本文介绍了OWASP物联网(IoT)安全的重要性,并提到了ByteSweep,一个免费的IoT固件安全分析平台。该平台帮助设备制造商在发布前检测固件的安全问题,包括不安全函数的使用和第三方组件分析。
点击上方蓝字关注我们噢~
Internet of Things(物联网,简称IoT)
已经成为近几年
信息基础设施
发展的一个重点,也是各行各业未来重点发展的方向。
据统计,截止2019年底,全球已经联网的物联网设备就已经达到95亿个,到2025年物联网设备预计联网数量将达到252亿,这是何其庞大的数量!
这些物联网设备连接在网络中,在各个领域都可以看到它们的身影,包括工业、农业、教育等等,形成了名副其实的
“物联网”
。
智能仓储中的AGV搬运车
农业物联网监控设备
基于物联网的“智慧课堂”
随着“互联网+”以及物联网的快速发展,形形色色的
物联网设备不断地深入到我们的生活当中,
这些IOT设备给我们生活带来便利的同时,其背后也面临着安全问题的挑战,近几年IOT设备安全事件也在逐渐增多。
物联网安全已经引起越来越多从业者的重视,作为物联网安全人员或者IoT开发人员,如果你想了解
物联网安全
,那你怎么能错过
OWASP Internet of Things
这个项目呢?
OWASP Internet of Things
要知道OWASP Internet of Things是什么,我们首先要了解一下OWASP。 OWASP(Open Web Application Security Project)是一个非盈利的全球性安全组织致力于提高软件安全的开源研究项目。这个组织的使命是使应用软件更加安全,使企业和组织能够对应用安全风险作出更清晰的决策,推动安全标准、安全测试工具、安全指导手册等应用安全技术的发展。 OWASP Internet of Things是OWASP众多研究项目中的一员。OWASP Internet of Things项目旨在帮助制造商、开发人员和消费者更好地理解与物联网相关的安全问题,并使用户在任何情况下构建、部署或评估物联网技术时都能够做出更好的安全决策。 OWASP Internet of Things项目 将它的子项目分成了三个类别,分别是"Seek& Understand","Validate & Test"和"Governance"。因为"Governance"类别中的子项目待定中,所以下面我们主要从"Seek& Understand"和"Validate & Test"两类别的子项目去介绍。Seek & Understand
OWASP IoT top10 2018
"Seek & Understand"类别中 最具代表性的项目 就是 OWASP IoT top10 2018 ,这个项目告诉了我们 构建、部署或者管理IoT系统时需要避免的十大事项。 这十个事项非常简洁清晰,分别是: 1. 弱密码、可猜测密码或硬编码密码 Weak, Guessable, or Hardcoded Passwords 2. 不安全网络服务 Insecure Network Services 3. 不安全的生态接口 Insecure Ecosystem Interfaces 4. 缺乏安全的更新机制 Lack of Secure Update Mechanism 5. 使用不安全或已遭弃用的组件 Use of Insecure or Outdated Components 6. 隐私保护不充分 Insufficient Privacy Protection 7. 不安全的数据传输和存储 Insecure Data Transfer and Storage 8. 缺乏设备管理 Lack of Device Management 9. 不安全的默认设置 Insecure Default Settings 10. 缺乏物理加固措施 Lack of Physical Hardening
OWASP IoT top10
看完这个十大事项,你就会知道在IoT项目中什么是不应该做的,避免“踩坑”。
Validate & Test
Firmware Security Testing Methodology (FSTM)
Firmware Security Testing Methodology(固件安全测试方法,简称FSTM),这是一个非常受关注的项目。 对于任意一个物联网设备来说,固件都是它们的灵魂,控制着整个物联网设备的运转。因此,了解固件的安全性是十分重要的。 而这个项目为固件安全性测试和逆向工程提供了一份详细的测试方法,一步一步的指导我们应该怎么样去进行测试,包括列举了每一步需要使用到的工具和测试中需要注意的地方。测试方法一共由9个阶段组成,分别为:
FSTM的9个测试阶段
FSTM的整个测试方法循序渐进,每个阶段获取到的信息都会对后面阶段的测试有一定的帮助。
例如,在分析文件系统内容阶段,可以为动态分析和运行时分析收集到相关的线索,这个阶段应该检查目标固件中是否包含以下信息:
· 遗留的不安全网络守护进程
· 硬编码凭证(用户名、密码、API密钥、SSH密钥等)
· 可以用作入口点的服务器更新功能
· 未编译的代码和用于远程代码执行的启动脚本
……
在使用FSTM进行测试的时候,我们还可以通过EmbedOS来提高我们的测试效率。EmbedOS是基于Ubuntu 18.04的嵌入式安全测试操作系统,预装了很多有用的固件安全测试工具。 这个虚拟机可以通过链接https://github.com/scriptingxss/EmbedOS下载,然后将其作为OVF文件导入VirtualBox或VMWare,就可以正常使用了。 在EmbedOS中预装的固件安全测试工具可以在~/tools中可以找到,常用的包括:
· Firmware Analysis Toolkit 分析和识别IoT设备和嵌入式设备中固件漏洞
· Firmware Analysis Comparison Toolkit (FACT) 固件自动化分析工具
· ByteSweep 一个免费的IoT固件安全分析平台
· QEMU 一个通用的开源机器仿真器和虚拟器
· Firmwalker 搜索已经提取或挂载的固件文件系统
· Firmware Modification Kit 提取和重建基于Linux的固件
EmbedOS工具包
另外,在~/firmware中还包含一些不安全的固件文件(包含物联网中常见的漏洞),供使用者进行测试,例如IoTGoat
EmbedOS固件包
看完上面的介绍后,你会发现这个项目简直就是“福利“,感兴趣的小伙伴们可以按照FSTM中的步骤一步一步体验一下对固件进行安全测试的过程。
ByteSweep
ByteSweep是一个免费IoT固件安全分析平台。在固件发布之前,IoT设备商可以通过这个平台对固件进行完全自动化的安全检查,发现一些安全问题。
这个平台的分析包括:
在上面提及的EmbedOS中已经预装了这个平台,我们可以直接使用。运行脚本./start-bytesweep.sh
启动ByteSweep
然后在浏览器中打开http://127.0.0.1:8000,选择需要分析的固件进行测试。下图是对DVRF_v03.bin固件分析后的情况,例如不安全函数sym.imp.strcpy的使用,第三方组件busybox等等。
分析概述
不安全函数使用
第三方组件
通过使用这个平台,开发者或者安全评估人员可以快速的发现固件中的一些安全问题,极大地提高了工作效率。
OWASP Internet of Things还有其它子项目,这里只是“抛砖引玉”,感兴趣的同学可以到OWASP Internet of Things主页进一步了解其它的子项目。 随着物联网的快速发展,暴露出的安全问题也日渐增多,希望能有更多的人去了解和参与到物联网安全工作中,共建安全的“万物互联”时代。 参考: https://iot-analytics.com/iot-2019-in-review/ https://wiki.owasp.org/index.php/OWASP_Internet_of_Things_Project#tab=Main https://www.shoufenxiongfeng.com/h-nd-273.html http://wldjzx.sxjdxy.org/xxjl/5122.jhtml https://www.chainnews.com/articles/927059159056.htm https://www.iyiou.com/p/119680.html 《OWASP-FSTMv1.1》
好文!在看吗?点一下鸭!
1932
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
