Global ETD Search

41	Etisk hackning av en smart kattlucka : Sårbarhetstestning av en smart kattlucka / Ethical hacking of a smart cat flap : Vulnerability testing of a smart cat flap Kastrati, Adrian January 2024 (has links) Många hem köper produkter som är internetuppkopplade, sakernas internet (IoT), det gäller allt från lampor till kattluckor. Detta öppnar upp för möjligheten att styra sitt hem på nya sätt men det medför nya hot mot hem och samhället. Detta är ett kritiskt problem för många företag, särskilt på IoT-marknaden där det finns incitament som driver låga kostnader och snabb marknadsintroduktion. Litteratstudien visade en brist på tydliga värderingar av investeringar och att även om produktivitet påverkas negativt och förlänger tiden från idé till marknad undviks framtida svårigheter vid lyckade cybersäkerhethetsåtgärder. Trots de betydande hoten kan många företag välja att acceptera risken för cyberattacker på grund av att kostnader vid säkerhetsbrister inte alltid hamnar hos dem.Sårbarhetstestningsmetoden PatrIoT följdes för att grundligt testa IoT-produkten Microchip Cat Flap Connect. Attacker som utfördes var bland annat ping-flooding och MiTM. Produkten visade sig vara säker och vanliga svagheter som öppna nät- verkstjänster och avsaknad av kryptering var frånvarande. Produkten visade sig vara sårbar mot överflödesattacker (DoS) i form av ping-flooding. Med det går det att säga att produkten följer ett flertal principer för utveckling mot säker IoT men servern som används för webbapplikationen bör implementera krav på att endast lita på certifikat av betrodda certifikatutfärdare. / Many households purchase internet-connected products, Internet of Things (IoT), which includes everything from lamps to cat flaps. This opens new ways and possibilities of controlling one's home, but it brings new threats to home and society. This is a critical issue for many companies, especially in the IoT market where there are incentives that drive low costs and quick time to market. The literature study showed a lack of clear valuations of investments and that even if productivity is negatively affected and the time from idea to market is extended, future difficulties are avoided with successful cyber security measures. Despite the significant threats, many companies may choose to accept the risk of cyber-attacks because the costs of security breaches do not always end up with them.The PatrIoT vulnerability testing methodology was followed to thoroughly test the IoT product Microchip Cat Flap Connect. The product proved to be secure and common weaknesses, such as open network services and lack of proper implementation of encryption, could not be identified. The product was found to be vulnerable to denial-of-service (DoS) attacks in the form of ping-flooding. With that, it can be said that the product follows several principles for development towards secure IoT, but the server used for the web application should implement requirements to only trust certificates from trusted certificate authorities. Ethical hacking vulnerbility testing PatrIoT smart homes internet of things threat modelling cybersecurity Etisk hackning sårbarhetstestning PatrIoT smarta hem sakernas internet hotmodellering cybersäkerhet Computer and Information Sciences Data- och informationsvetenskap
42	Hacking the airport X-ray machine Zuber, Felix January 2024 (has links) Recent and frequent reports of important systems being hacked are being presented almost daily, and the fact that our digitized society has fallen behind on securing these systems is becoming more and more obvious. Vital infrastructure - systems that we depend on for our safety. The security of these systems is of utmost importance, but how well are they protected? Even systems that are supposed to be isolated and never exposed to the general public have shown through history to be vulnerable. This thesis analyzed the security of such a vital system, namely a common unit among X-ray security scanners (Smiths Detection HI-SCAN 6040i) that are not only used by airports to search bags and belongings but also by an increasing multitude of applications such as prisons, jails, courts, government buildings, hotels and public events. In order to structure the work and present the attack vectors, a threat model was determined for the target system. In total, 11 vulnerabilities