1. ELARTU — Інституційний репозитарій ТНТУ імені Івана Пулюя
  2. Роботи студентів
  3. Магістр
  4. 125 — кібербезпека, Кібербезпека та захист інформації
Defnyddiwch y dynodwr hwn i ddyfynnu neu i gysylltu â'r eitem hon: http://elartu.tntu.edu.ua/handle/lib/48320
Teitl: Тестування на проникнення ІоТ-пристроїв
Teitlau Eraill: Penetration testing of IoT devices
Awduron: Микитюк, Тарас Володимирович
Mykytiuk, Taras
Affiliation: ТНТУ ім. І. Пулюя, Факультет комп’ютерно-інформаційних систем і програмної інженерії, Кафедра кібербезпеки, м. Тернопіль, Україна
Bibliographic description (Ukraine): Микитюк Т. В. Тестування на проникнення ІоТ пристроїв: робота на здобуття кваліфікаційного ступеня магістра: спец. 125 - Кібербезпека та захист інформації / наук. кер. Т. А. Лечаченко. Тернопіль : Тернопільський національний технічний університет імені Івана Пулюя, 2024. 85 с.
Dyddiad Cyhoeddi: 1-Jan-2025
Date of entry: 18-Mar-2025
Country (code): UA
Place of the edition/event: ТНТУ ім. І.Пулюя, ФІС, м. Тернопіль, Україна
Supervisor: Лечаченко, Тарас Анатолійович
Lechachenko, Taras
Committee members: Стоянов, Юрій Миколайович
Stoianov, Yurii
Allweddeiriau: IoT-devices
internet of things
penetration testing
OWASP
Nmap
Metasploit
Burp Suite
Crynodeb: У магістерській роботі досліджено методи тестування безпеки IoT-пристроїв у мережах домашнього використання. Проведено аналіз загроз для IoT-середовищ та актуальних вразливостей згідно з OWASP IoT Top 10. Розроблено методику тестування IoT-пристроїв із використанням інструментів NMAP, Shodan, Metasploit та Burp Suite. Проведено дослідження захищеності ІоТ пристроїв у домашній мережі. Запропоновано рекомендації щодо підвищення безпеки домашніх IoT-мереж на основі виявлених вразливостей та аналізу потенційних загроз. The master’s thesis explores methods for security testing of IoT devices in home networks. An analysis of threats to IoT environments and current vulnerabilities is conducted based on the OWASP IoT Top 10. A methodology for testing IoT devices using tools such as NMAP, Shodan, Metasploit, and Burp Suite has been developed. The security of IoT devices within a home network has been examined. Recommendations have been proposed to improve the security of home IoT networks based on identified vulnerabilities and analysis of potential threats.
Disgrifiad: Тестування безпеки IoT-пристроїв у мережах домашнього використання // Кваліфікаційна робота магістра // Микитюк Тарас Володимирович // Тернопільський національний технічний університет імені Івана Пулюя, факультет комп’ютерно-інформаційних систем та програмної інженерії, кафедра кібербезпеки, група СБм-62 // Тернопіль, 2024 // с. – 85, рис. – 3, табл. – 3, бібліогр. – 35, додат – 1.
Content: ВСТУП 8 РОЗДІЛ 1. ІОТ-ПРИСТРОЇ ЯК НОВІ ВЕКТОРИ ДЛЯ АТАК 12 1.1. Огляд Internet of Things (IoT) 12 1.2. Огляд загроз і вразливостей IoT пристроїв 13 1.3 Огляд OWASP IoT Top 10 15 1.3.1. Weak, guessable or hardcoded passwords 16 1.3.2. Insecure network services 17 1.3.3. Insecure Ecosystem Interfaces 18 1.3.4. Lack of Secure Update Mechanism 19 1.3.5. Using Insecure or Outdated Components 20 1.3.6. Lack of Proper Privacy Protection 21 1.3.7. Insecure Data Transfer and Storage 22 1.3.8. Absence of Device Management 23 1.3.9. Insecure Default Settings 23 1.3.10. Lack of Physical Hardening 24 РОЗДІЛ 2. ТЕОРЕТИЧНІ ОСНОВИ ТЕСТУВАННЯ БЕЗПЕКИ ІОТ 25 2.1. Співвідношення OWASP IoT Top 10 і рекомендацій ENISA 25 2.1.1. Security by design 25 2.1.2. Privacy by design 26 2.1.3. Asset Management 27 2.1.4. Strong Default Security and Privacy 27 2.1.5. Secure and Trusted Communications 28 2.1.6. Secure Interfaces and Network Services 29 2.1.7. Secure Software/ Firmware Updates 30 2.1.8. Proven Solutions 32 2.1.9. Trust and Integrity Management 33 2.1.10. Hardware Security 34 2.2. Інструменти для ідентифікації вразливостей у IoT-пристроях 35 2.2.1. Reconnaissance 35 2.2.2. Weaponization 36 2.2.3. Delivery 38 2.2.4. Exploitation 38 2.2.5. Installation 41 2.2.6. Command and Control 42 2.2.7. Actions on Objectives 43 2.3. Ідентифікація пристроїв у мережі. 43 2.4. Методологія тестування мережі 44 РОЗДІЛ 3. ТЕСТУВАННЯ НА ПРОНИКНЕННЯ ІОТ-ПРИСТРОЇВ У ДОМАШНІЙ МЕРЕЖІ 47 3.1. Інвентаризація пристроїв та збір інформації 48 3.2. Короткий аналіз результатів інвентаризації 50 3.3. Збір інформації про сервіси. 53 3.4. Аналіз потенційних загроз 55 3.5. Аналіз можливих наслідків атак 57 3.6. Експлуатація знайдених вразливостей та рекомендації для підвищення рівня безпеки. 59 РОЗДІЛ 4. ОХОРОНА ПРАЦІ ТА БЕЗПЕКА В НАДЗВИЧАЙНИХ СИТУАЦІЯХ 66 4.1. Охорона праці 66 4.2. Безпека в надзвичайних ситуаціях 70 ВИСНОВКИ 76 СПИСОК ВИКОРИСТАНИХ ДЖЕРЕЛ 78 Додаток А Публікація 81
URI: http://elartu.tntu.edu.ua/handle/lib/48320
Copyright owner: © Микитюк Тарас Володимирович, 2024
References (Ukraine): 1. Techtarget. Internet of Things (IoT). URL: https://www.techtarget.com/iotagenda/definition/Internet-of-Things-IoT (дата звернення: 16.10.24, 22:10).
