Project R-6736

Titel

Security en privacy in draadloze communicatie en netwerken

Abstract

In de laatste decennia is het aantal toestellen dat via een draadloos medium communiceert sterk geevolueerd. Marktonderzoek door ABI Research geeft bijvoorbeeld aan dat tussen 2010 en 2014 meer dan 21 miljard wireless chipsets zijn verkocht en dat dit aantal van 2015 tot 2019 nog verder zal stijgen tot 39 miljard [2]. Naast de groeiende populariteit van toestellen zoals smartphones en tablets levert ook de recente Internet of Things (IoT) trend, waarbij zogenaamde embedded \smart devices" met elkaar via het internet communiceren, een belangrijke bijdrage aan het aantal draadloze toestellen op de markt. Door de proliferatie van draadloze toestellen is ook een signi cante verhoging van het aantal en de complexiteit van de gebruikte communicatieprotocollen vast te stellen, elk met hun eigen functionele capaciteiten die aangepast zijn aan een speci eke gebruikscontext. Enkele voorbeelden van dergelijke protocollen die dagdagelijks worden gebruikt zijn GSM, LTE, Wi- Fi, Bluetooth en ZigBee. Een belangrijke vraag die in deze context moet gesteld worden is in welke mate deze technologieen kwetsbaarheden bevatten die de beveiliging en afscherming van gebruikersgegevens op het spel kunnen zetten. Zulke kwetsbaarheden kunnen zich ten eerste manifesteren op verschillende netwerklagen van de protocol stack. Door fouten in het ontwerp van een protocol zelf [12, 7, 16, 32, 29] of een verkeerde implementatie op een toestel, chipset of Operating System (OS) [26, 9, 31, 22, 3] kan een aanvaller zichzelf toegang verlenen tot netwerkbronnen en informatie buitmaken, of bijvoorbeeld de toegang tot het netwerk aan anderen ontzeggen. Een tweede manier waarop gevoelige data kan worden blootgesteld aan derden is via zijkanalen zoals elektromagnetische (EM) straling. Deze straling is inherent aanwezig in elektronische componenten van een toestel en kan door een aanvaller op passieve wijze (d.i. niet detecteerbaar) onderschept en geanalyseerd worden om informatie te onthullen over de staat waarin het toestel zich bevindt [43, 40]. Zo wordt door Genkin et al. bijvoorbeeld aangetoond hoe men door middel van de analyse van EM straling de staat van machtsverhengsalgoritmes kan bepalen vanop een afstand van 0,5 meter [15]. Een derde soort kwetsbaarheden kan zich ten slotte voordoen in de vorming van willekeurige getallen: wanneer de sequentie van gegenereerde willekeurige getallen voorspelbaar is, kan een aanvaller namelijk gevoelige informatie zoals paswoorden en cryptogra sche sleutels achterhalen [19, 28]. Bij embedded devices zoals Access Points (APs), smart wearables, sensors, etc. zijn er typisch minder variabelen om te gebruiken bij het genereren van willekeurige getallen en is de entropie bij het opstarten van het toestel problematisch [17]. Bestaand onderzoek toont aan dat door het uitbuiten van kwetsbaarheden verscheidene soorten aanvallen mogelijk worden, zoals user tracking [39, 10], spoo ng [36], Denial of Service (DoS)[29], relay en man-in-the-middle [31, 27], authentication [9], cryptogra sche [35] en side channel aanvallen[15]. Concreet kunnen deze aanvallen leiden tot serieuze gevolgen voor zowel bedrijven als particulieren, waaronder het onderscheppen of aanpassen van communicatie door derden, lekken van con dentiele informatie, ongewenst traceren van een persoon of het op ongeoorloofde wijze toegang verkrijgen tot netwerkbronnen. Bovendien zijn de kleine embedded devices die het IoT vormen vaak inherent minder veilig omwille van hun beperkte rekenkracht en energiecapaciteit [37] (cf. de zogenaamde energy { security en performance { security tradeo s), hetgeen de introductie van nieuwe ontwerp- of implementatiefouten in de hand kan werken. Het voorgestelde project beoogt om, gegeven de vermelde manifestaties van informatielekken, nieuwe kwetsbaarheden te identi ceren en hiervoor een oplossing te zoeken.

Periode

01 januari 2016 - 31 december 2019