IoT honeypot: firmware rehosting

Abstract

La proliferació dels dispositius IoT als darrers anys i la gran quantitat d'escletxes de seguretat que hi ha aparegut en aquests dispositius ha provocat que els atacs dirigits a aquesta classe de dispositius hagin augmentat especialment. En aquest treball es demostra com realitzar una emulació d'un firmware d'un dispositiu IoT amb un hardware diferent al del dispositiu amb un técnica coneguda com rehosting per després publicar una aplicació d'aquest firmware a Internet i realizar un seguiment de totes les connexions des de l'exterior que arriben al nostre firmware emulat que estaria actuat com a honeypot. Amb aquest sistema en funcionament, es demostra que realitzar un honeypot per detectar les vulnerabilitats d'un firmware és una bona opció per saber si un firmware es vulnerable així com si no ho és saber quina és l'estratègia que han utilitzat els atacants per comprometre el sistema . També es demostra que tenir un dispositiu IoT a la xarxa d'Internet comporta un gran risc perquè hi ha una gran quantitat de sistema automatitzats d'atacants que están intentant comprometre el dispositiu.

The proliferation of IoT devices in the last few years and the increase of the vulnerabilities that has appeared in these devices has led to an increase in attacks of this class of devices in particular. This work demonstrates how to emulate a firmware of an IoT device with a different hardware that the real device with a technique known as rehosting and then publish an application of this firmware on the Internet and track all connections from the outside networking coming to our emulated firmware which at this moment is acting as a honeypot. Which this system working, it is shown that performing a honeypot to detect vulnerabilities in a firmware is a good option to know if a firmware is vulnerable, as well as if is not to know what is the strategy that attackers have used to compromise the system. It is also shown that having an IoT device on the Internet carries a high risk because there are a big number of automated system attackers trying to compromise the device.

La proliferación de los dispositivos IoT en los últimos años y la gran cantidad de brechas de seguridad que han aparecido en estos dispositivos ha provocado que los ataques dirigidos a esta clase de dispositivos hayan aumentado especialmente. En este trabajo se muestra como realizar una emulación de un firmware de un dispositivo IoT con un hardware diferente al del dispositivo con una técnica conocida como rehosting para después publicar una aplicación de este firmware en Internet y realizar el seguimiento de todas las conexiones que llegan desde el exterior a nuestro firmware emulado, que estaría actuando como un honeypot. Con este sistema en funcionamiento, se demuestra que realizar un honeypot para detectar las vulnerabilidades de un firmware es una buena opción para saber si un firmware es vulnerable así como si no lo es saber cual es la estrategia que han utilizado los atacantes para comprometer el sistema. También se demuestra que tener un dispositivo IoT en la red de Internet supone un gran riesgo porque hay una gran cantidad de sistemas automatizados de ataques que están intentando comprometer el dispositivo.