To see the other types of publications on this topic, follow the link: Ethical Hacking.
Dissertations / Theses on the topic 'Ethical Hacking'
Create a spot-on reference in APA, MLA, Chicago, Harvard, and other styles
Consult the top 37 dissertations / theses for your research on the topic 'Ethical Hacking.'
Next to every source in the list of references, there is an 'Add to bibliography' button. Press on it, and we will generate automatically the bibliographic reference to the chosen work in the citation style you need: APA, MLA, Harvard, Chicago, Vancouver, etc.
You can also download the full text of the academic publication as pdf and read online its abstract whenever available in the metadata.
Browse dissertations / theses on a wide variety of disciplines and organise your bibliography correctly.
1
Peacock, Donna. "From underground hacking to ethical hacking." Thesis, Northumbria University, 2013. http://nrl.northumbria.ac.uk/32285/.
Full textAbstract:
This Thesis explores the nature and practice of ‘Ethical Hacking’. Ethical Hackers are individuals who use hacking skills, knowledge and techniques within legitimate authorised practice; they are employed to Hack. A Critical Realist methodological approach is employed in order to gain a qualitative understanding of a real phenomenon through a range of key informants who provide personal narratives within semi-structured interviews, commenting upon their own realities, and their perceptions of the field in which they work. A Bounded Rational Model of decision making reveals that decisions relating to involvement in criminality and individual Hacking events are made through a process of reasoning, of approximating the net gains and losses of a particular course of action, and that these decisions are ‘bounded’ by social norms, ethical approaches and the personal motivations and social circumstances within which the decisions and behaviour are framed.
2
Flores, Solís Fernando Rolyn. "Ethical hacking - RC19 201801." Universidad Peruana de Ciencias Aplicadas (UPC), 2018. http://hdl.handle.net/10757/623917.
Full textAbstract:
El presente es un curso de especialidad de la carrera Ingeniería de Redes y Comunicaciones EPE, de carácter
teórico, dirigido a los estudiantes del nivel 12 de la carrera, que busca desarrollar la competencia general de
pensamiento critico nivel 3 y la competencia específica B - Capacidad para diseñar y realizar experimentos y
analizar e interpretar los datos en Ingeniería de Redes y Comunicaciones - nivel 3.
Este curso permitirá al alumno conocer los principales vectores de ataque que se despliegan sobre los sistemas a
nivel mundial, permitiéndole reconocer las vulnerabilidades, como se explotan las debilidades en los sistemas y
ayudarle a proteger los activos de las amenazas.
3
Achkoudir, Rami, and Zainab Alsaadi. "Ethical Hacking of a Smart Plug." Thesis, KTH, Skolan för elektroteknik och datavetenskap (EECS), 2021. http://urn.kb.se/resolve?urn=urn:nbn:se:kth:diva-291355.
Full textAbstract:
The number of Internet of Things (IoT) devices is growing rapidly which introduces plenty of new challenges concerning the security of these devices. This thesis aims to contribute to a more sustainable IoT environment by evaluating the security of a smart plug. The DREAD and STRIDE methods were used to assess the potential threats and the threats with the highest potential impact were penetration tested in order to test if there were any security preventions in place. The results from the penetration tests presented no major vulnerabilities which bring us to the conclusion that the Nedis Smart Plug has implemented enough security measures.Antalet Internet of Things (IoT) -enheter växer snabbt vilket medför många nya utmaningar när det gäller säkerheten för dessa enheter. Denna avhandling syftar till att bidra till en mer hållbar IoT-miljö genom att utvärdera säkerheten för en smart plug. Metoderna DREAD och STRIDE användes för att bedöma de potentiella hoten och hoten med störst potentiell påverkan penetrerades för att testa om det fanns några säkerhetsförebyggande åtgärder. Resultaten från penetrationstesterna presenterade inga större sårbarheter som ledde oss till slutsatsen att Nedis Smart Plug har genomfört tillräckliga säkerhetsåtgärder.
4
Torgilsman, Christoffer, and Eric Bröndum. "Ethical Hacking of a Robot Vacuum Cleaner." Thesis, KTH, Skolan för elektroteknik och datavetenskap (EECS), 2020. http://urn.kb.se/resolve?urn=urn:nbn:se:kth:diva-277918.
Full textAbstract:
This study revolves around the safety of IoT devices, more specifically how safe the robot vacuum cleaner Ironpie m6 is. The method is based on threat modeling the device, using the DREAD and STRIDE models. The threats with the highest estimated severity were then penetration tested to see which security measures are implemented to protect against them. Using client side manipulation one vulnerability was found in Trifo’s mobile application ”Trifo home” which could be used to harm customers property.Den här studien kretsar kring IoT enheters säkerhet, mer specifikt hur säker robotdammsugaren Ironpie m6 är. Metoden är baserad på att hotmodellera enheten med hjälp av DREAD och STRIDE modellerna. Dem allvarligaste hoten blev penetrationstestade för att se vilka säkerhetsåtgärder som har blivit implementerade for att skydda produkten från dem. En sårbarhet upptäcktes i Trifos mobilapplikation ”Trifo Home” som kunde exploiteras via manipulation av klient sidan. Denna sårbarhet kunde användas för att skada kunders ägodelar.
5
Conde, Ortiz Daniel. "Ethical Hacking Of An Industrial Control System." Thesis, KTH, Skolan för elektroteknik och datavetenskap (EECS), 2020. http://urn.kb.se/resolve?urn=urn:nbn:se:kth:diva-285573.
Full textAbstract:
Almost no software is exempt of vulnerabilities. Penetration testing or ethicalhacking can be used to identify them. This thesis conducts a series of testsfollowing the penetration testing method on a large scale industrial controlsystem. The goal is to discover which kind of vulnerabilities exist in thesesystems, focusing on attacks from inside of their network. Several approacheswere taken in relation on how to attack the servers and services that form thenetwork, both from outside and inside the machines. Critical vulnerabilitieswere found in relation to using services unauthenticated and disruptingcommunication between servers, which should be mitigated correctly in orderto prevent further potential attacks.De flesta av programvaror har sårbarheter. Penetrationstest eller etiskhacking kan användas för att identifiera dem. Denna avhandling utför testerenligt penetrationstestmetoden i ett industriellt kontrollsystem i stor skala.Målet är att upptäcka vilka sårbarheter som finns i dessa system, med fokuspå attacker från deras nätverk. Flera tillvägagångssätt användes för attattackera servrar och tjänster på nätverket, både från in- och utsidan avmaskinera. Kritiska sårbarheter hittades i samband med autentisering ochstörande kommunikation mellan servrar, som bör åtgärdas för att förhindraytterligare potentiella attacker.
6
Lindeberg, Axel. "Hacking Into Someone’s Home using Radio Waves : Ethical Hacking of Securitas’ Alarm System." Thesis, KTH, Skolan för elektroteknik och datavetenskap (EECS), 2021. http://urn.kb.se/resolve?urn=urn:nbn:se:kth:diva-302999.
Full textAbstract:
The number of IoT systems in our homes has exploded in recent years. By 2025 it is expected that the number of IoT devices will reach 38 billion. Home alarm systems are an IoT product that has increased dramatically in number and complexity in recent years. Besides triggering an alarm when an intruder tries to break in, a modern system can now control your light bulbs, lock and unlock your front door remotely, and interact with your smart speaker. They are undeniably effective in deterring physical intrusion. However, given the recent rise in complexity how well do they hold up against cyber attacks? In this thesis, a smart home alarm system from SecuritasHome is examined. A comprehensive security analysis was performed using penetration testing techniques and threat modeling. The work focused mainly on radio frequency (RF) hacking against the systems RF communication. Among other things, a critical vulnerability was found in the proprietary RF protocol, allowing an attacker to disarm an armed system and thus completely bypass the system’s functionality. The security of the system was deemed to be lacking.Antalet IoT system i våra hem har exploderat de senaste åren. Vid år 2025 förväntas antalet IoT enheter nå 38 miljarder. Hemlarmsystem är en typ av IoT-produkt som ökat dramatiskt i komplexitet på senare tid. Förutom att framkalla ett larm vid ett intrång kan ett modernt hemlamsystem numera kontrollera dina glödlampor, låsa och låsa upp din ytterdörr, samt kontrollera dina övervakningskameror. De är utan tvekan effektiva på att förhindra fysiska intrång, men hur väl står de emot cyberattacker? I denna uppsats undersöks ett hemlarmsystem från SecuritasHome. En utförlig säkerhetsanalys gjordes av systemet med penetrationstestnings-metodiker och hotmodellering. Arbetet fokuserade mestadels på radiovågshackning (RF) mot systemets RF-kommunikation. Bland annat hittades en kritiskt sårbarhet i systemets RF-protokoll som gör det möjligt för en angripare att avlarma ett larmat system, och därmed kringå hela systemets funktionalitet. Säkerheten av systemet bedömdes vara bristfällig.
7
Christensen, Ludvig, and Daniel Dannberg. "Ethical hacking of IoT devices: OBD-II dongles." Thesis, KTH, Skolan för elektroteknik och datavetenskap (EECS), 2019. http://urn.kb.se/resolve?urn=urn:nbn:se:kth:diva-254571.
