Global ETD Search

31	Ethical Hacking of a Virtual Reality Headset / Etisk Hackning av ett par Virtuella Verklighets Glasögon Höft, Olivia January 2023 (has links) Weak product cybersecurity is an increasing problem within society, and a growing consumer product is the Virtual Reality (VR) headset. This thesis investigated common vulnerabilities in Internet of Things (IoT) consumer products and performed proof-of-concept exploits on the Meta Quest VR headset. The research method employed in this thesis was black-box penetration testing, a method to find possible vulnerabilities in a system. The method was provided by the Penetration Testing Execution Standard (PTES) and the scope was on network-related attacks on the VR headset. The PTES standard included doing a threat model of the Meta Quest VR headset to find possible vulnerabilities within the scope of this thesis. Furthermore, common vulnerabilities were studied and the findings resulted in the conducted attacks on the VR headset. The attacks were tested on an environment that mimics the situation that the target connects to a public Wireless Fidelity (WiFi) that the adversary created. The result showed that the Meta Quest VR headset had security countermeasures against potential threats. However, among the conducted attacks, a (Domain Name System) DNS spoofing attack was successful where it also was concluded that it could result in a Denial of Service (DoS) attack. / Svag cybersäkerhet för produkter är ett ökande problem i samhället, och en växande konsumentprodukt är Virituella Verklighets (VR) glasögon. Den här avhandlingen undersökte vanliga sårbarheter i Sakernas internet (IoT) konsumentprodukter och undersökte om det var möjligt att utnyttja på Meta Quests VR glasögon. Forskningsmetoden som användes i denna avhandling var black-box penetrationstestning, en metod för att hitta möjliga sårbarheter i ett system. Penetrationstestet utfördes enligt The Penetration Testing Execution Standard (PTES) och omfattningen var på nätverksrelaterade attacker på VR-headsetet. PTES-standarden inkluderade att göra en hot modell av Meta Quest VR-headsetet för att hitta möjliga sårbarheter inom omfattningen av denna avhandling. Vidare studerades vanliga sårbarheter och resultatet resulterade i de utförda attackerna mot VR-headsetet. Attackerna testades i en miljö som efterliknar situationen där offret ansluter till ett offentligt nätverk (WiFi) som förövaren skapat. Resultatet visade att Meta Quest VR headsetet hade motståndskraftiga säkerhetsåtgärder mot potentiella hot. Däremot, bland de utförda attackerna, var en Domännamnssystem (DNS) spoofing attack framgångsrik som också påvisade att attacken kunde resultera i en överbelastnings (DoS) attack. Cyber Security Ethical Hacking Penetration Test Virtual Reality Headset Cyber Säkerhet Etisk Hackning Penetrationstest Virituella Verklighets Glasögon Computer and Information Sciences Data- och informationsvetenskap
32	Underneath the Surface : Threat modeling and penetration testing of a submarine robot / Under Ytan : Hotmodelling och penetrationstest av en undervattensrobot Vatn, Niklas January 2023 (has links) Connected devices have become an integral part of life in modern society. In the industry, several tasks have been automatized and are now performed by robots, a development that is called Industry 4.0. Robotics are breaking new ground, and autonomous underwater vehicles (AUVs) will enable the exploration and exploitation of areas previously inaccessible. The underwater robots are therefore expected to be deployed at scale in our seas for commercial and military purposes. This will make them a target for malicious actors to exploit security issues in the AUVs. It has previously been reported that robot developers often down-prioritize security and that leading robotics frameworks have severe vulnerabilities. This thesis aims to assess the security of a modern AUV, SAM, by the Swedish Maritime Robotics Center. The goal was to determine if it is vulnerable to attacks common in robots and connected vehicles and to find out what cyber threats exist to underwater vehicles. The method in this project was ethical hacking through a penetration test. It included creating a threat model for the robot and vulnerability analysis. Several vulnerabilities were selected for exploitation to determine and demonstrate how an attacker could abuse them. The result