Säkerhetsutvärdering av smarta dörrlås utifrån ett kommunikationsperspektiv

(1)

Fakulteten f¨or teknik och samh¨alle Datavetenskap

Examensarbete 15 h¨ogskolepo¨ang, grundniv˚a

Säkerhetsutvärdering av smarta dörrl˚

as utifr˚

an ett

kommunikationsperspektiv

Security evaluation of smart door locks from a communications perspective

Robin Gustafsson

Linus Janstad

Examen: Kandidatexamen 180 hp Huvudomr˚ade: Datavetenskap Program: Systemutvecklare

Datum f¨or slutseminarium: 2015-06-01

Handledare: ˚Ase Jevinger, Farid Naisan

(2)

(3)

Sammanfattning

Intresset för smarta hem ökar kraftigt. Efterhand som smarta hem-konceptet utvecklats och tr˚adlös kommunikation blivit normen har komplexiteten hos systemen ökat och nya säkerhets- och integritetsproblem uppdagats. Syftet med denna uppsats är att undersöka om n˚agon information kan utvinnas ur kommunikationen hos ett smart dörrl˚as som finns ute p˚a marknaden i dagsläget. Detta har undersökts i form av experiment genom av-lyssning av dörrl˚asets kommunikation följt av automatiserad och manuell analys av den insamlade datan. Resultatet av studien visar att avlyssning kan användas för att katego-risera kommunikationen och kartlägga interaktionen med det uppkopplade dörrl˚aset.

(4)

(5)

Abstract

The interest in smart homes is increasing rapidly. As the smart home concept has evolved and wireless communication has become the norm, the complexity of the systems have increased and additional security and privacy problems have surfaced. The purpose of this paper is to examine if any information can be extracted from the communication of a smart door lock currently available on the market. This has been investigated in form of experiments through the interception of the door lock’s communication followed by automated and manual analysis of the data collected. The results of the study show that interception can be used to categorize the communication and for mapping of interaction with the connected door lock.

(6)

(7)

Ordlista

Advanced Encryption Standard (AES)

En symmetrisk blockchiffer-baserad krypteringsalgoritm. Denial of Service (DoS)

En attack ämnad att förhindra normal användning av ett IT-system genom överbe-lastning.

General packet radio service (GPRS)

En mobil datatj¨anst p˚a det globala mobiltelefonin¨atet GSM. GNU Radio

Ett verktyg f¨or att implementera mjukvarubaserad radio och signalbehandling. Internet of Things (IoT)

En utveckling av Internet där vardagsförem˚al har nätverksuppkoppling och kan kom-municera med andra enheter.

Kvartil

Ett statistiskt värde som avgränsar en datamängds sorterade värden i fjärdedelar. Första kvartilen kan beskrivas som medianen av datamängdens första halva och tredje kvartilen som medianen av datamängdens andra halva.

Kvartilavst˚and

Differensen mellan den tredje och den f¨orsta kvartilen. MinHash

En metod för att uppskatta Jaccards likhetskoefficient för tv˚a datamängder. Metoden utnyttjar sannolikheten att en hashfunktion genererar samma minstavärde d˚a den appliceras p˚a flertalet slumpmässigt utvalda delmängder av datan.

Near field communication (NFC)

En standard för att sända och ta emot data över radio p˚a kort avst˚and. Inbyggt i m˚anga moderna mobiltelefoner.

Payload

Den faktiska information som skickas i ett datameddelande, exkluderat metadata om meddelandet.

Radio-frequency identification (RFID)

En teknik för att avläsa data fr˚an ett förem˚al med inbyggd sändare p˚a kort avst˚and. Raspberry Pi

En billig enkortsdator i storleken av ett bankkort. Ubiquitous Computing (ubicomp)

Idén att integrera datorer var som helst för att l˚ata ett gränssnitt genomsyra hela miljön.

Wireshark

(8)

(9)

Skrivkonventioner

Ord som kan behöva förklaras och är inkluderade i ordlistan skrivs vid första p˚aträffandet i texten i kursiv stil för att göra läsaren medveten om att en beskrivning är tillgänglig. Källor är refererade till enligt Vancouversystemet.

Sekretess

Detta arbete omfattas av ett sekretessavtal mellan författarna och tillverkaren tillika till-handah˚allaren av det smarta hem-system som studien baserats p˚a. Genom detta sekre-tessavtal har samtliga uppgifter relaterade till tillverkarens och systemets identitet un-danh˚allits. Även information direkt kopplad till andra produkter p˚a marknaden som be-skrivs i detta arbete har undanh˚allits för att försv˚ara identifikation av den huvudsakligen undersökta produkten.

(10)

(11)

Inneh˚

all

1 Inledning ... 1 1.1 Problemdiskussion . . . 1 1.2 Fr˚agest¨allning . . . 2 1.3 Syfte . . . 2 1.4 Avgr¨ansning . . . 2

2 Bakgrund och centrala begrepp ... 3

2.1 Smarta hem . . . 3

2.2 Smarta d¨orrl˚as . . . 4

3 S˚arbarheter och relaterade arbeten ... 5

4 Systembeskrivning ... 7

4.1 Det unders¨okta systemet . . . 7

4.1.1 Arkitektur . . . 7

4.1.2 Det unders¨okta l˚aset . . . 7

4.2 Alternativa system . . . 8 5 Metod ... 9 5.1 Metodbeskrivning . . . 9 5.1.1 Datainsamling . . . 9 5.1.2 Automatiserad meddelandeanalys . . . 10 5.1.3 Manuell analys . . . 10 5.2 Metoddiskussion . . . 10

6 Resultat och analys ... 12

6.1 Insamlad data . . . 12 6.2 Procentuella likheter . . . 12 6.2.1 Filtrering . . . 14 6.3 Sekventiella likheter . . . 14 6.4 Kategoriska j¨amf¨orelser . . . 18 6.4.1 Likheter . . . 18 6.4.2 Skillnader . . . 19 7 Diskussion ... 21

8 Slutsatser och vidare forskning ... 23

8.1 Slutsatser . . . 23

8.2 Vidare forskning . . . 23

9 Referenser ... 24

(12)

(13)

1 Inledning

Smarta hem är ett koncept som sträcker sig tillbaka till 1970-talet d˚a tidiga versioner av teknologi för ett automatiserat hem i form av rörelsesensorer, programmerbar ljussättning och videokameror blev tillgängliga för konsumenter [6]. Sedan dess har teknologin utveck-lats fr˚an att främst kontrollera ljus och värme till att inkludera de flesta förem˚al som finns i hemmet. Fokus har dessutom skiftat till tr˚adlöst samarbete mellan hemutrustning och till att samla information fr˚an omgivningen för att skapa illusionen av ett system med kontextuellt medvetande [11]. De senaste ˚aren har det industriella intresset för smarta hem och förhöjd automatisering av funktioner i hemmet ökat kraftigt [1], med prognoser som pekar p˚a en global ökning av s˚alda enheter med en genomsnittlig ˚arlig tillväxttakt p˚a 67% fr˚an cirka 400 miljoner enheter ˚ar 2014 till 1.8 miljarder enheter ˚ar 2019 [14]. Detta ¨

okade intresse ger ett f¨orh¨ojt behov av forskning inom omr˚adet [1].

Den övervägande delen av initial forskning inom omr˚adet har fokuserat p˚a hantering av tekniska utmaningar för att realisera visionen av Ubiquitous Computing (ubicomp) i smarta hem och lösningar p˚a den främsta problematiken kring integration av individuella enheter i hemmet har tagits fram [18][6]. Efterhand som ny teknologi utvecklats har dock nya utmaningar introducerats [18]. Bland annat har införandet av tr˚adlösa nätverk och en förhöjd komplexitet i installation av ett större antal olika enheter samt interaktion mellan dessa enheter försv˚arat b˚ade underh˚all och säkerhet i smarta hem.

Komplexiteten i att skapa tillfredsställande säkerhet i smarta hem p˚averkar individers förh˚allningssätt till det fullständiga konceptet. I studier med fokus p˚a sociala hinder inom smarta hem [6][2] presenteras hinder som enligt författarna behöver behandlas innan smar-ta hem-konceptet blir fullt accepterat av allmänheten. Ett av dessa hinder är sv˚arigheterna i att upprätth˚alla ett säkert hem. Bland annat p˚avisas att de boende generellt uppskattar möjligheten och ser ett värde i att ha tillg˚ang till fjärrstyrd funktionalitet s˚asom kameror och dörrl˚as men att hälften av de tillfr˚agade upplever att fjärranslutning gör hemmet mer s˚arbart för utomst˚aende attacker [6]. D˚a smarta hem konceptuellt utgörs av teknologi som ¨

ar tänkt att höja boendes sinnesro och trygghet blir automatisering via fjärrstyrning para-doxalt eftersom teknologin i nuläget kan introducera b˚ade oro kring säkerhetsrisker s˚aväl som faktiska brister [18]. Den oro som existerar hos slutanvändare tillsammans med den komplexitet som existerar vad gäller ubicomp och fjärrstyrning visar att det finns ett be-hov av ökat fokus p˚a säkerhet hos produkterna för att vinna användarnas tillit och skydda användarens personliga data. Möjligheten till fjärrstyrning av hemmet kräver ocks˚a att kontroll över systemet inte kan utnyttjas av obehöriga [2].

1.1 Problemdiskussion

Det kan hävdas att automatiserade dörrl˚as är en god kandidat att vidare undersöka d˚a l˚as ¨

ar en allmänt förekommande säkerhets˚atgärd för hemmet. Brister i säkerheten specifikt gällande dessa enheter genererar risker b˚ade vad gäller stöld och integritet samt fysisk skada p˚a egendom och person. Övriga säkerhetslösningar i hemmet s˚asom kameror och larm är inte heller n˚agot definitivt skydd vid bristande säkerhet i dörrl˚aset.

