Redian新闻
>
物联网安全审计工具集锦 | Linux 中国

物联网安全审计工具集锦 | Linux 中国

科技
 
导读:以下是一些用于实现安全审计的开源工具,可以降低此类攻击风险。                           
本文字数:2575,阅读时长大约:4分钟

LCTT 译者 :tendertime
🌟🌟
翻译: 2.0 篇
|
贡献: 2 天
2022-05-04
2022-05-05
https://linux.cn/lctt/tendertime

数字化转型涉及数据驱动的决策与人工智能(AI)的结合。重要数据通过物联网(IoT)设备和智能组件进行传播。由于物联网设备常常处于不安全的环境,而且由于缺乏内生安全机制的脆弱性,很难免于潜在的网络攻击。以下是一些用于实现安全审计的开源工具,可以降低此类攻击风险。

网络攻击者和嗅探器可以从物联网设备中获取敏感数据,并利用这些信息对其他相关系统发起攻击。反病毒和计算机安全服务公司卡巴斯基表示,在 2021,物联网黑客数量同比增长了四倍多。

在很大程度上,黑客通过使用 Telnet 协议访问物联网网络,该协议为通过互联网与设备或服务器进行通信提供了命令行接口。根据研究报告,超过 58% 的物联网入侵使用各种协议以求实现挖掘加密货币、通过分布式拒绝服务(DDoS)攻击关闭系统、窃取机密数据的目的。

由于人们在疫情期间居家使用物联网设备的时间增加,安全风险也随之上升。这些物联网组件中的大部分无论是个人用还是商用,都缺乏基本的安全措施。人工智能和边缘计算等新技术也使网络和数据安全形势复杂化。卡巴斯基的一位安全专家 Dan Demeter 表示:智能组件变得流行,攻击的数量也随之上升了。

Key components in PENIOT

物联网组件的安全审计需求

网络攻击一直在演变,商业公司和政府部门都在采用越来越复杂的网络安全设施以防止他们的应用和基础设施免于在线攻击。全球渗透测试市场预计将从 2021 的 16 亿美元增长到 2026 年的 30 亿美元,2021 至 2026 年的复合年增长率为 13.8%。

物联网设备的渗透测试是一个热门话题,在这一领域有大量研究。即使采用“设计安全”的方法,渗透对于识别真正的安全危险并采取适当的预防措施也是至关重要的。

物联网部署中需要安全和隐私的关键部分和协议包括:

◈ 受限应用协议(Constraint application protocol)(CoAP)
◈ 低功耗蓝牙(Bluetooth low energy)(BLE)
◈ 高级消息队列协议(Advanced message queuing protocol)(AMQP)
◈ 消息队列遥测传输(Message queuing telemetry transport)(MQTT)

攻击者有多种可能的入口访问到联网设备。在物联网渗透测试(或安全审计)时,要测试完整的物联网场景和生态。测试内容包括从单个层和嵌入式软件到通信协议和服务器的所有内容。对服务器、在线接口和移动应用的测试并非物联网独有,但至关重要,因为它们涵盖了故障可能性很高的领域。物联网漏洞是电气、嵌入式软件和通信协议测试的重点。

在评估联网设备的安全性时会进行以下测试。这些测试都是使用不同的针对漏洞的高性能渗透测试和安全审计工具进行的:

◈ 通信端口中的攻击和操纵的测试
◈ 基于无线电信号捕获和分析的 IoT 嗅探
◈ 接口和后门测试
◈ 缓冲区溢出测试
◈ 密码破解测试
◈ 调试
◈ 密码学分析
◈ 固件操纵测试
◈ 逆向工程
◈ 内存转储

物联网安全审计使用的开源工具

物联网设备在我们的日常生活中变得越来越普遍,比如,智能自行车、健身跟踪器、医疗传感器、智能锁和联动工厂等。所有这些设备和组件都可以使用开源工具来抵御网络攻击,本文将简要介绍其中一些工具。

PENIOT

PENIOT🔗 github.com 是一种物联网渗透测试工具,使安全审计团队能够通过利用设备的连接来测试和破坏具有各种安全威胁的设备。可以测试主动和被动安全威胁。在确定目标设备和相关信息(或参数)后,可以进行主动安全攻击,例如改变系统资源、重放合法通信单元等。还可以分析被动安全威胁,例如破坏敏感数据的机密性或访问网络流量分析。

Objection

Objective🔗 github.com 是一个对物联网环境中使用的安卓和 iOS 应用程序进行详细分析和安全审计的工具。

目前许多智能组件和设备都在使用安卓和 iOS 平台,使用该工具可以通过详细的日志和安全审计报告对这些平台进行分析。

Routersploit

这个🔗 github.com 针对嵌入式设备的开源开发框架具有多个用于渗透测试和安全审计的功能和模块:

◈ Exploits —— 漏洞评估
◈ Creds —— 网络服务和证书的测试
◈ Scanners —— 对目标进行详细的安全审计
◈ Payloads —— 有效载荷和注入关键点的生成
◈ Generic —— 执行和测试攻击

Wireshark

Wireshark🔗 www.wireshark.org 是一款功能丰富的、免费的网络协议分析器。MQTT 等多种物联网协议可通过该工具实现有效分析。为了发现弱点,可以根据协议配置安全规则并检查流量。可以使用 tcpdump 通过命令行访问网络数据包分析器。此类工具用于检查物联网设备和网络之间交换的数据包。

Binwalk

Binwalk🔗 www.kali.org 是一种逆向硬件设计的工具。它是 Kali Linux 的关键组件之一,用于渗透测试、服务器指纹识别、安全审计和取证应用。

Firmwalker

Firmwalker🔗 github.com 是一款自由开源的工具,用于搜索和扫描固件文件系统,无论是否被提取或挂载。使用这个工具可以做一个详细的安全审计。

在物联网(IoT)和万物互联(IoE)的时代,有必要设计并使用高性能工具包进行渗透测试和安全审计。随着物联网设备数量的增加,安全风险也在增加。为了物联网和万物互联部署有更高级别的安全和隐私,有必要根据最新的协议和动态的流量定制化自由及开源的工具箱和软件包。


via: https://www.opensourceforu.com/2022/05/tools-you-can-use-for-the-security-audit-of-iot-devices/

作者:Dr Kumar Gaurav 选题:lkxed 译者:tendertime 校对:wxy

本文由 LCTT 原创编译,Linux中国 荣誉推出


欢迎遵照 CC-BY-SA 协议规定转载,
如需转载,请在文章下留言 “转载:公众号名称”,
我们将为您添加白名单,授权“转载文章时可以修改”。


微信扫码关注该文公众号作者

戳这里提交新闻线索和高质量文章给我们。
相关阅读
Linux 内核 5.18 版本正式发布,新增显卡驱动以及硬件支持 | Linux 中国你的 Linux 启动时有几只小企鹅? | Linux 中国在虚拟机中运行 Linux 的十大优点 | Linux 中国为什么说“无源物联网”是物联网发展的一条主路径?使用 watch 和 tail 命令监视 Linux 上的活动 | Linux 中国你将如何进行资产转换,如果未来三年通胀都会维持在10%/年?Fedora Linux 36 发布 | Linux 中国英伟达在提升 Linux 上的 GPU 使用体验上迈出了一大步 | Linux 中国俄罗斯的命运【熊市特征】落霞与股指同色 美股和美债齐跌如何在 Linux 桌面中启用 “激活 Linux” 水印通知 | Linux 中国上一个说“丼”不读jǐng的人,已经被我骂哭了在 Linux 上使用 sudo 命令的 5 个理由 | Linux 中国使用 Linux 上的开源财务工具 Skrooge 管理你的预算 | Linux 中国微软还有另一个 Linux 发行版,而且是基于 Debian 的 | Linux 中国Archinstall 新的菜单系统让安装 Arch Linux 更容易了 | Linux 中国分享 8 篇使用 Linux 命令行的技巧 | Linux 中国最适合程序员的 10 款 Linux 发行版 | Linux 中国Linux 中国开通播客频道:“开源朗读者”和“硬核观察” | Linux 中国HydraPaper:一个支持多显示器的 Linux 壁纸管理器 | Linux 中国实测 Linux Mint 升级工具 | Linux 中国Linux Mint 接管 Timeshift 备份工具的开发,并作为一款 XApp 来维护 | Linux 中国用 Gwenview 在 Linux 上裁剪和调整照片大小 | Linux 中国如何在 Linux 和 Windows 电脑之间共享文件 | Linux 中国Ubuntu Core 22 来了,适用于物联网和边缘设备 | Linux 中国如何在 Fedora Linux 中安装多媒体编码器 | Linux 中国在 Ubuntu Linux 如何安装 H.264 解码器 | Linux 中国用这些开源工具在 Linux 上编辑 PDF 文件 | Linux 中国我国第一批工学博导名单(二)我如何在 Linux 上扫描家庭照片 | Linux 中国好消息!Docker Desktop 现已支持 Linux | Linux 中国Fudgie?令人惊叹的 Budgie 桌面即将登陆 Fedora Linux | Linux 中国乌克兰还能撑多久?使用 apt 进行 Linux 包管理 | Linux 中国使用 dnf 进行 Linux 包管理 | Linux 中国
logo
联系我们隐私协议©2024 redian.news
Redian新闻
Redian.news刊载任何文章,不代表同意其说法或描述,仅为提供更多信息,也不构成任何建议。文章信息的合法性及真实性由其作者负责,与Redian.news及其运营公司无关。欢迎投稿,如发现稿件侵权,或作者不愿在本网发表文章,请版权拥有者通知本网处理。