were found in the system. Most of them grant access to the X-ray machine, where it is also possible to escalate privileges to root access. This work will also show that once one has gained access to the network connecting these machines, there are multiple paths to gaining full access to the system. When access has then been obtained, it will also be demonstrated how to manipulate the scanning function of the X-ray machine in such a way that one could bring prohibited items through the security checkpoint unknowingly of the security operators, concluding that the system is vulnerable and that the impact of successful exploitation could have catastrophic consequences. / Nya rapporter om samhällsviktiga system som blivit hackade kommer hela tiden, och faktumet att vårat digitaliserade samhälle har hamnat på efterkälken med att säkra upp dessa system blir mer och mer tydligt. Kritisk infrastruktur - system som vi är beroende av för vår säkerhet. Säkerheten i dessa system är av yttersta betydelse, men hur säkra är dem? Även system förment att vara isolerade och aldrig exponerade för allmänheten har visat sig genom historien vara sårbara. Denna uppsats har analyserat säkerheten för att sådant kritiskt system, nämligen ett vanligt använt röntgenanalyssystem (Smiths Detection HI-SCAN 6040i) som används frekvent på flygplatser för att skanna handbagage men finns även på en tilltagande skara sektorer såsom kriminalvårdsanstalter, häkten, domstolar, samhällsviktiga byggnader, hotel och publika evenemang. I syfte att strukturera arbetet samt att presentera attackvektorerna, bestämdes en hotmodell för målsystemet. Totalt hittades 11 sårbarheter i systemet. De flesta av dem resulterade i tillträde till röntgenmaskinen, där det även var möjligt att eskalera privilegierna till root-behörighet. Det här arbetet kommer även visa att när tillträde erhållits till nätverket som sammankopplar dessa maskiner, så finns det flera vägar att nå full tillgång till systemet. När sådan tillgång erhållits, kommer det även demonstreras hur det är möjligt att manipulera skanningsfunktionen på röntgenmaskinen på ett sådant sätt att det vore möjligt att få igenom otillåtna föremål genom säkerhetskontrollen utan att säkerhetspersonalen märker någonting. Slutsatsen blir att systemet är sårbart och att resultatet av att framgångsrikt utnyttja en sådan sårbarhet kan få katastrofala konsekvenser. X-ray ethical hacking airport aviation security critical infrastructure Röntgen etisk hackning flygplats luftfartsskydd kritisk infrastruktur Elektroteknik och elektronik
43	Technoethics and Sensemaking: Risk Assessment and Knowledge Management of Ethical Hacking in a Sociotechnical Society Abu-Shaqra, Baha 17 April 2020 (has links) Cyber attacks by domestic and foreign threat actors are increasing in frequency and sophistication. Cyber adversaries exploit a cybersecurity skill/knowledge gap and an open society, undermining the information security/privacy of citizens and businesses and eroding trust in governments, thus threatening social and political stability. The use of open digital hacking technologies in ethical hacking in higher education and within broader society raises ethical, technical, social, and political challenges for liberal democracies. Programs teaching ethical hacking in higher education are steadily growing but there is a concern that teaching students hacking skills increases crime risk to society by drawing students toward criminal acts. A cybersecurity skill gap undermines the security/viability of business and government institutions. The thesis presents an examination of opportunities and risks involved in using AI powered intelligence gathering/surveillance technologies in ethical hacking teaching practices in Canada. Taking a qualitative exploratory case study approach, technoethical inquiry theory (Bunge-Luppicini) and Weick’s sensemaking model were applied as a sociotechnical theory (STEI-KW) to explore ethical hacking teaching practices in two Canadian universities. In-depth interviews with ethical hacking university experts, industry practitioners, and policy experts, and a document review were conducted. Findings pointed to a skill/knowledge gap in ethical hacking literature regarding the meanings, ethics, values, skills/knowledge, roles and responsibilities, and practices of ethical hacking and ethical hackers which