Det är rimligt att anta att användare vid byte till ett uppkopplat dörrl˚as kommer att förvänta sig en säkerhetsniv˚a likvärdig eller bättre än säkerhetsniv˚an hos det föreg˚aende, konventionella dörrl˚aset. Bristen p˚a tillit till säkerheten i smarta hem, beskriven i

(14)

sens inledning, yttrar sig även i form av att försäkringsbolag ännu inte godkänner dessa l˚as som en adekvat säkerhets˚atgärd mot inbrott.

Bristen p˚a tillit p˚avisar ett utrymme för ytterligare forskning inom omr˚adet för att utvärdera säkerheten hos uppkopplade dörrl˚as samt huruvida oron över dessa är befogad.

1.2 Fr˚agest¨allning

Med utg˚angspunkt i problemdiskussionen har fokus för undersökningen lagts p˚a kommu-nikationen till och fr˚an uppkopplade dörrl˚as utifr˚an följande fr˚ageställning:

1. Kan utomst˚aende utvinna n˚agon information fr˚an d¨orrens kommunikation? 2. Vilken information g˚ar i s˚a fall att utvinna?

3. Vilka förutsättningar krävs för att utvinna denna information?

1.3 Syfte

Studien ämnar att genom experiment utvärdera uppkopplade dörrl˚as i smarta hem uti-fr˚an ett säkerhets- och integritetsperspektiv. Experiment p˚a en idag befintlig lösning för uppkopplade l˚as genomförs för att undersöka vilka, om n˚agra, problem som finns med kommunikationen hos en produkt som är ute p˚a marknaden i dagsläget.

Studien agerar även förstudie till ett större forskningsprojekt inom omr˚adet för smarta hem kallat Internet of Things and People som bedrivs p˚a Malmö Högskola.

1.4 Avgr¨ansning

I syfte att besvara studiens fr˚ageställning kommer befintlig teknik att undersökas. För att de praktiska delarna av undersökningen ska vara genomförbara kommer experimenten att begränsas till ett av de m˚anga smarta dörrl˚as som finns p˚a marknaden idag.

Studien kommer även avgränsas till att undersöka säkerhetsbrister i kommunikationen inom hemmet, specifikt mellan dörrl˚aset och tillhörande router.

(15)

2 Bakgrund och centrala begrepp

I detta kapitel presenteras bakgrund och centrala begrepp inom den dom¨an som studien bedrivs.

2.1 Smarta hem

Smarta hem är ett koncept som utgör en tillämpning av ubicomp och är en av huvud-domänerna för utvecklingen av Internet of Things [22]. Ett smart hem är resultatet av integrerad mjuk- och h˚ardvara i hemmet som, främst tr˚adlöst, samspelar för att skapa ett interaktivt och/eller kontextmedvetet smart system. Genom att integrera datorenheter i vanligt förekommande förem˚al kan smart kollaboration mellan noderna skapa förhöjd stan-dard i hush˚allet och ökad livskvalité för de boende. Exempel p˚a detta är smarta kuddar, sängar, mattor, soffor, l˚as, badrum och kylsk˚ap [16] som kan användas för att förbättra exempelvis sjukv˚ard, komfort, säkerhet, trygghet och energibesparing [1].

Definitionen av smarta hem är relativt bred och hur ett hem är automatiserat ˚asyftas inte vid användandet av begreppet. Oxford Dictionaries [9] definierar smarta hem enligt följande:

A home equipped with lighting, heating, and electronic devices that can be controlled remotely by smartphone or computer: ‘you can contact your smart home on the Internet to make sure the dinner is cooked, the central heating is on, the curtains are drawn, and a gas fire is roaring in the grate when you get home’

Definitionen framställer vad som används vid kommunikationen men anger inte defini-tivt vem eller vad som utlöser interaktionen. Detta medför att det finns ett utrymme för tolkning och ett flertal olika kategoriseringar av interaktion inom smarta hem har gjorts [6][12][25][3]. Exempelvis använder Bernheim Brush m.fl. [6] sig av termerna användar- och regelbaserad automatisering där ett regelbaserat smart hem agerar automatiskt baserat p˚a specifika händelser eller tidpunkter. Reglerna för händelserna är förprogrammerade och styrs ofta av sensorer medan ett användarbaserat smart hem grundar sig i att de boende aktivt interagerar med systemet. Detta kan vara när ett medel används för att styra olika enheter i hemmet, till exempel när en mobiltelefon används för att justera ljusstyrkan.

Utöver interaktionsorienterad kategorisering kan smarta hem-teknologi även delas upp utifr˚an vilket syfte det avser uppfylla. Denna uppdelning varierar n˚agot mellan författare men är ofta relaterad till specifika lösningar för komfort, energi och säkerhet [1][2]. Kom-fortlösningar kan best˚a av sensorer för att underlätta vardagssysslor med inriktning p˚a att höja bekvämligheten för de boende. Med energilösningar ligger fokus vid att automa-tiskt justera användandet av el för att undvika onödig förbrukning. Säkerhetslösningar syftar till att ge säkerhet och trygghet i hemmet, exempelvis genom kameror och dörrl˚as. Säkerhetslösningar har nödvändigtvis inte bättre IT-säkerhet än komfort- och energilös-ningar utan fokus för säkerhetslösenergilös-ningar ligger i hemsäkerhet. Bristande IT-säkerhet inom samtliga kategorier är ett aktuellt problem för utvecklandet av smarta hem [6].

(16)

2.2 Smarta d¨orrl˚as

Ett smart dörrl˚as är en digital enhet som är en möjlig tillämpning av smart hem-funktional-itet. Det smarta dörrl˚aset skiljer sig främst fr˚an det konventionella dörrl˚aset genom att användaren inte använder en fysisk nyckel utan istället använder sig av digital information för att öppna l˚aset. Detta utförs med eller utan verifiering av vem personen i fr˚aga är. Den digitala interaktionen med dörren kan vara via en eller en kombination av till exempel kortläsare, mobiltelefon, nyckelbricka, fingeravtryck och knappsats. De olika teknikerna kan dessutom implementeras p˚a olika sätt. Exempelvis kan en knappsats vara i form av en pekskärm eller mekaniska knappar [20][13].

(17)

3 S˚

arbarheter och relaterade arbeten

Enligt en studie inom omr˚adet för säkerhet i tr˚adlösa sensornätverk av Islam m.fl. [15] ¨

ar tillämpning av teknik för att säkerställa de boendes säkerhet och integritet i smarta hem-miljöer ett stort problem. I studien genomförs analys och presentation av aktuella säkerhetsbrister. Avlyssning av data framh˚alls som en av fem befintliga säkerhetsbrister (de andra är Denial of Service-attacker, enhetsintr˚ang, omdirigering/manipulation av pa-ket och fysiska attacker) där avlyssning av data är inriktat p˚a att f˚a ut känslig infor-mation ur systemet vilket kan, beroende p˚a vilken data som utvinns, kränka en individs integritet. Författarna hävdar även att säkerhet behöver integreras i varje enskild kom-ponent i nätverket för att inte riskera bli en säkerhetsbrist för hela systemet [15]. Detta ¨

ar dock problematisk d˚a det vid design och utvecklande av system ofta behöver göras kompromisser mellan säkerhet, prestanda och användbarhet eftersom kraven vanligtvis är motstridiga [21]. Exempelvis kan risken för att konfidentiell information avslöjas vid kom-munikation reduceras genom kryptering, men Sommerville [21] menar p˚a att efterhand som säkerhetsfunktioner läggs till är det oundvikligt att system kräver mer beräkningskraft och därmed riskerar bli mindre användbara.

¨

Aven Islam m.fl. [15] framhäver att stark kryptering är ett bra skydd gentemot avlyss-ning av kommunikation. Kryptering innebär dock att användaren m˚aste vänta p˚a att infor-mationen ska dekrypteras vilket medför väntetider och därmed försämrad användbarheten. Ben-Asher m.fl. [4] hävdar att säkerhetsfunktioner vanligtvis distraherar fr˚an vad använd-aren avser ˚astadkomma och att särskilt användare som är under press att klara av en aktivitet har en tendens att ta genvägar vad gäller säkerhet. Vid ett stort antal störande säkerhetsrelaterade moment i ett säkerhetssystem ökar även risken att användare inte kommer införskaffa och använda systemet i fr˚aga. Problematiken gällande säkerhet, pre-standa och användbarhet vid design är p˚ataglig vid utvecklandet av enheter inom smarta hem där ny teknologi integreras i konventionell funktionalitet (exempelvis dörrl˚as) där användare förväntar sig att enheten ska vara bland annat bekväm, enkel att använda och säker samtidigt som kostnaden ska vara rimlig [10].

Experiment p˚a utvalda enheters nätverksbeteende inom det smarta hemmet utförs i en studie av Notra m.fl. [19] för att undersöka om implementationen av kryptering, autentisiering och integritet är fullgod eller inneh˚aller s˚arbarheter. De smarta enheterna för experimentet utgörs av en glödlampa, strömbrytare och brandvarnare vilka är direkt uppkopplade till internet och enligt författarna tillhör de mest köpta och distribuerade enheterna inom ramen för Internet of Things.