Full textAbstract:
The subject area of this project is IT security related to cars, specifically the security of devices connected through a cars OBD-II connector. The aim of the project is to see the security level of the AutoPi OBD-II unit and to analyse where potential vulnerabilities are likely to occur when in use. The device was investigated using threat modeling consisting of analysing the architecture, using the STRIDE model to see the potential attacks that could be implemented and risk assessments of the attacks using the DREAD model. After modelling the system, attempts of implementing attacks, with the basis in the threat modelling, were carried out. No major vulnerabilities were found in the AutoPi device but a MITM attack on the user was shown to be possible for an attacker to succeed with. Even though no major vulnerability was found IoT devices connected to cars might bring security concerns that needs to be looked into by companies and researchers.Ämnesområdet för detta projekt är ITsäkerhet relaterad till bilar, mer specifikt säkerheten gällande enheter som kopplas in i en bils OBD-II-kontakt. Syftet med uppsatsen är att bedöma säkerhetsnivån på en OBD-II-enhet av modell AutoPi och att analysera var potentiella sårbarheter kan finnas i systemet. Enheten kommer att undersökas med hjälp av hotmodellering som består av att analysera arkitekturen, använda STRIDE-modellen för att upptäcka potentiella attackmetoder samt bedöma riskerna för attackerna med hjälp av DREAD-modellen. Efter det steget görs attackförsök utifrån resultaten från hotmodelleringen. Inga större sårbarheter hittades i AutoPi-enheten men en MITM-attack på användaren visades vara möjlig för en angripare att lyckas med. Ä ven fast inga större sårbarheter hittades kan IoT-enheter kopplade till bilar medföra säkerhetsbrister som företag och forskare måste se över.
8
Berner, Madeleine. "Where’s My Car? Ethical Hacking of a Smart Garage." Thesis, KTH, Skolan för elektroteknik och datavetenskap (EECS), 2020. http://urn.kb.se/resolve?urn=urn:nbn:se:kth:diva-280298.
Full textAbstract:
IoT products are breaking new ground into widespread industries and introducing potential attack vectors to unprepared environments. Even the new generation of garage openers, called smart garages, have entered into the world of IoT. They are connected to the Internet, and are delivered with the goal of providing more security by merging features from the home surveillance boom. But do they keep what they promise? This thesis has evaluated the security of one particular smart garage that is being sold worldwide – iSmartgate PRO. Penetration testing was conducted with focus on the web application. A total of eleven vulnerabilities were reported, including a one-click-root attack that combined three of them into providing an unauthenticated remote attacker with a root shell. It was concluded that the product lacked security measures in certain areas.IoT-produkter bryter ny mark inom spridda branscher, och introducerar potentiella attackvektorer i oförberedda miljöer. Det är inte förvånande att till och med den nya generationen garageöppnare har tagit ett kliv in i världen av IoT. Vilket innebär att garageöppnarna är uppkopplade till Internet, kallas för smarta garage och levereras med målet att bidra till ökad säkerhet med sina nya funktioner tagna från trenden av hemmaövervakning. Men kan de hålla vad de lovar? Det här examensarbetet har utvärderat säkerheten av ett utvalt smart garage som säljs världen över – iSmartgate PRO. Penetrationstestning genomfördes med fokus på webbapplikationen. Totalt sett rapporterades elva sårbarheter, varav en inkluderade en one-click-root-attack som kombinerade tre sårbarheter till att ge en icke autentisierad fjärrangripare ett root-skal. Den dragna slutsatsen var att produkten hade utrymme för att förbättra säkerheten.
9
Radholm, Fredrik, and Niklas Abefelt. "Ethical Hacking of an IoT-device:Threat Assessment andPenetration Testing." Thesis, KTH, Datavetenskap, 2020. http://urn.kb.se/resolve?urn=urn:nbn:se:kth:diva-282916.
Full textAbstract:
Abstract Internet of things (IoT) devices are becoming more prevalent.Due to a rapidly growing market of these appliances, impropersecurity measures lead to an expanding range of attacks. There isa devoir of testing and securing these devices to contribute to amore sustainable society. This thesis has evaluated the securityof an IoT-refrigerator by using ethical hacking, where a threatmodel was produced to identify vulnerabilities. Penetration testswere performed based on the threat model. The results from thepenetration tests did not find any exploitable vulnerabilities. Theconclusion from evaluating the security of this Samsungrefrigerator can say the product is secure and contributes to aconnected, secure, and sustainable society. Keywords Internet of things (IoT), device, security, penetration testing,threat assessment, vulnerabilitiesSammanfattningInternet of Things (IoT) enheter blir mer allmäntförekommande. På grund av en snabbt expanderande marknadav dessa apparater, har bristfälliga säkerhetsåtgärder resulterattill en mängd olika attacker. Det finns ett behov att testa dessaenheter for att bidra till ett mer säkert och hållbart samhälle.Denna avhandling har utvärderat säkerheten av ett IoT-kylskåpgenom att producera en hot modell för att identifierasårbarheter. Penetrationstester har utförts på enheten, baseradepå hot modellen. Resultatet av penetrationstesterna hittade ingautnyttjningsbara sårbarheter. Slutsatsen från utvärderingen avsäkerheten på Samsung-kylskåpet är att produkten är säker ochbidrar till ett uppkopplat, säkert, och hållbart samhälle.KeywordsInternet of things (IoT), enhet, säkerhet, penetrationstester,hotbedömning, sårbarheter
10
Florez, Cardenas Mateo, and Gabriel Acar. "Ethical Hacking of a Smart Fridge : Evaluating the cybersecurity of an IoT device through gray box hacking." Thesis, KTH, Skolan för elektroteknik och datavetenskap (EECS), 2021. http://urn.kb.se/resolve?urn=urn:nbn:se:kth:diva-302373.
Full textAbstract:
With the increasing popularity of Internet of Things (IoT) devices, a complete smart home is becoming more of a reality. Thus the security of said devices is becoming increasingly more important. Unsecured IoT devices could lead to potential consequences of societal proportion. Therefore there is an entire industry dedicated to mitigating such security threats and contributing to a sustainable society. The security of a Samsung Smart Refrigerator was evaluated in this thesis. The methodology implemented followed a gray box approach and consisted of initially creating a threat model, indicating potential vulnerabilities, and then using the said model to design penetration tests to assess the findings. It was concluded that the fridge was secure in the scope of this thesis. However, grounds for further research were discovered.Med den ökande populariteten för IoT-enheter (Internet of Things) blir ett komplett smart hem alltmer verklighet. Säkerheten för dessa enheter blir därför allt viktigare. Osäkrade IoT-enheter kan leda till potentiella konsekvenser av samhällelig omfattning. Därför finns det en hel industri som ägnar sig åt att mildra sådana säkerhetshot och bidra till ett hållbart samhälle. Säkerheten hos ett smart kylskåp från Samsung utvärderades i denna avhandling. Den metod som tillämpades följde en grå box-strategi och bestod av att först skapa en hot modell, ange potentiella sårbarheter och sedan använda nämnda modell för att utforma penetrationstester för att bedöma resultaten. Slutsatsen blev att kylskåpet var säkert inom ramen för denna avhandling. Det upptäcktes dock skäl för ytterligare forskning.
11
Robberts, Christopher, and Joachim Toft. "Finding Vulnerabilities in IoT Devices : Ethical Hacking of Electronic Locks." Thesis, KTH, Skolan för elektroteknik och datavetenskap (EECS), 2019. http://urn.kb.se/resolve?urn=urn:nbn:se:kth:diva-254667.
Full textAbstract:
Internet of Things (IoT) devices are becoming more ubiquitous than ever before, and while security is not that important for every type of device, it is crucial for some. In this thesis, a widely available Bluetooth smart lock is examined through the lens of security. By using well-known attack methods, an attempt is made to exploit potential vulnerabilities in the system.The researched lock was found to have design flaws that could be considered low-impact vulnerabilities, but using the system without these flaws in mind could lead to harmful outcomes for the lock owner.Except for the design flaws, no real security problems were discovered, but the methods used in this thesis should be applicable for further IoT security research.IoT-apparater blir allt mer vanliga i samhället. Det är inte ett krav för alla typer av apparater att ha stark säkerhet, men för vissa är det helt avgörande. I denna avhandling undersöks ett allmänt tillgängligt Bluetooth-smartlås utifrån ett säkerhetsperspektiv. Genom att använda välkända angreppsmetoder görs det ett försök att utnyttja potentiella sårbarheter i systemet.Låset visade sig ha designfel som skulle kunna betraktas som sårbarheter med låg hotnivå, men att använda systemet utan dessa designfel i åtanke skulle kunna leda till farliga påföljder för låsägaren.Förutom designfelen upptäcktes inga riktiga säkerhetsproblem, men metoderna som används i denna avhandling bör vara tillämpliga för ytterligare säkerhetsforskning inom IoT.
