Ein Ansatz für IoT-Sicherheitstests basierend auf dem MQTT-Protokoll

Abstract

Das Internet der Dinge (IoT) besteht aus einer stark wachsenden Anzahl an vernetzten Geräten und gewinnt immer mehr an Bedeutung. Aufgrund der Komplexität und Heterogenität der verwendeten Technologien existieren im IoT-Bereich viele Sicherheitsprobleme. MQTT ist das meist verwendete IoT-spezifische Protokoll für die Kommunikation, wodurch es einen attraktiven Angriffspunkt darstellt. Daher muss die Sicherheit bei MQTT-Systemen gewährleistet sein. Durch eine Literaturrecherche wurden als Hauptprobleme im Zusammenhang mit der Sicherheit von MQTT die unsichere Standardkonfiguration der Broker, sowie Schwachstellen im Umgang mit fehlerhaften Paketen identifiziert. Das Ziel dieser Arbeit ist, einen Testansatz zu entwerfen, der die Sicherheitsprobleme von MQTT-Broker-Implementierungen mittels automatisierten Sicherheitstests untersucht. Der Ansatz, genannt MQTT-AIO, besteht aus drei Testkomponenten und ist in der Lage, die Konfiguration des Brokers zu analysieren, Angriffe basierend auf Angriffsmustern auszuführen und weitere Schwachstellen mithilfe von Fuzzing zu finden. Eine weitere Komponente überwacht das System während des Testprozesses und zeichnet relevante Daten auf. Die Ergebnisse der Testdurchläufe werden als Bericht ausgegeben und können weiter analysiert werden. Der Testansatz MQTT-AIO wird im Rahmen dieser Masterarbeit prototypisch implementiert und anhand einer Fallstudie validiert.