SlideShare une entreprise Scribd logo

Internet of unsecure things

P
Patrick Kall
1  sur  18
Télécharger pour lire hors ligne
INTERNET OF (UN)SECURE THINGS
AGENDA • Definition • Växande Område • Problem • Sårbarheter och Hot • Exempel • Framtid
DEFINITION “En föreslagen utveckling av Internet, där vardagsföremål har nätverksanslutning, så att de kan skicka och ta emot data.” - Oxford Dictionary ”Gränssnittet mellan den fysiska och digitala världen som gör att man kan samla in information från- samt kontrollera vardagsföremål.” - ”Någon som sa det bättre ”
INTERNET OF THINGS ? 1 + 1 = 5 • Nätverk • Applikation • Enhet • Moln • Internet of Things Fler IoT enheter = Ökad attackvektor = Ökad attackyta Personlig information färdas genom alla lager
VÄXANDE OMRÅDE • Gartner tror att antalet enheter 2015 når: • ~ 4,9 000 000 000 enheter • År 2020 beräknar Gartner att det kan finnas så mycket som: • ~ 25 000 000 000 enheter • http://www.gartner.com/newsroom/id/2905717 • Cisco tror på ~ 15 000 000 000 enheter 2015… • …och ~ 50 000 000 000 enheter år 2020!!! • http://blogs.cisco.com/news/cisco-connections-counter
PROBLEMEN • Gamla system • Bortglömda ingångar till systemet (MODEM) • Gammal mjukvara (kända sårbarheter) • Osäker konfiguration • Kända användarnamn/lösenord • Nya System • Time To Market • Storlek och funktionalitet • Ska vara billigt • Väldigt komplext
UPPHANDLING • Missar i kravställning rörande säkerhet • ”Ej IT system” • IT endast en liten del • Svårt att kravställa ”rätt” säkerhet • Inga krav = ingen säkerhet • Fel krav = ingen eller låg säkerhet • För höga krav = dyrt • Många inblandade • Komplext • Kräver samarbete
OT - ”EJ IT SYSTEM” • Har tidigare klassats som drift • IT säkerhetskraven gäller inte • Security vs Safety • Safety – övervakar tillstånd i system • Security – övervakar förändringar i system • Olika standarder ISO 27000 vs ISO13849 • Problem uppstår när.. • ..kopplas mot Kontorsnätverk • ..kopplas mot Internet Har inget med IT att göra Rör inte mitt drift system
SÅRBARHETER I ICS-SYSTEM • Post Stuxnet… https://www.scadahacker.com/
ICS-ANGREPP • Worldwide SCADA attacks increase: • 91,676 in January 2012 • 163,228 in January 2013 • 675,186 in January 2014 • Inget rapporteringskrav vid intrång. https://software.dell.com/docs/2015-dell-security- annual-threat-report-white-paper-15657.pdf
IOT-ANGREPP • Dåligt med rapporter än så länge • Attacker mot hushållsprodukter ökar • Thingbots attackerar kylskåp, brödrostar mm • Proofpoint rapporterade • Thingbots skickade 750 000 phishing och Spam (2013) • ~100 000 enheter deltog i botnätet http://investors.proofpoint.com/releasedetail.cfm?releaseid=819799
MALWARE • SCADA • Stuxnet – Mask • Havex/Dragonfly – Remote Access Trojan för ICS • Black energy – APT Malware riktat mot ICS • Övriga Internet of Things • Thingbots • Mayday – DDoS / Bakdörr • SSHB – Enkel bakdörr • DARLLOZ – Mask. Attackerar bl a säkerhetskameror
BIOGASPUMPAR • Kopplade mot internet • Admin gränssnittet tillgängligt • S7comm gränssnittet tillgängligt • Användarnamn och lösenord i HTML källkoden /*the following code checkes whether the entered userid and password are matching*/ if(form.userid.value == "aga" && form.pswrd.value == "1234") { window.open('index2.html')/*opens the target page while Id & password matches*/ } http://www.nixon-security.se/advisories
TRAFIKLJUS • Inspirerad av filmer ville Cesar testa att hacka trafikljus • “Regarding one of the vulnerabilities, the vendor said that the devices were designed that way on purpose” • “Regarding another vulnerability, the vendor said that it's already fixed on newer versions. But, you need to get a new device and replace the old” http://blog.ioactive.com/2014/04/hacking-us-and-uk- australia-france-etc.html
BABY MONITOR Rapid 7 rapport • Barnövervakningsutrustning är det mest personliga man kan tänka sig • Många jobbar hemifrån när de har småbarn • “The web site ibabycloud.com has a vulnerability by which any authenticated user to the ibabycloud.com service is able to view camera details for any other user, including video recording details, due to a direct object reference vulnerability. ” https://www.rapid7.com/resources/iot/index.jsp
LÖSNINGEN?!? Det finns inte någon patentlösning som funkar för allt • Förstå de olika attackytorna • Undvik de vanligaste misstagen under utveckling • Testa varje yta för de största svagheterna • Använd teknologin på ett säkert sätt • OWASP – IoT Top Ten Project https://www.owasp.org/index.php/OWASP_Internet_of_Things_Top_Ten_Project#tab=Main
FRAMTIDEN • Område på uppgång • Finns stora problemområden • Säkerhetsinitiativ på gång • Fokus på IT-säkerhet • “Dela upp elefanten” • IoT är inte ETT system
PATRICK KALL Kontaktuppgifter: @swewiz Patrick.kall@telenor.se Frågestund