2. Tymoshchuk, D., Yasniy, O., Mytnyk, M., Zagorodna, N., Tymoshchuk, V., (2024). Detection and classification of DDoS flooding attacks by machine learning methods. CEUR Workshop Proceedings, 3842, pp. 184 - 195.
3. Integrity360. What Is IoT Penetration Testing and Why Do You Need It? URL: https://insights.integrity360.com/what-is-iot-penetration-testing-and-why-do-you-need-it.
4. Tymoshchuk, V., Mykhailovskyi, O., Dolinskyi, A., Orlovska, A., & Tymoshchuk, D. (2024). OPTIMISING IPS RULES FOR EFFECTIVE DETECTION OF MULTI-VECTOR DDOS ATTACKS. Матеріали конференцій МЦНД, (22.11. 2024; Біла Церква, Україна), 295-300.
5. Cloudflare. Mirai Botnet. URL: https://www.cloudflare.com/learning/ddos/glossary/mirai-botnet/.
6. Lypa, B., Horyn, I., Zagorodna, N., Tymoshchuk, D., Lechachenko T., (2024). Comparison of feature extraction tools for network traffic data. CEUR Workshop Proceedings, 3896, pp. 1-11.
7. Fortinet. Command and Control Attacks. URL: https://www.fortinet.com/resources/cyberglossary/command-and-control-attacks#:~:text=A%20Command%20and%20Control%20attack,the%20compromised%20network%20or%20machine.
8. Tymoshchuk, D., & Yatskiv, V. (2024). Slowloris ddos detection and prevention in real-time. Collection of scientific papers «ΛΌГOΣ», (August 16, 2024; Oxford, UK), 171-176.
9. Zillya. Руткіт – експерт з маскування шкідливого ПЗ. URL: https://zillya.ua/rutkit-ekspert-z-maskuvannya-shkidlivogo-pz.
10. Tymoshchuk, V., Vorona, M., Dolinskyi, A., Shymanska, V., & Tymoshchuk, D. (2024). SECURITY ONION PLATFORM AS A TOOL FOR DETECTING AND ANALYSING CYBER THREATS. Collection of scientific papers «ΛΌГOΣ», (December 13, 2024; Zurich, Switzerland), 232-237.
11. Kraven Security. Cyber Kill Chain. URL: https://kravensecurity.com/cyber-kill-chain/.
12. Koroliuk, R., Nykytyuk, V., Tymoshchuk, V., Soyka, V., & Tymoshchuk, D. (2024). Automated monitoring of bee colony movement in the hive during winter season. CEUR Workshop Proceedings 3842, 184-195.
13. ТИМОЩУК, Д., & ЯЦКІВ, В. (2024). USING HYPERVISORS TO CREATE A CYBER POLYGON. MEASURING AND COMPUTING DEVICES IN TECHNOLOGICAL PROCESSES, (3), 52-56.
14. Dell. Сторінка підтримки Dell. URL: https://www.dell.com/support/kbdoc/ru-ua/000137973/.
15. Tymoshchuk, V., Vantsa, V., Karnaukhov, A., Orlovska, A., & Tymoshchuk, D. (2024). COMPARATIVE ANALYSIS OF INTRUSION DETECTION APPROACHES BASED ON SIGNATURES AND ANOMALIES. Матеріали конференцій МЦНД, (29.11. 2024; Житомир, Україна), 328-332.
16. ScienceDirect. Securing IoT Devices and Networks: Analysis and Recommendations. URL: https://www.sciencedirect.com/science/article/pii/S2542660523000306#sec6.
