Global ETD Search

71	KONSTEN ATT BALANSERA SÄKERHET OCH ÖPPENHET : En kvalitativ studie av offentliga organisationers hantering av säkerhetshot / THE ART OF BALANCING SECURITY AND OPENNESS : A qualitative study of public organizations' management of security threats Johansson, Matthias, Påander, Erik January 2023 (has links) Offentliga organisationer har flera krafter som trycker och påverkar deras säkerhetspraktik, dessa är både externa men även interna. För att förstå hur den offentliga organisationen hanterar dessa krafter som kräver öppenhet respektive IT-säkerhet har studien använt sig av kvalitativ datainsamling i form av intervjuer med medarbetare med olika roller inom den offentliga sektorn. Studien har inspirerats av induktion som ansats och utvecklat sitt teoretiska ramverk efter det att empirin färdigställts. Teoretiska begrepp som används i analysen är bland annat det politiska systemet, skugg-IT och Information Security Awareness. Empirin består av intervjuer med personer som är anställda hos en offentlig organisation. Utmaningar för IT-säkerhetspraktiken uppstår i form av syn på utbildning och svårigheten att nå ut till personal som följd av den komplexitet som är inneboende i den offentliga organisationen. Studien ger insyn och förslag på hur detta skulle kunna hanteras för att göra arbetet att upprätthålla säkerheten mer effektiv. Arbetet utmynnar i framtagandet av ett ramverk som visualiserar det förlopp som aktualiseras i studien, där knyts sambandet mellan olika krafter och synpunkter som påverkar varandra. / Public organizations face various forces that exert pressure and influence their security practices, both externally and internally. To understand how public organizations manage these forces, which require both transparency and IT security, this study employed qualitative data collection in the form of interviews with employees in different roles within the public sector. The study was inspired by an inductive approach and developed its theoretical framework after the completion of empirical data gathering. The theoretical concepts used in the analysis include the political system, shadow IT, and Information Security Awareness. The empirical data consists of interviews with individuals employed by a public organization. Challenges for IT security practices arise in the form of differing views on education and the difficulty of reaching personnel due to the inherent complexity of the public organization. The study provides insight and suggestions on how to address these challenges in order to make the task of maintaining security more effective. The work culminates in the development of a framework that visualizes the progression highlighted in the study, establishing connections between the various forces and perspectives that influence one another. Public organization Shadow IT ISA SETA Cybersecurity Information and IT security Offentlig organisation Skugg-IT ISA SETA Cybersäkerhet Information- och IT-säkerhet Information Systems
72	Ethical Hacking of a Smart IoT Camera : A Penetration Test on D-Link DCS 8515-LH Smart Camera / Etisk hackning av en smart IoT-Kamera : Ett Penetrationstest på D-Link DCS 8515-LH Smart Kamera Zhuang, Chunyu January 2023 (has links) The trending usage of IoT devices raises serious security concerns. IoT devices have complete access to users’ network environments. In the eyes of hackers, the value of IoT devices is exceptionally high. From minor disturbances to major crimes, all could happen in no time with compromised IoT devices. As the IoT devices collects sensitive data, properly protect users’ privacy is also a crucial aspect for IoT devices. Thus, IoT devices need to be secure enough against modern cyber-attacks. In this work, a smart camera DCS-8515LH from D-Link is under penetration tests. Threat modeling is first performed as an analysis of the IoT system following by a dozen cyber attacks targeting this smart camera. The penetration tests provide valuable information that can reveal the smart camera’s vulnerability and weakness, such as security misconfiguration, vulnerability to DoS attacks. The smart camera is discovered to be vulnerable to DoS attacks and exploits on the zero-configuration protocol. Several weaknesses which violate the users’ privacy exist in the mobile application and Android storage system. This work evaluated all the vulnerabilities and weaknesses discovered from a security aspect. This report exposes attacks that are effective on the smart camera and also serves as a fundamental basis for future penetration tests on this smart camera. / I detta arbete är en smart kamera DCS-8515LH från