在前文中，我們了解了IoT技術(shù)的基本架構(gòu)，本文我將來說說IoT安全，在此過程中，我們會嘗試定義一種新方法來理解IoT安全，同時也會創(chuàng)建一個結(jié)構(gòu)化流程來方便認知IoT相關(guān)的攻擊研究和滲透測試。

依據(jù)前文我們定義的IoT體系結(jié)構(gòu)，現(xiàn)在我們可以非常清晰地分離出物聯(lián)網(wǎng)系統(tǒng)的各種組件，并嘗試為每種組件定義攻擊面，各種組件的攻擊面組合將形成一個整體的物聯(lián)網(wǎng)生態(tài)系統(tǒng)攻擊面。

我之所以把它稱為物聯(lián)網(wǎng)生態(tài)系統(tǒng)而不是物聯(lián)網(wǎng)產(chǎn)品，是因為它確實是一個由不同組件組成的生態(tài)系統(tǒng)，它們相互通信并解決特定的現(xiàn)實問題。 我們先來詳細討論每種組件的攻擊面，如果我們把通信作為一種攻擊面的話，總體攻擊面可分為以下四類：

移動端

云端

通信層面

設(shè)備層面

OWASP在IoT安全方面也做了很多工作，他們也給IoT架構(gòu)定義了攻擊面，值得認真研讀一番（點此查看），你可以綜合不同觀點形成自己的看法。

移動端攻擊面

移動端是IoT用戶了解物理設(shè)備狀態(tài)的一個重要接口，移動App與IoT系統(tǒng)之間的命令發(fā)送和數(shù)據(jù)讀取，是與IoT通信的窗口。以下IoT系統(tǒng)移動端可能面臨的一些攻擊面：

存儲介質(zhì)

認證方式

加密手段

通信方式

原生移動端系統(tǒng)漏洞

云端攻擊面

IoT系統(tǒng)不只包括硬件，云端服務(wù)對IoT服務(wù)來說同樣重要，它是產(chǎn)品線的各種實例匯聚，而實例中又包含了所有終端用戶使用者的相關(guān)數(shù)據(jù)，同時云端服務(wù)還具備一定的命令執(zhí)行權(quán)限，攻擊者一旦成功滲透，就能對相關(guān)部署設(shè)備形成管理控制，危害甚大?？傮w來說，云端服務(wù)攻擊面主要體現(xiàn)在所提供服務(wù)的接口上：

存儲介質(zhì)

認證方式

加密手段

通信方式

APIs接口

原生Web端和云端架構(gòu)漏洞

硬件設(shè)備攻擊面

接下來就是IoT技術(shù)的關(guān)鍵角色-硬件設(shè)備，它是物理世界的接口體現(xiàn)也是虛擬數(shù)字世界的通信媒介。相關(guān)的數(shù)據(jù)轉(zhuǎn)換會首先經(jīng)過硬件設(shè)備，由于它本身存儲了用戶相關(guān)的敏感信息（例如家庭統(tǒng)計數(shù)據(jù)、身體統(tǒng)計信息、個人信息等），所以這種用戶隱私存儲機制也存在一些爭議。而在未來，不同硬件設(shè)備還能使用用戶的電子錢包或綁定賬戶實現(xiàn)商品購買或遠程維護等服務(wù)。其存在的攻擊面可能有：

存儲介質(zhì)

認證方式

加密手段

通信方式

感應(yīng)接口

外設(shè)接口

硬件接口

人機交互接口

通信方式攻擊面

盡管通信攻擊不是一種有形的攻擊，其理想的有形攻擊面將是通信接口和負責(zé)通信的各個驅(qū)動器和固件，但這只是其中的一部份，因為無數(shù)通信協(xié)議會共同在有線和無線介質(zhì)上作用于物聯(lián)網(wǎng)生態(tài)系統(tǒng)。以下是通信方式可能存在的攻擊面：

認證方式

加密手段

偏離協(xié)議標(biāo)準(zhǔn)

