Marek Matusiak Instytut Technologii Informatycznych SAN

Prezentacja na temat: "Marek Matusiak Instytut Technologii Informatycznych SAN"— Zapis prezentacji:

1 Marek Matusiak Instytut Technologii Informatycznych SAN
Wybrane problemy bezpieczeństwa Internetu Rzeczy Internet of Things security – selected problems Marek Matusiak Instytut Technologii Informatycznych SAN

2 Bibliografia Birkholz E.P.: Bezpieczeństwo komputerów i sieci. Wyd. Translator s.c. Warszawa 2003. Schetina E., Green K., Carlson J.: Bezpieczeństwo w sieci. Helion. Gliwice 2002. Sutton R.J.: Bezpieczeństwo telekomunikacji. WKŁ. Warszawa 2004. Bieńkowski M.: Bezpieczeństwo IoT w systemach automatyki. automatyki,299292_2_0_8.html Działdowski A.: Internet of Things – wyzwania dla bezpieczeństwa. bezpieczenstwa, html – Kaczmarek S.: Bezpieczeństwo – warunek bezwzględny rozwoju ekosystemu IoT. filolog.pl/bezpieczenstwo-warunek-bezwgledny-rozwoju-ekosystemu-iot/ SMAhome, a&s International: Bezpieczeństwo IoT – zagrożenia i przeciwdziałania im ARM: Bezpieczeństwo urządzeń IoT według ARM Microsoft Corp.: Realize the potential of a connectedfactory. F D95/Connected_Factory_whitepaper_EN_US.pdf

3 Internet Rzeczy - założenia
Z Wikipedii: Termin został użyty po raz pierwszy przez brytyjskiego przedsiębiorcę i twórcę start-upów Kevina Ashtona w 1999 roku[2]. Istnieje także termin Internet Wszechrzeczy (ang. Internet of Everything – IoE), będący określeniem na sieć ludzi, procesów, danych i rzeczy podłączonych do Internetu. Termin ten powstał pierwotnie w firmie CISCO i jest obecnie bardzo często używany zamiennie z terminem Internet przedmiotów. Powstał także licznik zliczający przybliżoną liczbę elementów Internetu Wszechrzeczy[3]. Szacuje się, że w 2020 roku będzie podłączonych do sieci od 25 mld do 50 mld urządzeń[4][5]. W 2016 roku wartość rynku IoT szacuje się na 200 mld dolarów[6], a w 2019 roku na 1,3 bln dolarów[7]. Punkt 3 wskazuje na skalę problematyki.

4 Cechy technologii IoT Relatywnie małe wymiary (pojedyncze centymetry)i masa (do 100g) Implementowane łącza sieciowe (minimum jedno) Coraz mocniejsze procesory i więcej pamięci (operacyjnej i masowej) Powszechna możliwość zasilania bateryjnego (3 – 12 V) Często obecne implementacje stanów uśpienia (prądy kilka μA) Dostępnych kilka środowisk programistycznych (IDE) Słaba dotychczas standaryzacja (lansowanie własnych wizji producentów)

5 Dwa epizody krytyczne Rok 2007 – atak na irańską elektrownię atomową Buszehr (robak Stuxnet) 1’ atak na prestiżową infrastrukturę przemysłową Zaatakowano sterowniki PLC kontrolujące dozowanie prętów paliwowych do reaktora Wykorzystanie kont dostępowych kadry mającej dostęp zarówno do infrastruktury przemysłowej, jak i intranetu biurowego Rok 2016 – atak na firmę Dyn świadczącą usługi DNS – przestały działać serwisy: Amazon, Netflix, Spotify, Twitter… Wcześniejszy atak na tysiące kamer przemysłowych o słabych zabezpieczeniach Użycie dedykowanego „konia trojańskiego” wklejonego do pamięci kamer IP Trojan aktywowany synchronicznie zrealizował atak DDoS

6 Cele ataków Atak na proces przemysłowy (IIoT – Industry Internet of Things) Atak na czujniki (w tym kamery), sterowniki PLC lub urządzenia wykonawcze (np. falowniki + silniki, siłowniki, itp.) w celu zmiany parametrów produkcji lub uszkodzenia wybranego urządzenia Atak na dowolne urządzenie produkcyjne o odpowiednio wydajnym procesorze lub pamięci w celu zainstalowania tam szkodliwego oprogramowania (koń trojański) i wykonania z tej lokalizacji ataku na nieprzemysłowe obiekty informatyczne (serwery www, bazy danych, itd.) Atak na urządzenie IoT niepracujące w torze przemysłowym Atak na słabiej zabezpieczony element IoT (np. kamerę IP) w celu zablokowania jej działania Atak j.w., ale po przejęciu kontroli nad ww. elementem, wykonanie z jego pomocą dalszych ataków w sieci lokalnej na router lub serwer Powielenie powyższych ataków daje szansę na wykonanie ataków DDoS

