Seguridad para el mundo de las cosas
Transcript of Seguridad para el mundo de las cosas
Ciberseguridad en IoT
Seguridad
para el mundo de las cosas
Oscar F. Giudice
ISOC Uruguay
Mayo 2020
1 Mayo de 2020
Mayo de 2020
1.Generalidades
2.Dicen los que saben
3.El contexto de la seguridad en IoT
4.OTA, detalles generales
5.ISOC y el marco de seguridad OTA - Online Trust Alliance
Ciberseguridad en IoT
Seguridad para el mundo de las cosas
Generalidades
3
Introducción a IoTQue es IoT (Internet of Things, Internet de las cosas)
• Kevin Ashton acuña el término “Internet de las Cosas” en 1999 para referirse a un mundo en el que todo estará conectado a internet y la define como:
La interconexión digital de objetos a través de Internet.
4
Introducción a IoTIoT (Internet of Things, Internet de las cosas) Mi definición preferida
Comunicados
Momento
LugarCosa
5
• Ciudad / Campo• Espacio / Tierra• Adentro / Afuera
• Sensores• Teléfonos• Electrodomésticos • Automóviles• Etc.
• Reposo / Movimiento• Día / Noche
Y.2060(12)_F01
La seguridad en IoTContexto
Que hacen los dispositivos y sistemas• Adquieren
Detectan, Recopilan, Procesan y transmiten gran cantidad de datos por Internet de distinto tipo– Datos (Variables o procesos que se miden?– Datos personales del consumidor– Datos de propiedad– Datos de infraestructura utilizada
• ActúanReaccionan en tiempo real / Efectuar un cambio en el mundo físico / Criticidad– Personad– Empresas– Infraestructura– Mundo físico en general
• Comunicaciones– Transfieren los datos de uso y de control
• Las plataformasProcesan los datos, generan información y deciden
• El conjuntoEl ecosistema que hace posible la IoT
6
En su mayoría la tecnología utilizada no es nueva, el concepto de IoT si
Introducción a IoTOrigen y nacimiento
https://www.cisco.com/c/dam/global/es_mx/solutions/executive/assets/pdf/internet-of-things-iot-ibsg.pdf
Según CISCO: Internet de las cosas "nació" entre los años 2008 y 2009
7
Dicen los que saben
8
La seguridad en IoTPrincipales vulnerabilidades de los dispositivos IoT en 2019
1) Contraseñas débiles, predecibles o dentro del código2) Servicios de red inseguros3) Ecosistema de interfaces inseguros4) Falta de mecanismos de actualización seguros5) Uso de componentes poco seguros o anticuados6) Insuficiente protección a la privacidad7) Transferencia y almacenamiento de datos de manera
poco seguro8) Falta de controles de gestión9) Configuración poco segura por defecto10) Falta de hardening
9
ESET: https://www.welivesecurity.com/la-es/2019/01/07/principales-fallos-seguridad-dispositivos-iot/
https://owasp.org/www-pdf-archive/OWASP-IoT-Top-10-2018-final.pdf
La seguridad en IoTPrincipales incidentes y riesgos de IoT de 2019
Seguridad1) Cerraduras inteligentes poco confiables2) Fallas de privacidad "sistémicas" encontradas en dispositivos IoT de uso
común3) Silex malware Silex, se utilizó para bloquear dispositivos IoT4) Crecimiento del Botnet Mirai5) Dos millones de dispositivos IoT vulnerables (estimado) (cámaras de
seguridad IP, monitores para bebés, timbres inteligentes, etc.)
