UMA ARQUITETURA PARA A DISTRIBUIÇÃO SEGURA DE DADOS DE CONTEXTO EM APLICAÇÕES DE INTERNET DAS COISAS MÓVEIS

The Internet of Things (IoT) is increasingly present in people's daily lives. In this paradigm, everyday objects can connect to the Internet, interact with each other and exchange information with people. IoT operates in domains such as health and well being, logistics, industry, and smart cities. Data gathered in these domains comes from dierent devices. A frequent solution for the heterogeneity of devices is the use of middleware, which aims to serve as a basis for the development of IoT applications. IoT applications have security requirements. Among the various existing IoT middleware solutions, only a few show eorts to provide security mechanisms. The objective of this study is to facilitate the secure distribution of context data in Internet of Mobile Things (IoMT) applications, through the development of a security service. The security service provides mechanisms for establishing a secure communication channel, authentication and access control. Experiments were conducted in a mobile application to compare the cost of memory and processing with and without the use of security features. Results conrm that the security features can be used without requiring excessive computational cost.A Internet das Coisas (IoT) está cada vez mais presente no cotidiano das pessoas. Neste paradigma, objetos do cotidiano podem se conectar à Internet, interagir entre si e trocar informações com pessoas. A IoT percorre diversos domínios como saúde e bem estar, logística, indústria, e cidades inteligentes. Os dados coletados nestes domínios são provenientes de diferentes dispositivos. Uma solução frequente para a heterogeneidade de dispositivos consiste no uso de middleware, o qual tem como objetivo servir de base para o desenvolvimento de aplicações IoT. Aplicações de IoT possuem requisitos de segurança. Entre as diversas soluções de middleware de IoT existentes, apenas algumas exibem esforços para prover mecanismos de segurança. O objetivo deste trabalho é facilitar a distribuição segura de dados de contexto em aplicações de Internet das Coisas Móveis (IoMT), por meio do desenvolvimento de um serviço de segurança. O serviço de segurança oferece mecanismos para o estabelecimento de comunicação segura, autenticação e controle de acesso. Experimentos foram conduzidos em uma aplicação móvel para comparar o custo de memória e processamento com e sem a utilização dos recursos de segurança. Os resultados confirmam que as funcionalidades de segurança podem ser utilizadas sem requerer excessivo custo computacional

Mind Your Keys? A Security Evaluation of Java Keystores

Cryptography is complex and variegate and requires to combine different algorithms and mechanisms in nontrivial ways. This complexity is often source of vulnerabilities. Secure key management is one of the most critical aspects, since leaking a cryptographic key vanishes any advantage of using cryptography. In this paper we analyze Java keystores, the standard way to manage and securely store keys in Java applications. We consider seven keystore implementations from Oracle JDK and Bouncy Castle, a widespread cryptographic library. We describe, in detail, how the various keystores enforce confidentiality and integrity of the stored keys through passwordbased cryptography and we show that many of the implementations do not adhere to state-of-the-art cryptographic standards. We investigate the resistance to offline attacks and we show that, for non-compliant keystores, brute-forcing can be up to three orders of magnitude faster with respect to the most compliant keystore. Additionally, when an attacker can tamper with the keystore file, some implementations are vulnerable to denial of service attacks or, in the worst case, arbitrary code execution. Finally we discuss the fixes implemented by Oracle and Bouncy Castle developers following our responsible disclosure

Il Futuro della Cybersecurity in Italia: Ambiti Progettuali Strategici

Il presente volume nasce come continuazione del precedente, con l’obiettivo di delineare un insieme di ambiti progettuali e di azioni che la comunità nazionale della ricerca ritiene essenziali a complemento e a supporto di quelli previsti nel DPCM Gentiloni in materia di sicurezza cibernetica, pubblicato nel febbraio del 2017. La lettura non richiede particolari conoscenze tecniche; il testo è fruibile da chiunque utilizzi strumenti informatici o navighi in rete. Nel volume vengono considerati molteplici aspetti della cybersecurity, che vanno dalla definizione di infrastrutture e centri necessari a organizzare la difesa alle azioni e alle tecnologie da sviluppare per essere protetti al meglio, dall’individuazione delle principali tecnologie da difendere alla proposta di un insieme di azioni orizzontali per la formazione, la sensibilizzazione e la gestione dei rischi. Gli ambiti progettuali e le azioni, che noi speriamo possano svilupparsi nei prossimi anni in Italia, sono poi accompagnate da una serie di raccomandazioni agli organi preposti per affrontare al meglio, e da Paese consapevole, la sfida della trasformazione digitale. Le raccomandazioni non intendono essere esaustive, ma vanno a toccare dei punti che riteniamo essenziali per una corretta implementazione di una politica di sicurezza cibernetica a livello nazionale. Politica che, per sua natura, dovrà necessariamente essere dinamica e in continua evoluzione in base ai cambiamenti tecnologici, normativi, sociali e geopolitici. All’interno del volume, sono riportati dei riquadri con sfondo violetto o grigio; i primi sono usati nel capitolo introduttivo e nelle conclusioni per mettere in evidenza alcuni concetti ritenuti importanti, i secondi sono usati negli altri capitoli per spiegare il significato di alcuni termini tecnici comunemente utilizzati dagli addetti ai lavori. In conclusione, ringraziamo tutti i colleghi che hanno contribuito a questo volume: un gruppo di oltre 120 ricercatori, provenienti da circa 40 tra Enti di Ricerca e Università, unico per numerosità ed eccellenza, che rappresenta il meglio della ricerca in Italia nel settore della cybersecurity. Un grazie speciale va a Gabriella Caramagno e ad Angela Miola che hanno contribuito a tutte le fasi di produzione del libro. Tra i ringraziamenti ci fa piacere aggiungere il supporto ottenuto dai partecipanti al progetto FILIERASICURA