Se ha denunciado esta presentación.
Utilizamos tu perfil de LinkedIn y tus datos de actividad para personalizar los anuncios y mostrarte publicidad más relevante. Puedes cambiar tus preferencias de publicidad en cualquier momento.

Sikkerhet i Internet of Things

Vår avhengighet av systemer som styres av programvare øker raskere enn vår evne til å sikre systemene. Når alle våre ”dingser” kobles på nett øker angrepsflaten og våre verdier blir sårbare for hacking. Dette utgjør ikke bare en trussel mot informasjonssikkerhet og personvern; også menneskers liv og helse trues når dingser som kan påvirke fysiske systemer i økende grad kobles opp mot Internett.

  • Sé el primero en comentar

  • Sé el primero en recomendar esto

Sikkerhet i Internet of Things

  1. 1. SINTEF IKT 1 Marie Moe, PhD, Forsker ved SINTEF IKT, Systemutvikling og sikkerhet Sikkerhet i Internet of Things @MarieGMoe @SINTEF_Infosec
  2. 2. SINTEF IKT • Hva kan gå galt? • Hvordan sikre ”dingsenes Internett” bedre? 2 Agenda
  3. 3. SINTEF IKT • Mange små aktører og oppstartsbedrifter på markedet • Manglende standardisering og interoperabilitet • Mange eksempler på dårlig sikkerhet i produktene • Billig hardware som ikke har kapasitet til sikkerhetsprotokoller • Lite bevissthet og kunnskap om sikkerhet og personvern i IoT hos forbrukerne • Personsensitiv data lastes opp til skyen • Patching kan være problematisk • Umodent lovverk og regulering 3 IoT-sikkerhet: Status i 2016
  4. 4. SINTEF IKT • Gartner: • 5,5 millioner nye dingser vil bli koblet opp mot IoT hver eneste dag i 2016 • I 2020 vil posten i sikkerhetsbudsjettene for håndtering av sikkerhetshendelser i IoT ha økt til 20% • IDC: • Innen 2018 vil 66% av alle nettverk ha blitt kompromittert via IoT • Innen 2020 vil 10% av alle cyberangrep være rettet mot IoT systemer 4 Hvordan ser fremtiden ut?
  5. 5. SINTEF IKT 5 Kilde: http://www.weforum.org/agenda/2015/11/is-this-future-of-the-internet-of-things/
  6. 6. SINTEF IKT 6 Hva kan gå galt?
  7. 7. SINTEF IKT 7 Smarthus overvåkningssystem som ikke varsler ved sensorutfall https://community.rapid7.com/community/infosec/blog/2016/01/05/r7-2015-23-comcast-xfinity-home-security-system-insecure-fail-open
  8. 8. SINTEF IKT 8 Software bug i smart termostat som tømmer batteriet og slår av strømmen http://mobile.nytimes.com/2016/01/14/fashion/nest-thermostat-glitch-battery-dies-software-freeze.html
  9. 9. SINTEF IKT 9 Smarthus termostat gir uvedkommende tilgang til trådløsnettet http://krebsonsecurity.com/2016/02/iot-reality-smart-devices-dumb-defaults/
  10. 10. SINTEF IKT 10 http://blog.talosintel.com/2016/02/trane-iot.html
  11. 11. SINTEF IKT 11 Lekker informasjon via sårbarhet i API! Barnets navn Fødselsdato Kjønn Kilde: https://community.rapid7.com/community/infosec/blog/2016/02/02/security-vulnerabilities-within-fisher-price-smart-toy-hereo-gps-platform
  12. 12. SINTEF IKT 12 Kilde: http://www.somersetrecon.com/blog/2015/11/20/hello-barbie-security-part-1-teardown
  13. 13. SINTEF IKT 13 Kilde: http://www.somersetrecon.com/blog/2015/11/20/hello-barbie-security-part-2-analysis
  14. 14. SINTEF IKT 14 Fitnessarmbåndet ditt tillater uvedkommende å spore deg https://openeffect.ca/reports/Every_Step_You_Fake.pdf
  15. 15. SINTEF IKT 15
  16. 16. SINTEF IKT 16 http://motherboard.vice.com/read/hacker-obtained-childrens-headshots-and-chatlogs-from-toymaker-vtech
  17. 17. SINTEF IKT 17
  18. 18. SINTEF IKT 18 VTech sin respons: Oppdatert EULA http://www.troyhunt.com/2016/02/no-vtech-cannot-simply-absolve-itself.html
