51CTO首页
AI.x社区
博客
学堂
精品班
直播训练营
企业培训
鸿蒙开发者社区
WOT技术大会
AIGC创新中国行
公众号矩阵
移动端
短视频免费课程课程排行直播课软考学堂
全部课程厂商认证IT技术2024年软考PMP项目管理软考资讯
在线学习
文章资源问答课堂专栏直播
51CTO
鸿蒙开发者社区
51CTO技术栈
51CTO官微
51CTO学堂
51CTO博客
CTO训练营
鸿蒙开发者社区订阅号
51CTO题库小程序
51CTO学堂APP
51CTO学堂企业版APP
鸿蒙开发者社区视频号
账号设置 退出

物联网安全审计工具集锦

作者:Dr Kumar Gaurav
物联网
物联网设备在我们的日常生活中变得越来越普遍,比如,智能自行车、健身跟踪器、医疗传感器、智能锁和联动工厂等。所有这些设备和组件都可以使用开源工具来抵御网络攻击,本文将简要介绍其中一些工具。

数字化转型涉及数据驱动的决策与人工智能(AI)的结合。重要数据通过物联网(IoT)设备和智能组件进行传播。由于物联网设备常常处于不安全的环境,而且由于缺乏内生安全机制的脆弱性,很难免于潜在的网络攻击。以下是一些用于实现安全审计的开源工具,可以降低此类攻击风险。

网络攻击者和嗅探器可以从物联网设备中获取敏感数据,并利用这些信息对其他相关系统发起攻击。反病毒和计算机安全服务公司卡巴斯基表示,在 2021,物联网黑客数量同比增长了四倍多。

在很大程度上,黑客通过使用 Telnet 协议访问物联网网络,该协议为通过互联网与设备或服务器进行通信提供了命令行接口。根据研究报告,超过 58% 的物联网入侵使用各种协议以求实现挖掘加密货币、通过分布式拒绝服务(DDoS)攻击关闭系统、窃取机密数据的目的。

由于人们在疫情期间居家使用物联网设备的时间增加,安全风险也随之上升。这些物联网组件中的大部分无论是个人用还是商用,都缺乏基本的安全措施。人工智能和边缘计算等新技术也使网络和数据安全形势复杂化。卡巴斯基的一位安全专家 Dan Demeter 表示:智能组件变得流行,攻击的数量也随之上升了。

Key components in PENIOT

物联网组件的安全审计需求

网络攻击一直在演变,商业公司和政府部门都在采用越来越复杂的网络安全设施以防止他们的应用和基础设施免于在线攻击。全球渗透测试市场预计将从 2021 的 16 亿美元增长到 2026 年的 30 亿美元,2021 至 2026 年的复合年增长率为 13.8%。

物联网设备的渗透测试是一个热门话题,在这一领域有大量研究。即使采用“设计安全”的方法,渗透对于识别真正的安全危险并采取适当的预防措施也是至关重要的。

物联网部署中需要安全和隐私的关键部分和协议包括:


  • 受限应用协议Constraint application protocol(CoAP)
  • 低功耗蓝牙Bluetooth low energy(BLE)
  • 高级消息队列协议Advanced message queuing protocol(AMQP)
  • 消息队列遥测传输Message queuing telemetry transport(MQTT)

攻击者有多种可能的入口访问到联网设备。在物联网渗透测试(或安全审计)时,要测试完整的物联网场景和生态。测试内容包括从单个层和嵌入式软件到通信协议和服务器的所有内容。对服务器、在线接口和移动应用的测试并非物联网独有,但至关重要,因为它们涵盖了故障可能性很高的领域。物联网漏洞是电气、嵌入式软件和通信协议测试的重点。

在评估联网设备的安全性时会进行以下测试。这些测试都是使用不同的针对漏洞的高性能渗透测试和安全审计工具进行的:


  • 通信端口中的攻击和操纵的测试
  • 基于无线电信号捕获和分析的 IoT 嗅探
  • 接口和后门测试
  • 缓冲区溢出测试
  • 密码破解测试
  • 调试
  • 密码学分析
  • 固件操纵测试
  • 逆向工程
  • 内存转储

物联网安全审计使用的开源工具

物联网设备在我们的日常生活中变得越来越普遍,比如,智能自行车、健身跟踪器、医疗传感器、智能锁和联动工厂等。所有这些设备和组件都可以使用开源工具来抵御网络攻击,本文将简要介绍其中一些工具。

PENIOT

​PENIOT​​ 是一种物联网渗透测试工具,使安全审计团队能够通过利用设备的连接来测试和破坏具有各种安全威胁的设备。可以测试主动和被动安全威胁。在确定目标设备和相关信息(或参数)后,可以进行主动安全攻击,例如改变系统资源、重放合法通信单元等。还可以分析被动安全威胁,例如破坏敏感数据的机密性或访问网络流量分析。