協(xié)議實現(xiàn)異常

硬件接口允許通信交互，然后實際的數(shù)據(jù)通信分組是由上層的軟件實現(xiàn)定義的，因此，通信攻擊面的問題我們就只討論一些協(xié)議，雖然各種協(xié)議缺陷可能導(dǎo)致對移動設(shè)備、硬件設(shè)備或云端服務(wù)的端點攻擊，但為了理解清晰，我們?nèi)詫⑵渥鳛閱为毜墓裘鎭碛懻?，我會列出各種物聯(lián)網(wǎng)產(chǎn)品中使用的一些通用協(xié)議。如下：

WEB

Web或HTTP（S）技術(shù)是常用的通信協(xié)議，由于Web端的攻擊面非常廣泛，但好在攻擊面、漏洞和緩解技術(shù)很多都已經(jīng)標(biāo)準(zhǔn)化了。網(wǎng)上有很多攻擊描述和防護的詳細資源?？梢詤⒖糘WASP的Web Top 10、測試指南和各種開源工具。

其它

除了WEB端外還存在其它很多特定通用或高效的協(xié)議，為了簡潔起見，我只列出一些通用協(xié)議供參考學(xué)習(xí)，經(jīng)驗告訴我們，所有協(xié)議都存在實施缺陷、協(xié)議設(shè)計缺陷和配置缺陷，這些缺陷則需要在深入的滲透測試中進行分析驗證。

CoAP – https://en.wikipedia.org/wiki/Constrained_Application_Protocol

MQTT – https://en.wikipedia.org/wiki/MQTT

AMQP – https://en.wikipedia.org/wiki/Advanced_Message_Queuing_Protocol

WebSocket – https://en.wikipedia.org/wiki/WebSocket

CANbus – https://en.wikipedia.org/wiki/CAN_bus

Modbus – https://en.wikipedia.org/wiki/Modbus

Profibus – https://en.wikipedia.org/wiki/Profibus

DNP3 – https://en.wikipedia.org/wiki/DNP3

BACNet – https://en.wikipedia.org/wiki/BACnet

HL7 – https://en.wikipedia.org/wiki/Health_Level_7

XMPP – https://en.wikipedia.org/wiki/XMPP

UPnP – https://en.wikipedia.org/wiki/Universal_Plug_and_Play

DNS

SSH

以上這些為你提供了有關(guān)物聯(lián)網(wǎng)生態(tài)系統(tǒng)攻擊面的一些全局概述，現(xiàn)在我們就嘗試來對硬件設(shè)備定義一種詳細的攻擊面，以便我們知曉標(biāo)準(zhǔn)的物聯(lián)網(wǎng)滲透測試攻擊目標(biāo)，這也有利于物聯(lián)網(wǎng)安全架構(gòu)師為物聯(lián)網(wǎng)產(chǎn)品創(chuàng)建威脅模型。但請注意，我就不具體定義移動端和云端的攻擊面了，因為可在互聯(lián)網(wǎng)上找到大量的類似相關(guān)資源，該博客系列旨在為安全研究人員建立一個物聯(lián)網(wǎng)安全研究的入門通道，所以我們只重點討論硬件設(shè)備這種當(dāng)前在IoT安全中未成型的知識。

具體定義硬件設(shè)備攻擊面

以下就是根據(jù)我個人理解來定義的一些硬件相關(guān)的分離和結(jié)構(gòu)化的IoT攻擊面：

存儲介質(zhì)

涉及硬件設(shè)備使用的各種內(nèi)部、外部、 持久性和易失性存儲。它們包含：

SD卡：SD卡是一種典型的數(shù)據(jù)和配置存儲介質(zhì)，它們也可用來存儲固件更新，利用SD卡可形成有意思的攻擊面，后期我會在博客中作具體技術(shù)分析。

USB載體：某些IoT產(chǎn)品會使用USB載體代替SD卡，來存儲和讀寫某些下載好或預(yù)先配置好的的數(shù)據(jù)。USB載體和SD卡的攻擊手段相似。

