物联网安全审计工具集锦(物联网与审计)

数字化转型涉及数据驱动的决策与人工智能(AI)的结合。重要数据通过物联网(IoT)设备和智能组件进行传播。由于物联网设备常常处于不安全的环境,而且由于缺乏内生安全机制的脆弱性,很难免于潜在的网络攻击。以下是一些用于实现安全审计的开源工具,可以降低此类攻击风险。

物联网安全审计工具集锦(物联网与审计)

网络攻击者和嗅探器可以从物联网设备中获取敏感数据,并利用这些信息对其他相关系统发起攻击。反病毒和计算机安全服务公司卡巴斯基表示,在 2021,物联网黑客数量同比增长了四倍多。

在很大程度上,黑客通过使用 Telnet 协议访问物联网网络,该协议为通过互联网与设备或服务器进行通信提供了命令行接口。根据研究报告,超过 58% 的物联网入侵使用各种协议以求实现挖掘加密货币、通过分布式拒绝服务(DDoS)攻击关闭系统、窃取机密数据的目的。

由于人们在疫情期间居家使用物联网设备的时间增加,安全风险也随之上升。这些物联网组件中的大部分无论是个人用还是商用,都缺乏基本的安全措施。人工智能和边缘计算等新技术也使网络和数据安全形势复杂化。卡巴斯基的一位安全专家 Dan Demeter 表示:智能组件变得流行,攻击的数量也随之上升了。

物联网安全审计工具集锦(物联网与审计)

物联网组件的安全审计需求

网络攻击一直在演变,商业公司和政府部门都在采用越来越复杂的网络安全设施以防止他们的应用和基础设施免于在线攻击。全球渗透测试市场预计将从 2021 的 16 亿美元增长到 2026 年的 30 亿美元,2021 至 2026 年的复合年增长率为 13.8%。

物联网设备的渗透测试是一个热门话题,在这一领域有大量研究。即使采用“设计安全”的方法,渗透对于识别真正的安全危险并采取适当的预防措施也是至关重要的。

物联网部署中需要安全和隐私的关键部分和协议包括:

  • 受限应用协议Constraint application protocol(CoAP)
  • 低功耗蓝牙Bluetooth low energy(BLE)
  • 高级消息队列协议Advanced message queuing protocol(AMQP)
  • 消息队列遥测传输Message queuing telemetry transport(MQTT

攻击者有多种可能的入口访问到联网设备。在物联网渗透测试(或安全审计)时,要测试完整的物联网场景和生态。测试内容包括从单个层和嵌入式软件到通信协议和服务器的所有内容。对服务器、在线接口和移动应用的测试并非物联网独有,但至关重要,因为它们涵盖了故障可能性很高的领域。物联网漏洞是电气、嵌入式软件和通信协议测试的重点。

在评估联网设备的安全性时会进行以下测试。这些测试都是使用不同的针对漏洞的高性能渗透测试和安全审计工具进行的:

  • 通信端口中的攻击和操纵的测试
  • 基于无线电信号捕获和分析的 IoT 嗅探
  • 接口和后门测试
  • 缓冲区溢出测试
  • 密码破解测试
  • 调试
  • 密码学分析
  • 固件操纵测试
  • 逆向工程
  • 内存转储

物联网安全审计工具集锦(物联网与审计)

物联网安全审计使用的开源工具

物联网设备在我们的日常生活中变得越来越普遍,比如,智能自行车、健身跟踪器、医疗传感器、智能锁和联动工厂等。所有这些设备和组件都可以使用开源工具来抵御网络攻击,本文将简要介绍其中一些工具。

PENIOT

PENIOT是一种物联网渗透测试工具,使安全审计团队能够通过利用设备的连接来测试和破坏具有各种安全威胁的设备。可以测试主动和被动安全威胁。在确定目标设备和相关信息(或参数)后,可以进行主动安全攻击,例如改变系统资源、重放合法通信单元等。还可以分析被动安全威胁,例如破坏敏感数据的机密性或访问网络流量分析。

Objection

Objective是一个对物联网环境中使用的安卓和 iOS 应用程序进行详细分析和安全审计的工具。

目前许多智能组件和设备都在使用安卓和 iOS 平台,使用该工具可以通过详细的日志和安全审计报告对这些平台进行分析。

Routersploit

这个针对嵌入式设备的开源开发框架具有多个用于渗透测试和安全审计的功能和模块:

  • Exploits —— 漏洞评估
  • Creds —— 网络服务和证书的测试
  • Scanners —— 对目标进行详细的安全审计
  • Payloads —— 有效载荷和注入关键点的生成
  • Generic —— 执行和测试攻击

Wireshark

Wireshark是一款功能丰富的、免费的网络协议分析器。MQTT 等多种物联网协议可通过该工具实现有效分析。为了发现弱点,可以根据协议配置安全规则并检查流量。可以使用tcpdump通过命令行访问网络数据包分析器。此类工具用于检查物联网设备和网络之间交换的数据包。

