Sistema de detecção de intrusão baseado em criptografia simétrica para redes IoT de baixa potência

(1)

UNIVERSIDADE FEDERAL FLUMINENSE

INSTITUTO DE CIÊNCIA E TECNOLOGIA

MESTRADO PROFISSIONAL EM ENGENHARIA DE PRODUÇÃO E

SISTEMAS COMPUTACIONAIS

Eduardo O. Burger M. Luiz

Sistema de Detecção de Intrusão Baseado em Criptografia

Simétrica para Redes IoT de Baixa Potência

Rio das Ostras-RJ

2020

(2)

Eduardo O. Burger M. Luiz

Sistema de Detecção de Intrusão Baseado em

Criptografia Simétrica para Redes IoT de Baixa Potência

Dissertação de Mestrado apresentada ao Programa de Pós-Graduação em Engenha-ria de Produção e Sistemas Computacionais da UFF (linha de pesquisa: Engenharia de Sistemas de Informação), como parte dos re-quisitos necessários para a obtenção do Título de Mestre em Engenharia de Produção e Sis-temas Computacionais.

Universidade Federal Fluminense – UFF Instituto de Ciências e Tecnologia

Mestrado Profissional em Engenharia de Produção e Sistemas Computacionais

Orientador: Prof. Dr. Luciano Bertini

Coorientador: Prof. Dr. Juliano F. Kazienko

Rio das Ostras-RJ

10 de Abril de 2020

(3)

(4)

Eduardo O. Burger M. Luiz

Sistema de Detecção de Intrusão Baseado em

Criptografia Simétrica para Redes IoT de Baixa Potência

Dissertação de Mestrado apresentada ao Programa de Pós-Graduação em Engenha-ria de Produção e Sistemas Computacionais da UFF (linha de pesquisa: Engenharia de Sistemas de Informação), como parte dos re-quisitos necessários para a obtenção do Título de Mestre em Engenharia de Produção e Sis-temas Computacionais.

Trabalho aprovado. Rio das Ostras-RJ, 10 de Abril de 2020:

Prof. Dr. Luciano Bertini Orientador - UFF/Rio das Ostras/RJ

Prof. Dr. Juliano F. Kazienko Co-Orientador - UFSM/RS

Prof. Dr. Diego Brandão CEFET/RJ

Prof. Dr. Leandro Soares de Sousa UFF/Rio das Ostras/RJ

Prof. Dr. Alessandro Copetti UFF/Rio das Ostras/RJ

(5)

Resumo

Com o surgimento da Internet das Coisas, Internet of Things (IoT), houve também a necessidade de desenvolver protocolos que auxiliassem na conexão e comunicação de dispositivos de baixa potência. Os protocolos da família 6LoWPAN foram criados para esse objetivo, entretanto, esses protocolos herdaram, por sua vez, as vulnerabilidades e ameaças de ataques de negação de serviço de protocolos agregados, como IPv4 e IPv6. O problema que será estudado refere-se a segurança para dispositivos IoT, o qual é uma tecnologia que necessita de novas soluções e de simulações das soluções existentes nesse novo cenário, considerando as restrições dos dispositivos. Esta dissertação propõe um Sistema de Detecção de Intrusão, Intrusion Detection System (IDS), contra ataques por reflexão, como por exemplo, o ataque de negação de serviço distribuído, em um ambiente de rede para dispositivos IoT de baixa potência, utilizando o protocolo RPL (IPv6 Routing

Protocol for Low Power and Lossy Network). O ambiente foi preparado no simulador

COOJA com sistema operacional Contiki para analisar o consumo de energia e propor um IDS contra o ataque de negação de serviço por reflexão utilizando criptografia Advanced

Encryption Standard (AES). A dissertação fundamentou-se em três cenários distintos:

o primeiro baseia-se em uma operação de troca de mensagens normal, ou seja, que não está sujeita ao ataque; o segundo demonstra um ataque por reflexão; o último apresenta uma operação normal utilizando o IDS desenvolvido. Esses cenários são criados com o objetivo de coletar as informações geradas durante a execução dos cenários propostos, construindo um IDS que atende ao quesito de segurança relacionado à disponibilidade desses dispositivos. No ataque por reflexão, estudado nesta dissertação, pode-se verificar que a tríade de segurança foi violada, principalmente no que tange à disponibilidade, e isso também é demonstrado através de experimentos onde se observa o consumo de energia dos sensores. As principais contribuições desta dissertação são: o algoritmo de ataque por reflexão para dispositivos IoT; o algoritmo do sistema de detecção de intrusão utilizando criptografia AES; uma análise comparativa de potência e de consumo de energia entre os cenários.

Palavras-chaves: IoT, 6LoWPAN, RPL, Sistema de Detecção de Intrusão, Criptografia AES, Segurança da Informação.

(6)

Abstract

With the emergence of the Internet of Things (IoT) there was also a need to develop protocols to assist in the connection and communication of low power devices. The 6LoWPAN family protocols were created for this purpose, however, in turn, they inherited the vulnerabilities and threats of denial of service attacks from aggregated protocols, such as IPv4 and IPv6. The problem that will be studied refers to the security for IoT devices, which is a technology that needs new solutions and simulations of existing solutions in this new scenario, considering the restrictions of the devices. This dissertation proposes an Intrusion Detection System (IDS) against reflection attacks, such as the distributed denial of service attack, in a network environment for low power IoT devices, using the IPv6 Routing Protocol for Low Power and Lossy Network (RPL protocol). The environment was prepared in the COOJA simulator with Contiki operating system to analyze power consumption and propose an Intrusion Detection System (IDS) against reflection denial of service attack using Advanced Encryption Standard (AES). The dissertation was based on three distinct scenarios: the first one is based on a normal message exchange operation, that is, one that is not subject to attack; the second demonstrates a reflection attack; the last presents a normal operation using the developed IDS. These scenarios are created with the purpose of collecting the information generated during the execution of the proposed scenarios, building an IDS that meets the security requirement related to the availability of these devices. In the reflection attack, studied in this dissertation, it can be seen that the security triad has been violated, especially with regard to availability, and this is also demonstrated through experiments where the energy consumption of the sensors is observed. The main contributions of this dissertation are: the reflection attack algorithm for IoT devices; the intrusion detection system algorithm using AES encryption; a comparative analysis of power and energy consumption between the scenarios.

Keywords: IoT, 6LoWPAN, RPL, Intrusion Detection System, AES Cipher, Information

(7)

Sumário

1 INTRODUÇÃO . . . . 1 1.1 Problema . . . 3 1.2 Motivação . . . 4 1.3 Objetivos . . . 5 1.4 Metodologia . . . 7 1.5 Contribuições . . . 7 1.6 Organização do Texto . . . 7 2 FUNDAMENTAÇÃO TEÓRICA . . . . 8

2.1 Diferença entre o IPV4 e o IPV6 . . . 9

2.2 RPL . . . 10

2.3 6LoWPAN . . . 11

2.4 ContikiOS . . . 12

2.5 Simulador COOJA . . . 12

2.5.1 Coletor (Collect View ) . . . 13

2.6 Tríade da Segurança . . . 13

2.6.1 Confidencialidade dos Dados (Data Confidentiality) . . . 13

2.6.2 Integridade dos Dados (Data Integrity) . . . 14

2.6.3 Disponibilidade dos Dados (Data Availability) . . . 14

2.7 Tipos de Ataques de Negação de Serviço. . . 14

2.7.1 UDP Flood . . . 14

2.7.2 Smurf Attack . . . 15

2.7.3 Ataque DRDoS . . . 16

2.7.4 Ataque por Reflexão . . . 16

2.8 Criptografia . . . 18

2.9 Sistema de Detecção de Intrusão (IDS). . . 19

2.9.1 Detecção por anomalia . . . 20

2.9.2 Detecção por assinatura . . . 20

2.9.3 Baseado em host . . . 20

3 TRABALHOS RELACIONADOS . . . 21

4 PROPOSTA . . . 26

4.1 Estudo de caso utilizando o Simulador COOJA . . . 28

(8)

5.1 Simulação de um cenário real e explicação sobre o modelo . . . 29

5.2 Mapa dos dispositivos/sensores . . . 29

5.3 Consumo de energia dos sensores . . . 31

5.3.1 Modelo matemático para o cálculo da potência . . . 31

5.4 Simulação dos três cenários . . . 32

5.4.1 Tempo de execução da simulação . . . 32

5.4.2 Parâmetros da simulação . . . 32

5.4.3 Cenário normal . . . 32

5.4.4 Cenário sob ataque . . . 34

5.4.5 Cenário normal com IDS . . . 40

5.5 Análise dos resultados da simulação . . . 42

5.6 Implementação e Evolução . . . 42

5.7 Dados coletados . . . 42

5.8 Comparativo entre os três cenários . . . 43

6 CONCLUSÃO . . . 46

6.1 Trabalhos Futuros . . . 47

6.1.1 Possibilidade da aplicação do estudo na indústria de óleo e gás . . . 47

REFERÊNCIAS . . . 49

APÊNDICES

56

APÊNDICE A – CÓDIGO FONTE . . . 57

A.1 Fonte do IDS . . . 57

A.2 Fonte do ataque . . . 59 APÊNDICE B – FERRAMENTAS UTILIZADAS PARA COLETA . 63

