IoT rendszerek biztonságának növelése

2022. október 26.

Befejeződött a SETIT[1] projekt –

Rövid beszámoló az elért eredményekről

Buttyán Levente, BME

Ferenc Rudolf és Nagy Gábor Péter, SZTE

Huszti Andrea, DE

 

2022 szeptemberében befejeződött a SETIT projekt (2018-1.2.1-NKP-2018-00004), melynek célja az volt, hogy az IoT rendszerek biztonságát növelő műszaki megoldásokat fejlesszen ki, ezzel növelve az IoT rendszerekbe vetett bizalom mértékét, és lehetővé téve azok szélesebb körű alkalmazását. A 4 éves projekt a „Nemzeti Kiválósági Program: 2018-1.2.1-NKP” pályázati program keretében, a Nemzeti Kutatási és Innovációs Alapból biztosított támogatással valósult meg. A projekt a Budapesti Műszaki és Gazdaságtudományi Egyetem (BME), a Szegedi Tudományegyetem (SZTE) és a Debreceni Egyetem (DE) együttműködésében zajlott, a konzorciumot a BME vezette.

A SETIT projekt a kitűzött célt három szinten igyekezett megvalósítani: az IoT eszközökön futó alkalmazások szintjén, az alkalmazások számára futási környezetet biztosító platform szintjén, és az alkalmazások által használt kriptográfiai algoritmusok és protokollok szintjén. Az alkalmazások szintjén hibrid programanalízis módszerek kerültek kifejlesztésre, melyek célja a biztonságot érintő programozási hibák előrejelzése, és ezáltal a hibák mielőbbi kiszűrése. A projekt keretében létrejött egy publikusan elérhető és validált JavaScript (biztonsági) hiba adatbázis, melyen különböző gépi tanuló modellek hiba előrejelzési képességei kerültek kiértékelésre. Kidolgozásra került továbbá egy olyan mesterséges intelligencia alapú módszer, amivel nagy hatékonysággal kiszűrhetők a statikus elemző eszközök által hamisan detektált szoftverhibák.

A végrehajtási platform szintjén támadás megelőző és támadás detekciós módszerek kerültek kifejlesztésre és megtörtént ezek hatásosságának elemzése is. Ezen a területen a projekt egyik fő eredménye egy bináris hasonlóságra épülő antivírus szkenner, a SIMBIoTA, kifejlesztése volt. Ennek gépi tanulásra épülő változatata, a SIMBIoTA-ML is megszületett, mely a SIMBIoTA-nál hatékonyabb malware detekcióra képes. Mind a SIMBIoTA, mind a SIMBIoTA-ML erőforrás-hatékonyan és nagy pontosággal képesek – akár korábban sosem látott – kártékony fájlok felismerésére az IoT eszközökön. Kifejlesztésre került továbbá a T-RAID nevet viselő TEE-alapú platform integritás ellenőrző megoldás is, mely futási időben végzi a kártékony kód (rootkit) jelenlétére utaló anomáliák azonosítását az IoT eszközön, és képes a malware mentes állapot igazolását egy távoli ellenőrző számára is elvégezni. Új módszerek születtek továbbá TEE-ben futó alkalmazások fuzz-tesztelésére, valamint IoT eszközök biztonsági tesztelésére (azaz etikus hekkelésére).

A projektben több prototípus is született, többek között egy beágyazott hálózati forgalomszűrő eszköz, amely lehetővé teszi, hogy IoT mérőeszközök egy csoportja két irányban, biztonságosan kommunikáljon különböző adatgyűjtő eszközökkel.

Egy másik projekt eredmény a VF-BASE IoT biztonsági oktató és gyakorló platform, melyen ipari környezet elleni támadásokat és azok hatástalanítását lehet tesztelni, illetve gyakorolni.Az IoT rendszerekben használható kriptográfiai algoritmusok és protokollok területén hitelesítést és védett kommunikációt támogató megoldások tervezése, elemzése és tesztelése történt a projektben. Ezek közös jellemzője, hogy identitás alapú kriptográfiai eszközöket használnak. A kriptográfiai protokollok közül kiemelkedik a CryptID nevű, WebAssemblyben készült, nyílt forráskódú IBC implementáció, egy új jelszó-alapú felhasználó-hitelesítési protokoll, és egy új jelszó regisztrációs rendszer. Sikerült továbbá kis erőforrás-igényű Gauss eloszlású véletlenszám-generátorokat konstruálni és egy olyan módszert kidolgozni, amivel az ilyen generátorok minősége tesztelhető.

S végül olyan diszkrét matematikai témakörök vizsgálata is történt a projektben, melyeket a korlátozott erőforrású IoT rendszerek biztonságával kapcsolatos kérdések motiváltak. Ilyenek például a kombinatorikus illeszkedési struktúrák konstrukciói, osztályozásai, a hibajavító kódok paraméterei, dekódolási eljárásaik, ezek alkalmazása a kód-alapú posztkvantum kriptográfiában, valamint a szimmetrikus kulcsú titkosításokban használt Boole-függvények nemlinearitási és korreláció-immunitási tulajdonságainak vizsgálatai. A szakmai munka része volt, hogy a kutatók egy része bekapcsolódott a matematikai kriptográfia neves NSUCRYPTO versenyébe, ahol kiemelkedő eredményeket értek el, és megoldottak korábbi feladatokhoz kapcsolódó több éve nyitott problémákat.

 

 A projektben résztvevő kutatók eredményeiket konferencia előadásokban és nemzetközi folyóirat publikációkban tették közzé. A kutatási munkába minden projekt partner intézmény számos BSc, MSc, és PhD hallgatót is bevont. Ennek eredményeképpen nagy számú diplomamunka és TDK dolgozat született az IoT biztonság témakörben, sőt több, a projekt ideje alatt született PhD értekezésnek is részben vagy egészben az IoT biztonság a témája. Így a témával foglalkozó végzett hallgatókon, illetve fiatal kutatókon keresztül a projekt eredményei az iparban és a kutatásban is hasznosulnak. A projekt során születtek továbbá olyan adathalmazok, melyek kutatási célokat szolgálnak, és ezek szabadon elérhetőek a kutatói közösség számára. Ilyen adathalmaz az SZTE által létrehozott BugsJS publikus hibaadatbázis, valamint a BME által (az Ukatemi Technologies támogatásával) létrehozott CUBE-MALIOT-2021 IoT malware gyűjtemény. Mindkét adathalmaz elérhető a GitHub-on, és számos más kutatócsoport használja őket világszerte.

A projekttel kapcsolatos további információ és a projekt során született publikációk elérhetőek a projekt honlapján: https://www.crysys.hu/research/setit/

 

Projekt adatok

 

A projekt címe: loT rendszerek biztonságát növelő technológiák

A projekt azonosító száma: 2018-1.2.1-NKP-2018-00004

Kedvezményezett: Budapesti Műszaki és Gazdaságtudományi Egyetem, mint konzorcium vezető, Szegedi Tudományegyetem és Debreceni Egyetem, mint konzorciumi tagok
A támogatási összeg: 299 971 567 Ft
A projekt időtartama: 2018.10.01. - 2022.09.30.

Fotó: VF-BASE IoT biztonsági oktató és gyakorló platform


[1] Security Enhancing Technologies for the Internet of Things