Privacidad1) Preocupaciones sobre la privacidad de los dispositivos de IoT en los
hoteles2) Timbres y porteros eléctricos inteligentes3) Juguetes inteligentes peligrosos4) Smartwatches poco confiablesProcesamiento de audio: Escucha de
conversaciones (Amazon Alexa, Google Home y Apple Siri)
10
https://threatpost.com/top-10-iot-disasters-of-2019/151235/Mirai: https://threatpost.com/mirai-botnet-sees-big-2019-growth-shifts-focus-to-enterprises/146547/Silex: https://www.infosecurity-magazine.com/news/silexbot-bricks-nearly-4000-iot-1-1/
La seguridad en IoTA los hechos me remito
11
La seguridad en IoTEfectos sobre la confianza en Internet
• Afectan la confianza
– La filtración de datos principalmente a gran escala
– La incertidumbre sobre como se utiliza la información
– El ciber-crimen
– La ciber-vigilancia
– Otras amenazas on line
Para contrarrestar la desconfianza debemos asegurar la protección y la seguridad de los
ciudadanos en InternetMarco de políticas para una Internet abierta y de confianzahttps://www.internetsociety.org/es/resources/doc/2016/policy-framework-for-an-open-and-trusted-internet/
12
La seguridad en IoTMejorar la confianza
• La confianza de los usuarios de Internet se basa en:
• Tecnologías de confianza
• Redes de confianza
• Ecosistema confiable
• Responsabilidad colectiva y colaborativa
• Mantener una Internet interoperable globalmente que promueva la innovación y cree oportunidades para todos
Podremos mantener la confidencialidad y privacidad de nuestros datos, que son información, solo usando dispositivos y
aplicaciones confiables
13
El contexto de la seguridad en IoT
14
La seguridad en IoTOrganizaciones, frameworks, recomendaciones, entandares y más
Modelo de comunicacionesAlgunos estándares
RFC 7452 (Architectural Considerations in Smart Object Networking)
D2D (M2M)
D2C D2GVía
Back-End
IPv4 / IPv6
16
Modelo de comunicaciones Algunos estándares
17
Co
mu
nic
acio
nes
(R
ED)
RFID: Radio Frequency Identification
NFC: Near Field Communication
Bluethoot
WiFi: IEEE 802.11b/g/n / ah
GPRS
3G / 4G / 5G
ZigBee: IEEE 802.15.4
Sigfox
LoRaWAN
NBIoT
Co
mu
nic
acio
nes
(AP
P)
AMQP (Advanced Message Queuing Protocol)
CoAP (Constrained Application Protocol)
DDS (Data Distribution Service)
HTTP (REST/JSON)
OPC UA (Unified Architecture)
XMPP (Extensible Messaging and Presence Protocol
Org
aniz
acio
nes
IEFT
IEEE
ETSI
ITU
GSMA
OIC
IIC
ISO
ISOC
W3C
Introducción a la IoTAplicaciones, entorno y ejemplos de usos
• McKinsey Global Institute:
El impacto económico potencial total de IoT se estima en $ 3.9 trillones a $ 11.1 trillones al año para 2025.
18
0
0,5
1
1,5
2
2,5
3
3,5
4
Fábricas Ciudades Cuerpohumano
Puntos deventa
Exteriores Obras Vehículos Hogar Oficinas
U$
s (T
rillo
ne
s)
Áreas de aplicación
EstimaciónMínima
EstimaciónMáxima
McKinsey Global Institute
Distribución por sector para el año 2025 (estimado)
0
5
10
15
20
25
30
35
2015
2016
2017
2018
2019
2020
2021
2022
2023
2024
2025
No IoT 10 10 11 11 11 11 12 12 12 12 13
IoT 3,8 4,7 5,9 7 8,3 9,9 12 14 16 19 22
Bill
on
es
Número global de dispositivos conectados+ 17 B
Introducción a IoTContexto general, volumen
• Cisco, año 2019: Más de 24 mil millones de objetos conectados
• Gartner, año 2020:Más de 20 billones de dispositivos conectados
• Morgan Stanley, año 2020 : 75 mil millones de dispositivos conectados
• Huawei, año 2025: 100 mil millones de conexiones IoT a la red
19
Fuente: IOT Analytics Research 2018
La seguridad en IoTContexto general, factores técnicos
• Consumo de energía
– Muchos dispositivos IoT requieren una batería de larga duración
– La eficiencia energética puede hacer carecer al hardware de algunas capacidades
• Potencia y procesamiento restringidos
– Ej. Dificultades con el cifrado
• Necesidad de precio bajo
– Reducción del tamaño -> bajo poder de procesamiento o memoria.