showed that several vulnerabilities were exploitable, and SAM was considered insecure. The project's direct impact is that it provides SMaRC with advice on how to improve the security of its vehicle and the security practices in its development team. Underwater robotics is still a novel field, and there needs to be more research published on threats to robots. As a result, the threat model and vulnerability analysis can be a good guideline for another security researcher pentesting an AUV or a developer team looking to improve the security of their robots. / Uppkopplade enheter har blivit en integrerad del av livet i det moderna samhället. Inom industrin har flera uppgifter automatiserats och utförs nu av robotar, en utveckling som kallas Industri 4.0. Robotik bryter ny mark, och autonoma undervattensfordon kommer att möjliggöra utforskning och exploatering av områden som tidigare var otillgängliga. Undervattensrobotar förväntas därför användas i stor skala i våra hav för kommersiella och militära ändamål. Detta kommer att göra dem till ett mål för illasinnade aktörer. Tidigare har det rapporterats att robotutvecklare ofta nedprioriterar säkerheten och att ledande ramverk för robotar har allvarliga sårbarheter. Därför syftar denna avhandling till att bedöma säkerheten hos en modern undervattensrobot, SAM, av Swedish Maritime Robotics Center. Målet var att avgöra om den är sårbar för attacker som är vanliga inom robotar och uppkopplade fordon och att ta reda på vilka säkerhetshot som finns mot undervattensfordon. Metoden i detta projekt var etiskt hackande genom ett penetrationstest. Det innefattade att skapa en hotmodell och sårbarhetsanalys för roboten. Flera sårbarheter valdes för att avgöra om och visa hur en angripare kan utnyttja dem. Resultatet visar att flera sårbarheter var exploaterbara och att SAM betraktades som osäker. Den direkta effekten av projektet är att det ger SMaRC råd om hur de kan öka säkerheten hos sitt fordon och förbättra säkerhetspraxis i sitt utvecklingsteam. Undervattensrobotik är fortfarande ett nytt område, och det behövs mer forskning som undersöker hot mot robotarna. Därför kan hotmodellen och sårbarhetsanalysen vara riktlinjer för en annan säkerhetsforskare som utför penetrationstestning på en AUV eller ett utvecklingsteam som vill förbättra säkerheten hos sina robotar. Security Ethical Hacking Threat Modeling IoT Autonomous Underwater Vehicles Säkerhet Etisk Hackning Hotmodelling IoT Autonoma Undervattensrobotar Computer Sciences Datavetenskap (datalogi) Computer and Information Sciences Data- och informationsvetenskap
33	Cybersecurity Evaluation of an IP Camera Stroeven, Tova, Söderman, Felix January 2022 (has links) The prevalence of affordable internet-connected cameras has provided many with new possibilities, including keeping a watchful eye on property and family members from afar. In order to avoid serious breaches of privacy, it is necessary to consider whether these devices are secure. This project aims to evaluate the cybersecurity of one such device, an IP camera from Biltema. This was done by performing an extensive analysis of the camera, determining possible vulnerabilities, and performing penetration tests based on identified vulnerabilities. The tests included capturing and analyzing network traffic, attempting to crack the camera credentials, and attempting to disable the camera completely. The conclusions were that the camera should not be used for any security applications and is unsuitable to use in situations where one's privacy is important. / Det breda utbudet av prisvärda och kameror med internet uppkopling har medfört helt nya möjligheter. Idag är det till exempel möjligt att hålla koll på sina barn utan att vara i rummet, eller hålla ett öga på hemmet via mobilen. Det är dock nödvändigt att reflektera över om dessa enheter är säkra, för att undvika allvarliga integritetsintrång. Projekets syfte är att utvärdera cybersäkerheten hos en sådan enhet, en IP-kamera från Biltema. Utvärderingen bestod av en omfattande analys av kameran, identifikation av möjliga sårbarheter och utförande av ett antal penetrationstester baserat på de upptäckta sårbarheterna. Testerna omfattade en analys av nätverkstrafik, att försöka knäcka kamerans inloggningssuppgifter samt att försöka inaktivera kameran. Slutsatsen var att kameran inte bör användas inom säkerhetstillämpningar och att den är olämplig i situationer där integritet är viktigt. / Kandidatexjobb i elektroteknik 2022, KTH, Stockholm cybersecurity IP camera baby camera security camera penetration testing IoT Biltema privacy ethical hacking Elektroteknik och elektronik
