A Security Assessment of an Embedded IoT Device

Abstract

IoT-enheter har etter hvert blitt vanligere, og dette har gjort deres sikkerhetsmangler mer fremtredende. Enhetene er ofte koblet på internettet, og er mulige gullgruver for cyber-kriminelle, der rutere er spesielt utsatt. En rapport av Peter Weidenbach og Johannes vom Dorp fra 2020 analyserte sikkerheten til 127 rutere fra forskjellige produsenter. De konkluderte med at sikkerheten til rutere generelt har store mangler. Det finnes en rekke teknikker for å unngå vanlige angrep på rutere, men ofte er få brukt.

Denne bacheloroppgaven skal gjennomføre en sikkerhetsevaluering av en trådløs forbrukerruter, for å kunne kontrollere om forventede sikkerhetsstandarder er oppfylt. Den har også som mål å rette oppmerksomhet mot sikkerhet til IoT-enheter, samt å bidra til forskning på det. Ved å ta utgangspunkt i gruppens begrensede erfaring på området har følgende problemstilling blitt til:

Kan "hackere" med begrenset erfaring finne og utnytte sikkerhetsmangler i en trådløs ruter, ved hjelp av en modifisert utgave av OWASP metodologien?

Det var også interessant å evaluere prosessen rundt oppgaven. Omfanget av oppgaven utviklet seg over tid til å inkludere flere områder. Av den grunn oppsto det flere forskningsspørsmål som gruppen ønsket å finne svar på, da i all hovedsak:

Hva sier resultatet av evalueringen om sikkerheten til enheten? Er det forventede nivået på sikkerheten oppfylt?

Hva var erfaringen med å bruke den valgte metodologien?

Å svare på problemstillingen og spørsmålene krever at sikkerhetsvurderingen gjennomføres på en viss måte. Først og fremst så brukte gruppen en modifisert versjon av OWASP sin Firmware Security Testing Methodology. Denne ble justert for å passe til gruppens situasjon. De første stegene i metodologien omhandlet innhenting av informasjon om enheten, og analyse av dataen. Noen sikkerhetsmangler ble avdekket i denne prosessen. Produsenten av enheten ble gjort oppmerksom på sikkerhetshullene, og som følge av dette vil informasjon om sikkerhetshullet etter hvert bli delt med offentligheten.

I løpet av prosjektet har gruppen kontinuerlig diskutert fremgangen sin, hvordan deres begrensede erfaring kunne påvirke resultatet av undersøkelsene, og hvorvidt en metodologi var til hjelp. Det ble konkludert med at å gjennomføre en sikkerhetsevaluering med begrenset erfaring var utfordrende, og at det med størst sannsynlighet hadde en negativ innflytelse på resultatet. Derimot, ved hjelp av metodologien, klarte gruppen å unngå de største fallgruvene, og viste seg å være et nyttig verktøy når man vurderer sikkerheten i et system.

As IoT devices are becoming more common, their lack of proper security becomes a prob- lem. After all, these devices are connected to the internet and are potentially prime targets for cybercriminals. Wireless routers are especially vulnerable. A report by Peter Weiden- bach and Johannes vom Dorp in 2020 analyzed the security of 127 routers from several manufacturers. They concluded that routers are generally flawed. There are many tech- niques available to mitigate common attacks, but they are not always used.

This bachelor’s thesis aims to perform a security assessment on a consumer wireless router to check how safe it is and whether or not expected standards are upheld. The research is an attempt to help highlight IoT device security. Considering the team’s limited experience, the team created this problem statement:

Can ”hackers” with limited knowledge find and exploit security issues in a wireless network router by using a modified version of the OWASP Firmware Security Testing Methodology?

It was also interesting to evaluate the process. The scope ended up evolving to include more. Therefore, the following research questions were made and the team will attempt to answer them during the security process:

• What does the result reveal about the security of the device? Is the expected security standard upheld? • What was the experience of using the methodology?

Answering the problem statement and questions requires the security assessment to go through several steps. First, the team decided to follow a modified version of the OWASP Firmware Security Testing Methodology. It was modified to fit the team’s situation. The first few stages of the methodology had the team gathering information about the device and analyzing it. Some exploitable vulnerabilities were found, which allows for cross-site scripting attacks and a denial-of-service attack. The manufacturer was notified of these vulnerabilities, and from this, a coordinated disclosure will be done.

During the project, the team discussed their progress, how their limited experience influ- enced the result and how helpful the methodology was. It was concluded that performing a penetration test with limited experience proved challenging and most likely had a negative impact on the result. Though, following a methodology mitigated the worst of the impact and proved helpful.