Undersökningen av enheternas enskilda kommunikation utförs i en kontrollerad labb-miljö där nätverksaktiviteten mäts med hjäp av Wireshark. Resultaten av experimenten är varierande mellan enheterna och tester av brandlarmet, vars smarta egenskaper inkluderar rörelse-, ljus- och värmesensorer, visar inte p˚a n˚agra direkta svagheter utan all kommu-nikation är krypterad. Författarna [19] noterar dock att en del paket är av större storlek och att risken för att privat data loggas och samlas in existerar. Glödlampan, som till˚ater användaren att tr˚adlöst kontrollera ljuset via en mobilapplikation, saknar kryptering och kommunicerar i klartext över nätverket. Enbart användarnamnet doldes, dock endast i form av en kryptografisk hash (MD5). Detta innebär att en person som avlyssnar trafi-ken kan tillgodogöra sig detaljerad information ang˚aende status av hush˚allet, till exempel lokalisering av de boende.

(18)

Enligt författarna [19] har s˚arbarheter för den specifika typen av glödlampa redan ti-digare p˚avisats, varp˚a tillverkaren vidtagit ˚atgärder för presentation av användarnamnet. Resterande text var dock vid studiens genomförande (2014) fortfarande i klartext. Även strömbrytaren, som till˚ater användaren att tr˚adlöst kommunicera med olika typer av hem-utrustning via en mobilapplikation, uppvisar s˚arbarheter. Testning av denna p˚avisar fler-talet säkerhetsbrister relaterade till kommunikation med andra enheter, bland annat kom-munikation i klartext, avsaknad av autentisiering mellan enheter och ett öppet gränssnitt som listar handlingar med tillhörande parametrar. Detta innebär att en avlyssnare även för denna enhet hade kunnat tillgodogöra sig privat information relaterad till statusen av hemmet och dessutom hade kunnat interagera med uppkopplade enheter d˚a autentisering saknas. Liknande s˚arbarheter har även funnits i andra enheter och experiment [8][7].

I ytterligare en studie, genomförd inom ramen för avlyssning inom smarta hem, utför Srinivasan m.fl. [24] experiment p˚a smarta enheter där de i förväg känner till att kommu-nikationen är krypterad. I experimentet placeras det ut smart hemutrustning i ˚atta olika hush˚all som sedan avlyssnas under minst en veckas tid med fokus p˚a att läsa av tidpunkt för interaktioner tillsammans med unika skillnader i radiov˚agorna för varje sändare. Ana-lys av den insamlade datan visar att tidsbaserad avAna-lyssning av flera enheter kan ge utförlig information om hush˚allet och dess inneboende.

Simplifierat kan sägas att analysen inleds med en algoritm för att identifiera perioder när det inte sker n˚agon eller lite interaktion med enheterna, exempelvis under arbetsti-der och unarbetsti-der natten. Därefter används tidsförloppet mellan interaktionen med enheterna för att beräkna vilka enheter som befinner sig i samma rum. Redan i detta stadie menar författarna [24] att det är möjligt att f˚a en uppfattning om antalet boende genom att se att flera aktiviteter utförs parallellt. Nästkommande steg i analysen identifierar de enskil-da rummen i hush˚allet och deras funktionalitet och i det sista steget används starttid, tidspann och antalet interaktioner för att kunna identifiera specifikt vilka enheter som används. I studien görs även en analys utifr˚an en realistisk miljö där resultaten visar att en avlyssnare kan tillgodogöra sig information om hush˚allet även under suboptimala förh˚allanden där räckvidden till sändare kan vara otillräcklig eller kommunikationen in-neh˚aller en stor mängd paketförluster. Författarna lyfter även fram att deras typ av attack eventuellt är en av flera och att andra typer av attacker kan förekomma i kontor-, industri-och stadsmiljö.

Den problematik som presenteras gällande systemdesign [4][21] och främst de s˚ arbarhe-ter som exisarbarhe-terar gällande kommunikation [19][15] visar att det fortfarande är aktuellt med omfattande s˚arbarheter inom smarta hem. Valet av systemdesign kan eventuellt utgöra ett fundamentalt hinder d˚a prestanda kan vara en kostnadsfr˚aga för tillverkare (och därmed användare) vilket innebär att det kan vara invecklat att framställa en produkt som inne-har tillfredsställande säkerhet och samtidigt ger ekonomisk vinning. Detta medför att det finns ett behov av ytterligare undersökning av smarta enheter, i synnerhet de enheter som i sig själv traditionellt utgör en säkerhets˚atgärd s˚asom dörrl˚as. Det faktum att experiment ¨

aven visar att kryptering inte är en komplett lösning [24] trots att det föresl˚as som en säkerhets˚atgärd [15][21] pekar p˚a vidare undersökningar av enheter som utnyttjar kryp-terad kommunikation kan behövas. Eventuellt kan mer specifika experiment än de som genomförts av Srinivasan m.fl. [24] p˚avisa mer än att n˚agon interaktion med enheten sker.

(19)

4 Systembeskrivning

I syfte att besvara studiens fr˚ageställning kommer n˚agon av de smarta hem-lösningar som finns p˚a marknaden idag undersökas. Detta kapitel ämnar beskriva det system som huvud-sakligen undersökts samt ställa det i relation till andra, alternativa system som ˚aterfinns p˚a marknaden eller i litteraturen. Detta för att senare kunna generalisera undersökningens resultat till en bredare domän.

4.1 Det unders¨okta systemet

Detta avsnitt beskriver systemets arkitektur och kommunikationskanaler och ligger till grund för motivationen av en del av de beslut som tagits gällande undersökningsmetodik. Systemet är huvudsakligen riktat mot hemsäkerhet, med utveckling mot ett främst användarbaserat smart hem.

4.1.1 Arkitektur

Systemet best˚ar av en uppsättning hemutrustning s˚asom larm, rökdetektorer, kameror och l˚as som kopplas samman via en central router. Denna router samordnar kommunikationen, dels mellan enheterna inom hemmet men även med systemets leverantör och deras larm-central. Till systemet hör även en webbsida och en mobilapplikation som kan användas för att styra olika aspekter av hemmet p˚a distans.

Systemet kommunicerar via flertalet kanaler. Internt inom hush˚allet kommunicerar sy-stemets enheter och router med hjälp av radiosignaler p˚a 868 MHz-bandet. Extern kommu-nikation sker enbart via routern som även är utrustad med h˚ardvara för att kommunicera antingen över hush˚allets befintliga internetuppkoppling eller via GPRS.

Kommunikation mellan webbsidan eller mobilapplikationen och hush˚allets enheter g˚ar i praktiken fr˚an användarens dator eller smartphone till tillverkaren över internet, varefter tillverkaren kommunicerar med routern som sedan kommunicerar med tilhörande enheter enligt tidigare beskrivet mönster. Figur 1 visar en överblick av systemet.

Figur 1: ¨Overblick av systemet.

4.1.2 Det unders¨okta l˚aset

Det unders¨okta systemet erbjuder ett smart l˚as att integrera i sitt smarta hem. Detta l˚as g˚ar att l˚asa upp med nyckelbricka, kod, fj¨arrkontroll och via webbsidan samt

(20)

lapplikationen. Det är även möjligt att via mobilapplikationen f˚a notifikationer om när l˚aset öppnas. L˚aset kan integreras via systemet med bland annat hemlarmet för att även erbjuda vissa automatiserade handlingar, s˚asom att avaktivera larmet i samband med att dörren l˚ases upp.

4.2 Alternativa system

Utöver det system som undersökningen baseras p˚a finns en mängd alternativa system med varierande funktionalitet och syfte ute p˚a marknaden, men f˚a alternativ som delar utbud av smarta enheter. Av de alternativ som best˚ar av kompletta säkerhetslösninger erbjuder endast ett f˚atal smarta l˚as. Det finns dock flera ytterligare alternativ för frist˚aende smarta l˚as som inte är kopplade till n˚agon större plattform för smarta hem.

De kompletta säkerhets- eller smarta hem-lösningar som inkorporerat smarta l˚as gör det, likt det undersökta systemet, som en tilläggsenhet till ett befintligt system. I des-sa fall är möjligheten att l˚asa upp med klassisk nyckel, kod, nyckelbricka eller mobilap-plikation vanliga. Dessa system erbjuder en smart hem-lösning p˚a en användarbaserad niv˚a, där fjärrstyrningsmöjligheterna sköts via systemens befintliga kommunikationskana-ler i enlighet med den redan befintliga arkitekturen. Tv˚avägskommunikation mellan l˚aset och mobilapplikationen eller webbsidan erbjuds d˚a ofta via leverantören genom en upp-koppling fr˚an en central enhet i hemmet. Intern kommunikation p˚a radiofrekvenser p˚a ISM-banden med exempelvis ZigBee-protokollet [13] och extern kommunikation över flera kanaler s˚asom hush˚allets internetuppkoppling, GPRS och telefonnätet är vanliga. Arkitek-turen och kommunikationsmöjligheterna i dessa lösningar tycks generellt vara likartade, med n˚agon central enhet, kommunikation med leverantören över flera kanaler och fjärrstyre via leverantören.

De l˚as som inte kopplats till befintliga säkerhetssystem fungerar som frist˚aende enheter med varierade lösningar för kommunikation och konfiguration. Till dessa l˚as är det vanligt att erbjuda uppl˚asningsmöjligheter med klassisk nyckel, nyckelbricka och mobilapplikation. Av dessa är det trots möjligheten att kommunicera med l˚aset via en mobilapplikation f˚a som erbjuder internetuppkoppling till själva l˚aset. I de fall d˚a kommunikation hanteras utan internetuppkoppling görs det enligt varierade tekniker s˚asom Bluetooth, RFID och

NFC. ¨Aven konfiguration görs d˚a via mobilapplikationerna, och i de fall d˚a dessa l˚as även erbjuder notifikationer om händelser relaterade till l˚aset är det istället mobilapplikatio-nen som används för att l˚asa upp dörren som st˚ar för utsändningen av denna händelse.