34	An Attribution Method for Alerts in an Educational Cyber Range based on Graph Database Wang, Yang January 2023 (has links) Finding the source of events in a network is a critical problem in network security, and this process is called network attribution. This thesis develops a system to attribute alerts from the cyber range of the Ethical Hacking Course at KTH to students. The cyber range is an essential component of the Ethical Hacking course. It provides a platform for students to practice their hacking knowledge and skills while recording their actions for research or course purposes. To use the alerts generated by the cyber range to study student behavior, it is necessary to find which student triggered the alert. In this thesis, the system uses a method based on a graph database to attribute alerts to students. The system designed in this thesis use the log data recorded by the cyber range to create nodes and relationships and use the data related to the traffic between hosts to attribute the traffic. After the attribution is complete, the system uses the attributed student traffic to reconstruct the path from the student to the host that captured the alert. If the path from the student to the host is successfully constructed, the attribution of the alert is considered successful. In the end, the system was able to attribute 94% of the student traffic. Using the student traffic that is successfully attributed, the system can attribute 79.75% of the bad-samba alerts to students and build the path from the student to the host. The system designed in this thesis is helpful for understanding and managing the students’ hacking behavior in the cyber range of the Ethical Hacking course. / Att hitta källan till händelser i ett nätverk är ett kritiskt problem inom nätverkssäkerhet och denna process kallas för nätverksattribuering. Denna avhandling utvecklar ett system för att attribuera varningar från cyberrummet i kursen Etisk Hacking på KTH till studenter. Cyberrummet är en viktig komponent i Etisk Hacking-kursen och det ger en plattform för studenter att öva på sina hackningskunskaper och färdigheter samtidigt som deras handlingar spelas in för forsknings- eller kursändamål. För att använda de varningar som genereras av cyberrummet för att studera studenters beteende är det nödvändigt att hitta vilken student som utlöste varningen. I denna avhandling använder systemet en metod baserad på en grafisk databas för att attribuera varningar till studenter. Vi använder loggdata som registreras av cyberrummet för att skapa noder och relationer och använder data relaterade till trafiken mellan värdar för att attribuera trafiken. Efter att attribueringen är klar använder systemet den attribuerade studenttrafiken för att återkonstruera vägen från studenten till värdet som fångade varningen. Om vägen från studenten till värdet framgångsrikt konstrueras anses attribueringen av varningen vara lyckad. I slutändan kunde systemet attribuera 94% av studenttrafiken. Genom att använda den studenttrafik som framgångsrikt attribueras kan systemet attribuera 79,75% av de dåliga-samba varningarna till studenter och bygga vägen från studenten till värdet. Systemet som designats i denna avhandling är till hjälp för att förstå och hantera studenters hackningsbeteende i cyberrummet i kursen Etisk Hacking. Network Attribution. Cyber Range Ethical Hacking Course. Graph Database. Nätverksattribuering Cyberområde Etisk Hackningskurs Grafisk Databas Elektroteknik och elektronik
35	Hacking commercial IP cameras : Home Surveillance Georgiev, Hristo, Mustafa, Azad January 2021 (has links) IP cameras have been around for a while and have been a growing part of the IoT scene. There is a variety of IP cameras being used in enterprises and homes with the main reason being for surveillance. This naturally attracts attackers to potentially take control of the camera feeds and or disable them completely. We tested the security of home surveillance cameras in different price categories, ranging from 350 SEK to 800 SEK, to research if the security of the cameras differs depending on the price. In addition, we also focused on two different vendors with the goal of