– Escasos o inexistente de mecanismos de seguridad
• Ciclo de vida
– Diseño, producción, uso y finde su vida
– Capacidad de administrar, actualizar y parchear dispositivos remota y masivamente
– El envejecimiento del hardware puede llevar a la falta de actualización
– Mecanismos de seguridad vulnerables o en desuso
20
La seguridad en IoTContexto general, factores de mercado
• Gran mercado (cantidad de dispositivos por personas)• Tendencia creciente del mercado• Rápido acceso a los mercados
– Bajo costo y estrategias rápidas de lanzamiento al mercado– Falta de la experiencia o los recursos para implementar seguridad en
los nuevos dispositivos
• Precio bajo– Tamaño, bajo poder de procesamiento o memoria. – Escasos o inexistente de mecanismos de seguridad
• Diversidad– La necesidad y el desafío para lograr la interoperabilidad, los
estándares y las mejores prácticas al implementar tecnología IoT
Se requiere un equilibrio entre mecanismos de seguridad, precios, nuevas características y funcionalidades
21
OTA, detalles generales
22
Promueve las mejores prácticas de seguridad y privacidad para fomentar la confianza del consumidor en Internet
Modelos y Marcos de Seguridad para IoTInternet Society: Online Trust Aliance
https://otalliance.org/iot/
23
IoT confianza por diseñoOTA y la seguridad colectiva y colaborativa
• Multi stakeholder
• Fomento de la confianza y protección de oportunidades:– Fomentar la confianza en Internet y garantizar el éxito continuo de Internet
como motor de innovación económica y social
• Responsabilidad colectiva:– Todos los participantes de Internet comparten una responsabilidad hacia el
sistema en su conjunto
• Propiedades y valores:– Las soluciones de seguridad deben ser compatibles con los derechos humanos
fundamentales y preservar las propiedades fundamentales de Internet: las invariantes de Internet
• Evolución y consenso:– La seguridad efectiva se basa en pasos evolutivos ágiles basados en la
experiencia de un amplio conjunto de partes interesadas
• Pensar globalmente, actuar localmente:– La autoorganización voluntaria ascendente es probable que se alcancen
soluciones de mayor impacto
24
https://www.internetsociety.org/collaborativesecurity/
IoT confianza por diseñoOTA: Confianza por diseño, Diferenciales
• Identidad– Iniciativa de múltiples partes interesadas enfocada en
los problemas de tecnología y las políticas públicas que afectan a los dispositivos de IoT
• Abarca asuntos de:– Seguridad, – Privacidad– Sustentabilidad a largo plazo
• Aborda el ecosistema entero de forma holística– Dispositivos/sensores– Comunicaciones– Servicios de backend– Aplicaciones
25
IoT confianza por diseñoDirigido a:
• Legisladores y agencias gubernamentales – Internet Society está pidiendo que los principios del marco sean usados como
para guiar políticas, leyes y regulaciones asociadas con productos y servicios IoT para el consumidor
– Para reducir riesgos de seguridad y privacidad en los el gobierno y entidades públicas, empresas y consumidores
– Los gobiernos, como grandes compradores de soluciones IoT, pueden usar el marco como base para sus requisitos de compra.
• Organizaciones de prueba y descripción de productos (benchmarking)– Internet Society está pidiendo que los principios del marco se incorporen en
los procesos de prueba y evolución– Es esto generará conocimiento en los consumidores sobre sus elecciones de
seguridad y privacidad– Fomentará mejores decisiones de compra debido a la información disponible.
• Consumidores, distribuidores y fabricantes – Los consumidores y empresas pueden usar los principios del marco como guía
para tomar decisiones informadas. – Internet Society ha proporcionado listas de verificación para consumidores y
empresas que resumen los principios clave.
26
Modelos y Marcos de Seguridad para IoTMarco de confianza IoT de OTA, Objetivos
Objetivos• Impulsar la investigación y producción de informes
independientes
• Promover mejores prácticas
• Informar a las partes interesadas sobre que cosas afectan la confianza de los usuarios y a la reputación de las marcas
• Asistir y educar a los responsables de formular políticas en todo el mundo
• Establecer y fomentar asociaciones y oportunidades de aprendizaje colaborativo
• Empoderar a los usuarios para que actúen en sus propios intereses de privacidad y seguridad.
27
https://www.internetsociety.org/resources/ota/2017/internet-of-things/
El Online Trust Audit & Honor Roll
Al momento más de 1.200 organizaciones evaluadas a las cuales se le concedió la
excelencia en la protección del consumidor online, la seguridad de los datos y las prácticas
responsables de privacidad.