非易失性內(nèi)存：大量的感應(yīng)讀寫數(shù)據(jù)、啟動引導(dǎo)、固件、密碼憑據(jù)等信息都利用這種內(nèi)存進行存儲，當(dāng)測試硬件電路板時，存儲在芯片上的數(shù)據(jù)至關(guān)重要。我們可以對存儲器和微控制器之間的通信執(zhí)行運行分析，以判斷不同操作中存儲/讀取的不同數(shù)據(jù)類型。例如通過一個邏輯分析儀去嗅探總線通信，進而發(fā)現(xiàn)觸發(fā)特定操作的各種讀寫數(shù)據(jù)。該種內(nèi)存有不同類型的芯片：

EPROM（可擦除可編程只讀存儲器）

EEPROM（帶電可擦除可編程只讀存儲器）

FLASH – （非易失性閃存，具備快速高效特點）

以下為一個I2C串行EEPROM：

易失性內(nèi)存：這種內(nèi)存也就是我們會想起的RAM(隨機存取存儲器), 它廣泛應(yīng)用于電腦電路板和一些嵌入式系統(tǒng)中的隨機數(shù)據(jù)存儲，當(dāng)斷電后其不能保存數(shù)據(jù)，它分為以下兩類：

SRAM (靜態(tài)隨機存取存儲器) – 芯片斷電后不保存數(shù)據(jù)

DRAM (動態(tài)隨機存取存儲器) – 數(shù)據(jù)只能被短時存儲，為了保持數(shù)據(jù)必須短時刷新，否則存儲信息會丟失，且芯片斷電后同樣不保存數(shù)據(jù)

單片機內(nèi)存：單片機或微控制器內(nèi)部一樣具備存儲數(shù)據(jù)的內(nèi)存，這種內(nèi)存通常在使用JTAG等調(diào)試工具時可以訪問到，這種單片機內(nèi)存一般為以下類型存儲：

SRAM (靜態(tài)隨機存取存儲器)

EEPROM（帶電可擦除可編程只讀存儲器）

FLASH – （非易失性閃存）

硬件通信接口

一塊電路板上的不同硬件之間以及電路板與外部世界之間都需要進行相互通信，這些通信都基于定義好的標(biāo)準(zhǔn)硬件通信協(xié)議，從一個攻擊者角度來看，可以通過嗅探或惡意數(shù)據(jù)注入等方式來了解這種實際的通信過程，從以下描述的通用接口中我們可以具體來分析一些安全問題：

UART：UART (通用異步收發(fā)傳輸器) 是一種硬件外設(shè)之間的異步通信收發(fā)器，它可用于同一電路板上（例如單片機與電機或LED屏幕通信）或兩個不同設(shè)備（如單片機與PC通信）之間的通信。這是一個有意思的攻擊面，它可能允許串行方式對設(shè)備進行讀/寫訪問。 在許多設(shè)備中，電路板上的UART端口是開放的，任何人都可以通過串行連接和訪問，以獲得某種類型的shell控制權(quán)、自定義命令行控制端、日志輸出等，為了發(fā)送和接收串行數(shù)據(jù)，這種設(shè)備通常具有一組輸出連接到單片機UART的RX和TX引腳，后續(xù)我會發(fā)文討論如何識別和訪問設(shè)備的UART端口。以下為一個標(biāo)準(zhǔn)的4引腳輸出UART端口電路：

單片機調(diào)試端口：單片機在運行時都能利用特定的引腳和輸出對進行調(diào)試，這些引腳輸出（端口）是為開發(fā)和設(shè)計者預(yù)留的，利用它們可以進行設(shè)備調(diào)試、固件內(nèi)存讀寫、后期引腳控制測試等，因此，基于攻擊者角度的權(quán)限來說，這類調(diào)試端口可能會成為最致命的攻擊面。以下是包含調(diào)試端口的幾類標(biāo)準(zhǔn)接口：

1.JTAG（聯(lián)合測試工作組）：隨著單片機和電路板設(shè)計越來越小，成型產(chǎn)品的后期測試變得非常困難。因此，為了對電路板執(zhí)行高效的后期測試，多家主要電子制造商聯(lián)合成立了該組織，并確定了一系列電路板后期測試方法標(biāo)準(zhǔn)，后成為IEEE 1149.1，也稱為JTAG測試協(xié)議，它具體定義了單片機調(diào)試的標(biāo)準(zhǔn)接口和命令。 標(biāo)準(zhǔn)的JTAG接口包括4個引腳接口和1個額外可選的TRST引腳接口：

