CENTRO UNIVERSITÁRIO DINÂMICA DAS CATARATAS
JULY ENGEL SAUCEDO
UMA PROPOSTA DE UTILIZAÇÃO DE PROXY DE REDE
PARA INCREMENTO NA SEGURANÇA DE DISPOSITIVOS
IOT.
FOZ DO IGUAÇU 2017
JULY ENGEL SAUCEDO
UMA PROPOSTA DE UTILIZAÇÃO DE PROXY DE REDE PARA
INCREMENTO NA SEGURANÇA DE DISPOSITIVOS IOT.
Trabalho de conclusão de curso apresentado como requisito obrigatório para obtenção do título de Ba-charel em Ciência da Computação do Centro Univer-sitário Dinâmica das Cataratas.
Orientador: João Paulo de Lima Barbosa.
FOZ DO IGUAÇU 2017
SAUCEDO, July S255u
Uma proposta de utilização de proxy de rede para incremento na segurança de dispositivos IoT. July Engel Saucedo. Foz do Iguaçu: UDC, 2017
Fls 50
Trabalho de Conclusão de Curso Ciência da Computação
1. Internet das Coisas. 2. Proxy. 3. Segurança de Rede.
TERMO DE APROVAÇÃO
July Engel Saucedo
UMA PROPOSTA DE UTILIZAÇÃO DE PROXY DE REDE
PARA INCREMENTO NA SEGURANÇA DE DISPOSITIVOS
IOT.
Trabalho de conclusão de curso apresentado como requisito obrigatório para obtenção do título de Bacharel em Ciência da Computação do Centro Universitário Dinâmica das Cataratas de Foz do Iguaçu, pela seguinte banca examinadora:
João Paulo de Lima Barbosa.
Centro Universitário Dinâmica das Cataratas (orientador)
Prof. Valmei Abreu Junior 2
Centro Universitário Dinâmica das Cataratas
Prof. Luciano Cardoso
Centro Universitário Dinâmica das Cataratas
Dedico este trabalho a minha mãe Ana Paula Espindola, a meus irmãos Emily Espindola Pereira, Raphael Espindola Pereira e à todos meus amigos que sempre me apoiaram em tudo com muito amor e memes.
AGRADECIMENTOS
Agradeço a todos que me auxiliaram e me apoiaram nos meus estudos, especial-mente:
A minha família principalmente minha mãe e meus irmãos por todo apoio e carinho desde o começo.
A Todos os meus amigos principalmente Lucas Baldessar, Lucas José Munhoz e Rodolfo da Rocha Oliveira pela paciência e incentivo.
A Todos os meus colegas e amigos do PTI principalmente Paulo Henrique Ottomar, Marcos Roberto Shpak, Leandro Solagna Portillo, Sandro Crystiano de Nadai e Marcos Antônio Teixeira por todo apoio e ajuda quando eu precisei.
A todos os professores que me ensinaram nesses quatro anos de faculdade.
Ao professor orientador João Paulo de Lima Barbosa pelo tempo e pelas orienta-ções.
E aos meus colegas de sala que estiveram comigo nesses quatro anos e me auxili-aram diversas vezes no decorrer dessa jornada.
“ We all change, when you think about it, we’re all different people; all through our lives, and that’s okay, that’s good, you’ve gotta keep moving, so long as you remember all the people that you used to be.” - The Doctor, Doctor Who(2013)
RESUMO
Internet das Coisas é definida como a rede mundial de objetos interligados endereçáveis com base em protocolos de comunicação padrão. Tem chamado bastante atenção por possuir inúmeras aplicações e, consequentemente, está se tornando muito presente na vida dos seres humanos. Entretanto, Internet das Coisas tem preocupado pela quantidade de vulnerabilidades encontradas nos dispositivos IoT e pela dificuldade de elaborar protocolos de segurança devido à heterogeneidade dos dispositivos e o pouco poder de processamento. Neste trabalho foram realizados testes utilizando dois raspberry pi um deles atuando como dispositivo IoT e outro atuando como um proxy de rede com o objetivo de mitigar ataques a dispositivos IoT. Os resultados demonstraram que apenas através da análise na porta 80 não foi possível se determinar a eficácia de um simples proxy de rede atuando na porta 80. Entretanto, expôs novas necessidades de pesquisas associadas a como emular o comportamento de um dispositivo IoT e a necessidade de mitigação de ataques a porta 23.
ABSTRACT
Internet of Things is defined as the worldwide network of interconnected object addresses based on standard communication protocols. It has attracted a lot of attention because it has innumerable applications and consequently is becoming very present in the life of human beings. However, Internet of Things has worried about the amount of vulnera-bilities found in IoT devices and the difficulty of elaborating security protocols due to the heterogeneity of the devices and the low processing power. In this work, tests were performed using two raspberry pi one of them acting as IoT device and another acting as a network prototype with the purpose of mitigating attacks to IoT devices. The results demonstrated that it was only through the analysis at port 80 that it was not possible to determine the effectiveness of a simple network proxy acting on port 80. However, it exposed new research needs associated with how to emulate the behavior of an IoT device and the need to mitigate port attacks.
LISTA DE ILUSTRAÇÕES
FIGURA 1 – Sistema básico da IoT . . . 19
FIGURA 2 – Arquitetura para IoT . . . 20
FIGURA 3 – Arquitetura EPCglobal . . . 21
FIGURA 4 – Arquitetura M2M de acordo com ETSI . . . 23
FIGURA 5 – Integração WSN e RFID . . . 24
FIGURA 6 – As quatro camadas da Web of Things . . . 24
FIGURA 7 – Arquitetura cloud of things . . . 25
FIGURA 8 – raspberry pi . . . 34
FIGURA 9 – Caso de uso da Aplicação . . . 38
FIGURA 10 – Fluxograma da aplicação . . . 39
FIGURA 11 – Página de Login . . . 40
FIGURA 12 – Página de login com mensagem de erro . . . 40
FIGURA 13 – Configuração do proxy de rede . . . 40
FIGURA 14 – Arquivo acessou.txt . . . 42
FIGURA 15 – Log do proxy . . . 43
LISTA DE TABELAS
TABELA 1 – Comparação de software entre plataformas de prototipação . . . 28
TABELA 2 – Comparação de hardware entre plataformas de prototipação . . . 29
TABELA 3 – Comparação de preço entre plataformas de prototipação . . . 29
LISTA DE ABREVIATURAS
IoT - Internet of Things
RFID - Radio-Frequency Identification WSN - Wireless sensor networks
DDoS -Distributed Denial-of-Service attack MIT - Massachusetts Institute of Technology AIDC - Automatic Identification and Data Captured SOA - Service-Oriented Architecture
EPC - Electronic Product Code
ETSI - The European Telecommunication Standards Institute
M2M - Machine to machine
EPCIS -Electronic Product Code Information Service
DNS - Domain Name System
PaaS - Platform as a Service SaaS - Software as a service FTP - File Transfer Protocol HTTP - Hypertext Transfer Protocol ALE - Application Link Enabling IDS - Intrusion detection system
IDPS - Intrusion Detection and Prevention system AVC - Acidente Vascular Cerebral
SUMÁRIO
1 INTRODUÇÃO . . . 14
1.1 DESENVOLVIMENTO DA PROBLEMATICA E PERGUNTA DE PESQUISA . . . 14 1.2 Objetivos . . . 15 1.2.1 Objetivo Geral . . . 15 1.2.2 Objetivos Específicos . . . 15 1.3 JUSTIFICATIVA . . . 15 1.4 ORGANIZAÇÃO DO TRABALHO . . . 16 2 FUNDAMENTAÇÂO TEÓRICA . . . 17
2.1 INTERNET DAS COISAS . . . 17
2.1.1 Exemplos de Aplicações para dispositivos IoT . . . 17
2.1.1.1 Saúde . . . 17
2.1.1.2 Manufatura Inteligente . . . 18
2.1.1.3 Gerenciamento de Energia . . . 18
2.1.1.4 Transporte . . . 18
2.1.2 Arquiteturas . . . 18
2.1.2.1 Arquitetura Geral Para IoT . . . 19
2.1.2.2 Arquitetura Epcglobal . . . 20
2.1.2.3 Arquitetura M2M . . . 22
2.1.2.4 Integração De RFID Com WSN . . . 23
2.1.2.5 Arquitetura baseada em Web of Things . . . 23
2.1.2.6 Arquitetura baseada em nuvem . . . 25
2.2 SEGURANÇA DE REDE . . . 26
2.2.1 Problemas de Segurança de rede em IoT . . . 26
2.3 PLATAFORMAS DE PROTOTIPAÇÂO . . . 27
2.4 SERVIDOR PROXY . . . 28
2.4.1 Tipos de Proxy . . . 28
2.4.2 Variação de Proxy . . . 29
2.4.3 Propriedades de Proxy . . . 30
2.4.4 Aplicações para Proxies . . . 30
2.5 SISTEMA DE DETECÇÃO DE INTRUSÃO . . . 31
3 MATERIAIS E MÉTODOS . . . 33
3.1.1 Raspberry pi . . . 33 3.1.2 Raspbian . . . 34 3.1.3 Python . . . 34 3.1.4 Flask . . . 34 3.1.5 Sqlite . . . 35 3.1.6 VIM . . . 35 3.1.7 Squid . . . 35 3.1.8 Honeypot . . . 35 3.2 Método de pesquisa . . . 35
3.2.1 Preparação do Ambiente de Teste . . . 36
3.2.1.1 Fase 1: . . . 36
3.2.1.2 Fase 2 . . . 36
4 IMPLEMENTAÇÃO DAS TÉCNICAS . . . 37
4.1 APLICAÇÃO . . . 37 4.1.1 Levantamento de requisitos . . . 37 4.1.2 Casos de Uso . . . 37 4.1.2.1 Descrição do Ator . . . 37 4.1.2.2 Fluxograma . . . 38 4.2 Proxy Squid . . . 39 4.2.1 Instalação do Proxy . . . 39 4.2.2 CONFIGURAÇÃO DO PROXY . . . 40
5 ANÁLISE DOS RESULTADOS . . . 42
5.1 Testes sem o proxy . . . 42
5.2 Testes com o proxy . . . 43
5.3 Testes com o hooneypot . . . 43
6 CONCLUSÕES E SUGESTÕES PARA FUTUROS TRABA-LHOS . . . 44
14
1 INTRODUÇÃO
O termo Internet das Coisas (do inglês Internet of Things - IoT) é utilizado para descrever o cenário em que objetos se comunicam com a internet e com outros objetos por meio de protocolos de rede. Esses objetos não precisam, necessariamente, ser operados por humanos. A ideia é que esses objetos possam ser qualquer coisa, como computadores, tablets, smartphones, cafeteiras, luminárias e, até marca-passos.
