Inicio

Semestre 2017-18

 

Nombre del curso: Seguridad y Privacidad de sistemas IIoT y IoT
Course Name:
Créditos:  4
Profesor: Álvaro Cárdenas – The University of Texas at Dallas (UT Dallas)
 Sandra Rueda – Universidad de los Andes
Programa del DISC: Válido por:
MISIS Curso del programa MISIS
Otras maestrías Curso electivo
Pregrado Electiva profesional

Avances en sistemas embebidos y comunicaciones inalámbricas en las ultimas décadas, han facilitado la modernización de nuestras infraestructuras físicas, como los sistemas de potencia y sistemas de transporte, y están cambiando la manera como interactuamos con dispositivos a diario, desde automóviles hasta televisores. Estos sistemas se conocen generalmente como “Internet of Things” (IoT) y “Industrial Internet of Things” (IIoT).

Esta modernización trae también problemas de seguridad y privacidad que no habían sido considerados anteriormente y en esta clase investigaremos avances en estas áreas. La clase se enfocará en analizar en detalle ejemplos de ataques como Stuxnet (ataque que afectó las centrífugas que enriquecen Uranio en una planta en Irán) y los ataques contra los sistemas de potencia en Ucrania en la navidad del 2015 y 2016. También analizaremos artículos describiendo soluciones propuestas para mejorar la seguridad de sistemas IoT y IIoT.

La clase también tendrá un proyecto final donde los estudiantes analizaran en grupo unos dispositivos IoT, como juguetes, sistemas para automatización, y “wearables.” Estudiaremos cómo capturar tráfico Wi-Fi y Bluetooth Low Energy (BLE) y cómo estudiar si los dispositivos y protocolos siguen normas recomendadas de seguridad y privacidad.

Description

The Stuxnet attack and the recent attacks against the Ukranian power grid were a wake-up call to improve the security of our critical infrastructures, which include the smart grid, transportation networks, water distribution, and other industrial internet of thing systems (IIoT).

This class covers the security of the IIoT, focusing on the industrial networks, and the embedded controllers used to control our infrastructures, and discusses the possible attacks and defenses to improve the security posture of these systems. In addition to security, we will cover the privacy of Internet of Things (IoT) devices. In the 21st century computers have a variety of sensors that collect information about the world around them. This ability of IoT devices to passively sense surrounding activity makes the privacy issues they raise distinct from the privacy issues raised by traditional computing systems. As they collect physical data of diverse human activities such as electricity consumption, location information, driving habits, and biosensor data at unprecedented levels of granularity, their passive manner of collection leaves people generally unaware of how much information about them is being gathered. People are additionally generally unaware that such collection exposes them to possible government surveillance or criminal targeting, as the data collected by corporations can be obtained by other actors through a variety of legal or illegal means. For example, automobile manufacturers are remotely collecting a wide variety of driving history data from cars in an effort to increase the reliability of their products. Data known to be collected by some manufacturers include speed, odometer information, cabin temperature, outside temperature, battery status, and range. This paints a very detailed map of driving habits that can be exploited by manufacturers, retailers, advertisers, auto insurers, law enforcement, and stalkers, to name just a few.

