Análisis de seguridad de la plataforma de ciudades inteligentes Fiware

Perata, Juan Pablo

Supervisor(es): Betarte, Gustavo

Resumen:

Fiware es una plataforma open source impulsada para el desarrollo de soluciones inteligentes. Este trabajo se focalizó en abordar conceptualmente esta tecnología, de la cual no se contaba con experiencia previa, y poder concretar una evaluación de seguridad desde una perspectiva ofensiva. En particular, un objetivo específico fue adoptar la postura de un atacante en la búsqueda de potenciales vulnerabilidades. Dadas las restricciones de tiempo usuales para este tipo de trabajos de investigación, el alcance fue acordado y determinado en conjunto con el Director de la tesis. El relevamiento de investigaciones de seguridad en Fiware de carácter público desarrollado en este trabajo ha puesto de manifiesto la existencia de pocas publicaciones que afronten una evaluación de seguridad de sus componentes de forma individual o en su conjunto interactuando entre sí en una arquitectura dada. Es así que se consideró un escenario de estudio referencial donde estuvieran presentes componentes centrales de una plataforma Fiware. Tomando como entrada los resultados de antecedentes previos y experimentando con el escenario, se pudieron identificar una serie de problemáticas de seguridad. Se procedió luego al modelado de amenazas del caso de estudio siguiendo la metodología de OWASP, obteniendo un conjunto de artefactos interesantes: descomposición del caso, diagrama de flujo de datos, modelado STRIDE, análisis de ataque y distinción de objetivos de ataque. Se propuso llevar a la práctica tres objetivos de ataque experimentando en el escenario en un entorno controlado local. En conjunto con la Intendencia de Montevideo (organismo encargado del gobierno del departamento de Montevideo, ciudad capital de Uruguay), se pudo concretar una propuesta de análisis exploratorio de seguridad en su plataforma de Ciudades Inteligentes. Para ello se elaboró un conjunto de preguntas guía que pudieran conducir el análisis preliminar. Esto permitió poder tener una aproximación a un despliegue de plataforma Fiware real en la práctica y poder validar y comparar los resultados obtenidos durante el trabajo de investigación inicial. A partir de la evaluación de seguridad, se enumeraron distintos tipos de ataque que podrían implementarse, finalizando con la construcción de un conjunto de recomendaciones en materia de componentes, arquitectura y control de acceso.


Detalles Bibliográficos
2022
Fiware
Orion
IoT Agent
Modelado de amenaza
STRIDE
Vectores de ataque
Seguridad ofensiva
Español
Universidad de la República
COLIBRI
https://hdl.handle.net/20.500.12008/33680
Acceso abierto
Licencia Creative Commons Atribución - No Comercial - Sin Derivadas (CC - By-NC-ND 4.0)
Resumen:
Sumario:Fiware es una plataforma open source impulsada para el desarrollo de soluciones inteligentes. Este trabajo se focalizó en abordar conceptualmente esta tecnología, de la cual no se contaba con experiencia previa, y poder concretar una evaluación de seguridad desde una perspectiva ofensiva. En particular, un objetivo específico fue adoptar la postura de un atacante en la búsqueda de potenciales vulnerabilidades. Dadas las restricciones de tiempo usuales para este tipo de trabajos de investigación, el alcance fue acordado y determinado en conjunto con el Director de la tesis. El relevamiento de investigaciones de seguridad en Fiware de carácter público desarrollado en este trabajo ha puesto de manifiesto la existencia de pocas publicaciones que afronten una evaluación de seguridad de sus componentes de forma individual o en su conjunto interactuando entre sí en una arquitectura dada. Es así que se consideró un escenario de estudio referencial donde estuvieran presentes componentes centrales de una plataforma Fiware. Tomando como entrada los resultados de antecedentes previos y experimentando con el escenario, se pudieron identificar una serie de problemáticas de seguridad. Se procedió luego al modelado de amenazas del caso de estudio siguiendo la metodología de OWASP, obteniendo un conjunto de artefactos interesantes: descomposición del caso, diagrama de flujo de datos, modelado STRIDE, análisis de ataque y distinción de objetivos de ataque. Se propuso llevar a la práctica tres objetivos de ataque experimentando en el escenario en un entorno controlado local. En conjunto con la Intendencia de Montevideo (organismo encargado del gobierno del departamento de Montevideo, ciudad capital de Uruguay), se pudo concretar una propuesta de análisis exploratorio de seguridad en su plataforma de Ciudades Inteligentes. Para ello se elaboró un conjunto de preguntas guía que pudieran conducir el análisis preliminar. Esto permitió poder tener una aproximación a un despliegue de plataforma Fiware real en la práctica y poder validar y comparar los resultados obtenidos durante el trabajo de investigación inicial. A partir de la evaluación de seguridad, se enumeraron distintos tipos de ataque que podrían implementarse, finalizando con la construcción de un conjunto de recomendaciones en materia de componentes, arquitectura y control de acceso.