IoT foi usado pela primeira vez em 1999 por Kevin Ashton quando estava falando sobre identificação por radiofrequência (do inglês RadioFrequency IDentification -RFID). RFID costumava ser a tecnologia dominante por trás do desenvolvimento de IoT, mas conforme a tecnologia foi avançando, redes de sensores (do inglês Wireless Sensor Networks - WSN) e dispositivos habilitados com Bluetooth, também começaram a ser utilizados e aumentaram a visibilidade da IoT (BUYYA; DASTJERDI, 2016).
IoT tem chamado atenção por suas diversas aplicações como no campo da saúde, para monitorar pacientes, em fazendas inteligentes, para evitar o desperdício de água, em cidades inteligentes, casas inteligentes, no gerenciamento de energia, entre outras.
1.1 DESENVOLVIMENTO DA PROBLEMATICA E PERGUNTA DE PESQUISA
Para exemplificar os possíveis problemas decorrentes da falta de segurança em dispositivos IoT pode-se citar Anstee et al. (2017), em novembro de 2016 um ataque distribuído por negação de serviço (do inglês Distributed Denial-of-Service attack - DDoS) foi feito ao sistema de controle de ambiente de alguns edifícios na Finlândia, deixando os habitantes em temperatura abaixo de zero por dois dias. Segundo Khandelwal (2017), em outubro de 2016 um outro ataque distribuído por negação de serviço foi feito contra Dyn1 , e isso fez com que vários websites e serviços como Twitter,GitHub, Reddit, Netflix e Spotify ficassem fora do ar. Isso foi possível através de um Malware chamado Mirai que escravizou dispositivos IoT para conduzir ataques DDoS.
Em 2015 pesquisadores em segurança de rede desenvolveram um drone capaz de capturar dados de dispositivos IoT em função das vulnerabilidades críticas encontradas no protocolo Zigbee, que é um protocolo popularmente utilizado nesta classe de dispositivos IoT que, além de permitir a captura de dados, segundo Tobias Zilner e Sebastian Stobl da empresa de segurança de rede Connosec, também permite que hackers assumam o controle de todos os dispositivos conectados na rede incluindo fechaduras, sistemas de alarme e até lâmpadas.
15
Apartir deste cenário surge a questão: É possível tornar dispositivos IoT mais seguros? Quais os dados necessários para encontrar uma solução para esta questão?
1.2 Objetivos
1.2.1 Objetivo Geral
Avaliar a viábilidade da mitigação de ataques e exploração de vulnerabilidades em dispositivos IoT através da utilização de um proxy de rede implementado em um minicomputador.
1.2.2 Objetivos Específicos
Visando atingir o objetivo principal, os seguintes objetivos específicos foram tra-çados:
∙ Pesquisar sobre: Arquitetura IoT, Protocolos IoT, plataformas de prototipação e minicomputadores, segurança de rede e sistemas distribuídos;
∙ Identificar os principais problemas de segurança associados a IoT, bem como os ataques mais comuns e os mais utilizados;
∙ Estudar tecnologias de proxy e identificar o modelo mais apropriado para este tra-balho;
∙ Desenvolver um protótipo de proxy para IoT utilizando um minicomputador; ∙ Validar o modelo de segurança proposto e aferir sua eficiência e aplicabilidade em
um cenário real.
1.3 JUSTIFICATIVA
Segundo Díaz-Zayas et al. (2016), estima-se que até 2020 serão 24 bilhões de dis-positivos conectados, ou seja, IoT estará presente em vários aspectos da vida dos seres humanos: nas casas, nos hospitais, nos carros, nas indústrias, etc. Então, é indispensável que esses dispositivos sejam confiáveis, o que não é o caso, a maioria dos dispositivos IoT são dispositivos com pouco poder de processamento, o que dificulta na elaboração de protocolos de segurança.
Segurança de rede é um desafio para a IoT. E diante disso, é necessário novos modelos de segurança para manter esses dispositivos seguros.
16
1.4 ORGANIZAÇÃO DO TRABALHO
No primeiro capítulo está a apresentação do trabalho, com uma breve contextua-lização do tema e explicação da problemática encontrada, assim como o objetivo geral e os objetivos específicos.
No segundo capítulo está a revisão bibliográfica sobre IoT, onde será abordado con-ceitos como arquitetura, desenvolvimento, protocolos e, também, suas limitações. Neste capítulo também será abordado conceitos como tecnologias de proxy, detalhando as tecno-logias existentes as suas capacidade e limitações, segurança de rede, explicando os desafios para IoT, plataformas de prototipação, fazendo uma comparação das mais utilizadas e soluções existentes relacionados a IoT.
O raspberry pi, que atuará como proxy de rede e dispositivo IoT é descrito no terceiro capítulo junto com os software squid e as linguagens de programação utilizadas. No quarto capítulo descreve-se o funcionamento da aplicação desenvolvida para simular a página de login de um dispositivo IoT. E também explica-se o arquivo de configuração do proxy.
Os resultados obtidos através dos testes realizados estão no capitulo 5.
No sexto capítulo está a conclusão do trabalho onde são descritas as dificuldades encontradas durantes os testes e é feito sugestões para trabalhos futuros.
17
2 FUNDAMENTAÇÂO TEÓRICA
2.1 INTERNET DAS COISAS
IoT pode ser considerado um tema relativamente novo comparado com outras tecnologias. Entretanto, alguns pesquisadores afirmam que a ideia da IoT pode ser muito mais antiga do que se imagina chegando, até o século 19 quando Nikola Tesla afirmou que: ”Quando a tecnologia sem fio for aplicada, toda a terra será convertida em um cérebro enorme , o que de fato é[...] e os instrumentos através dos quais seremos capazes de fazer isso, estes serão surpreendentemente simples em comparação com o nosso presente telefone."(ATZORI; IERA; MORABITO, 2017).
IoT tem se tornado um dos temas mais discutidos no campo da Tecnologia de Comunicação e Informação(ICT, do inglês The Information and Communications Te-chnology). Existe muita confusão sobre o que IoT realmente é, sendo ela é definida de diversas formas. O termo foi usado pela primeira vez por Kevin Ashton que trabalhava com RFID que foi o começo de tudo. De acordo com o grupo de pesquisa em RFID, da EPOSS (2008)2 a IoT pode ser definida como “A rede mundial de objetos interligados
endereçáveis com base em protocolos de comunicação padrão” (GUBBI et al., 2013). IoT pode ser definida como:
Uma infraestrutura de rede global com capacidades de auto configuração baseadas em padrões e protocolos de comunicação interoperáveis onde "coisas"físicas e virtuais possuem identidades, atributos físicos, perso-nalidades virtuais e usam interfaces inteligentes e são integradas na rede de informação (RAY, 2016 apud KRANENBURG et al., 2011)
2.1.1 Exemplos de Aplicações para dispositivos IoT
A função de dispositivos IoT é monitorar ambientes. Eles levam dados do mundo real para o virtual, para que esses dados sejam analisados e transformados em conheci-mento útil, para que decisões sejam tomadas. Essas decisões podem melhorar o lucro de empresas, economizar energia ou, até salvar vidas.
2.1.1.1 Saúde
O campo da saúde é beneficiado pela aplicação da IoT através do monitoramento de pacientes. Um exemplo disso é o sistema desenvolvido para monitorar pacientes com risco de Acidente Vascular Cerebral(AVC). O sistema é composto por um conjunto de algoritmos que, baseados em medidas de aceleração, métodos de análises de série temporal
18
e técnicas de filtragem, facilitam a detecção de quedas de paciente que estão sofrendo acidente vascular cerebral em tempo real. O sistema é dividido em duas partes, dispositivos IoT e computação em nuvem (BUYYA; DASTJERDI, 2016).
2.1.1.2 Manufatura Inteligente
Muitas empresas estão investindo na manufatura inteligente para resolver seus problemas. Manufatura inteligente trata-se de criar um ambiente em que a informação é adquirida em tempo real e é usada para tomada de decisão. IoT é fundamental para manufatura inteligente e empresas estão prontas para investir nisso (MANETI, 2016).
