渗透测试就像用攻城锤去敲要塞的门。继续敲下去,也许找个秘密后门进去。但是如果网络的一部分在堡垒之外会发生什么呢?随着物联网设备的不断涌现,用这么多设备和终端进行笔测试是否会变得更加困难?
帕洛阿尔托网络公司42单元首席安全研究员克劳德·肖(claude Xiao)表示,如果只是用黑盒的方式在物联网设备上测试一些网络服务,其难度级别和步骤与常规的笔测试类似。但如果您是通过分析固件或分析无线通信(如蓝牙或ZigBee)来发现漏洞,那就困难得多了。
“由于物联网设备和嵌入式Linux系统的设计和实现过程中无处不在的多样性,上述每一步都可能失败。即使发现了安全漏洞,也需要一些额外的知识来编写可行的攻击代码。”
笔测试物联网的好处包括加强设备安全,防止未经授权的使用,避免特权的提升,降低妥协的风险,更好的用户和数据隐私,并设置强大的加密加密,以避免中间人(MTM)攻击。
WhiteHat security威胁研究中心的移动安全经理Don Green也认为,物联网评估本质上更复杂,因为涉及更多的硬件、软件和通信协议。“这意味着更大的攻击面和更广泛的攻击载体。成功的物联网评估需要对特定物联网设备的电子生态系统进行彻底的测绘,并制定详细的评估计划。”
他说,虽然物联网本身没有引入新技术,但它为开发人员和安全团队引入了更复杂的环境。了解环境的复杂性、充分研究组件以及制定全面的评估计划是确保物联网安全的关键。
ZingBox首席安全工程师Daniel Regalado表示,当你专注于物联网时,挑战是不同的,也更困难。“你要处理不同的架构、操作系统、通信协议等。这与渗透测试器面对的传统网络完全不同。”
大多数攻击都是通过引诱终端用户打开电子邮件或点击恶意链接开始的,但在物联网世界中则不同。这些设备背后没有终端用户。他说,因此,没有人可以引诱,这使得闯入嵌入式设备变得更有挑战性(像默认凭证或纯文本登录协议,如telnet等低挂的果实不被认为是挑战,因此在渗透测试中超出范围)。
传统和非传统渗透测试的主要区别在于物联网的多样性。在传统的测试中,渗透测试人员通常要面对Windows或Linux x86/x64位系统、已知的TCP/UDP协议和应用程序。但是,当你切换到物联网时,你会拥有大多数渗透测试者不常见的新架构(ARM、MIPS、SuperH、PowerPC等)。不同的通信协议,如ZigBee、SDR(软件定义无线电)、BLE(蓝牙低能量)、NFC(近场通信),都需要新的专业知识和工具来测试它们。Regalado说,处理实时操作系统(这在输液泵中很常见)可能需要渗透测试人员从零开始创建新的工具来支持这种技术。传统的渗透测试人员可能会完全迷失在嵌入式设备和这些协议的漏洞中。
Mocana首席技术官Dean Weber表示,物联网笔测试是一种基于知识的方法,将本土和商业工具结合在一起,以实现一个目标,但这仅限于设备层面。“再往上一层,基于个体漏洞,物联网系统面临风险,”他说。
今天,大多数物联网/工业物联网渗透测试人员要么是从网络渗透测试迁移过来的,要么参与了工业测试,并将渗透测试添加到他们的产品组合中。“这不会永远持续下去,你将会看到诸如nmap工业协议在每个人的手中,虽然最终套件像Metasploit将包括一个全面的设备和协议库,可以设置为一个基线平台和网络在物联网/ IIoT空间。”
Spirent描述了物联网环境的组成,以便适当地评估攻击面。物联网环境主要由以下组件组成:
- 网络:物联网环境在网络上运行并通过网络进行更新,如Internet、BLE、4G、LTE、Zigbee、LoRA、WiFi、MQTT、802.11.15.4等。
- 应用程序:物联网应用程序管理设备——Web应用程序、移动应用程序,它们可以是Web应用程序、移动应用程序或api (SOAP、REST))。
- 固件:这是设备的软件和操作系统。
- 加密-:加密保护通信和存储在设备上的数据。
- 硬件:这是物联网设备硬件(芯片,如芯片组、存储存储、JTAG、UART端口、传感器、摄像头等)端口、传感器、摄像头或其他设备。
“操作物联网解决方案需要五个级别的功能,你可以看到巨大的威胁面。这就是为什么物联网设备的渗透测试应该包括网络、应用程序、固件、加密分析和硬件测试。单笔测试是不够的,”斯博伦特通信公司斯博伦特安全实验室高级主管Sameer Dixit说。
NSS实验室战略副总裁Mike Spanbauer说,物联网时代的笔测试需要更多非传统设备操作系统、通信和协议的知识——连接电视、摄像头、智能建筑和其他资产不同于个人电脑和服务器。的技能和经验,如何利用数据路径工作之间的计算平台和物联网,然而正常运行时间规则的优先级不与它和所有的(至少在工业和商业物联网)改变了心态,和方法必须设计和评估系统的弱点。
“公司应该避免在笔测试中‘过度修正’,只关注物联网设备。请记住,这些设备中有许多实际上是由于其附带的云帐户、管理控制台和pc、应用程序和服务器的‘常规’攻击表面的其他方面的弱点而受到损害,”他说。
那些希望调查物联网漏洞的人也将在现有的笔空间非常熟练,因为许多这些设备拥有Windows或Linux监控或管理应用程序,也必须经过彻底的笔测试。
他说:“由于监控和计算元件的分布式特性,在物联网中很难确定离散元件的概念。”
Spanbauer说,任何笔测练习的主要挑战是,它能及时发现漏洞,而现实是it环境在不断变化——“特别是”由于物联网的影响。组织必须准备并采用持续验证模型,其中除了漏洞扫描、协议检查等之外,还对关键服务和设备的行为异常进行监视。
他说:“没有什么能替代基于背景的智能,它只能来自了解你的环境,并持续监测和验证它。”
Rapid7的研究主管Deral Heiland表示,当物联网组件单独接触时,会使笔测试更成问题。如果单独测试,测试人员不会考虑产品生态系统中组件的交互。这可能会导致忽略重要的安全问题。为了避免这种情况,必须建立一个功能完备的物联网产品生态系统,并进行操作测试,以规划各部件之间的所有交互。
Praetorian首席执行官Nathan Sportsman表示,当涉及到嵌入式设备(“物联网”)的安全性时,许多公司倾向于依赖原始设备制造商提供的保证。如果他们进行自己的审查,审查的范围通常是有限的,通常包括有限的安全评估和漏洞扫描。
步骤是什么?
