Firmware is a piece of software that is specifically designed to abstract hardware thus enabling interaction the end-user with a consumer device and can be found in TV remote controls, routers and gateways, mobile phones, etc..., also known as embedded devices or Internet of Things(IoT). In the last years, these devices gained a large diffusion among consumers and continued the market share growth due to low prices and ease-of-use features. A large diffusion of the embedded devices brought to the attention of security researchers and cyber criminals. Many security flaws have been discovered and reported, or sometimes exploited by the attackers, and many are still uncovered or not publicly disclosed. The heterogeneous characteristics of such devices, both in software and hardware, makes automated analysis challenging, complex and resource intensive. Currently, automated approaches lack scalable capability to classify and cluster firmware images. We hereby present a new approach that overcomes these limitations allowing future analysis frameworks to correlate results across similar firmware image and to quantify analysis results by vendor instead of considering the single firmware image. The results of the clustering could be used in automated vulnerability discovery systems, where a discovered vulnerability in a certain firmware could be correlated to several different devices of the same vendor. The clustering of firmware images can be done with different levels of granularity. In order to target the various characteristics of the software stack or the hardware components, we identify a set of features that can map the desired target to underlying clusters. Afterwards, we select most discriminant features and try to cluster and classify firmware images in a scalable manner.
Il firmware è un software progettato specificamente per astrarre l'hardware sottostante che permette l'interazione dell'utente con il dispositivo come ad esempio telecomandi, router, telefoni cellulari, ecc... noti anche come dispositivi embedded. Negli ultimi anni, questi dispositivi hanno acquisito una grande quota di mercato nel settore dell'elettronica di consumo grazie alla loro facilità d'uso e ai bassi prezzi di vendita. Questa diffusione dei dispositivi embedded e la loro fragile sicurezza ha attirato l'attenzione di ricercatori della sicurezza informatica e di cyber criminali. Molte vulnerabilità di sicurezza sono state scoperte mentre tante ancora devono essere rivelate o divulgate al pubblico. In alcune occasioni queste vulnerabilità sono state sfruttate dagli attaccanti malintenzionati con l'obiettivo di danneggiare, per esempio dal punto di vista economico, il consumatore finale. Le caratteristiche eterogenee di tali dispositivi, sia nel software che nell'hardware, rendono l'analisi automatica molto impegnativa, complessa e richiedente grandi risorse computazionali. Attualmente gli approcci automatici non hanno capacità scalabili per classificare e clusterizzare i firmware. In questo lavoro presentiamo un nuovo approccio che supera questi limiti consentendo agli analisti di correlare i firmware simili e di raggruppare i risultati dell'analisi per vendor invece di considerare i singoli firmware. I risultati del clustering potrebbero essere utilizzati nei sistemi automatici di rilevamento delle vulnerabilità, in cui una vulnerabilità scoperta in un determinato firmware è correlata ad altri dispositivi di un certo vendor. Il clustering dei firmware può essere eseguito su diversi livelli di analisi. Al fine di indirizzare le varie caratteristiche dello stack software o dei componenti hardware andiamo a identificare un insieme di carattaristiche che associano un determinato vendor ai cluster sottostanti. Successivamente selezioniamo le caratteristiche più discriminanti e proviamo a classificare i firmware in modo scalabile.
Towards big scale firmware analysis
MKHATVARI, NIKOLOZ
2017/2018
Abstract
Firmware is a piece of software that is specifically designed to abstract hardware thus enabling interaction the end-user with a consumer device and can be found in TV remote controls, routers and gateways, mobile phones, etc..., also known as embedded devices or Internet of Things(IoT). In the last years, these devices gained a large diffusion among consumers and continued the market share growth due to low prices and ease-of-use features. A large diffusion of the embedded devices brought to the attention of security researchers and cyber criminals. Many security flaws have been discovered and reported, or sometimes exploited by the attackers, and many are still uncovered or not publicly disclosed. The heterogeneous characteristics of such devices, both in software and hardware, makes automated analysis challenging, complex and resource intensive. Currently, automated approaches lack scalable capability to classify and cluster firmware images. We hereby present a new approach that overcomes these limitations allowing future analysis frameworks to correlate results across similar firmware image and to quantify analysis results by vendor instead of considering the single firmware image. The results of the clustering could be used in automated vulnerability discovery systems, where a discovered vulnerability in a certain firmware could be correlated to several different devices of the same vendor. The clustering of firmware images can be done with different levels of granularity. In order to target the various characteristics of the software stack or the hardware components, we identify a set of features that can map the desired target to underlying clusters. Afterwards, we select most discriminant features and try to cluster and classify firmware images in a scalable manner.File | Dimensione | Formato | |
---|---|---|---|
main.pdf
accessibile in internet per tutti
Descrizione: Thesis firmware analysis
Dimensione
1.15 MB
Formato
Adobe PDF
|
1.15 MB | Adobe PDF | Visualizza/Apri |
I documenti in POLITesi sono protetti da copyright e tutti i diritti sono riservati, salvo diversa indicazione.
https://hdl.handle.net/10589/144799