Existe alguma vantagem em criptografar dados do sensor que não são particulares?


20

Alguns sites, como este artigo sobre criptografia de ponta a ponta para a IoT , sugerem que todo o tráfego enviado pela rede da IoT deve ser criptografado, dizendo:

Empresas, órgãos governamentais e outras organizações devem adotar uma estratégia de "criptografar tudo" para proteger contra violações ativadas pela IoT.

Entendo a necessidade de criptografar quaisquer dados que possam ser confidenciais, como os comandos para bloquear / desbloquear um dispositivo 'smart lock', mas é realmente necessário criptografar tudo , como o sensor que relata a leitura atual do termostato?

É simplesmente o caso de "criptografar tudo" para que as pessoas não se esqueçam de criptografar dados que realmente devem ser criptografados ou há um benefício real do uso de criptografia, apesar da energia, tempo e custo extras?


5
Você ficaria surpreso com o que pode obter com uma simples leitura de termômetro. Quando eu estava no overclock, fiz um gráfico da temperatura do meu computador. Eu podia ver a fornalha dando um ciclo naquele gráfico (obviamente), mas também conseguia rastrear o movimento do sol no céu, detectar quando as luzes da sala estavam acesas ou apagadas e dizer quando alguém entrava ou saía da sala - e fazer uma palpite razoavelmente preciso de onde eles estavam.
Mark

Respostas:


25

Absolutamente porque:

  1. Um dispositivo e canal seguros significa que você pode confiar nos dados . Sim, a temperatura real não é muito particular, mas um invasor pode fornecer temperaturas falsas e causar uma resposta indesejável (por exemplo, ligar o aquecimento desnecessariamente). Foi assim que o stuxnet funcionou, relatando incorretamente a velocidade das centrífugas, fazendo com que o sistema de controle as tornasse mais rápidas até que quebrassem. Observe que um canal seguro não é apenas criptografado, mas autenticado e protegido pela integridade . Integridade é o que importa aqui.
    Somente a criptografia não permite que você confie nos dados: um invasor pode modificar os dados criptografados, mesmo que não saiba exatamente o que está modificando. Mesmo a autenticação por si só não permite que você confie totalmente nos dados, pois os dados autênticos podem ser reproduzidos. Você precisa de um protocolo que garanta a integridade dos dados.
  2. É difícil dizer a diferença entre um dispositivo com defeito e um dispositivo comprometido. A detecção e o reparo de falhas são difíceis e dispendiosos; portanto, não é necessário reparar os dispositivos (ou depurar todo o sistema), vale a pena colocar alguma segurança.
  3. Em um ecossistema mais amplo, você não deseja alguns dispositivos com criptografia e outros não, pois isso aumenta os custos, a manutenção e o gerenciamento de dispositivos. Se você não pode afirmar, com certeza, que nenhum dado privado será transmitido dentro de alguns anos no sistema (não apenas no dispositivo), será mais seguro projetá-lo agora.
  4. Sua definição de dados privados pode estar errada e, a menos que você a verifique com auditores e especialistas em regulamentação nas regiões em que você opera, assuma que os dados são privados. O GPS coordena e até endereços IP podem ser considerados pessoalmente identificáveis ​​por algumas estruturas regulatórias.

8

Os relatórios do sensor para uma leitura atual do termostato parecem muito particulares para mim. Um ladrão pode usar os dados para descobrir quando uma pessoa está em casa. Depois que a casa foi roubada, o proprietário pode decidir que é uma boa ideia processar o fabricante do termostato por violar sua privacidade e, assim, permitir o roubo.

Esse é o tipo de risco legal que um fabricante do termostato deseja para seus produtos? Deseja argumentar perante um tribunal que é perfeitamente aceitável que sua empresa forneça aos ladrões as informações que eles precisam saber quando invadir a casa de seus clientes?


1
Essa é a coisa mais sensível que as pessoas esquecem: se todo mundo tem algum sensor relatando dados aparentemente estúpidos, pode-se começar a monitorar hábitos de toda uma vizinhança com uma única antena e passivamente. ("estúpido" pode ser medidor de energia, medidor de água da torneira, temperatura, luz ambiente, nível de som, comando do interruptor de luz etc.).
Nipo 30/01

6

Sim, há vantagem em criptografar todas as comunicações. Você não postaria perguntando se há alguma vantagem em trancar sua casa, não é?

Não há dúvida de se, mas de quanto, pode haver vantagem.

