物聯網安全審計工具集錦

網路攻擊者和嗅探器可以從物聯網設備中獲取敏感數據，並利用這些信息對其他相關係統發起攻擊。反病毒和計算機安全服務公司卡巴斯基表示，在 2021，物聯網黑客數量同比增長了四倍多。

在很大程度上，黑客通過使用 Telnet 協議訪問物聯網網路，該協議為通過互聯網與設備或伺服器進行通信提供了命令行介面。根據研究報告，超過 58% 的物聯網入侵使用各種協議以求實現挖掘加密貨幣、通過分散式拒絕服務（DDoS）攻擊關閉系統、竊取機密數據的目的。

由於人們在疫情期間居家使用物聯網設備的時間增加，安全風險也隨之上升。這些物聯網組件中的大部分無論是個人用還是商用，都缺乏基本的安全措施。人工智慧和邊緣計算等新技術也使網路和數據安全形勢複雜化。卡巴斯基的一位安全專家 Dan Demeter 表示：智能組件變得流行，攻擊的數量也隨之上升了。

物聯網組件的安全審計需求

網路攻擊一直在演變，商業公司和政府部門都在採用越來越複雜的網路安全設施以防止他們的應用和基礎設施免於在線攻擊。全球滲透測試市場預計將從 2021 的 16 億美元增長到 2026 年的 30 億美元，2021 至 2026 年的複合年增長率為 13.8%。

物聯網設備的滲透測試是一個熱門話題，在這一領域有大量研究。即使採用「設計安全」的方法，滲透對於識別真正的安全危險並採取適當的預防措施也是至關重要的。

物聯網部署中需要安全和隱私的關鍵部分和協議包括：

• 受限應用協議 Constraint application protocol （CoAP）
• 低功耗藍牙 Bluetooth low energy （BLE）
• 高級消息隊列協議 Advanced message queuing protocol （AMQP）
• 消息隊列遙測傳輸 Message queuing telemetry transport （MQTT）

攻擊者有多種可能的入口訪問到聯網設備。在物聯網滲透測試（或安全審計）時，要測試完整的物聯網場景和生態。測試內容包括從單個層和嵌入式軟體到通信協議和伺服器的所有內容。對伺服器、在線介面和移動應用的測試並非物聯網獨有，但至關重要，因為它們涵蓋了故障可能性很高的領域。物聯網漏洞是電氣、嵌入式軟體和通信協議測試的重點。

在評估聯網設備的安全性時會進行以下測試。這些測試都是使用不同的針對漏洞的高性能滲透測試和安全審計工具進行的：

• 通信埠中的攻擊和操縱的測試
• 基於無線電信號捕獲和分析的 IoT 嗅探
• 介面和後門測試
• 緩衝區溢出測試
• 密碼破解測試
• 調試
• 密碼學分析
• 固件操縱測試
• 逆向工程
• 內存轉儲

物聯網安全審計使用的開源工具

物聯網設備在我們的日常生活中變得越來越普遍，比如，智能自行車、健身跟蹤器、醫療感測器、智能鎖和聯動工廠等。所有這些設備和組件都可以使用開源工具來抵禦網路攻擊，本文將簡要介紹其中一些工具。

PENIOT

PENIOT 是一種物聯網滲透測試工具，使安全審計團隊能夠通過利用設備的連接來測試和破壞具有各種安全威脅的設備。可以測試主動和被動安全威脅。在確定目標設備和相關信息（或參數）後，可以進行主動安全攻擊，例如改變系統資源、重放合法通信單元等。還可以分析被動安全威脅，例如破壞敏感數據的機密性或訪問網路流量分析。

Objection

Objective 是一個對物聯網環境中使用的安卓和 iOS 應用程序進行詳細分析和安全審計的工具。

目前許多智能組件和設備都在使用安卓和 iOS 平台，使用該工具可以通過詳細的日誌和安全審計報告對這些平台進行分析。

Routersploit

這個 針對嵌入式設備的開源開發框架具有多個用於滲透測試和安全審計的功能和模塊：

• Exploits —— 漏洞評估
• Creds —— 網路服務和證書的測試
• Scanners —— 對目標進行詳細的安全審計
• Payloads —— 有效載荷和注入關鍵點的生成
• Generic —— 執行和測試攻擊

Wireshark

Wireshark 是一款功能豐富的、免費的網路協議分析器。MQTT 等多種物聯網協議可通過該工具實現有效分析。為了發現弱點，可以根據協議配置安全規則並檢查流量。可以使用 tcpdump 通過命令行訪問網路數據包分析器。此類工具用於檢查物聯網設備和網路之間交換的數據包。

Binwalk

Binwalk 是一種逆向硬體設計的工具。它是 Kali Linux 的關鍵組件之一，用於滲透測試、伺服器指紋識別、安全審計和取證應用。

Firmwalker

Firmwalker 是一款自由開源的工具，用於搜索和掃描固件文件系統，無論是否被提取或掛載。使用這個工具可以做一個詳細的安全審計。

在物聯網（IoT）和萬物互聯（IoE）的時代，有必要設計並使用高性能工具包進行滲透測試和安全審計。隨著物聯網設備數量的增加，安全風險也在增加。為了物聯網和萬物互聯部署有更高級別的安全和隱私，有必要根據最新的協議和動態的流量定製化自由及開源的工具箱和軟體包。

via: https://www.opensourceforu.com/2022/05/tools-you-can-use-for-the-security-audit-of-iot-devices/

作者：Dr Kumar Gaurav 選題：lkxed 譯者：tendertime 校對：wxy

本文由 LCTT 原創編譯，Linux中國 榮譽推出

本文轉載來自 Linux 中國: https://github.com/Linux-CN/archive