IOT安全介绍

最新推荐文章于 2024-06-08 22:41:33 发布
最新推荐文章于 2024-06-08 22:41:33 发布
阅读量3k 收藏 8
点赞数 1
分类专栏: IOT 文章标签: 嵌入式
cctrl
本文链接:https://blog.csdn.net/weixin_44309300/article/details/118525929
版权

IOT

相关技术(OT|PLC)

  • OT(Operation Technology 操作技术),是为工厂自动化控制系统提供技术支持,确保生产正常进行的专业技术。
    随着工业4.0的来临,ICT技术被引入到OT中,IT、OT、CT将紧密的融合(智能制造)。
  • PLC
    可编程逻辑控制器(Programmable Logic Controller,PLC)

IOT设备构成

1,硬件

逻辑芯片:对于复杂的设备来说,它们需要多个逻辑芯片或cpu来运行内置的操作系统;对于简单的嵌入式设备或许只需要一个微处理器来运行程序
内存:为系统和程序运行提供空间,大小从KB到GB不等
闪存:储存IoT设备固件。部分设备的bootloader也存放在闪存
网络模块。IoT设备和传统嵌入式设备的区别就是(前者连接了网络)。他们通常采用无线技术连接到互联网,如AP
串行调试接口:IoT设备需要与外部进行通信,以便调试。串行调试接口可以让开发人员发送和接收命令。最常见的接口是通用异步接收器/发送器UART

2,软件

Bootloader:在IoT设备系统启动前,它初始化了硬件设备,将固件加载到引导设备。它使系统的软件和硬件环境达到合适的状态
固件:固件包括了操作系统、文件系统和一系列服务程序。IoT设备上的安全研究通常从固件分析开始

硬件层面的攻击

硬件层面的攻击不同于传统的安全领域,它主要包括三个角度:不安全的调试接口、未保护的闪存芯片、硬件敏感信息的泄露

1,不安全的调试接口
当IoT设备被制造的时候,调试接口比如UART会被留在电路板上以便维修。如果它缺少身份验证或者仅有弱身份验证,攻击者就可以通过接口来获得高权限,对固件进行修改或者替换。调试接口在IoT安全检查中排在第一位
2,未保护的闪存芯片
因为闪存通常用来存储固件,因此也成为了关注的重点。如果芯片没有读写保护,安全研究者就可以通过读取固件来分析或者修改固件,来绕过接口的身份验证
3,硬件敏感信息的泄露
硬件电路的密封性并不好,诸如声音和电量消耗的硬件信息泄露可以造成侧信道攻击,攻击者可以由此获得重要的信息,比如密钥。

软件层面的攻击

软件层面的攻击对应着设备构成中bootloader和固件的软件部分,它主要包括以下五个方面:不安全的bootloader、不安全的操作系统、固件敏感信息泄露、不安全的应用服务、不正确的配置策略

1,不安全的bootloader
因为bootloader是一段在设备运行后加载的代码,因此是一个容易被忽略的攻击点。它的功能是初始化并加载固件,因此当问题出现时它的危险程度很高。例如checkm8这个Boot ROM 漏洞被称为是iphone、ipad、apple TV和 apple watch上的史诗级漏洞
2,不安全的操作系统
由于研发周期短和轻量化的需求,IoT设备的操作系统内核是定制的,版本也不经常更新,这导致了大量的缓冲区溢出问题,如提权等。除此之外,设备使用了各种各样的传感器和通信模块,包括内核中大量的驱动。例如,Marvell WiFi芯片驱动找到了多个漏洞,包括 CVE-2019-14901, CVE-2019-14897 和CVE-2019-14896,它们导致了内核中基于栈或堆的缓冲区溢出。这也是攻击面中重要的一部分
3,固件敏感信息泄露
IoT设备的本地存储通常使用轻量化的存储方案,开发者通常忽略了它的安全性,并使用了明文或只是进行了简单的加密,这很容易导致敏感数据的泄露
4,不安全的应用服务
应用服务开发缺少安全标准。为了加快产品的开发,通常直接编译、使用了简单、不安全的应用代码,因此引入未知的漏洞。IoT安全研究者们已经发现了大量开发时产生的应用漏洞,包括出于未知原因留下的后门
5,不正确的配置策略
为了方便管理IoT设备,ssh、telnet等服务是默认的开启,这样会造成配置问题。默认配置下的弱验证策略使攻击者容易获得设备的权限。例如,Telestar Digital GmbH 的物联网收音机可通过未经验证的telnet服务器被远程攻击者劫持利用,这些漏洞已经被CVE-2019-13473和CVE-2019-13474收录。