¨

Aven för denna typ av l˚as är den användarbaserade niv˚an av smarta hem vanligast, där användaren m˚aste utföra n˚agon specifik handling med mobilapplikationen för att l˚asa eller l˚asa upp. Det finns dock alternativ som g˚ar mer ˚at den regelbaserade niv˚an för smarta hem-upplevelsen genom att l˚asa upp l˚aset vid beröring om n˚agon med en digital nyckel i sin mobil befinner sig utanför dörren.

En s˚adan heterogen marknad med f˚a allmänna och gemensamma faktorer gör det nödvändigt att anpassa metoden efter det specifika system som utvärderas. Det som lösningarna har gemensamt är dock en delad vision och domän samt tr˚adlös kommu-nikation, vilket även ger dem en delad hotbild och delade krav p˚a säkerhet. Detta gör att s˚arbarheter för ett av l˚asen sannolikt kan generaliseras för att vara relevanta även för flera andra l˚as, även om de tekniska detaljerna kring implementationen av en praktisk attack skiljer sig ˚at.

(21)

5 Metod

Detta kapitel beskriver den metodik som valts för utförandet av studien. Valet av ex-periment p˚a dörrl˚aset med avlyssning av kommunikation är baserat p˚a tidigare studiers [19][24][8][7] metodik med genomförd avlyssning i labbmiljö, uppföljt av paketanalys med hjälp av igenkänningsskript.

5.1 Metodbeskrivning

Studien bestod av praktiska experiment p˚a ett befintligt uppkopplat l˚as som fanns ute p˚a marknaden vid studiens utförande. L˚aset undersöktes genom avlyssning och kvantitiv data av den radiobaserade kommunikation som sker mellan l˚asenheten och den centrala routern i systemet samlades in. Efter avlyssningen analyserades den uppsamlade datan med hjälp av en mönsterigenkänningsalgoritm för att slutligen analyseras manuellt i syfte att finna gemensamma drag i datan som utgjort n˚agon form av information om systemet eller systemets användare.

5.1.1 Datainsamling

Experimentet inleddes med insamling av data genom avlyssning av den radiobaserade kommunikation som utgör dörrens kommunikationskanal med det större systemet. Av-lyssningen skedde med hjälp av en generisk radiomottagare med möjligheten att avläsa radiosignaler p˚a 868 MHz-bandet som kopplades via USB till en bärbar Linux-driven da-tor. P˚a datorn kördes mjukvara baserad p˚a GNU Radio för att hantera demodulering av signalen och uppbrytandet av datan till enskilda meddelandepaket. Under utförandet användes ett testsystem tillhandah˚allet av tillverkaren för att till stor del överensstämma med ett realistiskt, driftsatt system.

Inför insamlingen identifierades tio vardagliga handlingar att utföra vid interaktion med dörren och som resulterade i sändning av radiosignaler inom systemet. Dessa hand-lingar utfördes 50 g˚anger vardera och de meddelanden som sändes ut sparades och kate-goriserades utifr˚an utförd handling. De interaktioner som utfördes med dörren var:

i. L˚asa upp d¨orren med kod.

ii. L˚asa upp d¨orren med nyckelbricka. iii. L˚asa upp d¨orren via hemsidan.

iv. L˚asa upp d¨orren via mobilapplikationen. v. L˚asa d¨orren via fysisk knapp.

vi. L˚asa d¨orren via hemsidan.

vii. L˚asa dörren via mobilapplikationen. viii. Öppnande av dörr.

ix. St¨angande av d¨orr.

x. Inmatning av felaktig kod.

(22)

5.1.2 Automatiserad meddelandeanalys

Utifr˚an de meddelande som samlats in under avlyssningen utfördes sedan en automatiserad analys av datan i flera steg med hjälp av igenkänningsskript (se bilaga A och B). Skriptens syfte var att utvärdera sannolikheten för att finna upprepande inneh˚all och identifiera gemensamma sekvenser i de insamlade meddelandena inom varje kategori. Resultatet av den automatiserade mönsteranalysen l˚ag som grund för den manuella analysen.

I det första steget av den automatiserade analysen användes ett egenskapat skript för att jämföra varje meddelande med varje annat meddelande som samlats in under utförandet av samma handling. Jämförelsen skedde sekventiellt utifr˚an varje enskild byte i samtliga datapaket tillhörande meddelandet och avgjorde om det byte p˚a motsvarande position i de b˚ada meddelandena var lika. Detta antal lika byte dividerades p˚a längden av det längsta av de tv˚a meddelandena för att f˚a ut den procentuella likheten mellan med-delandena i syfte att bilda en uppfattning om sannolikheten att finna best˚aende mönster i meddelandena.

Efter första analysen användes resultatet för att etablera gränsvärden för normala re-spektive extrema värden i syfte att filtrera bort felaktigt insamlade meddelanden inför den mer detaljerade analysen. Till extremvärde räknades de meddelande vars procentuella lik-het med de andra jämförda meddelandena var mer än ett och ett halvt inre kvartilavst˚and

lägre än den första kvartilen eller lika mycket högre än tredje kvartilen.

Utifr˚an de meddelande som bedömts som normalvärde utfördes sedan ytterligare en automatiserad analys i syfte att finna de faktiska likheter som existerade mellan med-delandena för en handling. Detta gjordes genom ytterligare en sekventiell genomg˚ang av samtliga meddelandes binärdata uppdelad efter byte. För varje byte etablerades samtliga förekommande värden och antalet förekomster som användes för att sammanställa en ge-nerell modell för varje meddelandetyp. Detta utgjorde grunden för den manuella analysen. 5.1.3 Manuell analys

Slutligen utfördes en manuell analys av den insamlade datan i kombination med resultatet av den automatiserade mönsteranalysen i syfte att identifiera vad de funna mönstren representerade, vad de avlyssnade meddelandena innehöll och vilken information detta förmedlade till avlyssnaren om dörrens användning och dess användare.

Vidare genomfördes en jämförande analys av de gemensamma mönster som funnits inom varje utförd handling för att se vilka likheter och skillnader som kunde identifieras mellan de olika handlingarna. Detta i syfte att försöka särskilja meddelande för de olika handlingarna.

5.2 Metoddiskussion

Vid utförandet av det praktiska experimentet utfördes samtliga av de identifierade hand-lingarna 50 g˚anger vardera för att bygga upp en stabil grund för mönsterigenkänningen. Interaktionen med dörren samt avläsningen och kategoriseringen av den avlyssnade datan skedde manuellt, varför varje handling var tidsödande. Det valda antalet bedömdes vara tillräckligt stort för att eliminera tillfälligheter med slumpmässigt uppst˚aende mönster men fortfarande ett överkomligt antal tester att utföra manuellt. Mängden valdes även ut-ifr˚an antagandet att en del av mätningarna troligtvis skulle p˚averkas av andra sändningar

(23)

som p˚agick under tiden som testerna utfördes vilket bedömdes möjligt att kompensera för med denna mängd mätningar. Avlyssning av interaktion i form av konfiguration av dörrl˚aset valdes bort d˚a utförandet av dessa sällan sker i driftsatta system.

För den automatiserade analysen utfördes jämförelserna sekventiellt under antagandet att meddelandena var sekventiella i sin struktur och att datan höll konstant positione-ring, n˚agot som ofta är sant för diverse binära filformat och kommunikationprotokoll. Egenskapade skript (se bilaga A och B) användes för igenkännande av likheter i medde-landen. Resultatet av dessa skript validerades genom jämförelse med manuell beräkning p˚a slumpvis utvald data. Initialt provades normalized compression distance [17] vilket visade sig op˚alitligt p˚a grund av de begränsade komprimeringsmöjligheterna för medde-lande i storleksordningen 52 byte. ¨Aven MinHash-metoden [5] för uträkning av Jaccards likhetskoefficient övervägdes men bedömdes olämplig p˚a grund av m˚alet att sammanställa antalet skillnader snarare än antalet skilda värden.

Det kan tänkas att alternativa metoder varit möjliga, s˚asom granskning av befintlig dokumentation gällande systemets kommunikationsprotokoll. Denna granskning hade d˚a ersatt experiment som metodval. Denna dokumentation är dock inget som finns tillgängligt för allmänheten p˚a grund av att systemet nyttjar ett proprietärt kommunikationsprotokoll. Dokumentationen gjordes inte heller tillgänglig för utförandet av denna studie i syfte att simulera utomst˚aendes förutsättningar.

(24)

6 Resultat och analys

Följande kapitel avser presentera det resultat som införskaffats under experimentet. Vidare genomförs fortlöpande analys av resultatet efterhand som det presenteras och där varje nytt resultat är produkten av föreg˚aende analys. Resultatet är uppdelat i olika avsnitt utifr˚an syfte. Inledningsvis presenteras en jämförelse inom den egna kategorin för att se de procentuella likheterna. Därefter presenteras en skriptbaserad jämförelse mellan enskilda byte inom varje kategori följt av en manuell jämförelse mellan kategorierna.

6.1 Insamlad data

Insamlingen av data resulterade i 50 insamlade meddelande f¨or var och en av de tio identifierade handlingarna till det totala antalet 500 stycken. Olika handlingar visade sig best˚a av olika antal datapaket per meddelande, till ett totalt antal av 2330 stycken.

Handling Insamlade paket Paket per meddelande i. Uppl˚asning med kod 202 4.04

ii. Uppl˚asning med nyckelbricka 205 4.10 iii. Uppl˚asning via hemsidan 305 6.10 iv. Uppl˚asning via mobilapplikationen 306 6.12 v. L˚asning via fysisk knapp 100 2.00 vi. L˚asning via hemsidan 304 6.08 vii. L˚asning via mobilapplikationen 305 6.10 viii. Oppnande av d¨orr¨ 201 4.02

ix. St¨angande av d¨orr 302 6.04

x. Inmatning av felaktig kod 100 2.00

Tabell 1: Antal insamlade paket och genomsnittligt antal paket per meddelande f¨or varje handling.