D-Link under penetrationstester. Hotmodellering utförs först som en analys av IoT-systemet följt av ett dussin cyberattacker riktade mot denna smarta kamera. Penetrationstesterna ger värdefull information som kan avslöja den smarta kamerans sårbarhet och svaghet, såsom säkerhetsfelkonfiguration, sårbarhet för Dos-attacker. Den smarta kameran har upptäckts vara sårbar för DoS-attacker och utnyttjande av nollkonfigurationsprotokollet. Flera svagheter som kränker användarnas integritet finns i mobilapplikationen och Android-lagringssystemet. Detta arbete utvärderade alla sårbarheter och svagheter som upptäckts ur en säkerhetsaspekt. Den här rapporten avslöjar attacker som är effektiva på den smarta kameran och fungerar också som en grundläggande bas för framtida penetrationstester på denna smarta kamera. Cybersecurity IoT security IoT camera IoT devices Penetration testing Ethical hacking Threat modeling Cybersäkerhet IoT säkerhet IoT Kamera Penetrationstestning Etisk hacking Hotmodellering Computer and Information Sciences Data- och informationsvetenskap
73	Reasoning about Moving Target Defense in Attack Modeling Formalisms / Resonemang om Rörligt Målförsvar i Attackmodelleringsformalismer Ballot, Gabriel January 2022 (has links) Since 2009, Moving Target Defense (MTD) has become a new paradigm of defensive mechanism that frequently changes the state of the target system to confuse the attacker. This frequent change is costly and leads to a trade-off between misleading the attacker and disrupting the quality of service. Optimizing the MTD activation frequency is necessary to develop this defense mechanism when facing realistic, multi-step attack scenarios. Attack modeling formalisms based on DAG are prominently used to specify these scenarios. It represents the attack goal in the root of a tree that is recursively refined into subgoals to show the different ways the attacker can compromise the system. According to some specific models, the tree is augmented with countermeasures, time, costs, or probabilities. Our contribution is a new DAG-based formalism for MTDs and its translation into a Price Timed Markov Decision Process to find the best activation frequencies against the attacker’s time/cost-optimal strategies. For the first time, MTD activation frequencies are analyzed in a state-of-the-art DAG-based representation. Moreover, this is the first paper that considers the specificity of MTDs in the automatic analysis of attack modeling formalisms. Finally, we present some experimental results using UPPAAL STRATEGO to demonstrate its applicability and relevance. / Sedan 2009 har Moving Target Defense (MTD) blivit ett nytt paradigm av defensiv mekanism som ofta ändrar målsystemets tillstånd för att förvirra angriparen. Denna frekventa förändring är kostsam och leder till en avvägning mellan att vilseleda angriparen och att störa målsystemets tillförlitlighet. Att optimera MTD-aktiveringsfrekvensen är nödvändigt för att utveckla denna försvarsmekanism när man står inför realistiska attackscenarier i flera steg. Attackmodelleringsformalismer baserade på DAG är de främst använda metoderna för att specificera dessa scenarier. Metoden representer attackmålet i roten av ett träd som rekursivt förfinas till delmål för att visa de olika sätt som angriparen kan äventyra systemet. Enligt vissa specifika modeller är trädet utökat med motåtgärder, tid, kostnader eller sannolikheter. Vårt bidrag är en ny DAG-baserad formalism för MTD:er och dess översättning till en Price Timed Markov Decision Process för att hitta de bästa aktiveringsfrekvenserna mot angriparens tids-/kostnadsoptimala strategier. För första gången analyseras MTD-aktiveringsfrekvenser i en toppmodern DAG-baserad representation. Dessutom är detta det första rapporten som överväger specificiteten hos MTD:er i den automatiska analysen av attackmodelleringsformalismer. Slutligen presenterar vi några experimentella resultat med UPPAAL STRATEGO för att visa dess tillämpbarhet och relevans. Timed Model checking Cyber Security Threat Modeling Moving Target Defense Tidsinställd modellkontroll Cybersäkerhet Hotmodellering Moving Target Defense Computer Sciences Datavetenskap (datalogi)
