本书介绍物联网渗透测试的原理和实用技术。主要内容包括IOT威胁建模、固件分析及漏洞利用、嵌入式web应用漏洞、IOT移动应用漏洞、IOT设备攻击、无线电入侵、固件安全和移动安全最佳实践、硬件保护以及IOT高级漏洞的利用与安全自动化。
从渗透测试的视角全方位阐释物联网设备安全实践
涵盖物联网渗透测试的各种常用技术、工具和实践
IoT(物联网)主要指通过某种方式连接到网络的嵌入式设备。有些IoT设备通过为嵌入式设备添加联网模块改造而来,还有些IoT设备则是专门为特定需求开发的新型设备。无论是哪种形式,这些设备都可能给企业、国家与个人带来安全隐患。无论读者是刚入门渗透测试的新手还是渗透测试的老手,本书都能够帮助安全从业人员加深对IoT生态系统的全面了解,进而开展安全防护。
主要内容
第1章主要介绍IoT的基本概念以及开展IoT渗透测试的基础知识。
第2章主要深入介绍威胁建模,以及如何对IoT设备的生态系统开展威胁建模。
第3章主要研究如何对IoT设备固件进行逆向分析,以及如何针对常见的漏洞开展漏洞利用。
第4章介绍不同类型的嵌入式Web应用,以及如何挖掘可利用的漏洞进而获取IoT设备的控制权。
第5章介绍如何针对IoT移动应用进行逆向分析以及常见漏洞挖掘的基本原理,进而获取未授权功能模块的访问权限。
第6章介绍基本的硬件攻击技术,以及如何入侵IoT设备的组件。
第7章介绍基于软件定义的无线电概念,以及IoT设备中常见无线协议的漏洞挖掘与利用工具。
第8章主要介绍嵌入式开发人员如何将安全控制措施融入IoT设备固件当中,使其避免出现常见漏洞。
第9章主要介绍移动应用如何采用主动防御措施来确保IoT应用的安全。
第10章深入介绍改进硬件安全性的最佳实践,以提高逆向分析的难度。
第11章介绍如何开展漏洞利用,以及如何将一组漏洞结合起来进而获得对IoT设备的控制权限。此外,该章还演示了如何在持续集成环境中实现针对应用的自动化安全扫描。
应用工具
本书用到的软件包括:
Microsoft Threat Modeling Tool 2016
Binwalk、Firmadyne、Firmwalker、Angr(可选)、firmware-mod-toolkit、Firmware Analysis Toolkit、GDB、Radare2(可选)、Binary Analysis Tool(BAT)、Qemu、IDA Pro(可选)
Burp Suite、OWASP ZAP
Mobile Security Framework(MobSF)、Idb、SQLite Browser 3.10.1、Cydia、open-URL、dumpdecrypted、ipainstaller、SSL Kill Switch 2、Clutch2、Cycript、JD-GUI、Hopper
RTL-SDR
Node安全项目(Node security project,Nsp)、Retirejs、Dependency-check、flaw-finder、Jenkins 2.60.3
本书用到的硬件包括:
Attify Badge(也可以选择C232HM-DDHSL-0线缆和Adafruit公司FTDI Breakout开发板的搭配)、Salae逻辑分析仪(8通道)、刷入KillerBee攻击框架的RzRaven USB设备、JTAGulator、带有Xbee Shield模块的Xbee扩展板、Ubertooth、BLE适配器。
本书的读者对象
本书主要面向想要熟悉IoT设备漏洞的挖掘和利用的软件开发人员、质量保障人员、安全从业人员,以及对主动防御措施感兴趣的读者。
章节结构说明
在本书中,读者可能会发现有几个标题频繁出现(例如准备工作、测试流程、测试分析、拓展学习以及延伸阅读)。为了清楚地介绍测试方法,下面我们对这些标题加以说明。
