5 research outputs found
Mapeamento de Requisitos de Segurança à Tecnologia na Internet das Coisas
Devido ao rápido avanço tecnológico, a segurança e a privacidade têm sido assuntos de debates
nos últimos anos, tanto por parte da comunidade industrial e científica, como pelos utilizadores
finais. A partilha de informação através de métodos tecnológicos tem vindo a crescer na última
década, devido também ao rápido crescimento e penetração destes meios. Uma das áreas que
maior crescimento tem apresentado é conhecida como a Internet das Coisas (IdC), que engloba
tecnologia que permite conectar vários objetos físicos e inteligentes com poder computacional
reduzido na Internet, permitindo a partilha de informações entre si. Atualmente a IdC já desempenha
um papel importante em muitas áreas chave da sociedade (e.g., transportes, saúde,
e agricultura), sobretudo por permitir, de forma cómoda, extrair e partilhar informações referentes
ao estado do ambiente. No entanto, vários problemas e desafios relacionados com a
segurança têm surgido e demonstrado que a IdC carece de uma intervenção estruturante nessa
dimensão, começando pelo básico.
A IdC está num estado prematuro em termos de segurança e privacidade. Não existe uma
abordagem geral (ou até preocupação) em relação à segurança, e não existe um mecanismo
padronizado para a proteção dos dados e dispositivos. O hype associado a novos sistemas da IdC
degenera num time-to-market reduzido que beneficia funcionalidade e prejudica engenharia de
segurança. Por outro lado, especificações de processamento e memória mais modestas para
muitos dos dispositivos da IdC criam desafios adicionais ao desenho e à integração de mecanismos
de segurança; o facto de muitos dispositivos estarem fisicamente acessíveis, sem controlo
rígido de acesso, bem como o facto de tecnologias sem-fios muitas vezes não cifradas ou sem
garantia de integridade serem usadas nas comunicações da IdC facilita sobremaneira ataques a
dispositivos IdC por parte de entidades maliciosas.
Esta dissertação começa por analisar, de forma abrangente, alguns estudos já realizados na área
da segurança para a IdC, comparando-os e usando-os como motivação para um estudo sobre a
performance de mecanismos de segurança em plataformas de desenvolvimento atuais da IdC,
especificamente num Raspberry Pi 3, assumindo que este conhecimento é importante para o
desenho de sistemas e software para a IdC. A dissertação contém os resultados da performance
para algumas funções da biblioteca OpenSSL, incluindo as funções de hash e cifra mais populares
atualmente, colocados em perspetiva contra os resultados obtidos para um computador
de secretária. É ainda apresentado um conjunto de testes de desempenho relacionadas aos
mecanismos de segurança existentes para sistemas computacionais (e.g., firewall e sistema de
detenção de intrusão).
Esta dissertação apresenta também uma primeira abordagem para o mapeamento entre requisitos
e mecanismos de segurança no contexto específico da IdC, com objetivo de encontrar os
requisitos que melhor se adaptam ao ambiente da IdC, conhecendo as suas limitações, em particular
a de segurança. No final, é apresentado um protótipo de uma ferramenta para prova de
conceito e que dá utilidade a este mapeamento.Due to a very fast paced rythm in technology advancement, security and privacy have been
subjects of debate in recent years, both by the industry and scientific community, and by end
users. The sharing of information through technological means has been growing in the last
decade, also due to the rapid growth and penetration of technology in everyday human life. One
of the fastest growing areas is known as Internet of Things (IoT), which encompasses technology
that allows one to connect multiple physical and intelligent objects with reduced computing
power to the Internet, allowing sharing information with each other. Presently, IoT already
plays an important role in many key areas of society (e.g., transport, health, and agriculture),
in particular by enabling it to conveniently extract and share information on the state of the
environment. However, several security-related problems and challenges have arisen in the last
years, clearly demonstrating that IoT lacks a structuring intervention in this dimension, starting
from the basics.
IoT is in a premature state in terms of security and privacy. There is no general approach (or even
concern) to security, and there is no standardized mechanism for protecting data and devices.
The hype associated with new IoT systems often degenerates into a reduced time-to-market that
benefits functionality and prejudices security engineering. On the other hand, more modest
processing and memory specifications for many of the IoT devices create additional challenges
in designing and integrating security mechanisms; the fact that many devices are physically
accessible without rigid access control as well as the fact that often unencrypted or unsecured
wireless technologies are used in the communications of IoT greatly facilitates attacks on such
devices by malicious entities.
This dissertation begins by analyzing, in a comprehensive manner, some studies already carried
out in the field of security for IoT, comparing them and using them as motivation for a study on
the performance of security mechanisms in current development platforms for the IoT, specifically
in a Raspberry Pi 3, assuming that this knowledge is important for the design of secure
IoT systems and software. The dissertation contains the performance results for some OpenSSL
library functions, including the most popular hash and cipher functions currently used. These
results are compared against the ones obtained for a desktop computer. Also presented is a set
of performance tests concerning existing security mechanisms for computational systems (e.g.,
firewall and intrusion detection system).
This dissertation also presents a first approach to the mapping between requirements and security
mechanisms in the specific context of IoT, in order to find the requirements that best fit
the IoT environment, knowing its limitations, in particular security. In the end, a prototype of
a proof-of-concept tool, which shows how this mapping can be useful in practice, is presented