Um dos maiores especialistas em segurança Bruce Schneier , que tem um ótimo blog , btw, dirá que você não pode tornar as coisas totalmente seguras. O que você pode fazer é torná-los seguros o suficiente para aumentar mais o custo de quebrá-los do que o benefício de fazê-lo.

Em termos financeiros brutos, se custa US $ 100 para entrar em algum lugar e receber US $ 5, o invasor em potencial é dissuadido, mesmo que seja possível invadir.

Em termos sociais grosseiros, se eu tiver um alarme visível, câmeras de segurança, holofotes de ativação de movimento e um bando de cães, um ladrão determinado ainda poderá invadir minha casa. Mas se a sua casa ao lado tiver a mesma aparência e não tiver esses impedimentos ...

Você pode ler muitas de suas reflexões sobre a Internet das coisas, por Goggling for Bruce Schneier iot, incluindo

Fato aleatório de Bruce Schneier # 81

Bruce Schneier ensinou a Chuck Norris como dividir por zero enquanto eles ficavam em silêncio em um elevador.


5

É sempre uma escolha do designer / desenvolvedor. Mas usar criptografia e outras medidas de segurança se tornando uma necessidade nos dias de hoje.

Como um exemplo, o sensor que relata a leitura atual do termostato pode ser controlado por um invasor para enviar sinais falsos. (Eles podem ter alguma estratégia para roubá-lo, quem sabe?)

Você pode ter ouvido dizer que não pode tornar sistemas inacessíveis . Você só cria sistemas mais difíceis de violar!

Independentemente das medidas que você tomou, elas ainda podem quebrá-las. Portanto, por que se preocupar em tomar algumas medidas extras para torná-lo seguro?


5

Além de outras respostas, se os dados forem enviados em texto sem formatação, eles poderão ser modificados.

Além dos problemas mencionados, a falsificação de dados pode causar (aumentar o calor ao máximo devido ao termômetro no meio do verão quente pode levar a risco de incêndio, por exemplo) a manipulação de dados pode levar ao comprometimento do dispositivo IoT e tudo o que o acessa (por Por exemplo, seu notebook pode estar verificando a temperatura, mas a página HTML que mostra a temperatura pode ser substituída em trânsito por vírus de computador projetados para infectar sua rede interna, ou os dados JSON podem ser modificados para entrar no aplicativo, lendo dados malformados etc.).

Não que a implementação da segurança esteja isenta de riscos, especialmente no mundo da IoT. A segurança é difícil, e sua implementação geralmente aumenta enormemente a base de código e, com isso, o número de bugs (e, portanto, possíveis vetores de ataque / oportunidades de exploração). As IoTs raramente recebem atualizações de firmware; portanto, quando um dispositivo de IoT sem atualização automática tem um problema, é quase garantido que você fornece às Botnets máquinas extras de zumbis.

E sim, a atualização automática em si não está isenta de problemas - desde questões de privacidade até a possibilidade de que malfeitores o controlem se não forem implementadas adequadamente; mas deve haver um risco menor do que esperar que seu primeiro firmware esteja livre de bugs de segurança, permitindo que os invasores aumentem suas fileiras de zumbis.


1
“Se os dados são enviados em texto simples, eles podem ser modificados”. Nem isso nem o inverso são verdadeiros. Se os dados forem enviados em texto sem formatação e assinados , não poderão ser modificados sem detecção. (Para ser mais preciso, para detectar modificações, a transmissão também precisa ser protegida contra a reprodução.) Por outro lado, os dados criptografados podem ser modificados se não forem assinados.
Gilles 'SO- stop be evil'

@Gilles, você está certo, é claro - eu não queria complicar entrando em muitos detalhes técnicos, então, por "texto simples" eu estava sugerindo "sem nenhuma medida de segurança" (como a maioria dos dispositivos de IoT atualmente opera). Se o fabricante se preocupasse com os dados assinados protegidos contra a reprodução, certamente também criptografaria os dados também em vez de enviá-los em texto simples (eles provavelmente apenas colocariam a camada TLS em movimento caso se preocupassem com a segurança). Embora teoricamente possível, a situação que você descreve quase nunca aconteceria na prática.
Matija Nalis
Ao utilizar nosso site, você reconhece que leu e compreendeu nossa Política de Cookies e nossa Política de Privacidade.
Licensed under cc by-sa 3.0 with attribution required.