A empresa CISCO3 desenvolveu um sistema que fornece visibilidade das operações
de produção em tempo real. O sistema possui 3 camadas, sendo a primeira a análise de Big Data, a segunda é a computação em nuvem, e a terceira, IoT (MANETI, 2016). 2.1.1.3 Gerenciamento de Energia
Outra área em que a IoT é aplicada é o gerenciamento de energia. Segundo a Agência Internacional de Energia, em 2012 o gasto de eletricidade ao redor do mundo pelo setor da Indústria, foi de 42,3 % do total de energia produzido. Por esse motivo foi desenvolvido uma plataforma baseada em IoT para melhorar o gerenciamento de energia nas indústrias. Os resultados experimentais do estudo demonstram que a plataforma é capaz de melhorar a interconectividade dos dispositivos e diminuir o custo de energia (WEI; HONG; ALAM, 2016).
Foi desenvolvido também um sistema para economizar energia nos prédios de uma universidade. O sistema analisa o uso de energia no prédio através de sensores e pela análise de dados, toma decisões como: desligar a luz ou desligar o ar-condicionado visando a economia de energia (LIN; REN; CERRITOS, 2013).
2.1.1.4 Transporte
No transporte, IoT pode ser usada para rastrear veículos. Um sistema de rastre-amento foi desenvolvido para que estudantes saibam a localização dos ônibus no google maps em tempo real (LIN; REN; CERRITOS, 2013).
2.1.2 Arquiteturas
Assim como várias definições, também foram propostas várias arquiteturas dife-rentes para IoT, dependendo da tecnologia e da utilidade.
3 CISCO é uma empresa multinacional estadunidense líder mundial em Tecnologia da Informação(TI)
19
2.1.2.1 Arquitetura Geral Para IoT
O Fluxo de trabalho da IoT acontece da seguinte forma: primeiro a informação é recolhida através de sensores, que podem ser temperatura, vibração, umidade, aceleração, mudanças químicas no ar, entre outras, dependendo da utilidade do dispositivo. Depois a informação é recebida por um sistema ou dispositivo inteligente que determina uma ação a ser tomada.Finalmente o sistema/dispositivo inteligente envia a informação para o administrador com o status do ambiente. O sistema básico de IoT é mostrado na Figura 1 (KHAN et al., 2012).
FIGURA 1 – Sistema básico da IoT
FONTE: Adaptado de Khan et al. (2012)
Levando em consideração diversos fatores como escalabilidade, interoperabilidade, confiabilidade, entre outros, Khan et al. (2012) propuseram uma arquitetura geral para IoT que pode ser dividida em 5 camadas como mostra na Figura 2.
1. Camada de Percepção : A camada de percepção é onde ficam os dispositivos IoT, sendo que eles podem ser dispositivos RFID ou algum tipo de sensor, dependendo da aplicação. Essa camada é responsável pela identificação dos objetos e a coleta de informações dos dispositivos. Depois, as informações são levada até a camada de rede.
2. Camada de Rede: A camada de rede pode ser chamada também de camada de transmissão, porque é a camada responsável por transmitir a informação coletada dos sensores da camada de percepção para a camada Middleware. A transmissão pode ser feita com qualquer tipo de protocolo, como por exemplo: WIFI, 3G, Zigbee, entre outros, depende do dispositivo IoT que está sendo usado.
20
FIGURA 2 – Arquitetura para IoT
FONTE: Adaptado de Khan et al. (2012)
3. Camada Middleware: Essa camada é responsável por receber informações da ca-mada de rede e armazená-las no banco de dados. Essa caca-mada também processa informações e toma decisões automáticas baseadas nos resultados.
4. Camada da Aplicação: Essa camada fornece o gerenciamento global das informações processadas na camada do Middleware.
5. Camada de Negócio: Essa camada é responsável por determinar ações futuras e estratégias de negócios através da análise dos resultados. Essa camada também gerencia o sistema global da IoT incluindo aplicações e serviços.
2.1.2.2 Arquitetura Epcglobal
EPCglobal é uma organização global de definição de padrões para tecnologias de código de produto eletrônico (do inglês Electronic Product Code - EPC) que surgiu no Instituto de Tecnologia de Massachusetts (MIT). Foi ela que definiu o primeiro exemplo de arquitetura para IoT.Que é uma arquitetura baseada em serviço (do inglês Service-Oriented Architecture - SOA), onde o principal objetivo é definir uma interface entre componentes diferentes (ATZORI; IERA; MORABITO, 2017).
RFID faz parte das Tecnologias de Identificação Automática e captura de dados que são tecnologias usadas para identificação de objetos. RFID é a mais promissora porque não precisa ter contato direto com o objeto ou ver o objeto de algumas forma, ela utiliza tags anexadas aos objetos para transmitir a informação (AGUIRRE, 2007).
21
Segundo Atzori, Iera e Morabito (2017) a arquitetura possui seis componentes: 1. Tags RFID: as tags possuem endereços únicos e possuem poder de processamento; 2. Leitores RFID: leem as informações das tags e enviam essas informações para um
servidor;
3. Código de Produto eletrônico: representa o esquema utilizado para atribuir e inter-pretar as tags;
4. Mediador de filtragem: que é o responsável por receber solicitações das aplicações, processar dados dos leitores RFID e retornar os dados para o elemento que os solicitou;
5. Serviço de nome de objeto (do inglês Object Name Service - ONS): responsável por transformar um identificador EPC em URL e vice-versa, sua função é semelhante a função do DNS4
6. Serviço de Informações do Código do produto eletrônico( do inglês Electronic Pro-duct Code Information Service - EPCIS) que é responsável por armazenar eventos e responder consultas geradas pelas aplicações.
FIGURA 3 – Arquitetura EPCglobal
FONTE: Adaptado de Atzori, Iera e Morabito (2017)
4 DNS (do inglês Domain Name System ou sistema de nomes) traduz endereços IP para nomes de
22
2.1.2.3 Arquitetura M2M
O Instituto Europeu de Normalização das Telecomunicações(do inglês The Euro-pean Telecommunication Standards Institute - ETSI) definiu um padrão de arquitetura para IoT com foco na comunicação de máquina para máquina (do inglês Machine to Machine - M2M) (ATZORI; IERA; MORABITO, 2017).
A arquitetura proposta é dividida em dois domínios, o domínio de dispositivo e gateway e o domínio de rede.
Segundo ETSI (2010), O domínio de dispositivo e gateway é composto por três elementos:
1. O dispositivo M2M: É o responsável por executar a aplicação M2M usando a camada de serviços e Capabilidades. O dispositivo pode se comunicar com o domínio de rede diretamente através da camada de acesso à rede ou por meio de um gateway. 2. A área de Rede M2M: É responsável pela conectividade entre os dispositivos e os
gateways.
3. Gateway M2M: Executa aplicações M2M usando a camada de serviços e capabili-dades, o gateway age como um proxy entre o dispositivo e o domínio de rede.
Ainda segundo ETSI (2010), o domínio de rede é composto pelas seguintes camadas:
1. A camada de acesso à rede: Como o nome já diz permite que dispositivos e gateways se comuniquem com o núcleo da rede.
2. Camada do Núcleo da Rede: Fornece conectividade IP, fornece funções de controle de serviços, funções de controle de rede e interconexão com outras redes.
3. Camada de Capabilidades: Fornece funções que devem ser compartilhadas por apli-cações diferentes, evidência funções através de um conjunto de interfaces abertas, usa as funcionalidades do núcleo de rede e simplifica e otimiza o desenvolvimento de aplicações escondendo especificações de rede.
4. Aplicações: Executam a lógica de serviço e usam a camada de capabilidades por meio de uma das interfaces abertas.
5. Camada de funções de gerenciamento de rede: São todas as funções necessárias para gerenciar acessos e gerenciar o núcleo da rede.
6. Camada de funções de gerenciamento M2M: Onde estão todas as funções necessárias para gerenciar a camada de capabilidades no domínio de rede.
23
FIGURA 4 – Arquitetura M2M de acordo com ETSI
FONTE: Adaptado de Atzori, Iera e Morabito (2017)
2.1.2.4 Integração De RFID Com WSN
Sung, Lopez e Kim (2007) apresentam uma arquitetura para IoT baseado na ar-quitetura da EPCglobal. Nessa proposta, além das tags e leitores RFID é integrado uma rede de sensores sem fio, que consiste em um grande número de sensores com capacidade de captura de informação, processamento e comunicação. Além dos sensores, segundo Michalik (2013), a rede de sensores também possui uma estação base, que tem poder computacional muito maior que os sensores, e a principal função é recolher os dados coletados pelos sensores, além de visualizar e analisar os dados.
A integração de WSN e RFID é feita considerando WSN e RFID elementos idên-ticos da borda da arquitetura que apenas produzem dados para o resto da infraestrutura. A rede assume que cada tag RFID e cada sensor carregam um único EPC, então os dados podem ser abstraídos. Os dados são transferidos para o habilitador de Links de aplicações (ALE, do inglês Application Link Enabling) middleware que reduz o volume de dados, filtrando e agrupando a informação colhida dos sensores e das tags RFID.
