Download - Aplicacions i riscos de la IoT
![Page 1: Aplicacions i riscos de la IoT](https://reader033.vdocuments.co/reader033/viewer/2022042723/587eab6f1a28ab2a4a8b7ac1/html5/thumbnails/1.jpg)
Aplicacions i riscos de la IoT
Josep Paradells Aspas Director Fundació i2CAT
Catedràtic de la UPC
TAC 2016
![Page 2: Aplicacions i riscos de la IoT](https://reader033.vdocuments.co/reader033/viewer/2022042723/587eab6f1a28ab2a4a8b7ac1/html5/thumbnails/2.jpg)
Organització
• L’arribada de la IoT
• Conceptes bàsics
• Riscos i atacs
• Conclusions i reflexions
TAC 2016 2
![Page 3: Aplicacions i riscos de la IoT](https://reader033.vdocuments.co/reader033/viewer/2022042723/587eab6f1a28ab2a4a8b7ac1/html5/thumbnails/3.jpg)
Evolució d’Internet
• Internet experimental • Internet científica • Internet de les organitzacions • Internet personal • Internet social • Internet de les màquines • Internet dels objectes, les coses • Internet com a pols (Smart Dust) • ...
TAC 2016 3
![Page 4: Aplicacions i riscos de la IoT](https://reader033.vdocuments.co/reader033/viewer/2022042723/587eab6f1a28ab2a4a8b7ac1/html5/thumbnails/4.jpg)
Evolució d’Internet
Només 6,58 Podria ser 100
o 200 dispositius
TAC 2016 4
![Page 5: Aplicacions i riscos de la IoT](https://reader033.vdocuments.co/reader033/viewer/2022042723/587eab6f1a28ab2a4a8b7ac1/html5/thumbnails/5.jpg)
Creixement d’Internet
• Segons el dispositiu
TAC 2016 5
![Page 6: Aplicacions i riscos de la IoT](https://reader033.vdocuments.co/reader033/viewer/2022042723/587eab6f1a28ab2a4a8b7ac1/html5/thumbnails/6.jpg)
Creixement d’Internet
• Segons l’aplicació
TAC 2016 6
![Page 7: Aplicacions i riscos de la IoT](https://reader033.vdocuments.co/reader033/viewer/2022042723/587eab6f1a28ab2a4a8b7ac1/html5/thumbnails/7.jpg)
Expectatives
Internet de les coses
Smart Dust La Internet en
pols
TAC 2016 7
![Page 8: Aplicacions i riscos de la IoT](https://reader033.vdocuments.co/reader033/viewer/2022042723/587eab6f1a28ab2a4a8b7ac1/html5/thumbnails/8.jpg)
Ús de IoT
• Segons la seva popularitat
8
![Page 9: Aplicacions i riscos de la IoT](https://reader033.vdocuments.co/reader033/viewer/2022042723/587eab6f1a28ab2a4a8b7ac1/html5/thumbnails/9.jpg)
Ús de la IoT
• Àmbits
TAC 2016 9
![Page 10: Aplicacions i riscos de la IoT](https://reader033.vdocuments.co/reader033/viewer/2022042723/587eab6f1a28ab2a4a8b7ac1/html5/thumbnails/10.jpg)
Els “Cyber Physical Systems” i la IoT
• Propòsit
TAC 2016 10
![Page 11: Aplicacions i riscos de la IoT](https://reader033.vdocuments.co/reader033/viewer/2022042723/587eab6f1a28ab2a4a8b7ac1/html5/thumbnails/11.jpg)
CPS: Model de les 5 Cs
TAC 2016 11
![Page 12: Aplicacions i riscos de la IoT](https://reader033.vdocuments.co/reader033/viewer/2022042723/587eab6f1a28ab2a4a8b7ac1/html5/thumbnails/12.jpg)
IoT vs CPS
• Diferent focus
CPS
TAC 2016 12
![Page 13: Aplicacions i riscos de la IoT](https://reader033.vdocuments.co/reader033/viewer/2022042723/587eab6f1a28ab2a4a8b7ac1/html5/thumbnails/13.jpg)
IoT vs CPS
• Diferent focus
IoT
TAC 2016 13
![Page 14: Aplicacions i riscos de la IoT](https://reader033.vdocuments.co/reader033/viewer/2022042723/587eab6f1a28ab2a4a8b7ac1/html5/thumbnails/14.jpg)
El món virtual i el món físic
Objecte real
Objecte digital
Objecte virtual
Sensors i actuadors
Comunicació
Procés i emmagatzemament
14
Temps
![Page 15: Aplicacions i riscos de la IoT](https://reader033.vdocuments.co/reader033/viewer/2022042723/587eab6f1a28ab2a4a8b7ac1/html5/thumbnails/15.jpg)
Món físic: riscos
• Danys sobre la propietat • Alteració del funcionament • Violació de la seguretat • Violació de la privacitat
TAC 2016 15
![Page 16: Aplicacions i riscos de la IoT](https://reader033.vdocuments.co/reader033/viewer/2022042723/587eab6f1a28ab2a4a8b7ac1/html5/thumbnails/16.jpg)
Els riscos al món virtual esdevenen riscos al món físic
• Danys sobre la propietat
• Alteració del funcionament
• Violació sobre la privacitat 16
Real
Virtual
![Page 17: Aplicacions i riscos de la IoT](https://reader033.vdocuments.co/reader033/viewer/2022042723/587eab6f1a28ab2a4a8b7ac1/html5/thumbnails/17.jpg)
