24、IoT 安全测试：从基础到高级策略

IoT 安全测试：从基础到高级策略

在物联网（IoT）的广阔领域中，安全测试是确保设备和系统可靠性与安全性的关键环节。以下将深入探讨 IoT 安全测试的多个方面，包括文件测试、攻击策略、工具使用、AI 应用以及 OWASP 相关信息。

文件测试与边缘、雾和云攻击

在对 IoT 设备进行安全测试时，文件测试是重要的一环。若文件并非临时文件，测试人员需确定是否有永久信息可被访问、滥用或损坏。对于安全的 IoT 设备，这些数据应进行加密处理，测试人员可使用破解加密工具尝试访问，最后报告读取文件的难易程度，通常明文文件安全性较差，而加密文件更优。

除了单一 IoT 设备的测试，边缘、雾和云层面的攻击测试也至关重要。在完成基本的 IoT 设备测试和评估后，团队应考虑硬件、其他 IoT 设备、边缘、雾和云等因素。尽管这些层面的安全测试责任可能不明确，但测试团队至少应提出风险，以便相关利益者做出明智决策。

历史安全书籍与攻击思路

安全攻击测试对软件安全测试活动十分关键。James Whittaker 团队提出的一些攻击思路适用于 IoT 领域，包括：
- 攻击 IoT 软件依赖项
- 攻击用户（人类、硬件和软件）
- 查找并攻击后门
- 攻击 IoT 安全接口
- 为安全测试破坏 IoT 设计
- 为安全测试破坏 IoT 代码实现
- 为安全测试破坏 IoT 接口

同时，安全测试人员可参考 ISO/IEC 27001 信息安全管理获取更多帮助。以下是探索性测试的软件攻击示例：
| 软件测试攻击类型 | 攻击发现 | 攻击说明 |
| — | — | — |
| 开发者级攻击 | 可能影响安全的 IoT 代码和数据结构问题 | 此攻击可发现近四分之一的 IoT 错误，包括安全问题 |
| 控制系统攻击 | 导致漏洞的 IoT 硬件和软件控制系统错误 | 许多 IoT 设备的关键错误集中在控制逻辑，如模数（A2D）和数模（D2A）计算问题 |
| 通信攻击 | 数字 IoT 通信问题打开的复杂接口，成为攻击面 | 攻击软件与硬件、边缘/云网络、其他 IoT 系统和其他软件通信时的情况 |
| 时间攻击 | 时间、性能、序列和场景错误引发的安全攻击，如数据、性能和拒绝服务（DoS） | 系统软件在定时和性能因素方面可能存在漏洞，测试可提供有价值信息 |
| 安全黑客攻击 | 软件错误使设备面临安全威胁 | 设备或系统的安全性日益重要，攻击也在增加 |
| 静态代码分析攻击 | 经典测试常遗漏的难以发现的错误，易导致安全攻击面 | 运行静态分析工具，查找威胁区域 |

安全测试工具类别

随着世界连接性的增强，安全测试工具众多。以下是一些对创建高质量 IoT 设备和系统有帮助的工具：
- 软件安全测试工具 ：通信监控工具（如 Wireshark 和 Nmap）、扫描网络设备软件系统、NetFlow 流量分析仪、网络配置管理器、内存转储工具、网络信息工具（如 Shodan）、边缘/云测试探头/监控器、静态代码分析工具、性能测试和分析工具。
- IoT 硬件测试工具 ：印刷电路板调试工具、示波器。

AI 在安全系统测试中的应用

AI 模型在安全系统测试中有五种应用方式：
1. 系统 - 软件洞察 ：分析系统和软件数据（需求、设计、代码、复用、团队等），发现可用于定义威胁、风险和漏洞的模式。
2. 测试规划建议 ：AI 发现系统、软件和数据模式，然后提供测试建议。
3. 自主缓解 ：模型发现测试信息模式，自动解决问题，无需人工授权。
4. 自动化测试支持 ：测试生成、快速测试执行和模式检测结果。
5. 测试“整体” ：通过连接性和通信，在跨越 IoT 边界进入边缘、雾和云的安全测试中发现难以察觉的漏洞模式。

OWASP 相关信息

OWASP 是一个开源信息源和非营利基金会，致力于提高软件（包括 IoT 系统）的安全性。以下是 OWASP 截至 2022 年的十大威胁：
1. 弱密码、可猜测密码或硬编码密码
2. 不安全的网络服务
3. 不安全的生态系统接口
4. 缺乏安全更新机制
5. 使用不安全或过时的组件，包括硬件、软件和/或系统元素
6. 隐私保护不足
7. 不安全的数据传输和存储
8. 缺乏设备管理
9. 不安全的默认设置
10. 缺乏物理加固