74	A security analysis in a life science environment : a case study / En säkerhetsanalys inom life science : en fallstudie Gripenstedt, Daniel, Öberg, Joakim January 2021 (has links) The cyber-threat against life-science is much larger today than just a couple of years back. Companies within the field have valuable information from example R& Din pharmaceuticals, biotech, personal data of vulnerable patients or medical devices and that is something attackers are very much aware of. Lab equipment have generally been disconnected from the internet to protect their data even more but the benefits a company would gain in diagnostics and support could outweigh it. In this paper a fictional environment with lab instruments, control units and databases is set up based on a real system used by Company X. A security analysis for the system is conducted with the goal to identify and analyse potential threats and risks. This was done by first study relevant literature along with meetings with representatives from Company X. The security analysis is made with a threat model called Yacraf which includes six different phases, the process was easy to follow and resulted in potential ways how an attacker could gain access to the system. The results also show different protection scenarios for these attacks and how Company X could implement preventive measures in advance. If Company X where to implement such a remote control system a first step would be to educate the employees to recognize common cyber-threats and only set up the remote connection when needed. / Cyberhotet mot life science är mycket större idag än för bara ett par år tillbaka. Företag sitter på värdefull information från exempel forskning och utveckling inom läkemedel, bioteknik, personuppgifter om utsatta patienter eller medicintekniska produkter och det är något som hackare är mycket medvetna om. Labutrustning har i allmänhet kopplats bort från internet för att skydda deras data ännu mer, men fördelar företag kan vinna på diagnistik och support skulle kunna uppväga det. I denna uppsats skapas en fiktiv miljö med laboratorieinstrument, styrenheter och databaser baserat på ett verkligt system som används av företag X. En säkerhetsanalys för systemet genomförs med målet att identifiera och analysera potentiella hot och risker. Detta gjordes genom att först studera relevant litteratur tillsammans med möten med företrädare för företag X. Säkerhetsanalysen är gjord med en hotmodell som heter Yacraf som innehåller sex olika faser, processen var lätt att följa och resulterade i potentiella sätt hur en angripare kunde vinna tillgång till systemet. Resultaten visar också olika skyddsscenarier för dessa attacker och hur Company X kunde genomföra förebyggande åtgärder i förväg. Om företag X skulle implementera ett sådant fjärrkontrollsystem skulle ett första steg vara att utbilda de anställda att känna igen vanliga cyberhot och bara ansluta fjärranslutningen vid behov. Cyber-security in life-science Cyberbiosecurity Remote controlling software Cyber-attacks Threat modelling Yacraf. Cybersäkerhet inom life science Fjärrstyrningprogram Cyberattack Hotmodellering Yacraf Computer and Information Sciences Data- och informationsvetenskap
75	Security evaluation of a smart lock system / Säkerhetsutvärdering av ett smart låssystem Hassani, Raihana January 2020 (has links) Cyber attacks are an increasing problem in the society today. They increase dramatically, especially on IoT products, such as smart locks. This project aims to evaluate the security of the Verisure smartlock system in hopes of contributing to a safer development of IoT products and highlighting theexisting flaws of today’s society. This is achieved by identifying and attempting to exploit potential vulnerabilities with threat modeling and penetration testing. The results showed that the system is relatively secure. No major vulnerabilities were found, only a few weaknesses, including the possibility of a successful DoS attack, inconsistent password policy, the possibility of gaining sensitive information of a user and cloning the key tag used for locking/unlocking the smart lock. / Cyberattacker är ett ökande problem i samhället idag. De ökar markant, särskilt mot IoT-produkter, såsom smarta lås. Detta projekt syftar till att utvärdera säkerheten i Verisures smarta låssystem i hopp om att bidra till en säkrare utveckling av IoT-produkter och belysa de befintliga bristerna i dagens samhälle. Detta uppnås genom att identifiera och försöka utnyttja potentiella sårbarheter med hotmodellering och penetrationstestning. Resultaten visade att systemet är relativt säkert. Inga större sårbarheter hittades, bara några svagheter, inklusive möjligheten till en lyckad DoS-attack, inkonsekvent lösenordspolicy, möjligheten att få känslig information från en användare och kloning av nyckelbrickan som används för att låsa/låsa upp smarta låset. Cyber security Threat modeling Penetration testing Ethical hacking Smart locks STRIDE DREAD Cybersäkerhet Hotmodellering Penetrationstestning Etisk hackning Smarta lås STRIDE DREAD Computer and Information Sciences Data- och informationsvetenskap