Connectivitat de les coses
• Requisits per connectar una cosa a Internet – Sensor/actuador
• Paràmetre físic • Localització
– Identitat (adreça) – Procés – Comunicació (millor sense fils) – Baix consum (amb bateries) – Econòmic
TAC 2016 17
![Page 18: Aplicacions i riscos de la IoT](https://reader033.vdocuments.co/reader033/viewer/2022042723/587eab6f1a28ab2a4a8b7ac1/html5/thumbnails/18.jpg)
Prestacions dels dispositius IoT
• Processadors Internet (i7) i de la IoT (la resta)
• La IoT té limitacions de procés, per tant té manca de mecanismes
TAC 2016 18
![Page 19: Aplicacions i riscos de la IoT](https://reader033.vdocuments.co/reader033/viewer/2022042723/587eab6f1a28ab2a4a8b7ac1/html5/thumbnails/19.jpg)
Connectivitat de les coses
• Model més comú – IPv4
• Adreçament amb IPv4. No hi han adreces públiques. Connectivitat amb NAT
• Connectivitat IP no arriba al sensor/actuador. Ús d’un element intermedi: hub, telèfon mòbil
• Connectivitat del gateway contra una plataforma per facilitar l’accés remot
• Model no tan comú – IPv6 fins els sensor
• Només fa falta un router
Accés Local
Accés Remot
Gateway/ Router
Hub
Plataforma
Detector de presencia: sensor Bombeta: actuador 19
![Page 20: Aplicacions i riscos de la IoT](https://reader033.vdocuments.co/reader033/viewer/2022042723/587eab6f1a28ab2a4a8b7ac1/html5/thumbnails/20.jpg)
Atacs en IoT • Explosions d’un gasoducte 1982 • Accés al panel de control d’una central nuclear 2003 • Atac a una central tèrmica de generació elèctrica 2007 • El cuc Stuxnet ataca als sistemes SCADA de Siemens 2010 • Una planta de subministrament d’aigua a Springfield es
atacada al 2011 des de l'estranger • Es demostra que els equips mèdics com marcapassos,
desfibril·ladors o bombes d’insulina es poden controlar de forma remota. 2011
• Atacs a drons militars 2010 • Obertura de portes de cotxes. Relay attack 2011 • .......
TAC 2016 20
![Page 21: Aplicacions i riscos de la IoT](https://reader033.vdocuments.co/reader033/viewer/2022042723/587eab6f1a28ab2a4a8b7ac1/html5/thumbnails/21.jpg)
Riscos (atacs)
• Tancar la porta del carrer no és suficient – Execució de “malware” que pot atacar
dispositius no protegits dins de la xarxa i pot obtenir informació per accedir-hi de forma remota
– Exemple virus Stuxnet • Solució: No assumir que hi ha zones
segures
TAC 2016 21
![Page 22: Aplicacions i riscos de la IoT](https://reader033.vdocuments.co/reader033/viewer/2022042723/587eab6f1a28ab2a4a8b7ac1/html5/thumbnails/22.jpg)
Riscos (atacs) • No confiar amb la complexitat com a
garantia – Panys de portes d’hotel
• Tenen un port de configuració que permet descarregar la memòria on es guarda el codi de la clau mestre
• Algoritme de xifrat disponible a Internet • Targetes magnètiques que es poden comprar per
internet • Internet és una plataforma d’aprenentatge i de
consulta • Solució: No assumir que res és prou
complexa. Només valorar la relació esforç i el benefici
TAC 2016 22
![Page 23: Aplicacions i riscos de la IoT](https://reader033.vdocuments.co/reader033/viewer/2022042723/587eab6f1a28ab2a4a8b7ac1/html5/thumbnails/23.jpg)
Riscos (atacs)
• No confiar amb l’obscurantisme com a millora de la seguretat – Cas RFID “smart cards” MIFARE Classic
• Es fa servir un algoritme (CRYPTO 1) que és secret
• Un cop es filtra/dedueix es veu que té debilitats
• Es poden aprofitar les debilitats i es demostra accedint a un edifici sense tenir permís i viatjant gratis en metro
• El problema es coneix un cop es publica i NXP denuncia als investigadors (2008)
• Solució: Usar algoritmes documentats: DES o AES
TAC 2016 23
![Page 24: Aplicacions i riscos de la IoT](https://reader033.vdocuments.co/reader033/viewer/2022042723/587eab6f1a28ab2a4a8b7ac1/html5/thumbnails/24.jpg)
Riscos (atacs) • Fer les coses fàcils, però potser massa
– Suplantació d’identitat amb Bluetooth
Low Energy • Clau de “pairing” amb 6 dígits que van de 0
a 999999 • Amb aquesta clau es genera una clau curta
i després una de llarga que es fa servir per autenticar i xifrar.
