Ameaças

Inserir Título
as Aqui
Inserir Tecnologias
Novas Título Aqui
Propostas de Defesa às Novas Tecnologias

Responsável pelo Conteúdo:

Prof.ª Me. Estefânia Angelico Pianoski Arata

Revisão Textual:
Prof.ª Esp. Kelciane da Rocha Campos
 Propostas de Defesa às Novas Tecnologias

Fonte: Getty Images

Nesta unidade, trabalharemos os seguintes tópicos:
• Introdução;
• Privacidade Aplicada em IoT;
• Métodos de Segurança para RFID (Radio Frequency Identification);
• Sistema de Detecção de Intrusão (IDS) Voltado à Internet
das Coisas (IoT);
• Criptografia;
• Aspectos de Segurança Aplicados em Ambientes Móveis;
• Segurança da Informação Aplicada às Cidades Inteligentes;
• Segurança da Informação Aplicada às Soluções de Nuvem;
• Controles de Segurança Independentes da Tecnologia;
• Gestão de Identidade para as Novas Tecnologias.

Objetivos
• Compreender e trabalhar propostas de defesa para possíveis ataques que ameaçam o
surgimento das novas tecnologias como opção de soluções para as ameaças;
• Proporcionar cenários próximos aos corporativos, com a utilização de novas ferra-
mentas e sistemas.

Caro Aluno(a)!
Normalmente, com a correria do dia a dia, não nos organizamos e deixamos para o úl-
timo momento o acesso ao estudo, o que implicará o não aprofundamento no material
trabalhado ou, ainda, a perda dos prazos para o lançamento das atividades solicitadas.
Assim, organize seus estudos de maneira que entrem na sua rotina. Por exemplo, você
poderá escolher um dia ao longo da semana ou um determinado horário todos ou alguns
dias e determinar como o seu “momento do estudo”.
No material de cada Unidade, há videoaulas e leituras indicadas, assim como sugestões
de materiais complementares, elementos didáticos que ampliarão sua interpretação e
auxiliarão o pleno entendimento dos temas abordados.
Após o contato com o conteúdo proposto, participe dos debates mediados em fóruns de
discussão, pois estes ajudarão a verificar o quanto você absorveu do conteúdo, além de
propiciar o contato com seus colegas e tutores, o que se apresenta como rico espaço de
troca de ideias e aprendizagem.
Bons Estudos!
UNIDADE
Propostas de Defesa às Novas Tecnologias

Contextualização
O mundo dos negócios está diante de grandes oportunidades quando o assunto
é avanço tecnológico, afinal Internet das Coisas, Inteligência Artificial, entre outras
tecnologias, prometem mudar a maneira de lidar com as informações. Mas essas opor-
tunidades nem sempre trazem apenas bons resultados, trazem também ameaças à
segurança e privacidade das informações. Com isso, é de suma importância trabalhar
métodos de defesa e prevenção a essas ameaças. Somente com soluções viáveis, esse
cenário irá se desenvolver.

6
Introdução
A internet das coisas (IoT) e seus dispositivos estão passando por um momento delica-
do relacionado à segurança da informação. Constantemente é noticiado que um dispositi-
vo foi invadido ou comprometido, como, por exemplo, os automóveis autônomos da Tesla.

Sendo assim, é de suma importância compreender e projetar controles e soluções de

segurança da informação que possam ser implementados visando-se minimizar os ris-
cos relacionados à exploração de vulnerabilidades, que causam incidentes e até mesmos
desastres, materializando riscos.