Recommandé

Iot Service Layer Evolution
Iot Service Layer EvolutionIot Service Layer Evolution
Iot Service Layer Evolution
oneM2M
 
IoT and 5G: Opportunities and Challenges, SenZations 2015
IoT and 5G: Opportunities and Challenges, SenZations 2015IoT and 5G: Opportunities and Challenges, SenZations 2015
IoT and 5G: Opportunities and Challenges, SenZations 2015
SenZations Summer School
 
5G Cloud RAN & IoT Architecture
5G Cloud RAN & IoT Architecture5G Cloud RAN & IoT Architecture
5G Cloud RAN & IoT Architecture
Sathiya keerthi
 
A Reference Architecture for IoT
A Reference Architecture for IoT A Reference Architecture for IoT
A Reference Architecture for IoT
WSO2
 
IoT architecture
IoT architectureIoT architecture
IoT architecture
Sumit Sharma
 
Säker utveckling med SDL
Säker utveckling med SDLSäker utveckling med SDL
Säker utveckling med SDL
Johan Lindfors
 
Cybersecurity inom bilindustrin
Cybersecurity inom bilindustrinCybersecurity inom bilindustrin
Cybersecurity inom bilindustrin
Transcendent Group
 
OWASP Top 10 webbsäkerhet
OWASP Top 10 webbsäkerhetOWASP Top 10 webbsäkerhet
OWASP Top 10 webbsäkerhet
Jonas Lejon
 

Recommandé

Iot Service Layer Evolution
Iot Service Layer EvolutionIot Service Layer Evolution
Iot Service Layer Evolution
oneM2M
 
IoT and 5G: Opportunities and Challenges, SenZations 2015
IoT and 5G: Opportunities and Challenges, SenZations 2015IoT and 5G: Opportunities and Challenges, SenZations 2015
IoT and 5G: Opportunities and Challenges, SenZations 2015
SenZations Summer School
 
5G Cloud RAN & IoT Architecture
5G Cloud RAN & IoT Architecture5G Cloud RAN & IoT Architecture
5G Cloud RAN & IoT Architecture
Sathiya keerthi
 
A Reference Architecture for IoT
A Reference Architecture for IoT A Reference Architecture for IoT
A Reference Architecture for IoT
WSO2
 
IoT architecture
IoT architectureIoT architecture
IoT architecture
Sumit Sharma
 
Säker utveckling med SDL
Säker utveckling med SDLSäker utveckling med SDL
Säker utveckling med SDL
Johan Lindfors
 
Cybersecurity inom bilindustrin
Cybersecurity inom bilindustrinCybersecurity inom bilindustrin
Cybersecurity inom bilindustrin
Transcendent Group
 
OWASP Top 10 webbsäkerhet
OWASP Top 10 webbsäkerhetOWASP Top 10 webbsäkerhet
OWASP Top 10 webbsäkerhet
Jonas Lejon
 
Brandvägg
BrandväggBrandvägg
Brandvägg
ElDollaN
 
Mobila enheter och informationssäkerhetsrisker för nybörjaren
Mobila enheter och informationssäkerhetsrisker för nybörjarenMobila enheter och informationssäkerhetsrisker för nybörjaren
Mobila enheter och informationssäkerhetsrisker för nybörjaren
Transcendent Group
 