建议将这些事件纳入安全测试场景作为探索性测试的一部分，需根据 IoT 设备和系统进行理解和调整。

OWASP IoT 日志记录事件

OWASP 提供了推荐的最小 IoT 设备日志记录事件草案，涵盖多种设备类型。以下是部分事件类别及事件示例：
| 事件类别 | 事件 |
| — | — |
| 请求异常 | 尝试调用不支持的 HTTP 方法、参数中字符数量意外、参数中字符类型意外 |
| 身份验证异常 | 多次密码失败、高登录尝试率、额外的 POST 变量、偏离正常地理位置 |
| 会话异常 | 修改现有 cookie、替换其他用户的有效会话 ID 或 cookie、会话期间源位置更改 |
| 访问控制异常 | 修改 GET 中的 URL 参数以尝试直接对象访问、修改 POST 中的参数以尝试直接对象访问、强制浏览尝试 |
| 生态系统成员异常 | 检测到来自已注销系统的流量、检测到来自未注册系统的流量、注册生态系统失败、多次尝试注册生态系统 |
| 设备访问事件 | 检测到设备外壳被篡改、检测到设备逻辑板被篡改 |
| 管理模式事件 | 设备进入管理模式、使用默认管理凭据访问设备 |
| 输入异常 | 双编码字符、使用意外编码 |
| 命令注入异常 | 对常见 SQL 注入值进行黑名单检查、返回记录数量异常 |
| 蜜罐异常 | 请求蜜罐资源、使用蜜罐数据 |
| 声誉异常 | 可疑或不允许的用户源位置 |

OWASP IoT 固件安全验证评估

OWASP 还提供了 IoT 固件安全验证评估的步骤：
| 阶段 | 描述 |
| — | — |
| 信息收集和侦察 | 获取目标设备固件的所有相关技术和文档细节 |
| 获取固件 | 使用列出的一种或多种建议方法获取固件 |
| 分析固件 | 检查目标固件的特性 |
| 提取文件系统 | 从目标固件中提取文件系统内容 |
| 分析文件系统内容 | 静态分析提取的文件系统配置文件和二进制文件的漏洞 |
| 模拟固件 | 模拟固件文件和组件 |
| 动态分析 | 对固件和应用程序接口进行动态安全测试 |
| 运行时分析 | 在设备运行时分析编译后的二进制文件 |
| 二进制利用 | 利用先前阶段发现的漏洞，实现根权限和/或代码执行 |

OWASP 攻击面与常见威胁漏洞

OWASP 定义了多个攻击面及其对应的漏洞，如生态系统（一般）、设备内存、设备物理接口等。同时，也列举了常见威胁漏洞项目，例如：
| 漏洞 | 攻击面 | 总结 |
| — | — | — |
| 用户名枚举 | 管理界面、设备网页界面、云界面、移动应用 | 通过与身份验证机制交互收集有效用户名集的能力 |
| 弱密码 | 管理界面、设备网页界面、云界面、移动应用 | 例如能够将账户密码设置为“1234”或“123456”，使用预编程的默认密码 |
| 账户锁定 | 管理界面、设备网页界面、云界面、移动应用 | 在三到五次登录失败后仍能继续发送身份验证尝试的能力 |
| 未加密服务 | 设备网络服务 | 网络服务未正确加密，无法防止攻击者窃听或篡改 |
| 双因素认证缺失 | 管理界面、云网页界面、移动应用 | 缺乏安全令牌或指纹扫描仪等双因素认证机制 |
| 加密实现不佳 | 设备网络服务 | 加密已实现，但配置不当或未正确更新（如使用 SSL v2） |
| 未加密更新 | 更新机制 | 更新在网络传输时未使用 TLS 或对更新文件本身进行加密 |
| 更新位置可写 | 更新机制 | 更新文件的存储位置可被全局写入，可能导致固件被修改并分发给所有用户 |
| 拒绝服务 | 设备网络服务 | 服务可能受到攻击，导致服务或整个设备无法使用 |
| 存储介质移除 | 设备物理接口 | 能够物理移除设备的存储介质 |
| 无手动更新机制 | 更新机制 | 无法手动强制设备进行更新检查 |
| 缺少更新机制 | 更新机制 | 无法更新设备 |
| 固件版本显示和/或最后更新日期缺失 | 设备固件 | 当前固件版本未显示和/或最后更新日期未显示 |
| 固件和存储提取 | 固件接口 | 包括现场转储、拦截 OTA 更新、从制造商网页下载、eMMC 挖掘、拆卸 SPI Flash/eMMC 芯片并在适配器中读取等方式，固件包含大量有用信息，如源代码、运行服务的二进制文件、预设密码、SSH 密钥等 |
| 操纵设备代码执行流程 | 代码接口 | 通过侧信道攻击（如毛刺攻击），借助 JTAG 适配器和 GDB 可修改设备固件执行，绕过几乎所有基于软件的安全控制，侧信道攻击还可修改执行流程或泄露设备的有趣信息 |