Privacidade Aplicada em IoT

Com o crescimento da implementação da internet das coisas, um ponto que chama
a atenção é a privacidade dos dados que estão trafegando pela internet, ainda mais com
a aprovação da Lei Geral de Proteção de dados (LGPD) no Brasil, que deixa claro que o
usuário tem que dar consentimento para a coleta de dados sensíveis e para a sua finalida-
de. Temos no artigo 1º da Lei nº 12.965, de 23 de abril de 2014 (Marco Civil da Internet):
Art. 1º Esta Lei dispõe sobre o tratamento de dados pessoais, in-
clusive nos meios digitais, por pessoa natural ou por pessoa jurídica
de direito público ou privado, com o objetivo de proteger os direitos
fundamentais de liberdade e de privacidade e o livre desenvolvimento
da personalidade da pessoa natural.
Art. 2º A disciplina da proteção de dados pessoais tem como funda-
mentos:
I – o respeito à privacidade;
II – a autodeterminação informativa;
III – a liberdade de expressão, de informação, de comunicação e
de opinião;
IV – a inviolabilidade da intimidade, da honra e da imagem;
V – o desenvolvimento econômico e tecnológico e a inovação;
VI – a livre iniciativa, a livre concorrência e a defesa do consumidor; e
VII – os direitos humanos, o livre desenvolvimento da personalidade, a
dignidade e o exercício da cidadania pelas pessoas naturais.

Site Migalhas, disponível em: http://bit.ly/2MEaeqy

Um ponto importante que existe na LGPD é deixar os dados dos usuários de forma
anônima. Assim, o que deve ser implementado durante o tráfego dos dados na IoT? Essa
dúvida é um ponto muito importante a ser tratado.

O que normalmente é possível implementar na internet são acordos e termos em que o

usuário tem a opção de “Aceitar e/ou Concordar” ou “Não Aceitar e/ou Não Concordar”
com a disponibilização dos seus dados. Em IoT, isso nem sempre é possível, pois em alguns

7
7
UNIDADE
Propostas de Defesa às Novas Tecnologias

equipamentos, o usuário não tem conhecimento dos dados que são coletados e que estão
trafegando, o que pode gerar danos físicos, financeiros e até mesmo à sua reputação.

Como medidas mitigatórias, há a implementação de Políticas e Normas que visam

englobar todos os usos possíveis de dados pessoais e sensíveis dos usuários, incluindo os
fornecedores de equipamentos utilizados para mantê-los interligados com a sua residên-
cia, por exemplo, mas é importante salientar que esses controles não podem restringir
o avanço tecnológico.

Métodos de Segurança para RFID

(Radio Frequency Identification)
Na busca por tecnologias que facilitem a expansão da internet das coisas, o uso do
RFID tem tomando grandes proporções, principalmente pelo seu uso no varejo.

Ameaças e vulnerabilidades relacionadas à tecnologia de RFID podem ser vastas,

dependendo do tipo de etiqueta utilizada e do seu destino.

Porém, questões relacionadas à sua implementação dificultam a sua disseminação,

pois existe um alto consumo de energia, por essa tecnologia possuir uma carga grande
de processamento das chaves criptográficas. Outro fator, e o principal, está diretamente
relacionado à LGPD, que são os riscos relacionados à privacidades dos dados sigilosos
inseridos na etiqueta.

Os desenvolvedores de soluções de segurança para as etiquetas RFID têm um desafio

enorme, pois muitas delas estão relacionadas ao custo x a aplicabilidade. A Figura 1
resume claramente este desafio.

Segurança/Privacidade Baixa capac. computacional

- Comunicação em RF - Baixo custo

- Leitura sem visada - Pequeno tamanho
- Mais informações - Baixo consumo

Figura 1 – Segurança versus limitação computacional

8
 Algumas soluções que permitem elevar o nível de segurança das soluções de
RFID podem ser implementadas, porém, em sua grande maioria, em nível experi-
mental ainda.
• Modulação Pseudoaleatória: Conforme a simulação realizada por Cavalcante e
Sousa (2012), os resultados do modulador pseudoaleatório são satisfatórios e de-
vem elevar o nível de segurança, visto que um atacante dificilmente identificará o
método utilizado pelo gerador de números pseudoaleatórios.
De acordo com Rodrigues (2010), a solução basicamente é uma função G:{0,0}¹ →
{0,0} que realiza a expansão de uma semente de comprimento l (¹) em uma sequên-
cia de bits de comprimento arbitrário.
Neste caso, será utilizado um registrador de deslocamento com realimentação linear.
A figura 2 demostra como é realizada a implementação.

b n+M-1 b n+M-2 ... b n+1 bn

-a1 -a2 -aM- -a M

+
Figura 2 – Implementação de deslocamento com realimentação linear
Fonte: Adaptado de RODRIGUES, M. V. C., 2010

A implementação citada já dificulta que um atacante tenha acesso às informações

da etiqueta.