(9)

Lista de ilustrações

Figura 1 – Monitoramento de Ataques a dispositivos IoT

Fonte: (DAWS, 2017) . . . 2 Figura 2 – Aplicações do 6LoWPAN

Fonte: (HUI; JUAN; JUN, 2011) . . . 11 Figura 3 – Arquitetura de rede para dispositivos de baixo consumo

Fonte: (ROHDE; SCHWARZ, 2018). . . 12 Figura 4 – Smurf Attack

Fonte: (BOUYEDDOU et al., 2018) . . . 16 Figura 5 – Ataque DDoS Direto

Fonte: Próprio Autor . . . 17 Figura 6 – Ataque DDoS por Reflexão

Fonte: Próprio Autor . . . 17 Figura 7 – Shift Columns

Fonte: (DAEMEN; RIJMEN, 2002) . . . 18 Figura 8 – Shift Columns

Fonte: (DAEMEN; RIJMEN, 2002) . . . 19 Figura 9 – Ataque por Reflexão

Fonte: Próprio Autor . . . 27 Figura 10 – Simulação de Performance COOJA

Fonte: (OSTERLIND et al., 2006). . . 28 Figura 11 – Dispositivos em execução

Fonte: (Próprio Autor, 2019). . . 30 Figura 12 – Mapa dos sensores

Fonte: (Próprio Autor, 2019). . . 30 Figura 13 – Consumo de energia - Normal

Fonte: (Próprio Autor, 2019). . . 34 Figura 14 – Erro Padrão - Consumo Normal

Fonte: (Próprio Autor, 2019). . . 34 Figura 15 – Nó 23 enviando mensagem

Fonte: (Próprio Autor, 2019). . . 35 Figura 16 – Informações durante a execução

Fonte: (Próprio Autor, 2019). . . 35 Figura 17 – Beacon 01

Fonte: (Próprio Autor, 2019). . . 36 Figura 18 – Ataque por reflexão 1’30"395

(10)

Figura 19 – Nós vizinhos comprometidos em 46min 34s

Fonte: (Próprio Autor, 2019). . . 38 Figura 20 – Neighborhoods Unknown 46min 34s

Fonte: (Próprio Autor, 2019). . . 38 Figura 21 – Erro Padrão - Consumo Ataque

Fonte: (Próprio Autor, 2019). . . 39 Figura 22 – Consumo de energia - Ataque

Fonte: (Próprio Autor, 2019). . . 40 Figura 23 – Consumo de energia - IDS

Fonte: (Próprio Autor, 2019). . . 40 Figura 24 – Erro Padrão - Consumo IDS

Fonte: (Próprio Autor, 2019). . . 41 Figura 25 – Potência média de todos os sensores da rede

Fonte: (Próprio Autor, 2019). . . 43 Figura 26 – Gráfico do Intervalo de Confiança

Fonte: (Próprio Autor, 2019). . . 44 Figura 27 – Dispersão com Desvio Padrão - IDS

Fonte: (Próprio Autor, 2019). . . 45 Figura 28 – Sensor de baixíssima potência para medidores de água, gás e calor

(11)

Lista de tabelas

Tabela 1 – Unidades de IoT instaladas por categorias (Milhões)

Fonte: (GARTNER, 2017) . . . 1 Tabela 2 – Protocolos usados por dispositivos IoT

Fonte: (BENKHELIFA; WELSH; HAMOUDA, 2018) . . . 9

Tabela 3 – Tabela XOR)

Fonte: (DAEMEN; RIJMEN, 2002) . . . 19 Tabela 4 – Dados coletados - Operação Normal

Fonte: (Próprio Autor, 2019) . . . 33 Tabela 5 – Dados coletados - Operação sob ataque

Fonte: (Próprio Autor, 2019) . . . 39 Tabela 6 – Dados coletados - Operação Normal com IDS

Fonte: (Próprio Autor, 2019) . . . 41 Tabela 7 – Plataformas suportadas pelo ContikiOS (Adaptada)

(12)

1

1 Introdução

A Internet das Coisas (Internet of Things - IoT ) é uma tecnologia emergente que visa fornecer a todos os objetos físicos uma presença virtual na Internet. A ideia básica da IoT é dar inteligência aos objetos físicos, incorporando componentes eletrônicos, softwares, sensores, atuadores e conectividade de rede a eles. Assim, a IoT pode ser definida como uma rede desses objetos inteligentes que têm a capacidade de coletar e trocar dados pela Internet (KAMALDEEP; MALIK; DUTTA, 2017).

Os aplicativos de IoT são frequentemente utilizados em indústrias, como por exemplo, nas que exploram petróleo e gás, prevendo falhas de equipamentos, controlando a vasão de fluidos, monitorando ondas sísmicas em locais de exploração e prevendo potenciais locais para perfuração. É comum a utilização de sistemas baseados em software para monitorar e supervisionar as variáveis e os dispositivos de sistemas de controle conectados através de servidores e drivers de comunicação específicos (KAMALDEEP;

MALIK; DUTTA, 2017).

No contexto da tendência global por tecnologia, a indústria com especialidade em negócio vertical, caracterizada por fabricar o produto desde o início até a disponibilização na prateleira, sem necessidade de particionar a produção para outros fornecedores, vem perdendo sua projeção por demanda de dispositivos IoT para as indústrias voltadas para a inovação, que tem alvo nos dispositivos voltados para casas inteligentes, carros autônomos e startups, conforme aponta (GARTNER, 2017). Na Tabela 1 é apresentada a projeção de demandas dos dispositivos IoT por seguimentos.

Categoria 2016 2017 2018 2020

Consumidor 3.963,0 5.244,3 7.036,3 12.863,0

Indústria da Inovação 1.102,1 1.501,0 2.132,6 4.381,4 Indústrias Verticais 1.316,6 1.635,4 2.027,7 3.171,0

Total Geral 6.381,8 8.380,6 11.196,6 20.415,4

Tabela 1 – Unidades de IoT instaladas por categorias (Milhões) Fonte: (GARTNER,2017)

Com relação aos ataques direcionados a IoT, na última década os computadores portáteis e servidores foram os maiores alvos de ataques de hackers. Todavia, nestes últimos anos observou-se um crescente aumento de ataques direcionados às residências conectadas, como iluminação, termostato e travas inteligentes, conforme indica o relatório Arbor (2018). A Internet das Coisas permitiu um aumento de 60% na quantidade de ataques e o mesmo relatório ainda afirma que o aumento não foi apenas em volume, mas também em frequência e complexidade, entre eles o ataque por reflexão.

(13)

Capítulo 1. Introdução 2

Não é excepcional verificar que proprietários de residências usem com frequência as senhas padrões fornecidas pelos fabricantes em seus dispositivos de automação residencial. Especialistas em segurança da Kaspersky 1 _{apontam que os ataques direcionados a}

dispositivos IoT mais que dobraram entre os anos de 2016 e 2017. O estudo foi realizado em um ambiente preparado para monitorar ataques simulados através de um ambiente

honeypot 2 e os dados obtidos podem ser visualizados na Figura 1. Com o aumento dos ataques, a segurança para IoT é uma área que necessita de novas soluções e de simulações das soluções existentes nesse novo cenário, considerando as restrições dos dispositivos IoT.

Figura 1 – Monitoramento de Ataques a dispositivos IoT Fonte: (DAWS, 2017)

A falta de segurança para IoT está criando obstáculos para uma adoção em larga escala e isso é dado em razão do crescimento do mercado de dispositivos IoT. Os sensores aumentam a superfície para ataques, pois os dispositivos estão interconectados entre si, como uma corrente, onde sua força será proporcional ao seu elo mais fraco (KOLIAS et al., 2016). Ou seja, vários dispositivos IoT podem possuir uma segurança elevada, entretanto, basta que um dispositivo conectado a essa rede possua uma vulnerabilidade de segurança que possibilitará ser explorada por um intruso não autorizado.

Nesse contexto, novos protocolos estão sendo desenvolvidos para tornar a conexão dos dispositivos IoT mais segura (KIM; KASPAR; VASSEUR,2012). Ademais, esse fato pode ser verificado na adaptação do IPv6 com o protocolo 802.15.4 (WPAN – Wireless

Personal Area Network) que se desdobrou no 6LoWPAN (IPv6 over Low power Wireless

1 _{Kaspersky Lab é uma empresa russa fundada em 1997 que produz softwares destinados a soluções de}

segurança da informação contra vírus, hackers, spam, trojans e spywares.

