEI, TsaiChin-Feng et al. Future Internet of Things: open issues and
challenges, 2014. Disponível em:< http://link.springer.com/article/10.1007/s11276-014-
0731-0 >. Acessado em 25/09/2016.
ZHOUA, Jianving et al. On the features and challenges of security and privacy in
distributed internet of things, 2013. Disonivel em: < http://www.sciencedirect.com/
science/article/pii/S1389128613000054 >. Acessado em 19/09/2016.
WAN, Jiafu et al. Security in the Internet of Things: A Review, 2012. Disponível em: <
http://ieeexplore.ieee.org/document/6188257 >. Acessado em 22/09/2016.
YEAGER, William James et al. Introduction to Securing the Cloud and the Internet of
Things Minitrack, 2016. Disponível em:<http://ieeexplore.ieee.org/document/
7427901>. Acessado em 10/10/2016.
GRIECOB, L.A et al. Security, privacy and trust in Internet of Things: The road ahead,
2014. Disponível em: <http://www.sciencedirect.com/science/article/pii/S13891286140
03971>. Acessado em 19/09/2016.
KUMAR, J Sathish et al. A Survey on Internet of Things: Security and Privacy Issues,
2014. Disponível em: < http://search.proquest.com/openview/40377b0dc480e8d
cceafd9d784228a9d/1?pq-origsite=gscholar>. Acessado em 19/09/2016.
GUBBI, Jayavardhana et al. Internet of Things (IoT): A vision, architectural elements,
and future directions, 2013.Disponível em: <http://www.sciencedirect.com/science/
article/pii/S0167739X13000241>. Acessado em 19/09/2016.
GARTNER, Hype Cycle for Emerging Technologies Identifies the Computing
Innovations That Organizations Should Monitor, 2015. Disponível em: < http://www.
gartner.com/newsroom/id/3114217>. Acessado em: 25/09/2016.
47
IEEEXPLORE. IEEE Xplore Digital Library, 2016. Disponível em: <http://ieeexplore.ieee.org/xpl/aboutUs.jsp>. Acessado em 17/09/2016.
DWIVEDI, A. K.; VYAS, O. P. Network layer protocols for wireless sensor networks:
existing classifications and design challenges. In: International Journal of Computer
Applications, 2010. Acessado em: 25/09/2016.
ZANELLA, A., Bui, N., Castellani, A., Vangelista, L., Zorzi, M. (2014) “Internet of
Things for smart cities”, IEEE Internet of Things Journal. Acessado em: 25/09/2016.
TANENBAUM, Andrew S. / J. Wetherall,David. Redes de Computadores - 5ª Ed. –
2011. Acessado em: 17/09/2016.
KHAN, R et al. 2012. Future internet: the internet of things architecture, possible
applications and key challenges. In Frontiers of Information Technology (FIT), 2012.
International Conference. IEEE. Acessado em: 10/10/2016.
KUROSE, J. F.; ROSS, K. W. Redes de Computadores e a Internet: uma abordagem
top-down. 5. ed. São Paulo: Pearson, 2010. Acessado em: 10/10/2016.
GEMALTO, security to be free. Uma Internet das Coisas Mais Segura, 2016. Disponível
em< http://www.gemalto.com/brochures-site/download-site/Documents/iot-security-
ebook-po.pdf>. Acessado em 07/10/2016.
IEC, International Electrotechnical Commission Internet of Things: Wireless Sensor
Networks, 2014. Disponível em: < http://www.iec.ch/whitepaper/pdf/iecWP-
internetofthings-LR-en.pdf >. Acessado em 22/09/2016.
AL-FUQAHA et al. Internet of things: A survey on enabling technologies, protocols,
and applications, 2015. Disponível em: < http://ieeexplore.ieee.org/document/7123563/
>. Acessado em 25/09/2016.
ZARGHAMI, Shirin. Middleware for Internet of Things, 2013. Disponível em:
<http://essay.utwente.nl/64431/1/final_Thesis-ver2.pdf>. Acessado em 22/10/2016.
TEC, Telecommunication Engineering Center, Ministry of Communications of
government of índia. Machine-to-Machine Communication (M2M), 2014. Disponivel:
<http://tec.gov.in/pdf/studypaper/white%20paper%20on%20machinetomachine%20(m2
m)communication.pdf >. Acessado em 25/09/2016.
WANGHAM, M. S. et al. Gerenciamento de Identidades Federadas. Minicursos do
Simpósio Brasileiro em Segurança da Informação e de Sistemas Computacionais.
Acessado em 25/10/2016.
ATZORI et al. The Internet of Things: A survey, 2010. Disponível em:< https://www.
miun.se/siteassets/fakulteter/nmt/summer-university/1-s20s1389128610001568mainpdf
>. Acessado em 23/09/2016.
SEREBRYANY et al. Addresssanitizer: a fast address sanity Checker, 2012. Disponível
em:< https://www.usenix.org/conference/atc12/addresssanitizer-fast-address-sanity-
checker>. Acessado em 15/10/2016.
48
ACM. ACM Digital Library. 2016. Disponível em: <http://dl.acm.org/>. Acessado em: 22/09/2016.
FREIRE, Jean et al. Segurança de Software em Sistemas Embarcados: Ataques & Defesas, 2013. Disponível em:< http://wiki.inf.ufpr.br/maziero/lib/exe/fetch.php?media =ceseg:2013-sbseg-mc3.pdf >. Acessado em 21/10/2016.
LINS, Theo. Internet Das Coisas : Coletando Dados Na IoT, 2015 Disponível: <http://www.decom.ufop.br/imobilis/iot-coletando-dados/> Acessado em: 27/09/2016.
OHTA, Luis Ricardo; ITO, Márcia; SILVA, Ademir Ferreira da. Passado, Presente e Futuro: Wearables e Internet das Coisas, 2015. Acessado em: 25/09/2016.
AIRTON A. de Jesus Junior et al. Infrastructure Security for Internet of Things, 2010
Disponível em:< http://www.revista.ufpe.br/gestaoorg/index.php/gestao/article/viewFile
/787/493>. Acessado em 17/09/2016.
SILVA, R. Arquiteturas e protocolos de comunicação. Escola Náutica Infante
Henrique. 2010. Disponível em: < http://www.enautica.pt/publico/professores/
ruisilva/2012201 3/itd/pdfalunos/1-Modelo%20OSI%20e%20TCPIP.pdf >. Acesso em:
10/09/2016.
LEITÃO, L. NaturalCloud: Um framework para integração de Rede de Sensores sem
Fio na Nuvem. In: X Workshop em Clouds, Grids e Aplicações WCGA, 2012, Ouro
Preto -MG. Anais do X Workshop em Clouds, Grids e Aplicações, 2012. Acessado em
22/09/2016.
EVANS, Dave. A Internet das Coisas Como a próxima evolução da Internet está
mudando tudo. Cisco Internet Business Solutions Group (IBSG), 2011. Disponível
em: <http://www.cisco.com/web/BR/assets/executives/pdf/internet_of_things_iot_ibsg
_0411final. pdf>. Acessado em: 22/10/2016.