Porém, existem outros métodos relacionados ao mesmo conceito com alterações

na modulação da sequência, que é o caso da Modulação com Seleção pseudoaleatória
da Base.

Este método visa elevar a segurança durante a troca de mensagens entre o leitor e a
etiqueta em sistemas que possuem RFID.

O conceito geral é realizar a alteração aleatoriamente da base utilizada na conversão,

de modo que o atacante tenha dificuldades de realizar a interceptação. A Figura 3 apre-
senta este método; foi sugeria a interação entre dois personagens (Alice e Bob) para a
realização do teste (transmissor e receptor).

9
9
UNIDADE
Propostas de Defesa às Novas Tecnologias

Alice Y1 = + 1

K X1 S(t)=Yi E b Xi (t)

PRG Xi X
n(t) +
Ruído R(t)=S(t)+n(t)
K X1
PRG Xi X Eva
Ŷ
Xi ?
1 T
Decisor
Bob 0

Figura 3 – Método de segurança para RFID com modulação pseudoaleatória

Fonte: Adaptado de RODRIGUES, M. V. C., 2010

É importante salientar que novos métodos estão em testes e desenvolvimento e irão

contribuir para elevar o nível de segurança das etiquetas RFID e melhorar a sua divul-
gação e uso.

Sistema de Detecção de Intrusão (IDS)

Voltado à Internet das Coisas (IoT)
Um dos grandes desafios relacionados à segurança da informação é como implemen-
tar soluções que dificultem os ataques e a exploração das vulnerabilidades existentes em
IoT. Uma dessas soluções é a implementação de um Sistema de Detecção de Intrusão
(IDS) bem conhecido por todas as empresas em suas redes internas.

Apesar dos IDS tradicionais já serem uma solução madura, o escopo com IoT muda
radicalmente e novas funcionalidades precisam ser implementadas, pois os protocolos
são diferentes, como, por exemplo, IEEE 802.15.4, Bluetooth de baixa energia (BLE),
WirelessHART, Z-Wave, LoRaWAN, 6LoWPAN, DTLS e RPL e protocolos de aplicativos
como CoAP e MQTT (Message Queuing Telemetry Transport) (SANTOS et al., 2018).

Efetivamente, não há uma solução robusta para IDS, porém existe um vasto número
de pesquisadores que vem experimentando soluções que possam dar suporte como os
citados por Santos et al. (2018):
• Kalis: IDS para o loT chamado Sistema de Detecção de Intrusão Leve Adaptável
pelo Conhecimento, que é uma solução híbrida, implementada no roteador de bor-
da ou nos dispositivos. Ele tem capacidade de realizar o reconhecimento dos proto-
colos utilizados em IoT e realiza o monitoramento e detecção de intrusão;
• SVELTE: este IDS tem como foco a detecção em tempo real, foi testado sob os ata-
ques sinkhole e selective forward e é utilizado também para detectar informações
alteradas na rede. Os testes realizados na simulação mostraram que o método é
eficiente para detectar o ataque sinkhole e de encaminhamento seletivo, apesar de
haver alguns casos de falso positivo na detecção dos nós maliciosos.

10
 O seu alvo são redes 6LoWPAN, que nada mais são do que uma rede wifi, utilizan-
do o protocolo IPv6. Sousa (2016) realizou alguns experimentos e obteve cenários
conforme apresentados na Figura 4.

