University of Oulu

Connected devices : security threats vs. implemented security

Saved in:
Author: Byman, Gabriel1
Organizations: 1University of Oulu, Faculty of Information Technology and Electrical Engineering, Department of Computer Science and Engineering, Computer Science
Format: ebook
Version: published version
Access: open
Online Access: PDF Full Text (PDF, 1.2 MB)
Persistent link: http://urn.fi/URN:NBN:fi:oulu-201704111464
Language: English
Published: Oulu : G. Byman, 2017
Publish Date: 2017-04-20
Physical Description: 57 p.
Thesis type: Bachelor's thesis
Description:

Abstract

The aim of this thesis was to research connected devices security threats in comparison to mitigating security solutions. Furthermore, a focused case study of a real world connected devices, an Activity Tracker, was selected to explore and analyze its implemented security solutions.

In order to give a wider perspective of connected devices an analysis of connected device categorization was investigated along with other impacting factor. From the viewpoint of security threats and solutions the connected devices categorizations were abstracted to consumer, business, and government market sectors. A key factor, which additionally plays a role in a connected device selected and implemented security solution, is the selling price point.

Security principles and threat identification methods were introduced as a foundation from which security threats can be defined. The security principles of confidentiality, authentication, integrity, availability, and non-repudiation are examined. While attack trees and threat modeling, in particular STRIDE (Spoofing, Tampering, Repudiation, Information Disclosure, Denial of Service, and Elevation of Privilege), is introduced for threat identification.

The introduction of security solutions starts with a connected devices ecosystem breakdown into the overarching elements of security. Then the enablers of security are established as secure boot, identification, authentication, secure communicators, data security, intrusion prevention, security monitoring, secure updates and secure hardware.

The case study considers the relevant security threats of the Activity Tracker and its ecosystem. Followed by selected security feature tests of the Activity Tracker and its Bluetooth communication channel to a mobile phone. The results show that implemented security often is unable to address all security threats. However, the connected device manufactures may balance the possible threat risks to the cost of implementing a security solution by gauging the threat to be acceptable in relationship to its impact.

see all

Verkottuneiden laitteiden turvallisuusuhkat ja toteutunut turvallisuus

Tiivistelmä

Tämän opinnäytetyön tavoitteena oli selvittää verkottuneiden laitteiden turvallisuusuhkia ja verrata niitä saatavilla oleviin turvallisuusratkaisuihin. Olemassa olevista kytketyistä laitteista valittiin tarkasteluun yhden valmistajan aktiivisuusmittari, jonka turvallisuusratkaisut tutkittiin ja analysoitiin.

Verkottuneet laitteet luokiteltiin vaikuttavan tekijän mukaan, jotta saatiin laajempi näkemys laitteista. Verkottuneiden laitteiden luokittelu jaoteltiin turvallisuusuhkien ja -ratkaisujen näkökulmasta kuluttajien, yritysten ja valtion markkinasektoreihin. Keskeinen tekijä valitun laitteen tietoturvaratkaisuun on laitteen myyntihinta.

Tietoturvallisuuden ja tietoturvauhkien määrittelymetodit muodostavat perustan, josta turvallisuusuhkat voidaan määritellä. Tietoturvauhkia voitiin määritellä käyttämällä tietoturvan periaatteita ja uhkien tunnistamisen menetelmiä. Valitusta laitteesta tutkitaan tietoturvaperiaatteet luottamuksellisuuden, todennuksen, eheyden, saatavuuden ja kiistämättömyyden osalta. Uhan tunnistaminen otetaan käyttöön säännöllisessä STRIDEssa (Spoofing = väärentäminen, Tampering = manipulointi, Repudiation = torjuminen, Information Disclosure = tiedon julkistaminen, Denial of Service = palvelun esto ja Elevation of Privilege = käyttöoikeuksien luvaton laajentaminen).

Tietoturvaratkaisujen johdanto alkaa luokittelemalla verkottuneiden laitteiden ekosysteemit kattavasti turvallisuuteen liittyviin tekijöihin. Turvallisuuden mahdollistavat suojattu käynnistys, tunnistaminen, todentaminen, suojatut yhteydet, tietoturva, tunkeutumisen esto, turvallisuuden seuranta, turvallisuuspäivitykset sekä suojattu laitteisto.

Tutkimus käsittelee aktiivisuusmittarin ja sen ekosysteemin merkityksellisiä tietoturvauhkia. Valitut turvallisuusominaisuudet aktiivisuusmittarin ja älypuhelimen välisestä bluetooth-yhteydestä testattiin. Tulokset osoittavat, että käytetty turvallisuusratkaisu ei usein pysty käsittelemään kaikkia turvallisuusuhkia. Kuitenkin verkottuneiden laitteiden valmistajat voivat tasapainoilla mahdollisten uhkiin liittyvien riskien ja käytetyn turvallisuusratkaisun kustannusten välillä suhteuttamalla uhkan riskit ja vaikutukset.

see all

Subjects:
Copyright information: © Gabriel Byman, 2017. This publication is copyrighted. You may download, display and print it for your own personal use. Commercial use is prohibited.