• El sistema es pot atacar per força bruta provant números pel “pairing”
– Modificar la lectura de la pressió dels neumàtics
• Solució: Seguretat addicional a nivell d’aplicació
Sniffer de BLE
Sniffer de Bluetooth i BLE
Pany controlat per BLE
TAC 2016 24
![Page 25: Aplicacions i riscos de la IoT](https://reader033.vdocuments.co/reader033/viewer/2022042723/587eab6f1a28ab2a4a8b7ac1/html5/thumbnails/25.jpg)
Riscos (atacs)
• No personalitzar la seguretat – Deixar claus úniques als equips
• Aconseguir un dispositiu pot obrir la porta a tots els altres del mateix model
– Claus WiFi – Certificats de servidor
• Solució: Fer que cada unitat sigui diferent. Major esforç de configuració
Memoria FLASH
TAC 2016 25
![Page 26: Aplicacions i riscos de la IoT](https://reader033.vdocuments.co/reader033/viewer/2022042723/587eab6f1a28ab2a4a8b7ac1/html5/thumbnails/26.jpg)
Riscos (atacs)
• Programació amb “bugs” que porten a debilitats – Els sobrepassament del buffer és una
font de problemes, que es donen en programació amb C o C++. Aquests ja són els més eficients per dispositius de baixes prestacions.
• Solució: Mètodes formals de verificació, llenguatges interpretats, zona de dades aïllades, testeig
TAC 2016 26
Un cotxe te 100M línies de
codi Un Avió F22
1,7M Un telèfon mòbil
20M
![Page 27: Aplicacions i riscos de la IoT](https://reader033.vdocuments.co/reader033/viewer/2022042723/587eab6f1a28ab2a4a8b7ac1/html5/thumbnails/27.jpg)
Riscos (atacs)
• No poder respondre en cas de problema
– Els riscos en seguretat són inevitables. Si es presenten s’han de resoldre. La solució de la debilitat és corregida amb un nou software i si no pot ser, per hardware. Per fer les modificacions software es necessiten mecanismes d’ actualització del firmware (mecanisme OTA)
• Solució: Automatitzar les actualitzacions de firmware i fer-ho amb seguretat
TAC 2016 27
![Page 28: Aplicacions i riscos de la IoT](https://reader033.vdocuments.co/reader033/viewer/2022042723/587eab6f1a28ab2a4a8b7ac1/html5/thumbnails/28.jpg)
Riscos (atacs)
• Denegació de servei (DOS) – Dispositius molt simples, és molt fàcil col·lapsar-
los • Baixa capacitat de procés • Poca memòria
• Solució: Esperar, la tecnologia està portant noves plataformes més potents per fer que l’atac hagi de ser més complexa
TAC 2016 28
![Page 29: Aplicacions i riscos de la IoT](https://reader033.vdocuments.co/reader033/viewer/2022042723/587eab6f1a28ab2a4a8b7ac1/html5/thumbnails/29.jpg)
Riscos
• Possible violació de la privacitat – Alguns dispositius capturen dades que
després poden ser analitzades • Comptadors d’energia elèctrica • TV amb serveis activats per veu • Siri d’Apple • Termostat NEST • Mesuradors de pressió d’aire de les rodes
• Solució: Fer que el procés sigui local.
Controlar l’ús de les dades.
TAC 2016 29
![Page 30: Aplicacions i riscos de la IoT](https://reader033.vdocuments.co/reader033/viewer/2022042723/587eab6f1a28ab2a4a8b7ac1/html5/thumbnails/30.jpg)
Conclusions i reflexions
• No hi ha seguretat infalible • La seguretat ha de ser proporcional al benefici
de l’atacant • Els dispositius de IoT poden ser el punt feble
del sistema • Els sistemes de IoT seran present en gran
nombre. Un atac por afectar a molts equips • Amb Internet es més fàcil trobar informació
sobre atacs que sobre remeis
TAC 2016 30