Wireless Sensors Security
Transcription
Wireless Sensors Security
Wireless Sensors Security Claude Castelluccia PLANETE, INRIA 2010 Wireless Sensor Networks • Wireless Sensor Networks are: – Composed of many self-organizing nodes randomly deployed – Each sensor has sensing (temperature, pressure, humidity, etc.) and communication capabilities – Ultimate aim is to carry the sensed data towards a (off-line or online) sink node + Computation + Sensing = Wireless Communication 2 Architecture Type (Micaz Node) • RAM: – Data memory4KOctets • ROM/Flash: – program memory128kOctets • External Flash: 512KB • Processeur: – Atmel AVR Atmega 128 8bit / 8MHz Network Architecture • Tree-based architecture – Nodes are leaves and intermediate nodes – BS is the root Applications Interactive VR Game Environmental Monitoring Wearable Computing Disaster Recovery Earth Science & Exploration Immerse Environments Wireless Sensor Networks Hazard Detection Military Surveillance Linear Structure Protection Smart Evironment Road Safety Emerging Applications • Military Applications – VigilNet: Energy efficient military surveillance (UVA) – Shooter Localization: Locate the snipers (Vanderbilt) – Tagging Red Force: Tracking enemies (Notre Dame) • Civilian Applications – Great Duck Island: Environmental Monitoring: (Berkeley) – Wisden: Structure Monitoring (UCLA) – Assisted Living: Eldercare Technologies (UVA) • Commercial Applications – Implantable Medical Sensors: Medtronic, Boston Scientific – Hazardous Factory, Home monitoring: Honeywell, United Technology Is WSN Security~Computer Security ? • No ! Then why ? • Limited Memory (4KB RAM) • Limited Processing Power – Computation • Limited Energy (2x1.5V) • High Possibility of Tampering and Physical Attacks • Deployed in hostile environments • Very dynamic: addition and deletion of sensor nodes after deployment to replace failing and unreliable nodes 7 What we want to achieve ... value time (x,y,z) M M M M M M 8 Our scenario closely resembles to ... ATTACKER NETWORK 9 WSN Security (2).. • Problèmes très divers selon applications – Intégrité/confidentialité des données – Protocoles d’échange de clefs efficaces • Sachant que crypto a clef publique n’est pas possible – Sécurité du routage – Sécurité des problèmes de localisation – Agrégation sécurisée .. • Illustrations 1. Medical applications: e.g pacemakers • 1 ou 2 nodes • Nodes hard to access and physically compromize. • Cost is not a big issue 2. Monitoring applications • 100, 1000+ nodes • Nodes hard to access and physically compromize • Cost is a big issue. Application#1: Les Implants Medicaux • De plus en plus d’implants médicaux possèdent des interfaces sans fil – Permet de configurer – Permet de stocker et récupérer des informations (mesures) – Permet de surveiller a distance… Application #1: Les Implants Médicaux • Les implants cardiaques (défibrillateurs, pacemakers) en sont un bon exemple – Stimulateur Cardiaque (Pacemaker): émet périodiquement des petits stimulis électriques au coeur – Défibrillateur: émet des stimulis plus puissants pour restaurer un rythme “normal” Les implants médicaux: Pacemakers/défibrillateurs • Systèmes Actuels – Ultra-low-power CPU + 128 ko. RAM (donnée patient, log,…) – Communication par induction – Portée faible • Contact avec patient – Bande passante limitée • Nouveaux systèmes – Portée de qq mètres (~2m) • Permet surveillance a distance des patients • Facilite la programmation et installation – Bande passante plus importante (~400 kbits/s) • Permet de nouvelles applications • Diminue le temps de consultation Les implants medicaux: Nouvelles Applications • problèmes de confidentialité, intégrité • le médecin peut lire les données a distance… • …mais bientôt il pourra les modifier par l’Internet!! IMD Security • Current systems do not provide any security (access control, integrity, confidentiality,…) • Existing attacks… [1] Halperin and al., Pacemakers and implantable cardiac defibrillators: Software radio attacks amd zero-power defenses, IEEE Security and Privacy, Oakland, 2008. Existing Attacks [1] Halperin and al., Pacemakers and implantable cardiac defibrillators: Software radio attacks amd zero-power defenses, IEEE Security and Privacy, Oakland, 2008. Pourquoi ce manque de Sécurité ? • Juger inutile (par les fabriquants) car nécessite d’être proche du patient – Mais attaquant peut utiliser un équipement non standard (amplificateur, antenne puissante,…) – Voir presentation de Gemalto hier….acces possible a 50cm!! • Coûteux en terme de ressource – CPU, bande passante, mais surtout énergie! – Réduit la durée de vie! • Compromis Sécurité/Sureté! – La sécurité ne doit pas mettre la vie du patient en danger en cas d’urgence! • Les attaquants ne doivent pas avoir accès aux données…mais les données doivent être disponibles en cas d’urgence…! • Un attaquant ne doit pas pouvoir desactiver l’appareil mais un medecin doit absolument le faire en cas d’urgence. Sécurité des pacemakers/ Un problème très difficile… • Authentification des lecteurs – Gestion des clefs est difficile? • Capteur configuré avec une clef et la clef est donnée au médecin traitant… – Mais comment faire si le patient voyage ou admit d’urgence? – Carte a puce? • Pas de solution idéale!!… – Comment révoquer des lecteurs? • PKI? Sécuriser les Pacemakers (2) • Comment éviter les attaques de type déni de service?? – Cryptographie/Sécurité Coûte cher en terme d’énergie – Un attaquant pourrait émettre des fausses requêtes d’authentification/ autorisation – Le capteur consommerait sa pile pour rien Possible solutions: Proximity-Based Access Control for IMD (Implantable Medical Devices) CCS’09 Why Ultra Sound? • Radio signals are too fast… – v = c/n (c is the speed of light and n is the refractive index of the media where a radio siganl is traveling) – C= 300.000km/s; refract. Index of air~1 => V~ 300.000km/s… – Distance = time*v…. – A small variation in time implies a large distance variation • Sound is much slower… – V ~ 1230km/s ~ 340m/s DoS Attack • Although a malicious user cannot get access to the pacemaker… • He can perform a DoS attack by sending bogus messages… – The pacemaker will perform computation… – And exhaust its battery Solution contre DoS: Défense “passive”! • Combiner RFID/Capteurs – RFID (passive) sert de “parefeu” • RFID implémente le contrôle d’accès et vérifie que le lecteur est autorise • Si le lecteur est autorisé alors il peut communiquer avec le capteur…sinon le RFID bloque l’accès – Comme RFID est passive, il ne consomme pas d’énergie • Le RFID pourrait émettre un son/vibration pour avertir le patient de l’interaction Lecteur Externe 1 2 Controle d’acces/ RFID 4 3 Implant/Pacemaker Auth (ID,N) R’=RC5(SK,N) R’ accept Lecteur R’ =? RC5(SK,N) RFID Idea already implemented in Wireless Car keys… 433 MHz Antenna ? TI TMS 37126* 130 kHz passive RFID 433MHz radio + MCU 130KHz antenna/coil 37