7 Elementy ataków na przemysłowy IoT
Składniki IIoT Produkcyjne linie technologiczne (czujniki, PLC, panele HMI, urządzenia wykonawcze) – często wykorzystywane słabości protokołów magistral przemysłowych (Profibus, Modbus) Systemy CNC (Computerized Numerical Control), np. centra obróbki podzespołów Systemy SCADA (Supervisory Control And Data Acquisition) DCS (Dtributed Contol Systems) Komponenty ataku Rozpoznanie socjotechniczne i informatyczne Znalezienie słabych elementów systemu (słabo zabezpieczone urządzenia IoT, często otwarte porty pracy Remote) Wykonanie właściwego ataku, najlepiej z wnętrza LAN

8 Nieprzemysłowe systemy IoT
Domowe urządzenia AGD (lodówki, pralki, odkurzacze, itp.) Systemy inteligentnego domu (SmartHouse) Systemy sterowania pojazdów, w tym autonomicznych Elementy noszone IoT, w tym składniki ubiorów (Wearables) Bezprzewodowe urządzenia diagnostyki i terapii medycznej Systemy audio-wideo, w tym TV hybrydowa (HbbTV) i Smart-TV Zabawki Wnioski: Szczególnie urządzenia do użytku domowego bywają słabo zabezpieczane Przy wyborze urządzeń należy przemyśleć kwestię ich połączeń sieciowych. Czy muszą być dołączone do sieci?

9 Firmy – stowarzyszenia zajmujące się bezpieczeństwem IoT
Broadband Internet Technical Advisory Group (BITAG) Information Systems Audit and Control Association (ISACA) PenTest Partners (Ken Munro) – praca nad standardami IoT Security Foundation Departament Bezpieczeństwa Krajowego USA (DHS) Z-Wave Alliance – stowarzyszenie certyfikacji bezpieczeństwa IoT Industrial Control Systems Cyber Emergency Response Team (ICS-CERT) Niemieckie Federalne Biuro Bezpieczeństwa (BSI) The Open Web Application Security Project (OWASP) IoT Analytics, Gartner Inc., Fortinet, Flashpoint Security ARM  Platform Security Architecture for IoT (PSA) Symantec, Kaspersky Lab, G Data, Sophos Ltd., Bitdefender, Trend Micro Producenci SoC (System on Chip) i inni: Intel, AMD, Atmel, TI, Samsung, Cisco, Apple, IBM, Microsoft, Dell EMC, Google, AT&T, T-Mobile

10 Zalecenia firmy ARM zawarte w Platform Security Architecture
Zabezpieczanie IoT to już nie opcja, ale konieczność (stworzenie standardów) Niskobudżetowość IoT nie może oznaczać zaniedbań bezpieczeństwa PSA jest zestawem zaleceń dla: Modele zagrożeń Specyfikacje architektury sprzętowej Oprogramowania firmware (Trusted Firmware-M) i oprogramowania użytkowe Open Source (np. ARM Mbed OS) Architektury sieciowe, w tym chmurowe PSA jako ekosystem poprawiający ekonomikę biznesu IoT Kanały kryptograficzne ARM CoreSight SDC-600 i TrustZone CryptoIsland

11 Testy penetracyjne Potrzeba wykonywania niezależnych od audytów bezpieczeństwa agresywnych symulowanych ataków Pentesterzy powinni wykorzystywać wszelkie dostępne metody, łącznie z socjotechniką Scenariusz testów zawsze dobierany indywidualnie do konkretnej sieci Potrzeba realizacji także pentestów domowych: Ubuntu Linux – BackTrack (starszy), Debian Linux „Kali” – BackTrack 6 (aktualny) – Podręcznik do pentestów „OWASP Testing Guide” na stronie

12 Elementy wpływające na zagrożenia IoT
Pozostawianie niezmienionych (default) ustawień urządzeń: routery, kamery IP Długi czas włączenia do sieci ułatwia wykonywanie ataków Długi czas eksploatacji bez wykonywania aktualizacji zarówno firmware, jak i innego software’u Ww. Czynniki wpływają na ułatwienia ataków przychodzących, jak i wychodzących. Według Trend Micro

13 Zabezpieczenia urządzeń Internetu rzeczy
Zabezpieczenia routerów WiFi tym bardziej, że często są w trybie pracy ciągłej Dokładnie zabezpieczyć ew. istniejące w sieci mosty pomiędzy IoT, a stacjami roboczymi lub serwerami Wyłączanie urządzeń lub ich połączeń sieciowych, które nie muszą być włączone Tam, gdzie to możliwe stosować przewodowe technologie sieciowe zamiast WiFi Rozpoznać luki bezpieczeństwa zainstalowanych urządzeń – zabezpieczyć Stworzyć reguły polityki bezpieczeństwa dla urządzeń IoT Zainstalować sprawdzone oprogramowanie anti-malware (niektóre zawierają trojany!) Zainstalować zaporę sieciową z przemyślanymi regułami filtrowania adresów Stosować zasady polityki haseł (program LastPass)

14 Dziękuję