12
Abu-Shaqra, Baha. "Technoethics and Organizing: Exploring Ethical Hacking within a Canadian University." Thesis, Université d'Ottawa / University of Ottawa, 2015. http://hdl.handle.net/10393/32266.
Full textAbstract:
Ethical hacking is one important information security risk management strategy business and academic organizations use to protect their information assets from the growing threat of hackers. Most published books on ethical hacking have focused on its technical applications in risk assessment practices. This thesis addressed a gap within the organizational communication literature on ethical hacking. Taking a qualitative exploratory case study approach, the thesis paired technoethical inquiry theory with Karl Weick’s sensemaking model to explore ethical hacking in a Canadian university. In-depth interviews with key stakeholder groups and a document review were conducted. Guided by the Technoethical Inquiry Decision-making Grid (TEI-DMG), a qualitative framework for use in technological assessment, findings pointed to the need to expand the communicative and social considerations involved in decision making about ethical hacking practices. Guided by Weick’s theory, findings pointed to security awareness training for increasing sensemaking opportunities and reducing equivocality in the information environment.
13
Paučo, Daniel. "Bezpečnostní cvičení pro etický hacking." Master's thesis, Vysoké učení technické v Brně. Fakulta elektrotechniky a komunikačních technologií, 2020. http://www.nusl.cz/ntk/nusl-413068.
Full textAbstract:
This master thesis deals with penetration testing and ethical hacking. Regarding to the layout of the thesis there was prepared appropiate enviroment to realize Red/Blue team exercise, where Red team is in a role of the attacker and Blue team is in a role of defender of the network infrastructure. Whole infrastructure is implemented in a cloud virtual enviroment of VMware vSphere. Second part of the thesis consists of preparation and creation of the exercise to test web application security. Third part of the thesis is dedicating to the automatization of redteaming. Main focus of this master thesis is to demonstrate different attack vectors how to attack the network infrastructure and web applications and use of the defense mechanisms to avoid this kinds of attacks.
14
Palm, Alexander, and Benjamin Gafvelin. "Ethical Hacking of Android Auto in the Context of Road Safety." Thesis, KTH, Skolan för elektroteknik och datavetenskap (EECS), 2021. http://urn.kb.se/resolve?urn=urn:nbn:se:kth:diva-299647.
Full textAbstract:
With a more than ever increasing demand to interconnect smartphones with infotainment systems, Android Auto has risen in popularity with its services used in modern vehicles worldwide. However, as users progressively connect their smartphones to in-vehicle infotainment systems, the opportunity for malicious actors to endanger and access private data of Android Auto users advances as well. The goal with this thesis is to determine how secure Android Auto is for road use. The main research question is to figure out if Android Auto is susceptible to attacks that exploit certain vulnerabilities in the Android operating system. The research question was answered by creating several proof-of-concept attacks on Android Auto using an emulated infotainment system with mobile devices. An investigation was also conducted regarding the application’s communication channel between the mobile device and infotainment display. Results of this thesis demonstrate that several attacks are substantially severe to endanger drivers on the road. There is a great risk of successful exploits when running Android Auto locally on the phone without a connection to the infotainment system, and a lesser risk when connected to the infotainment system. Intercepting communication in the USB channel revealed an encryption algorithm whose version has published exploits and can be cracked to potentially exploit Android Auto.I takt med en evigt ökande efterfrågan på att sammankoppla smarttelefoner med infotainmentsystem, har allt fler börjat använda Android Auto i sina fordon världen över. En bieffekt av att allt fler sammankopplar sina mobiler till infotainmentsystem, är att det leder till fler möjligheter för illvilliga parter att stjäla privat data och sätta Android Autoanvändares liv i fara. Målet med denna avhandling är att fastställa hur säkert Android Auto är i avseende till vägsäkerhet. Den huvudsakliga forskningsfrågan är att lista ut om Android Auto kan attackeras av attacker som utnyttjar sårbarheter i Android operativsystemet. Forskningsfrågan besvarades genom att skapa flertal konceptattacker mot Android Auto användandes av ett emulerat infotainmentsystem och mobiltelefoner. En utredning utfördes även gällande applikationens kommunikationskanal mellan telefonen och infotainmentskärmen. Resultatet från denna avhandling demonstrerade att många attacker är tillräckligt allvarliga för att äventyra trafikanternas säkerhet. Det finns en avsevärd risk för framgångsrika attacker när Android Auto körs lokalt på telefonen utan en USB koppling till infotainmentsystemet, och en liten risk när telefonen är kopplad till infotainmentsystemet. Avlyssning och uppfångning av kommunikationen i USB kanalen visade att en krypteringsalgoritm vars version har existerande sårbarheter kan avkrypteras och utnyttjas för att potentiellt attackera Android Auto.
15
Hamra, Sam. "Ethical hacking : Threat modeling and penetration testing a remote terminal unit." Thesis, KTH, Skolan för elektroteknik och datavetenskap (EECS), 2020. http://urn.kb.se/resolve?urn=urn:nbn:se:kth:diva-288887.
Full textAbstract:
Remote terminal units are microprocessor controlled electronic devices that acts as an interface between control systems and objects in the real world. They are used in a range of highly critical infrastructures, and thus their security is of high priority. This thesis will present a security analysis and testing of a remote terminal unit. A threat model was created to identify threats to the system and a few key threats were selected for further penetration testing. The testing lead to the identification of a denial of service vulnerability as well as code injection vulnerability in the SD card storage of the remote terminal unit. The conclusions is that the system is rather robust from a remote attackers perspective although more vulnerabilities arise as an attacker gains physical access to the device.Fjärrkontrollsterminaler är elektroniska enheter som agerar som ett gränssnitt mellan kontrollsystem och objekt i den riktiga världen. De används i många kritiska infrastrukturer och därför är deras säkerhet högt prioriterad. I denna rapport presenteras säkerhetsanalys och testning av en fjärrkontrollsterminal. En hotmodell skapades för att identifiera hot mot systemet och ett antal hot valdes för vidare penetrationstestning. Testandet visade på svagheter mot denial of service attacker mot TCP/Ethernet gränssnittet samt kodinjicering mot SD-kortet som sitter i fjärrkontrollsterminalen. Slutsatsen är att systemet är relativt säkert mot fjärrattacker medan svagheterna mot attacker som kräver en fysisk tillgång till fjärrkontrollsterminalen är fler.
16
Höglund, Gran Tommie, and Erik Mickols. "Hacking a Commercial Drone." Thesis, KTH, Skolan för elektroteknik och datavetenskap (EECS), 2020. http://urn.kb.se/resolve?urn=urn:nbn:se:kth:diva-284573.
Full textAbstract:
Obemannade luftfarkoster, även kallade drönare, är del av IoT-revolutionen och har uppmärksammats de senaste åren på grund av integritetsfrågor såväl som flygplats- och militär säkerhet. Då de kan flyga samt har implementerat en ökande mängd teknologi, särskilt kamera och annan övervakning, är de attraktiva måltavlor för hackers och penetrationstestare. Ett antal attacker har genomförts i närtid. I detta examensarbete utforskas och attackeras drönaren Parrot ANAFI genom att använda hotmodellering ur ett black box-perspektiv. Hotmodelleringen inkluderar hotidentifiering med STRIDE samt riskvärdering med DREAD. Inga stora svagheter i systemet hittades. Rapporten visar att tillverkaren har en stor säkerhetsmedvetenhet. Exempel på denna medvetenhet är att tidigare rapporterade svagheter har åtgärdats och programkoden har förvrängts. Metoderna och de funna resultaten kan användas för att vidare utforska svagheter i drönare och liknande IoT-enheter.Unmanned aerial vehicles, commonly known as drones, are part of the IoT revolution and have gotten some attention in recent years due to privacy violation issues as well as airport and military security. Since they can fly and have an increasing amount of technology implemented, especially camera and other surveillance, they are attractive targets for hackers and penetration testers. A number of attacks have been carried out over the years. In this thesis the Parrot ANAFI drone is explored and attacked using threat modeling from a black box perspective. The threat modeling includes identifying threats with STRIDE and assessing risks with DREAD. Major vulnerabilities in the system were not found. This report shows that the manufacturer has a high security awareness. Examples of this awareness are that previously reported vulnerabilities have been mitigated and firmware code has been obfuscated. The methods used and results found could be used to further explore vulnerabilities in drones and similar IoT devices.
17
Hoskins, Brittany Noel. "The Rhetoric of Commoditized Vulnerabilities: Ethical Discourses in Cybersecurity." Thesis, Virginia Tech, 2015. http://hdl.handle.net/10919/52943.