ProdSummit 2017: Daniel Wigren, Virtual Manufacturing
ProdSummit 2017: Daniel Wigren, Virtual ManufacturingProdSummit 2017: Daniel Wigren, Virtual Manufacturing
ProdSummit 2017: Daniel Wigren, Virtual Manufacturing
Petter Johansson
 
Nya IT-säkerhetshot och trender i en värld av lösningar
Nya IT-säkerhetshot och trender i en värld av lösningarNya IT-säkerhetshot och trender i en värld av lösningar
Nya IT-säkerhetshot och trender i en värld av lösningar
Transcendent Group
 
Gassås-broschyr
Gassås-broschyrGassås-broschyr
Gassås-broschyr
Christian Mattsson
 
BigData med logganalys
BigData med logganalysBigData med logganalys
BigData med logganalys
Findwise
 
Interlandagen 2017 tobbe
Interlandagen 2017 tobbeInterlandagen 2017 tobbe
Interlandagen 2017 tobbe
Torbjorn Eklov
 
Molnet och BigData för AzlanNet
Molnet och BigData för AzlanNet Molnet och BigData för AzlanNet
Molnet och BigData för AzlanNet
Ake Edlund
 
Gassås Folder 2014
Gassås Folder 2014Gassås Folder 2014
Gassås Folder 2014
Christian Mattsson
 
Säkerhetsdagen 3 Dec 2008 Agenda
Säkerhetsdagen 3 Dec 2008 AgendaSäkerhetsdagen 3 Dec 2008 Agenda
Säkerhetsdagen 3 Dec 2008 Agenda
Anna Näsmark
 
Hybrid it fallstudie
Hybrid it fallstudieHybrid it fallstudie
Hybrid it fallstudie
ExcantoAB
 
Portwise 2009 Presentation om Cloud & Security
Portwise 2009 Presentation om Cloud & SecurityPortwise 2009 Presentation om Cloud & Security
Portwise 2009 Presentation om Cloud & Security
Predrag Mitrovic
 
Molnet och-big data-ake-edlund
Molnet och-big data-ake-edlundMolnet och-big data-ake-edlund
Molnet och-big data-ake-edlund
Ake Edlund
 
Mobila lösningar - bygg din framgång med små och snabba steg! - Smarter Busin...
Mobila lösningar - bygg din framgång med små och snabba steg! - Smarter Busin...Mobila lösningar - bygg din framgång med små och snabba steg! - Smarter Busin...
Mobila lösningar - bygg din framgång med små och snabba steg! - Smarter Busin...
IBM Sverige
 
IT-infrastruktur som tjänst (IaaS)
IT-infrastruktur som tjänst (IaaS)IT-infrastruktur som tjänst (IaaS)
IT-infrastruktur som tjänst (IaaS)
Idenet
 
Skapa & Friends Mobil Marknadsföring 2014-03-06
Skapa & Friends Mobil Marknadsföring 2014-03-06Skapa & Friends Mobil Marknadsföring 2014-03-06
Skapa & Friends Mobil Marknadsföring 2014-03-06
Erik Ekholm
 
Cloud Computing - Mycket mer än IT
Cloud Computing - Mycket mer än ITCloud Computing - Mycket mer än IT
Cloud Computing - Mycket mer än IT
Björn Lilja
 
MolnsäKerhet (Symposia 2009)
MolnsäKerhet (Symposia 2009)MolnsäKerhet (Symposia 2009)
MolnsäKerhet (Symposia 2009)
hagero
 

Contenu connexe

Similaire à Internet of unsecure things

Säkerhetsdagen 3 Dec 2008 Agenda
Säkerhetsdagen 3 Dec 2008 AgendaSäkerhetsdagen 3 Dec 2008 Agenda
Säkerhetsdagen 3 Dec 2008 Agenda
Anna Näsmark
 
Hybrid it fallstudie
Hybrid it fallstudieHybrid it fallstudie
Hybrid it fallstudie
ExcantoAB
 
Portwise 2009 Presentation om Cloud & Security
Portwise 2009 Presentation om Cloud & SecurityPortwise 2009 Presentation om Cloud & Security
Portwise 2009 Presentation om Cloud & Security
Predrag Mitrovic
 

Similaire à Internet of unsecure things (18)