discerning whether they have implemented different security measures. The method used to solve our task was to find and exploit existing vulnerabilities from similar devices and potentially find new ones ourselves. Even though existing vulnerabilities were mostly patched, there was still valuable information in the exploits. This showed that some vendors were aware of existing vulnerabilities and had the drive to patch them. Our work resulted in finding two vulnerabilities in one of the vendor’s cameras, which was disclosed to the affected vendor. The disclosure process resulted in an announcement in the support page[29]. MITRE also confirmed two CVE ID’s from our request, CVE-2021-41503[31] and CVE-2021-41504[32]. Our conclusion is that there are still critical security risks when it comes to the camera’s various features and other IoT devices that are yet to be exposed. / IP-kameror har funnits ett tag och har blivit en del av IoT-scenen. Det finns en mängd olika IP-kameror som används i företag och hem med den främsta anledningen till övervakning. Detta lockar naturligtvis angripare att eventuellt använda kameraflödena eller inaktivera dem helt. Vi testade säkerheten för hemövervakningskameror i olika priskategorier, från 350 SEK till 800 SEK, för att undersöka om kamerans säkerhet skiljer sig åt beroende på pris. Vi fokuserade också på två olika leverantörer med målet att se om de har genomfört olika säkerhetsåtgärder. Metoden som användes för att lösa vår uppgift var att hitta och prova befintliga sårbarheter från liknande enheter och eventuellt hitta nya själva. Även om befintliga sårbarheter var för det mesta lösta så var det fortfarande värdefull information vi kunde ta del av. Detta visar att vissa leverantörer är medvetna om befintliga sårbarheter och har drivet att korrigera dem. Vårt arbete resulterade i att vi hittade två sårbarheter i en av leverantörens kameror, vilket informerades till den berörda leverantören. Avslöjandeprocessen resulterade i ett tillkännagivande på supportsidan[29]. MITRE bekräftade också två CVE IDs från vår begäran, CVE-2021-41503[31] och CVE-2021-41504[32] Vår slutsats är att det fortfarande finns några kritiska säkerhetsrisker avseende kamerornas funktioner och andra IoT-enheter som kan exponeras. Ethical Hacking Penetration Testing IP cameras IoT Home Surveillance Etisk Hackning Penetrationstestning IP kameror IoT Hemövervakning. Computer and Information Sciences Data- och informationsvetenskap
36	Clean Code : Investigating Data Integrity and Non-Repudiation in the DevOps Platform GitLab / Oförvanskad kod : En undersökning av informations- och användarintegritet i DevOps-plattformen GitLab Augustsson, John, Carlsson, Johan January 2021 (has links) Recent supply chain attacks on a larger scale in combination with a growing adoption of the set of automated software development and deployment practices commonly referred to as ’DevOps’, made us interested in the security of the underlying infrastructure supporting these practices. If a malicious commit in a piece of software can expose internal systems and networks of all users of said software to vulnerabilities, questions regarding trust and repudiation becomes central, in the platforms themselves as much as in each digitally signed software update version. GitLab is a DevOps platform that offer an open-source (Community Edition, (CE)) of their application, for anyone to use and even modify to better suit their own needs. Anyone who chooses to use GitLab will as a result thereof also choose to put the trust others put in them in the hands of the open-source community around GitLab. Since any vulnerability in GitLab could affect users or organizations that use software developed and shipped with the help of GitLab, we wanted to try finding one for ourselves. We employed well-known techniques from the ethical hacker playbook (threat modeling, risk assessment) in order to identify candidates for attack vectors, and found GitLab’s GraphQL Application Programming Interface (API) to be a great starting point since it not only was but still is under development, but that the body of previous work seemed to suggest inconsistencies in the business logic layer underneath. Our main findings are: at least two instances where we were able to gain unauthorized access to data within our self-hosted GitLab instance. We also found that a new feature could be used for privilege