Full textAbstract:
The field of cybersecurity is relatively uncharted by rhetoricians and sociologists but nevertheless laden with terminological assumptions, violent metaphors, and ethical conflicts. This study explores the discourse surrounding the morally contentious practice of hackers selling software vulnerabilities to third parties instead of disclosing them to the affected technology companies. Drawing on grounded theory, I utilize a combination of quantitative word-level analysis and qualitative coding to assess how notions of right and wrong on this topic are framed by three groups: 1) the hackers themselves, 2) technology companies, and 3) reporters. The results show that the most commonly constructed argument was based on a "greater good" ethic, in which rhetors argue for reducing risk to "us all" or to innocent computer users. Additionally, the technology companies and hackers assiduously build their ethos to increase their trustworthiness in the public mind. Ultimately, studying this unexplored area of "gray hat hacking" has important implications for policymakers creating new cybersecurity legislation, reporters attempting to accurately frame the debate, and information technology professionals whose livelihoods are affected by evolving social norms.Master of Arts
18
Malkhasian, Rafi Aram Yadward. "Ethical hacking of Danalock V3 : A cyber security analysis of a consumer IoT device." Thesis, KTH, Skolan för elektroteknik och datavetenskap (EECS), 2021. http://urn.kb.se/resolve?urn=urn:nbn:se:kth:diva-291207.
Full textAbstract:
IoT-enheter blir alltmer populära. IoT-produkter tillåter användare att fjärrstyraenheten med hjälp av en mobilapplikation eller en webbapplikation. För dettaändamål används en mängd av kommunikationsprotokoll som Bluetooth och Wi-Fi.Denna sammankoppling av enheter och användningen av olika tekniker kan leda tillsäkerhetsproblem. Det är viktigt att säkra dessa enheter för att förhindra obehörigaanvändare från att komma åt känslig information eller ta kontroll över produkten. Ett exempel på en IoT-enhet är Danalock V3, som är ett smart lås som kanimplementeras på en dörr. Syftet med denna rapport är att genomföra ensäkerhetsbedömning av Danalock V3 genom penetrationstestning. Med en svarthatt-metod samlar vi in information om enheten för att förstå dess funktionalitetoch de funktioner som tillhandahålls för användarna. Därefter skapar vi enhotmodell baserad på vår analys av enheten och dess relaterade komponenter. Vianvänder den samlade informationen vid kartläggning av ytattacker för att skapaett arkitekturdiagram som visar komponenterna och den miljö där enhetenfungerar. Diagrammet används för att identifiera de tillgångar och ingångspunktersom kan användas för att hacka smartlåset. Vi använder också STRIDE-metodenför att identifiera möjliga sårbarheter som kan äventyra säkerheten för låset. I denna säkerhetsbedömning genomför vi sju penetrationstester för att utvärderanågra av säkerhetsfunktionerna i Danalock V3. Dessa tester är Reverse engineeringof mobile application, mobile application storage analysis, GPS spoofing, Networktraffic decryption, Bluetooth traffic decryption, Tampering with data sent to themobile application, och Tampering with data sent to the lock. Resultaten av denna undersökning visar att själva enheten är säkrad i vissutsträckning menatt det finns utrymme för ytterligare förbättringar. Vi märker attDanalock V3 använder olika krypteringsprotokoll för att skydda den överfördainformationen. Användaren är dock ansvarig för att skydda mobiltelefonen för attförhindra åtkomst till de lagrade referenserna I denna rapport diskuterar vi också de erhållna resultaten och konsekvenserna avdessa attacker. Vi tillhandahåller en analys av testerna och hur de påverkaranvändarna. Vi använder DREAD-klassificeringssystemet för att utvärdera deupptäckta sårbarheterna och riskerna.IoT devices are becoming increasingly popular. IoT products allow the users to remotely control the device using a mobile application or a web application. For this purpose, a variety of communication protocols are used such as Bluetooth and WiFi. This interconnection of devices and the use of various technologies could lead tosecurity issues. It is important to secure these devices to prevent unauthorized users from accessing the sensitive information or taking control of product. An example of an IoT device is Danalock V3, which is a smart lock that can be implemented on a door. The aim of this report is to conduct a security assessment of Danalock V3 through penetration testing. Using a black hat approach, we gather information about the device to understand its functionality and the provided features for the users. Next, we create a threat model based on our analysis of the device and its related components. We use the gathered information in surface attack mapping to create an architectural diagram displaying the components andthe environment in which the device operates in. This diagram is used to identify the assets and entry points that could be used to hack the smart lock. We also use the STRIDE method to identify the possible vulnerabilities that could compromise the security of the lock. In this security assessment we conduct 7 penetration tests to evaluate some of the security features of Danalock V3. These tests are Reverse engineering of mobile application, Mobile application storage analysis, GPS spoofing, Network traffic decryption, Bluetooth traffic decryption, tampering with data sent to the mobile application, and Tampering with data sent to the lock. The results of this investigation show that the device itself is secured to some extent and that there is room for further improvement. We notice that Danalock V3uses different encryption protocols to protect the transmitted data. However, the user is responsible to protecting the mobile phone to prevent access to the stored credentials. This means that the user should connect to secure networks when downloading the digital key and when logging in to the account. In this report we also discuss the obtained results and the implications of these attacks. We provide an analysis of these tests and how they affect the users. We use the DREAD rating system to evaluate the discovered vulnerabilities and the risksinvolved.
19
Rubbestad, Gustav, and William Söderqvist. "Hacking a Wi-Fi based drone." Thesis, KTH, Skolan för elektroteknik och datavetenskap (EECS), 2021. http://urn.kb.se/resolve?urn=urn:nbn:se:kth:diva-299887.
Full textAbstract:
Unmanned Aerial Vehicles, often called drones or abbreviated as UAVs, have been popularised and used by civilians for recreational use since the early 2000s. A majority of the entry- level commercial drones on the market are based on a WiFi connection with a controller, usually a smart phone. This makes them vulnerable to various WiFi attacks, which are evaluated and tested in this thesis, specifically on the Ryze Tello drone. Several threats were identified through threat modelling, in which a set of them was selected for penetration testing. This is done in order to answer the research question: How vulnerable is the Ryze Tello drone against WiFi based attacks? The answer to the research question is that the Ryze Tello drone is relatively safe, with the exception of it not having a default password for the network. A password was set for the network, however it was still exploited through a dictionary attack. This enabled attacks such as injecting flight instructions as well as the ability to gain access to the video feed of the drone while simultaneously controlling it through commands in terminal.Drönare, eller UAV från engelskans Unmanned Aerial Vehicle, har ökat i popularitet bland privatpersoner sedan tidigt 2000tal. En majoritet av drönare för nybörjare är baserade på WiFi och styrs med en kontroll som vanligtvis är en smart phone. Detta innebär att dessa drönare kan vara sårbara för olika typer av attacker på nätverket, vilket utvärderas och testas i denna rapport på drönaren Ryze Tello. Flera hot identifierades med hotmodellering och ett flertal valdes ut för penetrationtest. Detta genomförs med syftet att svara på forskningsfrågan: Hur sårbar är Ryze Tello mot WiFi baserade attacker? Svaret på forskningsfrågan är att drönaren Ryze Tello är relativt säker, med undantaget att den inte har ett standardlösenord. Ett lösenord sattes på nätverket, men lösenordet knäcktes ändå med en ordboksattack. Detta möjliggjorde attacker så som instruktionsinjicering och förmågan att se videoströmmen från drönaren samtidigt som den kan kontrolleras via kommandon i terminalen.
20
Abu-Shaqra, Baha. "Technoethics and Sensemaking: Risk Assessment and Knowledge Management of Ethical Hacking in a Sociotechnical Society." Thesis, Université d'Ottawa / University of Ottawa, 2020. http://hdl.handle.net/10393/40393.
Full textAbstract:
Cyber attacks by domestic and foreign threat actors are increasing in frequency and sophistication. Cyber adversaries exploit a cybersecurity skill/knowledge gap and an open society, undermining the information security/privacy of citizens and businesses and eroding trust in governments, thus threatening social and political stability. The use of open digital hacking technologies in ethical hacking in higher education and within broader society raises ethical, technical, social, and political challenges for liberal democracies. Programs teaching ethical hacking in higher education are steadily growing but there is a concern that teaching students hacking skills increases crime risk to society by drawing students toward criminal acts. A cybersecurity skill gap undermines the security/viability of business and government institutions. The thesis presents an examination of opportunities and risks involved in using AI powered intelligence gathering/surveillance technologies in ethical hacking teaching practices in Canada. Taking a qualitative exploratory case study approach, technoethical inquiry theory (Bunge-Luppicini) and Weick’s sensemaking model were applied as a sociotechnical theory (STEI-KW) to explore ethical hacking teaching practices in two Canadian universities. In-depth interviews with ethical hacking university experts, industry practitioners, and policy experts, and a document review were conducted. Findings pointed to a skill/knowledge gap in ethical hacking literature regarding the meanings, ethics, values, skills/knowledge, roles and responsibilities, and practices of ethical hacking and ethical hackers which underlies an identity and legitimacy crisis for professional ethical hacking practitioners; and a Teaching vs Practice cybersecurity skill gap in ethical hacking curricula. Two main S&T innovation risk mitigation initiatives were explored: An OSINT Analyst cybersecurity role and associated body of knowledge foundation framework as an interdisciplinary research area, and a networked centre of excellence of ethical hacking communities of practice as a knowledge management and governance/policy innovation approach focusing on the systematization and standardization of an ethical hacking body of knowledge.