Brandvägg
BrandväggBrandvägg
Brandvägg
 
Mobila enheter och informationssäkerhetsrisker för nybörjaren
Mobila enheter och informationssäkerhetsrisker för nybörjarenMobila enheter och informationssäkerhetsrisker för nybörjaren
Mobila enheter och informationssäkerhetsrisker för nybörjaren
 
ProdSummit 2017: Daniel Wigren, Virtual Manufacturing
ProdSummit 2017: Daniel Wigren, Virtual ManufacturingProdSummit 2017: Daniel Wigren, Virtual Manufacturing
ProdSummit 2017: Daniel Wigren, Virtual Manufacturing
 
Nya IT-säkerhetshot och trender i en värld av lösningar
Nya IT-säkerhetshot och trender i en värld av lösningarNya IT-säkerhetshot och trender i en värld av lösningar
Nya IT-säkerhetshot och trender i en värld av lösningar
 
Gassås-broschyr
Gassås-broschyrGassås-broschyr
Gassås-broschyr
 
BigData med logganalys
BigData med logganalysBigData med logganalys
BigData med logganalys
 
Interlandagen 2017 tobbe
Interlandagen 2017 tobbeInterlandagen 2017 tobbe
Interlandagen 2017 tobbe
 
Molnet och BigData för AzlanNet
Molnet och BigData för AzlanNet Molnet och BigData för AzlanNet
Molnet och BigData för AzlanNet
 
Gassås Folder 2014
Gassås Folder 2014Gassås Folder 2014
Gassås Folder 2014
 
Säkerhetsdagen 3 Dec 2008 Agenda
Säkerhetsdagen 3 Dec 2008 AgendaSäkerhetsdagen 3 Dec 2008 Agenda
Säkerhetsdagen 3 Dec 2008 Agenda
 
Hybrid it fallstudie
Hybrid it fallstudieHybrid it fallstudie
Hybrid it fallstudie
 
Portwise 2009 Presentation om Cloud & Security
Portwise 2009 Presentation om Cloud & SecurityPortwise 2009 Presentation om Cloud & Security
Portwise 2009 Presentation om Cloud & Security
 
Molnet och-big data-ake-edlund
Molnet och-big data-ake-edlundMolnet och-big data-ake-edlund
Molnet och-big data-ake-edlund
 
Mobila lösningar - bygg din framgång med små och snabba steg! - Smarter Busin...
Mobila lösningar - bygg din framgång med små och snabba steg! - Smarter Busin...Mobila lösningar - bygg din framgång med små och snabba steg! - Smarter Busin...
Mobila lösningar - bygg din framgång med små och snabba steg! - Smarter Busin...
 
IT-infrastruktur som tjänst (IaaS)
IT-infrastruktur som tjänst (IaaS)IT-infrastruktur som tjänst (IaaS)
IT-infrastruktur som tjänst (IaaS)
 
Skapa & Friends Mobil Marknadsföring 2014-03-06
Skapa & Friends Mobil Marknadsföring 2014-03-06Skapa & Friends Mobil Marknadsföring 2014-03-06
Skapa & Friends Mobil Marknadsföring 2014-03-06
 
Cloud Computing - Mycket mer än IT
Cloud Computing - Mycket mer än ITCloud Computing - Mycket mer än IT
Cloud Computing - Mycket mer än IT
 
MolnsäKerhet (Symposia 2009)
MolnsäKerhet (Symposia 2009)MolnsäKerhet (Symposia 2009)
MolnsäKerhet (Symposia 2009)
 