Figura 4 – Cenários utilizados com SVELTE

Fonte: SOUSA, B. F. L. M., 2016

Pode-se observar na Figura 4 que o escopo do teste foram 8 nós, dentre eles um
malicioso; na próxima simulação, 16 nós com 2 maliciosos; e, por fim, 32 nós com
4 realizando ataques constantes.
É possível concluir que há uma grande efetividade do SLEVE em identificar o ata-
que, porém deve-se destacar a existência de falsos positivos;
• Demo: este IDS é utilizado tanto para o protocolo 6LoWPAN como para o IPv6, pos-
suindo um sistema de monitoramento e um motor de detecção de anomalias na rede.
Conforme citado por Sousa (2016), para a realização de testes do Demo, foi neces-
sário utilizar uma ferramenta para PenTest (Scarpy) para a simulação de ataques
DoS (negação de serviço), conforme apresentado na Figura 5.

Figura 5 – Arquitetura de proteção DoS

Fonte: SOUSA, B. F. L., 2016

11
11
UNIDADE
Propostas de Defesa às Novas Tecnologias

Analisando a infraestrutura e os modos operandis do ataque, nesta rede foram inseri-

dos quatro dispositivos, dois roteadores. O Suricata tem a função de IDS, porém modifi-
cado com o framework Demo, que tem a função de capturar e analisar o tráfego na rede.

Foi possível identificar os ataques de flooding e jamming. Como ponto de atenção,

o Suricata em sua instalação e configuração original não identificou este tipo de ataque
em protocolos para IoT, sendo possível dada modificação realizada pelo Demo.

É importante salientar que a implementação de um IDS é de extrema importância

para evitar que uma vulnerabilidade seja explorada, pois o monitoramento é realizado
de forma eficiente.

Criptografia
O uso da criptografia está ganhando força na internet das coisas e para a computa-
ção em nuvem, devido aos seus algoritmos já amplamente testados e ao seu uso prati-
camente em qualquer linguagem de programação.

A seguir são apresentadas as formas de utilização da criptografia.

• Protocolos de comunicação criptografados: Os protocolos de comunicação uti-
lizados na IoT, como o MQTT e o AMQP, permitem, nativamente, que os desen-
volvedores usem o TLS (tranport layer security) para garantir que a informação
trafegada esteja ilegível e não esteja susceptível à manipulação por um atacante.
Cabe salientar que a criptografia deve ser implementada nas conexões das informa-
ções e nos canais de comunicação secundários também;
• Criptografia assimétrica: Baseada em algoritmos que requerem duas chaves, uma
delas sendo secreta e a outra delas sendo pública. As duas partes desse par de
chaves são matematicamente ligadas. A chave pública é usada, por exemplo, para
encriptar a mensagem ou para verificar uma assinatura digital. Já a chave privada
é usada para a operação oposta, nesses exemplos para decriptar uma informação
previamente criptografada ou para criar uma assinatura digital;
• Criptografia simétrica: Baseada em algoritmos que requerem uma única chave,
que é usada tanto para as operações de cifragem como para as de decifragem. Este
método é mais difundido no uso da IoT por ter um processamento mais leve, não
impactando no desempenho.

Aspectos de Segurança
Aplicados em Ambientes Móveis
Assim como a segurança da informação, a mobilidade dos nós representa um desa-
fio para redes IoT devido às suas limitações. Um nó malicioso móvel pode trazer ainda
mais prejuízos à rede. O fato de um nó se movimentar na rede faz com o que o mesmo
fique fora da área de cobertura dos demais nós, o que pode gerar um aumento na troca

12
de conexão e desconexão daquele nó. Isto aumenta o envio de mensagens de controle,
podendo gerar uma instabilidade na rede e, por consequência, o aumento no consumo
de recursos.

Outro ataque que pode ser feito por nós móveis é um ataque de DoS. Um grupo
de nós maliciosos móveis pode efetuar um Hello flooding, por exemplo, movendo-
-se para diferentes localidades da rede. Assim, técnicas de defesa projetadas para
detectar nós maliciosos estáticos não irão funcionar. Diferentes regiões da rede
podem apresentar momentos de instabilidade de acordo com a movimentação dos
nós maliciosos.