76	Ethical hacking of Sennheiser smart headphones / Etiskt hackande av Sennheiser smarta hörlurar Huang, Fuhao January 2022 (has links) The proliferation of IoT devices has brought our world closer than ever. However, because these devices can connect to the internet, they are also vulnerable to cyberattacks. IoT devices collect our personal information, so we must take IoT security seriously to protect our privacy. In this master thesis, an assessment of the security of Sennheiser smart headphones Momentum 3 wireless was conducted to demonstrate whether the smart headphones are secure or not. This pair of headphones were chosen because Sennheiser is a well-known brand and the headphones are one of its high-end headphones, they should be expected to be more secure. Previous academic papers related to the security of Bluetooth headphones were not found, because the security of headphones is generally considered to be less important. For the above reasons, this paper conducts security assessment on this pair of smart headphones. The thesis begins with gathering information of the smart headphones from a black-box perspective. Then threat modeling is used to list and select the attacks to be performed during penetration testing. Finally, the penetration testing is conducted. The result of the penetration testing shows that the headphones are secure enough with no serious vulnerabilities found but a few minor flaws. As this thesis is not in cooperation with Sennheiser, some tests were not performed due to Swedish law. Meanwhile, due to time constraints, some of the identified threats were not attempted in the penetration testing phase and require further investigation. / Spridningen av IoT-enheter har fört vår värld närmare än någonsin. Men eftersom dessa enheter kan ansluta till internet är de också sårbara för cyberattacker. IoT-enheter samlar in vår personliga information, så vi måste ta IoT-säkerhet på allvar för att skydda vår integritet. I denna masteruppsats genomfördes en bedömning av säkerheten hos Sennheiser smarta hörlurar Momentum 3 wireless för att visa om de smarta hörlurarna är säkra eller inte. Detta par hörlurar valdes för att Sennheiser är ett välkänt varumärke och hörlurarna är en av dess avancerade hörlurar, de bör förväntas vara säkrare. Tidigare akademiska artiklar relaterade till säkerheten för Bluetooth-hörlurar hittades inte, eftersom säkerheten för hörlurar generellt anses vara mindre viktig. Av ovanstående skäl genomför detta dokument en säkerhetsbedömning av detta par smarta hörlurar. Examensarbetet börjar med att samla information om de smarta hörlurarna ur ett black-box-perspektiv. Sedan används hotmodellering för att lista och välja de attacker som ska utföras under penetrationstestning. Slutligen genomförs penetrationsprovningen. Resultatet av penetrationstestet visar att hörlurarna är tillräckligt säkra utan några allvarliga sårbarheter men några mindre brister. Eftersom detta examensarbete inte är i samarbete med Sennheiser har vissa tester inte utförts på grund av svensk lag. Under tiden, på grund av tidsbrist, försökte inte några av de identifierade hoten under penetrationstestfasen och kräver ytterligare undersökning. Ethical hacking smart headphones Bluetooth cyber security Internet of Things Etisk hackning smarta hörlurar Bluetooth cybersäkerhet Internet of Things Computer Sciences Datavetenskap (datalogi) Computer Engineering Datorteknik
77	Att definiera “Cyber-Pearl Harbor” Validering av DSLP-ramverket i “Offensive Cyberspace Operations Targeting Ukraine: a Cyber Pearl-Harbor Eishayea, Eleshwa, Lilja, Jonathan January 2023 (has links) Användningen av cyberattacker mot organisationer, sjukvård och individer har ökat parallellt med digitaliseringen. Nationer har också blivit offer för dessa typer av attacker, som ofta kombineras med andra medel för krigföring såsom markanfall och missilattacker. En Cyber-Pearl Harbor (härefter förkortad CPH) är en term uppmärksammad av Leon Panetta som enligt honom består av kombinerade attacker som resulterar i mänsklig död, fysisk förstörelse och som lamslår en hel nation. Gazmend Huskaj använder sig av Panettas definition för utformande av ett ramverk (“DSLP-ramverket”) som är tänkt användas för att kunna klassificera en händelse som en CPH. Syftet med denna studie är att utforska om DSLP-ramverket kan valideras då termen har brukats de senaste 25 åren utan att en global definition tagit fäste, det är därför inte säkert att de kriterier som presenteras i ramverket överensstämmer med vad cybersäkerhetsexperter anser att en CPH är. Forskningsfrågan som utvecklades från denna studie blev följande: “Hur kan ramverket "DSLP-ramverk" från "Offensive Cyberspace Operations Targeting Ukraine: a Cyber Pearl-Harbor" (2023) valideras för klassificering av cyberattacker som Cyber Pearl-Harbor?”