  • Estudiar el estado del arte de seguridad y privacidad en sistemas IoT, incluyendo un análisis metodológico de dispositivos que usan Wi-Fi y BLE.
  • Identificar los problemas de seguridad y privacidad asociados con dispositivos IoT.
    Describir las técnicas actuales de protección propuestas por investigadores y proveedores para asegurar dispositivos IoT.
  • Describir los elementos fundamentales de instalaciones industriales automatizadas (como smart grids, sistemas de transporte, y distribución de agua): los componentes, sus conexiones, y los mecanismos de control. Así como el funcionamiento de todo el sistema.
  • Identificar los problemas de seguridad asociados con los elementos fundamentales de las instalaciones industriales automatizadas, explicando los aspectos técnicos y tecnológicos asociados y los riesgos de seguridad que pueden generar.
  • Describir las técnicas actuales de protección propuestas por investigadores y proveedores para asegurar las instalaciones industriales automatizadas de problemas de seguridad conocidos.
  • Identificar puntos vulnerables en configuraciones variadas de instalaciones industriales automatizadas, y seleccionar y combinar las técnicas de protección adecuadas a cada configuración.
  1. Introducción a los sistemas ciber-físicos, IoT y IIoT
    1. Dispositivos embebidos
    2. Comunicaciones inalámbricas
    3. Ejemplos
      1. Sistemas de potencia inteligentes
      2. Sistemas de transporte inteligentes
      3. Sistemas de control industrial
      4. Dispositivos IoT (Wearables, juguetes, automatización casera, etc.)
  2. Seguridad
    1. Ataques
      1. Stuxnet
      2. Ataques en Ucrania
      3. La red de Botnets Mirai
      4. Artículos académicos
      5. Shodan
    2. Defensas
      1. Seguridad de redes
      2. Monitoreo de redes de control industrial
      3. Seguridad de dispositivos
      4. SELinux para sistemas embebidos
  3.  Privacidad
    1. Contextos históricos y sociales
      1. Warren and Brandeis, el Panopticon, FIP
    2. Arquitectura de sistemas IoT
    3. Big Data
    4. Privacidad con sistemas IoT (localización, vehículos inteligentes, sistemas inteligentes de transporte, wearables, casas inteligentes, consumo de electricidad)
  4. Análisis de Dispositivos
    1. Usando computadores como hotspots
    2. Nmap
    3. Sniffers para BLE
    4. Dispositivos IoT
  1. Cybersecurity Myths on Power Control Systems: 21 Misconceptions and False Beliefs. Pietre-Cambacedes, Trischler, Ericsson. IEEE Transactions on Power Delivery, Vol 26, No. 1, January 2011.
  2. stuxnet dossier. N. Falliere, LO Murchu, E Chien. Symantec Whitepaper 2011.
  3. Stuxnet: Dissecting a Cyberwarfare Weapon. R. Langner. IEEE Security & Privacy. 2011.
  4. Analysis of the Cyber Attack on the Ukrainian Power Grid. SANS, 2016.
  5. Limiting the Impact of Stealthy Attacks on Industrial Control Systems. Urbina, Giraldo, A. Cardenas, Tippenhauer, Valente, Faisal, Ruths, Candell, Sandberg. ACM CCS, 2016.
  6. Privacy-Aware Design Principles for Information Networks. Wicker and Schrader. Proceedings of the IEEE.
  7. Kolias, C., Copi, L., Zhang, F., & Stavrou, A. (2017, April). Breaking BLE Beacons For Fun But Mostly Profit. In Proceedings of the 10th European Workshop on Systems Security (p. 4). ACM.
  8. Fawaz, Kassem, Kyu-Han Kim, and Kang G. Shin. “Protecting Privacy of BLE Device Users.” 25th USENIX Security Symposium (USENIX Security 16). USENIX Association, 2016.
  9. Getting Started with Bluetooth Low Energy. K. Townsend, C. Cufi, A & R Davidson. O’Reilly, 2015.

Alvaro A. Cardenas is an Assistant Professor at the Department of Computer Science in the Erik Jonsson School of Engineering at the University of Texas at Dallas, where he is a member of the Cyber Security Research and Education Institute. He holds M.S. and Ph.D. degrees from the University of Maryland, College Park. Before joining UT Dallas he was a postdoctoral scholar at the University of California, Berkeley, and a research staff at Fujitsu Laboratories of America in Sunnyvale California. He has also been an intern at INRIA-LORIA in France, and a SCADA intern at Occidental Petroleum Corporation. His research interests focus on cyber-physical systems and IoT security and privacy, network intrusion detection, and wireless networks. He is the recipient of the NSF CAREER award, best paper awards from the IEEE Smart Grid Communications Conference and the U.S. Army Research Conference, and a Fellowship from the University of Maryland.