准备工作
这部分主要告知读者当前测试方法的目标,并对需要安装的软件或者其他需要预先设置的测试环境进行介绍。
测试流程
这部分内容主要包括开展测试过程中所涉及的每个步骤。
测试分析
这部分内容通常是对测试流程中所出现情况的详细分析与说明。
拓展学习
这部分内容主要包括与所介绍测试方法有关的其他内容,目的在于加深读者对测试方法的了解。
延伸阅读
这部分内容主要包括与所介绍测试方法有关的部分链接,可以帮助读者进一步了解测试方法。
格式约定
本书中,读者会发现文中用到了多种文本格式,用以区分不同的信息。下面将给出一些示例并解释它们各自的含义。
代码采用以下格式:
命令行输入与输出的格式如下:
指示警告信息或者重要的注释。
指示提示信息或者小技巧。
下载示例代码及彩色插图
本书的示例代码及插图,可以从http://www.packtpub.com通过个人账号下载,也可以访问华章图书官网http://www.hzbook.com,通过注册并登录个人账号下载。
计算机\安全
今天,IoT已经成为信息产业的主要发展方向,市场上出现了大量IoT设备,但是人们对如何保障这些IoT设备的安全知之甚少。对于从事网络安全研究或技术工作以及从事渗透测试工作的读者,本书将帮助你了解如何对IoT设备开展渗透测试并进行安全加固。
本书依据针对IoT设备开展渗透测试的各个攻击面,为读者提供保护IoT中的智能设备的实践经验。本书首先介绍如何分析IoT设备架构并挖掘设备漏洞,然后聚焦于开展IoT设备渗透测试所需要的各种技术,帮助读者了解如何开展IoT设备漏洞利用,以及如何挖掘IoT设备固件漏洞。在此基础上,讲解如何保障IoT设备的安全。本书还以ZigBee和Z-Wave等协议为例,介绍基于软件定义和无线电的IoT渗透测试方法等高级硬件渗透测试技术。最后,本书介绍了如何采用新型以及较为特殊的渗透技术针对不同的IoT设备(包括连接至云上的智能设备)开展渗透测试。
本书主要内容:
部署IoT渗透测试环境
各种威胁建模概念
对固件漏洞开展分析与漏洞利用
基于MobSF对iOS与Android平台下应用的二进制文件开展自动化分析
部署Burp Suite工具并开展Web应用测试
识别UART和JTAG接口的引脚定义、焊头以及硬件调试接口
针对常用无线协议的测试方案
移动应用安全和固件安全的实践
掌握各种高级IoT漏洞利用技术与自动化安全测试技术
首先让我们来看一组事件:
2016年9月至10月,美国域名解析服务提供商Dyn公司遭受Mirai僵尸网络攻击,导致近半个美国出现断网。事后的分析报告中指出,DDoS攻击流量峰值超过了1Tbps,这是已知攻击中规模最大的攻击流量。而攻击流量来自家用路由器、监控摄像头等物联网设备。
2017年9月,360公司安全研究人员监控发现IoT_reaper僵尸网络,该僵尸网络借鉴了Mirai的部分代码,但是在恶意代码植入时不再使用弱口令猜测,而是通过集成D-link、Goahead、Netgear、Linksys等9款物联网设备漏洞进行传播。
2018年1月,Bitdefender公司安全研究人员监控发现HNS僵尸网络,该僵尸网络主要利用智能家居设备中的漏洞(如HomeMatic Zentrale CCU2远程代码执行漏洞)以及Belkin无线摄像头等物联网设备中的漏洞进行传播。
2018年5月,Cisco公司安全研究人员监控发现VPNfilter僵尸网络,该僵尸网络主要通过Linksys、Mikrotik、Netgear、TP-Link、QNAP等物联网设备的相关漏洞进行传播感染。
从上面一系列安全事件中不难发现,物联网设备已经成为攻击者的主要目标。因此,如何确保物联网设备安全成了亟须解决的重要问题。
那么,什么是物联网设备呢?