2 _{Ambiente simulado com objetivo de enganar e monitorar o invasor, fazendo ele pensar que conseguiu}

(14)

Personal Area Network), que além de possuir baixo consumo de energia em redes wireless,

pode também ser implementado em sistemas embarcados, possibilitando maior segurança para os dispositivos de IoT.

A importância do tema, assim como sua justificativa, é baseada nas ameaças direcionadas aos sensores, os quais, de acordo com Stallings(2008), podem ser de duas formas: ameaças de acesso à informação e ameaça de serviço. A Internet das Coisas é um fenômeno recente e através do resultado da nanotecnologia, telecomunicação e com o avanço da tecnologia de capacitores, sua ampliação tem sido relevante. A IoT era utilizada estritamente em indústrias e estima-se que atualmente 5 bilhões de equipamentos estão conectados na Internet. A projeção feita porGartner (2017) é que esse número seja superior a 20,8 bilhões até 2020. Entretanto o relatório da CISCO estima que até 2020 existam cerca de 50 bilhões de dispositivos IoT conectados (FRAHIM et al., 2018).

Quando o assunto é a segurança dos dispositivos IoT, pode-se afirmar que os sistemas que detectam intrusões vêm se mostrando vulneráveis nos cenários em que os ataques são combinados. Pode-se citar como exemplo: hello flood, sinkhole juntamente com o wormhole, o que indica a necessidade dos arquitetos e dos desenvolvedores de sistemas de segurança, optarem por duas escolhas: criar seus próprios protocolos de segurança ou implementar versões modificadas e reduzidas de protocolos de segurança conhecidos, a exemplo da especificação 6LoWPAN. Reforça-se que a primeira escolha, corre o risco de se tornar vulnerável na prática e incorrer em custos elevados e a segunda, carrega a probabilidade de possuir as vulnerabilidades já conhecidas (KOLIAS et al., 2016).

1.1 Problema

Atualmente os ataques computacionais tendem a aumentar cada vez mais em termos de quantidade e complexidade. Logo, os dispositivos IoT, por serem de baixa potência, tornam difícil a instalação de dispositivos de detecção de intrusão mais sofisticados. Essa dificuldade é entendida por que eles exigem mais processamento do que os dispositivos IoT podem suportar. Os danos provocados na rede, que muitas das vezes são viabilizados pelos sensores, se devem ao fato de não terem uma segurança bem definida ou em alguns casos nenhuma segurança.

Ademais, os dispositivos são instalados na rede, sendo na maioria das vezes antigos e, por conseguinte, não possuem nenhuma segurança. As circunstâncias apresentadas anteriormente possibilitam ataques desastrosos, tanto em termos de segurança quanto financeiro. O primeiro refere-se à disponibilidade dos dispositivos que é interrompida, já o segundo compromete financeiramente uma empresa que depende da continuidade de suas operações para gerar lucro.

(15)

relação aos ataques de negação de serviço, portanto, o trabalho de dissertação restringirá a pesquisa utilizando redes 6LoWPAN que são amplamente utilizadas por dispositivos de baixa potência e de limitadíssimo poder de processamento. A questão de pesquisa é: como minimizar ou evitar os danos causados por um ataque de negação de serviço em uma rede de dispositivos IoT de baixa potência conectados por uma rede 6LoWPAN.

1.2 Motivação

Conforme relatório da PWC3_{, uma das áreas-chave em que as empresas de petróleo}

e gás deveriam se concentrar para enfrentar a atual crise é na pesquisa e desenvolvimento de novas tecnologias, e assim minimizarem custos e extraírem mais valor da infraestrutura existente. De todas as tecnologias emergentes, a Internet of Things (IoT) é aquela que apresenta maior benefício para o setor do petróleo e gás (GUERREIRO,2018).

Estudos recentes feitos pela Artic Wolf Network 4 _{revelam que a grande maioria}

das organizações estão totalmente despreparadas contra ataques cibernéticos e conforme aponta Wolf (2017) os dispositivos IoT somente agravam o problema. Os dados revelaram que todas as empresas incluídas no programa usavam pelo menos um dispositivo IoT e que não possuíam uma infraestrutura de segurança adequada.

Em uma demonstração sobre a importância do assunto abordado neste trabalho, pode-se citar que em 21 de Outubro de 2016 a empresa Dyn Inc., sediada em New Hampshire, publicou em nota que foi fortemente atingida por ataques distribuídos de negação de serviços (Distributed Denial-of-Services - DDoS ), conforme veiculado no jornal Guardian (2016).

Consequentemente, esse ataque obteve repercussão para milhares de usuários que tentavam acessar sites populares como Netflix e Twiter. A ação que se originou a partir de uma grande quantidade de dispositivos com o quesito de segurança negligenciado, como por exemplo, câmeras conectadas à Internet, e que de acordo com a análise do ataque publicado pelo Econômico (2016), esses dispositivos pertencem à categoria de Internet das Coisas, e têm sido a fonte de crescentes ataques DDoS, que por sua vez foi também apresentado pelo relatório das empresas Flashpoint e Level3, sendo esta última, uma das maiores provedoras de Internet no mundo.

Por sua vez, outro indicador que é utilizado como motivador, foi um registro de ataque, sendo este por reflexão, apresentando uma forma incomum de amplificar sua

3 _{A Price Waterhouse Coopers, também chamada PwC, uma das maiores empresas de auditoria do}

mundo, com receita anual de 38 bilhões USD, foi fundada em 1849 e possui atualmente 236 mil funcionários.

4 _{Empresa que possui expertise em segurança e networking. A empresa detém profundo conhecimento}

(16)

potência baseando-se no protocolo UDP para o tráfego memcached 5_{. Neste ataque, que}

utiliza um servidor com a ferramenta memcached exposto a Internet, foi alcançado um pico de 1,35 Tbps, havendo um secundário pico de 400Gbps registrado logo após, sendo o maior ataque de negação de serviço registrado até aquela época sofrido pelo GitHub em fevereiro de 2018.

Com relação aos ataques, possivelmente os atacantes adotarão o por reflexão como modelo de ataques DDoS devido à sua capacidade de criar ataques tão grandes (AKAMAI, 2018). O GitHub ainda confirmou que esse ataque pode gerar grandes quantidades de tráfego pois a falsificação de endereços IP permite que as respostas sejam direcionadas a outro endereço, como as usadas no site ‘GitHub.com’ (RANGER, 2018).

O algoritmo AES foi escolhido, com a finalidade de ser usado no desenvolvimento do sistema de detecção de intrusão dessa dissertação. Essa escolha deve-se ao fato do seu excelente desempenho conforme demonstrado por Goyal, Sahula e Kumawat (2019) em comparação com outros algoritmos de criptografia. Ademais, em ZHAO, HA e ALIOTO (2015), os autores demonstraram uma excelente relação de custo benefício ao se utilizar o AES, apresentando um consumo menor de energia ao aplicar a criptografia em dispositivos de baixa potência. Face ao exposto, os autores DAO et al. (2016) conseguiram reduzir ainda mais o consumo de energia do AES ao aprimorá-lo, reduzindo o núcleo S-box, que é a tabela de pesquisa na qual é baseada o AES.

Não obstante, é importante considerar que os sistemas de criptografia de chave pública por invariavelmente utilizarem chaves assimétricas, conforme KAZIENKO e AL-BUQUERQUE (2010), possuem uma das principais críticas relacionadas a sua utilização, que são o consumo alto de energia e o de memória. Portanto, considerando os estudos realizados por diversos autores, o algoritmo escolhido para ser utilizado nessa dissertação foi o simétrico e na presente dissertação são descritos mais detalhes sobre o algoritmo AES no Capítulo 4.

1.3 Objetivos

Atualmente existem poucos padrões ou ferramentas de boas práticas usadas no desenvolvimento e teste de segurança de IoT6_{. Com o crescente interesse da comercialização}

de dispositivos embarcados na indústria e com as recentes tentativas de padronização dos Sistemas Ciber-Físicos (do inglês, Cyber Physical Systems - CPS ), como aborda Bordel et

5 _{O memcached é uma ferramenta destinada a armazenar dados em cache e reduzir a tensão em}

armazenamentos de dados mais pesados, como disco ou bancos de dados. Normalmente é usado em sistemas que não são expostos à Internet, pois não é necessária autenticação. No entanto, atualmente existem mais de 50.000 sistemas vulneráveis, de acordo com (AKAMAI,2018).

