Post on 26-May-2015
description
transcript
Bezpečnost v kontextu Internetu věcí
!!!Petr DvořákPartner & Mobile Strategy Consultant at Inmite s.r.o. Twitter: @joshis_tweets E-mail: petr@inmite.eu
Bezpečnost
Komplexní problém s mnoha podproblémy.
• Nálepka, kterou nikdo normální moc nechápe.
• Řeší hrozby a jejich dopady.
• Občas “byznys se strachem”.
Obavy uživatelů nemusí odpovídat reálným bezpečnostním hrozbám,
přesto se musí řešit.
Co se všechno může pokazit? Jakou to má pravděpodobnost?
Kolik to stojí?
Uživatelé mají často problém formulovat, čeho se vlastně bojí.
Internet věcí
Co to vlastně je?
• Marketingová nálepka označující trend.
• Není definice, rozšiřuje a zpřesňuje se význam.
• Esence: “Čipy ve všem kolem nás”.
• Komponentizace, standardizace, výkon a cena.
Jako Cloud Computing, Big Data, …
• Marketingová nálepka označující trend.
• Není definice, rozšiřuje a zpřesňuje se význam.
• Esence: “Čipy ve všem kolem nás”.
• Komponentizace, standardizace, výkon a cena.
Nové zařízení je “stavebnice komponent”
http://unreasonablemen.net/tag/simon-wardley/
Díky standardizaci na úrovni základních technologií (“čipy”) je možná inovace
na úrovni zařízení.
Bezpečnost a Internet věcíSpojení dvou
neznámých světů
• Fakt: Nikdo neví co to je.
• Premisa “Více digitalizace, více hrozeb”.
• Aplikace již vznikají, není na co čekat.
• Spousta prohlášení, málo struktury.
http://aktualne.centrum.cz/finance/penize/clanek.phtml?id=800191 http://www.youtube.com/watch?v=tEzXIYu2gII
Your security concerns will have to expand
beyond traditional computing devices to make
sure all networked objects are regularly
updated and that you employ secure
passwords.http://blogs.mcafee.com/mcafee-labs/2014-threats-predictions-the-internet-of-things-offers-handy-
gadget-control-yet-could-unlock-more-than-we-expect
“
Dlouhá a složitá hesla na brýle nebo chytré hodinky? To zní pohodlně…
The only way we could ever secure these
things, here in the U.S. that is, would be
to pass some sort of national regulatory law.
http://blog.kaspersky.com/securing-the-internet-of-things/
“
Chtěl jsem vám vypnout pacemaker, ale teď když tu je ten nový zákon …
… other key trends for the year ahead include
increasing demand for DLP* and two-factor
authentication and a move from BYOD** to
CYOD – choose your own device – and the
associated security issues.
http://techday.com/it-brief/news/internet-of-things-will-become-the-internet-of-vulnerabilities/174484/
“
* DLP = Data Loss Prevention ** BYOD = Bring Your Own Device
Přenést liability na klienty a zaměstnance?
S tím nelze nesouhlasit - nikdo nechce ztrácet data, více faktorů je fajn…
Guy Kawasaki @GuyKawasakiHis #1 lesson from Steve Jobs
http://www.slideshare.net/GKawasaki/lessons-of-steve-jobs
Experts are clueless…“Dosavadní rady jsou z kategorie “větší,
lepší stejnota”.
Dva internety věcíRozbijme postupně “internet věcí” na
menší kostičky…
Internet “mých” věcí Internet “nějakých” věcí
Různé bezpečnostní priority.
Internet “mých” věcí Internet “nějakých” věcí
• Autentizace
• Soukromí
• Identita
• Zmatení zařízení
• Zcizení zařízení
• Krádež dat
• Přístup k datům
• Vlastnictví dat
• Autenticita dat
• Deaktivace zařízení
• Hijacking senzoru
• Soukromí (nepřímo)
Různé bezpečnostní priority.