Avlyssnade meddelande avlästes i binär form, formaterat till hexadecimala tal av stor-leken en byte (˚atta bit). Nedan följer ett exempel, best˚aende av tv˚a paket p˚a 26 byte vardera. För fullständig data, se bilaga C.

04 CF 02 10 06 8C 01 04 1D 61 F0 37 0A 42 77 D2 03 7B 7E D2 17 48 7D B2 6B 47 0E DF 01 04 1D 61 02 10 06 8C 6A 94 E4 1E B1 DE 8B 8A 97 E0 CE D7 D2 C8 9C 19

Att det genomsnittliga antalet paket i ett meddelande inom flera av handlingarna inte ¨

ar heltal beror p˚a att en del av de insamlade meddelandena blandats med övriga radi-osändningar inom systemet. Under avlyssningen observerades stundvis sporadisk kommu-nikation mellan dörren och routern vilket även i vissa fall tycks ha sammanfallit med de utförda testerna, varp˚a det uppsamlade meddelandet framst˚att som längre än den klara majoriteten av meddelande inom kategorin.

6.2 Procentuella likheter

Figur 2 avbildar ett diagram som visar p˚a procentuella likheter hos inneh˚allet i de med-delande som avlyssnats f¨or varje utf¨ord handling.

(25)

Upp l˚asn ing med kod Upp l˚asn ing med nyck elbr icka Upp l˚asn ing via hem sidan Upp l˚asn ing via mob ilapp likat ione n L˚asn ing via fysis kkn app L˚asn ing via hem sidan L˚asn ing via mob ilapp likat ione n Öppn ande avdö rr Stän gand eav dör r Inm atni ngav felak tig kod 5 10 15 20 25 30 35 40 P ro ce n t (% ) Minimum Maximum Median

Figur 2: Procentuella likheter hos inneh˚allet i avlyssnade meddelande f¨or varje utf¨ord handling.

Samtliga jämförelser av paket inom utförda handlingar resulterade i en median med likheter inom spannet av 26% och 35%. Det fanns minst procentuell likhet vid inmatning av felaktig kod (26%) följt av uppl˚asning med nyckelbricka (30%). Resterande utförda handlingar hade likheter med ett medianvärde p˚a 35% mellan paketen. I samtliga fall var det procentuella maxvärdet lika med eller nära medianvärdet. De handlingar där en skill-nad mellan värdena kunde utgöras var för uppl˚asning med kod, öppnande och inmatning av felaktig kod där skillnaden var en procentenhet. Skillnaden mellan det minsta värdet och medianen för varje utförd handling var desto större. Störst skillnad hade öppnande där det skilde 26 procentenheter. Även resterande handlingar förutom l˚asning via fysisk knapp och inmatning av felaktig kod hade relativt stora skillnader.

Skillnad mellan det lägsta värdet och medianen tycks bero p˚a felaktigt insamlad data, d˚a de relevanta meddelandena för handlingen blandats med sporadiskt utsända meddelan-de eller d˚a borttappade meddelande lett till att det normala meddelandeflödet störts. Det faktum att samtliga handlingar uppvisar en s˚a stor mängd likheter, med cirka en tredjedel av det totala meddelandeinneh˚allet gemensamt för samtliga meddelande för en majoritet av handlingarna, tyder p˚a att en betydande del av meddelandet sänds okrypterat. Denna okrypterade del kan användas för att finna eventuella mönster för varje meddelande för en handling och som därmed kan användas för att särskilja meddelande för olika handlingar.

(26)

6.2.1 Filtrering

Filtrering skedde utifr˚an resultatet f¨or de procentuella likheterna inom varje kategori. Tabell 2 visar antal meddelande som kvarstod f¨or vardera handling efter filtreringen.

Handling Resterande meddelande i. Uppl˚asning med kod 38

ii. Uppl˚asning med nyckelbricka 43 iii. Uppl˚asning via hemsidan 46 iv. Uppl˚asning via mobilapplikationen 35 v. L˚asning via fysisk knapp 50 vi. L˚asning via hemsidan 43 vii. L˚asning via mobilapplikationen 31 viii. Oppnande av dörr¨ 39 ix. Stängande av dörr 33 x. Inmatning av felaktig kod 49

Tabell 2: Resterande meddelande f¨or varje handling efter filtrering.

Samtliga handlingar förutom l˚asning via fysisk knapp hade enligt vald filtrering av-vikande meddelande. Inmatning av felaktig kod hade enbart ett bortfall. Interaktion via mobilapplikationen hade lägst antal lika meddelande med 35 för uppl˚asning och 31 för l˚asning. Interaktion via hemsidan hade ett relativt litet antal bortfall med 43 för l˚asning och 46 för uppl˚asning. Fysisk interaktion med dörren i form av öppnande och stängande hade 39 respektive 33 homogena meddelanden. Uppl˚asning med kod och nyckelbricka hade 38 respektive 43 honomgena meddelande.

Nämnvärt är att filtrering enligt den valda metoden f˚ar ett väldigt smalt fönster för vad som är att betrakta som normalvärden vid s˚a jämna resultat som de procentuella likheterna uppvisat. För en majoritet av handlingarna var de procentuella likheterna s˚a jämna att b˚ade den första kvartilen och den tredje kvartilen föll p˚a samma värde, vilket resulterar i ett kvartilavst˚and p˚a noll och därmed ett spann för normalvärden p˚a endast detta specifika värde.1 _{Genom denna händelse har även en del meddelande med högre}

likheter än medianen (vilket tycks kunna attribueras slumpen) filtrerats bort. Filtreringen tycks dock vara väldigt effektiv i bemärkelsen att samtliga meddelande med en atypisk mängd paket filtrerats bort, resulterande i en homogen uppsättning data best˚aende av en majoritet av de insamlade mätvärdena.

Vid jämförande med antal paket per meddelande (tabell 1) finns det ett eventuellt mönster relaterat till ett större bortfall vid ett större antal paket per meddelande. Inter-aktion via hemsidan avviker dock fr˚an detta mönster och har ett relativt litet bortfall för b˚ade l˚asning och uppl˚asning trots en paketmängd p˚a sex per meddelande. Det är dock inte osannolikt att det eventuella mönstret är slumpmässigt.

6.3 Sekventiella likheter

Den djupare analysen av mönstren i datan p˚avisar förutsägbarheten hos de sända med-delandena för varje handling. Tabellerna 3-12 visar de konstanta mönster som funnits. I

1

q1−1.5(q1− q3) ≤ x ≤ q3+ 1.5(q1− q3), q1= q3⇒ q1= q3≤ x ≤ q3= q1⇒ x= q1= q3

(27)

tabellen representerar varje rad ett datapaket inom det undersökta meddelandet och varje kolumn representerar en byte i datapaketet. Celler inneh˚aller den hexadecimala represen-tationen av de värden som varit konstanta för samtliga meddelande inom kategorin. De byte vars inneh˚all ej varit konstant har markerats med en eller flera asterisker (*) för vidare analys.

i. Uppl˚asning med kod

1 2 3 4 5 6 7 8 9 10 11→ 1 08 * 02 10 06 8C 01 04 1D 61 ** (32) 2 0E * 01 04 1D 61 02 10 06 8C ** (16) 3 04 * 02 10 06 8C 01 04 1D 61 ** (16) 4 0E * 01 04 1D 61 02 10 06 8C ** (16)

Tabell 3: Sammanst¨allning av data f¨or uppl˚asning med kod.

ii. Uppl˚asning med nyckelbricka

1 2 3 4 5 6 7 8 9 10 11→ 1 08 * 02 10 06 8C 01 04 1D 61 ** (32) 2 0E * 01 04 1D 61 02 10 06 8C ** (16) 3 04 * 02 10 06 8C 01 04 1D 61 ** (16) 4 0E * 01 04 1D 61 02 10 06 8C ** (16)

Tabell 4: Sammanst¨allning av data f¨or uppl˚asning med nyckelbricka.

iii. Uppl˚asning via hemsidan

1 2 3 4 5 6 7 8 9 10 11→ 1 08 * 02 10 06 8C 01 04 1D 61 ** (16) 2 0C * 01 04 1D 61 02 10 06 8C ** (16) 3 0E * 01 04 1D 61 02 10 06 8C ** (16) 4 0C * 02 10 06 8C 01 04 1D 61 ** (16) 5 04 * 02 10 06 8C 01 04 1D 61 ** (16) 6 0E * 01 04 1D 61 02 10 06 8C ** (16)

Tabell 5: Sammanst¨allning av data f¨or uppl˚asning via hemsidan.

(28)

iv. Uppl˚asning via mobilapplikationen 1 2 3 4 5 6 7 8 9 10 11→ 1 08 * 02 10 06 8C 01 04 1D 61 ** (16) 2 0C * 01 04 1D 61 02 10 06 8C ** (16) 3 0E * 01 04 1D 61 02 10 06 8C ** (16) 4 0C * 02 10 06 8C 01 04 1D 61 ** (16) 5 04 * 02 10 06 8C 01 04 1D 61 ** (16) 6 0E * 01 04 1D 61 02 10 06 8C ** (16)

Tabell 6: Sammanst¨allning av data f¨or uppl˚asning via mobilapplikationen.

v. L˚asning via fysisk knapp

1 2 3 4 5 6 7 8 9 10 11→ 1 04 * 02 10 06 8C 01 04 1D 61 ** (16) 2 0E * 01 04 1D 61 02 10 06 8C ** (16)

Tabell 7: Sammanst¨allning av data f¨or l˚asning via fysisk knapp.

vi. L˚asning via hemsidan

Tabell 8: Sammanst¨allning av data f¨or l˚asning via hemsidan.

vii. L˚asning via mobilapplikationen

Tabell 9: Sammanst¨allning av data f¨or l˚asning via mobilapplikationen.

