IoT Honeypot

Abstract

With the emergence of the Internet it was possible to eliminate distances between societies, uniting cultures and enabling the exchange of ideas and new knowledge, at the same time, people had access to a large amount of digital information. The Internet of Things (IoT) network has revolutionized the way we obtain information in the sense that it allows intelligent devices connected permanently to the Internet to collect and share information between various devices surrounding them, making it available in the final to the user.Despite the still low market penetration rate of these devices, there are already several attacks targeting this technology. In addition to denial-of-servicewith the ability to shut down the Internet, attacks using IoT have already demonstrated ability to manipulate medical equipment, control of autonomous vehicles, tampering with home automation, among others. In short, any device that is present in our daily lives and that has an Internet connection is a target and a possible victim.In this sense, it is urgent to create technologies that allow the detection of these new threats and that can contribute to the construction of more robust devicesfrom the point of view of computer security. With these objectives present, it is proposed in this work, the development and implementation of an IoT honeypot oflow-interaction type in a cloud computing environment.The developed honeypot is intended to detect device-targeted attacks IoT, allowing the collection of indicators of compromise. This honeypot assumes itselfas an isolated, secure and scalable platform for the simulation of different application services found on IoT devices. The indicators of compromise collectedby the honeypot are later sent to Portolan, information correlation tool of DOGNÆDIS, welcoming entity. Subsequently, these indicators are analyzed and sent to systems of detection and prevention intrusions of DOGNÆDIS. The analysis of these patterns of attack aims at the discovery of zero-day vulnerabilities, as well as threats, such as botnets.

Com o surgimento da Internet foi possível eliminar distâncias entre as sociedades, unindo culturas e possibilitando a troca de ideias e novos conhecimentos, ao mesmo tempo que, as pessoas passaram a ter acesso a uma grande quantidade de informação digital. A rede Internet of Things (IoT) veio revolucionar ainda mais o modo como obtemos informação, no sentido em que permite que, dispositivos inteligentes ligados permanentemente à Internet possam recolher e partilhar informação entre vários dispositivos sobre o meio envolvente que os rodeia, disponibilizando-a em última instância ao utilizador.Apesar da ainda baixa taxa de penetração no mercado destes dispositivos, são já incontáveis os ataques direcionados a esta tecnologia. Para além de ataques de negação de serviço com capacidade de paralisar a Internet, os ataques efetuados recorrendo a dispositivos IoT já demonstraram ter capacidade para manipular equipamentos médicos, controlo de veículos autónomos, adulteração de domótica, entre outros. Em suma, qualquer dispositivo presente no nosso dia a dia e que possua uma ligação à Internet é um alvo e uma possível vítima. Neste sentido, urge a necessidade de criação de tecnologias que possibilitem a deteção destas novas ameaças e que possam contribuir para a construção de equipamentos mais robustos, do ponto de vista da segurança informática. Com estes objetivos presentes é proposto neste trabalho o desenvolvimento e implementação de um honeypot IoT de investigação, sendo este do tipo de baixa interação num ambiente de cloud computing. O honeypot desenvolvido tem em vista a deteção de ataques direcionados a dispositivos iot, permitindo a recolha de indicadores de compromisso. Este honeypot assume-se como uma plataforma isolada, segura e escalável para a simulação de diferentes serviços aplicacionais encontrados em dispositivos iot. Os indicadores de compromisso recolhidos pelo honeypot são enviados para o Portolan, ferramenta de correlação de informação da DOGNÆDIS, entidade acolhedora. Posteriormente, estes indicadores são analisados e encaminhados para sistemas de deteção e prevenção de intrusões da DOGNÆDIS.