28
Modelos y Marcos de Seguridad para IoTEvaluación y reconocimiento
Características del framework OTA
29
Modelos y Marcos de Seguridad para IoTCaracterística del Framework OTA
El marco se compone de 8 categorías de principios básicos y factibles
1. Autenticación (dispositivos y usuarios)
2. Encriptación
3. Seguridad en todas las áreas
– Dispositivos
– Aplicaciones
– Servicios de backend
– Deberían realizarse pruebas y actualizaciones regularmente para minimizar vulnerabilidades
4. Actualizaciones
– Informar al comprador sobre la capacidad de actualización del producto
– Entrega segura de las actualizaciones
– Mínima intervención e impacto sobre el usuario
30
Modelos y Marcos de Seguridad para IoTCaracterística del Framework OTA
5. Privacidad– Anunciar claramente las políticas sobre privacidad, recolección y sesión de datos– Limitar la recolección de datos a lo justo y necesario por el motivo que son
requeridos
6. Divulgaciones– Divulgaciones rigurosas y fácil de encontrar permiten al consumidor tomar
decisiones informadas por ejemplo sobre:• Políticas de privacidad y recolección de datos, • Funcionalidad con o sin conexión• La duración del soporte/parches
7. Control– Los consumidores deberían tener control sobre los datos recolectados por el
dispositivo / servicio– Deberían también tener la capacidad de transferir o eliminar los datos en caso de
pérdida o venta
8. Política de comunicación con el usuario– Una vez realizada la compra deben ser establecidas y aseguradas proactivamente
empleando las mejores prácticas para limitar los ataques de ingeniería social
31
Modelos y Marcos de Seguridad para IoTMarco de confianza y confidencialidad de IoT v 2.5
Principios de seguridad (9)
Acceso y credenciales de
usuario (4)
Privacidad, divulgación y
transparencia (16)
Notificaciones y mejores prácticas
(7)
Áreas Clave
Recomendadas o Sugeridas
32
https://www.internetsociety.org/es/resources/doc/2018/iot-trust-framework-v2-5/
Requerido (Debe) Recomendado (Debería)
Modelos y Marcos de Seguridad para IoT
Marco de confianza y confidencialidad de IoT v 2.5
Principios de seguridad (1-12)• Aplicable a cualquier dispositivo o sensor• Aplicaciones• Servicios cloudAbarcan principios de seguridad para:
– Seguridad de software– Principios de seguridad para los datos almacenados y en
transito (en todo el ecosistema)– Gestión de la cadena de suministro – Pruebas de penetración y planes para el reporte de
vulnerabilidad– Asegurar parches de seguridad para todo el ciclo de vida
33
Modelos y Marcos de Seguridad para IoT
Marco de confianza y confidencialidad de IoT v 2.5
Acceso y credenciales del usuario (13-17)• Requisitos de encriptado de todas las contraseñas
y nombres de usuario • Mecanismos robustos de autenticación• Envío de dispositivos con contraseñas únicas
robustas para dispositivos de un solo uso• Implementación de procesos conocidos para
restablecer contraseñas (Ej. Autenticación multi-factor)
• Mecanismos que ayuden a prevenir intentos de inicio de sesión mediante “fuerza bruta”
34
Modelos y Marcos de Seguridad para IoT
Marco de confianza y confidencialidad de IoT v 2.5
Privacidad, divulgaciones y transparencia (18-33)
• Requerimientos consistentes con principios de privacidad generalmente aceptados
• Divulgaciones notables envases, punto de venta y/o online
• Fácil restablecimiento de la configuración de fabrica por parte de los usuarios
• Cumplimiento con regulaciones aplicables, incluido el EU GDPR y regulaciones de Privacidad para niños
• Informar sobre el comportamiento y el impacto sobre el producto sin conectividad
35
Modelos y Marcos de Seguridad para IoT
Marco de confianza y confidencialidad de IoT v 2.5
Notificaciones y mejores prácticas relacionadas (34-40)• Para mantener la seguridad del dispositivo es clave
tener mecanismos y procesos que notifiquen rápidamente al usuario si hay una amenaza o una acción requerida
• Los principios incluyen el requisito de autenticación segura por correo electrónico para notificaciones de seguridad
• Mensajes que sean claros y comprensibles para usuarios de todos los niveles de lectura
• Destacar los requisitos de envasado seguro y accesibilidad
36
Modelos y Marcos de Seguridad para IoTPublicación de buenas practicas
37
Modelos y Marcos de Seguridad para IoTPublicación de buenas practicas
• ISOC website of the Special Interest Group (IoT SIG)- http://iotsig.org/main/
• Información y recursos para los consumidores de IoT– Lista de control para Smart Home
• Maximizando la seguridad, privacidad y seguridad personal– Lista de verificación para la compra y configuración de dispositivos
inteligentes
• Maximizando la seguridad y privacidad de los dispositivos conectados– Mejorando la seguridad y privacidad de los dispositivos conectados
38
Preguntas
39
Seguridad para el mundo de las cosas
Ciberseguridad en IoT
Oscar F. GiudiceISOC [email protected] Mayo de 2020
Muchas gracias por su atención