TMS – 測試模式選擇

TCK – 測試時鐘

TDI – 測試數(shù)據(jù)輸入

TDO – 測試數(shù)據(jù)輸出

TRST – 測試復(fù)位 (可選)

除了芯片調(diào)試之外，調(diào)試器還能利用這些引腳與單片機上的測試訪問端口（TAP）進行通信，從安全角度來看，識別JTAG端口并與之連接，攻擊者可以實施固件提取、邏輯逆向、惡意固件植入等非法目的。

2.cJTAG (緊湊型JTAG): 這是一種新的JTAG測試協(xié)議（IEEE 1149.7），它不是對JTAG（1149.1）的取代，而是在其基礎(chǔ)上的一個向后兼容擴展測試協(xié)議， 它定義了TCK和TMS兩個引腳接口和TAP的一些實現(xiàn)特性。

3. SWD (串行線調(diào)試): 這是單片機調(diào)試的另一種方法，它定義了SWDIO（雙向）和SWCLK (時鐘)引腳接口，它是基于ARM技術(shù)的ARM CPU雙向線標(biāo)準(zhǔn)調(diào)試協(xié)議，來源于V5版本的ARM調(diào)試接口定義，其中說明了SWD是一種比JTAG更高效的調(diào)試方法。

以下為一個電路板上的JTAG接口位置：

I2C（內(nèi)置集成電路）：I2C是飛利浦公司發(fā)明的，同塊電路板上芯片之間進行短距離通信的協(xié)議，它具備主從架構(gòu)和以下二線總線：

SDA – 串行數(shù)據(jù)信號線

SCL – 串行時鐘信號線

I2C的典型應(yīng)用就是在EEPROM（帶電可擦除可編程只讀存儲器）芯片上連接I2C引腳并進行數(shù)據(jù)和代碼存儲，對這種協(xié)議的攻擊包括數(shù)據(jù)嗅探、敏感信息提取、數(shù)據(jù)破壞等，我們可以對EEPROM芯片進行靜態(tài)數(shù)據(jù)分析，也可對I2C通信進行動態(tài)嗅探來分析其行為和安全問題，后續(xù)我會發(fā)文討論I2C的通信安全問題。

串行外設(shè)接口（SPI）：串行外設(shè)接口也是芯片間的一種短距離通信協(xié)議，由摩托羅拉公司發(fā)明，它具備全雙工和主從架構(gòu)特點，比I2C吞吐量更高，并使用了以下四線串口總線：

SCLK – 串行時鐘信號線或SCL

MOSI – 串行數(shù)據(jù)輸出信號線

MISO – 串行數(shù)據(jù)輸入信號線

SS – 從選擇信號線

SPI應(yīng)用于多種外設(shè)間的通信，閃存Flash和EEPROM同樣使用SPI, 其測試分析方法類似I2C，只是總線接口不同。

USB：USB接口一般用于充電和數(shù)據(jù)通信，后期出于方便也用于問題調(diào)試，可進行動態(tài)數(shù)據(jù)嗅探和靜態(tài)數(shù)據(jù)FUZZ來分析其中的安全問題。

傳感器：它是物理設(shè)備的外部接口，但不僅限于溫度計之類的感應(yīng)類接口，還包括一些開關(guān)控制按鈕。按照其實現(xiàn)操作可分為三類：

監(jiān)控器: 這是最接近傳感器意思表達的設(shè)備了，感應(yīng)和監(jiān)控外部世界變化，如溫度、行為、脈博、血壓和胎壓等。

控制器: 多為控制外部設(shè)備的開關(guān)和行為，如開關(guān)、分發(fā)器等。

混合控制器: 是監(jiān)控器和控制器的兩種混合設(shè)備，如溫度控制器、燈光感應(yīng)器等，由于這類控制器的感應(yīng)數(shù)據(jù)會被發(fā)往遠程云服務(wù)端或其它控制端，所以其接口安全至關(guān)重要，攻擊者可以向該類控制器發(fā)送畸形數(shù)據(jù)進行混淆干擾，進而對整個IoT系統(tǒng)形成影響，可以導(dǎo)致IoT系統(tǒng)癱瘓、產(chǎn)生運行異常甚至形成物理破壞。