21
Cameron, Booth Louis, and Matay Mayrany. "IoT Penetration Testing: Hacking an Electric Scooter." Thesis, KTH, Skolan för elektroteknik och datavetenskap (EECS), 2019. http://urn.kb.se/resolve?urn=urn:nbn:se:kth:diva-254613.
Full textAbstract:
The industry of the Internet of Things (IoT) is a burgeoning market. A wide variety of devices now come equipped with the ability to digitally communicate to a wider network and modern electric scooters are one such example of this trend towards a more connected society. With scooter ride-share companies continually expanding in urban areas worldwide these devices are posing a greater attack surface for hackers to take advantage of. In this report we utilize threat modelling to analyse the potential vulnerabilities in a popular electric scooter. Through penetration testing we demonstrate the existence of major security flaws in the device and propose ways in which manufacturers may guard against these exploits in the future.Internet-of-Things (IoT) växer globalt. Många produkter kommer utrustade med förmågan att digitalt kommunicera med olika nätverk och moderna elektroniska sparkcyklar är ett exempel på denna trend som går mot ett mer uppkopplat och sammankopplat samhälle. I och med att antalet företag som tillhandahåller elsparkcykeltjänster i urbana miljöer över världen växer, så blir dessa produkter ett större mål för hackare att utnyttja. I denna rapport använder vi hotmodellering för att analysera potentiella sårbarheter i en populär elsparkcykelmodell. Genom att penetrationstesta produkten demonstrerar vi allvarliga säkerhetsfel och föreslår förhållningssätt som tillverkare kan ta hänsyn till för att undvika framtida attacker.
22
Bolgan, Samuela. "Securing cyberspace : development and evaluation of a novel research toolset." Thesis, Abertay University, 2018. https://rke.abertay.ac.uk/en/studentTheses/fec61742-8054-42f3-8bcf-cfd0491fa4e2.
Full textAbstract:
Cybersecurity is an issue of great concern today; data breaches are becoming more frequent and are causing huge economic losses in almost all the industry sectors. The majority of them are caused by malicious or criminal attacks perpetrated by individuals also known as “hackers”. Although the mainstream portrait of hackers nowadays brings to mind the idea of cybercriminals, not all hackers are malicious ones. The word hacker in its original sense only describes a computer enthusiast and a skilled programmer who was eager to learn how computers work. The key to distinguish a good or a bad hacker lies only in the specific intent and the permission to hack. Recently many companies are indeed hiring hackers to test their systems and protect them from the malicious attacks. The strength of good hackers is that they possess the same skills as malicious ones but they use them to enhance security. At the present stage, the process of hiring candidates for internet security positions for the majority of organizations, and business corporations relies mainly on interviews, while few of them advertise some sort of hacking challenges to be solved by potential applicants in order to evaluate upfront their skills and abilities. Moreover, an in-depth review of the literature has revealed that, so far, no systematic investigation has been carried out on the cognitive skills that characterise ethical hackers, experts who are professionally trained to protect systems’ security. The present PhD thesis offers a contribution that starts filling this gap in the literature with an exploratory investigation on the cognitive skills related with hacking expertise on a behavioural level. Findings show that hackers possess stronger systemizing traits as compared to the general population, and suggest a role of the ability to systemize on hacking performance. Moreover, performance on hacking-related tasks is shown to be related with mental rotation abilities and a field independent cognitive style. These findings have both theoretical and practical applications that are extensively discussed; together with possible future directions.
23
Radholm, Fredrik, and Niklas Abefelt. "Ethical Hacking of an IoT-device: Threat Assessment and Penetration Testing : A Survey on Security of a Smart Refrigerator." Thesis, KTH, Skolan för elektroteknik och datavetenskap (EECS), 2020. http://urn.kb.se/resolve?urn=urn:nbn:se:kth:diva-280295.
Full textAbstract:
Internet of things (IoT) devices are becoming more prevalent. Due to a rapidly growing market of these appliances, improper security measures lead to an expanding range of attacks. There is a devoir of testing and securing these devices to contribute to a more sustainable society. This thesis has evaluated the security of an IoT-refrigerator by using ethical hacking, where a threat model was produced to identify vulnerabilities. Penetration tests were performed based on the threat model. The results from the penetration tests did not find any exploitable vulnerabilities. The conclusion from evaluating the security of this Samsung refrigerator can say the product is secure and contributes to a connected, secure, and sustainable society.Internet of Things (IoT) enheter blir mer allmänt förekommande. På grund av en snabbt expanderande marknad av dessa apparater, har bristfälliga säkerhetsåtgärder resulterat till en mängd olika attacker. Det finns ett behov att testa dessa enheter for att bidra till ett mer säkert och hållbart samhälle. Denna avhandling har utvärderat säkerheten av ett IoT-kylskåp genom att producera en hot modell för att identifiera sårbarheter. Penetrationstester har utförts på enheten, baserade på hot modellen. Resultatet av penetrationstesterna hittade inga utnyttjningsbara sårbarheter. Slutsatsen från utvärderingen av säkerheten på Samsung-kylskåpet är att produkten är säker och bidrar till ett uppkopplat, säkert, och hållbart samhälle.
24
Calixto, Salazar Juan Carlos. "Ethical hacking aplicado al sistema de gestión documental de la ONPE para evitar vulnerabilidades y acceso no autorizado a la información." Bachelor's thesis, Universidad Nacional Mayor de San Marcos, 2018. https://hdl.handle.net/20.500.12672/14583.
Full textAbstract:
El sistema de gestión documental es una herramienta informática, desarrollada por la ONPE, que
utiliza la tecnología de los certificados digitales, lo que permite optimizar los procesos de gestión de
documentos administrativos en la entidad que lo implemente. Kunak Consulting, empresa dedicada a
realizar servicios de ethical hacking, llevó a cabo un servicio de análisis de vulnerabilidades sobre el
sistema de gestión documental. Mediante este servicio se determinó el nivel de riesgo de seguridad
que posee los elementos tecnológicos del sistema desde una perspectiva externa. Kunak Consulting
generó recomendaciones a partir de los resultados obtenidos para corregir los problemas encontrados en
el sistema de gestión documental, estas recomendaciones fueron implementadas en el sistema, para
ello se utilizó una metodología que es de propia autoría de la institución, está implementada a partir
de un conjunto de buenas prácticas, está basada en la metodología Proceso Unificado de
Desarrollo. Finalmente, la implementación de buenas prácticas en seguridad informática al sistema
de gestión documental permitió que se evite al acceso no autorizado a la información, así como prevenir
ataques informáticos. Esto a su vez convierte al sistema de gestión documental en un sistema fiable y
seguro.Trabajo de suficiencia profesional
25
Ottosson, Henrik, and Per Lindquist. "Penetration testing for the inexperienced ethical hacker : A baseline methodology for detecting and mitigating web application vulnerabilities." Thesis, Linköpings universitet, Databas och informationsteknik, 2018. http://urn.kb.se/resolve?urn=urn:nbn:se:liu:diva-148581.
Full textAbstract:
Having a proper method of defense against attacks is crucial for web applications to ensure the safety of both the application itself and its users. Penetration testing (or ethical hacking) has long been one of the primary methods to detect vulnerabilities against such attacks, but is costly and requires considerable ability and knowledge. As this expertise remains largely individual and undocumented, the industry remains based on expertise. A lack of comprehensive methodologies at levels that are accessible to inexperienced ethical hackers is clearly observable. While attempts at automating the process have yielded some results, automated tools are often specific to certain types of flaws, and lack contextual flexibility. A clear, simple and comprehensive methodology using automatic vulnerability scanners complemented by manual methods is therefore necessary to get a basic level of security across the entirety of a web application. This master's thesis describes the construction of such a methodology. In order to define the requirements of the methodology, a literature study was performed to identify the types of vulnerabilities most critical to web applications, and the applicability of automated tools for each of them. These tools were tested against various existing applications, both intentionally vulnerable ones, and ones that were intended to be secure. The methodology was constructed as a four-step process: Manual Review, Testing, Risk Analysis, and Reporting. Further, the testing step was defined as an iterative process in three parts: Tool/Method Selection, Vulnerability Testing, and Verification. In order to verify the sufficiency of the methodology, it was subject to Peer-review and Field experiments.Att ha en gedigen metodologi för att försvara mot attacker är avgörande för att upprätthålla säkerheten i webbapplikationer, både vad gäller applikationen själv och dess användare. Penetrationstestning (eller etisk hacking) har länge varit en av de främsta metoderna för att upptäcka sårbarheter mot sådana attacker, men det är kostsamt och kräver stor personlig förmåga och kunskap. Eftersom denna expertis förblir i stor utsträckning individuell och odokumenterad, fortsätter industrin vara baserad på expertis. En brist på omfattande metodiker på nivåer som är tillgängliga för oerfarna etiska hackare är tydligt observerbar. Även om försök att automatisera processen har givit visst resultat är automatiserade verktyg ofta specifika för vissa typer av sårbarheter och lider av bristande flexibilitet. En tydlig, enkel och övergripande metodik som använder sig av automatiska sårbarhetsverktyg och kompletterande manuella metoder är därför nödvändig för att få till en grundläggande och heltäckande säkerhetsnivå. Denna masteruppsats beskriver konstruktionen av en sådan metodik. För att definiera metodologin genomfördes en litteraturstudie för att identifiera de typer av sårbarheter som är mest kritiska för webbapplikationer, samt tillämpligheten av automatiserade verktyg för var och en av dessa sårbarhetstyper. Verktygen i fråga testades mot olika befintliga applikationer, både mot avsiktligt sårbara, och sådana som var utvecklade med syfte att vara säkra. Metodiken konstruerades som en fyrstegsprocess: manuell granskning, sårbarhetstestning, riskanalys och rapportering. Vidare definierades sårbarhetstestningen som en iterativ process i tre delar: val av verkyg och metoder, sårbarhetsprovning och sårbarhetsverifiering. För att verifiera metodens tillräcklighet användes metoder såsom peer-review och fältexperiment.
