Seguridad en internet de las cosas: firmwares, vulnerabilidades y riesgos en la rapidez del desarrollo y consumo de internet of things

Abstract

El Internet de las Cosas (IOT) se ha convertido en una revolución: la posibilidad de conectar todo tipo de cosas, objetos y aparatos del hogar (o de la empresa) a Internet. Tenemos en nuestra mano o con nuestra voz la posibilidad de dar órdenes, comprobar y tener una estancia ultraconectada. Sin embargo, cada dispositivo además de estar conectado a la red de redes, tiene su propio software y hardware que en muchos casos o se ha desarrollado de una manera demasiado ágil, o incluso deja de tener soporte en unos pocos años, esto sumado a la filosofía actual de consumir tecnología de una forma excesivamente compulsiva y rápida estamos exponiendo nuestra privacidad, nuestro hogar, nuestras familias, o nuestra valiosa información a aquel delincuente que sin abrir la puerta de nuestra estancia pueda hacer lo que quiera con nosotros. En este TFM se pretende explicar con casos reales, como se puede investigar el firmware de un dispositivo IOT; que vulnerabilidades o errores de diseño podemos tener en nuestro hogar. Para ello cogeremos varios dispositivos e investigaremos su funcionalidad y como en muchos casos no está tan bien reflexionada su funcionalidad, se explicará el proceso de investigación de un firmware de un IOT, se explicarán que riesgos tenemos con dispositivos desactualizados o sin soporte, y explicaré como un router mal configurado puede exponer nuestros IOT (que podrían tener vulnerabilidades) y que soluciones se proponen para evitar ser parte de una botnet.

The Internet of Things (IOT) has become a revolution: the possibility of connecting all kinds of things, objects and appliances from home (or the company) to the Internet. We have in our hands or with our voice the possibility of giving orders, checking and having a home ultraconnected to the Internet network. However, each device has a specific software that in many cases has developed too quickly or hasn¿t support in a few years. In addition, the current philosophy of consuming technology in a compulsive and fast way, we are exposing our privacy, our home, our families, or our information to the cybercriminal who without opening the door of our home can do what he wants with us. In this TFM I try to explain with real examples, the steps to investigate the firmware of an IOT device and explain the vulnerabilities or design and configuration errors that we can have in our home. It will also explain what factors or devices around the IOT can affect and how they can be involved in malwares or botnets.

L'Internet de les Coses (IOT) s'ha convertit en una revolució: la possibilitat de connectar tot tipus de coses, objectes i aparells de la llar (o de l'empresa) a Internet. Tenim a les nostres mans o amb la nostra veu la possibilitat de donar ordres, comprovar i tenir una estada ultraconectada. No obstant això, cada dispositiu a més d'estar connectat a la xarxa de xarxes, té el seu propi programari i maquinari que en molts casos o s'ha desenvolupat d'una manera massa àgil, o fins i tot deixa de tenir suport en uns pocs anys, això sumat a la filosofia actual de consumir tecnologia d'una forma excessivament compulsiva i ràpida estem exposant la nostra privacitat, la nostra llar, les nostres famílies, o la nostra valuosa informació a aquell delinqüent que sense obrir la porta de la nostra estada pugui fer el que vulgui amb nosaltres. En aquest TFM es pretén explicar amb casos reals, com es pot investigar el microprogramari d'un dispositiu IOT; que vulnerabilitats o errors de disseny podem tenir a la nostra llar. Per a això agafarem diversos dispositius i investigarem la seva funcionalitat i com en molts casos no està tan ben reflexionada seva funcionalitat, s'explicarà el procés d'investigació d'un firmware d'un IOT, s'explicaran que riscos tenim amb dispositius desactualitzats o sense suport, i explicaré com un router mal configurat pot exposar els nostres IOT (que podrien tenir vulnerabilitats) i que solucions es proposen per evitar ser part d'una botnet.