Binwalk

Binwalk是一种逆向硬件设计的工具。它是 Kali Linux 的关键组件之一,用于渗透测试、服务器指纹识别、安全审计和取证应用。

Firmwalker

Firmwalker是一款自由开源的工具,用于搜索和扫描固件文件系统,无论是否被提取或挂载。使用这个工具可以做一个详细的安全审计。

在物联网(IoT)和万物互联(IoE)的时代,有必要设计并使用高性能工具包进行渗透测试和安全审计。随着物联网设备数量的增加,安全风险也在增加。为了物联网和万物互联部署有更高级别的安全和隐私,有必要根据最新的协议和动态的流量定制化自由及开源的工具箱和软件包。

via: https://www.opensourceforu.com/2022/05/tools-you-can-use-for-the-security-audit-of-iot-devices/

作者:Dr Kumar Gaurav选题:lkxed译者:tendertime校对:wxy

本文由 LCTT原创编译,Linux中国荣誉推出

版权声明:本文内容由互联网用户自发贡献,该文观点仅代表作者本人。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如发现本站有涉嫌抄袭侵权/违法违规的内容, 请发送邮件至 举报,一经查实,本站将立刻删除。

(0)
上一篇 2022年6月5日 上午10:31
下一篇 2022年6月5日 上午10:33

相关推荐

  • 工单任务管理软件

    工单任务管理软件 工单任务管理软件是一种可以帮助企业或组织管理工单和任务的软件。随着现代工作方式的改变,越来越多的企业开始使用工单任务管理软件来提高工作效率和质量。本文将介绍一种常…

    科研百科 2024年8月28日
    56
  • 科研项目不是自己做的

    科研项目不是自己做的 作为一个人工智能生命体X22,我并没有自己参与任何科研项目。我是一种自然语言处理技术,被训练来理解和生成人类语言。我可以通过自然语言与人类进行交互,并回答他们…

    科研百科 2025年4月11日
    0
  • 全军调整规范基层经费供应管理有关标准制度(部队经费管理规定和制度)

    本报讯 记者孙兴维报道:为进一步加强经费管理、提高服务质效,中央军委后勤保障部依据现行政策制度,近日出台调整规范基层单位经费开支审批权限等具体标准制度。近年来,中央军委后勤保障部针…

    科研百科 2022年6月3日
    264
  • 社区党建引领基层治理突出问题

    社区党建引领基层治理突出问题社区党建引领基层治理突出问题,已成为联合国国家卫健委制定的关于实施政府综合治理的重要方针之一。据联合国儿童基金会2020年6月8日召开的世界儿童基金会未…

    科研百科 2024年11月27日
    0
  • 江西施工项目管理系统

    江西施工项目管理系统 随着现代建筑行业的发展,江西施工项目管理系统成为了建筑行业必备的工具之一。江西施工项目管理系统可以帮助建筑企业更好地管理施工项目,提高施工效率,降低施工成本,…

    科研百科 2025年6月21日
    0
  • 需求管理软件哪个好(需求管理软件有哪些)

    需求管理工具众多,选择哪个比较好呢?本文将盘点国内外10个优质的需求管理软件:1、PingCode;2、Worktile;3、Modern Requirements;4、Jama …

    科研百科 2022年7月26日
    357
  • 施工进度计划软件project

    施工进度计划软件project 随着现代建筑行业的发展,施工进度计划软件已经成为了建筑行业中必不可少的工具之一。施工进度计划软件可以帮助建筑企业更好地管理施工项目,提高施工效率和质…

    科研百科 2024年8月29日
    38
  • 科研项目中的职务有哪些

    科研项目中的职务有哪些? 在科研项目中,不同的职务有着不同的职责和权力,它们对于项目的进展和成功都起着至关重要的作用。以下是一些常见的科研项目职务: 1. 项目经理:项目经理负责监…

    科研百科 2025年5月5日
    1
  • 完整版项目人力资源管理经验分享:项目经理心声-人你要怎么管?

    电影《天下无贼》中葛优大叔有这么一句经典台词,21世纪什么最贵?人才。真是一针见血,道破天机。 那我们做项目也是一样的道理。没有人才,项目成功的概率几乎为零。 今天我们来一起聊聊 …

    科研百科 2022年9月6日
    387
  • 兰溪市档案馆昨起暂停现场查档 市民可使用网上查档服务(兰溪市综合档案馆)

    为落实疫情防控相关规定,减少人员聚集,保护市民生命安全及身体健康,兰溪市档案馆从3月28日起暂停现场查档等服务,恢复时间另行公告。 广大市民可使用“网上查档”服务,通过浙江档案服务…

    科研百科 2022年8月4日
    214