. En kvalitativ fallstudie genomfördes med en litteraturöversikt över termen CPH samt en semistrukturerad intervju där 3 experter utfrågades, vilket sedan analyserades via en tematisk analys. Som ett första steg för att besvara denna studies frågeställning applicerades ramverket på tre verkliga fall, detta för att avgöra huruvida dessa fall kan klassificeras som en CPH eller inte. Dessa tre verkliga fall var en attack mot en publik sjukvårdssektor i Costa Rica, ett TV-torn i Kiev, Ukraina samt dagligvarukedjan Coop i Sverige. Resultatet av valideringen av DSLP-ramverket var att endast fallet med TV-kornet i Kiev, Ukraina kunde klassificeras som en CPH. Den kognitiva effekten av eventet var dock inte förlamande nog att paralysera hela Ukraina, vilket gör klassificeringen diskutabel. Det andra steget bestod av en tematisk analys som gjordes på de tre experterna, vilket resulterade i skapandet av fyra huvudteman: Begreppets betydelse, Försvar mot Cyber-Pearl Harbor, Probabilitet och Kombinerade anfall. Följande slutsatser kom att dras i denna studie: Avsaknaden av en internationell/global standard gör det svårare att 1) göra upp om en gemensam definition av termen samt 2) klassificera en CPH i verklig kontext. Kombinationer av flera attacker och verktyg är en annan aspekt som understryks vid definiering av en CPH. Huruvida en CPH har skett eller inte varierar från expert till expert, och detsamma gäller probabiliteten för att en CPH kan ske i dagens kontext. Baserat på dessa slutsatser blir det svårt att validera DSLP-ramverket. Ytterligare forskning och data, intervjuer med experter och förtydligande behövs för att skapa en universell definition och därmed en gemensam grund att utgå ifrån. / The use of cyberattacks against organizations, health care and individuals have increased along with the constant digitalisation. Nations have also fallen victim to cyberattacks, often combined with other means of war like boots on the ground or missiles. A Cyber-Pearl Harbor (further shortened as CPH) is a term mentioned by Leon Panetta described in his words as “combined attacks that result in human death and physical destruction and that paralyzes an entire nation”. Gazmend Huskaj used Panettas definition in order to create a framework (“DSLP-framework”) for classifying an event as a CPH. This study strives to see if the DSLP-framework can be validated since the term has been widely used for the last 25 years, however a universal definition of the term seems to be missing, therefore it is not certain that the criterias presented in the framework is accurate to what cybersecurity experts consider a CPH to be. The research question developed from this study's problem became the following: “How can the framework “DSLP-Framework” from “Offensive Cyberspace Operations Targeting Ukraine: a Cyber Pearl-Harbor” (2023) be validated for classification of cyberattacks as Cyber Pearl-Harbor?”. A qualitative case study was conducted through a literature overview regarding the term CPH and a semistructured interview with three experts, which were later analyzed through a thematic analysis. As a first step to answering the research question, the framework was applied to three real life cases in order to determine whether or not they can be classified as a CPH. The following cases were an attack on a public health sector in Costa Rica, a TV-tower in Kyiv, Ukraine and the grocery company Coop in Sweden. The result from applying each case to the DSLP-framework was that only the case of the TV-tower in Kyiv could be classified as a CPH. However, the cognitive effects of the event were not crippling enough to paralyze the entirety of Ukraine, making the classification debatable. The second step was done through the use of thematic analysis on the interviews with the experts, in which four main themes were created: The meaning of the concept, Defense against Cyber-Pearl Harbor, Probability and Combined attacks. The following conclusions were drawn in this study: The absence of an international standard makes it harder to 1) conclude a common definition of the term and 2) classify a CPH in real context. The combinations of attacks and tools is another important aspect to highlight when defining a CPH. Whether a CPH has happened or not varies from expert to expert, and the same goes for the probability of a CPH occurring in today's context. Based on these conclusions, it is hard to validate the DSLP-framework. Further research and data, interviews with experts and clarification is needed in order to create a universal definition and therefore a common ground to start from. Cyber-Pearl Harbor cyberattacks cybersecurity hybrid operations Russia-Ukraine war Cyber-Pearl Harbor cyberattacker cybersäkerhet hybridoperationer Ryssland-Ukraina kriget Computer Sciences Datavetenskap (datalogi)
