Project Details
Projekt Print View

Developing and Applying a Sound Security Framework for Sensor Networks

Subject Area Theoretical Computer Science
Computer Architecture, Embedded and Massively Parallel Systems
Security and Dependability, Operating-, Communication- and Distributed Systems
Term from 2014 to 2018
Project identifier Deutsche Forschungsgemeinschaft (DFG) - Project number 263279861
 
Final Report Year 2018

Final Report Abstract

Im Rahmen dieses Projektes wurden die Sicherheit und die Privatsphäre im Internet der Dinge aus verschiedenen Perspektiven betrachtet. So war es möglich, kritische Sicherheitslücken in ZigBee, einem verbreiteten Smart Home Funkstandard, zu finden und diese bei bekannten, auf dem Markt erhältlichen Produkten auszunutzen. Außerdem wurde nachgewiesen, dass die Sammlung und Auswertung von Raumklima-Sensordaten in die Privatsphäre der Nutzer eingreift, weil dadurch sowohl Anwesenheits- als auch Aktivitätsprofile erstellt werden können. Aus ökonomischer Perspektive wurde untersucht, was die möglichen Gründe für das schwache Sicherheitsdesign von ZigBee sein könnten und inwiefern sich dies mit anderen Untersuchungen in den sogenannten Security Economics deckt. Weiterhin wurden erste Erfolge erzielt, Sicherheit auf der physikalischen Ebene besser zu verstehen und zu erhöhen. Dabei haben diese Ergebnisse auf signifikante Art und Weise den aktuellen Forschungsstand erweitert. Im Rahmen der Forschung zu ZigBee Touchlink wurde dazu beigetragen, dass Sicherheitslücken in bekannten Smart Home Produkten namhafter Hersteller geschlossen wurden. Darüber hinaus ist mit Z3Sec ein ZigBee Penetration Testing Tool als Open Source Software auf GitHub veröffentlicht und der Allgemeinheit zur Verfügung gestellt worden. Auch die gesammelten Raumklima-Daten sind als Open Dataset für die Durchführung von Nachfolgearbeiten auf GitHub veröffentlicht. Aus den Forschungsergebnissen ergeben sich Anwendungsperspektiven, infolge derer die Sicherheit und Privatsphäre in IoT Anwendungen langfristig gestärkt werden kann. Es wurde gezeigt, dass über die Auswertung von Raumklima-Daten sensitive Informationen, beispielsweise über die Anwesenheit und Aktivitäten von Bewohner, extrahiert werden können. Eine mögliche Anwendung wäre die Entwicklung von Privatsphäre-schützenden Systemen, die Daten vor dem Upload zu aggregieren und konvertieren, sodass keine anwendungsfremden Schlüsse daraus gezogen werden können. Insbesondere bietet diese Arbeit wissenschaftliche Nachweise darüber, dass auch im Smart Home Kontext Daten gesichert werden müssen. Die Forschungsergebnisse zu ZigBee Touchlink Commissioning haben ergeben, dass dieses Commissioning-Verfahren unsicher ist und nicht weiter eingesetzt werden sollte. Die Erkenntnisse wurden mit bekannten Herstellern entsprechender Produkte (Philips, Osram, GE, IKEA) geteilt, und darauf basierend haben einige Hersteller gravierende Sicherheitslücken gepatched. In zukünftigen Arbeiten könnten weitere Wireless Personal-Area Network (WPAN) oder Low-Power Wide-Area Network (LPWAN) Standards auf ihre Sicherheitsarchitekturen analysiert werden. Darüber hinaus ist die Entwicklung von starken und intuitiv-benutzbaren Sicherheitsmaßnahmen für solch heterogene IoT Netze immer noch ein offener Punkt. Weiterhin ist die Weiterentwicklung und Abschluss unserer Arbeiten hinsichtlich Sicherheit auf der physikalischen Ebene unmittelbar geplant.

Publications

 
 

Additional Information

Textvergrößerung und Kontrastanpassung