escalation under certain conditions. We were then able to conclude that open source software and a prolific bug bounty program does not guarantee the security of GitLab, in and of themselves. All findings have been reported to GitLab through their bug bounty program. / Under det senaste decenniet har mjukvaruutvecklande organisationer visat ett tilltagande intresse för de metoder för automatiserade utvecklings- och distributionstekniker som vanligen brukar samlas under termen DevOps. Den trenden taget i kombination med det senaste årets större försörjningskedjeattacker (SolarWinds, Microsoft Exchange Server) gjorde att vi började intressera oss för säkerheten kring den infrastruktur som möjliggör dessa metoder. Om en utvecklare med ont uppsåt lyckas få in en ändring i en mjukvara innan den digitalt signeras och distribueras till mjukvarans användare, kan denne lyckas utnyttja svagheten för att få tillgång till eller modifiera de system och nätverk mjukvaran körs på. Frågor om tillit och avsändarintegritet kring vem som står bakom ett kodavsnitt blir i förlängningen därav oerhört viktiga. GitLab är en DevOps-plattform som erbjuds i en version med öppen källkod, vilken alla kan använda och rent av anpassa för sina egna behov. Att använda GitLab innebär dock att man lämpar över den tillit och säkerhet ens användare lagt i ens händer på de som utvecklar plattformen. Eftersom en enskild sårbarhet i GitLab potentiellt kan påverka ett stort antal aktörer som aldrig själva använt GitLab gjorde att vi ville se efter om även vi kunde hitta en sådan sårbarhet. Vi använde oss av välbekanta metoderi etisk hackning-kretsar (hotmodellering) genom vilka vi identifierade GitLabs GraphQL-Application Programming Interface (API) som en potentiellt gynnsam attackvektor. Detta både eftersom API:t fortsatt är under utveckling och att tidigare forskning antytt logiska brister i applikations-lagret. Arbetet ledde fram till ett par fynd. Vi fick åtkomst till otillåten data vid två tillfällen. Med hjälp av en ny funktionalitet kunde vi under vissa omständigheter utöka en användares behörighet. Vi kunde därmed dra slutsatsen att öppen källkod och ett väletablerat bug bounty-program inte i sig är några garantier för säker mjukvara. Samtliga fynd har rapporterats till GitLab via deras bug bounty-program på plattformen HackerOne. GraphQL Threat modeling Open-Source Software Ethical hacking DevOps GraphQL Hotmodellering Öppen källkod Etisk hackning DevOps Computer and Information Sciences Data- och informationsvetenskap
37	Hacking a Commercial Drone Höglund Gran, Tommie, Mickols, Erik January 2020 (has links) Obemannade luftfarkoster, även kallade drönare, är del av IoT-revolutionen och har uppmärksammats de senaste åren på grund av integritetsfrågor såväl som flygplats- och militär säkerhet. Då de kan flyga samt har implementerat en ökande mängd teknologi, särskilt kamera och annan övervakning, är de attraktiva måltavlor för hackers och penetrationstestare. Ett antal attacker har genomförts i närtid. I detta examensarbete utforskas och attackeras drönaren Parrot ANAFI genom att använda hotmodellering ur ett black box-perspektiv. Hotmodelleringen inkluderar hotidentifiering med STRIDE samt riskvärdering med DREAD. Inga stora svagheter i systemet hittades. Rapporten visar att tillverkaren har en stor säkerhetsmedvetenhet. Exempel på denna medvetenhet är att tidigare rapporterade svagheter har åtgärdats och programkoden har förvrängts. Metoderna och de funna resultaten kan användas för att vidare utforska svagheter i drönare och liknande IoT-enheter. / Unmanned aerial vehicles, commonly known as drones, are part of the IoT revolution and have gotten some attention in recent years due to privacy violation issues as well as airport and military security. Since they can fly and have an increasing amount of technology implemented, especially camera and other surveillance, they are attractive targets for hackers and penetration testers. A number of attacks have been carried out over the years. In this thesis the Parrot ANAFI drone is explored and attacked using threat modeling from a black box perspective. The threat modeling includes identifying threats with STRIDE and assessing risks with DREAD. Major vulnerabilities in the system were not found. This report shows that the manufacturer has a high security awareness. Examples of this awareness are that previously reported vulnerabilities have been mitigated and firmware code has been obfuscated. The methods used and results found could be used to further explore vulnerabilities in drones and similar IoT devices. Computer and Information Sciences Data- och informationsvetenskap