6 _{A ISO 27002 define boas práticas de segurança, entretanto essa definição é de forma abrangente e não}

(17)

al. (2017), atualmente, a segurança desses dispositivos tornou-se um dos maiores desafios na área de IoT.

O objetivo dessa dissertação é realizar um estudo de caso que consiste na imple-mentação de um ataque DoS por reflexão e de um sistema detector para essa intrusão em particular. Para tanto, utiliza-se o simulador COOJA juntamente com o ambiente Conti-kiOS. As métricas consideradas são o consumo energético e a potência em megawatt (mW) durante uma operação normal, durante o ataque por reflexão desenvolvido especificamente para dispositivos IoT e durante a operação com o IDS em funcionamento. O algoritmo de detecção de intrusão foi escrito e baseado em criptografia AES, do tipo por anomalia, com objetivo de proteção a ataques por reflexão, utilizando o simulador em ambiente preparado para a especificação 6LoWPAN para dispositivos de baixa potência.

O algoritmo AES é uma cifra de blocos e normalmente a mais segura dentre as criptografias que utilizam chave simétrica. Conforme Singh e Kinger (2013) o AES é o algoritmo mais eficaz para fornecer segurança em transmissão de mensagens sendo que para provar essa tese os autores estudaram três algoritmos de criptografia:

Rivest-Shamir-Adleman (RSA); Data Encryption Standard (DES); e Advanced Encryption Standard

(AES). Os critérios utilizados durante o estudo das criptografias e por fim para obter sua eficácia foram com base: na velocidade; no tempo; na taxa de transferência; e no efeito de avalanche 7_.

Os pesquisadores provaram que o Advanced Encryption Standard é o melhor algoritmo dentre os padrões de criptografia de dados analisados. Dentre as razões para se incluir a criptografia AES no desenvolvimento do algoritmo do IDS pode-se citar sua confiabilidade em manter o sigilo da informação devido à chave padrão de 128 bits. A confiabilidade é estabelecida durante a troca de mensagens dos sensores. O algoritmo AES é compatível com os mais diversos sistemas operacionais (neste caso o Contiki).

Com a implementação da criptografia AES no sistema de detecção de intrusão é criado um dificultador ou impedimento em relação ao entendimento da informação durante a troca de mensagens por outras entidades que não participam deste processo, sendo no caso dessa dissertação o próprio ataque por reflexão essa outra entidade. Com o desenvolvimento desse dificultador, o algoritmo de IDS proporcionará a garantia da detecção de intrusão, objetivando a manutenção da disponibilidade dos dispositivos durante seu ciclo normal de operação por alertar o administrador da rede no momento em que este for alvo de um ataque.

7 _{Na criptografia, o efeito avalanche é a propriedade desejável dos algoritmos criptográficos, tipicamente}

as cifras de bloco e as funções hash criptográficas, em que se uma entrada é alterada levemente (por exemplo, lançando um único bit), a saída muda significativamente (por exemplo, metade dos bits de saída mudam). Resumindo, quando um único bit é alterado, o resultado se torna completamente diferente (SAMPAIO,2014).

(18)

1.4 Metodologia

Um elemento motivador para este trabalho foi a facilidade de implementação de cenários em um simulador que retrata exatamente o ambiente real. A metodologia será a realização de testes no IDS, utilizando a especificação 6LoWPAN, através do simulador COOJA, aplicando melhorias na segurança para a integração da Internet das Coisas através da comunicação nas camadas do modelo OSI: física; enlace e rede, como mencionado por Shelby e Bormann (2009) e Napiah et al. (2018). O custo em termos de energia, apurado em megawatts (mW), será o principal elemento de medição para a comparação e análise dos resultados.

1.5 Contribuições

A contribuição dessa dissertação foi recriar um ambiente sob um ataque por reflexão em dispositivos IoT de baixa potência que usam o sistema operacional Contiki. Ao longo do estudo de caso, foi desenvolvido um IDS baseado em criptografia simétrica com o objetivo de detectar ataques por reflexão. Os testes foram aplicados usando o COOJA que é um simulador baseado em dispositivos IoT reais emulados.

Após ter sido realizada a simulação, os resultados obtidos foram comparados com o consumo de energia e coletados durante a execução em três cenários distintos: operação normal, durante o ataque e durante o IDS em execução. Tanto o IDS quanto o ataque por reflexão foram desenvolvidos em linguagem de programação C. Na construção do IDS, foi utilizado o recurso de criptografia AES com o objetivo de estabelecer relação de confiança entre os sensores.

1.6 Organização do Texto

O Capítulo 2 aborda os conceitos teóricos em que a simulação do ataque e do sistema de detecção de intrusão se baseiam. No Capítulo 3 são relacionados artigos que apresentam similaridade com o assunto pesquisado nessa dissertação. No Capítulo 4 é apresentada a proposta da implementação e do uso da ferramenta desenvolvida. O Capítulo 5 contém os resultados obtidos dos testes realizados com o ambiente desenvolvido. Finalmente, o Capítulo 6 apresenta as conclusões e sugestões de trabalhos futuros.

(19)

8

2 Fundamentação Teórica

Com mais de 25 anos de existência, a Internet vem fazendo um enorme sucesso interligando pessoas e rompendo fronteiras geográficas e aproximando virtualmente regiões separadas outrora pela distância. O termo IoT surgiu em 1999 tendo sido o nome de uma apresentação feita por Kelvin Ashton na empresa Procter & Gamble (P&G) 1 _{e vem}

sofrendo evoluções significativas. Agora é a vez das coisas se aproximarem uma das outras e também dos seres humanos e em breve permitirá que as coisas se comuniquem entre si

(BHARDWAJ; KOLE, 2016).

Conforme Shelby e Bormann(2009) os dispositivos embarcados, também chama-dos de dispositivos inteligentes, estão por trás da IoT. Alguns exemplos de dispositivos embarcados que podem ser citados são: dispositivos de monitoramento de saúde como marca-passos, dispositivos de automação residencial, dispositivos de automação industrial sendo este último a base da viabilidade para a Industria 4.0, monitoramento inteligente e sistemas de monitoramento de ambiente, onde neste último conforme Carvalho, Silveira e Vieira (2002) as metodologias e estudos e tecnologias como sensores sem fio, sensoria-mento remoto, sensoriasensoria-mento on-the-go (sensores embarcados em máquinas agrícolas) e ferramentas potencialmente úteis à rastreabilidade são os que atualmente encontram os maiores desafios de pesquisas em relação à segurança.

O termo Indústria 4.0 refere-se a um conceito recentemente criado para descrever um ambiente produtivo suportado por um amplo conjunto de tecnologias relacionadas à automação industrial, incluindo entre essas tecnologias a Internet das Coisas (IoT), bancos de dados não relacionais (big data), computação em nuvem, blockchain e algoritmos de aprendizado de máquinas (WANG, 2018; SONY; NAIK, 2019;ANCARANI; DI MAURO, 2018;LIN et al.,2018). O surgimento da Indústria 4.0 trouxe muitas vantagens tecnológicas e operacionais resultando em oportunidades competitivas, mas com ela surgiram desafios relacionados a cibersegurança tornando esse assunto um dos temas prioritários neste novo cenário (SONY; NAIK,2019).

Na atualidade, os negócios e suas respectivas operações são cada vez mais depen-dentes dos dados, podendo tornar vulnerável uma cadeia inteira de suprimentos. Desde o surgimento da Indústria 4.0 os relatos de ataques direcionados a dispositivos IoT só aumentam e como agravante já foi constatado e é assunto constante em discussão em diversos meios a vulnerabilidade dos atuais sistemas industriais de IoT a diversos tipos de ataques (SADEGHI; WACHSMANN; WAIDNER, 2015).

Na defesa do que foi mencionado acima, um dos primeiros ataques bem-sucedidos em

(20)

Capítulo 2. Fundamentação Teórica 9

relação a sistemas de controles industriais foi o Slammer worm, que infectou dois sistemas críticos de monitoramento de uma usina nuclear nos EUA em 2003 (POULSEN, 2003). Esta dissertação poderia discorrer por inúmeras páginas para demonstrar a quantidade de ataques relevantes que sistemas considerados importantes já sofreram até os dias atuais, mas para seguir adiante apenas mais um fato, no mesmo ano, um ataque contra o sistema de controle de sinal de uma grande rede de transportes nos EUA parou por completo trens de passageiros e de mercadorias causando grandes prejuízos juntamente com o temor da população que sofreu com a interrupção do sistema (NILAND, 2003).

Na esteira da tecnologia e dentro do tema desta dissertação serão abordados os diversos assuntos que fazem parte do mundo de IoT, dentre eles: Modem, IPV6, IPV4, Roteadores Wireless, 6LowPAN, que na Tabela 2pode-se verificar uma lista com alguns protocolos de padrões usados em IoT de uma forma não exaustiva e aceitas pelo IEEE 2

(BENKHELIFA; WELSH; HAMOUDA, 2018).