26
Baran, Ronas, and Christoffer Lindén. "Etisk hackning : Säkerheten i en nätbutik." Thesis, KTH, Skolan för elektroteknik och datavetenskap (EECS), 2021. http://urn.kb.se/resolve?urn=urn:nbn:se:kth:diva-299860.
Full textAbstract:
E- handelsmarknaden har de senaste åren växt explosionsartat. I och med den ökade användningen av nätbutiker där bland annat personuppgifter och betalningar behandlas är det viktigt att se till att säkerheten håller måttet. I denna rapport undersöks säkerheten i en populär nätbutik genom utförandet av penetrationstester. En hotmodell skapas där nätbutikens tillgångar samt potentiella sårbarheter identifieras och rangordnas. Resultatet av penetrationstesterna visar att nätbutiken har god säkerhet mot några av de vanligaste riskerna, detta efter att typiska hack hade genomförts på butikens tillgångar utan att hitta några tydliga säkerhetsbrister med stor påverkan. Även fast undersökningen visar att nätbutiken har god säkerhet ska man alltid vara medveten om att det kan finnas brister.The ecommerce market has, in recent years, grown exponentially. Due to the increased use of online stores where, among other things, personal data and payments are processed, it is important to ensure that security is up to standard. In this report the security of a popular online store is examined by performing penetration tests. A threat model was created where the online store’s assets and potential vulnerabilities were identified and ranked. The results of the penetration tests show that the online store has good security against some of the most common risks, this after typical hacking had been carried out on the store’s assets without finding a clear security flaw with a major impact. Even though the research work shows that the online store has good security it is critical to highlight that there may still be flaws.
27
Lingaas, Türk Jakob. "Comparing the relative efficacy of phishing emails." Thesis, Högskolan i Halmstad, Akademin för informationsteknologi, 2020. http://urn.kb.se/resolve?urn=urn:nbn:se:hh:diva-42392.
Full textAbstract:
This study aimed to examine if there was a difference in how likely a victim is to click on a phishing email’s links based on the content of the email, the tone and language used and the structure of the code. This likelihood also includes the email’s ability to bypass spam filters. Method: The method used to examine this was a simulated phishing attack. Six different phishing templates were created and sent out via the Gophish framework to target groups of students (from Halmstad University), from a randomized pool of 20.000 users. The phishing emails contained a link to a landing page (hosted via a virtual machine) which tracked user status. The templates were: Covid19 Pre-Attempt, Spotify Friendly CSS, Spotify Friendly Button, Spotify Aggressive CSS, Spotify Aggressive Button, Student Union. Results: Covid19 Pre-Attempt: 72.6% initial spam filter evasion, 45.8% spam filter evasion, 4% emails opened and 100% links clicked. Spotify Friendly CSS: 50% initial spam filter evasion, 38% spam filter evasion, 26.3% emails opened and 0% links clicked. Spotify Friendly Button: 59% initial spam filter evasion, 28.8% spam filter evasion, 5.8% emails opened and 0 %links clicked. Spotify Aggressive CSS: 50% initial spam filter evasion, 38% spam filter evasion, 10.5% emails opened, and 100% links clicked. Spotify Aggressive Button: 16% initial spam filter evasion, 25% spam filter evasion, 0% emails opened and 0% emails clicked. Student Union: 40% initial spam filter evasion, 75% spam filter evasion, 33.3% emails opened and 100% links clicked. Conclusion: Differently structured emails have different capabilities for bypassing spam filters and for deceiving users. Language and tone appears to affect phishing email efficacy; the results suggest that an aggressive and authoritative tone heightens a phishing email’s ability to deceive users, but seems to not affect its ability to bypass spam filters to a similar degree. Authenticity appears to affect email efficacy; the results showed a difference in deception efficacy if an email was structured like that of a genuine sender. Appealing to emotions such as stress and fear appears to increase the phishing email’s efficacy in deceiving a user.Syftet med denna studie var att undersöka om det fanns en skillnad i hur troligt det är att ett offer klickar på länkarna till ett phishing-e-postmeddelande, baserat på innehållet i e-postmeddelandet, tonen och språket som används och kodens struktur. Denna sannolikhet inkluderar även e-postens förmåga att kringgå skräppostfilter. Metod: Metoden som användes var en simulerad phishing-attack. Sex olika phishing-mallar skapades och skickades ut via Gophish-ramverket till målgruppen bestående av studenter (från Halmstads universitet), från en slumpmässig pool med 20 000 användare. Phishing-e-postmeddelandena innehöll en länk till en målsida (hostad via en virtuell maskin) som spårade användarstatus. Mallarna var: Covid19 Pre-Attempt, Spotify Friendly CSS, Spotify Friendly Button, Spotify Aggressive CSS, Spotify Aggressive Button, Student Union. Resultat: Covid19 förförsök: 72,6% kringgick det primära spamfiltret, 45,8% kringgick det sekundära spamfiltret, 4% e-postmeddelanden öppnade och 100% länkar klickade Spotify Friendly CSS: 50% kringgick det primära spamfiltret, 38% kringgick det sekundära spamfiltret, 26,3% e-postmeddelanden öppnade och 0% länkar klickade. Spotify Friendly Button: 59% kringgick det primära spamfiltret, 28,8% kringgick det sekundära spamfiltret, 5.8% e-postmeddelanden öppnade och 0% länkar klickade. Spotify Aggressive CSS: 50% kringgick det primära spamfiltret, 38% kringgick det sekundära spamfiltret, 10,5% e-post öppnade och 100% länkar klickade. Spotify Aggressive Button: 16% kringgick det primära spamfiltret, 25% kringgick det sekundära spamfiltret, 0% e-postmeddelanden öppnade och 0% e-postmeddelanden klickade. Studentkåren: 40% kringgick det primära spamfiltret, 75% kringgick det sekundära spamfiltret, 33,3% e-postmeddelanden öppnade och 100% länkar klickade. Slutsats: Olika strukturerade e-postmeddelanden har olika funktioner för att kringgå skräppostfilter och för att lura användare. Språk och ton tycks påverka effektiviteten för epost-phishing. Resultaten tyder på att en aggressiv och auktoritär ton ökar phishing-epostmeddelandets förmåga att lura användare, men verkar inte påverka dess förmåga att kringgå skräppostfilter i motsvarande grad. Autenticitet verkar påverka e-postens effektivitet, då resultaten visade en skillnad i effektivitet om ett e-postmeddelande var strukturerat som en äkta avsändare. Att adressera känslor som stress och rädsla verkar öka phishing-e-postens effektivitet när det gäller att lura en användare.
28
Shakra, Mohamed, and Ahmad Jabali. "Evaluating Security For An IoT Device." Thesis, KTH, Skolan för elektroteknik och datavetenskap (EECS), 2020. http://urn.kb.se/resolve?urn=urn:nbn:se:kth:diva-289631.
Full textAbstract:
IoT systems usage is rapidly growing, and is involved in many industries causing more potential security flaws to a freshly new field. Even light bulbs, have a new generation called smart light bulbs have taken a step into the IoT world. In this project an affordable and available light bulb has it’s security evaluated by using a well known attacks to test the device security. It was concluded that the studied light bulb was found to be secured by the array of penetration tests carried in this project. However, the methods used for evaluating the device can be applicable to any other IoT for any future security evaluation.IoT-systemanvändningen växer snabbt och är involverad i många branscher som orsakar fler potentiella säkerhetsbrister i ett nyligen nytt fält. Även glödlampor, har en ny generation som heter textit smarta glödlampor har tagit ett steg in i IoT- världen. I det här dokumentet utvärderas en prisvärd och tillgänglig glödlampa genom att använda en välkänd attack för att testa enhetens säkerhet. Det drogs slutsatsen att den studerade glödlampan befanns vara säkrad genom den mängd penetrationstester som utfördes i detta dokument. Metoderna som används för att utvärdera enheten kan dock tillämpas på vilken annan IoT som helst för framtida säkerhetsutvärdering.
29
Nilsson, Robin. "Penetration testing of Android applications." Thesis, KTH, Skolan för elektroteknik och datavetenskap (EECS), 2020. http://urn.kb.se/resolve?urn=urn:nbn:se:kth:diva-280290.