underlies an identity and legitimacy crisis for professional ethical hacking practitioners; and a Teaching vs Practice cybersecurity skill gap in ethical hacking curricula. Two main S&T innovation risk mitigation initiatives were explored: An OSINT Analyst cybersecurity role and associated body of knowledge foundation framework as an interdisciplinary research area, and a networked centre of excellence of ethical hacking communities of practice as a knowledge management and governance/policy innovation approach focusing on the systematization and standardization of an ethical hacking body of knowledge. Cybersecurity Ethical Hacking AI Governance Higher Education Technoethics Technoethical Inquiry Theory Sociotechnology Rocci Luppicini Mario Bunge Science & Technology Studies (STS) Qualitative Exploratory Case Study In-depth Interviews Technology Assessment Policy Innovation Karl Weick Sensemaking
44	Threat Modeling and Penetration Testing of a Yanzi IoT-system : A Survey on the Security of the system’s RF communication Isabar, Diyala January 2021 (has links) Internet of Thing (IoT) products have in recent years become increasingly popular with both industries and private consumers, and it has been forecasted that the number of connected devices around the world will be roughly 14 billion in the year 2022. One particular field that the booming of IoT solutions continues to create endless possibilities for is smart offices. Several different devices are connected in an office environment to create a better workplace and enable a better, faster and smarter working approach. However, while there are several advantages with IoTs, they have also introduced new security threats that can not be overlooked. In this thesis, the security of a smart office system designed by Yanzi is examined. The system consists of a gateway, 34 sensors and a cloud service embedded as a SaaS. The security analysis was performed in three steps: planning, penetration testing and reporting. Radio frequency (RF) hacking against the systems RF communication was the main focus of the work. Due to some technical issues, not all selected attacks were possible to perform. Out of three that were possible to perform, one of them revealed a security flaw. Different countermeasures for the found flaw were proposed. / ”Internet av saker” produkter har under de senaste åren blivit alltmer populära bland både industrier och privata konsumenter, och man har prognostiserat att antalet anslutna enheter runt om i världen kommer att vara ungefär 14 miljarder år 2022. Ett särskilt område som ökandet av IoT-lösningar fortsätter att skapa oändliga möjligheter för är smarta kontor. Flera olika enheter är anslutna i en kontorsmiljö för att skapa en bättre arbetsplats och möjliggöra ett bättre, snabbare och smartare arbetssätt. Även om det finns flera fördelar med IoT, har de också infört nya säkerhetshot som inte kan förbises. I denna avhandling undersöks säkerheten för ett smart kontorssystem som designats av Yanzi. Systemet består av en gateway, 34 sensorer och en molntjänst inbäddad som en SaaS. Säkerhetsanalysen utfördes i tre steg: planering, penetrationstestning och rapportering. Radiofrekvenshackning mot systemets radiokommunikation var huvudfokus för arbetet. På grund av vissa tekniska problem var det inte möjligt att utföra alla föreslagna attacker. Av de tre som var möjliga att utföra avslöjade en av dem ett säkerhetsfel. Olika motåtgärder för den funna sårbarheten föreslås. Security Internet of Things penetration testing threat assessment threat modeling ethical hacking vulnerabilities RF communication smart office Säkerhet ”Internet av saker” penetrationstestning hotbedömning hotmodelering etisk hacking sårbarheter radiokommunikation smarta kontorN Computer Sciences Datavetenskap (datalogi)