Nome Camada Descrição

COAP Applicação Protocolo de Aplicação Restrita RFID Link / Físico Identificação por Rádio Frequência NFC Link / Físico Near Field Communication

6LoWPAN Rede IPv6 over Low power Wireless Personal Area Networks

802.15.x Link / Físico Padrão de Rede Pessoal Wireless IEEE

ZigBee Link / Físico Padrão de alto nível de Rede Pessoal Wireless GPS Outro Sistema Global de Posicionamento

Tabela 2 – Protocolos usados por dispositivos IoT

Fonte: (BENKHELIFA; WELSH; HAMOUDA, 2018)

2.1 Diferença entre o IPV4 e o IPV6

O protocolo IPv4, que representa a quarta versão de protocolos, distribui endereços em 32 bits. O IPv6, que é a sexta revisão dos protocolos de Internet, permite disponibilizar endereços em 128 bits. Atualmente, o IPv4 sustenta cerca de 4,29 bilhões de endereços IPs pelo mundo como informa Hyun et al. (2015). Portanto, isso explicaria a necessidade da evolução para o IPv6, pois o sistema atual não comporta mais endereços. Com o advento da IoT, a demanda por novos endereços IPs específicos para cada dispositivo embarcado já está aumentando expressivamente ao longo desses anos.

Direcionando o foco para o protocolo IPv6 sobre o quesito segurança, conforme

KOLAHI, YUQING CAO e HONG CHEN (2013), tem-se que este pode utilizar o IPSec,

IP Security Protocol, assim como o IPv4, encriptando os pacotes que trafegam na rede e

atuando no nível da camada de redes do modelo OSI, enquanto que o SSL/TLS atuam na camada intermediária, ou seja, entre a de aplicação e de transporte do modelo TCP/IP.

(21)

O IPSec funciona ponto a ponto e encripta o pacote ao enviá-lo, decriptando, no outro lado do ponto, o pacote. Esse processo é feito usando uma chave compartilhada entre os pontos. O IPSec é uma série de diretrizes para a proteção da camada de IP da Internet

(DEQUAN YANG; XU SONG; QIAO GUO, 2010).

O IPSec utiliza diversos recursos no que tange a criptografia, conforme KOLAHI, YUQING CAO e HONG CHEN (2013), utiliza chaves assimétricas para garantir a au-tenticidade e integridade das partes envolvidas, chaves simétricas para confidencialidade dos dados, e também funções hash 3 para integridade dos dados. A implementação do IPSec não requer nenhuma alteração nos aplicativos e sistemas operacionais, bastando tão somente a sua prévia configuração.

A estrutura do cabeçalho do IPSec garante a autenticidade e integridade dos dados, mas não o de confidencialidade. Neste ponto, já pode ser considerado como um aliado dos dispositivos IoT. Na literatura é conhecido como cabeçalho de autenticação ou AH, do inglês (Authentication Header), pois este fornece a integridade dos pacotes e a garantia de sua origem. No conjunto dos protocolos IPsec, existem dois principais: o protocolo Cabeçalho de Autenticação (AH) e o protocolo Carga de Segurança de Encapsulamento (ESP) (KUROSE; ROSS, 2010).

Quando uma entidade remetente IPsec (em geral um hospedeiro ou um roteador) envia datagramas seguros a uma entidade destinatária (também um hospedeiro ou um roteador), ela utiliza o protocolo AH ou o protocolo ESP (KUROSE; ROSS,2010). Uma das vantagens da utilização do AH é a capacidade de utilização de parâmetros específicos que impossibilitam ataques do tipo DoS ou DDoS, por descartarem esses tipos de pacotes por não atenderem os requisitos exigidos que são estabelecidos pelos parâmetros que são utilizados (KOLAHI; YUQING CAO; HONG CHEN, 2013).

2.2 RPL

O RPL (IPv6 Routing Protocol for Low Power and Lossy Network) é um protocolo de roteamento que encaminha o pacote da origem para o destino dentro de uma rede IoT (KAMALDEEP; MALIK; DUTTA,2017). O padrão IEEE 802.15.4-2006 especifica o RPL como um protocolo de encaminhamento para redes RPL-WPAN (redes sem fio de taxa baixa potência). O RPL foi o primeiro protocolo de roteamento padronizado para suportar redes de baixa potência e com perdas. O RPL foi proposto pelo grupo de trabalho IETF ROLL e foi projetada como uma solução para dispositivos mais delicados e pequenos para serem executados em redes de grande escala usando comunicações de baixo consumo e baixo custo (LAMAAZI; BENAMAR; JARA,2018).

3 _{Uma função de hash criptográfico é um algoritmo matemático que transforma um bloco de dados de}

(22)

2.3 6LoWPAN

O 6LoWPAN (IPv6 over Low-power Wireless Personal Area Network) corresponde a um grupo de trabalho da IETF responsável por criar e manter especificações que permitem usar IPv6 em redes IEEE 802.15.4. Para tanto, assuntos como compressão e fragmentação de pacotes são considerados na transmissão de dados tornando eficiente a troca de informações entre dispositivos de baixo consumo de energia e que, por especificação de fabricação, são suscetíveis à perda de pacotes o que inviabilizaria o uso do protocolo IPv6 nesse tipo de comunicação. 6LoWPAN é, portanto, uma especificação para transmitir dados através do padrão IPv6 em redes sem fio por dispositivos de baixa potência e de poder de processamento limitado.

Atualmente o 6LoWPAN é considerada uma das melhores especificações para a implementação de IoT. Hasbollah, Ariffin e Hamini(2009) mencionam que por ser baseada no IPv6, possibilita a criação de serviços inteligentes, que antes eram inviabilizados em detrimento aos protocolos de Internet anteriores, como por exemplo o IPv4. A Figura 2 demonstra um ambiente configurado sobre uma rede 6LoWPAN.

Figura 2 – Aplicações do 6LoWPAN

Fonte: (HUI; JUAN; JUN, 2011)

A principal função da 6LoWPAN é possibilitar a comunicação em sistemas embar-cados como por exemplo: smartphones, sensores, medidores de energia elétrica inteligentes, viabilizando por assim dizer a existência da IoT ou também chamada de IoE – Internet of

Everything, Internet de todas as coisas, por estarem todos conectados entre si (SHELBY; BORMANN, 2009). O 6LoWPAN é, portanto, a chave para a integração da Internet sem fio embarcada.

(23)

Outras redes da família 6LoWPAN podem ser vistas na Figura3e conforme explica Rohde e Schwarz (2018), elas são otimizadas para serem utilizadas por dispositivos de baixo consumo de energia para transmissão de dados e normalmente suportam arquiteturas físicas de características da rede de malha (mesh network). A padronização IEEE 802.15.4 da família 6LoWPAN permite uma interoperabilidade entre esses protocolos. O padrão IEEE 802.15.4 utiliza canais de 5 MHz podendo variar entre 2,405 GHz a 2,480 GHz. A taxa de dados máxima trafegada pela rede Wireless, gira em torno de 250 kbps variando de poucos metros a centenas de metros em relação à distância.

Figura 3 – Arquitetura de rede para dispositivos de baixo consumo Fonte: (ROHDE; SCHWARZ, 2018)

2.4 ContikiOS

O ContikiOS é um sistema operacional utilizado na maioria dos dispositivos IoT e possui seu código fonte aberto, esse sistema operacional permite que sensores de baixa potência se conectem à Internet. O ContikiOS suporta os protocolos IPv6, IPv4 e da família 6LoWPAN. As aplicações podem ser desenvolvidas em C e através do ContikiOS é possível usar o COOJA, um simulador de redes sem fio que simula um ambiente real de dispositivos interligados inclusive reproduz a complexidade de desenvolvimento de cada instrução permitindo que cada dispositivo possua uma instância ativa do sistema operacional como se fosse uma operação física (CONTIKI, 2018).

2.5 Simulador COOJA

O artigo deDunkels, Gronvall e Voigt (2004) explica que o COOJA é um simulador flexível baseado em Java e foi projetado para simular redes de sensores em uma plataforma suportada pelo sistema operacional ContikiOS. O COOJA pode simular redes com nós de sensores variados sendo que um nó simulado pelo COOJA apresenta três propriedades básicas: uma memória de dados, o tipo de nó e periféricos de hardware (OSTERLIND et al., 2006). O COOJA executa código nativo através de chamadas Java Native Interface

(24)

O simulador COOJA permite que seja criado um cenário real, ou seja, o mesmo cenário no qual existem dispositivos físicos funcionando em uma rede durante uma operação real (DUNKELS; GRONVALL; VOIGT, 2004). Os dispositivos são emulados utilizando o conceito de máquinas virtuais e a emulação permite especificar que os nós são máquinas reais executando o protocolo real, em que cada nó tem o sistema operacional Contiki executando internamente, como se estivesse instalado fisicamente, no modelo de uma operação real (OSTERLIND et al., 2006). Portanto, todo código desenvolvido para o simulador COOJA pode ser imediatamente implantado em um ambiente real.

