數字化轉型涉及數據驅動的決策與人工智能(AI)的結合。重要數據通過物聯網(IoT)設備和智能組件進行傳播�。由于物聯網設備常常處于不安全的環境���,而且由于缺乏內生安全機制的脆弱性��,很難免于潛在的網絡攻擊。以下是一些用于實現安全審計的開源工具����,可以降低此類攻擊風險��。
網絡攻擊者和嗅探器可以從物聯網設備中獲取敏感數據�����,并利用這些信息對其他相關系統發起攻擊���。反病毒和計算機安全服務公司卡巴斯基表示��,在 2021����,物聯網黑客數量同比增長了四倍多�����。
在很大程度上����,黑客通過使用 Telnet 協議訪問物聯網網絡�,該協議為通過互聯網與設備或服務器進行通信提供了命令行接口。根據研究報告�,超過 58% 的物聯網入侵使用各種協議以求實現挖掘加密貨幣���、通過分布式拒絕服務(DDoS)攻擊關閉系統�、竊取機密數據的目的�����。
由于人們在疫情期間居家使用物聯網設備的時間增加�����,安全風險也隨之上升。這些物聯網組件中的大部分無論是個人用還是商用���,都缺乏基本的安全措施�����。人工智能和邊緣計算等新技術也使網絡和數據安全形勢復雜化��。卡巴斯基的一位安全專家 Dan Demeter 表示:智能組件變得流行,攻擊的數量也隨之上升了�����。
Key components in PENIOT
物聯網組件的安全審計需求
網絡攻擊一直在演變�,商業公司和政府部門都在采用越來越復雜的網絡安全設施以防止他們的應用和基礎設施免于在線攻擊。全球滲透測試市場預計將從 2021 的 16 億美元增長到 2026 年的 30 億美元,2021 至 2026 年的復合年增長率為 13.8%��。
物聯網設備的滲透測試是一個熱門話題���,在這一領域有大量研究���。即使采用“設計安全”的方法���,滲透對于識別真正的安全危險并采取適當的預防措施也是至關重要的��。
物聯網部署中需要安全和隱私的關鍵部分和協議包括:
受限應用協議Constraint application protocol(CoAP)
低功耗藍牙Bluetooth low energy(BLE)
高級消息隊列協議Advanced message queuing protocol(AMQP)
消息隊列遙測傳輸Message queuing telemetry transport(MQTT)
攻擊者有多種可能的入口訪問到聯網設備��。在物聯網滲透測試(或安全審計)時,要測試完整的物聯網場景和生態�����。測試內容包括從單個層和嵌入式軟件到通信協議和服務器的所有內容���。對服務器��、在線接口和移動應用的測試并非物聯網獨有�����,但至關重要,因為它們涵蓋了故障可能性很高的領域。物聯網漏洞是電氣���、嵌入式軟件和通信協議測試的重點。
在評估聯網設備的安全性時會進行以下測試。這些測試都是使用不同的針對漏洞的高性能滲透測試和安全審計工具進行的:
通信端口中的攻擊和操縱的測試
基于無線電信號捕獲和分析的 IoT 嗅探
接口和后門測試
緩沖區溢出測試
密碼破解測試
調試
密碼學分析
固件操縱測試
逆向工程
內存轉儲
物聯網安全審計使用的開源工具
物聯網設備在我們的日常生活中變得越來越普遍���,比如,智能自行車、健身跟蹤器、醫療傳感器�、智能鎖和聯動工廠等����。所有這些設備和組件都可以使用開源工具來抵御網絡攻擊����,本文將簡要介紹其中一些工具。
PENIOT
??PENIOT是一種物聯網滲透測試工具�����,使安全審計團隊能夠通過利用設備的連接來測試和破壞具有各種安全威脅的設備�����??梢詼y試主動和被動安全威脅��。在確定目標設備和相關信息(或參數)后���,可以進行主動安全攻擊�,例如改變系統資源�����、重放合法通信單元等。還可以分析被動安全威脅���,例如破壞敏感數據的機密性或訪問網絡流量分析。
Objection
??Objective是一個對物聯網環境中使用的安卓和 iOS 應用程序進行詳細分析和安全審計的工具���。
目前許多智能組件和設備都在使用安卓和 iOS 平臺,使用該工具可以通過詳細的日志和安全審計報告對這些平臺進行分析�。
Routersploit
??這個針對嵌入式設備的開源開發框架具有多個用于滲透測試和安全審計的功能和模塊:
Exploits —— 漏洞評估
Creds —— 網絡服務和證書的測試
Scanners —— 對目標進行詳細的安全審計
Payloads —— 有效載荷和注入關鍵點的生成
Generic —— 執行和測試攻擊
Wireshark
??Wireshark?是一款功能豐富的��、免費的網絡協議分析器。MQTT 等多種物聯網協議可通過該工具實現有效分析。為了發現弱點,可以根據協議配置安全規則并檢查流量?����?梢允褂胻cpdump??通過命令行訪問網絡數據包分析器���。此類工具用于檢查物聯網設備和網絡之間交換的數據包����。
Binwalk
??Binwalk是一種逆向硬件設計的工具。它是 Kali Linux 的關鍵組件之一�,用于滲透測試�����、服務器指紋識別、安全審計和取證應用�����。
Firmwalker
??Firmwalker是一款自由開源的工具��,用于搜索和掃描固件文件系統���,無論是否被提取或掛載。使用這個工具可以做一個詳細的安全審計����。
在物聯網(IoT)和萬物互聯(IoE)的時代���,有必要設計并使用高性能工具包進行滲透測試和安全審計���。隨著物聯網設備數量的增加���,安全風險也在增加��。為了物聯網和萬物互聯部署有更高級別的安全和隱私����,有必要根據最新的協議和動態的流量定制化自由及開源的工具箱和軟件包�。
沃卡惠