Objection

​Objective​​ 是一个对物联网环境中使用的安卓和 iOS 应用程序进行详细分析和安全审计的工具。

目前许多智能组件和设备都在使用安卓和 iOS 平台,使用该工具可以通过详细的日志和安全审计报告对这些平台进行分析。

Routersploit

​这个​​ 针对嵌入式设备的开源开发框架具有多个用于渗透测试和安全审计的功能和模块:


  • Exploits —— 漏洞评估
  • Creds —— 网络服务和证书的测试
  • Scanners —— 对目标进行详细的安全审计
  • Payloads —— 有效载荷和注入关键点的生成
  • Generic —— 执行和测试攻击

Wireshark

​Wireshark​​​ 是一款功能丰富的、免费的网络协议分析器。MQTT 等多种物联网协议可通过该工具实现有效分析。为了发现弱点,可以根据协议配置安全规则并检查流量。可以使用 ​​tcpdump​​ 通过命令行访问网络数据包分析器。此类工具用于检查物联网设备和网络之间交换的数据包。

Binwalk

​Binwalk​​ 是一种逆向硬件设计的工具。它是 Kali Linux 的关键组件之一,用于渗透测试、服务器指纹识别、安全审计和取证应用。

Firmwalker

​Firmwalker​​ 是一款自由开源的工具,用于搜索和扫描固件文件系统,无论是否被提取或挂载。使用这个工具可以做一个详细的安全审计。

在物联网(IoT)和万物互联(IoE)的时代,有必要设计并使用高性能工具包进行渗透测试和安全审计。随着物联网设备数量的增加,安全风险也在增加。为了物联网和万物互联部署有更高级别的安全和隐私,有必要根据最新的协议和动态的流量定制化自由及开源的工具箱和软件包。

责任编辑:庞桂玉 来源: Linux中国
物联网
相关推荐
无线安全审计工具——FruityWifi v1.6
FruityWifi是一款无线安全审计,灵感来自于wifipineapple。这个程序可以安装在Debian系列的操作系统上,在Debian,KaliLinux,KaliLinuxARM(RaspberryPi),Raspbian(RaspberryPi树莓派),Pwnpi(RaspberryPi)测试通过。

2013-11-15 15:42:44

FruityWifi无线安全审计安全工具
了解数据库安全审计工具
审计是规则遵从和安全计划的核心组成部分,也是目前IT部门中普遍实行的做法。关系数据库是第一款嵌入审计功能、并将其作为本地平台功能的企业级应用程序。然而,这次尝试却给审计带来了不好的名声。

2010-12-27 14:45:27

CISA发布勒索软件自我评估安全审计工具
据外媒,美国网络安全与基础设施安全局CISA发布了勒索软件就绪评估RRA作为网络安全评估工具CSET的新模块,据悉,RRA是一种安全审计自我评估工具。

2021-07-06 05:13:25

勒索软件CISA安全审计工具
Lynis – 用于Linux服务器的自动安全审计工具
通常我们在Linux服务器上运行很多东西,比如网络服务、数据库服务、电子邮件服务、FTP服务等等。通过在所有Linux机器上进行自动的安全审计和渗透测试,Lynis可以简化管理员的工作。

2020-10-16 16:20:38

LynisLinux审计工具
Linux服务器安全审计工具与流程完全指南
最有效的Linux安全审计方式是在服务器上运行专门为之量身打造的应用程序及服务项目。举例来说,运行中的网页服务器,其最薄弱的环节无疑是Web脚本风险,这也正是黑客们最常见的攻击目标之一。更不用说网页服务器本身或者是其中的任何模块都可能存在着过期、脆弱或是不安全的配置。

2011-08-08 18:43:26

了解数据库安全审计工具(上):什么是数据库审计
数据库管理员对本地审计功能感到厌恶是有其合理性的:本地审计的性能和数据管理效果曾带给他们梦魇般的遭遇,此外,审计跟踪并不是为了目前它们所从事的任务而设计的。虽然存在着这些不足,但是法规遵从所需的精确、完整的交易记录却是关系数据库审计跟踪所能够提供的。

2010-12-29 09:46:32

了解数据库安全审计工具(下):什么是数据库审计
有四种基本平台可以用于创建、收集和分析数据库审计,它们是:本地数据库平台、系统信息事件管理及其日志管理、数据库活动监控和数据库审计平台。

2010-12-29 09:50:06

数据库安全审计数据库审计
数据库审计工具的选择
数据库审计具备解析,存储所有访问数据库的相关信息并提供相关查询和报表功能。现在随着各大企业的相继发展起来,数据库安全审计工具也是琳琅满目,本文就为大家介绍数据库审计工具选择。