(29)

viii. ¨Oppnande av d¨orr 1 2 3 4 5 6 7 8 9 10 11→ 1 0C * 02 10 06 8C 01 04 1D 61 ** (16) 2 0E * 01 04 1D 61 02 10 06 8C ** (16) 3 04 * 02 10 06 8C 01 04 1D 61 ** (16) 4 0E * 01 04 1D 61 02 10 06 8C ** (16)

Tabell 10: Sammanställning av data för öppnande av dörr.

ix. St¨angande av d¨orr

1 2 3 4 5 6 7 8 9 10 11→ 1 0C * 02 10 06 8C 01 04 1D 61 ** (16) 2 0C * 01 04 1D 61 02 10 06 8C ** (16) 3 0E * 01 04 1D 61 02 10 06 8C ** (16) 4 0C * 02 10 06 8C 01 04 1D 61 ** (16) 5 04 * 02 10 06 8C 01 04 1D 61 ** (16) 6 0E * 01 04 1D 61 02 10 06 8C ** (16)

Tabell 11: Sammanställning av data för stängande av dörr.

x. Inmatning av felaktig kod

1 2 3 4 5 6 7 8 9 10 11→ 1 08 * 02 10 06 8C 01 04 1D 61 ** (32) 2 0E * 01 04 1D 61 02 10 06 8C ** (16)

Tabell 12: Sammanst¨allning av data f¨or inmatning av felaktig kod.

Utifr˚an resultatet presenterat i tabellerna framg˚ar att varje meddelande, uppdelat efter handling, best˚ar av ett konstant antal datapaket med nio gemensamma byte. Även byte nummer tv˚a (*) uppvisar n˚agon form av mönster i form av variabelt inneh˚all p˚a ett av ˚atta möjliga värden. Dessa ˚atta värden är gemensamt ˚aterkommande för samtliga handlingar. Byte nummer elva och fram˚at (**) uppvisar dock inga gemensamma drag, men är av varierande längd, vilken presenterats inom parentes i tabellen.

Längderna p˚a den icke-reguljära datan sist i varje paket är antingen 16 eller 32 byte beroende p˚a meddelandetyp. Blockstorleken för den standardiserade krypteringsalgorit-men AES -128 är 128 bit [23], eller 16 byte, vilket leder till att data krypterad med denna algoritm f˚ar en längd p˚a en multipel av 16 byte. Detta antyder möjligtvis att denna sista del av varje datapaket utgör paketets payload, krypterad med AES-128. Det som befinner sig framför detta är d˚a troligtvis en okrypterad header med metadata p˚a tio byte. Att den kompletta datamängden inte är fullständigt krypterad visar att den problematik gällande kryptering som Notra m.fl. [19] undersökt fortfarande är aktuell. Det faktum att majorite-ten av datan i meddelandena är krypterad skyddar dock eventuellt mot att en avlyssnare

(30)

i klartext hade kunnat tillgodog¨ora sig detaljerad information om hush˚allet, efterliknat meddelandet eller direkt manipulerat systemet.

Majoriteten av den förmodade headern tycks best˚a av identifikationsinformation för avsändare (byte tre till sex) och mottagare (byte sju till tio), d˚a värdena i dessa kolumner byter plats för vad som antas vara ett svarsmeddelande. Utifr˚an detta antagande kan vidare antas att paketets första byte representerar en pakettyp, d˚a den typiskt är 0E för svarsmeddelande och i annat fall varierar. Vad paketets andra byte representerar förblir oklart. Tabell 13 visar en sammanställning av paketets förmodade uppdelning.

1 2 3 4 5 6 7 8 9 10 11→ 08 * 02 10 06 8C 01 04 1D 61 ** (32) Typ Avs¨andare Mottagare Data

Tabell 13: Sammanst¨allning av ett pakets f¨ormodade delar.

Utifr˚an detta kan en obehörig avlyssnare identifiera ett dörrl˚as och tillhörande router inom ett specifikt hush˚all genom att under p˚ag˚aende avlyssning medvetet sl˚a in fel kod p˚a dörren. Utifr˚an vetskapen att ett meddelande sänts ut vid just denna tidpunkt kan dörrl˚aset identifieras genom det ID för avsändare som headern inneh˚aller. Den tillhörande routern kan p˚a samma sätt identifieras utifr˚an det ID för mottagare som finns i samma header. Med vetskapen om dessa ID kan samtliga meddelande inom systemet som inte rör dörrl˚aset filtreras bort. Om hush˚allet har flera s˚adana dörrl˚as kan dessa även särskiljas. Om systemet finns installerat i flera hush˚all i samma omr˚ade kan denna metod ocks˚a utnyttjas för att särskilja p˚a hush˚allen.

6.4 Kategoriska j¨amf¨orelser

I detta kapitel presenteras resultatet av den manuella jämförelsen av kommunikationen presenterad i tabellerna 3-12. Först presenteras vilka likheter som funnits och inom vilka handlingar de finns. Detta följs upp av de skillnader som finns mellan de olika handlingarna. 6.4.1 Likheter

Detta avsnitt presenterar de likheter som funnits inom olika handlingar efter manuell analys av tabellerna 3-12.

Likheter mellan uppl˚asning och l˚asning via hemsida och mobilapplikation Jämförelse av tabellerna visar att tabell 5, 6, 8 och 9, tillhörande uppl˚asning och l˚asning via hemsida och mobilapplikation, är identiska vad gäller byte-representation i hexadecimaler. Handlingarna delar även en meddelandelängd p˚a sex paket per meddelande. Detta innebär att kommunikationen mellan dörrl˚as och router vid interaktion via dessa medel inte kan särskiljas. Anledningen till att meddelandena är lika beror eventuellt p˚a det faktum att kommunikationen g˚ar via tillverkarens tjänst (beskrivet i 3.1.2) och att handlingarna för hemsida och mobilapplikation behandlas p˚a samma sätt oavsett användarens gränssnitt.

(31)

Likheter mellan uppl˚asning med kod och nyckelbricka

Jämförelse av tabellerna visar även att tabell 3 och 4, tillhörande uppl˚asning med kod och uppl˚asning med nyckelbricka, är identiska vad gäller byte-representation i hexadeci-maler och meddelandelängd vilket medför att handlingarna inte kan särskiljas. Medde-landelängden för handlingarna är sex paket per meddelande. Att kommunikationen för handlingarna är lika tyder p˚a att dörren meddelar systemet efter att dörren behandlat informationen den f˚ar fr˚an knappsatsen alternativt nyckelbrickan.

Likheter mellan öppnande och stängande av dörr ¨

Oppnande av dörr och stängande av dörr, presenterat i tabell 10 och 11, visar ocks˚a p˚a likheter. Vid kommunikation för dessa handlingar är det första paketets första byte alltid representerad som 0C, vilket enbart är gemensamt för dessa tv˚a handlingar. Detta är dock den enda funna likheten för dessa tv˚a handlingar.

6.4.2 Skillnader

Utifr˚an de identifierade likheterna har kategorier av handlingar som ¨ar identifierbara som olika tagits fram. Nedan presenteras de skillnader som ¨ar identifierade i tabellerna 3-12 utifr˚an de unika kategorierna.

Meddelande-l¨angd Typ p˚a inledande paket L¨angd p˚a data i inledande paket

Interaktion p˚a avst˚and 6 paket 08 16 byte St¨angande av d¨orr 6 paket 0C 16 byte Uppl˚asning med

kod/nyckelbricka

4 paket 08 32 byte

¨

Oppnande av d¨orr 4 paket 0C 16 byte L˚asning via fysisk knapp 2 paket 04 16 byte Inmatning av felaktig

kod

2 paket 08 32 byte

Tabell 14: Identifierbara interaktionskategorier.

Tabell 14 visar kombinationen av de värden som tillsammans utgör en unik sam-mansättning. “Meddelandelängd” visar det antal paket som utgör varje meddelande. “Typ p˚a inledande paket” visar den byte som kommer först i meddelandets inledande paketet. “Längd p˚a inledande paket” visar storleken i byte av den data som sänds i meddelandets första paket.

Resultatet i ovanst˚aende tabell kan användas för att identifiera ett godtyckligt av-lyssnat meddelande och placera det inom ramarna för n˚agon av de sex definierade hand-lingskategorierna genom olika kombinationer av dessa tre m˚att. Exempelvis kan medde-landelängden (mätt i antal paket) undersökas för att placera meddelandet i n˚agon av tv˚a kategorier med denna meddelandelängd. Vidare kan sedan pakettypen för det inledan-de paketet, inledan-det vill säga inledan-det inledaninledan-de paketets första byte, uninledan-dersökas för att placera

(32)

meddelandet i en specifik kategori. En kombination av värden ur dessa tv˚a kolumner är i samtliga fall tillräckligt för att entydigt identifiera korrekt kategori. Andra kombinationer ¨

ar inte lika säkra, men kan i en del fall användas för att säkerställa meddelandetypen. En kombination av meddelandelängd och datalängd p˚a det inledande paketet kan användas för att entydigt kategorisera meddelande inom fyra av de sex kategorierna och en kombi-nation av typ och längd p˚a datan i det inledande paketet placerar meddelanden entydigt i tv˚a av sex fall. I övriga fall finns med dessa kombinationer tv˚a möjliga kategoriseringar för meddelandet.