78	Adaptable Information and Data Security Process : A Secure Yet Employee Friendly Process Proposal of IT Security Implementation in Organizations. Ali, Mirza Maaz January 2017 (has links) Organizations have been changing their IT structure due to several reasons such as merger of two companies, acquisition of one company by another or IT consolidation within a company. IT policies are one of the areas which get redefined during such changes. However the lack of test facilities, time, funds, or human resources and expertise for change assessment of reengineering IT infrastructure such as integration of independently working systems or switching from on premises IT resources to cloud based IT resources, can be left unassessed. The absence of forthcoming changes' assessment can cause trouble at many levels of any organization, depending on which business operation is affected. Since every employee with a workstation is an end user, it is safe to say that end users or employees are the target of those unforeseen impacts. This situation can be handled by a working process which is able to adapt the changes made to IT systems security. This thesis presents a process that highlights post change issues and can help organizations to adapt to the changes in the environment and minimizes highlighted issues hence called Adaptable Information and Data Security Process. A system or entity is adaptable if it can adapt to changes. The results of this research are derived by putting the proposed process in use to calculate monetary and time loss in any project using different variables. Those results can encourage and support middle management to propose investment in user training and local support staff when presenting their case to upper management. Our results show the loss of 0.24% of a 200,000 kroner project to be completed in 44 weeks due to lack of adequate training of technical staff and users training to use IT systems. Another dimension of loss is calculated to show 4.2 hour of time loss on top of monetary loss given a total of 44 weeks of project period. The proposal suggests that the calculations of those loses can help management invest the time and money on users’ training and onsite technical support which will result in less investment and long lasting results as oppose to conventional approach that is lack of users training and off shore support that may reduce expenses in short term but causes significant long term losses. / Organisationer har förändra sin IT-struktur på grund av flera skäl, såsom sammanslagning av två företag, förvärv av ett företag med en annan eller ITkonsolidering inom ett företag. IT-politik är ett av de områden som får omdefinieras under sådana förändringar. Dock är det faktum att dessa omedelbara förändringar kommer att medföra en massa problem som ofta förbises eller det är oförutsedd eftersom den fulla effekten av förändring inte kunde bedömas. Dessa oförutsedda konsekvenser kan orsaka problem på många organisationsnivåer beroende på vilken affärsverksamhet påverkas. Eftersom varje anställd på en arbetsstation är en slutanvändare eller anställd, är det säkert att säga att slutanvändare eller anställda är föremål för dessa oförutsedda konsekvenser. Denna situation kan hanteras genom en arbetsprocess som är i stånd att anpassa de ändringar som gjorts till IT-system säkerhet. Avhandlingen presenterar en process som lyfter fram förändringsproblem och kan hjälpa organisationer att anpassa sig till förändringarna i miljön och minimerar markerade problem, så kallade anpassningsbar informationsoch datasäkerhetsprocess. Ett system eller en enhet är anpassningsbar om den kan anpassa sig till förändringar. Resultaten av denna forskning är härledda genom att den föreslagna processen används för att beräkna monetär och tidsförlust i något projekt med olika variabler. Dessa resultat kan uppmuntra och stödja mellanhantering för att föreslå investeringar i användarutbildning och lokal supportpersonal när de presenterar sitt ärende för den överordnade ledningen. Våra resultat visar förlusten på 0,24% av ett projekt på 200 000 kronor som ska slutföras på 44 veckor på grund av brist på adekvat utbildning av teknisk personal och användarutbildning för att använda