2.1.2.5 Arquitetura baseada em Web of Things
Dominique (2011) propôs uma arquitetura baseada em Web of Things que visa integrar o mundo real a web.Essa arquitetura possui quatro camadas como é mostrado na Figura 6.
24
FIGURA 5 – Integração WSN e RFID
FONTE: Adaptado de Sung, Lopez e Kim (2007)
FIGURA 6 – As quatro camadas da Web of Things
FONTE: Adaptado de Guinard (2011)
objetos conectados e fazer com que esses objetos sejam integrados à Web.
A Camada Habilidade de Busca é responsável por permitir que pessoas e aplicações encontrem os serviços fornecidos por objetos inteligentes na Web.
A Camada Compartilhamento é responsável por controlar o acesso aos recursos dos objetos conectados a Web of Things.
A Camada Composição é a camada mais próxima aos desenvolvedores e aos usuá-rios finais, é a camada que permite o desenvolvimento de aplicações para os objetos inteligentes.
25
2.1.2.6 Arquitetura baseada em nuvem
Pela natureza dos dispositivos IoT, houve a necessidade de migrar os dispositivos para a nuvem. Sensores sem fio possuem um limite baixo de energia e, por isso, geralmente os dispositivos trabalham em períodos, ficam ligados por um tempo e pela necessidade de economia de energia, são desligados. Dispositivos RFID também ficam a maioria do tempo longe do leitor, ou seja, a maioria do tempo os dispositivos IoT ficam inacessíveis, o que é um problema, porque as aplicações IoT geralmente precisam estar sempre acessíveis (ATZORI; IERA; MORABITO, 2017).
Visando resolver o problema da inacessibilidade dos dispositivos IoT foi proposta por Distefano, Merlino e Puliafito (2012) uma arquitetura baseada em nuvem, chamada de nuvem das coisas, que tem como desafio virtualizar e abstrair os dispositivos IoT para facilitar o desenvolvimento de aplicações.
FIGURA 7 – Arquitetura cloud of things
FONTE: Adaptado de Atzori, Iera e Morabito (2017)
A arquitetura possui quatro camadas:
1. Intranode: É a primeira camada, o nível mais baixo, tem como função abstrair as funções dos dispositivos através da virtualização dos mesmos.
2. IntrCloud/InterNode: É a camada que cuida da comunicação entre nós em uma mesma nuvem.
26
3. InterCloud - Plataforma como serviço(PaaS, do inglês Platform as a Service): É responsável pela comunicação entre dispositivos pertencentes a nuvens diferentes. 4. Software como serviço(SaaS, do inglês Software as a service) - IoT: Camada em
que são executadas instâncias de softwares IoT usados por aplicações diferentes (ATZORI; IERA; MORABITO, 2017).
2.2 SEGURANÇA DE REDE
Segundo o instituto SANS INSTITUTE (S/N)5segurança de rede pode ser definida como as políticas de prevenção tomadas para proteger a rede de: utilização imprópria, acesso não autorizado, modificações não autorizadas, entre outros tipos de ameaças. O objetivo é criar uma plataforma em que computadores, usuários e programas executem suas funções de forma segura.
Os problemas de segurança na IoT e nas redes convencionais são similares.Entretanto, é necessário uma abordagem diferente para manter a IoT segura, deve ser considerado que dispositivos IoT tem pouco poder de processamento, diferente dos dispositivos encontra-dos em redes tradicionais, portanto métoencontra-dos como criptografia são impraticáveis (ALABA et al., 2017).
2.2.1 Problemas de Segurança de rede em IoT
1. Desativação de Tags: Existem certos aparelhos chamados RFID-Zapper que podem danificar tags RFID.Esses equipamentos são capazes de gerar um campo eletromag-nético com uma bobina que se for colocada próxima a uma tag RFID envia um forte descarga elétrica, o que irá causar dano no capacitor da tag e isso causará a desativação do chip permanentemente (SCHNEIER, 2006).
2. Eavesdropping: Segundo o guia de segurança da RedHat 6,eavesdropping è a coleta
de dados que trafegam entre dois dispositivos, ataque acontece geralmente com protocolos de transmissão como telnet, FTP e HTTP (MOORE, 2005).
3. Replay Attack : Acontece quando um invasor faz cópias de mensagens trocadas entre dois dispositivos e envia essas mensagens para os dispositivos novamente.Isso pode fazer com que os dispositivos aceitem as mensagens como legítimas e pode causar problemas com dados redundantes (MICROSOFT, 2017).
4. Spoofing: Segundo o guia de segurança da RedHat spoofing ocorre quando uma máquina age como se fosse um módulo da rede local e procura vulnerabilidades nos
5 Instituto de segurança de rede Norte-americano
27
dispositivos da rede. Se a máquina encontra alguma vulnerabilidade, um programa é instalado para obter o controle dos recursos de rede (MOORE, 2005).
5. Bluesnarfing: É uma vulnerabilidade de dispositivos bluetooth que permite acesso a partes restritas do dispositivo(HERFURT, 2004).
6. Bluejacking: É a prática de usar dispositivos com bluetooth para enviar mensagens não solicitadas a outro dispositivos bluetooth em um raio de 10 metros(THOM-SANTELLI; AINSLIE; GAY, 2007).
7. Bluebugging: É uma forma de ataque aos dispositivos bluetooth que permite que o usuário acesse o dispositivo da vítima e realize qualquer tipo de atividade (SATHYAN; SADASIVAN, 2010).
8. Ataque distribuído de negação de serviço(DDoS): Um ataque de negação de serviço transforma múltiplos sistemas, através da internet, em agentes/zombies (SAIED; OVERILL; RADZIK, 2016). O objetivo desses agentes é negar o serviço fornecido pela máquina alvo transmitindo uma grande quantidade de pacotes redundantes tornando a máquina inacessível para os clientes reais(BEHAL; KUMAR, 2017).
2.3 PLATAFORMAS DE PROTOTIPAÇÂO
Plataformas de prototipação são hardwares de baixo custo que permitem que o usuário final faça adições de hardware de acordo com suas necessidades específicas. Exis-tem vários exemplos de plataformas de prototipação que permiExis-tem que o usuário final faça a programação e utilizando hardware de baixo custo e software aberto é possível criar soluções para uma grande variedades de problemas (MAKSIMOVIĆ et al., 2014a).
A seguir são listadas algumas plataformas de prototipação:
1. Arduino: é uma plataforma de hardware open-source capaz de transformar dados de entrada recebidos em dados de saída através da programação do microcontrolador da placa (ARDUINO, 2017);
2. BeagleBone Black: é um pequena plataforma de hardware aberto e software abertos que pode ser usada para várias tarefas realizadas por um desktop (BEAGLEBONE, 2017).
3. Intel Edison: é uma plataforma desenvolvida para rapidamente produzir e prototipar produtos relacionados a IoT e produtos de informática portáteis (INTEL, 2017); 4. Phidgets: é uma plataforma de prototipagem com objetivo de facilitar o uso de
28
TABELA 1 – Comparação de software entre plataformas de prototipação
Plataforma Sistema Operacional Linguagens de Programação
Raspberry Pi
Raspbian, Ubuntu, Android, ArchLinux, FreeBSD, Fedora, RISC OS
C, C++, Java,Phyton.
Arduino Arduino
BeagleBone Black Linux Angstrom,]
Debian,Android,Ubuntu. Arduino
Intel Edison Yocto Linux Arduino,C, C++,Python.
Phidge Linux
Visual Basic, VB.NET,C#, C/C++, Flash/Flex, Java, Labview, Matlab, ActionScript 3.0, Cocoa
Udoo Ubuntu,Android,
Linux,ArchLinux Arduino, C, C++, Java
FONTE: Adaptado de Maksimović et al. (2014a)
5. Raspberry Pi: é um mini computador, de baixo custo, desenvolvido pela Fundação Raspberry pi (FOUNDATION, )
6. Undoo: é um mini computador ideal, para prototipação de projetos, baseados na tecnologia ARM1 e projetos com LINUX (SECO, 2016).
Baseando-se apenas em performance, a melhor plataforma de prototipação é a Udoo, entretanto o preço é alto. O raspberry Pi é um mini computador barato, mas útil.Possui um grande número de periféricos de entrada/saída e comunicação de rede, é a plataforma perfeita para conectar com vários dispositivos diferentes e para ser usado em diversas aplicações (MAKSIMOVIĆ et al., 2014a).
As Tabelas 1,2 e 3 fazem uma comparação entre as plataformas de prototipação segundo Maksimović et al. (2014a) e os sites oficiais das plataformas.
2.4 SERVIDOR PROXY
Um servidor proxy é um sistema de computador que fica entre um cliente, que faz pedidos de dados, e um outro sistema de computador que fornece os dados. Basicamente, um servidor proxy é um agente que possui uma lista de regras a qual utiliza para monitorar a comunicação entre o cliente e o servidor de dados, permitindo ou negando o acesso à informação (SAINI, 2011).