2011-03-23 15:34:57

数据库审计
工具推荐:三款自动化代码审计工具
在源代码的静态安全审计中,使用自动化工具代替人工漏洞挖掘,可以显著提高审计工作的效率。学会利用自动化代码审计工具,是每一个代码审计人员必备的能力。在学习PHP源代码审计的过程中,本人搜集使用了多款自动化工具。本文将简要介绍其中三款比较实用的工具:RIPS、VCG、FortifySCA。

2016-04-12 10:18:19

代码审计自动化代码审计工具
数据库安全最佳实践:数据库审计工具调优
数据库管理员受命于创建审计记录以符合安全审计和合规审计的要求,但如果他们仅仅去阅读那些叙述如何进行数据库审计的标准操作手册的话,恐怕会很失望。数据库审计工具都有一些特殊的使用技巧,如果不花费时间合理地规划审计流程,使用这些工具可能会使得数据库运行性能遭受惨重打击。

2010-11-30 11:26:49

老牌 Windows 密码审计工具转向开源,不再收费
ChristienRioux(DilDog)是L0phtCrack的最初作者之一,也是黑客团体L0phtHeavyIndustries的成员。20多年前,他在DEFCON大会期间发布该工具的开源版本。

2021-10-29 09:32:47

Windows工具密码
SMBeagle:一款功能强大的SMB文件共享安全审计工具
SMBeagle是一款针对SMB文件共享安全的审计工具,该工具可以帮助广大研究人员迅速查看网络中所有的可视文件,并判断目标文件是否可读或可写入。

2022-01-13 09:27:26

SMBeagle安全审计工具安全工具
如何设计工联网网关?
物联网和边缘计算应用程序通常部署在极端环境中,这些环境涉及宽温、剧烈冲击、持续振动、灰尘和水暴露等。为确保部署成功,许多应用程序需要工业物联网网关。工业物联网网关内置于低功耗的小型机箱中,适用于紧凑的远程物联网部署。

2023-01-31 15:35:46

物联网边缘计算工业物联网
如何设计工联网网关?
工业物联网网关内置于低功耗的小型机箱中,适用于紧凑的远程物联网部署。以下是市场上一些最好的工业物联网网关的一些关键特性。

2021-09-07 05:52:26

物联网网关工业物联网物联网
联网安全:如何保护联网
物联网(IoT)作为一个概念既令人着迷又令人兴奋,但从中获取真正商业价值的关键在于架构中所有元素之间的有效交互,这样您就可以更快地部署应用程序,并以闪电般的速度处理和分析数据,从而尽快做出明智决策。

2019-04-08 11:18:09

白话联网安全(二):联网安全检测
第一章《什么是物联网的信息安全》,我们讲了什么物联网,包含了哪几方面的东西,物联网的信息安全会涉及到什么,第二章我们从一个IOT漏洞自动化利用工具AutoSploit讲起,讲到我们该如何检测我们常见的物联网存在的安全问题。

2018-12-25 08:44:56

三款商业化源代码审计工具对比
源代码检测属于程序分析领域,需要具有相关领域的技术储备,很多传统的安全厂商都没有相关的商业化技术产品。本文结合多年对源代码检测产品的了解,介绍三款较为成熟的商业化源代码检测产品。

2017-06-28 13:40:49

信息安全源代码安全
WSSAT:一款功能强大的Web服务安全评估与审计工具
该工具接受WSDL地址列表作为输入文件,并且针对每个服务都会对其中潜在的安全漏洞执行静态和动态测试。值得一提的是,该工具还会给我们指定好信息披露控制措施。在该工具的帮助下,所有的网络服务不仅都可以同时进行分析,而且组织还可以看到网络系统整体的安全评估。

2023-09-14 08:39:45

三款商业化源代码审计工具对比
随着互联网的飞速发展,各种网络应用层出不穷,网络应用已经成为人们生活必不可少的一部分,在大家享受网络应用给人们带来便利的同时,安全问题频繁发生,信息泄露、业务中断、敲诈勒索等安全事件屡见不鲜,如何保证互联网的安全成为了一个重要的话题。

2017-06-27 16:10:34

源代码工具对比
联网安全安全威胁
物联网系统的安全威胁主要来自两个方面:外部攻击和内部攻击。其中,外部攻击的目的是使物联网系统的网络访问无法进行,如DDOS攻击等;内部攻击的目的是破坏物联网系统的正常运行,盗取物联网的系统数据,如病毒、木马等。

2020-12-24 14:55:00

物联网物联网安全安全威胁
点赞
收藏

51CTO技术栈公众号

业务
速览
在线客服