38	Penetration testing of Android applications Nilsson, Robin January 2020 (has links) The market of Android applications is huge, and in 2019, Google Play users worldwide downloaded 84.3 billion mobile applications. With such a big user base, any security issues could have big negative impacts. That is why penetration testing of Android applications is important and it is also why Google has a bug bounty program where people can submit vulnerability reports on their most downloaded applications. The aim of the project was to assess the security of Android applications from the Google Play Security Reward Program by performing penetration tests on the applications. A threat model of Android applications was made where potential threats were identified. A choice was made to focus on the Spotify Application for Android where threats were given ratings based on risks associated with them in the context of the Spotify Application. Penetration tests were made where testing depth was determined by the ratings associated with the attacks.The results of the tests showed that the Spotify Application is secure, and no test showed any real possibility of exploiting the application. The perhaps biggest potential exploit found is a Denial of Service attack that can be made through a malicious application interacting with the Spotify application. The result doesn’t guarantee that the application isn’t penetrable and further testing is needed to give the result more reliability. The methods used in the project can however act as a template for further research into both Spotify and other Android applications. / Marknaden för Android applikationer är enorm och 2019 laddade Google Play användare ner 84.3 miljarder mobil-applikationer. Med en så stor användarbas kan potentiella säkerhetsproblem få stora negativa konsekvenser. Det är därför penetrationstest är viktiga och varför Google har ett bug bounty program där folk kan skicka in sårbarhetsrapporter för deras mest nedladdade applikationer. Målet med projektet är att bedöma säkerheten hos Android applikationer från Google Play Security Reward Program genom utförande av penetrationstester på applikationerna. En hotmodell över Android applikationer skapades, där potentiella hot identifierades. Ett val att fokusera på Spotify för Android gjordes, där hot gavs rankingar baserat på riskerna associerade med dem i kontexten av Spotify applikationen. Penetrationstest gjordes med testdjup avgjort av rankingarna associerade med attackerna.Resultatet av testen visade att Spotify applikationen var säker, och inga test visade på några riktiga utnyttjningsmöjligheter av applikationen. Den kanske största utnyttjningsmöjligheten som hittades var en Denial of Service-attack som kunde göras genom en illvillig applikation som interagerar med Spotify applikationen. Resultaten garanterar inte att applikationen inte är penetrerbar och fortsatt testande behövs för att ge resultatet mer trovärdighet. Metoderna som användes i projektet kan i alla fall agera som en mall för fortsatt undersökning av både Spotify såväl som andra Android applikationer. Computer and Information Sciences Data- och informationsvetenskap
39	Ethical hacking of a premium robot vacuum : Penetration testing of the Roborock S7 robot vacuum cleaner / Etiskt hackande av en högkvalitativ robotdammsugare : Penetrationstestande av robotdammsugaren Roborock S7 Dahlberg Sundström, Tobias, Nilsson, Johan January 2022 (has links) With the advancements made in the field of data science, smart IoT devices are be-coming increasingly common. Consequently, this creates an increased number of targets for hackers to potentially exploit. This is a study about ethically hacking a robot vacuum, the Roborock S7, and evaluating the security of the target system. The DREAD and Stride threat models are used in order to find potential exploits. These exploits are then tested on the vacuum. Four tests were done on the system: scan-ning, denial-of-service attack, man-in-the-middle sniffing and man-in-the-middle tampering. The study found that the vacuum is relatively secure against web threats with weaknesses found surrounding its handling