IT-system. En annan dimension av förlust beräknas visa 4.2 timme tidsförlust ovanpå monetär förlust med totalt 44 veckor projektperiod. Vårt förslag tyder på att beräkningarna av de som förlorar kan hjälpa ledningen att investera i tid och pengar på användarutbildning och teknisk support på plats, vilket kommer att leda till mindre investeringar och långvariga resultat som motsätter sig konventionellt tillvägagångssätt som bristen på utbildning av användare Landsstöd som kan minska kostnaderna på kort sikt men orsakar betydande långsiktiga förluster. information security cyber-security secure adaptability user friendly user friendliness process processes organizations. information säkerhet Cybersäkerhet säker anpassningsförmåga användarvänliga användarvänlighet process processer organisationer. Computer and Information Sciences Data- och informationsvetenskap
79	Security of Embedded Software : An Analysis of Embedded Software Vulnerabilities and Related Security Solutions Gaboriau-Couanau, Clément January 2017 (has links) The increased use of computer systems for storing private data or doing critical operations leads to some security issues gathered in the area cybersecurity. This neologism leads people to think about the security of information systems and general-purpose computers. However, with the growth of the Internet of Things, embedded systems are also concerned with these issues. The speed of development of this area often leads to a backwardness in the security features. The thesis investigates the security of embedded systems by focusing on embedded software. After classifying the vulnerabilities which could be encountered in this field, a first part of this work introduces the realisation of a document gathering guidelines related to secure development of embedded software. This realisation is based on an analysis of the literature review, but also on the knowledge of engineers of the company. These guidelines are applied to the project of a client. The result of their application allows us to prove their consistency and to write a set of recommendations to enhance the security of the project. The thesis presents the implementation of some of them. Particularly, it introduces a way to secure an Inter-Process Communication (IPC) mean: D-Bus, through a proof of concept. The result shows that the security policy of D-Bus is efficient against some attacks. Nevertheless, it also points out that some att acks remain feasible. The solution is implemented on an embedded board to analyse the computational overhead related to this embedded aspect. As expected, a more complex and detailed a policy is, the higher the overhead tends to be. Nevertheless, this computational overhead is proportional to the number of rules of the policy. / Den ökade användningen av datorsystem för att lagra privata data eller göra kritiska operationer leder till vissa säkerhetsproblem som samlas i området cybersäkerhet. Denna neologism leder människor att tänka på säkerhetssystemen för informationssystem och allmänt tillgängliga datorer. Men med tillväxten av saker i saken är inbyggda system också berörda av dessa frågor. Utvecklingshastigheten för detta område leder ofta till en underutveckling säkerhetsfunktionerna.Avhandlingen undersöker säkerheten för inbyggda system genom att fokusera på inbyggd programvara. Efter att ha klassificerat de sårbarheter som kan uppstå i det här fältet introducerar en första del av det här arbetet realisationen av ett dokument av riktlinjer om säker utveckling av inbyggd programvara. Denna insikt bygger på en analys av litteraturgranskningen, men också på kunskap om ingenjörer i företaget. Dessa riktlinjer tillämpas på en kunds projekt.Resultatet av deras ansökan gör det möjligt för oss att bevisa deras konsistens och att skriva rekommendationer för att förbättra projektets säkerhet. Avhandlingen presenterar genomförandet av några av dem. Ett sätt införs särskilt patt säkra en interprocesskommunikation (IPC) menande: DBus, genom ett konceptbevis. Resultatet visar att D-Busens säkerhetspolitik är effektiv mot vissa attacker. Det påpekar emellertid också att vissa attacker fortfarande är möjliga. Lösningen implementeras på ett inbyggd kort för att analysera beräkningsoverhead som är relaterad till denna inbyggda aspekt. Som förväntat är en mer komplex och detaljerad politik, desto högr e överhuvudtaget tenderar att vara. Ändå är denna beräkningskostnad proportionell mot antalet av regler av säkerhetspolitiken. Embedded Software Cybersecurity Guideline Inter-Process Communication (IPC) D-Bus Monitoring Inbyggd Programvara Cybersäkerhet Riktlinje Interprocesskommunikation (IPC) D-Bus Övervakning Computer Sciences Datavetenskap (datalogi)