其实,早在1982年就已经出现了智能联网设备的概念,当时在卡内基-梅隆大学有一群程序员,他们不想每次下楼买可乐时,只能看着可乐自动贩卖机空手而回,或者是买到不够凉的可乐,于是他们就把可乐贩卖机接上网络,并写程序监控可乐贩卖机内的可乐瓶数量,以及是否是冰的,这样一台经过改造的可乐贩卖机就是第一台联网设备。普适计算之父马克·维瑟(Mark Weiser)在1991年发表了论文《21世纪的计算机》,并在UbiComp和PerCom等学术会议中刻画出了物联网的愿景。
“物联网”这个词是由麻省理工学院的自动识别实验室的凯文·阿什顿(Kevin Ashton)教授在1999年提出的,在当时,他将无线射频(RFID)技术看作物联网中必不可少的一部分,通过RFID技术能够让计算机来管理所有单独的事物。但是,随着技术和应用的发展,物联网的内涵已经发生了较大变化。2005年,在突尼斯举行的信息社会世界峰会(WSIS)上,国际电信联盟(ITU)发布《ITU互联网报告2005:物联网》,其中引用了“物联网”的概念。此时,物联网的定义和范围已经发生了变化,覆盖范围有了较大的拓展,不再只是指基于RFID技术的物联网。
随着实时分析、机器学习、商用传感器和嵌入式系统等多种技术的不断融合,物联网的定义不断演进。嵌入式系统、无线传感器网络、控制系统、自动化系统以及其他诸多内容都可以用来构建物联网。
开始介绍本书内容之前,我们首先引入分层的概念。这是因为物联网的实现涉及多个层次,没有一种解决方案能够应对针对物联网的所有威胁,为了给予物联网最适宜的保护措施,需要对物联网安全进行分层处理。也有人将物联网安全比成一块蛋糕,我们认为还是有些道理的。下面我们先来了解几种对物联网安全的分层方式。
2016年,权威物联网研究机构IoT Analytics将物联网安全架构分为设备层、通信层、云平台层、生命周期管理层4个层次。
设备层:设备层指的是物联网解决方案中的硬件层,就是“物联网”中“物”的实体或产品。当前ODM和OEM不断在物联网硬件与软件中添加安全特性以提高设备层的安全性。设备层主要涉及芯片安全、安全引导、物理安全等保护措施。
通信层:通信层指的是物联网解决方案中的连通网络,即数据传输、数据接收的媒介。当敏感数据通过物理层(例如Wi-Fi、802.15.4或Ethernet)、网络层(例如IPv6、Modbus或OPC-UA)或者应用层(例如MQTT、CoAP或Web套接字)进行传输时,不安全的通信信道很容易遭受中间人攻击。通信层主要涉及数据加密、访问控制等保护措施。
云平台层:云平台层指的是物联网解决方案的后端,对所接收的数据进行提取分析并解释。云平台层主要涉及完整性校验、数字证书等保护措施。
生命周期管理层:生命周期管理层指的是确保IoT解决方案安全的持续过程。其中安全设计是确保方案安全的第一步,其他跨越生命周期的步骤还包括策略实施、常规审计以及供应链管理等措施。
在中国电信和绿盟科技公司联合发布的《2017物联网安全研究报告》中,将物联网安全架构分为感知层安全、网络层安全、平台层安全与应用层安全4个层次。
感知层安全:感知层安全的设计中需要考虑物联网设备有限的计算能力、通信能力、存储能力等因素,难以直接在物理设备上应用复杂的安全技术。可采取的防护技术和措施包括物理安全、接入安全、硬件安全、操作系统安全、应用安全、数据安全等。
网络层安全:传统网络层安全机制大部分依然适用于物联网,此外还要基于物联网网络层特征采取特殊防护机制。可采取的防护技术和措施包括通用网络防护、网络入侵防护、接入防护、加密传输、物联网专有协议与应用识别等。
平台层安全:平台层安全主要保障信息和数据在计算和存储过程中的安全,云平台必须采取适当的安全策略来保证物联网中数据的完整性、保密性和不可抵赖性,此外还要保障接入安全及API安全。
应用层安全:应用层安全主要是保障各类应用在用户使用过程中的安全,包括对用户的身份鉴别、访问控制、应用漏洞管理、外部攻击防护、APP安全、隐私保护等。
在中国信息通信研究院2018年9月发布的《物联网安全白皮书(2018年)》中,根据物联网应用系统模型将物联网安全防护层次分为终端安全、通信网络安全、服务端安全3个层次。
终端安全:物联网中的终端设备种类繁多,各终端设备的体积大小不一,功能复杂程度多样。除传统计算机病毒外,终端所面临的安全威胁还包括木马、间谍软件、劫持攻击、钓鱼邮件、钓鱼网站等。综合考虑物联网终端本身及其面临的安全威胁特点,主要从硬件、接入、操作系统、业务应用等方面着手,采取适当的安全防护措施,确保物联网终端安全乃至物联网整网安全。
通信网络安全:目前物联网中采用了多种网络接入技术,其中包含窄带物联网络、无线局域网、蜂窝移动通信网、无线自组网等多种异构网络,使得物联网在通信网络环节所面临的安全问题异常复杂,主要通过引入网络节点身份认证机制、强化终端数据完整性保护、加强数据传输加密操作和通信网络安全态势感知等对整个网络层进行安全防护。
服务端安全:服务端安全防护主要解决针对数据管理系统、基于云计算的Web应用、业务分级保护等方面的安全问题。
还有很多科研院所与公司也提出了自己的物联网安全分层方法,感兴趣的读者可以自行了解。在这里我们想说的是,上述对物联网安全的分层方法各有特点,并没有标准答案,读者可以结合自身需求运用物联网安全模型。但是,在本书的阅读过程中,我们希望读者在脑海中始终具有物联网安全分层架构的意识,建立本书所介绍的渗透测试技术与物联网安全架构之间的对应关系,从而纲举目张,形成自己的物联网攻防知识体系。
本书从渗透测试的角度介绍了如何对物联网设备开展分析,在当前关于物联网设备安全的相关图书中,本书较为全面、系统地梳理了物联网设备的攻击面,并且书中所介绍的方法具有较强的可操作性,相信可为物联网安全研究人员提供有益的参考。同时需要提醒读者的是,限于篇幅,NB-IoT、LoRa等应用日益广泛的无线通信技术在本书中没有涉及,但是这些技术的安全性同样会影响IoT的安全,感兴趣的读者可以自行了解。
基于我们对书中各章内容的理解,我们认为本书可以分为三部分:
第一部分:威胁建模(第1~2章)。主要对物联网设备的基本概念进行介绍,重点分析如何对IoT设备进行威胁建模。在对IoT开展分析时,研究人员可能会有线索纷繁复杂、无从下手的感觉,通过威胁建模,能够有效、系统地梳理IoT设备攻击面,初步确定测试方法,为后面的渗透测试奠定基础。
第二部分:渗透测试(第3~7章)。结合第2章所介绍的威胁建模方法梳理出IoT设备的攻击面后,分别从固件、Web应用、移动应用、硬件设备、无线电等角度开展针对IoT设备的安全分析。受篇幅所限,仅对基于每个角度开展测试的基本方法、基本工具进行介绍。但是在实际工作中,每个角度都可以展开来讲,建议读者以上述各章为纲,在日后的工作和学习中开展深入的研究。
第三部分:防护措施(第8~11章)。针对第3~7章在安全分析中暴露出来的安全隐患,分别从固件、移动应用、硬件设备、集成开发等角度介绍IoT设备的安全实践。
本书第1和2章由冷门翻译,第3、5、7、8章由王滨博士翻译,第4、6、11章由戴超博士翻译,第9和10章由张鹿博士翻译,最后由王滨博士与戴超博士对全书进行了审校。另外,在本书翻译的过程中得到了杭州海康威视网络与信息安全实验室的叶良策、万里、陈加栋等的大力协助,感谢他们在工作之余花费大量的业余时间来校对相关内容。最后,感谢机械工业出版社的朱劼在本书策划、翻译过程中提供的帮助,她作为经验丰富的出版人,每次交流都让我们受益匪浅。
在本书翻译完成的时候,我们的译者团队人员出现了一些变化,在这里我们想说的是,“聚是一团火,散是满天星”,希望无论大家身在何时、身处何地,都能够不忘初心,不断前行!