人機交互接口（HMI）：與傳感器接口類似, HMI不局限于工控系統(tǒng)應(yīng)用，它也被定義為IoT架構(gòu)中用戶與設(shè)備之間的通信接口，用戶可以通過它來直接對設(shè)備進行操控，如觸屏、按下按鈕、觸摸板等，HMI也會存在一些繞過機制和安全設(shè)置問題。

其它硬件通信接口：還存在其它與硬件設(shè)備的通信方式，作為滲透測試人員，要積極分析并擅于發(fā)現(xiàn)接口的一些安全繞過和設(shè)置錯誤問題，其它硬件通信接口包括（但不限于）：

D-Subminiature – 顯示器VGA類接口

ecommended Standards (RS232, RS485 etc) – 一些推薦性標(biāo)準(zhǔn)接口

On-board Diagnostics (OBD) – 汽車在線診斷接口

網(wǎng)絡(luò)通信接口

該接口允許設(shè)備與包括傳感器網(wǎng)絡(luò)、云端和移動設(shè)備的其它數(shù)字設(shè)備進行網(wǎng)絡(luò)通信，而負責(zé)網(wǎng)絡(luò)通信的硬件接口可能包含自主獨立的單片機/固件等，所以，這種情況的攻擊面可能為底層通信實現(xiàn)的固件或驅(qū)動程序代碼。

無線網(wǎng)絡(luò)通信：無線網(wǎng)絡(luò)通信接口存在一些已知的安全問題，從攻擊角度看，可對無線芯片形成攻擊乃至物理破壞、DOS、安全驗證繞過或代碼執(zhí)行等。

以太網(wǎng)接口：以太網(wǎng)設(shè)備接口如wifi接口等都存在一些底層TCP/IP通信漏洞、硬件實現(xiàn)漏洞和其它攻擊向量。

無線電通信接口：由于很多IoT產(chǎn)品都集成或轉(zhuǎn)向無線電通信方式，無線電通信接口將會是一個關(guān)鍵的攻擊面，在很多情況下，無線通信要比有線通信更加高效，這毋庸置疑。我之所以把無線通信單獨列出，就是為了把它和需要網(wǎng)關(guān)設(shè)備的無線網(wǎng)絡(luò)通信和有線通信區(qū)分開來，無線電通信與它們完全不同，它可以分為以下兩類：

1.簡單/非結(jié)構(gòu)化：通常用于簡單產(chǎn)品，如百葉窗、鎖、門鈴等。簡單非結(jié)構(gòu)化也即是它使用簡單數(shù)據(jù)流，并通過無線接口進行發(fā)送。 作為滲透測試人員，需要對通信過程進行逆向，去發(fā)現(xiàn)其中的運行漏洞，可使用無線電嗅探硬件工具（如SDR等）對無線電通信流量進行抓包嗅探。

2.復(fù)雜/結(jié)構(gòu)化：這種通信意味著它使用結(jié)構(gòu)化數(shù)據(jù)包進行無線電通信，除了數(shù)據(jù)之外，它們在通信中攜帶了關(guān)于協(xié)議的附加信息和元數(shù)據(jù)，稍顯復(fù)雜。 由于高效、標(biāo)準(zhǔn)、成本低廉、運行方便等原因，這類協(xié)議已物聯(lián)網(wǎng)領(lǐng)域應(yīng)用廣泛，針對該類協(xié)議有多種嗅探和分析工具可以提取其中的通信數(shù)據(jù)。常見的該類協(xié)議包括：

Bluetooth (and BLE)

ZigBee

Zwave

NFC

RFID

LoRA

Wireless HART

以上就是我對IoT安全和其攻擊面的一些個人理解和定義，不足之處，請多包涵。