Hardening legacy IoT-devices by retrofitting security measures

Abstract

Uusia haavoittuvuuksia löydetään jatkuvasti vanhentuneista IoT-laitteista, joiden tuki on loppunut. Tavallisesti valmistajat lopettavat tällaisten laitteiden tukemisen, vaikka ne olisivat edelleen laajasti käytössä. Tässä pro gradu -tutkielmassa tutkitaan näiden laitteiden kovettamista tietoturvajärjestelmien jälkiasennuksella. Jäkiasennusta kovetusstrategiana tutkittiin tapaustutkimuksella, jossa WAF ja SSL-päätevälityspalvelin asennettiin emuloituun reititinympäristöön. Tämän kokeen tuloksena todettiin, että IoT-laitteita voidaan turvata tunnetuilta haavoittuvuuksilta jälkiasentamalla tietoturvajärjestelmiä. Huomattavaa oli kuitenkin sopivien järjestelmien puute, joka estää tämän strategian käyttämisen todellisissa tilanteissa. Tutkielmassa esitetään myös joitain toivottavia ominaisuuksia helposti jälkiasennettavissa oleville tietoturvajärjestelmille. Tällä kartoitetaan uusien järjestelmien kehitystä.

New vulnerabilities for outdated and unsupported IoT-devices are discovered on a regular basis. Usually, manufacturers stop updating these devices even though they might still be widely used. To secure these devices, the hardening ability of retrofitted security measures is studied in this thesis. Retrofitting as a hardening strategy was examined by conducting a case study where a WAF and an SSL termination proxy were installed into an emulated router firmware environment. Based on the experiments, retrofitting was found to be able to harden devices against known vulnerabilities. However, a distinct lack of suitable software was identified as a key issue for the wide-spread adoption of this strategy, and more research is needed to reach the maturity required for real-world use scenarios. By providing some guidelines on the desired qualities of retrofittable embedded security measures, this thesis paves the way for a novel hardening strategy.