Internet “mých" věcí
???
Google je jasný, Apple je jasný, na čem dělá Microsoft?
http://mashable.com/2013/12/03/microsoft-smart-bra/
Pomocí chytrých podprsenek sleduje souvislost mezi stresem a chorobným přejídáním (žen).
Osobních zařízení je celá řada, “wearables” jsou tématem dne.
Internet “mých” věcí
• Autentizace
• Soukromí
• Identita
• Zmatení zařízení
• Zcizení zařízení
Internet “nějakých” věcí
• Krádež dat
• Přístup k datům
• Vlastnictví dat
• Autenticita dat
• Deaktivace zařízení
• Hijacking senzoru
• Soukromí (nepřímo)
Autentizace
Při “autentizaci” dokážu to, že já jsem opravdu
já, identifikací pomocí až tří faktorů: něco vím,
něco mám, něco jsem…
http://en.wikipedia.org/wiki/Authentication
“
Tradiční obrázek (username/heslo + autentizační SMS) již díky malware na OS mobilních telefonů a cross-
platform útokům nefunguje.
Pozor na novou formu hackerských útoků. Dnes vás chceme upozornit na jeden obzvlášť vykutálený typ hackerského útoku na klienty bank, který se šíří Evropou a bohužel se nevyhnul ani českým bankám.
http://www.airbank.cz/cs/vse-o-air-bank/novinky/pozor-na-novou-formu-hackerskych-utoku/
“
Nějak postiženy jsou dnes již snad všechny České banky. A ano - někde
opravdu zmizely peníze z účtů…
Je s tím ale více problémů. Jak třeba zadám heslo či přepíšu SMS na brýlých? PIN možná takto: www.youtube.com/watch?v=9naxeHGIaRY
Dnešní “něco mám”.
Pro bankovnictví na brýlích trochu nepohodlné…
2 - 10 m poloměr
“Osobní magické silové pole”
Security tokeny budoucnosti proto musí
být wireless.
Něco jsem? Příklad z dnešní doby - hlasová biometria Tatra banky.
http://www.youtube.com/watch?v=0iGOs1w9LXU
2 faktorová autentizace (také, mimo jiné) = (také, mimo jiné)
Něco mám +
Něco jsemPro různé aplikace různý počet a volba faktorů.
Soukromí
Více společensko-vědních než technických otázek.
“Glasshole” ⇨ Etiketa, společenská pravidla, …
Podobně jako při pracovním pohovoru odmítneme příchozí hovor, nebudeme nosit v některých
situacích brýle. Etické normy a pravidla kolem používání telefonu také někdy musely vzniknout.
Internet “nějakých” věcí
http://www.libelium.com/libelium-smart-world-infographic-smart-cities-internet-of-things/
Na infografice nejsou vidět neprůhledné státní tendery, které při budování této budoucnosti nevyhnutelně proběhnou.
Internet “mých” věcí Internet “nějakých” věcí
• Autentizace
• Soukromí
• Identita
• Zmatení zařízení
• Zcizení zařízení
• Krádež dat
• Přístup k datům
• Vlastnictví dat
• Autenticita dat
• Deaktivace zařízení
• Hijacking senzoru
• Soukromí (nepřímo)
2014Problémy související s “bezpečností internetu
věcí” je nutné řešit již dnes. Vznikají první prototypové aplikace a brzy budou existovat
oficiální řešení. Spolu s tím se objeví nové hrozby, které bude nutné řešit technicky, eticky, legislativně, … Abychom to dokázali, je nutné
strukturovat - začněme jednoduše:Jsou dva internety věcí.
Internet “mých” věcí Internet “nějakých” věcí
Děkuji!
Web společnostihttp://www.inmite.eu/ !Petr DvořákPartner & Mobile Strategy Consultant at Inmite s.r.o. Twitter: @joshis_tweets E-mail: petr@inmite.eu