TESTING THE SECURITY ESP32 INTERNET OF THINGS DEVICES
Open Access
- 1 January 2019
- journal article
- Published by Borys Grinchenko Kyiv University in Cybersecurity: Education, Science, Technique
- Vol. 2 (6), 71-81
- https://doi.org/10.28925/2663-4023.2019.6.7181
Abstract
В статті на основі аналізу сучасних тенденцій в області IoT технологій визначено сегмент, для якого забезпечення інформаційної безпеки може зіткнутися з недостатністю її рівня. Це пристрої IoT на основі мікроконтролера ESP32, які розроблені і впроваджені в домашніх умовах непрофесіоналами. Запропонована і реалізована на лабораторному масштабі фізична модель непрофесіональної саморобної системи IoT, яка включає в себе пристрій для вимірювання температури на базі ESP32 (малогабаритний ESP32 на основі набору ESP32 DevKit V2 виробництва Espressif та цифровий датчик температури DS18B20), домашню мережу WiFi (на базі маршрутизатора TL-WR841N) і веб-інтерфейс (на базі модуля node-red-dashboard). Початкові умови експерименту включали в себе наступне: використання протоколу UDP, аутентифікація і шифрування передачі даних на основі специфікації WPA2-PSK, рівень кваліфікації зловмисника достатній для використання інструментів Aircrack-ng, Airmon-ng, Airodump-ng, Aireplay-ng, Besside-ng, Wireshark. В результаті експерименту на основі цієї моделі був успішно реалізований сценарій отримання несанкціонованого доступу до переданих даних. Сценарій атаки складається з чотирьох етапів: 1 – отримання несанкціонованого доступу до мережі (зміна режиму мережевої карти на режим моніторингу (Airmon-ng), перегляд доступних точок доступу (Airodump-ng), перехоплення рукостискання, вгадування пароля (Besside-ng); 2 – перехоплення і аналізу мережевого трафіку (Wireshark); 3 – створення підробленого клієнта ESP32 використовуючи отримані раніше дані (Arduino) і підключення його до мережі; 4 –від’єднання оригінального пристрою на базі ESP32 від сервера (Aircrack-ng). Показано, що зловмисник, який має базові знання та навички в роботі із розповсюдженими засобами злому бездротових мереж і базові знання та навички програмування ESP32 може отримати доступ до системи і відправити підроблену інформацію на веб-інтерфейс. Для того, щоб зменшити ймовірність пропонованого сценарію рекомендується використовувати протокол TCP, який на відміну від UDP забезпечує цілісність даних і повідомлення відправника про результати передачі.This publication has 9 references indexed in Scilit:
- Internet of Things (IoT): A review of enabling technologies, challenges, and open research issuesComputer Networks, 2018
- Comparative analysis and practical implementation of the ESP32 microcontroller module for the internet of thingsPublished by Institute of Electrical and Electronics Engineers (IEEE) ,2017
- A Survey of Protocols and Standards for Internet of ThingsPublished by Advanced Computing and Communications Society - ACCS ,2017
- Security Challenges and Approaches in Internet of ThingsPublished by Springer Science and Business Media LLC ,2017
- Introduction—The Internet of ThingsPublished by Elsevier BV ,2017
- Engineering Secure Internet of Things SystemsPublished by Institution of Engineering and Technology (IET) ,2016
- Industry 4.0Published by Springer Science and Business Media LLC ,2016
- Security and privacy in the Internet of ThingsPublished by Elsevier BV ,2016
- Securing Cyber-Physical SystemsPublished by Taylor & Francis Ltd ,2015