2.4.1 Tipos de Proxy
Abaixo estão listados os tipos de proxy disponíveis:
29
TABELA 2 – Comparação de hardware entre plataformas de prototipação
Plataforma Processador Memória RAM PortasUSB
Raspberry Pi 1.2GHz 64-bit quad-core
ARM Cortex-A53 CPU 1 GB 4
Arduino ATMEGA8, ATMEGA168,
ATMEGA328, ATMEGA1280 16-32 KB 1
BeagleBone Black AM335x 1GHz ARM○R
Cortex-A8 512MB 1
Intel Edison Intel Atom SoC e Intel Quark 1 GB 1
Phidge Phidget SBC 64 MB 6
Udoo
Freescale i.MX6Quad,4 x ARM○R
CortexTM-A9 coreAtmel SAM3X8E
ARM Cortex-M3 CPU
1 GB 5
FONTE: Adaptado de Maksimović et al. (2014a)
TABELA 3 – Comparação de preço entre plataformas de prototipação
Plataforma Preço Raspberry Pi $25-35 Arduino $30 BeagleBone Black $45 Intel Edison $52.89 Phidge $50-200 Udoo $99-135
FONTE: Adaptado de Maksimović et al. (2014a)
Forward proxy: Recebem solicitações de uma intranet e as envia para a internet. Entretanto, Forward proxy não são usados para entrega de aplicações, são usados para filtrar as conexões dos clientes para impedir que visitem websites que não são confiáveis (ELLROD, 2010).
Proxy Open: Um proxy open envia solicitações de qualquer lugar da internet para qualquer lugar da internet +(PROMILA, 2012).
Proxy Reverso: proxy reverso é um sistema que impede que os clientes acessem os servidores web diretamente. As solicitações dos clientes devem ser encaminhadas para o proxy reverso primeiro, que irá analisar as mensagens e somente aceitar as mensa-gens seguras e eliminando as que podem danificar o servidor (RANDHE; CHOUGULE; MUKHOPADHYAY, 2013).
2.4.2 Variação de Proxy
Os proxys podem possuir as seguintes características:
Proxy Transparente: é a variação de proxy mais utilizado, o proxy intercepta todas as consultas na camada de rede e aplica as políticas definidas, independente das configura-ções do browser. É chamado de proxy transparente porque o cliente não tem conhecimento
30
da intercepção das consultas (BAIG, 2016).
Proxy Anônimo: permite que usuários naveguem na internet enquanto mantém o endereço IP anônimo ou escondido, geralmente é usado por universidades e grandes organizações. Esse proxy fica entre o cliente e o endereço de destino e faz as solicitações para o endereço de destino, em nome do cliente, mantendo o endereço IP do cliente escondido (SMITH, 2013).
Proxy com autenticação: é um proxy que tem uma camada a mais de segurança que exige autenticação no proxy, esse recurso é utilizado para controlar quem tem acesso aos destinos permitidos pelo proxy (MORIMOTO, 2006).
2.4.3 Propriedades de Proxy
Segundo Shapiro (1986) algumas das propriedades mais importantes dos proxies são:
1. Encapsulamento: O serviço é acessado apenas através do proxy. 2. Localidade: Todos os acessos são atendidos localmente pelo proxy. 3. Protocolo de acesso: O proxy reforça restrições por clientes.
4. Capacidade: O proxy controla o acesso, testa a validade de argumentos e a permissão de executar certas operações.
5. Comunicação Confiável: Todas as comunicações do serviço ocorre com um disposi-tivo de confiança.
6. Encapsulamento de Protocolo: O protocolo entre o cliente e o serviço é totalmente encapsulado .
2.4.4 Aplicações para Proxies
Proxies podem ser utilizados para melhorar o desempenho de rede, para diminuir o consumo da largura de banda da rede ficando entre o cliente e o servidor, agindo como um cache diminuindo a carga de solicitações feitas ao servidor (KAISER; TSUI; LIU, 2002).
Proxies podem ainda ser utilizados como filtro, selecionando as solicitações dos clientes impedindo o acesso de certos sites (PROMILA, 2012).
Proxies também são utilizados em segurança de rede, para controlar a conexão com aplicações, fazendo com que nenhum pacote chegue até o back-end7 sem passar pela inspeção e validação do proxy (BARRACUDANETWORKS, 2017).
31
2.5 SISTEMA DE DETECÇÃO DE INTRUSÃO
Detecção de intrusão é identificar quando houve a tentativa de acessar, sem auto-rização uma rede com o objetivo de comprometer ou prejudicar os dispositivos que estão nessa rede. Um sistema de detecção de intrusão(IDS, do inglês Intrusion detection system) monitora o tráfego da rede e as atividades do host, com o objetivo de detectar compor-tamentos estranhos na rede e, se for o caso, de uma intrusão. O sistema toma decisões automáticas como emitir alarmes, desativar links de internet ou identificar os atacantes e coletar evidências das atividades (CASWELL; BEALE, 2004).
Segundo Scarfone e Mell (2007) os sistemas detecção e prevenção de intrusão (IDPS, do inglês Intrusion detection and prevention systems) podem ser divididos em quatro grupos: o grupo dos sistemas baseados em rede, que monitoram o tráfego de rede para identificar atividades suspeitas. Os IDS do grupo Wireless, que são feitos para moni-torar e analisar protocolos Wireless procurando atividades suspeitas nos protocolos. Esse tipo de IDS não consegue identificar atividades suspeitas de protocolos de camadas de nível mais alto. Os IDS podem ser do grupo de análise de Comportamento de Rede (do inglês Network Behavior Analysis - NBA), que são tecnologias que examinam o tráfego da rede em busca de ameaças, que geram fluxo de tráfego incomum como ataques DDoS por exemplo. IDS baseados em host, que monitoram o comportamento em um único host pro-curando atividades suspeitas. São geralmente utilizadas em hosts críticos como servidores que possuem informações importantes.
Segundo o guia de segurança da Moore (2005) para que uma ferramenta seja considerada um IDS é preciso que analise pacotes, aponte transmissões de pacotes poten-cialmente maléficas e armazene essas transmissões em um registro formatado, por isso a ferramenta tcpdump8 não é considerada um IDS, pois ela não analisa e aponta anomalias
nos pacotes.
Segundo Keegan et al. (2016) os métodos de detecção dos IDS geralmente são divididos entre: Baseado em assinatura: Esse tipo de método guarda em um banco de dados os ataques ocorridos anteriormente e vulnerabilidades conhecidas do sistema para identificar ataques. O Método baseado em assinatura é limitado em identificar ataques desconhecidos, ou seja, que não estão registrados no banco de dados. Para tentar reduzir essa limitação são feitas atualizações constantes do banco de dados.
Método baseado em anomalias: Esse tipo de IDS detecta ataques comparando a rede no seu estado normal com seu estado de ataque, nesse tipo de método é feito um treinamento de um sistema para estabelecer um perfil de rede e esse perfil de rede é utilizado como parâmetro para comparar com o estado da rede durante ataques.
Método baseado em comportamento : Esse método detecta ataques comparando
32
a rede no seu estado normal com a rede no seu estado de ataque através de regras esta-belecidas por um administrador de rede.
Os dois métodos são semelhantes, pois fazem uma análise da rede no seu estado normal e utilizam essa analise para identificar quando ocorre um ataque.
33
3 MATERIAIS E MÉTODOS
Após os fundamentos teóricos, neste capítulo são definidas as ferramentas, tecno-logias e os métodos necessários para o desenvolvimento da pesquisa.
3.1 Ferramentas e tecnologias utilizadas
Nesta seção são apresentadas as ferramentas e tecnologias utilizadas. O hardware utilizado foi o raspberry pi que é um minicomputador desenvolvidos para protótipos e projetos relacionados com educação. O sistema operacional descrito abaixo é o raspbian que é o sistema operacional oficial do raspberry pi. Para o desenvolvimento são utiliza-dos a linguagem de programação python com o framework flask, que é utilizado para o desenvolvimento Web. São descritos também a biblioteca Sqlite que é a biblioteca que implementa o banco de dados com SQL encorporado, e o editor de texto VIM. Também é definido o software squid que é um proxy web que filtra requisições Web. E é apresentado o honeypot desenvolvido pelo MIT.
3.1.1 Raspberry pi
Segundo (MAKSIMOVIĆ et al., 2014b) raspberry pi, que pode ser observado na figura 8, é um computador pequeno e barato que foi desenvolvido com intuito de ser utilizado na educação. O raspberry pi opera da mesma forma que um computador, para ser utilizado necessita de um teclado, um display, mouse e uma fonte de energia.
Os raspberrys utilizados são do tipo 3 B e possuem a seguinte especificação:
1. Processador de 64-bit quad-core ARMv8 1.2GHz; 2. 802.11n Wireless LAN;
3. Bluetooth 4.1; 4. 1GB de RAM; 5. 1 porta HDMI; 6. 4 portas USB 2.0;
O raspberry pi é utilizado para a instalação e configuração do proxy de rede, na execução do honeypot desenvolvido pelo MIT e um raspberry pi também é utilizado como dispositivo IoT para executar a aplicação web.
34
FIGURA 8 – raspberry pi
FONTE: Raspberry Pi HQ (2017)
3.1.2 Raspbian
Raspbian um variante do sistema operacional debian para raspberry pi. Raspbian é o sistema operacional oficial da Fundação Raspberry pi.(FOUNDATION, )
Raspbian é o sistema operacional instalado no raspberry pi para a realização dos testes.
3.1.3 Python
Segundo Sanner et al. (1999) Python é uma linguagem de programação interpre-tada. Tem uma sintaxe simples mas, continua sendo uma linguagem de programação poderosa e de propósito geral.
Segundo Borges (2014) python possui várias estruturas de alto nível além de fra-meworks1 que podem ser adicionados a linguagem.