Logo, ataques de nós móveis podem ter um impacto maior na rede que ataques de
nós maliciosos estáticos. Estes tipos de ataques móveis têm sido pouco estudados na
literatura de WSN e IoT e constituem um interessante desafio de pesquisa.

Segurança da Informação
Aplicada às Cidades Inteligentes
Com o avanço tecnológico, espera-se que a tecnologia tenha um papel fundamental
na criação e desenvolvimento das cidades inteligentes seguras.

Porém, é preciso melhorar, e muito, toda a conectividade existente em praticamente

todos os países da América Latina para que a população possa usufruir de:
• um sistema de videovigilância em que seja possível captar e detectar os mais diver-
sos problemas em uma cidade, como a visualização em tempo real de um acidente
ou de um assalto, e por outro lado levando os serviços a locais remoto;
• uso de soluções biométricas e dispositivos móveis, que facilitam e agilizam o aten-
dimento, além de ser possível o rastreamento;
• instalação de sensores pela cidade, contribuindo para o monitoramento das con-
dições climáticas e aviso sobre possíveis desastres e até mesmo para o controle da
umidade nas plantações.

Componentes de uma Cidade Inteligente: http://bit.ly/2L9fgrQ

A Figura 6 apresenta algumas aplicações do uso da tecnologia na vida da população,

gerando valor, porém como se sabe, dispositivos tecnológicos possuem inúmeras vulne-
rabilidades e riscos que precisam ser monitorados e tratados. Mais à frente serão apre-
sentados controles de segurança que podem ser implementados em qualquer tecnologia
e que visam minimizar estes riscos.

Um controle que cabe destacar neste momento são as soluções que serão implemen-
tadas para garantir a disponibilidade das informações, pois a dependência da tecnologia
é muito grande.

13
13
UNIDADE
Propostas de Defesa às Novas Tecnologias

Segurança da Informação
Aplicada às Soluções de Nuvem
A computação na nuvem ou Cloud Computing é um modelo de computação que
permite ao usuário final acessar uma grande quantidade de aplicações e serviços em
qualquer lugar e independentemente da plataforma, bastando ter acesso à internet
(TREND MICRO, 2005).

Avaliando as questões de segurança, os controles da mesma são independentes da

tecnologia. Quando é contratado este tipo de serviço, é importante levar em considera-
ção os seguintes requisitos:
• realizar análise e avaliação dos riscos pertinentes do serviço contratado e posterior-
mente a elaboração de um plano de tratamento destes riscos, visando ter conheci-
mentos dos riscos e o seu monitoramento periódico;
• estabelecer em contrato os acordos de nível de serviço (SLA – Service Level Agreement),
de acordo com as necessidades da empresa e não da provedora de serviço;
• avaliar quais são as estratégias de continuidade do negócio do prestador de serviço
e como isso está no contrato;
• estabelecer, em contrato, uma rotina periódica para realização de análise de segu-
rança e pentest com o foco de avaliar as vulnerabilidades existentes no ambiente e
nas soluções disponibilizadas em nuvem;
• um bom gerenciamento de segurança da informação deve ser implementado de
acordo com os SLAs e cláusulas do contrato, contemplando indicadores e status
report mensal da “saúde” do ambiente e monitoramento realizado pelo provedor
do serviço.

A Figura 7 apresenta a arquitetura de segurança implementadas pela Amazon (AWS)

para os seus clientes.

Componentes de segurança para nuvem (AWS): http://bit.ly/2LhOeyT

É importante salientar que não existe segurança 100% e a implementação dos módu-
los de segurança irá encarecer o custo da solução de nuvem como um todo.

Controles de Segurança
Independentes da Tecnologia
Elevar o nível de segurança dos dispositivos é uma das maiores “dores de cabeça”
dos executivos de segurança da informação; embora IoT seja um assunto relativamente
novo, as preocupações são as mesmas.