协议接口层面的攻击

协议接口层的攻击包括了通信和API,它涉及到用户侧直接控制和由云端间接控制的设备,以及以上两种通信过程中的信息保护问题,并不涉及到协议的安全。例如,IoT通信协议的滥用和AR-Ddos攻击正是通过IoT通信协议CoAP、SSDP和SNMP执行的,它的目标不是IoT设备,但是它也是IoT安全一个重要的研究方向。协议接口层的攻击主要包括一下三个角度:不安全的远程管理接口、数据传输过程中的信息泄露、弱身份验证

1,不安全的远程管理接口
为了方便管理,IoT设备使用http服务之类的远程管理方式,这带来了诸多漏洞,例如sql注入、XSS和远程执行漏洞等
2,数据传输过程中的信息泄露
IoT通信协议使用了弱加密算法或者根本不进行加密,导致敏感信息泄露。例如论文Passwords in the Air中提到的,当IoT设备接入网络时,WiFi密码以明文传输
3,弱身份验证
由于安全需要,管理IoT设备需要身份验证绑定,于是产生了一个新的攻击面。攻击者可以绕过身份验证,重复绑定然后获得用户的信息,论文Phantom Device Attack在这个攻击面上找到了四种攻击方法

hercu1iz
关注
专栏目录
IOT 安全 简述
prettyX的博客
10-22 5938
物联网通信协议 物联网设备通常使用的是以下通讯方式 直连模式是近距离传输,一般通过无线(蓝牙、WIFI、NFC等)以及有线(USB、网线、电缆)进行操控设备 网关模式由中心路由或网关统一操控,方便做身份验证、流量识别 云模式中除了HTTP、FTP、SSH等通用服务外,MQTT、AMQP、CoAP等与云端服务通信所使用的协议也是研究的重点 物联网操作系统 OpenWrt:可以被描述为一个嵌入式的Linux发行版,主流路由器固件有dd-wrt、tomato、openwrt三类...
物联网安全专家齐聚ICA联盟 多项IoT身份认证安全标准出炉
lihuixin_的博客
08-29 340
        近日,ICA联盟(IoTConnectivity Alliance)安全标准组召开了第二次成员会议,这是继6月10日ICA联盟全体成员会议之后,联盟首次召开安全标准讨论会议。本次会议进一步讨论并制定了联盟终端安全方面芯片分级规范及身份认证应用的指令规范。标志着联盟安全标准化工作已步入正轨并具备了一定的行业贡献力。 注:在6月10日IoT合作伙伴计划大会2017(ICA)...
IOT安全
weixin_30530939的博客
09-26 221
相关资源 IOT 漏洞 top 10 https://xz.aliyun.com/t/2278 https://www.owasp.org/images/8/8e/Infographic-v1.jpg https://payatu.com/iot-security-part-3-101-iot-top-ten-vulnerabilities/ 总结性的资源 https://github.com/n...
一张图看懂IOT安全
02-14
一张图看懂IOT安全,文档介绍IOT安全包含哪些方向,从哪些方面防护关于IOT安全概念普及。
移动安全 第六天-Iot安全
iamsongyu的博客
03-17 3486
这篇没得多少自己的理解,大多数为浏览,参考别人的,所以就是转载吧 1 IOT简介 物联网是新一代信息技术的重要组成部分,也是“信息化”时代的重要发展阶段。其英文名称是:“Internet of things(IoT)”。顾名思义,物联网就是物物相连的互联网。这有两层意思:其一,物联网的核心和基础仍然是互联网,是在互联网基础上的延伸和扩展的网络;其二,其用户端延伸和扩展到了任何物品与物品之间,进...
IoT安全技术框架介绍.pptx
10-12
这个框架包括终端安全(Terminal Security)、传输安全(Transmission Security)、信任生态(Trust Ecosystem)以及管理安全 Mana**ement Security),这四部分共同构建了全面的IoT安全防护体系。 1. 终端安全(Terminal ...
IOT安全三十六计.pdf
08-08
文件《IOT安全三十六计》探讨了针对物联网设备安全的一系列策略和技术手段,涵盖了欺骗、逻辑漏洞、内核模块绕过安全措施、厂商后门利用等多个方面。以下是对文件中提到的知识点的详细介绍。 瞒天过海策略 瞒天过海...
NB-IOT.rar_NB_NB-IOT-协议介绍_NB_IOT_iot_nb协议
07-15
这个压缩包文件"NB-IOT.rar_NB_NB-IOT-协议介绍_NB_IOT_iot_nb协议"显然是一个关于NB-IoT协议的详细资源,对于想要深入理解该技术的人来说非常有用。 1. **NB-IoT技术概述** NB-IoT是一种基于蜂窝网络的LPWAN技术...
IoT技术架构与安全威胁
博文视点(北京)官方博客