在本书的阅读过程中,无论是由于译者水平有限在翻译过程中出现的错漏,还是读者在阅读过程中遇到的问题,都欢迎广大读者来交流沟通,将错漏之处与问题反馈给我们,联系邮箱为iotpentest@163.com。
王滨 戴超
译者序
前言
致谢
作者简介
审稿者简介
第1章 IoT渗透测试1
1.1 简介1
1.2 定义IoT生态系统与渗透测试生命周期2
1.3 固件入门4
1.3.1 固件深度分析4
1.3.2 固件的开发供应链5
1.4 IoT中的Web应用6
1.5 IoT中的移动应用9
1.5.1 混合应用9
1.5.2 原生应用10
1.6 硬件设备基础11
1.7 IoT无线通信简介13
1.7.1 Wi-Fi13
1.7.2 ZigBee14
1.7.3 Z-Wave14
1.7.4 蓝牙15
1.8 IoT渗透测试环境的部署15
1.8.1 软件工具要求15
1.8.2 硬件分析工具需求17
1.8.3 无线电分析工具需求19
第2章 IoT威胁建模20
2.1 简介20
2.2 威胁建模概念简介21
2.2.1 准备工作24
2.2.2 测试流程24
2.3 IoT设备威胁建模剖析28
2.4 固件威胁建模35
2.4.1 准备工作35
2.4.2 测试流程36
2.5 IoT Web应用威胁建模39
2.6 IoT移动应用威胁建模42
2.7 IoT设备硬件威胁建模45
2.8 IoT无线电通信威胁建模47
第3章 固件分析与漏洞利用50
3.1 简介50
3.2 固件分析方法51
3.3 固件提取51
3.3.1 准备工作51
3.3.2 测试流程52
3.3.3 测试分析59
3.4 固件分析59
3.4.1 准备工作59
3.4.2 测试流程59
3.4.3 测试分析62
3.4.4 拓展学习63
3.4.5 延伸阅读64
3.5 文件系统分析64
3.5.1 准备工作64
3.5.2 测试流程64
3.5.3 测试分析67
3.5.4 拓展学习68
3.5.5 延伸阅读68
3.6 基于固件仿真的动态分析68
3.6.1 准备工作68
3.6.2 测试流程68
3.6.3 测试分析70
3.6.4 拓展学习71
3.7 ARM与MIPS架构下二进制文件的分析入门71
3.7.1 准备工作71
3.7.2 测试流程71
3.7.3 拓展学习74
3.8 MIPS架构下的漏洞利用74
3.8.1 准备工作74
3.8.2 测试流程74
3.8.3 测试分析82
3.8.4 拓展学习83
3.9 使用firmware-mod-kit(FMK)在固件中添加后门83
3.9.1 准备工作83
3.9.2 测试流程83
3.9.3 测试分析88
第4章 嵌入式Web应用漏洞利用89
4.1 简介89
4.2 Web应用的安全测试89
4.3 Burp Suite的用法92
4.3.1 准备工作92
4.3.2 测试流程92
4.3.3 测试分析98
4.3.4 拓展学习98
4.3.5 延伸阅读99
4.4 OWASP ZAP的用法99
4.4.1 准备工作99
4.4.2 测试流程99
4.4.3 拓展学习104
4.5 命令注入漏洞利用105
4.5.1 准备工作105
4.5.2 测试流程106
4.5.3 延伸阅读109
4.6 XSS漏洞利用109
4.6.1 准备工作110
4.6.2 测试流程110
4.6.3 拓展学习120
4.6.4 延伸阅读120
4.7 CSRF漏洞利用121
4.7.1 准备工作122
4.7.2 测试流程122
4.7.3 延伸阅读125
第5章 IoT移动应用漏洞利用126
5.1 简介126
5.2 获取IoT移动应用127
5.3 反编译Android应用129
5.3.1 准备工作129
5.3.2 测试流程130
5.3.3 延伸阅读132
5.4 解密iOS应用132
5.4.1 准备工作132
5.4.2 测试流程132
5.4.3 延伸阅读135
5.5 基于MobSF框架的静态分析135
5.5.1 准备工作135
5.5.2 测试流程136
5.5.3 拓展学习144
5.6 基于idb的iOS数据存储分析144
5.6.1 准备工作144
5.6.2 测试流程145
5.6.3 拓展学习149
5.6.4 延伸阅读150
5.7 Android数据存储分析150
5.7.1 准备工作150
5.7.2 测试流程150
5.7.3 延伸阅读153
