Internet of (Every)Thing

1.073 Aufrufe

Veröffentlicht am

Internet of Things, Industrie 4.0, Big Data, Cloud, Vernetzung und so weiter und so fort. Die Digitalisierung schreitet voran und mit ihr kommen Trends und Buzzwords und gehen wieder. Eines bleibt jedoch: Die Sicherheitsanforderungen an die IT.

Veröffentlicht in: Technologie
0 Kommentare
2 Gefällt mir
Statistik
Notizen
  • Als Erste(r) kommentieren

Keine Downloads
Aufrufe
Aufrufe insgesamt
1.073
Auf SlideShare
0
Aus Einbettungen
0
Anzahl an Einbettungen
32
Aktionen
Geteilt
0
Downloads
24
Kommentare
0
Gefällt mir
2
Einbettungen 0
Keine Einbettungen

Keine Notizen für die Folie

Internet of (Every)Thing

  1. 1. Prof. Claudia Eckert Fraunhofer-Institut für Angewandte und Integrierte Sicherheit (AISEC) Hamburger IT-Strategie-Tage, Februar 2015 Internet of (Every)thing
  2. 2. Gliederung 1. IoT: Daten-zentrierte Wertschöpfung 2. Bedrohungslage 3. Lösungen jenseits von Firewalls, VPN, PKI, … 4. Take Home Message
  3. 3. Digitalisierung ist nicht neu, aber  Vernetzung  Internet der Dinge und Dienste  Vernetzung von Industrial IT und Business IT  Unternehmensübergreifend  Vom Sensor in die Cloud
  4. 4. It‘s all about Data Vielzahl von Daten:  Produktions-, Produktdaten,  Wartungs-, Logistik-, Kundendaten Digitalisierung  Horizontale und vertikale Integration der Wertschöpfungsprozesse „Who owns the data wins the war“
  5. 5. BigData und Vernetzung: Neue Geschäftsmodelle COPYRIGHT beachten! Bilder und Grafiken nur für internen Gebrauch! Data-driven Innovations
  6. 6. Gliederung 1. Daten-zentrierte Wertschöpfung 2. Bedrohungslage 3. Lösungen jenseits von Firewalls, VPN, PKI, … 4. Take Home Message
  7. 7. 2. Bedrohungslage Zunehmende Verwundbarkeit  Manipulation  Datendiebstahl  Wirtschaftsspionage  Sabotage  Produktpiraterie Safety-Probleme durch IT-Security-Incidents!
  8. 8.  > 37 % der Sicherheitsvorfälle 2014 wird Schwachstellen in Anwendungen oder deren Konfiguration zugeordnet  > 50 % der Organisationen verwenden keinen sicheren Softwarelebenszyklus  Größte Hürden zur Verbesserung der Softwaresicherheit:  Geringe Kenntnisse  Fehlende Werkzeuge  Unpassende Methoden 96%der untersuchten Anwendungen hat Sicherheitsschwachstellen. 14Sicherheitsschwachstellen pro Anwendung identifiziert. Dabei wurden im Mittel Quellen:Cenzic(2014),DataLossDB(2014),Ponemon(2013),SANS(2014)u.a. 2. Bedrohungslage: Unsichere Software
  9. 9. Attack Scenarios  Reverse Engineering  Product Counterfeiting  Intellectual Property Theft  Unauthorized Spare Parts  Espionage / Hardware Trojan 2. Bedrohungen: Unsichere smarte Produkte Attack Scenarios  Altering / Tampering  Hardware Trojan Attack Scenarios  Reverse Engineering  Product Counterfeiting  Intellectual Property Theft Attack Scenarios  Firmware Manipulation  Software Piracy Attack Scenarios  Reverse Engineering  Cloning (Example in 2008: UFS912)  Circumventing of Copy Protection  Firmware Manipulation Attack Scenarios  Reverse Engineering  Product Counterfeiting  IP Theft  Cloning (N97: Nokia vs Nokla)  Firmware Manipulation  Software Piracy Attack Scenarios  Firmware Reverse Engineering  Circumventing of Copy Protection  Manipulation (firmware, hardware)  Software / iracy Scale Set-top box Game Console Mobile Phone / PDA Satnav EC Terminal Industrial Automation & Equipment
  10. 10. Quellen:Cenzic(2014),DataLossDB(2014),Ponemon(2013),SANS(2014)u.a. 2. Bedrohungslage: Ungeschützte Anlagen Zugriff auf Steuergeräten in Industrieanlagen Beispiel: Fernwärmekraftwerke: Versorgung mit Mausklick manipulierbar
