Reforçando o controle de acesso contra ataques de personificação e de replicação em um ambiente de internet das coisas

Abstract

Internet of Things (IoT) está se disseminando nas casas devido ao baixo custo do hardware e ao aumento da capacidade de processamento embarcado, dando maior conforto e conveniência por meio de uma variedade de dispositivos de automação residencial. Entretanto, sem os devidos mecanismos de segurança, esses dispositivos podem ser controlados, sem o consentimento do dono do dispositivo, por meio de aplicações de terceiros instaladas em smartphones, tablets ou assistentes virtuais. O ACE-OAuth age no controle de acesso ao recurso sobre aplicações de terceiros, no seu fluxo de código de autorização. No entanto, o ACE-OAuth não garante que a origem das requisições do cliente seja verificada e a identidade do cliente seja confirmada pelo servidor de autorização, comprometendo a confiança na comunicação entre as partes. Soluções como chaves públicas e privadas e tunelamento têm um alto custo computacional em termos de maior consumo de banda e na latência em redes privadas. A adoção de soluções mais simples tais como a inclusão do método desafio-resposta e a introdução de claims para informar e verificar a identidade das aplicações, nesta proposta, permitiu mitigar as ameaças e ataques de personificação e de replicação durante a fase de autenticação e autorização. Os resultados da avaliação de segurança demonstraram que as contramedidas propostas reduziram a atuação das ameaças em torno de 30% pontos percentuais e diminuiram os riscos de ataque em cerca de 11% para um atacante amador e 16% para um perfil de atacante especialista. Desse modo, a proposta obteve sucesso em reforçar a segurança do controle de acesso no ambiente de IoT de modo eficiente e eficaz.