2.5.1 Coletor (Collect View )

O Colector Viewer é uma ferramenta do COOJA baseado na linguagem Java com o objetivo de capturar informações dos nós, assim como também de enviar comandos para cada nó. Essa ferramenta auxilia na obtenção das métricas e dados gerados a respeito do consumo de energia, tempo de entrega de pacotes, dentre outras leituras possíveis pelos sensores.

2.6 Tríade da Segurança

Conforme exposto pelos autores Farooq et al. (2015), as principais metas de segurança da IoT se baseiam em fornecer mecanismos adequados de autenticação de identidade e prover a confidencialidade sobre os dados. A violação de qualquer uma dessas áreas da tríade CIA, do inglês (Confidentiality, Integrity e Availability), possibilita colocar em sérios riscos os dispositivos e sistemas interligados na rede. Abaixo são explicadas cada uma das áreas da tríade CIA.

2.6.1 Confidencialidade dos Dados (Data Confidentiality)

Os mecanismos que permitem manter os dados confidenciais não se limitam à criptografia de dados, um exemplo disso seria a utilização de dispositivos com biometria. Seu grande objetivo é trazer confidencialidade aos usuários que seus dados não sejam acessados por pessoas ou sistemas não autorizados. Para Miorandi et al. (2012), os dispositivos baseados em IoT precisam ter a garantia que os nós sensores das redes não revelem seus dados aos nós vizinhos.

A IoT descreve um sistema em que os elementos no mundo físico, e sensores dentro ou acoplados a esses elementos, estão conectados à Internet através de conexões de Internet com ou sem fio. Os sensores podem usar vários tipos de conexões de área local, em uma LAN ou em uma PAN, como por exemplo: RFID; NFC; Wi-Fi; Bluetooth e Zigbee. Os sensores também podem apresentar uma conectividade de longa distância, como: GSM; 3G; 4G; 5G; GPRS e LTE (LLC, 2013).

(25)

2.6.2 Integridade dos Dados (Data Integrity)

Durante a transmissão de dados, estes podem ser afetados por diversas interferências, dentre elas pode-se mencionar o ataque feito por cibercriminosos ou até uma simples interferência gerada por eletromagnetismo pode afetar a transmissão da informação. Há alguns métodos para garantir a confiabilidade e originalidade na transmissão dos dados e esses métodos incluem: checksum e CRC (Cyclic Redundancy Check) que servem para detectar erros na transmissão dos dados, permitindo a retransmissão dos dados ao serem analisados na apuração e detecção dos erros (ATZORI; IERA; MORABITO, 2010).

2.6.3 Disponibilidade dos Dados (Data Availability)

O acesso a informação precisa ser disponibilizada para os usuários ou sistemas com autorização devidamente autenticado a qualquer momento e com isso algumas normas estabelecem planos de recuperação de desastres como é o caso de políticas de gestão da tecnologia da informação (TI). As empresas, cada vez mais dependentes da disponibilidade dos dados, necessitam fortalecer a segurança da informação com firewall robustos com o objetivo de prevenir ataques aos serviços, como o ataque de negação de serviços (DoS), do inglês Denial of Service, que pode prejudicar e até negar os acessos mesmo que devidamente autorizados (FAROOQ et al., 2015). Neste contexto, a disponibilidade é a propriedade de segurança que o estudo dessa dissertação estará procurando garantir com o desenvolvimento do IDS.

2.7 Tipos de Ataques de Negação de Serviço

Neste ponto já é conhecido que a tecnologia IoT herdou os ataques convencio-nais direcionados a computadores na Internet, e com o surgimento de novos protocolos, especificamente para IoT, aumentou consideravelmente o número de possíveis ataques. Um desses ataques que tem sido uma grande preocupação na segurança convencional da Internet e comum à IoT é o ataque DDoS (Distributed Denial of Service). Conforme afirma Kamaldeep, Malik e Dutta(2017), o ataque DDoS visa consumir os recursos de um

host remotamente ou de uma rede de forma distribuída, negando ou degradando serviços

disponibilizados para usuários legítimos.

2.7.1 UDP Flood

O User Datagram Protocol inunda as portas da máquina de destino de forma aleatória com pacotes ICMP e conforme aborda Kamaldeep, Malik e Dutta (2017) os dispositivos IoT possuem recursos muito limitados e, portanto, sendo muito fácil esgotá-los ou torná-los inoperantes por intermédio de ataques DDoS. O autor ainda afirma que o

(26)

ataque UDP flood são fáceis de serem acionados e exigem muito pouco esforço da parte do atacante. Os ataques de inundação UDP envolvem sobrecarregar as portas aleatórias da máquina vítima enviando um grande número de pacotes UDP. A máquina da vítima inspeciona para detectar qual o aplicativo precisa ser associado a esses pacotes, e como não encontra nenhum, acaba enviando de volta uma mensagem Destination Unreachable

ICMP (Internet Control Message Protocol).

Ainda como afirma Kamaldeep, Malik e Dutta (2017), à medida que mais pacotes são recebidos, a máquina da vítima acaba tornando-se indisponível às solicitações legítimas de outras máquinas. Este ataque pode ser mitigado pela taxa que limitam as mensagens de erro ICMP geradas pela máquina vítima. A implementação de limitação das taxas de erro ICMP é um recurso embutido nos roteadores modernos e vários outros sistemas operacionais, todavia podem ser ausentes nas redes IoT quando negligenciadas.

2.7.2 Smurf Attack

Consiste na replicação de mensagens broadcast na rede paralisando-a. Conforme explica Bouyeddou et al. (2018), essa técnica baseia-se em enviar um pedido ping para o alvo que por sua vez é realizado pelo protocolo ICMP, que realizará o teste de conexões de uma rede enviando pacotes a espera de respostas a um ou vários servidores de broadcast falsificando endereços IP originais. Baseia-se no envio de mensagens do tipo

ICMP-ECHO-REQUEST alterando o IP de origem para o IP da vítima, logo a resposta através da

mensagem ICMP-ECHO-REPLY será enviado à vítima conforme mostra a Figura 4. Note que no IPv6 o protocolo ICMPv6 é de extrema importância, pois incorporou os protocolos ARP, RARP e IGMP de seu antecessor e por sua vez, tem-se a recomendação de ser liberado pelos firewalls da rede para possibilitar o seu tráfego e assim permitir um bom funcionamento do IPv6.

(27)

Figura 4 – Smurf Attack

Fonte: (BOUYEDDOU et al.,2018)

2.7.3 Ataque DRDoS

É um ataque baseado na reflexão e amplificação do tráfego, no qual o endereço de IP de origem é substituído pelo endereço IP do host atacado e essas solicitações são enviadas para servidores ou outros dispositivos que podem ser usados para refletir o tráfego da rede conforme Bekeneva e Shorov(2017), fazendo que as respostas a essas solicitações sejam enviadas para o nó de destino. O mecanismo de reflexão de tráfego aumenta a complexidade para identificar a fonte real do ataque.

2.7.4 Ataque por Reflexão

O ataque por reflexão, utilizado como experimento nessa dissertação, em uma rede de computadores requer necessariamente de quatro etapas. Um servidor capaz de realizar o spoofing de endereço IP. Um protocolo vulnerável à reflexão. Qualquer protocolo de solicitação mal projetado e baseado em UDP e uma lista de refletores, ou seja, servidores que suportam a vulnerabilidade do protocolo com o endereço da vítima. A ideia básica gira em torno do envio de solicitações UDP falsas, falsificando o endereço de IP de origem e colocando o endereço IP da vítima no campo do endereço de origem, sendo cada pacote destinado a um endereço destinado a um servidor refletor aleatório.

Portanto, a vítima acabará recebendo um grande volume de pacotes de resposta que nunca solicitou. Com um ataque suficientemente grande, a vítima pode acabar com uma

(28)

rede congestionada ou até mesmo com serviços negados, criando assim instabilidades na rede. Ademais, conforme citaKamaldeep, Malik e Dutta(2017), um grupo de invasores pode executar dois tipos de ataques DDoS: na Figura 5 e a Figura6 são descritos dois tipos de ataques DDoS, isto é, ataques DDoS diretos e ataques DDoS por reflexão, respectivamente. No DDoS direto, a vítima é bombardeada diretamente com um grande número de pacotes pelo próprio invasor ou por redirecionando de outras máquinas zumbis. Nos ataques DDoS por Reflexão, o atacante redireciona as solicitações para outras máquinas, utilizando serviços legítimos, em nome da vítima, o que, por sua vez, sobrecarrega a vítima e sua rede.