Vid full kryptering av meddelande hade m˚attet för typ p˚a inledande paket inte varit möjligt att avläsa och längden p˚a datadelen i det inledande paketet hade inte g˚att att urskilja fr˚an resterande del av paketet. Den totala paketlängden hade, om fullständigt krypterat med AES-128, blivit en multipel av 16 byte [23]. Vad paketlängden faktiskt blivit g˚ar inte att förutse p˚a grund av headerns längd p˚a tio byte (vilket inte är en multipel av 16 byte) och det faktum att datans faktiska längd är okänd. Paketlängden hade s˚aledes kunnat variera mellan 16 byte om datan varit maximalt sex byte l˚ang och 48 byte om datan varit 32 byte l˚ang. Längre meddelande kan inte förekomma d˚a inget paket inneh˚aller mer ¨

an 32 byte data.

Trots fullständig kryptering hade det dock varit möjligt att identifiera paketlängden för meddelande, vilket räckt för att placera meddelanden i n˚agon av tv˚a kategorier. Beroende p˚a vad paketlängderna blivit efter denna kryptering hade detta m˚att eventuellt kunnat användas för att vidare specificera kategoriseringen av meddelanden. P˚alitligheten för detta g˚ar inte att förutse p˚a grund av ovissheten kring paketlängden, men kan spekuleras vara liknande den för kombinationen av meddelandelängd och nuvarande datalängd.

Det faktum att en kategorisering hade varit möjlig och därmed möjliggjort utvinnande av n˚agon typ av information trots fullständig kryptering är i enlighet med vad Srinivasan m.fl. [24] kommer fram till i sina experiment. D˚a utförandet av attacken inte är baserad p˚a samma tillvägag˚angssätt bekräftar det även den upplysning av andra eventuella attac-ker som författarna gör. Resultatet utifr˚an dörrens r˚adande kryptering tillsammans med loggning av tidsintervall för interaktion hade kunnat utnyttjas för att f˚a fram ett liknande resultat som Srinivasan m.fl. f˚ar fram när de loggar tidsintervallet mellan interaktionen med enheter för att se vilka enheter som befinner sig i samma rum. D˚a dörrl˚asets posi-tion redan är känd hade loggningen av tidsintervallet istället kunnat användas för att se hur ofta det interageras med dörren och vilken typ av handling som utförs och därmed eventuellt kunnat bidra till att göra en kvalificerad gissning ang˚aende antalet boende.

(33)

7 Diskussion

Den egna studiens resultat bekräftar de resultat som presenterats i tidigare studier, nämli-gen att information g˚ar att utvinna fr˚an kommunikationen i en smart hem-miljö. Trots det faktum att majoriteten av inneh˚allet i de paket som utgör kommunikationen, däribland dess payload, visat sig vara krypterat har sex urskiljbara kategorier av tio olika interaktio-ner med dörren identifierats. Denna urskiljbarhet kan eventuellt utnyttjas av illasinnade avlyssnare.

Genom att avlyssna kommunikationen kan en person föra loggar över de interaktioner som sker med dörrl˚aset och därmed, likt de experiment Srinivasan m.fl. [24] utför, trots kryptering kartlägga aktiviteter för ett hem. Exempelvis kan en sekvens i form av öppnande av dörr, stängande av dörr och l˚asande av dörr via fysisk knapp visa när en person lämnar sitt hem vid en viss tidpunkt. Denna information kan även utnyttjas för att göra en kvalificerad gissning om ifall en person bor ensam eller inte. Om nämnd sekvens under en längre tid inte ˚aterupprepas förrän sekvensen för uppl˚asning med kod/nyckelbricka och ¨

oppnande av d¨orr sker kan ett antagande g¨oras att det endast bor en person i hush˚allet. ¨

Aven vid ett ojämnt antal av nämnda sekvenser kan dessa utnyttjas för att registrera tidsspannet för när ett hem eventuellt st˚ar tomt.

Omfattande interaktion p˚a avst˚and kan även antyda att en person sällan är nära sitt hem, varvid upprepande interaktion p˚a avst˚and följt av öppnande av dörr kan visa att en person befinner sig p˚a annan ort och öppnar dörren för en hjälpreda i hemmet. Även plötslig avsaknad av interaktion med hemmet avslöjar om en person/familj befinner sig p˚a annan ort.

Kombinationen av att interaktionen för inmatning av felaktig kod kan identifieras, tillsammans med det faktum att kommunikationen avslöjar b˚ade avsändarens och motta-garens unika ID, medför att en person kan g˚a fram till dörren och sl˚a in fel kod, registrera tidpunkten för interaktionen och sedan i efterhand se till den avlyssnade kommunikationen för att identifiera specifikt vilken dörr som tillhör vilket hem.

Den egna studiens genomförande, med fokus specifikt p˚a dörrl˚aset, kan sannolikt ap-pliceras p˚a andra enheter inom det smarta hemmet. Det g˚ar dock att argumentera att dörrl˚aset p˚a grund av sin konstruktion, där en del av enheten är placerad utanför hem-met, lättare kan identifieras och därmed lättare kan utsättas för avlyssningsattacker under i övrigt lika förutsättningar vad gäller kommunikation och kryptering.

Efterhand som marknaden för smarta hem fortsätter att växa finns en risk att mark-naden blir m˚al för organiserad brottslighet, i synnerhet om kommunikationen inte kan döljas eller fullständigt krypteras. Ett relativt billigt, litet och enkelt avlyssningssystem kan skapas av en generisk radiomottagare likt den som använts i den egna studien till-sammans med en simpel enkortsdator, exempelvis en Raspberry Pi. Dessa system hade varit sv˚ara att upptäcka och hade systematiskt kunnat placeras till exempel i buskar i bostadsomr˚aden, varp˚a en eller ett f˚atal personer hade kunnat registrera boendes interak-tioner med hem i ett större omr˚ade. Denna information hade sedan kunnat utnyttjats för att prioritera hem lämpliga för inbrott. Finnandet av ett s˚adant system hade även varit sv˚art att koppla till en person, vilket medför att utförandet av avlyssnandet i sig inte hade utgjort n˚agon större risk för eventuella brottsutövare.

Problematiken med avlyssning kan eventuellt vara sv˚arlöst med tanke p˚a de kompro-misser för säkerhet, prestanda och användbarhet som enligt Sommerville [21] krävs vid

(34)

design och utvecklande av ett system. Fullständig kryptering av kommunikationen hade krävt mer processorkraft av dörrl˚aset vilket hade kunnat f˚a konsekvenser i form av dy-rare produktion och/eller längre väntetid för de boende. Dydy-rare produktion av dörrl˚aset hade med all sannolikhet resulterat i en högre kostnad för konsumenter. Samtidigt finns det hävdat av Ben-Asher m.fl. [4] att en säkerhetsfunktion som inför väntetid riskerar att uppfattas som distraherande och att systemets användbarhet och önskvärdhet sänks. Eventuellt hade en ökad väntetid för ett dörrl˚as varit extra p˚atagligt d˚a systemet inte ¨

ar en idé som ligger utanför ramarna för en aktuell vardagsaktivitet utan hade riskerat jämföras med den konventionella dörrl˚aset där användaren är van vid direkt interaktion och systemet hade d˚a kunnat upplevas som d˚aligt.

B˚ade dyrare system och längre väntetid hade kunnat medföra att smarta dörrl˚ as-system i sin nuvarande form inte längre hade haft en tillräckligt stor m˚algrupp för att vara en lukrativ satsning för industrin. Detta innebär att nämnd kompromiss för design, som p˚averkar kommunikationen, i nuläget eventuellt är sv˚ar att undvika.

N˚agra olika, potentiella lösningar utifr˚an den kompromiss som kan krävas för att f˚a en lösning genomförbar kan tänkas. En möjlig ˚atgärd för att förhindra, eller ˚atminstone försv˚ara, avlyssningen är att l˚ata systemet skicka sporadiska meddelande vid oförutsägbara tillfällen trots att ingen interaktion sker. Dessa meddelande bör d˚a efterlikna de medde-lande som sänds vid olika typer av interaktion, med skillnaden att den krypterade delen av meddelandet inneh˚allit information som instruerat mottagaren att ingen handling faktiskt utförts. Denna information hade d˚a varit otillgänglig för en utomst˚aende avlyssnare och de äkta interaktionerna hade s˚aledes inte kunnat urskiljas.

För att försv˚ara särskiljande av olika typer av interaktion bör kommunikationen fyllas ut med betydelselös data för att säkerställa en enhetlig längd för samtliga meddelande. Enbart denna ˚atgärd hade i detta fall begränsat kategoriseringen till tre kategorier. För att helt omöjliggöra denna typ av kategorisering behöver även meddelandenas första byte inkluderas i den krypterade delen av paketet.

Noterbart är att den egna studien inte finner resultat som direkt utgör n˚agon säkerhets-risk likt de brister Notra m.fl. [19] hänvisar till där kommunikationen kunnat avläsas i klartext, krypteringen varit svag och tr˚adlös interaktion av obehöriga kunnat ske. Det kan likväl ifr˚agasättas om de boende är bekväma med att personer kan registrera när de befinner sig hemma eller inte och eventuellt kan detta skapa problematik kring sinnesro likt den beskriven i uppsatsens inledning. Kommunikationen som avläses i detta fall kan s˚aledes snarare ses som ett eventuellt integritetsproblem, vilket dock är en mer subjektiv fr˚aga.

