Mapeamento de Requisitos de Segurança à Tecnologia na Internet das Coisas

Devido ao rápido avanço tecnológico, a segurança e a privacidade têm sido assuntos de debates nos últimos anos, tanto por parte da comunidade industrial e científica, como pelos utilizadores finais. A partilha de informação através de métodos tecnológicos tem vindo a crescer na última década, devido também ao rápido crescimento e penetração destes meios. Uma das áreas que maior crescimento tem apresentado é conhecida como a Internet das Coisas (IdC), que engloba tecnologia que permite conectar vários objetos físicos e inteligentes com poder computacional reduzido na Internet, permitindo a partilha de informações entre si. Atualmente a IdC já desempenha um papel importante em muitas áreas chave da sociedade (e.g., transportes, saúde, e agricultura), sobretudo por permitir, de forma cómoda, extrair e partilhar informações referentes ao estado do ambiente. No entanto, vários problemas e desafios relacionados com a segurança têm surgido e demonstrado que a IdC carece de uma intervenção estruturante nessa dimensão, começando pelo básico. A IdC está num estado prematuro em termos de segurança e privacidade. Não existe uma abordagem geral (ou até preocupação) em relação à segurança, e não existe um mecanismo padronizado para a proteção dos dados e dispositivos. O hype associado a novos sistemas da IdC degenera num time-to-market reduzido que beneficia funcionalidade e prejudica engenharia de segurança. Por outro lado, especificações de processamento e memória mais modestas para muitos dos dispositivos da IdC criam desafios adicionais ao desenho e à integração de mecanismos de segurança; o facto de muitos dispositivos estarem fisicamente acessíveis, sem controlo rígido de acesso, bem como o facto de tecnologias sem-fios muitas vezes não cifradas ou sem garantia de integridade serem usadas nas comunicações da IdC facilita sobremaneira ataques a dispositivos IdC por parte de entidades maliciosas. Esta dissertação começa por analisar, de forma abrangente, alguns estudos já realizados na área da segurança para a IdC, comparando-os e usando-os como motivação para um estudo sobre a performance de mecanismos de segurança em plataformas de desenvolvimento atuais da IdC, especificamente num Raspberry Pi 3, assumindo que este conhecimento é importante para o desenho de sistemas e software para a IdC. A dissertação contém os resultados da performance para algumas funções da biblioteca OpenSSL, incluindo as funções de hash e cifra mais populares atualmente, colocados em perspetiva contra os resultados obtidos para um computador de secretária. É ainda apresentado um conjunto de testes de desempenho relacionadas aos mecanismos de segurança existentes para sistemas computacionais (e.g., firewall e sistema de detenção de intrusão). Esta dissertação apresenta também uma primeira abordagem para o mapeamento entre requisitos e mecanismos de segurança no contexto específico da IdC, com objetivo de encontrar os requisitos que melhor se adaptam ao ambiente da IdC, conhecendo as suas limitações, em particular a de segurança. No final, é apresentado um protótipo de uma ferramenta para prova de conceito e que dá utilidade a este mapeamento.Due to a very fast paced rythm in technology advancement, security and privacy have been subjects of debate in recent years, both by the industry and scientific community, and by end users. The sharing of information through technological means has been growing in the last decade, also due to the rapid growth and penetration of technology in everyday human life. One of the fastest growing areas is known as Internet of Things (IoT), which encompasses technology that allows one to connect multiple physical and intelligent objects with reduced computing power to the Internet, allowing sharing information with each other. Presently, IoT already plays an important role in many key areas of society (e.g., transport, health, and agriculture), in particular by enabling it to conveniently extract and share information on the state of the environment. However, several security-related problems and challenges have arisen in the last years, clearly demonstrating that IoT lacks a structuring intervention in this dimension, starting from the basics. IoT is in a premature state in terms of security and privacy. There is no general approach (or even concern) to security, and there is no standardized mechanism for protecting data and devices. The hype associated with new IoT systems often degenerates into a reduced time-to-market that benefits functionality and prejudices security engineering. On the other hand, more modest processing and memory specifications for many of the IoT devices create additional challenges in designing and integrating security mechanisms; the fact that many devices are physically accessible without rigid access control as well as the fact that often unencrypted or unsecured wireless technologies are used in the communications of IoT greatly facilitates attacks on such devices by malicious entities. This dissertation begins by analyzing, in a comprehensive manner, some studies already carried out in the field of security for IoT, comparing them and using them as motivation for a study on the performance of security mechanisms in current development platforms for the IoT, specifically in a Raspberry Pi 3, assuming that this knowledge is important for the design of secure IoT systems and software. The dissertation contains the performance results for some OpenSSL library functions, including the most popular hash and cipher functions currently used. These results are compared against the ones obtained for a desktop computer. Also presented is a set of performance tests concerning existing security mechanisms for computational systems (e.g., firewall and intrusion detection system). This dissertation also presents a first approach to the mapping between requirements and security mechanisms in the specific context of IoT, in order to find the requirements that best fit the IoT environment, knowing its limitations, in particular security. In the end, a prototype of a proof-of-concept tool, which shows how this mapping can be useful in practice, is presented