Identifiering och Utnyttjande av Sårbarheter hos en IP-Kamera / Identification and Exploitation of Vulnerabilities in an IP-Camera

Fjellborg, Joakim

January 2021

Idag blir det vanligare och vanligare att system såsom kameror eller kylskåp är eller har kapabiliteten att vara anslutna till internet och kommunicera över nätet av sig själva, så kallade IoT-system. Att ett system är anslutet till internet innebär att risken för angrepp på systemet ökar, och att systemet, om infekterat, har potentialen att kommunicera med omvärlden för att exempelvis utföra denial-of-service-attacker. Detta examensarbete undersöker säkerheten hos en internetansluten kamera (IP-kamera). Målet är att identifiera sårbarheter, och om möjligt, utveckla angrepp som utnyttjar sårbarheter hos kameran, för att testa säkerheten hos systemet. Resultatet visar att systemet är sårbart för ett antal olika angrepp, främst man-in-the-middle och cross-site-request-forgery. / Today systems such as cameras or fridges with the capability of being connected to the internet and communicating without human intervention are becoming increasingly common, so called IoT-systems. A system being connected to the internet means that the system’s attack surface is increased, and the system can, if infected, be used by the attacker to communicate with the outside world to perform denial-of-service- or other types of attacks. This thesis examines the security of an internet connected security camera, (IP-camera). The aim is to identify vulnerabilities in the system, and if possible to develop attacks that exploit these vulnerabilities in the goal of evaluating the security of the system. The results show that the system is vulnerable to some attacks, mainly including man-in-the-middle aswell as cross-site-request-forgery based attacks.

Pentesting

Threat modeling

Security

IP-camera

CSRF

MITM

Exploiting

DOS

IoT

Penetrationstesting

Hotmodelling

Säkerhet

IP-kamera

CSRF

MITM

Utnyttjande

DOS

IoT

Computer and Information Sciences

Data- och informationsvetenskap

Underneath the Surface : Threat modeling and penetration testing of a submarine robot / Under Ytan : Hotmodelling och penetrationstest av en undervattensrobot

Vatn, Niklas

January 2023

Connected devices have become an integral part of life in modern society. In the industry, several tasks have been automatized and are now performed by robots, a development that is called Industry 4.0. Robotics are breaking new ground, and autonomous underwater vehicles (AUVs) will enable the exploration and exploitation of areas previously inaccessible. The underwater robots are therefore expected to be deployed at scale in our seas for commercial and military purposes. This will make them a target for malicious actors to exploit security issues in the AUVs. It has previously been reported that robot developers often down-prioritize security and that leading robotics frameworks have severe vulnerabilities. This thesis aims to assess the security of a modern AUV, SAM, by the Swedish Maritime Robotics Center. The goal was to determine if it is vulnerable to attacks common in robots and connected vehicles and to find out what cyber threats exist to underwater vehicles. The method in this project was ethical hacking through a penetration test. It included creating a threat model for the robot and vulnerability analysis. Several vulnerabilities were selected for exploitation to determine and demonstrate how an attacker could abuse them. The result showed that several vulnerabilities were exploitable, and SAM was considered insecure. The project's direct impact is that it provides SMaRC with advice on how to improve the security of its vehicle and the security practices in its development team. Underwater robotics is still a novel field, and there needs to be more research published on threats to robots. As a result, the threat model and vulnerability analysis can be a good guideline for another security researcher pentesting an AUV or a developer team looking to improve the security of their robots. / Uppkopplade enheter har blivit en integrerad del av livet i det moderna samhället. Inom industrin har flera uppgifter automatiserats och utförs nu av robotar, en utveckling som kallas Industri 4.0. Robotik bryter ny mark, och autonoma undervattensfordon kommer att möjliggöra utforskning och exploatering av områden som tidigare var otillgängliga. Undervattensrobotar förväntas därför användas i stor skala i våra hav för kommersiella och militära ändamål. Detta kommer att göra dem till ett mål för illasinnade aktörer. Tidigare har det rapporterats att robotutvecklare ofta nedprioriterar säkerheten och att ledande ramverk för robotar har allvarliga sårbarheter. Därför syftar denna avhandling till att bedöma säkerheten hos en modern undervattensrobot, SAM, av Swedish Maritime Robotics Center. Målet var att avgöra om den är sårbar för attacker som är vanliga inom robotar och uppkopplade fordon och att ta reda på vilka säkerhetshot som finns mot undervattensfordon. Metoden i detta projekt var etiskt hackande genom ett penetrationstest. Det innefattade att skapa en hotmodell och sårbarhetsanalys för roboten. Flera sårbarheter valdes för att avgöra om och visa hur en angripare kan utnyttja dem. Resultatet visar att flera sårbarheter var exploaterbara och att SAM betraktades som osäker. Den direkta effekten av projektet är att det ger SMaRC råd om hur de kan öka säkerheten hos sitt fordon och förbättra säkerhetspraxis i sitt utvecklingsteam. Undervattensrobotik är fortfarande ett nytt område, och det behövs mer forskning som undersöker hot mot robotarna. Därför kan hotmodellen och sårbarhetsanalysen vara riktlinjer för en annan säkerhetsforskare som utför penetrationstestning på en AUV eller ett utvecklingsteam som vill förbättra säkerheten hos sina robotar.

Security

Ethical Hacking

Threat Modeling

IoT

Autonomous Underwater Vehicles

Säkerhet

Etisk Hackning

Hotmodelling

IoT

Autonoma Undervattensrobotar

Computer Sciences

Datavetenskap (datalogi)

Computer and Information Sciences

Data- och informationsvetenskap