Python é utilizada para executar o honeypot desenvolvido pelo MIT e flask o framework utilizado para o desenvolvimento da página web também é escrito em python. 3.1.4 Flask
Flask é um framework web escrito em python que tem como objetivo manter o núcleo das aplicações desenvolvidas simples mas expansível.
Segundo Alemu et al. (2014) flask é um framwork simples em que é possível apren-der a utilizar o framework enquanto é feito o desenvolvimento da aplicação. Flask também é muito bem documentado e é open-source. Pela simplicidade, pelo fato se ser open sour-cee, e a facilidade de aprendizado, o framework flask é utilizado s para desenvolver a página Web para simular a página de login de um dispositivo IoT.
35
3.1.5 Sqlite
O sqlite é uma biblioteca que implementa um banco de dados com sql encorporado. O código para SQLlite é de domínio público e é gratuito para utilização para qualquer propósito.
Sqlite é utilizado para guardar as 61 senhas, que são as mesmas que foram utili-zadas pelo Malware MIRAI, que serão utiliutili-zadas pela aplicação.
3.1.6 VIM
Segundo VIM (2017), VIM é um editor de texto construído para tornar eficiente a criação e edição de texto.
A seguir algumas das características do VIM: 1. Com um sistema de pluggins extenso;
2. Suporta centenas de linguagens de programação e formato de arquivos; 3. Com poderosas ferramentas de busca e substituição;
4. Faz integração com várias ferramentas. 3.1.7 Squid
Segundo Smith e Robles (2013) proxy squid é um programa de computador que existe desde 1990. Squid possui diversas configurações que podem ser úteis como, por exemplo, configurações de filtragem, de monitoramento de tráfego de rede, configurações de controle de acesso e autenticação, e pode também ser utilizado como proxy reverso. O software squid fornece proteção para o cliente impedindo de acessar dados que podem ser prejudiciais e também protege a rede de intrusão usando uma lista de controle de acesso. O squid é o proxy utilizado na pesquisa, é instalado no raspberry pi e configurado para fazer a intermediação entre a aplicação desenvolvida em flask e a internet.
3.1.8 Honeypot
Segundo Kuwatly et al. (2004) honeypot é uma tecnologia capaz de emular serviços, sistemas operacionais e aplicações com o objetivo de capturar informações de invasores para queos métodos de ataques sejam estudados para evitar ataques futuros.
3.2 Método de pesquisa
O método utilizado para desenvolvimento da pesquisa foi o método cientifico que segundo Barros e Belicio (2014) é a ideia da experimentação como fonte de conhecimento.
36
Ainda segundo Barros e Belicio (2014) O método cientifico estabela-se as seguintes etapas:
1. Observação que levanta uma questão. 2. Formulação de perguntas.
3. Formulação das hipóteses, busca por possíveis respostas àque-la questão. 4. Experiência controlada, onde a hipótese é testada.
5. Análise das informações. 6. Conclusão.
3.2.1 Preparação do Ambiente de Teste 3.2.1.1 Fase 1:
No raspberry pi é instalado o sistema operacional raspbian que já tem na sua lista de pacotes os pacotes python e flask. Para o desenvolvimento do aplicativo é utilizado o editor de texto VIM que é a versão melhorada do editor VI que já vem incluso na maioria dos sistemas operacionais UNIX. É adicionado no banco de dados sqlite os 61 usuários e as 61 senhas que serão utilizados pela aplicação.
Na primeira fase dos testes o raspberry pi, executando a aplicação em flask conecta-se direto com a internet conecta-sem nenhum tipo de proteção.
A aplicação salva a quantidade de acessos a página, a quantidade de tentativas de ataque e a quantidade de ataques que seriam bem-sucedidos se fosse um dispositivo IoT comum.
3.2.1.2 Fase 2
Na segunda fase de testes foi utilizado o raspberry pi atuando como dispositivos IoT com as mesmas configurações realizadas na fase 1. Nesta fase além do dispositivo IoT, também é utilizado um raspberry pi com o software squid instalado para fazer a intermediação entre o dispositivo IoT e a internet.
Nesta fase de testes o dispositivo é conectado a internet através do proxy de rede para filtrar as requisições feitas. Tal como na fase um foram utilizados os mesmos arquivos para registrar as tentativas e sucessos de ataque.
O objetivo é quantificar os ataques sofridos durante determinado tempo para com-parar os números durante a primeira fase dos testes com os números de ataques da segunda fase, com o intuito de identificar se a utilização do proxy foi efetiva para mitigar os ataques sofridos pelo dispositivo IoT.
37
4 IMPLEMENTAÇÃO DAS TÉCNICAS
Neste capítulo será explicado, com mais detalhes, as técnicas utilizadas para chegar aos objetivos propostos.
4.1 APLICAÇÃO
A aplicação é um simulador de uma página de login de um dispositivo IoT. A aplicação possui um banco de dados com as 61 senhas do software MIRAI salvas.
No simulador são considerados tentativas de acesso a realização de login com usuá-rios e senhas diferentes das 61 encontradas no banco de dados.
São considerados acessos as autenticações feitas com usuários e senhas salvos no banco de dados da aplicação.
4.1.1 Levantamento de requisitos
Foram levantados os requisitos para a aplicação:
1. R2 - A aplicação deve permitir que o usuário faça a autenticação.
2. R1 - A aplicação deve salvar todos os endereços IP’s dos dispositivos que acessaram a página.
3. R2 - A aplicação deve salvar todos os endereços IPs dos dispositivos que tentaram fazer a autenticação com senhas incorretas;
4. R3 - A aplicação deve salvar todos os endereços IPs dos dispositivos que tentaram fazer a autenticação com senhas corretas;
4.1.2 Casos de Uso
Na Figura 9 é apresentado o caso de uso da aplicação. 4.1.2.1 Descrição do Ator
1. Ator 1: Pessoa ou dispositivo que acessará a página Web e fazer a autenticação.
Na tabela 4 está representado o caso de uso para quando um ator faz a autenticação na aplicação.
38
FIGURA 9 – Caso de uso da Aplicação
FONTE: Elaborado pela autora
TABELA 4 – Caso de Uso: Autenticação de usuário
Nome Autentificação de usuário
Sumário
O ator digita o usuário e a senha e a aplicação salva o endereço IP em um arquivo
Precondições
1 - O raspberry pi deve estar ligado,
conectado a Internet e a aplicação executando; 2 - O ator deve estar conectado a Internet.
Fluxo Principal
1. O ator digita o usuário e a senha.
A aplicação confere se o usuário e a senha são são validos, se são validos a aplicação salva o endereço IP do ator no arquivo acessou.txt.
Fluxo Alternativo
1. O ator digita o usuário e a senha.
A aplicação confere se o usuário e a senha são validos, se não são validos a aplicação salva o
endereço IP do ator no arquivo tentativasdeacesso.txt.
4.1.2.2 Fluxograma
Na Figura 10 encontra-se o fluxograma da aplicação.
A aplicação funciona da seguinte forma: quando um dispositivo acessa a página web, imediatamente o endereço IP do dispositivo é salvo no arquivo visitas, que mantém dados de todos que acessaram á página, mesmo se não fizerem nenhuma tentativa de login.
39
FIGURA 10 – Fluxograma da aplicação
FONTE: Elaborado pela autora
Se um dispositivo tentar logar na página com uma das senhas que estão salvas no banco de dados, o endereço IP do dispositivo é salvo no arquivo acessou.txt mas, a aplicação do ponto de vista do usuário não toma nenhuma ação, continua na página de login, como pode ser observado na Figura 11.
Se o usuário colocar uma senha que é diferente das que estão no banco de dados, o endereço IP do dispositivo é salvo no arquivo tentativasdeacesso.txt e uma mensagem de erro aparece na página Como pode ser observado na Figura 12.
4.2 Proxy Squid
4.2.1 Instalação do Proxy
Para a instalação do software squid no linux é necessário o seguinte comando: apt−g e t i n s t a l l s q u i d
40
FIGURA 11 – Página de Login
FONTE: Elaborado pela autora
FIGURA 12 – Página de login com mensagem de erro
FONTE: Elaborado pela autora
4.2.2 CONFIGURAÇÃO DO PROXY
O proxy squid fornece configurações de regras de acesso de acordo com a necessi-dade do administrador de rede. Segundo Jeffries (2010), as configurações para um proxy reverso são as configurações na Figura 10 que foram as configurações testadas para a proteção do dispositivo IoT.
O arquivo de configuração do squid no linux geralmente fica no caminho: \ e t c \ s q u i d \ s q u i d . c o n f
FIGURA 13 – Configuração do proxy de rede
FONTE: Elaborado pela autora
Na linha 1 a palavra acl informa ao squid que é uma lista de controle de acesso, bad_requests é o nome da lista e url_regex informa o proxy que é uma lista de urls.
41
Na linha 2 está o endereço IP do proxy e o endereço IP do raspberry pi com a página web.
A linha 3 dá o nome allowed a seguinte faixa de endereços IP: 179.106.233.1-179.106.233.254.
Na linha 4, http_acess allow allowed permite acesso à página web pela faixa de endereços IP especificadas com o nome allowed.
Na linha 5, http_acess allow hosted permite que o proxy acesse o dispositivo com a página web.
Na linha 6, http_acess deny bad_requests nega acesso as urls especificadas acima.