  19. 19. SINTEF IKT 19 Overvåkningskamera og babymonitorer åpent tilgjengelig på nett http://arstechnica.com/security/2016/01/how-to-search-the-internet-of-things-for-photos-of-sleeping-babies/
  20. 20. SINTEF IKT http://video.wired.com/watch/hackers-wireless-jeep-attack-stranded-me-on-a-highway
  21. 21. SINTEF IKT http://www.ioactive.com/pdfs/IOActive_Remote_Car_Hacking.pdf
  22. 22. SINTEF IKT http://www.ioactive.com/pdfs/IOActive_Remote_Car_Hacking.pdf
  23. 23. SINTEF IKT http://www.bbc.com/news/technology-34156598
  24. 24. SINTEF IKT http://www.wired.com/2015/09/gm-took-5-years-fix-full-takeover-hack-millions-onstar-cars/
  25. 25. SINTEF IKT Det ”medisinske Internet of Things” Når sensorsystemene implanteres i kroppen må vi beskytte vår personlige kritiske infrastruktur!
  26. 26. SINTEF IKT I en ganske nær fremtid... https://www.youtube.com/watch?v=ZiQJIpd2n8k
  27. 27. SINTEF IKT 27
  28. 28. SINTEF IKT Utfordringer • Proprietære løsninger uten velkjente og standardiserte protokoller • Masseprodusert elektronikk hvor det ikke lønner seg å investere i sikkerhetsmekanismer • Sikkerhetsmekanismer er tilstede, men vanskelige å konfigurere eller ikke slått på som standard • Standard eller hardkodede passord, dårlig nøkkelhåndtering • Ikke implementert tilfredsstillende mekanismer eller rutiner for software-oppdatering • Det fysiske produktet har lang levetid og blir hengende etter i forhold til nye sikkerhetsmekanismer og utviklingen i trusselbildet
  29. 29. SINTEF IKT 29 Hvordan få bedre IoT-sikkerhet?
  30. 30. SINTEF IKT
  31. 31. SINTEF IKT ² Safety-By-Design ² Tredjeparts samarbeid ² Bevissikring ² Sikkerhetsoppdateringer ² Segmentering og isolering 31 5-Stjerners rammeverk (automotive) ü Innse at det vil gå galt og planlegg håndtering ü Kjenn dine allierte før det går galt ü Finn problemet og lær av dine feil ü Ta tak i hendelsen og fiks problemet ü Unngå at problemet påvirker flere deler av systemet Oversatt fra: https://www.iamthecavalry.org/domains/automotive/5star/
  32. 32. SINTEF IKT
  33. 33. SINTEF IKT • Det handler ikke bare om å bli kvitt bugs, også feildesign • Sikkerhet bygges ikke kun av sikkerhetsfunksjoner • F.eks ved å “legge til krypto” • Sikkerhet angår alle, ikke bare sikkerhetsfolk og systemadministratorer • Sikkerhetskrav bør likestilles med kvalitetskrav • Ikke-funksjonelle krav er essensielt! • Oppetid • Kapasitet Sikker programvare krever fokus på sikkerhet gjennom hele utviklingsløpet! 33 Hvordan “bygge inn” sikkerhet?
  34. 34. SINTEF IKT 34 http://www.gsma.com/newsroom/press-release/gsma-announces-security-guidelines-to-support-growth-of-the-internet-of-things/
  35. 35. SINTEF IKT • Use Internal Memory for Secrets • Anomaly Detection • Use Tamper Resistant Product Casing • Enforce Confidentiality and Integrity to/from the Trust Anchor • Over the Air Application Updates • Mutual Authentication • Privacy Management • Run Applications with Appropriate Privilege Levels • Enforce a Separation of Duties in the Application Architecture • Enforce Language Security 35 Utdrag fra GSMA retningslinjer
  36. 36. SINTEF IKT Vår avhengighet av systemer som styres av programvare øker raskere enn vår evne til å sikre systemene • En mulig løsning er å bygge inn sikkerhet som en del av programvareutviklingen • Vi må også innse at det vil gå galt, og planlegge for dette 36 Konklusjon
  37. 37. SINTEF IKTSINTEF IKT Takk for oppmerksomheten! marie.moe@sintef.no http://infosec.sintef.no http://swsec.no @MarieGMoe @SINTEF_Infosec

×