Internet of unsecure things

  • 2. AGENDA • Definition • Växande Område • Problem • Sårbarheter och Hot • Exempel • Framtid
  • 3. DEFINITION “En föreslagen utveckling av Internet, där vardagsföremål har nätverksanslutning, så att de kan skicka och ta emot data.” - Oxford Dictionary ”Gränssnittet mellan den fysiska och digitala världen som gör att man kan samla in information från- samt kontrollera vardagsföremål.” - ”Någon som sa det bättre ”
  • 4. INTERNET OF THINGS ? 1 + 1 = 5 • Nätverk • Applikation • Enhet • Moln • Internet of Things Fler IoT enheter = Ökad attackvektor = Ökad attackyta Personlig information färdas genom alla lager
  • 5. VÄXANDE OMRÅDE • Gartner tror att antalet enheter 2015 når: • ~ 4,9 000 000 000 enheter • År 2020 beräknar Gartner att det kan finnas så mycket som: • ~ 25 000 000 000 enheter • http://www.gartner.com/newsroom/id/2905717 • Cisco tror på ~ 15 000 000 000 enheter 2015… • …och ~ 50 000 000 000 enheter år 2020!!! • http://blogs.cisco.com/news/cisco-connections-counter
  • 6. PROBLEMEN • Gamla system • Bortglömda ingångar till systemet (MODEM) • Gammal mjukvara (kända sårbarheter) • Osäker konfiguration • Kända användarnamn/lösenord • Nya System • Time To Market • Storlek och funktionalitet • Ska vara billigt • Väldigt komplext
  • 7. UPPHANDLING • Missar i kravställning rörande säkerhet • ”Ej IT system” • IT endast en liten del • Svårt att kravställa ”rätt” säkerhet • Inga krav = ingen säkerhet • Fel krav = ingen eller låg säkerhet • För höga krav = dyrt • Många inblandade • Komplext • Kräver samarbete
  • 8. OT - ”EJ IT SYSTEM” • Har tidigare klassats som drift • IT säkerhetskraven gäller inte • Security vs Safety • Safety – övervakar tillstånd i system • Security – övervakar förändringar i system • Olika standarder ISO 27000 vs ISO13849 • Problem uppstår när.. • ..kopplas mot Kontorsnätverk • ..kopplas mot Internet Har inget med IT att göra Rör inte mitt drift system
  • 9. SÅRBARHETER I ICS-SYSTEM • Post Stuxnet… https://www.scadahacker.com/
  • 10. ICS-ANGREPP • Worldwide SCADA attacks increase: • 91,676 in January 2012 • 163,228 in January 2013 • 675,186 in January 2014 • Inget rapporteringskrav vid intrång. https://software.dell.com/docs/2015-dell-security- annual-threat-report-white-paper-15657.pdf
  • 11. IOT-ANGREPP • Dåligt med rapporter än så länge • Attacker mot hushållsprodukter ökar • Thingbots attackerar kylskåp, brödrostar mm • Proofpoint rapporterade • Thingbots skickade 750 000 phishing och Spam (2013) • ~100 000 enheter deltog i botnätet http://investors.proofpoint.com/releasedetail.cfm?releaseid=819799
  • 12. MALWARE • SCADA • Stuxnet – Mask • Havex/Dragonfly – Remote Access Trojan för ICS • Black energy – APT Malware riktat mot ICS • Övriga Internet of Things • Thingbots • Mayday – DDoS / Bakdörr • SSHB – Enkel bakdörr • DARLLOZ – Mask. Attackerar bl a säkerhetskameror
  • 13. BIOGASPUMPAR • Kopplade mot internet • Admin gränssnittet tillgängligt • S7comm gränssnittet tillgängligt • Användarnamn och lösenord i HTML källkoden /*the following code checkes whether the entered userid and password are matching*/ if(form.userid.value == "aga" && form.pswrd.value == "1234") { window.open('index2.html')/*opens the target page while Id & password matches*/ } http://www.nixon-security.se/advisories
  • 14. TRAFIKLJUS • Inspirerad av filmer ville Cesar testa att hacka trafikljus • “Regarding one of the vulnerabilities, the vendor said that the devices were designed that way on purpose” • “Regarding another vulnerability, the vendor said that it's already fixed on newer versions. But, you need to get a new device and replace the old” http://blog.ioactive.com/2014/04/hacking-us-and-uk- australia-france-etc.html
  • 15. BABY MONITOR Rapid 7 rapport • Barnövervakningsutrustning är det mest personliga man kan tänka sig • Många jobbar hemifrån när de har småbarn • “The web site ibabycloud.com has a vulnerability by which any authenticated user to the ibabycloud.com service is able to view camera details for any other user, including video recording details, due to a direct object reference vulnerability. ” https://www.rapid7.com/resources/iot/index.jsp
  • 16. LÖSNINGEN?!? Det finns inte någon patentlösning som funkar för allt • Förstå de olika attackytorna • Undvik de vanligaste misstagen under utveckling • Testa varje yta för de största svagheterna • Använd teknologin på ett säkert sätt • OWASP – IoT Top Ten Project https://www.owasp.org/index.php/OWASP_Internet_of_Things_Top_Ten_Project#tab=Main
  • 17. FRAMTIDEN • Område på uppgång • Finns stora problemområden • Säkerhetsinitiativ på gång • Fokus på IT-säkerhet • “Dela upp elefanten” • IoT är inte ETT system