Na linha 7, http_acess deny all nega todos acessos menos para exceções especi-ficadas nas linhas acima.
Na linha 8, http_acess 80 accel específica a porta em que o proxy vai esperar por solicitações.
Na linha 9, cache_peer informa ao proxy onde buscar respostas as solicitações que recebe na porta 80 para quem tiver permissão de acesso.
42
5 ANÁLISE DOS RESULTADOS
Neste capítulo são apresentados os resultados dos testes realizados e os problemas enfrentados.
5.1 Testes sem o proxy
Do dia 6 de outubro até o dia 9 de outubro o raspberry pi foi conectado direto com a Internet para testes. A página do formulário foi acessada 47 vezes e um dispositivo tentou fazer login na página, acertando uma das senhas três vezes como é possível observar na Figura 11.
FIGURA 14 – Arquivo acessou.txt
FONTE: Elaborado pela autora
Do dia 13 de Outubro ao dia 26 de Outubro, o raspberry pi foi deixado novamente exposto na rede, mas não ocorreram ataques via formulário. Ocorreram outros tipos de tentativas de ataque como, por exemplo, GET1 /system.ini?loginuseloginpas HTTP/1.1
que segundo Kim (2017), são métodos que aparecem em tentativas de ataque de câmeras de segurança conectadas a Internet e GET /board.cgi?cmd=cat20/etc/passwd HTTP/1.1 que segundo a base de dados de explorações são tentativas de acessos a arquivos de Web Servers (EXPLOITDATABASE, 2016).
Não houve ataques via formulário no raspberry pi, a maioria dos ataques explo-raram vulnerabilidades específicas de certos dispositivos e Web Servers. O raspberry pi, aparentemente, não foi visto pelos atacantes como um dispositivo IoT.
Como houve dificuldade em fazer os testes devido a falta de interesse em explorar o raspberry pi, o código da Aplicação foi modificado.O template html da aplicação foi substituído pelo template html de um modem de internet, para tentar atrair ataques, já que um modem de internet é um dispositivo mais comum de ser encontrado online. Entretanto, não houve sucesso, mesmo depois das modificações o raspberry pi não sofreu ataques.
43
5.2 Testes com o proxy
Do dia 06 de novembro até o dia 10 de novembro, o raspberry pi com a página web foi deixado conectado à rede através do proxy squid, configurado como foi explicado na Seção 4.2.
Ocorreram 138 tentativas de acesso ao dispositivo mas a maioria do acesso foi negado como pode ser observado na Figura 13.
Somente nas últimas linhas o acesso foi concedido onde o endereço IP fazia parte dos endereços permitidos nas regras do proxy.
FIGURA 15 – Log do proxy
FONTE: Elaborado pela autora
5.3 Testes com o hooneypot
Como não houve uma quantidade significativa de ataques na porta 80 foram rea-lizados testes com um honeypot desenvolvido pelo MIT.
Como pode ser observado na Figura 14 no dia 9 de novembro de 2017, em apenas 5 horas, ocorreram 155 tentativas de ataques e no dia 10 de novembro de 2017, em 4 horas de testes, ocorreram 123 ataques na porta 23.
O proxy squid não seria viável para conter ataques via porta 23, porque consegue filtrar requisições apenas no formato HTTP.
FIGURA 16 – Log do honeypot
44
6 CONCLUSÕES E SUGESTÕES PARA FUTUROS TRABALHOS
O objetivo do trabalho foi analisar a viabilidade do raspberry pi como proxy de rede para incremento na segurança de dispositivos IoT. Para alcançar o objetivo final foi necessário entender o que é Internet das Coisas, estudar as diversas arquiteturas desde a geral até as mais específicas. Também foram estudadas diversas plataformas de pro-totipação, e comparando-as utilizando parâmetros como sistemas operacionais, poder de processamento, preço, entre outras características, chegou-se à conclusão que o raspberry pi era a opção mais adequada por ter melhor custo-benefício, conforme demonstrado nas tabelas de 1 à 3, para ser utilizada como proxy de rede neste trabalho. Desta forma, optou-se por utilizar dois dispositivos raspberry pi, um atuando como proxy de rede que teve a função de filtrar requisições maliciosas e outro simulando um dispositivo IoT vulnerável. Os testes realizados com o raspberry pi sem a configuração do proxy de rede, ou seja, simulando um dispositivo sem proteção, não foram satisfatórios. O raspberry pi ficou conectado diretamente à Internet por 17 dias, e nesse período sofreu apenas um ataque via formulário o que não foi suficiente para fazer uma comparação com a utilização do proxy.
Mesmo com os testes realizado com o raspberry pi conectado diretamente a Internet não sendo satisfatórios, ainda assim foram realizados testes com o raspberry pi atuando como proxy e com isso observou-se que é possível filtrar requisições feitas a dispositivos IoT conectados a porta 80 através de listas de acessos de endereços IP’s e bloqueio de URL, desde que sejam previamente mapeadas.
Durante os testes com o raspberry pi atuando como proxy de rede, também não ocorreram ataques ao raspbery pi que atuava como dispositivo IoT. Como em ambos os testes não houveram dados o suficiente para uma comparação de cenários, não foi possível validar a utilização do daquele dispositivo como proxy de rede.Desta forma não é possível se afirmar que o mesmo é uma solução viável para os problemas de segurança envolvendo os dispositivos IoT em um cenário real utilizando a porta 80.
Nas bibliografias pesquisadas não foram encontradas razões aparentes para o baixo interesse em ataques na porta 80. Entretanto, uma hipótese pôde ser levantada: que o raspberry pi atuando como dispositivo IoT não emulou adequadamente o comportamento de um dispositivo real, fazendo com que os atacantes não o identificassem como um dispositivo vulnerável ou mesmo como um dispositivo conhecido. Com base nesta hipótese recomenda-se que seja aprofundado a pesquisa sobre as razões da falta de interesse nesta porta e como torná-la atrativa.
45
o escopo da pesquisa, optou-se por realizar testes com porta 23 com único intuito de investigar o interesse de ataque nessa porta, pois ao longo do referencial bibliográfico observou-se que essa era uma porta atrativa aos atacantes. Para os testes com a referida porta, foram realizadas duas etapas de testes utilizando o honeypot desenvolvido pelo MIT. Na primeira etapa o honeypot ficou exposto a internet durante cinco horas e recebeu 155 tentativas de ataque. Já na segunda etapa, em quatro horas de exposição ocorreram 123 tentativas de ataques. Com isso, os testes realizados demonstraram que realmente a porta 23 é constantemente alvo de tentativas de ataque.
A partir desta observação, recomenda-se também, como trabalhos futuros um apro-fundamento do interesse da porta 23, bem como a análise de alternativas viáveis de miti-gação de ataques nessa porta.
46
REFERÊNCIAS
AGUIRRE, J. I. EPCglobal: a universal standard. Tese (Doutorado) — Massachu-setts Institute of Technology, 2007.
ALABA, F. A. et al. Internet of things security: A survey. Journal of Network and Computer Applications, Elsevier, 2017.
ALEMU, M. B. et al. Rest api: Implementation with flask-python. Lapin ammattikorke-akoulu, 2014.
ANSTEE et al. WORLDWIDE INFRASTRUCTURE SECURITY
RE-PORT. 2017. Acesso em: 09 de março de 2017. Disponível em: <https: //pages.arbornetworks.com/rs/082-KNA-087/images/12th_Worldwide_Infrastructure_ Security_Report.pdf>.
ARDUINO. What is Arduino? 2017. Acesso em: 06 de maio de 2017. Disponível em: <https://www.arduino.cc/en/Guide/Introduction>.
ATZORI, L.; IERA, A.; MORABITO, G. Understanding the internet of things: definition, potentials, and societal role of a fast evolving paradigm. Ad Hoc Networks, Elsevier, v. 56, p. 122–140, 2017.
BAIG, A. Ipv6 campus network deployment guidelines for dns, web server, proxy server and wi-fi. In: IEEE. Telecommunication Networks and Applications Conference (ITNAC), 2016 26th International. [S.l.], 2016. p. 237–242.
BARRACUDANETWORKS. Benefits of Proxy Based Web Application Firewalls. 2017. Acesso em: 18 de jun. 2017. Disponível em: <https://assets.barracuda.com/assets/ docs/White_Papers/BarracBarracuda_Web_Application_Firewall_WP_Benefits_ of_Proxy_Based_WAFS.pdf>.
BARROS, L. M.; BELICIO, A. S. Física Teórica Exprimental I. [S.l.]: Estácio, 2014. BEAGLEBONE. Benefits of Proxy Based Web Application Firewalls. 2017. Acesso em: 06 de maio 2017. Disponível em: <http://beagleboard.org/black>.
BEHAL, S.; KUMAR, K. Detection of ddos attacks and flash events using novel informa-tion theory metrics. Computer Networks, Elsevier, v. 116, p. 96–110, 2017.
BORGES, L. E. Python para Desenvolvedores: Aborda Python 3.3. [S.l.]: Novatec Editora, 2014.
BUYYA, R.; DASTJERDI, A. V. Internet of Things: Principles and paradigms. [S.l.]: Elsevier, 2016.