14
 Controles de segurança devem ser implementados em todas as camadas, porém cabe
salientar que:
• uma solução de Secure Bootstrapping tem como principal função permitir o aces-
so a uma determinada rede ou recurso daqueles dispositivos previamente aprovados
e utiliza uma chave única de autenticação;
• a utilização do protocolo Transport Layer Security (TLS) contribui para garantir
a segurança dos dados trafegados pelos dispositivos, garantindo a integridade dos
dados e a privacidade, ponto este que tem ganhado força no Brasil por conta da
LGPD e na Europa pela GDPR;
• deve haver a implementação e configuração de um bom sistema de detecção de
intrusão (IDS), conforme citado no capítulo anterior;
• deve-se implementar controles para garantir que o backup tanto da configuração
dos dispositivos como das informações seja realizado em base periódica;
• a segurança da informação deve fazer parte de todas as fases de desenvolvimento
de novas soluções e produtos, mas em especial no design, para avaliar as possi-
bilidades de ativar recursos de segurança durante a fase de elaboração das ideias
e desenvolvimento;
• é necessária solução para identificar e inventariar os dispositivos de IoT que estão
conectados a uma rede deve ser implementada. Um NAC pode realizar essas ativi-
dades e garantir o monitoramento e rastreamentos destes dispositivos;
• como boa prática, deve ser implementada uma solução de fragmentação de rede e
realizada a restrição de dispositivos à rede interna, quando pertinente;
• deve-se implementar uma solução para a gestão de patch e atualizações de forma
centralizada e que possa fornecer meios para atualização de todos os dispositivos
que estão conectados;
• campanhas de conscientização para o usuário final devem ser estabelecidas de
forma a instruí-los a tomar decisões em determinados cenários e a utilizar as novas
tecnologias de forma segura;
• é necessária solução para detecção de intrusão e ameaças tecnológicas, como an-
tivírus, firewall, IDS e IPS;
• deve-se realizar, em base periódica, pentest para identificação de vulnerabilidades
que podem ser exploradas por hackers;
• deve-se estabelecer um processo para o tratamento de incidentes de segurança da
informação, com a formalização do CSIRT (time de resposta a incidentes de segu-
rança da informação);
• deve haver a definição de normativos claros e objetivos que regulamentem o uso
das novas tecnologias nas empresas e por outro lado que o conteúdo seja disponi-
bilizado na internet de modo a atingir os usuários finais, não corporativos.

Vale lembrar que a maioria das empresas deve ter os seus controles implementados
visando à confidencialidade, integridade, disponibilidade e privacidade de suas informa-
ções, de acordo com as legislações vigentes.

15
15
UNIDADE
Propostas de Defesa às Novas Tecnologias

Gestão de Identidade para as Novas Tecnologias

O termo IDM (Identity Management) é bem conhecido pelos profissionais da área
de segurança, porém com o avanço tecnológico tornou-se um grande desafio, pois
está diretamente relacionado com o estabelecimento de papéis e responsabilidades dos
usuários, sejam eles internos, externos ou parceiros, e principalmente com os acessos.

Um sistema de gestão de identidade é composto por:

• usuário: pessoa que tem acesso a um determinado dispositivo / serviço ou sistema;
• identidade: são os atributos que identificam um usuário: login e senha e outras
informações pessoais;
• provedor de Identidade (IDP – Identity Provider): realiza o gerenciamento dos
usuários e suas senhas;
• provedor de Serviços (SP – Service Provider): oferece os recursos que estão
liberados / autorizados para um usuário após a sua autenticação.

