En åbnet IoT-enhed fra Toitware. Foto: Jesper Scheel

DTU-studerende hacker for at forbedre IoT-sikkerhed

Thursday 25 Feb 21

Contact

Contact

Lars Dittmann
Professor, Group Leader
DTU Fotonik
+45 45 25 38 51

Om IoT

Internet of Things - IoT, som det ofte bare kaldes - handler om at forbinde ting til internettet.

IoT-sektoren vokser massivt, og milliarder af IoT-enheder forventes at komme på markedet.
Studerende fra DTU bliver undervist i, hvordan man hacker Internet of Things-enheder fra erhvervslivet. Formålet er at skabe en sikrere verden af IoT-enheder.

Den lille sorte boks ligger åben på bordet. Den ligner en flækket musling, der nu ufrivilligt blotter sin potentielt sårbare indmad.

”Det var sjovt at interagere med både hardware og software. Det var virkelig fedt at få sine fingre i det,” siger DTU-studerende Christos Xenofontos, der lige har færdiggjort sit første såkaldte sikkerheds-hackathon, som er et event, der går ud på at trænge igennem digitale sikkerhedsforanstaltninger.

”Det har været ekstra sjovt, fordi det vi har lavet, er det samme som man laver ude i erhvervslivet, når de tester om et nyt produkt sikkerhedsmæssigt er klar til at komme på markedet.” 

Hacking kan forbedre IoT-sikkerhed

Internet of Things (IoT)-enheden, som de DTU-studerende skulle hacke, er en såkaldt Toitbox. Det er en demo-IoT-enhed, som er lavet og stillet til rådighed af firmaet Toitware. Enheden har knapper, LED-lamper, GPS, gyroskop, accelerometer og forskellige sensorer, der gør det muligt at bruge den til at registrere f.eks. temperatur, fugtighed og lokalitet. Enheden er forbundet til internettet, så brugeren kan kommunikere med den på afstand.

"Det var sjovt at arbejde med software, der faktisk er på markedet - i stedet for bare at få en typisk testplatform," siger Christos Xenofontos.

Før hackathon-begivenheden, der blev afholdt hos DTU Fotonik, havde udviklerne fra Toitware indlagt sårbarheder i deres software, som de studerende skulle prøve at finde.

"Der skal være styr på alt fra det fysiske design til softwarens sammensætning"
Christos Xenofontos, DTU-studerende

"Vi blev sat under tidspres, hvilket betød, at vi hurtigt skulle finde en måde at trænge ind i enheden," fortæller Christos Xenofontos og nævner, at hacking nogle gange kan involvere en skruetrækker eller andre værktøjer, der kan give hardwareadgang til enheden.

"Alt kan hackes. Det første grundlæggende hack kan være at forsøge at åbne enheden, så man kan se dens fysiske indmad. På den måde kan man prøve at finde en seriel port til at kommunikere med firmwaren. Vi prøvede, men vi fandt ingen skruer. Hvis du ender med at ødelægge enheden og indmaden, har du ikke hacket noget som helst. Da vi ikke ønskede at ødelægge Toitboxen, forsøgte vi at finde sårbarheder i softwaren.”

Caption: Christos Xenofontos (to the left) and his teammate Dhaval Mukul Purohit at the hackathon-event held at DTU Fotonik
Christos Xenofontos (til venstre) og hans holdkammerat Dhaval Mukul Purohit ved hackathon-arrangementet, der blev afholdt på DTU Fotonik. Foto: Jesper Scheel.

Det lykkedes Christos Xenofontos og hans hold at finde sårbarheder i IoT-enheden.

”Vi lavede noget indledende rekognosceringsarbejde ved at skanne netværket for at se, om enheden havde en port åben, som vi kunne udnytte. Desværre var der intet åbent. Derefter brugte vi blandt andet en ALFA USB-adapter til at udføre et 'man-in-the-middle'-angreb, hvorefter vi kunne se, at enheden åbnede nogle porte og kommunikerede regelmæssigt med online-serveren,” siger Christos Xenofontos.

”Derudover kunne vi se nogle ukrypterede meddelelser i kommunikationen (med vilje lagt der af udviklerne). Derefter indså vi, at vi skulle bruge 'capturing the handshake' og fortsatte med et 'deauthentication-angreb' med både ALFA-antennen og Wifi Pineapple Nano. Til sidst løb vi tør for tid, men Toitware-udviklerne fortalte os, at vi var på rette vej.”

"Det var mit første hackathon, og jeg synes, jeg fik nogle rigtigt gode erfaringer med fra det. Jeg lærte blandt andet, at det er vigtigt at fokusere på alle led i kæden, når man arbejder med sikkerhed. Der skal være styr på alt fra det fysiske design til softwarens sammensætning. Jeg kunne godt tænke mig at sikkerheds-hacke mere i min fritid. Det har virkelig pustet til min interesse for at arbejde med IT-sikkerhed,” siger han.

Caption: An ALFA antenna, which is a wireless antenna that can be used to monitor all traffic received on a wireless channel.
En ALFA-antenne, som er en trådløs antenne, der kan bruges til at overvåge trafikken på en trådløs kanal. Foto: Jesper Scheel. 

For Toitware, der stillede udstyr- og softwareplatform til rådighed til begivenheden, var mødet med de DTU-studerende meget givtigt:

"Vi har blandt andet udviklet et helt nyt programmeringssprog. Vores platform er en generisk IoT-softwareplatform rettet mod IoT-appudvikling, så det, at være til stede når de studerende møder vores platform og programmeringssprog for første gang, giver os værdifuld feedback, som vi kan bruge i sikkerhedsudviklingen af vores produkt," siger Helena Marie Meyer, softwareingeniør hos Toitware og fortsætter:

”Vi har afholdt hackathons før, men dette var vores første sikkerhedshackathon, hvilket gav os nogle andre udfordringer end til de tidligere hackathons vi har lavet. Det var virkelig en interessant oplevelse.”

Om kurset: Internet of Things (IoT) Communication Network Security

Formålet med sikkerhedshackatonet var at lære de studerende, hvordan man gør IoT-teknologien mere sikker: Idéen er at lære de studerende at angribe for at gøre dem bedre til at forsvare.
Som IT-sikkerhedsingeniør er det vigtigt, at man kan udføre gode penetrationstest, så man kan lære sårbarhederne i sine systemer at kende. Med den viden er man langt bedre rustet til at afbøde et muligt hackerangreb.

Læs mere om kurset: Internet of Things (IoT) Communication Network Security

Læs mere om kandidatretningen "Kommunikationsteknologier og systemdesign".

News and filters

Get updated on news that match your filter.