  11. 11. Standard-IT Security nicht direkt übertragbar: Sicherheits-Management ist notwendig! Office ITIndustrial IT Application of patches Availability requirement Security testing / audit Physical Security Security Awareness Anti-virus Component Lifetime Real time requirement Security Standards Regular / scheduled Medium, delays accepted Scheduled and mandated High (for critical IT) High Common / widely used 3-5 years Delays accepted Existing Slow Very high Occasional Very much varying Increasing Uncommon / hard to deploy Up to 20 years Critical Under development
  12. 12. 2. Bedrohungslage: IoT Unsichere Produkte (Hardware) Unsichere (eingebettete) Software, Unsichere Anlagen (Produktion...)  Unsichere Fernwartung,  Unsichere mobile Geräte,  Gefährdung der Betriebssicherheit  Unsicherer Einsatz von Standard-IT
  13. 13. Gliederung 1. Daten-zentrierte Wertschöpfung 2. Bedrohungslage 3. Lösungen jenseits von Firewalls, VPN, PKI, … 4. Take Home Message
  14. 14. 1. Software-Sicherheit über Lebenszyklus 2. Sicherheits-Analysen 3. App-Sicherheit 4. Mobile Device-Sicherheit 3. Lösungsansätze
  15. 15. 3.1 Software-Sicherheit  Vorschläge sind heterogen, isoliert und (die Werkzeuge) unreif  Integration, Konkretisierung und Parametrisierung erforderlich
  16. 16. Integration konsolidierter Maßnahmen für  Konstruktion,  Analyse und Überwachung  Werkzeugunterstützung im gesamten Lebenszyklus Iterativ inkrementelle Optimierung über  Audit, Zielbestimmung, Umsetzung und Überwachung des Lebenszyklus Nutzen: Messbare Verbesserung gemäß individuellem Risikoprofil, einheitliche Bewertungs-Standards 3.1 Software-Sicherheit Lebenszyklus
  17. 17. 3.2 Sicherheitsanalyse Beispiel: Hardware/Sensorik/Produkte Fragestellungen: u.a.  Krypto-Schlüssel extrahierbar?  Verhalten gezielt beeinflussbar?  Hardware-Trojaner implantiert? Analyse-Techniken: u.a.  Hochauflösende Magnetfeldmessungen  Multisonden-Messungen  Fehler-Injektion: Mehrfach-Laser-Aufbau
  18. 18. 3.2 Beispiel: Sicherheitsanalyse eines Industrie-Roboters Fernzugriff auf Roboter-Controller via Netzverbindung  Controller akzeptiert Befehle über die Netzwerkverbindung z.B. Auslesen von Benutzerinformationen: Name, Passwort  Unsichere Firmwareupdate über FTP (Klartext, ohne Auth)  Fehlende Überprüfung von FTP-Benutzer und Passwort!  Aktivierung der Debug-Schnittstelle von VxWorks (WDB)  volle Kontrolle über das Betriebssystem! Engineering Station im Büronetz
  19. 19. 3.2 Beispiel: Sicherheitsanalyse eines Industrie-Roboters Hacking: Fernzugriff auf Roboter-Controller via Netzverbindung Rechner des Angreifers im Internet Firewall des Firmennetzes Engineering Station im Büronetz
  20. 20. Konkreter Angriff Rechner des Angreifers im Internet Firewall des Firmennetzes Engineering Station im Büronetz Angreifer schickt Phishing E-Mail mit Link
  21. 21. Konkreter Angriff Rechner des Angreifers im Internet Firewall des Firmennetzes Engineering Station im Büronetz Mitarbeiter öffnet Link in Browser
  22. 22. Konkreter Angriff Rechner des Angreifers im Internet Firewall des Firmennetzes Engineering Station im Büronetz Browser-Exploit ermöglicht Laden einer Payload des Angreifers in den Arbeitsspeicher
  23. 23. Konkreter Angriff Rechner des Angreifers im Internet Firewall des Firmennetzes Engineering Station im Büronetz Die Payload baut ausgehend vom internen Netz eine Verbindung zum Server des Angreifers auf
  24. 24. Konkreter Angriff Rechner des Angreifers im Internet Firewall des Firmennetzes Engineering Station im Büronetz Der Angreifer kann nun über den infizierten Rechner sämtliche genannten Schwachstellen des Roboters ausnutzen
