Reitittimien tietoturvatestaus ja sertifiointi avoimen lähdekoodin ohjelmilla
Kinnunen, Jere (2025-02-12)
J. Kinnunen
12.02.2025
© 2025 Jere Kinnunen. Ellei toisin mainita, uudelleenkäyttö on sallittu Creative Commons Attribution 4.0 International (CC-BY 4.0) -lisenssillä (https://creativecommons.org/licenses/by/4.0/). Uudelleenkäyttö on sallittua edellyttäen, että lähde mainitaan asianmukaisesti ja mahdolliset muutokset merkitään. Sellaisten osien käyttö tai jäljentäminen, jotka eivät ole tekijän tai tekijöiden omaisuutta, saattaa edellyttää lupaa suoraan asianomaisilta oikeudenhaltijoilta.
Julkaisun pysyvä osoite on
https://urn.fi/URN:NBN:fi:oulu-202502121601
https://urn.fi/URN:NBN:fi:oulu-202502121601
Tiivistelmä
Internettiin yhdistettävien laitteiden määrä on viimevuosina kasvanut valtavasti. Uusia Internet of Things (IoT) -laitteita tuodaan nopeasti markkinoille ja kilpailu on kovaa. Elämän joka osa-alueen täyttyessä erilaisista älylaitteista, alkaa herätä kysymyksiä laitteiden tietoturvallisuuden ympärillä. Useiden maiden tietoturvaviranomaiset ovatkin suunnitelleet vaatimusmäärittelyitä IoT-laitteiden standardoituun tietoturvasertifiointiin. Sertifiointi on kuitenkin vielä hyvin aikaa vievää ja manuaalista toimintaa.
Tässä tutkimuksessa kokosimme testerin, jonka avulla voitaisiin helpottaa IoT-laitteiden tietoturvasertifioinnin automatisointia. Testerin työkalut koostettiin avoimen lähdekoodin ohjelmistoista. Testien kattavuutta verrattiin kolmeen eri tietoturvasertifikaattiin: Traficomin Tietoturvamerkkiin, Singaporen tietoturvaviranomaisen (CSA) Cyber Security Labelling Scheme:en (CLS) ja Saksan tietoturvaviranomaisen IT Security Label:iin (ITSL). Päämääränä oli kartoittaa automatisoitavien testien kattavuus.
Tutkimuksessamme rajasimme IoT-laitteet WiFi-reitittimiin. Kehitimme Python-ohjelmointikielellä kirjoitetun testerin. Testeri ajoi valitsemiamme työkaluja Docker-konteissa sekä Subprocess-moduulilla. Arvioimme testeriämme käyttämällä neljää eri reititintä. Tulokset tallennettiin lokitiedostoon. Reitittimistä saatiin testien avulla sertifioinnissa hyödynnettävää tietoa.
Onnistuimme osittain automatisoimaan 34 prosenttia ITSL:n testeistä ja 24 prosenttia CLS-tason 4 sertifikaatin testeistä. Vaikka täydellinen automaatio todettiin tutkimuksen aikana hankalaksi, huomattiin jo muutaman työkalun avustavan huomattavasti laitteen peruskuvan saamiseen sekä merkittävien löydösten tekemiseen. Testeriä on helppo jatkokehittää sekä räätälöidä kohdelaitteen mukaan.
Tässä tutkimuksessa kokosimme testerin, jonka avulla voitaisiin helpottaa IoT-laitteiden tietoturvasertifioinnin automatisointia. Testerin työkalut koostettiin avoimen lähdekoodin ohjelmistoista. Testien kattavuutta verrattiin kolmeen eri tietoturvasertifikaattiin: Traficomin Tietoturvamerkkiin, Singaporen tietoturvaviranomaisen (CSA) Cyber Security Labelling Scheme:en (CLS) ja Saksan tietoturvaviranomaisen IT Security Label:iin (ITSL). Päämääränä oli kartoittaa automatisoitavien testien kattavuus.
Tutkimuksessamme rajasimme IoT-laitteet WiFi-reitittimiin. Kehitimme Python-ohjelmointikielellä kirjoitetun testerin. Testeri ajoi valitsemiamme työkaluja Docker-konteissa sekä Subprocess-moduulilla. Arvioimme testeriämme käyttämällä neljää eri reititintä. Tulokset tallennettiin lokitiedostoon. Reitittimistä saatiin testien avulla sertifioinnissa hyödynnettävää tietoa.
Onnistuimme osittain automatisoimaan 34 prosenttia ITSL:n testeistä ja 24 prosenttia CLS-tason 4 sertifikaatin testeistä. Vaikka täydellinen automaatio todettiin tutkimuksen aikana hankalaksi, huomattiin jo muutaman työkalun avustavan huomattavasti laitteen peruskuvan saamiseen sekä merkittävien löydösten tekemiseen. Testeriä on helppo jatkokehittää sekä räätälöidä kohdelaitteen mukaan.
Kokoelmat
- Avoin saatavuus [38840]
Ellei muuten mainita, aineiston lisenssi on https://creativecommons.org/licenses/by/4.0/