5.8 动态分析测试153
5.8.1 准备工作153
5.8.2 测试流程153
5.8.3 延伸阅读162
第6章 IoT设备攻击技术163
6.1 简介163
6.2 硬件漏洞利用与软件漏洞利用164
6.3 硬件攻击方法164
6.3.1 信息搜集与分析164
6.3.2 设备的外部分析与内部分析165
6.3.3 通信接口识别165
6.3.4 采用硬件通信技术获取数据166
6.3.5 基于硬件漏洞利用方法的软件漏洞利用166
6.4 硬件分析技术166
6.4.1 打开设备166
6.4.2 芯片分析166
6.5 电子技术基础167
6.5.1 电阻167
6.5.2 电压168
6.5.3 电流168
6.5.4 电容169
6.5.5 晶体管169
6.5.6 存储器类型170
6.5.7 串行通信与并行通信170
6.5.8 拓展学习171
6.6 总线与接口识别171
6.6.1 测试流程171
6.6.2 拓展学习177
6.7 嵌入式设备的串行接口177
6.7.1 准备工作178
6.7.2 测试流程178
6.7.3 延伸阅读180
6.8 NAND噪声干扰180
6.8.1 准备工作181
6.8.2 测试流程181
6.8.3 延伸阅读183
6.9 JTAG接口的调试与漏洞利用183
6.9.1 准备工作183
6.9.2 测试流程183
6.9.3 延伸阅读185
第7章 无线电攻击技术187
7.1 简介187
7.2 SDR入门188
7.3 SDR工具189
7.3.1 准备工作189
7.3.2 测试流程189
7.3.3 拓展学习198
7.4 ZigBee漏洞利用198
7.4.1 准备工作198
7.4.2 测试流程198
7.4.3 拓展学习201
7.5 Z-Wave深入分析201
7.6 BLE分析及漏洞利用203
7.6.1 准备工作205
7.6.2 测试流程206
7.6.3 拓展学习209
第8章 固件安全最佳实践210
8.1 简介210
8.2 内存崩溃漏洞防护211
8.2.1 准备工作211
8.2.2 测试流程211
8.2.3 延伸阅读214
8.3 注入攻击防护214
8.3.1 测试流程215
8.3.2 延伸阅读216
8.4 固件更新保护216
8.5 敏感信息保护218
8.5.1 测试流程219
8.5.2 延伸阅读220
8.6 嵌入式框架加固220
8.6.1 准备工作221
8.6.2 测试流程221
8.7 第三方代码及组件的保护225
8.7.1 准备工作225
8.7.2 测试流程226
第9章 移动安全最佳实践230
9.1 简介230
9.2 数据存储安全231
9.2.1 准备工作231
9.2.2 测试流程231
9.2.3 延伸阅读233
9.3 认证控制措施的实现233
9.3.1 测试流程233
9.3.2 延伸阅读238
9.4 数据传输安全238
9.4.1 测试流程239
9.4.2 延伸阅读242
9.5 Android与iOS平台下组件的使用安全242
9.6 第三方代码与组件安全244
9.6.1 测试流程245
9.6.2 延伸阅读246
9.7 针对逆向分析的保护措施246
9.7.1 测试流程247
9.7.2 拓展学习248
9.7.3 延伸阅读248
第10章 硬件安全保障249
10.1 简介249
10.2 硬件最佳实践249
10.3 非通用的螺丝类型250
10.4 防篡改和硬件保护机制250
10.5 侧信道攻击保护252
10.6 暴露的接口253
10.7 通信数据加密与TPM253
第11章 IoT高级漏洞利用与自动化安全防护254
11.1 简介254
11.2 ROP gadget搜索254
11.2.1 准备工作255
11.2.2 测试流程255
11.2.3 延伸阅读267
11.3 Web安全漏洞的组合利用268
11.3.1 测试流程268
11.3.2 延伸阅读277
11.4 固件持续集成测试配置277
11.4.1 准备工作277
11.4.2 测试流程278
11.4.3 延伸阅读284
11.5 Web应用持续集成测试配置284
11.5.1 准备工作284
11.5.2 测试流程284
11.5.3 延伸阅读292
11.6 移动应用持续集成测试配置293
11.6.1 准备工作293
11.6.2 测试流程293
11.6.3 延伸阅读303
