Bisherige Ergebnisse an der Uni Rostock

Entwicklung von Kompetenzen, Methoden und Werkzeugen für zukunftsorientierte Ermittlungen und Ermittlungsunterstützung im Internet of Things

Bisherige Ergebnisse an der Uni Rostock

Das Projekt EMERGE IoT nähert sich langsam seinem Ende. Diese Gelegenheit wollen wir nutzen um auf die bisherige Projektzeit zurückzuschauen und einige der Ergebnisse vorzustellen.

Werkzeug zur Sicherheitsanalyse von IoT-Systemen

Eins der Ziele des Projekts EMERGE IoT ist die Entwicklung von Werkzeugen für die Beurteilung der Sicherheit von IoT-Systemen und -Geräten. Hierauf haben wir den Forschungsschwerpunkt gelegt und einige Lösungen entwickelt:

Sicherheitsscore für IoT-Geräte

Ein häufiges Problem beim Betrieb von IoT-Geräten im Privatumfeld ist, dass die Nutzer selbst nicht über die nötige Fachkenntnis verfügen, um einzuschätzen ob die verwendeten IoT-Geräte sicher sind oder nicht. Allenfalls besonders öffentlichkeitswirksame Sicherheitslücken finden den Weg über die Tagespresse an den gemeinen Nutzer. Aufgrund der Vielzahl an IoT-Geräten auf dem Markt ist es auch für interessierte Nutzer nicht leicht, über eine Internetrecherche herauszufinden, welche Geräte potenziell unsicher sind. Darüber hinaus wäre der Aufwand auch zu groß, als dass man ihn regelmäßig betreiben wollte.

Wir gehen davon aus, dass Nutzer prinzipiell daran interessiert sind, Sicherheitslücken in ihrem IoT-Netzwerk zu erfahren, da der potenzielle Schaden groß ist.

Aus diesem Grund haben wir eine Software namens „IoT Device ID“ entwickelt, die verwendete IoT-Geräte in IP-basierten Netzwerken, also solche die über WLAN oder LAN verbunden sind identifiziert. Die Software verwendet dabei sowohl Discovery-Protokolle wie SSDP und mDNS als auch gesammelte Informationen wie DNS-Anfragen, offene Ports und die MAC-Adresse um einen einzigartigen digitalen Fingerabdruck für das jeweilige IoT-Gerät zu ermitteln. Dieser Fingerabdruck wird dann über einen gewichteten Vergleich mit in einer Datenbank erfassten IoT-Fingerabdrücken abgeglichen. So ist es für Nutzer in sekundenschnelle möglich, alle lokalen IoT-Geräte zu identifizieren und darauf aufbauend weitere Aktionen einzuleiten.

Das Konzept wurde als wissenschaftlicher Artikel im Rahmen eines Peer Review validiert und Anfang 2020 auf der International Conference on Information Networking (ICOIN) vorgestellt. Die Software ist auf der Codehostingplattform Github frei erhältlich.

Analysewerkzeug für ESP32 Firmware-Images

Die ESP32-Mikrocontrollerplattform ist eine günstige Möglichkeit um Geräte mit geringem Stromverbrauch in ein WLAN-Netzwerk einzubinden. Aus diesem Grund werden diese Mikrocontroller häufig verwendet, um IoT-Geräte herzustellen. Beispiele dafür sind etwa smarte Steckdosen, Leuchtmittel oder Bewegungsmelder.

Da diese Geräte so weit verbreitet sind, kommt man bei der Analyse von IoT-Geräten oft dazu, dass man die Mikrocontroller-Firmware eines ESP32 untersuchen möchte. Im Vergleich zu Linux-basierten Firmwares gibt es bei Mikrocontroller-Firmware einige Schwierigkeiten bei der Analyse, die spezialisierte Tools erfordern.

Aus diesem Grund entwickeln wir eine Software, die in der Lage ist, ESP32-Firmware Images zu untersuchen und dabei beispielsweise verwendete Open Source Bibliotheken zu erkennen. Dazu wurde die Software mit Bibliotheken aus dem Platform.IO-Repository trainiert.

Honeypot für Gebäudeautomationssysteme

Ein Honeypot ist ein Computer, der Hacker anlocken soll, ähnlich wie sich Bären metaphorisch von Honig anlocken lassen. Der Zweck eines Honeypots ist es, darauf laufende Angriffe aus dem Internet oder dem internen Netzwerk zu analysieren und darauf zu reagieren. Zwar betreiben zahlreiche Unternehmen und Behörden Honeypots etwa für Windows-PCs oder Server, speziell auf IoT-Geräte ausgelegte Honeypots sind jedoch seltener zu finden.

Daher haben wir einen Honeypot modelliert, der aus Netzwerksicht wie ein Gebäudecontroller aussieht, über den sich sämtliche vernetzten Funktionen eines Gebäudes steuern lassen. Dazu wurden die auf dem real existierenden Gerät vorhandene Schnittstellen wie SSH oder ein Webinterface möglichst originalgetreu nachgebildet.

In der Folge haben wir den Honeypot öffentlich im Internet verfügbar gemacht und sämtliche Zugriffe datenschutzkonform aufgezeichnet. Dabei konnten wir zahlreiche Angriffe auf die SSH-Schnittstelle nachvollziehen und auswerten.

Die daraus gewonnenen Ergebnisse wurden 2019 auf der Computing, Communications and IoT Applications Conference (ComComAp) veröffentlicht.

Promotionsanhänger

Zum Experimentieren an IoT-Geräten und für Demonstrationen etwa im Rahmen von Workshops haben wir in unserem Labor einen wechselnden Aufbau von IoT-Systemen. Um die Öffentlichkeitsarbeit für das Thema IoT zu verbessern haben wir einen KfZ-Anhänger mit Promotionsaufbau beschafft und in diesem IoT-Geräte nachgerüstet.

Dieser IoT-Promotionsanhänger bietet eine mobile Demonstrationsmöglichkeit von IoT-bezogenen Showcases sowie eine auffällige Präsenz auf Messen und Veranstaltungen.

Um Diebstähle zu verhindern wird die IoT-Ausrüstung natürlich nur im Bedarfsfall in den Promotionsanhänger eingebaut.

Lehrangebot der Universität Rostock

Zahlreiche der im Projekt EMERGE IoT relevanten Themen wurden in die Lehre der Universität Rostock integriert. Dazu gehörten beispielsweise ein Projekt, in dem IoT-Geräte im Rahmen eines Penetration Tests von Studenten untersucht wurden, ein Projekt in dem die Firmware von IoT-Geräten auf Schwachstellen untersucht wurde sowie ein Projekt, in dem der Funktionsumfang von IoT-Geräten erweitert wurde.

Darüber hinaus wurden auch studentische Bachelor- und Masterarbeiten zu projektrelevanten Themen ausgeschrieben und betreut. Dazu gehörten etwa: