vooronderzoek
Nadat iedereen zijn individuele onderzoeksaanpak had gemaakt hebben we een voor onderzoek gedaan. hierin hebben we de huidige situatie, de wensen en de functionaliteiten beschreven. Ik heb hierbij geholpen bij het maken van een risico analyse, de threat analyse en de misuse cases.
onderzoeksvragen
We hebben alle individuele onderzoeks aanpakken bekeken en een hoofd vraag geformuleerd. Hierbij Hebben we meerdere individuele hoofdvragen gecombineerd en verbeterd. Vervolgens hebben we gekeken naar alle opgestelde deelvragen. Hierbij hebben we deze vragen gecontroleerd, verbeterd. Hierbij hebben we dubbele vragen verwijderd. Vervolgens hebben we aan de hand van onze deelvragen onze hoofdvraag getrianguleerd. hierbij hebben we de volgende methodes gebruikt:
security test
Deze methode komt uit het lab. Voor deze methode hebben we verschillende IoT devices en systems toegevoegd aan de scope om te testen. Deze testen geven een beeld over veel vorkomende vulnerabilities binnen IoT systemen.
Code review
Verder hebben we ook een white box test gedaan, dit is een workshop methode. Hierbij hebben we gekeken naar de code van een IoT system. Door in de code te kunnen kijken wordt het makkelijker om vulnerabilities te vinden. De vulnerabilities die gevonden zijn aan de hand van de code review zijn ook gefixed.
Ethical check
Een ethical check valt onder de showroom methodes. Hierbij hebben we onderzocht of onze guidelines etische wel verantwoord waren en wat de risico’s zijn. Ook hebben we gekeken naar de mogelijke inpact van onze guidelines op de producten die in onze scope zaten. Via deze ethische analyse hebben we besloten om deze producten en bedrijven niet bij naam te noemen in de guidelines.
risico analyse
Hristo was begonnen aan een risico analyse, maar naar het idee van een aantal groepsleden en mij was dat niet een risico analyse zoals wij die tijdens onze specialisatie hebben geleerd. dit was een aanleiding om hier als groep over te overleggen waarbij we een oud template tevoorschijn hebben gehaald. naar aanleiding van dit overleg heb ik Hristo geholpen met het maken van een risico analyse hierbij heb ik voor geholpen en wat kleine puntjes toegevoegd.
threat analyse
Om een duidelijke beeld te krijgen van de mogelijke aanvallers moet er een threat analyse gedaan worden. Het probleem hierbij is dat we onderzoek doen naar vier IOT sectoren, veel aanvallers komen overeen maar natuurlijk niet allemaal. Om een duidelijk beeld te krijgen heb ik besloten om per sector een risico analyse te maken met de mogelijke aanvallers, hun motivatie en de technieken en tools die zij mogelijk gebruiken.
Misusecases
Nadat ik alle threat analyses gemaakt had ben ik doorgegaan naar het maken van een misusecase diagram. hierbij heb ik de globale functies van IOT device beschreven, heb ik de beveiligingsopties toegevoegd en de mogelijke aanvallers en hun technieken. Bij het misusecaseDiagram heb ik de vier gescheiden sectoren weer samengevoegd om het toch tot een project te behouden. Dit Diagram heb ik besproken met mijn groep waarbij vooral Rick met een aantal verbeteringen kwam.
Omdat Rick met nuttige feedback kwam hebben we als groep besloten om de misusecases door mij en rick te laten maken. hierbij hebben we ieder de helft van de misusecases gemaakt en hebben we daarna die van de ander doorgelezen en verbeterd.