Subjektiviteten kring integritetskrav kan ses p˚a exempelvis sociala medier, där olika användare är bekväma med att dela olika mängder och niv˚aer av personlig information. Samma problematik kan dessutom ˚aterfinnas vid internetanvändning i allmänhet, där myc-ket information konstant samlas in om likgiltiga eller ovetande personer. Huruvida avlyss-ningsmöjligheten uppfattas som ett faktiskt problem för integriteten är därmed n˚agot som varje konsument f˚ar ta ställning till, samt besluta sig för betydelsen av integritet och vilka integritetskrav de själv ställer.

(35)

8 Slutsatser och vidare forskning

Detta kapitel avser svara p˚a den fr˚ageställning som presenteras i kapitel 1.2 följt av författarnas förslag till vidare forskning inom omr˚adet och specifikt för det undersökta systemet.

8.1 Slutsatser

Undersökningen visar att det är möjligt för utomst˚aende att utvinna information fr˚an dörrens kommunikation. Cirka 70% av dörrens kommunikation är krypterad med vad som tycks vara AES-128 och meddelandenas faktiska payload g˚ar i s˚a fall inte att utvinna inom rimlig tid. Den information som kan utvinnas är metadata om kommunikationen i form av meddelandelängd (antal paket per meddelande), typ p˚a paketen och längd p˚a datan i paketen. Denna information kan utnyttjas för att kategorisera interaktionen med dörren i sex olika kategorier: interaktion p˚a avst˚and, stängande av dörr, uppl˚asning med kod/nyckelbricka, öppnande av dörr, l˚asning via fysisk knapp och inmatning av felaktig kod.

Utifr˚an den metodik som använts i undersökningen kan förutsättningarna för att utvin-na information tänkas vara en teknisk bakgrund med erfarenhet av radiosigutvin-nalbehandling. Vidare krävs h˚ardvara kapabel att avlyssna radiosignaler p˚a den av systemet använda frekvensen och kunskapen att konfigurera mjukvara för att avkoda signalerna. För konfi-guration av avlyssningsutrustningen krävs även tillg˚ang till ett exemplar av systemet.

8.2 Vidare forskning

För vidare forskning kan övriga aspekter av kommunikationen undersökas, s˚a som kom-munikationen mellan resterande delar av systemet eller andra möjliga slutsatser utifr˚an den tillgängliga informationen. Även den fysiska aspekten av l˚asets säkerhet kan tänkas undersökas för att uppn˚a en komplett säkerhetsutvärdering.

Inom smarta hem-omr˚adet kan det vara av intresse att utföra liknande undersökningar p˚a andra enheter inom hemmet för att kontrollera till vilken utsträckning denna typ av problem existerar inom omr˚adet.

I syfte att lösa problemet kring utvinning av känslig information är det betydelsefullt att undersöka gränserna för problematiken kring design, s˚asom hur mycket prestanda som användaren är beredd att offra för fullgod säkerhet och integritet eller hur stor merkost-nad som accepteras för att även bibeh˚alla användbarheten. En genomförbarhetsanalys av alternativa lösningarna likt de som föreslagits i kapitel 7 är ocks˚a av vikt.

(36)

9 Referenser

[1] M.R. Alam, M.B.I. Reaz och M.A.M. Ali. ”A Review of Smart Homes - Past, Present, and Future”. I: Systems, Man, and Cybernetics, Part C: Applications and

Reviews, IEEE Transactions on 42.6 (nov. 2012), s. 1190–1203. issn: 1094-6977.

doi: 10.1109/TSMCC.2012.2189204.

[2] Nazmiye Balta-Ozkan m. fl. ”Social barriers to the adoption of smart homes”. I:

Energy Policy 63 (2013), s. 363–374. issn: 0301-4215. doi:

http://dx.doi.org/10.1016/j.enpol.2013.08.043. url: http://www. sciencedirect.com/science/article/pii/S0301421513008471.

[3] Louise Barkhuus och Anind Dey. ”Is Context-Aware Computing Taking Control away from the User? Three Levels of Interactivity Examined”. English. I: UbiComp

2003: Ubiquitous Computing. Utg. av AnindK. Dey, Albrecht Schmidt och

JosephF. McCarthy. Vol. 2864. Lecture Notes in Computer Science. Springer Berlin Heidelberg, 2003, s. 149–156. isbn: 978-3-540-20301-8. doi:

10.1007/978-3-540-39653-6_12. url: http://dx.doi.org/10.1007/ 978-3-540-39653-6_12.

[4] N. Ben-Asher m. fl. ”An Experimental System for Studying the Tradeoff between Usability and Security”. I: Availability, Reliability and Security, 2009. ARES ’09.

International Conference on. Mars 2009, s. 882–887. doi: 10.1109/ARES.2009.174.

[5] A.Z. Broder. ”On the resemblance and containment of documents”. I: Compression

and Complexity of Sequences 1997. Proceedings. Juni 1997, s. 21–29. doi:

10.1109/SEQUEN.1997.666900.

[6] A.J. Bernheim Brush m. fl. ”Home Automation in the Wild: Challenges and Opportunities”. I: Proceedings of the SIGCHI Conference on Human Factors in

Computing Systems. CHI ’11. Vancouver, BC, Canada: ACM, 2011, s. 2115–2124.

isbn: 978-1-4503-0228-9. doi: 10.1145/1978942.1979249. url: http://doi.acm. org/10.1145/1978942.1979249.

[7] N. Dhanjani. Hacking Lightbulbs. url: http://www.dhanjani.com/docs/Hacking %20Lighbulbs%20Hue%20Dhanjani%202013.pdf(h¨amtad 2015-04-06).

[8] N. Dhanjani. Reconsidering the perimeter security argument. url: http://www. dhanjani.com/docs/Reconsidering%20the%20Perimeter%20Security

%20Argument.pdf(h¨amtad 2015-04-06).

[9] Oxford Dictionaries. definition of smart home in English from the Oxford

dictionary. url: http://www.oxforddictionaries.com/definition/english/

smart-home(h¨amtad 2015-03-09).

[10] William Green m. fl. ”Capturing User Requirements for an Integrated Home Environment”. I: Proceedings of the Third Nordic Conference on Human-computer

Interaction. NordiCHI ’04. Tampere, Finland: ACM, 2004, s. 255–258. isbn:

1-58113-857-1. doi: 10.1145/1028014.1028053. url: http://doi.acm.org/10. 1145/1028014.1028053.

(37)

[11] Tom Hargreaves och Charlie Wilson. ”Who uses smart home technologies?

Representations of users by the smart home industry”. I: eceee 2013 Summer Study

– Rething, renew, restart. Toulon/Hy`eres, France: eceee, 2013, s. 1769–1780. isbn:

978-91-980482-3-0. url: http://proceedings.eceee.org/papers/ proceedings2013/6-241-13_Hargreaves.pdf.

[12] Michael Herczeg. ”The Smart, the Intelligent and the Wise: Roles and Values of Interactive Technologies”. I: Proceedings of the First International Conference on

Intelligent Interactive Technologies and Multimedia. IITM ’10. Allahabad, India:

ACM, 2010, s. 17–26. isbn: 978-1-4503-0408-5. doi: 10.1145/1963564.1963567. url: http://doi.acm.org/10.1145/1963564.1963567.

[13] Il-kyu Hwang och Jin-wook Baek. ”Wireless access monitoring and control system based on digital door lock”. I: Consumer Electronics, IEEE Transactions on 53.4 (nov. 2007), s. 1724–1730. issn: 0098-3063. doi: 10.1109/TCE.2007.4429276. [14] Business Insider Inc. THE CONNECTED-HOME REPORT: Forecasts And

Growth Trends For The Leading ’Internet Of Things’ Market. url: http://uk.

businessinsider.com/connected-home-forecasts-and-growth-2014-9 (h¨amtad 2015-03-30).

[15] K. Islam, Weiming Shen och Xianbin Wang. ”Security and privacy considerations for Wireless Sensor Networks in smart home environments”. I: Computer Supported

Cooperative Work in Design (CSCWD), 2012 IEEE 16th International Conference on. Maj 2012, s. 626–633. doi: 10.1109/CSCWD.2012.6221884.

[16] Li Jiang, Da-you Liu och Bo Yang. ”Smart home research”. I: Machine Learning

and Cybernetics, 2004. Proceedings of 2004 International Conference on. Vol. 2.

Aug. 2004, 659–663 vol.2. doi: 10.1109/ICMLC.2004.1382266.

[17] Ming Li m. fl. ”The similarity metric”. I: Information Theory, IEEE Transactions

on 50.12 (dec. 2004), s. 3250–3264. issn: 0018-9448. doi:

10.1109/TIT.2004.838101.

[18] Sarah Mennicken, Jo Vermeulen och Elaine M. Huang. ”From Today’s Augmented Houses to Tomorrow’s Smart Homes: New Directions for Home Automation Research”. I: Proceedings of the 2014 ACM International Joint Conference on

Pervasive and Ubiquitous Computing. UbiComp ’14. Seattle, Washington: ACM,

2014, s. 105–115. isbn: 978-1-4503-2968-2. doi: 10.1145/2632048.2636076. url: http://doi.acm.org/10.1145/2632048.2636076.

[19] S. Notra m. fl. ”An experimental study of security and privacy risks with emerging household appliances”. I: Communications and Network Security (CNS), 2014

IEEE Conference on. Okt. 2014, s. 79–84. doi: 10.1109/CNS.2014.6997469.

[20] Yong Tae Park, P. Sthapit och Jae-Young Pyun. ”Smart digital door lock for the home automation”. I: TENCON 2009 - 2009 IEEE Region 10 Conference. Jan. 2009, s. 1–6. doi: 10.1109/TENCON.2009.5396038.

[21] Ian Sommerville. Software Engineering (9th Edition). Pearson, 2010. isbn: 9780137053469.