17. Tymoshchuk, V., Pakhoda, V., Dolinskyi, A., Karnaukhov, A., & Tymoshchuk, D. (2024). MODELLING CYBER THREATS AND EVALUATING THE PERFORMANCE OF INTRUSION DETECTION SYSTEMS. Grail of Science, (46), 636–641. https://doi.org/10.36074/grail-of-science.29.11.2024.081
18. NHS Digital. Cyber Alert 2017/CC-1513. URL: https://digital.nhs.uk/cyber-alerts/2017/cc-1513.
19. Fortinet. Command and Control Attacks. URL: https://www.fortinet.com/resources/cyberglossary/command-and-control-attacks#:~:text=A%20Command%20and%20Control%20attack,the%20compromised%20network%20or%20machine.
20. ТИМОЩУК, Д., ЯЦКІВ, В., ТИМОЩУК, В., & ЯЦКІВ, Н. (2024). INTERACTIVE CYBERSECURITY TRAINING SYSTEM BASED ON SIMULATION ENVIRONMENTS. MEASURING AND COMPUTING DEVICES IN TECHNOLOGICAL PROCESSES, (4), 215-220.
21. Kraven Security. Cyber Kill Chain. URL: https://kravensecurity.com/cyber-kill-chain/.
22. European Union Publications. Baseline Security Recommendations for IoT. URL: https://op.europa.eu/en/publication-detail/-/publication/c37f8196-d96f-11e7-a506-01aa75ed71a1/language-en.
23. Stanko, A., Wieczorek, W., Mykytyshyn, A., Holotenko, O., & Lechachenko, T. (2024). Realtime air quality management: Integrating IoT and Fog computing for effective urban monitoring. CITI, 2024, 2nd.
24. FreeCodeCamp. What is Nmap and How to Use It? A Tutorial for the Greatest Scanning Tool of All Time. URL: https://www.freecodecamp.org/news/what-is-nmap-and-how-to-use-it-a-tutorial-for-the-greatest-scanning-tool-of-all-time/.
25. Derkach, M., Skarga-Bandurova, I., Matiuk, D., & Zagorodna, N. (2022, December). Autonomous quadrotor flight stabilisation based on a complementary filter and a PID controller. In 2022 12th International Conference on Dependable Systems, Services and Technologies (DESSERT) (pp. 1-7). IEEE.
26. Medium. RouterSploit: Unleashing the Power of Router Penetration Testing. URL: https://medium.com/@S3Curiosity/routersploit-unleashing-the-power-of-router-penetration-testing-782f56b26004.
27. Stadnyk, M. (2016, February). The informative parameters determination for a visual system diagnostics by using the steady state visual evoked potentials. In 2016 13th International Conference on Modern Problems of Radio Engineering, Telecommunications and Computer Science (TCSET) (pp. 800-803). IEEE.
28. GeeksforGeeks. What is Burp Suite? URL: https://www.geeksforgeeks.org/what-is-burp-suite/.
29. Angryip. Angry IP Scanner. URL: https://angryip.org/
30. ASecurity. Angry IP vs Nmap. URL: https://7asecurity.com/blog/2011/04/angry-ip-vs-nmap/
31. Lechachenko, T., Kozak, R., Skorenkyy, Y., Kramar, O., & Karelina, O. (2023). Cybersecurity Aspects of Smart Manufacturing Transition to Industry 5.0 Model. In ITTAP (pp. 416-424).
32. Kuznetsov, A., Karpinski, M., Ziubina, R., Kandiy, S., Frontoni, E., Peliukh, O., ... & Kozak, R. (2023). Generation of nonlinear substitutions by simulated annealing algorithm. Information, 14(5), 259.
33. ZAGORODNA, N., STADNYK, M., LYPA, B., GAVRYLOV, M., & KOZAK, R. (2022). Network Attack Detection Using Machine Learning Methods. Challenges to national defence in contemporary geopolitical situation, 2022(1), 55-61.
34. Ревнюк, О. А., Загородна, Н. В., Козак, Р. О., Карпінський, М. П., & Флуд, Л. О. (2024). The improvement of web-application SDL process to prevent Insecure Design vulnerabilities. Прикладні аспекти інформаційних технологій, 7(2), 162-174.
35. Skorenkyy, Y., Kozak, R., Zagorodna, N., Kramar, O., & Baran, I. (2021, March). Use of augmented reality-enabled prototyping of cyber-physical systems for improving cyber-security education. In Journal of Physics: Conference Series (Vol. 1840, No. 1, p. 012026). IOP Publishing.
Content type: Master Thesis
Ymddengys yng Nghasgliadau:125 — кібербезпека, Кібербезпека та захист інформації

Ffeiliau yn yr Eitem Hon:
Ffeil Disgrifiad MaintFformat 
Master_Thesis_SBm62-Mykytiuk_T_V_2024.pdf1,77 MBAdobe PDFGweld/Agor
Dangos cofnod eitem llawn


Diogelir eitemau yn DSpace gan hawlfraint, a chedwir pob hawl, onibai y nodir fel arall.

Offer Gweinyddol