Synopsys Software Integrity Group的副首席顾问Larry Trowell表示,为了测试物联网设备,你必须从所有其他安全测试实践中获得良好的技能组合,加上一些嵌入式设备特有的技能:
- 测试人员必须精通网络安全,以确定正在使用的协议以及可能存在风险的信息。
- 测试人员必须擅长正常的网络测试,以了解设备上基于网络的配置界面是否存在弱点。
- 测试人员必须精通嵌入式工程和usi。Ng工程工具查找和后门测试接口
- 测试人员必须擅长测试晦涩的操作系统实例。虽然这些设备中有很大一部分将运行Linux的某些变体,但也有许多运行QNX、VXworks、嵌入式Windows,有时还运行自定义的一次性操作系统。
- 测试人员必须善于从提取的固件进行反向工程和反编译应用程序。有些设备没有操作系统,直接在金属上运行。对于这些测试,测试人员必须完全反向工程应用程序,以确定它是否容易受到攻击。
物联网解决方案笔测试包括对网络、API和应用程序的测试。如果物联网环境可以通过互联网或无线网络访问,这可以远程完成。迪克西特说,对于硬件、加密和Wi-Fi笔测试,设备在实验室连接,并分析逻辑和物理安全弱点。
肖说,你可能需要解构设备,识别硬件调试接口或存储芯片,通过不同的硬件黑客技术转储固件。然后您需要分析固件并从中提取内部可执行文件和配置。最后,您将反转可执行文件并发现它们的安全缺陷。
绿色从微观和宏观两个层面描述了这个过程。他说,绘图先是在宏观层面,然后是微观层面。从宏观角度来看,映射需要涵盖所有参与生态系统功能的设备和组件。”这意味着一切。所有设备、所有通信和所有软件组件,”他说。
在微观层面上,必须了解每个组件的深度和潜在弱点。什么样的硬件,什么样的固件,什么样的通信,什么样的软件语言,什么样的第三方插件?他说,这需要进行大量的研究,以了解单个组件的弱点以及组件之间相互作用的弱点。
“有了这个全面的地图,评估人员就有了一个蓝图来制定评估计划,并从他们的黑客工具箱中选择合适的工具。此时,测试人员已经完成了所需的繁重工作。他们了解物联网设备及其运行环境,并制定了全面的评估计划,其中包括具体的工作工具。有趣的部分开始了。执行你的评估计划,黑进那个设备!,”格林说。
Regalado说,首先,确定范围。第二,确定你的目标设备类型。物联网的渗透测试包括黑盒测试和白盒测试。在黑盒测试中,黑客并不知道该公司的网络。他真像个黑客。黑盒测试人员只是被告知公司名称,并被告知“去做吧”。黑盒测试人员必须找到IT资产并开始攻击它们。
在白盒测试中,公司向渗透测试人员提供更多信息,如访问系统的凭证、应用程序源代码、本地网络的访问等,目的是彻底评估其网络中的每一条路径。
在黑盒测试中,渗透测试人员发现的任何漏洞都将像真实世界中的黑客入侵一样。换句话说,如果渗透测试者可以通过一家公司的网站侵入本地网络,那么一个真正的黑客很可能也能做同样的事情,如果还没有这样做的话。
Ragalado表示,最重要的是,一些公司认为,通过黑盒测试,它们是安全的。然而,关键是要记住白盒方法将有助于理解攻击者能够做什么。
迪克西特表示,应用程序和网络需要定期扫描和笔测,物联网解决方案也应该遵循同样的安全习惯,因为它们是应用程序、网络和硬件的综合体。最低限度地,物联网解决方案应在每次更新/或发布时进行测试,以评估新发布对设备的影响,并测试自上次扫描或笔测以来可能出现的新漏洞。