45	Etisk hackning av en smart foderautomat / Ethical hacking of a Smart Automatic Feed Dispenser Lokrantz, Julia January 2021 (has links) Sakernas internet (IoT) syftar till det nät av enheter som samlar och delar data över internet. De senaste åren har användandet av konsument-IoT ökat explosionsartat och åtföljts av en ökad oro kring säkerheten i dessa enheter, då många system visat sig ha bristande säkerhetsimplementeringar. Denna studie undersöker säkerheten i en smart foderautomat för husdjur och redogör för ekonomiska orsaker till förekomsten av sårbarheter. Metoden bygger på att hotmodellera foderautomaten med STRIDE- och DREAD-modellerna följt av en penetrationstestningsfas för några av de allvarligaste hoten. Resultatet visar på att foderautomaten Trixie TX9 har otillräcklig kryptering av nätverksnamn och lösenord till Wi-Fi, är sårbar mot flödesattacker och att analys av trafiken till/från enheten kan avgöra vilket tillstånd den är i. Vidare har foderautomaten flera öppna nätverkstjänster, där bland annat en Telnettjänst som kan nås genom svaga, hårdkodade inloggningsuppgifter som finns publicerade på internet. Ekonomiska orsaker till förekomsten av sårbarheter är främst asymmetrisk information och motstridande incitament. Det är idag svårt för tillverkare att ta betalt för säkerhet då marknaden drivs av snabba lanseringar och utökade funktioner till ett pressat pris. / Internet of things (IoT) refers to the web of connected devices that collect and share data through the internet. The use of consumer-IoT has increased dramatically in recent years, accompanying an increasing concern about the security of these devices as many systems have proven to have insufficient security measures. This study aims to investigate the security level of a smart food dispenser for pets, and account for the underlying economic reasons for the occurrences of vulnerabilities. The method used in this study consists of conducting threat modeling of the food dispenser using STRIDE as well as DREAD models. This is then followed by a penetration-testing phase for some of the more serious threats. The results indicate that the food-dispenser Trixie TX9 has insufficient encryption of network names and passwords, is susceptible to flooding-attacks, and analysis of the incoming/outgoing data traffic from the device can deduct which state it is currently in. Furthermore, the food dispenser has several open network services, Telnet is one among them, which can be accessed through weak, hardcoded credentials that are published on the internet. The economic reasons for these security weaknesses are asymmetrical information and misaligned economic incentives. Manufacturers struggle to charge consumers for an increased level of security as the main market driving factors are swift and regular product launches as well as an expansion of new features available at competitively low prices. Ethical hacking Internet of things Penetration testing Thread modeling STRIDE DREAD Smart food dispenser Security Vulnerabilities Etisk hackning Sakernas internet Penetrationstestning Hotmodellering STRIDE DREAD Smart foderautomat Säkerhet Sårbarheter Computer and Information Sciences Data- och informationsvetenskap
46	Ethical hacking of a Smart Wi-Fi Plug Newton Hedelin, Markus, Samuelsson, Marcus January 2022 (has links) This bachelor’s thesis paper investigates the security of a smart Wi-Fi plug a power outlet remotely controlled by a smart phone, the Deltaco Smart Home SH-P01. In order to raise the security standards of the numerous new digital products produced every year, the possible security flaws of these devices must be exposed and made official to the general public. Especially since these flaws could be exploited by an adversary. By the means of ethical hacking, this paper aims to contribute with a security assessment of a device with components from a globally leading actor, Tuya. This is done by picking up where a previous study of the same device left off; penetration testing of the smart plug’s Android mobile application and its related cloud service, following the guidelines based on years of previous tests in the field. The final security assessment is that Tuya has made a real effort to securing the smart plug’s systems. The Android app, Tuya Smart, does contain some sensitive information and lacks two-factor authentication, but this did not allow for critical exploits. The cloud is deemed well-protected, and overall, there were no severe security flaws exposed by this investigation. Through more extensive penetration testing and by targeting the device’s firmware, future work could perhaps render an even more substantial assessment. / Det här kandidatexamensarbetet undersöker säkerheten hos ett smart Wi-fi-uttag - ett eluttag som styrs trådlöst av en mobiltelefon, uttaget Deltaco Smart Home SH-P01. För att kunna höja säkerhetsstandarden hos de otaliga nya digitala produkter som produceras