Figura 5 – Ataque DDoS Direto Fonte: Próprio Autor

Figura 6 – Ataque DDoS por Reflexão Fonte: Próprio Autor

(29)

2.8 Criptografia

A criptografia escolhida e utilizada no IDS da presente dissertação foi a Advanced

Encryption Standard (AES). O AES foi escolhido por ser uma criptografia simétrica tendo

sido desenvolvido para substituir o Data Encryption Standard (DES) criado pela IBM 4 com chave de, apenas, 56 bits, pois os 8 bits restantes foram utilizados para paridade. O DES foi aposentado logo após um ataque de força bruta obter sucesso quebrando sua segurança através de um desafio lançado pelo NISTU 5 _{em 1997. O AES foi desenvolvido}

pelo governo americano e suporta tamanho de chaves variados de 128, 192 e 256 bits e por padrão, utiliza-se o tamanho de blocos de 128 bits. Na presente dissertação, optou-se por utilização o tamanho de blocos padrão. Conforme Daemen e Rijmen (2002), seu funcionamento pode ser resumido em quatro estágios:

a) SubBytes que tiliza uma caixa-S para substituição operada byte a byte de acordo com uma tabela;

Figura 7 – Shift Columns

Fonte: (DAEMEN; RIJMEN, 2002)

b) ShiftRows: permutação simples;

4 _{A IBM é uma das maiores empresas de tecnologia do mundo e está presente em mais de 170 países,}

com mais de 398.455 colaboradores em todo o mundo, a IBM é a maior empresa da área de TI no mundo. A IBM detém mais patentes do que qualquer outra empresa americana baseada em tecnologia e tem 15 laboratórios de pesquisa no mundo inteiro.

5 _{O National Institute of Standards and Technology (NIST) (em português: Instituto Nacional de Padrões}

e Tecnologia) é uma agência governamental não regulatória da administração de tecnologia do Departa-mento de Comércio dos EUA. Esta instituição, promove os padrões e a tecnologia de forma que ampliem a segurança econômica e melhorem a qualidade de vida de sua população (https://www.nist.gov).

(30)

Figura 8 – Shift Columns

c) MixColumns: combinação linear que utiliza aritmética sobre um vetor com um limite de variáveis;

Q = (ρ ÷ q k ρ, q ∈ R, q¬0) (2.1) d) AddRoundKey: realiza um XOR bit a bit simples do bloco atual com uma parte

da chave expandida. α β (α ⊕ β) 0 0 0 0 1 1 1 0 1 1 1 0

Tabela 3 – Tabela XOR)

2.9 Sistema de Detecção de Intrusão (IDS)

O IDS, do inglês (Instruction Detection System), possui em sua essência auxiliar na preservação dos preceitos fundamentais relativos à segurança da informação em uma rede de dispositivos computacionais evitando assim prováveis invasões de acesso não autorizado. O IDS pode ser definido como um sistema automatizado de segurança e defesa, que permite a detecção de atividades suspeitas e por muitas das vezes mal-intencionadas em uma rede ou em um dispositivo computacional. Além disso, o IDS tenta impedir tais atividades maliciosas reportando ao administrador de redes responsável pelo ambiente um padrão de comportamento diferente. Trata-se portanto de um mecanismo de segunda linha de defesa, no qual, o primeiro é considerado sendo o firewall (LIAO et al., 2013).

O IDS pode ser conceituado como um sistema de detecção de intrusos, como um processo de monitoramento de eventos que ocorrem em uma rede possuindo a finalidade única de analisar possíveis incidentes e violações das regras de segurança do ambiente monitorado. O processo de detecção de intrusão tem a finalidade específica de responder de maneira preventiva, atividades suspeitas que possam interferir nos princípios da integridade,

(31)

confiabilidade e disponibilidade (LIAO et al., 2013). Existem alguns tipos de IDS que são citados a seguir.

2.9.1 Detecção por anomalia

O tipo de IDS de detecção por anomalia busca identificar comportamentos não usuais dentro de uma rede, considerando esses comportamentos como anomalias. Esse tipo de IDS possui o pressuposto que ataques são em si diferentes de uma atividade normal e assim podem ser detectados após terem identificadas estas diferenças ( GARCíA-TEODORO et al., 2009).

2.9.2 Detecção por assinatura

Analisam as atividades da rede procurando por eventos com padrões de comporta-mento já predefinidos, considerando previamente esses comportacomporta-mentos como sendo um ataque (LIAO et al., 2013).

2.9.3 Baseado em host

O IDS reside no próprio host ou dispositivo IoT que será alertado sobre ataques ocorridos contra o próprio dispositivo. Conforme explica Yeung e Ding (2003), este tipo de IDS possui uma grande eficiência, pois fornece segurança a tipos de ataques em que o

firewall e um IDS baseado em rede não detectam.

O IDS desenvolvido como parte do estudo dessa dissertação é híbrido, portanto, é baseado por anomalia e host, que por sua vez utiliza o recurso da criptografia para identificar comportamentos que estejam fora do contexto de uma operação considerada normal pela política da empresa.

(32)

21

3 Trabalhos relacionados

Neste tópico serão apresentados trabalhos que estão diretamente ligados a pesquisa realizada nessa dissertação, tangenciando os assuntos que são inerentes a ataque por reflexão, sistema de detecção de intrusão, algoritmos de criptografia, comportamento dos sensores e redes de baixa potência. Por conseguinte, sempre procurando relacionar as oportunidades de cada estudo com suas eventuais deficiências detectadas pelos autores expostas em seus artigos.

O cenário proposto por Kasinathan et al. (2013) é realizado no ambiente de manufatura onde o ataque DoS é direcionado a dispositivos que controlam a temperatura e pressão de máquinas durante a produção causando degradação dos produtos finais durante seu processo de fabricação. O ataque é feito através de Jamming onde este é direcionado a uma rede 6LoWPAN fazendo com que o responsável pela segurança da empresa receba uma notificação do sistema IDS agindo de forma rápida no tratamento da intrusão.

A arquitetura de detecção DoS proposta pelos autores possui algumas vantagens, que são: a imunidade de ataques similares protegidos pela arquitetura IDS; o processamento centralizado utilizando um poderoso agente de IDS instalado em um sistema operacional Linux, permitindo a superação dos limites existentes nos dispositivos IoT e a redução de falsos positivos que são gerenciados pelo IDS. Relacionado às desvantagens, os autores descrevem algumas que eles puderam observar dos IDS já existentes, que são: a maioria das estratégias propostas contém algoritmos semelhantes; a maioria dos IDS propostos não foram projetados para WSNs 1 _{baseado em IP; os ataques DoS geralmente tornam o}

canal utilizado pela rede sem fio inutilizável. Logo, os sistemas de detecção de intrusão verificados falham nas operações mais básicas que deveriam desempenhar (KASINATHAN et al., 2013).

Um outro artigo relacionado demonstra uma solução suscetível a falhas por causa da sua criptografia, possibilitando a modificação de pacotes durante o ataque, no qual um pacote falsificado com alta taxa de aceitação de tráfego prejudica o funcionamento correto do roteador, e emOliveira et al.(2013) os autores utilizaram a opção ARO2 _{modificada na}

1 _{A rede de sensores sem fio (WSN), Wireless Sensor Network, consiste em nós de sensores distribuídos}

em locais distantes. Cada nó da WSN consiste em um micro controlador sem fio e interface com sensores (NARMADA; RAO,2012).

2 _{A Opção de Registro de Endereços, do inglês, Address Registration Option, é um tipo de opção de}

mensagem ICMPv6 utilizada pelo novo protocolo de descoberta de vizinhos (NDP ou ND) (OLIVEIRA et al.,2013).

(33)

Capítulo 3. Trabalhos relacionados 22

rede 6LoWPAN-ND 3 _{com mensagens DAR} 4 _{para combater ataques hackers. Os autores}

verificaram deficiências e limitações conforme mencionado a seguir.

As limitações surgem devido a maioria dos mecanismos contra ataques à segurança requerem altos recursos computacionais tornando-os inadequados para sua aplicação em redes de objetos inteligentes. O DoS, conforme explica Oliveira et al.(2013), é ainda mais destrutivo para redes IoT quando comparado a outras redes. As deficiências surgem por dois motivos: é mais fácil esgotar os recursos em redes de baixa potência; a energia dos sensores pode ser consumida rapidamente, tornando-os indisponíveis até o término do ataque e a bateria ser recarregada.