Full textAbstract:
The market of Android applications is huge, and in 2019, Google Play users worldwide downloaded 84.3 billion mobile applications. With such a big user base, any security issues could have big negative impacts. That is why penetration testing of Android applications is important and it is also why Google has a bug bounty program where people can submit vulnerability reports on their most downloaded applications. The aim of the project was to assess the security of Android applications from the Google Play Security Reward Program by performing penetration tests on the applications. A threat model of Android applications was made where potential threats were identified. A choice was made to focus on the Spotify Application for Android where threats were given ratings based on risks associated with them in the context of the Spotify Application. Penetration tests were made where testing depth was determined by the ratings associated with the attacks.The results of the tests showed that the Spotify Application is secure, and no test showed any real possibility of exploiting the application. The perhaps biggest potential exploit found is a Denial of Service attack that can be made through a malicious application interacting with the Spotify application. The result doesn’t guarantee that the application isn’t penetrable and further testing is needed to give the result more reliability. The methods used in the project can however act as a template for further research into both Spotify and other Android applications.Marknaden för Android applikationer är enorm och 2019 laddade Google Play användare ner 84.3 miljarder mobil-applikationer. Med en så stor användarbas kan potentiella säkerhetsproblem få stora negativa konsekvenser. Det är därför penetrationstest är viktiga och varför Google har ett bug bounty program där folk kan skicka in sårbarhetsrapporter för deras mest nedladdade applikationer. Målet med projektet är att bedöma säkerheten hos Android applikationer från Google Play Security Reward Program genom utförande av penetrationstester på applikationerna. En hotmodell över Android applikationer skapades, där potentiella hot identifierades. Ett val att fokusera på Spotify för Android gjordes, där hot gavs rankingar baserat på riskerna associerade med dem i kontexten av Spotify applikationen. Penetrationstest gjordes med testdjup avgjort av rankingarna associerade med attackerna.Resultatet av testen visade att Spotify applikationen var säker, och inga test visade på några riktiga utnyttjningsmöjligheter av applikationen. Den kanske största utnyttjningsmöjligheten som hittades var en Denial of Service-attack som kunde göras genom en illvillig applikation som interagerar med Spotify applikationen. Resultaten garanterar inte att applikationen inte är penetrerbar och fortsatt testande behövs för att ge resultatet mer trovärdighet. Metoderna som användes i projektet kan i alla fall agera som en mall för fortsatt undersökning av både Spotify såväl som andra Android applikationer.
30
Galal, Daria, and Martin Tillberg. "Security Test of iZettle's Reader 2 : A card terminal for safe payments?" Thesis, KTH, Skolan för elektroteknik och datavetenskap (EECS), 2020. http://urn.kb.se/resolve?urn=urn:nbn:se:kth:diva-277913.
Full textAbstract:
Ethical hacking and penetration testing are two methods often used when organizations and companies want to measure their level of information security, and find out if there are additional steps that can be taken in order to increase the security. This report describes a security test of the card terminal iZettle Reader 2, with the intention to examine its level of security based on the device’s frequent appearance in the society. The implementation is divided into three phases: prestudy and threat modelling, penetration testing and evaluation and conclusion of the security. The threat model was created using the two established models STRIDE & DREAD, which purpose is to identify the device’s various threats and attack vectors. From the threat model, a couple of attack vectors were selected to be penetration tested. By using conventional models and obtaining knowledge of common attacks such as Man-in-the-middle, Spoofing and Replay, the device and the payment solution could be tested with a systematical and reliable approach. A selection was made of the most prominent attack vectors, of which these were later tested; Man-in-the-middle of Bluetooth and HTTPS, and Reverse Engineering of the associated mobile application "iZettle Go". The result of the penetration tests indicated that the security around the device and surrounding systems is strong, but that it can be further supplemented with a couple of actions like certificate pinning and mutual authentication when communicating with TLS, as well as a more tamperproof software regarding the mobile application.Etisk hackning och penetrationstestning är två metoder som ofta tillämpas i sammanhang när organisationer och företag vill mäta sin nivå av informationssäkerhet, samt även ta reda på om eventuella åtgärder kan tas för att stärka säkerheten. Denna rapport beskriver ett säkerhetstest av kortterminalen iZettle Reader 2, med syftet att undersöka dess nivå av säkerhet grundat på enhetens frekventa uppträdande i samhället. Genomförandet är uppdelat i tre faser: förstudie och hotmodellering, penetrationstestning samt utvärdering och avgörande av säkerheten. Hotmodellen skapades med hjälp av de två vedertagna modellerna STRIDE & DREAD, vars syfte är att identifiera enhetens olika hot och attackvektorer. Utifrån hotmodellen valdes några attackvektorer som sedan penetrationstestades. Genom att använda etablerade modeller samt erhålla kännedom om konventionella attacker såsom Man-in-the-middle, Spoofing och Replay, kunde man testa enheten och betallösningen med ett systematiskt och pålitligt tillvägagångssätt. Ett urval gjordes av de mest lovande attackvektorerna, varav dessa senare testades; Man-in-the-middle av Bluetooth och Wi-Fi samt Reverse Engineering av den tillhörande mobilapplikationen "iZettle Go". Resultatet av testerna påvisade en stark säkerhet gällande enheten och dess omgivande system, men att säkerheten kan kompletteras ytterligare med ett par olika åtgärder som certificate pinning och mutual authentication vid kommunikation med TLS, samt manipuleringssäker mjukvara med avseende på mobilapplikationen.
31
Lokrantz, Julia. "Etisk hackning av en smart foderautomat." Thesis, KTH, Hälsoinformatik och logistik, 2021. http://urn.kb.se/resolve?urn=urn:nbn:se:kth:diva-296520.
Full textAbstract:
Sakernas internet (IoT) syftar till det nät av enheter som samlar och delar data över internet. De senaste åren har användandet av konsument-IoT ökat explosionsartat och åtföljts av en ökad oro kring säkerheten i dessa enheter, då många system visat sig ha bristande säkerhetsimplementeringar. Denna studie undersöker säkerheten i en smart foderautomat för husdjur och redogör för ekonomiska orsaker till förekomsten av sårbarheter. Metoden bygger på att hotmodellera foderautomaten med STRIDE- och DREAD-modellerna följt av en penetrationstestningsfas för några av de allvarligaste hoten. Resultatet visar på att foderautomaten Trixie TX9 har otillräcklig kryptering av nätverksnamn och lösenord till Wi-Fi, är sårbar mot flödesattacker och att analys av trafiken till/från enheten kan avgöra vilket tillstånd den är i. Vidare har foderautomaten flera öppna nätverkstjänster, där bland annat en Telnettjänst som kan nås genom svaga, hårdkodade inloggningsuppgifter som finns publicerade på internet. Ekonomiska orsaker till förekomsten av sårbarheter är främst asymmetrisk information och motstridande incitament. Det är idag svårt för tillverkare att ta betalt för säkerhet då marknaden drivs av snabba lanseringar och utökade funktioner till ett pressat pris.Internet of things (IoT) refers to the web of connected devices that collect and share data through the internet. The use of consumer-IoT has increased dramatically in recent years, accompanying an increasing concern about the security of these devices as many systems have proven to have insufficient security measures. This study aims to investigate the security level of a smart food dispenser for pets, and account for the underlying economic reasons for the occurrences of vulnerabilities. The method used in this study consists of conducting threat modeling of the food dispenser using STRIDE as well as DREAD models. This is then followed by a penetration-testing phase for some of the more serious threats. The results indicate that the food-dispenser Trixie TX9 has insufficient encryption of network names and passwords, is susceptible to flooding-attacks, and analysis of the incoming/outgoing data traffic from the device can deduct which state it is currently in. Furthermore, the food dispenser has several open network services, Telnet is one among them, which can be accessed through weak, hardcoded credentials that are published on the internet. The economic reasons for these security weaknesses are asymmetrical information and misaligned economic incentives. Manufacturers struggle to charge consumers for an increased level of security as the main market driving factors are swift and regular product launches as well as an expansion of new features available at competitively low prices.
32
Hassani, Raihana. "Security evaluation of a smart lock system." Thesis, KTH, Skolan för kemi, bioteknologi och hälsa (CBH), 2020. http://urn.kb.se/resolve?urn=urn:nbn:se:kth:diva-291189.
Full textAbstract:
Cyber attacks are an increasing problem in the society today. They increase dramatically, especially on IoT products, such as smart locks. This project aims to evaluate the security of the Verisure smartlock system in hopes of contributing to a safer development of IoT products and highlighting theexisting flaws of today’s society. This is achieved by identifying and attempting to exploit potential vulnerabilities with threat modeling and penetration testing. The results showed that the system is relatively secure. No major vulnerabilities were found, only a few weaknesses, including the possibility of a successful DoS attack, inconsistent password policy, the possibility of gaining sensitive information of a user and cloning the key tag used for locking/unlocking the smart lock.Cyberattacker är ett ökande problem i samhället idag. De ökar markant, särskilt mot IoT-produkter, såsom smarta lås. Detta projekt syftar till att utvärdera säkerheten i Verisures smarta låssystem i hopp om att bidra till en säkrare utveckling av IoT-produkter och belysa de befintliga bristerna i dagens samhälle. Detta uppnås genom att identifiera och försöka utnyttja potentiella sårbarheter med hotmodellering och penetrationstestning. Resultaten visade att systemet är relativt säkert. Inga större sårbarheter hittades, bara några svagheter, inklusive möjligheten till en lyckad DoS-attack, inkonsekvent lösenordspolicy, möjligheten att få känslig information från en användare och kloning av nyckelbrickan som används för att låsa/låsa upp smarta låset.