CASWELL, B.; BEALE, J. Snort 2.1 intrusion detection. [S.l.]: Syngress, 2004. DÍAZ-ZAYAS, A. et al. 3gpp standards to deliver lte connectivity for iot. In: IEEE. Internet-of-Things Design and Implementation (IoTDI), 2016 IEEE First In-ternational Conference on. [S.l.], 2016. p. 283–288.
47
DOMINIQUE, G. A web of things application architecture-integrating the real-world into the web. Zurich, Diss. ETH, n. 19891, p. 10–12, 2011.
ELLROD. reverse-vs-forward-proxy. 2010. Acesso em: 18 de junho de 2017. Disponível em: <https://www.citrix.com/blogs/2010/10/04/reverse-vs-forward-proxy/>.
EPOSS. Internet of Things in 2020 A ROADMAP FOR THE
FU-TURE. 2008. Acesso em: 10 de maio de 2017. Disponível em: <http://www. smart-systems-integration.org/public/documents/publications/Internet-of-Things_ in_2020_EC-EPoSS_Workshop_Report_2008_v3.pdf>.
ETSI. machine-to-machine communications (M2M): Functional architecture. 2010. Acesso em: 09 de abril de 2017. Disponível em: <http://www.etsi.org/deliver/etsi_ ts/102600_1026/102690/01.01_60/ts_102690v010101p.pdf>.
EXPLOITDATABASE. ZYCOO IP Phone System - Remote Command Execu-tion. 2016. Acesso em: 05 de outubro de 2017. Disponível em: <https://www.exploit-db. com/exploits/40269/>.
FOUNDATION, R. P. ABOUT US. Acesso em: 06 de maio de 2017. Disponível em: <https://www.raspberrypi.org/about/>.
GUBBI, J. et al. Internet of things (iot): A vision, architectural elements, and future directions. Future generation computer systems, Elsevier, v. 29, n. 7, p. 1645–1660, 2013.
GUINARD, D. A web of things application architecture. 2011. HERFURT, D.-I. F. M. Bluesnarfing@ cebit 2004. 2004.
INTEL. Módulo de computação Intel Edison. 2017. Acesso em: 06 de maio de 2017. Disponível em: <https://software.intel.com/pt-br/iot/hardware/edison>.
JEFFRIES, A. Becoming a smarter Manufactures. 2010. Acesso em: 28 de outubro de 2017. Disponível em: <https://wiki.squid-cache.org/SquidFaq/ReverseProxy>. KAISER, M. J.; TSUI, K. C.; LIU, J. Self-organized autonomous web proxies. In: ACM. Proceedings of the first international joint conference on Autonomous agents and multiagent systems: part 3. [S.l.], 2002. p. 1397–1404.
KEEGAN, N. et al. A survey of cloud-based network intrusion detection analysis. Human-centric Computing and Information Sciences, Springer Berlin Heidelberg, v. 6, n. 1, p. 19, 2016.
KHAN, R. et al. Future internet: the internet of things architecture, possible applications and key challenges. In: IEEE. Frontiers of Information Technology (FIT), 2012 10th International Conference on. [S.l.], 2012. p. 257–260.
KHANDELWAL. Massive DDoS Attack Against Dyn DNS Service Knocks Popular Sites Offline. 2017. Disponível em: <http://thehackernews.com/2016/10/ dyn-dns-ddos.html>.
KIM, P. IT Security Research. 2017. Acesso em: 05 de outubro de 2017. Disponível em: <https://pierrekim.github.io/blog/2017-03-08-camera-goahead-0day.html>.
48
KRANENBURG, R. V. et al. The internet of things. In: 1st Berlin Symposium on Internet and society. [S.l.: s.n.], 2011. p. 25–27.
KUWATLY, I. et al. A dynamic honeypot design for intrusion detection. In: IEEE. Per-vasive Services, 2004. ICPS 2004. IEEE/ACS International Conference on. [S.l.], 2004. p. 95–104.
LIN, F. J.; REN, Y.; CERRITOS, E. A feasibility study on developing iot/m2m ap-plications over etsi m2m architecture. In: IEEE. Parallel and Distributed Systems (ICPADS), 2013 International Conference on. [S.l.], 2013. p. 558–563.
MAKSIMOVIĆ, M. et al. Raspberry pi as internet of things hardware: performances and constraints. design issues, v. 3, p. 8, 2014.
MAKSIMOVIĆ, M. et al. Raspberry pi as internet of things hardware: performances and constraints. design issues, v. 3, p. 8, 2014.
MANETI, P. Becoming a smarter Manufactures. 2016. Acesso em: 09 de abril de 2017. Disponível em: <http://www.scmworld.com/wp-content/uploads/2016/11/ Becoming-a-Smarter-Manufacturer.pdf>.
MICHALIK, M. Base station for Wireless sensor network. Tese (Doutorado) — Masarykova univerzita, Fakulta informatiky, 2013.
MICROSOFT. Replay Attacks. 2017. Acesso em: 06 de maio de 2016. Disponível em: <https://msdn.microsoft.com/en-us/aa738652(v=vs.110).aspx>.
MOORE, H. Red Hat Enterprise Linux 4 Guia de Segurança. 2005. Acesso em: 18 de junho de 2017. Disponível em: <http://web.mit.edu/rhel-doc/4/RH-DOCS/pdf/ rhel-sg-pt_br.pdf>.
MORIMOTO, C. E. Rede e servidores linux: guia prático. [S.l.]: Sul Editores, 2006. PHIDGETS. Products for USB Sensing and Control. 2016. Acesso em: 06 de maio de 2017. Disponível em: <http://www.phidgets.com/>.
PROMILA, C. WI-FI Security by using Proxy server. 2012. Acesso em: 18 de jun. 2017. Disponível em: <http://www.ijceronline.com/papers/Vol2_issue5/ AN02514081412.pdf>.
RANDHE, V. S.; CHOUGULE, A. B.; MUKHOPADHYAY, D. Reverse proxy framework using sanitization technique for intrusion prevention in database. IET, 2013.
Raspberry Pi HQ. Introducing the Raspberry Pi 3 from the Raspberry Pi Foundation. 2017. Acesso em: 21 de novembro de 2017. Disponível em: <https: //raspberrypihq.com/introducing-the-raspberry-pi-3-from-the-raspberry-foundation/). aspx>.
RAY, P. A survey on internet of things architectures. Journal of King Saud University-Computer and Information Sciences, Elsevier, 2016.
SAIED, A.; OVERILL, R. E.; RADZIK, T. Detection of known and unknown ddos attacks using artificial neural networks. Neurocomputing, Elsevier, v. 172, p. 385–393, 2016.
49
SAINI, K. Squid Proxy Server 3.1: Beginner’s Guide. [S.l.]: Packt Publishing Ltd, 2011.
SANNER, M. F. et al. Python: a programming language for software integration and development. J Mol Graph Model, v. 17, n. 1, p. 57–61, 1999.
SANS INSTITUTE. Network-security. S/N. Acesso em: 18 de junho de 2017. Disponível em: <https://www.sans.org/network-security/>.
SATHYAN, J.; SADASIVAN, M. Multi-layered collaborative approach to address en-terprise mobile security challenges. In: IEEE. Collaborative Security Technologies (CoSec), 2010 IEEE 2nd Workshop on. [S.l.], 2010. p. 1–6.
SCARFONE, K.; MELL, P. Guide to intrusion detection and prevention systems (idps). NIST special publication, v. 800, n. 2007, p. 94, 2007.
SCHNEIER, B. RFID Zapper. 2006. Acesso em: 06 de abril de 2017. Disponível em: <https://www.schneier.com/blog/archives/2006/01/rfid_zapper.html>.
SECO. ALL-IN-ONE EMBEDDED SYSTEM SOLUTION. 2016. Acesso em: 10 de maio de 2017. Disponível em: <https://www.udoo.org/>.
SHAPIRO, M. Structure and encapsulation in distributed systems: the proxy principle. In: Int. Conf. on Distr. Comp. Sys.(ICDCS). [S.l.: s.n.], 1986. p. 198–204.
SMITH, E.; ROBLES, J. Proxy Servers Building and Deploying System Im-provement and Protection. 2013. Acesso em : 09 de abril de 2017. Disponível em: <http://www.cameron.edu/uploads/fa/91/fa91c5d36fb56928e9bfda0d91313972/4.pdf>. SMITH, R. Proxy Servers Building and Deploying System Improvement and Protection. 2013. Acesso em: 18 de jun. 2017. Disponível em: <http://www.cameron. edu/uploads/fa/91/fa91c5d36fb56928e9bfda0d91313972/4.pdf>.
SUNG, J.; LOPEZ, T. S.; KIM, D. The epc sensor network for rfid and wsn integration infrastructure. In: IEEE. Pervasive Computing and Communications Workshops, 2007. PerCom Workshops’ 07. Fifth Annual IEEE International Conference on. [S.l.], 2007. p. 618–621.
THOM-SANTELLI, J.; AINSLIE, A.; GAY, G. Location, location, location: a study of bluejacking practices. In: ACM. CHI’07 extended abstracts on Human factors in computing systems. [S.l.], 2007. p. 2693–2698.
VIM. Vim - the ubiquitous text editor. 2017. Acesso em: 28 de outubro de 2017. Disponível em: <http://www.vim.org/>.
WEI, M.; HONG, S. H.; ALAM, M. An iot-based energy-management platform for in-dustrial facilities. Applied Energy, Elsevier, v. 164, p. 607–619, 2016.