varje år, måste de eventuella säkerhetsbristerna inom dessa enheter exponeras och offentliggöras för allmänheten. Framför allt då dessa brister kan utnyttjas av någon med fientlig agenda. Genom användning av etisk hackning är avsikten med denna rapport att bidra med en säkerhetsbedömning av en enhet innehållandes komponenter från en världsledande aktör, Tuya. Utförandet påbörjades där ett tidigare arbete avslutades; med penetrationstestning av det smarta uttagets Android-mobilapplikation och enhetens relaterade molntjänst, utfört i riktlinjer baserat på flera år av tidigare tester inom området. Den slutgiltiga säkerhetsbedömningen är att Tuya verkligen har satsat på säkerheten hos det smarta uttaget. Mobilappen, Tuya Smart, visades innehålla känslig information och saknade två-stegs-autentisering, men detta möjliggjorde inte någon kritisk exploatering. Molntjänsten bedöms vara väl skyddad, och överlag hittades inga allvarliga säkerhetsbrister under undersökningen. Ytterligare mer omfattande penetrationstestning, samt undersökning av enhetens mjukvara, skulle kunna bidra till en ännu mer gedigen säkerhetsbedömning i framtida arbeten. Bachelor’s thesis Ethical hacking Penetration testing Internet of things Smart plug Mobile application Cloud service Kandidatexamensarbete Etisk hackning Penetrationstestning Sakernas internet Smart uttag Mobilapplikation Molntjänst Computer and Information Sciences Data- och informationsvetenskap
47	Web Penetration testing : Finding and evaluating vulnerabilities in a web page based on C#, .NET and Episerver Lundquist Amir, Ameena, Khudur, Ivan January 2022 (has links) Today’s society is highly dependent on functional and secure digital resources, to protect users and to deliver different kinds of services. To achieve this, it is important to evaluate the security of such resources, to find vulnerabilities and handle them before they are exploited. This study aimed to see if web applications based on C#, .NET and Episerver had vulnerabilities, by performing different penetration tests and a security audit. The penetration tests utilized were SQL injection, Cross Site Scripting, HTTP request tampering and Directory Traversal attacks. These attacks were performed using Kali Linux and the Burp Suite tool on a specific web application. The results showed that the web application could withstand the penetration tests without disclosing any personal or sensitive information. However, the web application returned many different types of HTTP error status codes, which could potentially reveal areas of interest to a hacker. Furthermore, the security audit showed that it was possible to access the admin page of the web application with nothing more than a username and password. It was also found that having access to the URL of a user’s invoice file was all that was needed to access it. / Dagens samhälle är starkt beroende av funktionella och säkra digitala resurser, för att skydda användare och för att leverera olika typer av tjänster. För att uppnå detta är det viktigt att utvärdera säkerheten för sådana resurser för att hitta sårbarheter och hantera dem innan de utnyttjas. Denna studie syftar till att se om webapplikationer baserade på C#, .NET och Episerver har sårbarheter, genom att utföra olika penetrationstester och genom att göra en säkerhetsgranskning. Penetrationstesterna som användes var SQL-injektion, Cross Site Scripting, HTTP-förfrågningsmanipulering och Directory Traversal-attacker. Dessa attacker utfördes med Kali Linux och Burp Suite-verktygen på en specifik webbapplikation. Resultaten visade att webbapplikationen klarade penetrationstesterna utan att avslöja någon personlig eller känslig information. Webbapplikationen returnerade dock många olika typer av HTTP-felstatuskoder, som potentiellt kan avslöja områden av intresse för en hackare. Vidare visade säkerhetsgranskningen att det var möjligt att komma åt webbapplikationens adminsida med inget annat än ett användarnamn och lösenord. Det visade sig också att allt som behövdes för att komma åt en användares fakturafiler var webbadressen. Ethical hacking Penetration testing Cybersecurity DREAD HTTP HTTPS Episerver Kali Linux Burp Suite SQL injection XSS HTTP Method Tampering Directory Traversal HSTS IDOR Authentication MFA Computer and Information Sciences Data- och informationsvetenskap

Page generated in 0.0521 seconds