  25. 25. 3.3 App-Sicherheit Trusted-App-Store: unternehmensintern Probleme:  Informationslecks? Compliance?  Speichern von Zugangsdaten? für Amazon, Twitter, Facebook Analyse-Framework AppRay:  Informationsflussanalysen  Verhaltensanalyse in simulierter Umgebung  Code-Instrumentierung, u.a. Überwachen von zur Laufzeit konstruierten Zugangs-Tokens
  26. 26. Check von 10.000 Android Apps (aus Google PlayStore)  Untersuchung von 10.000 Android Apps im 1. Quartal 2014  69% der Apps kommunizieren unverschlüsselt  26% nutzen SSL-Verbindungen, sind jedoch nicht sicher umgesetzt  49% der Apps ermitteln den genauen Standort des Geräts  448 Apps versenden eine eindeutige Gerätekennung (u.a. IMEI)  Noch vor der Vergabe von Privilegien funken zahlreiche Apps bereits Informationen ins Internet Quelle: http://www.aisec.fraunhofer.de/de/medien-und-presse/pressemitteilungen/2014/20140403_10000_apps.html
  27. 27. Nutzen: Betrieb eines Trusted-AppStores Kontroll- und Datenflussanalysen, Compliance-Check Telefonnummer des Nutzers Weiterleitung an App
  28. 28. Unverschlüsselten Dateizugriffe durch verschlüsselte ersetzen: Originale App speichert Notizen im Klartext: Instrumentierte App speichert verschlüsselt: Weitere Beispiele:  Kopierschutz, Internet Proxy einfügen  bekannte Schwachstellen, Werbung, … entfernen Unternehmens-interner Trusted-AppStore Automatisierte App Härtung, Bsp SimpleNotepad Dies ist eine Testnotiz MI70qE/MbXvaPYvSycClcBaTy9R0BC9QF8/ay47IB/P2yiYN1BwGeMIO2Ad1v3ruLElE/A q5Av73LBsm 6r1SAE/O2uRv0jFP3wNiH/FL0G+MbO4BiNt3RwUDXMUq1Iw5
  29. 29. 3.4 Mobile Sicherheit Sichere Android-Plattformen: CeBIT2015 Problem:  Datenlecks durch unsichere mobile Geräte: Smartphone, Tablet, … Ursachen:  Fehlende Isolation, fehlende Kontrollen Lösung: trust|x  Android-basiert + Secure Element  Kontexte: Business, Produktion, HR, privat, …: einfach, flexibel, isoliert
  30. 30. Sicherer Speicher für Schlüssel, PINs  Sicherer Speicher durch secure Element, z.B. sichere microSD Karte  Sicheres Speichern von kryptographischen Schlüsseln, PINs, Passworten, Zertifikaten, Prüfwerten, z.B. Schlüssel für VPN, Mail Transparentes VPN  kein direkter ´Internet Zugriff,  Vollständig kontrollierte Netzanbindung für Sicherheits-Container 3.4 Mobile Sicherheit Sichere Android-Plattformen
  31. 31. 3.4 Mobile Sicherheit Sichere Android-Plattformen Sicheres Geräte-Management  Remote Verwaltung der Geräte durch IT-Abteilung  Durchsetzen von vorgegebenen Sicherheitsrichtlinien auf den mobilen Endgeräten;  Zentralisiertes Einspielen von Software-Updates  Sichere Verbindung zum Backend U.a. remote Wipe für Sicherheits- Container, nicht für private Umgebungen (Datenschutz)
  32. 32. Kontextverwaltung: Szenario: Auslandsaufenthalt (1) Isolierter Container auf trust|x Gerät erzeugt (2) Kontext-Transfer (3) Nutzen (4) Synchronisieren (5) Bei Bedarf: Recovery 3.4 Mobile Sicherheit Sichere Android-Plattform (1) (2) (3) (4) (5)
  33. 33. 4. Take Home Message IoT: Erweiterte Anforderungen an das Sicherheits- Management:  Produktion, Produkt, Business-Security: Wechselwirkungen, Safety! Kritische Handlungsfelder:  Sichere Software über Lebenszyklus  Schwachstellen-Analysen (Systemsicht)  Mobile Sicherheit: kontrollierbar, managed
  34. 34. Vielen Dank für Ihre Aufmerksamkeit! Claudia Eckert Fraunhofer-Institut AISEC, München TU München, Lehrstuhl für Sicherheit in der Informatik E-Mail: info@aisec.fraunhofer.de Internet: http://www.sec.in.tum.de http://www.aisec.fraunhofer.de Twitter: @FraunhoferAISEC

×