Existem quatro tipos de sistemas que realizam o gerenciamento de identidade:

• Modelo Tradicional e Isolado: O mais utilizado pelas empresas e até mesmo pelos
serviços da internet, em que o usuário informa as suas credenciais ao IdP, que já
tem a função de SP, e com a autenticação correta são liberados os serviços.
Porém este modelo traz dificuldade para o usuário, que precisa gerenciar várias
contas e senhas, podendo causar outro problema de segurança, que é o de anotar
a senha. A Figura 8 apresenta este modelo;

IdP
SP

Figura 6 – Modelo tradicional e isolado de IDM

Fonte: Adaptado de WITKOVSKI, A., 2015

• Modelo Centralizado: O modelo surgiu da necessidade de melhorar a experiência

do usuário e ele não precisar ter vários logins e senhas para acessar os serviços,
com a implementação de uma solução de SSO (Single Sign-on).

16
 Porém, apesar de apresentar melhorias significativas para o usuário, a solução apre-
senta desvantagens, dentre elas a mais significativa é a que o usuário fica dependente
do IdP (provedor de identidade), que será único. A Figura 9 apresenta este modelo;

SP SP

IdP

Figura 7 – Modelo centralizado

Fonte: Adaptado de WITKOVSKI A., 2015

• Modelo Federado: Este modelo é uma evolução do modelo centralizado e muito

difundindo na rede acadêmica brasileira e mundial, conhecida como CAFe.
O IdP possui a capacidade de compartilhar a identificação do usuário (ID) entre os
servidores participantes do elo de confiança. Todo o círculo de confiança é estabe-
lecido a partir de acordos relacionados à autenticação e segurança na relação com
os membros de provedores de identidade e provedores de serviços.
Este modelo proporciona muitas vantagens, pois além de possuir um único login
e senha, o usuário pode acessar qualquer rede que tenha a CAFe disponível em
qualquer país. A Figura 10 apresenta o modelo federado de autenticação;

SP SP SP SP

IdP IdP

Figura 8 – Modelo Federado

Fonte: Adaptado de WITKOVSKI A., 2015

17
17
UNIDADE
Propostas de Defesa às Novas Tecnologias

• Modelo Centrado no Usuário: Neste modelo, o usuário possui a capacidade de

controlar as suas identidades (logins e senhas), porém necessita de um aceite para
o compartilhamento de informações antes do uso.
O método utilizado é normalmente por meio de um smartphone, que realiza a
gestão das identidades e vai até o SP solicitar o serviço desejado pelo usuário.
A Figura 11 apresenta o modelo centrado no usuário.

SP SP SP

IdP IdP

Figura 9 – Modelo Centrado no Usuário

Fonte: Adaptado de WITKOVSKI A., 2015

Diante dos modelos de identidade apresentados, é necessário analisar a melhor

situação para cenários com objetos inteligentes, com grande parte das “coisas” co-
nectadas e um grande número de informações, pessoais e secretas, trafegando pelo
mundo. São muitas as propostas apresentadas, mas poucas soluções foram aceitas.

18
Material Complementar
Indicações para saber mais sobre os assuntos abordados nesta Unidade:

Livros
Internet das coisas: um estudo sobre questões de segurança, privacidade e estrutura
FIGUEIRA, V. P. Internet das coisas: um estudo sobre questões de segurança, privaci-
dade e estrutura. Niterói: Universidade Federal Fluminense, 2016.

Vídeos
GTS 28: Segurança para IoT é possível!
NICbrvideos. GTS 28: segurança para IoT é possível! VI Semana de Infraestrutura da
Internet no Brasil. 28ª reunião do Grupo de Trabalho de Segurança (GTS). São Paulo,
dezembro de 2016.
https://youtu.be/XL10B6WSN-o

Leitura
INTEGRITY. ISO/IEC – 20071 – Segurança da informação
http://bit.ly/2L4cvbx
Secure communication for the Internet of Things-a comparison of link layer security and IPsec
for 6LoWPAN
RAZA, S.; DUQUENNOY, S.; HOGLUND, J.; ROEDIG, U.; VOIGT T. Secure
communication for the Internet of Things-a comparison of link layer security
and IPsec for 6LoWPAN, Security and Communication Networks, vol. 7, no. 12,
pp. 2654–2668, dec 2014.
http://bit.ly/2Mywz92

19
19
UNIDADE
Propostas de Defesa às Novas Tecnologias

Referências
BOURDON, M. C. et al. Monolithic to heterogeneous applications using the
Stranger Pattern. Financial Services, 2019.