80	vehicleLang: a probabilistic modeling and simulation language for vehicular cyber attacks Katsikeas, Sotirios January 2018 (has links) The technological advancements in the automotive industry as well as in thefield of communication technologies done the last years have transformed thevehicles to complex machines that include not only electrical and mechanicalcomponents but also a great number of electronic components. Furthermore,modern vehicles are now connected to the Wide Area Network (WAN) and inthe near future communications will also be present between the cars (Vehicleto-Vehicle, V2V) and between cars and infrastructure (Vehicle-to-Infrastructure, V2I), something that can be found as Internet of Vehicles (IoV)in the literature. The main motivations towards all the aforementioned changesin modern vehicles are of course the improvement of road safety, the higherconvenience of the passengers, the increase in the efficiency and the higher userfriendliness.On the other hand, having vehicles connected to the Internet opens them up toa new domain of interest, this no other than the domain of cyber security. Thispractically means that while previously we were only considering cyber-attackson computational systems, now we need to start thinking about it also forvehicles. This, as a result, creates a new field of research, namely the vehicularcyber security. However, this field does not only include the possible vehicularcyber-attacks and their corresponding defenses but also the modeling andsimulation of them with the use of vehicular security analysis tools, which isalso recommended by the ENISA report titled “Cyber Security and Resilienceof smart cars: Good practices and recommendations”.Building on this need for vehicular security analysis tools, this work aims tocreate and evaluate a domain-specific, probabilistic modeling and simulationlanguage for cyber-attacks on modern connected vehicles. The language will bedesigned based on the existing threat modeling and risk management toolsecuriCAD® by foreseeti AB and more specifically based on its underlyingmechanisms for describing and probabilistically evaluating the cyber threats ofthe models.The outcome/final product of this work will be the probabilistic modeling andsimulation language for connected vehicles, called vehicleLang, that will beready for future use in the securiCAD® software. / De tekniska framstegen inom fordonsindustrin såväl som inomkommunikationsteknik som gjorts de senaste åren har omvandlat fordon tillkomplexa maskiner som inte bara omfattar elektriska och mekaniskakomponenter utan också ett stort antal elektroniska komponenter. Dessutom ärmoderna fordon nu anslutna till Internet (WAN) och inom den närmasteframtiden kommer kommunikation också att etableras mellan bilarna (Vehicleto-Vehicle, V2V) och mellan bilar och infrastruktur (Vehicle-to-Infrastructure,V2I). Detta kan också kallas fordonens internet (Internet of Vehicles - IoV) ilitteraturen. De främsta motiven för alla ovannämnda förändringar i modernafordon är förstås förbättringen av trafiksäkerheten, ökad bekvämlighet förpassagerarna, ökad effektivitet och högre användarvänlighet.Å andra sidan, att ha fordon anslutna till Internet öppnar dem för en ny domän,nämligen cybersäkerhet. Då vi tidigare bara övervägde cyberattacker påtraditionella datorsystem, måste vi nu börja tänka på det även för fordon. Dettaområde omfattar emellertid inte bara de möjliga fordonsattackerna och derasmotsvarande försvar utan även modellering och simulering av dem med hjälpav verktyg för analys av fordonssäkerhet, vilket också rekommenderas avENISA-rapporten med titeln ”Cyber Security and Resilience of smart cars: Goodpractices and recommendations”.På grund av detta behov av verktyg för fordonssäkerhetsanalys syftar dettaarbete till att skapa och utvärdera ett domänspecifikt, probabilistisktmodelleringsspråk för simulering av cyberattacker på moderna anslutna fordon.Språket har utformats utifrån det befintliga hotmodellerings- ochriskhanteringsverktyget securiCAD® av foreseeti AB och mer specifikt baseratpå dess underliggande mekanismer för att beskriva och probabilistiskt utvärderamodellernas cyberhot.Resultatet/slutprodukten av detta arbete är ett probabilistisktmodelleringsspråk för uppkopplade fordon, vehicleLang. Domain Specific Language Probabilistic Modeling Cyber Security Threat Modeling Attack Graphs Vehicular Security Domänspecifikt språk Probabilistisk modellering Cybersäkerhet Hotmodellering Attackgrafer Fordonsäkerhet Engineering and Technology Teknik och teknologier

Search results