Em Wallgren, Raza e Voigt (2013), os autores investigaram ataques contra o protocolo RPL 5 _{e mencionaram que, em ambientes de IoT, o spoofing} 6 _{de IP e spoofing}

de MAC podem ser feitos facilmente. A facilidade do spoofing decorre de alguns fatores relacionados aos dispositivos IoT: são extremamente heterogêneos; são de baixa potência; possuem poucos recursos; estão conectados globalmente, o que os torna muito mais difícil de se garantir a segurança. Esses dispositivos IoT são extremamente propensos aos ataques na Internet assim como os dispositivos conectados através da rede sem fio como as que utilizam o protocolo 6LoWPAN. Os algoritmos de IDS convencionais e já consolidados no mercado podem não ser adequados para proteger dispositivos IoT porque eles são muito pesados para esses dispositivos, com poucos recursos além de também não terem sido desenvolvidos no contexto da IoT. Portanto, os autores desse trabalho fomentam a importância da investigação e criação de novas soluções de algoritmos de IDS para a IoT.

EmCervantes, Nogueira e Santos(2018) os autores analisaram o sistema de detecção de intrusão Thatachi (DeTection of SinkHole And SelecTive-ForwArding for Supporting

Secure routing for Internet of THIngs), que é um sistema que busca detectar e isolar da rede

os dispositivos atacantes com comportamento diferenciado, usando o simulador COOJA, foi percebido uma baixa taxa de falso positivos para dispositivos de baixo consumo e de recursos. O Thatachi mostrou eficácia na mitigação de ataques específicos no serviço de roteamento de redes IoT. Nesse trabalho o autor compara as métricas de falsos positivos do

3 _{Os nós em uma rede 6LoWPAN usam o ND para realizar a configuração automática de endereços,}

a resolução de endereços da camada dois, a detecção de inacessibilidade do vizinho e para localizar roteadores padrão.

4 _{Solicitação de endereço duplicado , do inglês, Duplicate Address Request (DAR) e confirmação de}

endereço duplicado, do inglês, Duplicate Address Confirmation (DAC), são dois tipos de mensagens ICMPv6 que são definidos para executar a detecção opcional de endereços duplicados em várias topologias de redes (OLIVEIRA et al.,2013).

5 _{O protocolo de roteamento para redes de baixa potência e com perdas, do inglês, Routing Protocol for}

Low-Power and Lossy Networks (RPL) foi padronizado recentemente como um protocolo de roteamento

para a IoT. O RPL é projetado principalmente para Redes com Baixo consumo de energia e com Perdas, do inglês, Low-power and Lossy Networks (LLNs), também chamadas de IPv6 em redes 6LoWPAN (ALEXANDER et al.,2012).

6 _{O spoofing é um ataque que consiste em mascarar pacotes IP utilizando endereços MAC de remetentes}

(34)

Thatachi com o INTI, tendo este último sido desenvolvido para mitigar ataques sinkhole. Em linhas gerais, as métricas utilizadas mostraram um bom resultado do Thatachi em relação ao INTI dentro do cenário de ataque do sinkhole. A limitação do IDS Thatachi consiste em alcançar um bom resultado apenas no tipo de ataque com comportamento

sinkhole e selective forwarding.

Já os autoresKamaldeep, Malik e Dutta (2017) descrevem que a principal contri-buição de sua pesquisa foi a implementação e demonstração do ataque de inundação UDP (User Datagram Protocol). A pesquisa utilizou o sistema operacional Contiki, tendo sido implementado e demonstrado no simulador COOJA. O objetivo foi propor um mecanismo de limitação de taxa que deve ser incorporado no sistema operacional ContikiOS para mitigar os ataques de inundação do UDP. O esquema proposto reduziu o consumo de energia da vítima em 9% e economizou em 55% o poder total de transmissão da vítima.

Nesse artigo ainda é fornecida uma visão geral das tendências de ataques do tipo DDoS direcionados aos protocolos de IoT, como por exemplo, o protocolo IPv6, 6LoWPAN e RPL. Os autores explicam que o DoS visa consumir os recursos de um host ou de uma rede remota, negando ou degradando serviços para usuários legítimos. O conceito DDoS aparece quando é realizado por um grupo de atacantes e por sua vez classificam-se em dois tipos: DDoS Direto e DDoS por Reflexão.

No primeiro a vítima é atacada diretamente por um grande número de pacotes feito pelo próprio atacante ou pelo redirecionamento de outras máquinas zumbis. No segundo caso, o DDoS por Reflexão, o atacante falsifica as solicitações enviando-as para diversas máquinas como se tivesse sido feito pela própria vítima, sobrecarregando assim a rede da vítima. O trabalho envolveu desenvolver um algoritmo para mitigar o ataque de inundação UDP em redes de IoT, pois atualmente, não há mecanismo no Contiki que possibilite limitar a geração de taxa das mensagens de erro ICMP (KAMALDEEP; MALIK; DUTTA, 2017).

No artigo proposto por Karuppiah et al. (2015), o trabalho desenvolvido teve a finalidade de detectar e prevenir ataques do tipo Black Hoke. Foi implementado um sistema de detecção de intrusões (IDS), possibilitando que cada nó do sensor enviasse um pacote de controle para um dos agentes. O cabeçalho do cluster era enviado entre eles ao término de cada transmissão. Cada pacote de controle contém o identificador de nó, ou seja, seu PID, e o número de pacotes enviados para o cabeçalho do cluster. Portanto, a estação base compara o número de pacotes enviados de cada nó com a quantidade de pacotes recebidos de seu agente com o do cabeçalho do cluster. A incompatibilidade no número de pacotes enviados permite que a estação base detecte um eventual ataque Black Hole.

Neste caso, conforme foi apresentado no parágrafo anterior, a estação base transmite um pacote de alarme para todos os nós da rede. O pacote de alarme contém o identificador do nó do Black Hole com o cabeçalho do cluster detectado. Todos os nós do sensor mantêm

(35)

uma tabela de Black Hole, que contém identificadores de nós Black Hoke detectados. Então, cada sensor do nó verifica na tabela de Black Hole antes de selecionar o seu próximo cabeçalho de cluster, o que impede que o nó do invasor seja selecionado novamente como o cabeçalho do cluster. Assim, esse artigo definiu as fases como: a seleção do nó do agente; a determinação de nós vizinhos; escolher um cabeçalho de cluster ; a transmissão de pacotes de controle e a detecção e eliminação do nó Black Hole (KARUPPIAH et al., 2015).

Nakashima e Oshima(2006) apresentam um método de detecção para ataques de inundação por SYN 7 em estágio inicial. Os autores implementaram um programa para envio do pacote SYN e coletaram a respectiva resposta SYN + ACK 8 do servidor. O método construído baseou-se num modelo padrão gerado por observações para a atividade do servidor detectando as pequenas flutuações em relação à taxa de resposta do pacote e ao atraso médio da resposta. Finalmente, o pacote RST 9 _{quando foi enviado para o}

servidor no qual tinha o estado TCP mantido em half-open possibilitou ter seu estado liberado. O Three-Way Handshake é o processo de três vias TCP que ocorre entre o cliente e o servidor ao iniciar ou encerrar uma conexão TCP. Basicamente, o estabelecimento de conexão é feito através do pacote com a flag SYN pelo cliente sendo retornada a flag SYN+ACK pelo servidor e por fim respondida pelo cliente com um pacote com a flag ACK Microsoft (2010). A limitação do experimento foi ter sido implementado e avaliado somente sob o sistema operacional FreeBSD.

EmBouyeddou et al.(2018), os autores mencionam que os ataques de inundação por ICMP (Internet Control Message Protocol) ainda são uma das ameaças mais desafiadoras nas redes IPv4 e IPv6. Destaca-se, portanto, que o ataque Smurf utiliza amplamente este método. O autor propôs uma abordagem baseada na divergência de Kullback-Leibler (KLD) para detectar ataques de inundação DoS baseados em ICMP e Distributed DoS.

Isso é motivado pela alta capacidade do KLD de discriminar quantitativamente entre duas distribuições. A análise foi suportada na regra do six-sigma que foi aplicada às distâncias do KLD para detecção de anomalias avaliando a eficácia nos conjuntos de dados através do sistema de detecção de intrusão de 1999 da DARPA. A distância de Kullback-Leibler, conforme equação extraída do livro Cover e Thomas (2006), também chamada de entropia relativa, é uma medida da distância entre duas distribuições de probabilidade p(x) e q(x) onde na estatística é dada pela equação 3.1 :

D(p||q) = X

x∈X

p(x)logp(x)

q(x) (3.1)

O artigo doAhmed e Hussain(2014) simula o ataque Black Hole usando o NS 2.35 no Debian Linux versão 6 e mostra o resultado das simulações de ataques considerando a

7 _{SYN - Synchronize sequence numbers (Sincronização do número de sequência) (MICROSOFT,}_2010). 8 _{ACK - Acknowledgement field significant (Reconhecimento) (MICROSOFT,}_2010).