11-23 1816
引言:物联网IoT的英文全称是“The Internet of Things”,即物联网就是物物相连的互联网,也就是人们常说的万物互联。万物互联是一把双刃剑,它既能会给生活带来巨大的生活便利,同时也会带来巨大的安全风险。 本文选自《智能硬件安全》一书,将从技术层面向您介绍IoT技术架构与安全威胁。1 IoT安全概述IoT的英文全称是“The Internet of Things”,即物联网就是...
行业认证标准:UL 2900网络安全标准保护物联网(IoT)的安全
Pokemogo的博客
12-01 1281
什么是UL 2900? UL 2900是用于网络可连接产品的网络安全标准,有助于保护物联网(IoT)的安全,尤其是与功能安全有关的标准。随着连接设备的增长,确保这些设备即使在受到攻击时也能正常运行比以往任何时候都更为重要。该标准的某些版本专门针对医疗设备和核电进行了调整。FDA认可该医疗版本适用于医疗设备和软件的安全性。UL 2900依赖于CWE和OWASP的著名安全编码标准。特别是,CWE包括著名的Top 25和其他On the Cusp注意事项。 通过静态分析、单元测试、API测试和服务虚拟化加强.
IOT 安全测试
12-25
IOT安全的一些知识内容,希望可以帮助到大家,也不知道写的好不好
IOT安全防护之道+-+对外版本.pdf
02-22
IOT安全防护之道+-+对外版本.pdf
IoT安全技术标准化实践.pdf
08-08
IoT安全状况 IoT安全标准化 OCF安全标准
IoT安全性:保护你的设备和数据
AI天才研究院
01-08 916
1.背景介绍 随着互联网物联网(IoT)技术的发展,物联网设备的数量不断增加,这些设备已经成为我们日常生活中的一部分。然而,随着设备数量的增加,安全性也成为了一个重要的问题。IoT设备可能会受到黑客攻击,窃取数据或者甚至控制设备。因此,保护IoT设备和数据的安全性至关重要。 在这篇文章中,我们将讨论IoT安全性的一些核心概念,以及一些保护IoT设备和数据的方法。我们将讨论一些核心算法原理,以及...
IIoT(智能物联网)的现状、应用及安全
最新发布
声纹感知 洞察芯声
06-08 2783
智能解决方案与ML/AI在IoT网络中的整合形成了一种新的网络范式,即智能物联网(IIoT)。IIoT已经改变了智能医疗保健、智能交通和智能工业等IoT应用。特别是,IIoT为设备进步打开了众多机会,例如为本地IoT设备配备由集成AI模型驱动的设备智能,以及服务提供,包括智能数据传输和AI辅助的数据处理。
IoT安全:让我们不要忘记的“事情”
全网:架构师研究会
06-06 139
在互联网上,安全行业通过促进和实现安全实践来保护我们免受伤害。这些“内置”安全实践包括相互认证,加密,安全协议和信任。但现实世界呢?事物互联网(IoT)在大多数情况下都没有使用类似的内置安全架构来创建。这是因为人们在连接和/或智能化之前很久才拥有许多事情。只有在2014年,赛门铁克通过定义内置和螺栓安全组件之间的区别,在物联网空间中对此术语进行了结构化。使用内置组件,安全...
[车联网安全自学篇] Car Hacking之关于IoT安全该如何入门?你必须知道的那些事「3万字详解」
橙留香Park的博客
05-06 6376
[车联网安全自学篇] Car Hacking之关于IoT安全该如何入门?你必须知道的;物联网,也称为物联网(IoT),代表可以连接到互联网或内部网络的设备和外围设备的集合。这些设备有多种形状和尺寸。您现在的家庭或工作网络中可能有一些,您的网络打印机甚至您的家庭 WiFi 路由器都可以被视为物联网设备,因为它们是连接到内部网络或公共互联网以提供附加功能的非传统计算设备IoT 这个词意味着物联网,如果我把它分成更简单的格式,那么互联网+设备=物联网,网是现有互联网基础设施内唯一可识别的嵌入式计算设备的互连...
iot安全笔记·1
黑夜黎明
09-23 547
  目前攻击现状:通常通过设备弱口令或远程命令执行漏洞对IOT设备进行攻击,攻击者通过蠕虫感染或自主的批量攻击来控制批量目标设备,构建僵尸网络。路由器、摄像头、智能电视是被攻击频率最高的设备。   智能电视存在的安全隐患是ADB远程通过5555端口调试,存在被root、被植入木马的风险。   视频摄像头攻击主要是弱口令攻击和漏洞利用攻击。路由器攻击主要是漏洞攻击。   Iot设备在DDOS攻击受欢...
2021年IoT安全白皮书:全面保障IoT应用与数据的安全策略
本篇IoT-SAFE-Whitepaper-2021详细探讨了物联网(IoT安全领域的关键问题,并提出了一个名为IoTSAFE的解决...通过阅读这份白皮书,读者可以深入了解IoT安全现状、面临的威胁以及如何通过IoTSAFE实现更有效的安全实践。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值