CAVALCANTE, M. A.; SOUSA, M. P. Avaliação de desempenho de um protocolo

de segurança para RFID. SBrT, 2012.

JESUS JUNIOR, A. A. de; MORENO, E. D. Segurança em infraestrutura para Internet

das Coisas. Revista Gestão. Org., v. 13, Edição Especial, 2015, p. 370-380, ISSN
1679-1827. Disponível em: <https://periodicos.ufpe.br/revistas/gestaoorg/article/view/
22122/18487>. Acesso em: 14 jun. 2019.

MORAIS, J. Segurança da informação para IoT. Disponível em: <https://www.

embarcados.com.br/seguranca-da-informacao-para-iot/>. Acesso em: 03 abr. 2019.

PANWAR, M.; KUMAR, A. Security for IoT: an effective DTLS with public
certificates. International Conference on Advances in Computer Engineering
and Applications (ICACEA), 2015. Disponível em: <https://www.researchgate.net/
publication/308845651_Security_for_ IoT_ An_effective_DTLS_with_public_
certificates>. Acesso em: n14 jun. 2019.

RODRIGUES, M. V. C. Segurança de sistemas RFID com modulação aleatória.

Dissertação de Mestrado. Orientadores: Francisco Marcos de Assis e Bruno B. Albert.
Universidade Federal de Campina Grande, Campina Grande – PB, 2010. Disponível
em: <https://docplayer.com.br/11285018-Dissertacao-de-mestrado-seguranca-de-
sistemas-rfid-com-modulacao-aleatoria.html>. Acesso em: 14 jun. 2019.

SANTOS, L. et al. Intrusion detection systems in Internet of Things: a literature review.

Conference on Information Systems and Technologies (CISTI), 2018. Disponí-
vel em: <https://www.researchgate.net/publication/326047128_Intrusion_detection_
systems_in_Internet_of_Things_A_literature_review>. Acesso em: 14 jun. 2019.

SILVA, F. H.; ALENCAR, R. de S. Um estudo sobre os benefícios e os riscos

de segurança na utilização de Cloud Computing. 2010. Artigo científico de con-
clusão de curso apresentado no Centro Universitário Augusto Motta, UNISUAM-RJ.
Disponível em: <https://docplayer.com.br/666503-Artigo-cientifico-de-conclusao-de-
curso-um-estudo-sobre-os-beneficios-e-os-riscos-de-seguranca-na-utilizacao-de-cloud-
computing.html>. Acesso em: 14 jun. 2019.

SOUSA, B. F. L. M. Um sistema de detecção de intrusão para detecção de ata-

ques de negação de serviço na Internet das Coisas. Dissertação de Mestrado.
Orientador: Denivaldo Cícero Pavão Lopes. Universidade Federal do Maranhão,
São Luís - MA, 2016. Disponível em: <http://tedebc.ufma.br:8080/jspui/bitstream/
tede/1773/2/Breno%20Fabricio.pdf>. Acesso em: 14 jun. 2019.

20
TREND MICRO. 10-Step cybersecurity checklist for smart cities. Disponível em:
<https://www.trendmicro.com/us/iot-security/special/221>. Acesso em: 04 de abril
de 2019.

WITKOVSKI A. Um IdM e método de autenticação baseado em chaves para pro-

ver autenticação única em Internet das Coisas. Dissertação de Mestrado. Orien-
tador: Altair O. Santin. Universidade Católica do Paraná, Curitiba – PR, 2015. Dis-
ponível em: <https://www.ppgia.pucpr.br/pt/arquivos/mestrado/dissertacoes/2015/
Adriano_Witkovski_Dissertacao.pdf>. Acesso em: 14 jun. 2019.

21
21