of its own network and lack of re-sistance to denial-of-service attacks on the DHCP protocol. / Med de framsteg som sker inom datavetenskap och teknologi blir IoT-enheter allt vanligare i hemmen. Detta medför en ökad mängd enheter med potentiella sårbar-heter som hackare kan utnyttja. Denna rapport handlar om att etiskt hacka en ro-botdammsugare av modell Roborock S7 och utvärdera dess säkerhet mot internet-hot. DREAD och STRIDE används som hotmodeller för att hitta sårbarheter. Sår-barheterna testas sedan på dammsugaren. Fyra tester utfördes på system: scanning, denial-of-service-attack, man-in-the-middle-avlyssning och man-in-the-middle-av-lyssning med manipulering. Rapporten hittade att dammsugaren är resonabelt säker mot internethot men med svagheter i hur enheten hanterar sitt egna nätverk samt ett bristande motstånd mot en denial-of-service-attack genom DHCP-protokollet. Ethical hacking IoT DREAD STRIDE Grey-box testing Robot vacuum Etiskt hackande IoT DREAD STRIDE Grey-box testande Robotdammsugare Communication Systems Kommunikationssystem Computer Engineering Datorteknik
40	Etisk hackning av en smart kattlucka : Sårbarhetstestning av en smart kattlucka / Ethical hacking of a smart cat flap : Vulnerability testing of a smart cat flap Kastrati, Adrian January 2024 (has links) Många hem köper produkter som är internetuppkopplade, sakernas internet (IoT), det gäller allt från lampor till kattluckor. Detta öppnar upp för möjligheten att styra sitt hem på nya sätt men det medför nya hot mot hem och samhället. Detta är ett kritiskt problem för många företag, särskilt på IoT-marknaden där det finns incitament som driver låga kostnader och snabb marknadsintroduktion. Litteratstudien visade en brist på tydliga värderingar av investeringar och att även om produktivitet påverkas negativt och förlänger tiden från idé till marknad undviks framtida svårigheter vid lyckade cybersäkerhethetsåtgärder. Trots de betydande hoten kan många företag välja att acceptera risken för cyberattacker på grund av att kostnader vid säkerhetsbrister inte alltid hamnar hos dem.Sårbarhetstestningsmetoden PatrIoT följdes för att grundligt testa IoT-produkten Microchip Cat Flap Connect. Attacker som utfördes var bland annat ping-flooding och MiTM. Produkten visade sig vara säker och vanliga svagheter som öppna nät- verkstjänster och avsaknad av kryptering var frånvarande. Produkten visade sig vara sårbar mot överflödesattacker (DoS) i form av ping-flooding. Med det går det att säga att produkten följer ett flertal principer för utveckling mot säker IoT men servern som används för webbapplikationen bör implementera krav på att endast lita på certifikat av betrodda certifikatutfärdare. / Many households purchase internet-connected products, Internet of Things (IoT), which includes everything from lamps to cat flaps. This opens new ways and possibilities of controlling one's home, but it brings new threats to home and society. This is a critical issue for many companies, especially in the IoT market where there are incentives that drive low costs and quick time to market. The literature study showed a lack of clear valuations of investments and that even if productivity is negatively affected and the time from idea to market is extended, future difficulties are avoided with successful cyber security measures. Despite the significant threats, many companies may choose to accept the risk of cyber-attacks because the costs of security breaches do not always end up with them.The PatrIoT vulnerability testing methodology was followed to thoroughly test the IoT product Microchip Cat Flap Connect. The product proved to be secure and common weaknesses, such as open network services and lack of proper implementation of encryption, could not be identified. The product was found to be vulnerable to denial-of-service (DoS) attacks in the form of ping-flooding. With that, it can be said that the product follows several principles for development towards secure IoT, but the server used for the web application should implement requirements to only trust certificates from trusted certificate authorities. Ethical hacking vulnerbility testing PatrIoT smart homes internet of things threat modelling cybersecurity Etisk hackning sårbarhetstestning PatrIoT smarta hem sakernas internet hotmodellering cybersäkerhet Computer and Information Sciences Data- och informationsvetenskap

Search results