33
Haywood, Douglas. "The ethic of the code : values, networks and narrative among the civic hacking community." Thesis, Goldsmiths College (University of London), 2018. http://research.gold.ac.uk/23348/.
Full textAbstract:
Computer hacking has come to represent something negative within mainstream society and is typically associated with malicious or criminal acts. However, for those involved in hacking, this practice typically means something quite different and much more positive in nature. Recently, hacking has also gained increasing popular appeal with greater interest in the role of hackers in the history of technology. This portrayal, however, represents hacking in a binary way, portraying the activity as either ‘good’ or ‘bad’ rather than as the reality of a complex and heterogeneous set of practices and ethics. It is within this context that the Civic Hacking movement has emerged. Those involved in Civic Hacking apply these ethics on a global and local scale to create projects which aim to solve a range of social problems using technology and borrowing from the approaches and practices of hacking. These ‘problems’ can include crime; violence; humanitarian disasters such as tsunamis, famine or earthquake; improvements needed to local government in terms of the democratic process or infrastructure; providing access to healthcare, education or banking in remote areas; involving local communities in issues and a range of other challenges which require solutions. This research project explores hacking as a non-technologically specific social practice based around a collection of Hacker Ethics. Through research focusing on hacking events, I argue that Civic Hacking is indicative of the influence of the Hacker Ethic in wider areas of society. In particular, I explore how Civic Hacking is situated within the wider history of hacking; to what extent the technological artefacts produced by Civic Hacking are shaped by the ethics of these groups; whether Civic Hacking is indicative of a democratisation of technologies; and the types of communities which form around Civic Hacking.
34
Tsai, Sheng Hung, and 蔡昇宏. "Design and Evaluation of a High Elastic e-Learning Platform for Ethical Hacking Based on Open Source Cloud Computing Architecture." Thesis, 2016. http://ndltd.ncl.edu.tw/handle/3gzs95.
Full text
35
Roubková, Janetta. "Levesonova komise a její význam pro diskusi o etických hranicích bulvárních médií." Master's thesis, 2016. http://www.nusl.cz/ntk/nusl-347939.
Full textAbstract:
This thesis deals with the use of dishonest manners of obtaining information, particularly in connection with the tabloid media. The aim is to evaluate the practices of the tabloid media in gathering information and contribute to the discussion about their ethical borders. It also analyzes investigation of Leveson Inquiry, which was established in 2011 by the British government in response to the phone-hacking scandal connected with tabloid newspaper News of the World. The judicial commission leded by Brian Leveson was tasked to examine the ethical aspects of media and to find out if the system of media self-regulation is still effective. The thesis also includes an analysis of the tabloid environment in the Czech republic. It is based on interviews with representatives of major tabloids in this country.
36
Pospíchal, Tomáš. "Mediální diskurz regulace médií: komparativní analýza českého a britského denního tisku." Master's thesis, 2015. http://www.nusl.cz/ntk/nusl-336433.
Full textAbstract:
This thesis is concerned with the media image of Czech and British press regulation, with a focus on daily newspapers. The theoretical part deals with selected normative requirements for media, the concept of public interest, the legislative framework of the press operation in the Czech Republic and the United Kingdom, self-regulation mechanisms of the British press, and, last but not least, ethical norms and professional practice that comes with the occupation of a journalist. The thesis also presents the main representatives and the basis of critical discourse analysis, the selected procedures of which are then used in the follow-up study of media content. The analytical part focuses on the discourse of selected Czech and British daily newspapers and examines it in the context of two events associated with state intervention into media regulation. Inthe case of the Czech Republic it is the approval of Law no. 52/2009, titled by the media as "muzzle law", in the case of the United Kingdom we are concerned with the exposal of illegal methods for obtaining information by News of the World, a British weekly. Both of these events led to significant media response, among other reasons because they were closely tied with the issue of media regulation, respectively press regulation. Using the tools of...
37
Alvarez, Juliana. "Vers le Design hacké : la nécessité d’une nouvelle posture épistémologique." Thèse, 2017. http://hdl.handle.net/1866/19275.
Full textAbstract:
Face aux mutations sociales, environnementales et technologiques de notre société, la capacité de résoudre les problèmes complexes devient un incontournable. Les nouvelles philosophies du « faire » et l’élan collaboratif au sein du milieu de travail hypermoderne ne se reflètent pas systématiquement dans le design. En essayant de suivre le rythme d’un monde en transformation constante, le design d’aujourd’hui peine à se mettre à jour. Les théories portant sur l’innovation collaborative présentent des réponses pour répondre aux problèmes complexes en prônant la pratique d’une conduite à projet fluide, ou autrement dit, éco-auto-ré-organisationnelle. Or, faute d’outil opératoire, l’innovation collaborative reste encore au stade conceptuel, voire utopique.
Cette thèse a comme objectif d’apporter une réflexion sur les conduites de et à projet en design dans le monde d’aujourd’hui. Partant d’un exemple précis, à savoir le Hackathon, elle explore les nouvelles façons de penser, de faire et de créer des solutions à partir d’une dynamique tout à fait innovatrice, basée sur une éthique et une pratique propre à la nouvelle société du « faire » inspirée, notamment, des hackers. Le Hackathon est ainsi analysé à travers une grille d’analyse nommée le Gyroscope du projet qui permet de souligner les principaux éléments constitutifs de la conduite à projet en relation les uns avec les autres et de saisir les spécificités requises pour que la conduite puisse répondre aux indicateurs théoriques de l’innovation collaborative. L’analyse démontre non seulement que le Hackathon est effectivement une application concrète d’une nouvelle éthique de travail, mais que sa force se trouve dans les premières étapes de la conceptualisation du projet. La question que cette analyse soulève est donc : Est-il possible d’envisager de l’étendre sur l’ensemble du processus de développement, soit de l’idéation à l’implantation ?
Cette recherche présente une lecture archéologique de la discipline du design qui permet de souligner des figures emblématiques du projet à travers les périodes historiques qui ont marqué le design. La proposition d’une nouvelle figure, le Hacking design, souligne l’impact des transformations engendrées par l’hypermodernisme sur la pratique de cette discipline et le rôle du praticien, concluant ainsi que la pensée du design (Design thinking) est dorénavant dépassée par une éthique de travail qui va au-delà d’une pensée, mais implique une nouvelle posture épistémologique. De nombreuses disciplines contigües au Design, dont la Gestion, l’Entrepreneuriat et l’Ingénierie, présentent ainsi un intérêt marqué pour le Design qu’ils perçoivent comme une réponse tributaire au succès de l’innovation collaborative au sein des organisations. Les attentes envers le Design, de sa théorie à sa pratique, sont donc grandes.Today’s hypermodern working environment is experiencing important social, environmental and technological changes pressing actors to acquire the know-how to solve complex problems. The new philosophy of "doing" and the rise of working collaboration strategies arising in our hypermodern society are not systematically reflected in design’s practice. Indeed, by trying to keep pace with a world in constant change, today's design discipline is struggling to keep up. The theories on collaborative innovation present some answers to develop this know-how by advocating a practice that deploys fluidity in projects or, in other words, an eco-auto-re-organisational strategy. However, in the absence of a practical and operational tool, collaborative innovation is still at the conceptual and utopian stage. This thesis aims to rethink project management in our hypermodern world. Starting from a specific example, the Hackathon, it explores new ways of thinking, doing and creating solutions based on an entirely innovative dynamics, grounded on an ethic and a practice specific to the new society of "doing" and inspired, in particular, by the hackers. The Hackathon is thus analyzed through an analytic grid called the Gyroscope of the project through which the actors, the actions and the organisation of the project are evaluated. The Gyroscope makes it possible to identify the project’s components in relation to each other and to understand the requirements needed to carry out each project according to the theoretical indicators of collaborative innovation. The analysis not only demonstrates that the Hackathon is indeed a concrete application of a new work ethic, but that its strength is in the early stages of the project’s conceptualization. The question that this analysis raises is: Is it possible to consider extending it to the whole development process, from ideation to implementation? This research presents an archaeological reading of the discipline of design which allows to identify the emblematic figures of the project through the historical periods that marked the design. The proposal of a new figure, the Hacking design, highlights the impact of hypermodernism's transformations on the practice of this discipline and the role of the practitioner, thus concluding that Design Thinking is now overtaken by an ethic of work that goes beyond a way of thinking, but involves a new epistemological posture. Many disciplines contiguous to Design, including Management, Entrepreneurship and Engineering, have therefore a strong interest in Design, which they perceive as a response to the success of collaborative innovation within organizations. The expectations towards the discipline of Design, from its theory to its practice are, therefore, very high.