Honeypot de dispositivos IoT usando una raspberry Pi 3

Abstract

La finalidad de este trabajo es identificar y presentar las vulnerabilidades de los dispositivos IoT que se encuentran mal configurados o que desde fábrica ya vienen con falencias a nivel de seguridad. Para esta labor, se realizó la implementación de dos honeypots conocidos, cowrie y dionaea en una raspberry pi 3, las cuales fueron publicadas durante dos semanas en internet con diferentes servicios vulnerables. Mediante los honeypots, se pudo obtener información valiosa que permitió identificar varias conexiones remotas que utilizaron el dispositivo vulnerable como pivote para realizar otros ataques a diferentes destinos. Por otra parte, también se observó la recopilación de información a través de protocolos como SMB y el constante escaneo de la red de internet en busca de dispositivos PnP. Se pudo concluir que un dispositivo IoT mal configurado es fácilmente identificable para los servicios de escaneo y para los servicios automatizados (o botnets) para amplificar los ataques a otros host remotos. Por otra parte, la privacidad de los dispositivos también se ve comprometida, puesto que un atacante puede recopilar información de la máquina vulnerable, robar archivos y hasta realizar instalaciones de cualquier tipo de archivo, ejecutando código arbitrario.

La finalitat d'aquest treball és identificar i presentar les vulnerabilitats dels dispositius IoT que es troben mal configurats o que des de fàbrica ja vénen amb errors a nivell de seguretat. Per a aquesta tasca, es va realitzar la implementació de dos honeypots coneguts, cowrie i dionaea en una Raspberry pi 3, que van ser publicades durant dos setmanes a Internet amb diferents serveis vulnerables. Mitjançant els honeypots, es va poder obtenir informació valiosa que va permetre identificar diverses connexions remotes que van utilitzar el dispositiu vulnerable per realitzar altres atacs a diferents destinacions. Per altra banda, també es va observar la recopilació d'informació a través de protocols com SMB i la constant escaneig de la xarxa d'Internet en recerca d'equips PnP. Es va poder concloure que un dispositiu IoT mal configurat és fàcilment identificable per als serveis d'escaneig i per als serveis automatitzats (o botnets) per amplificar els atacs a altres remots hostils. Per altra banda, la privacitat dels dispositius també es veu compromesa, ja que un atacant pot recopilar informació de la màquina vulnerable, robar arxius i fins a realitzar instal·lacions de qualsevol tipus de fitxer.

The purpose of this work is to identify and present the vulnerabilities of IoT devices that are incorrectly configured or that from the factory already come with flaws at the security level. For this work, the implementation of two known honeypots, cowrie and dionaea in a raspberry pi 3, which were published during two weeks on the Internet with different vulnerable services was carried out. Through the honeypots, valuable information was obtained that allowed us to identify several remote connections that used the vulnerable device as a pivot to perform other attacks on different destinations. On the other hand, the collection of information through protocols such as SMB and the constant scanning of the internet network in search of PnP devices was also observed. It could be concluded that a misconfigured IoT device is easy prey for scanning services and for automated services (or botnets) to amplify attacks to other remote hosts. On the other hand, the privacy of the devices is also compromised, since an attacker can gather information from the vulnerable machine, steal files and even install installations of any type of file executing arbitrary code.