安全发现报告与总结

安全测试报告至关重要，对于法律和公司的成功不可或缺。报告应包括计划、识别的威胁、漏洞和风险、采取的测试行动和其他缓解措施、IoT 安全被破坏的位置及修复方法和实施情况、成本和进度信息。

IoT 安全测试是一个广阔的领域，本文提供的信息只是起点，还有很多需要学习。测试人员应遵循计划、执行、检查和行动的模型，不断提升安全测试能力。同时，利用工具、流程、技术和 AI 支持安全测试，为 IoT 系统的安全性保驾护航。

总之，在 IoT 安全测试中，从基础的文件测试到高级的 OWASP 相关策略，每个环节都不容忽视。通过合理运用攻击思路、测试工具和 AI 技术，结合详细的报告和持续的学习，能够有效提高 IoT 系统的安全性，满足客户和监管机构的要求。

IoT 安全测试：从基础到高级策略

深入理解攻击面与漏洞关系

为了更清晰地理解 OWASP 所定义的攻击面与漏洞之间的关系，我们可以通过以下 mermaid 流程图来呈现：

graph LR
    classDef startend fill:#F5EBFF,stroke:#BE8FED,stroke-width:2px
    classDef process fill:#E5F6FF,stroke:#73A6FF,stroke-width:2px

    A([攻击面]):::startend --> B(生态系统):::process
    A --> C(设备内存):::process
    A --> D(设备物理接口):::process
    A --> E(设备网页界面):::process
    A --> F(设备网络服务):::process
    A --> G(管理界面):::process
    A --> H(本地数据存储):::process
    A --> I(云网页界面):::process
    A --> J(第三方后端 APIs):::process
    A --> K(更新机制):::process
    A --> L(移动应用):::process
    A --> M(供应商后端 APIs):::process
    A --> N(生态系统通信):::process
    A --> O(网络流量):::process
    A --> P(认证/授权):::process
    A --> Q(隐私):::process
    A --> R(硬件):::process

    B --> B1(互操作性标准漏洞):::process
    B --> B2(数据治理漏洞):::process
    B --> B3(系统级故障漏洞):::process
    B --> B4(个体利益相关者风险漏洞):::process
    B --> B5(组件间隐式信任漏洞):::process
    B --> B6(注册安全漏洞):::process
    B --> B7(退役系统漏洞):::process
    B --> B8(丢失访问程序漏洞):::process

    C --> C1(敏感数据泄露):::process
    C --> C2(明文用户名):::process
    C --> C3(明文密码):::process
    C --> C4(第三方凭证):::process
    C --> C5(加密密钥):::process

    D --> D1(固件提取漏洞):::process
    D --> D2(用户 CLI 漏洞):::process
    D --> D3(管理 CLI 漏洞):::process
    D --> D4(权限升级漏洞):::process
    D --> D5(重置到不安全状态漏洞):::process
    D --> D6(移除存储介质漏洞):::process
    D --> D7(防篡改漏洞):::process
    D --> D8(调试端口漏洞):::process
    D --> D9(UART 漏洞):::process
    D --> D10(JTAG/SWD 漏洞):::process
    D --> D11(设备 ID/序列号暴露漏洞):::process

    E --> E1(标准网页应用漏洞):::process
    E --> E2(凭证管理漏洞):::process

    F --> F1(信息泄露漏洞):::process
    F --> F2(用户 CLI 漏洞):::process
    F --> F3(管理 CLI 漏洞):::process
    F --> F4(注入漏洞):::process
    F --> F5(拒绝服务漏洞):::process
    F --> F6(未加密服务漏洞):::process
    F --> F7(加密实现不佳漏洞):::process
    F --> F8(测试/开发服务漏洞):::process
    F --> F9(缓冲区溢出漏洞):::process
    F --> F10(UPnP 漏洞):::process
    F --> F11(易受攻击的 UDP 服务漏洞):::process
    F --> F12(设备固件更新阻止漏洞):::process
    F --> F13(通过不安全通道加载固件漏洞):::process
    F --> F14(重放攻击漏洞):::process
    F --> F15(缺少有效负载验证漏洞):::process
    F --> F16(缺少消息完整性检查漏洞):::process
    F --> F17(凭证管理漏洞):::process

    G --> G1(标准网页应用漏洞):::process
    G --> G2(凭证管理漏洞):::process

    H --> H1(未加密数据漏洞):::process
    H --> H2(使用已发现密钥加密的数据漏洞):::process
    H --> H3(缺少数据完整性检查漏洞):::process
    H --> H4(使用静态相同的编码和解码密钥漏洞):::process

    I --> I1(标准网页应用漏洞):::process
    I --> I2(凭证管理漏洞):::process

    J --> J1(未加密 PII 传输漏洞):::process
    J --> J2(加密 PII 传输漏洞):::process
    J --> J3(设备信息泄露漏洞):::process
    J --> J4(位置泄露漏洞):::process

    K --> K1(未加密更新漏洞):::process
    K --> K2(更新未签名漏洞):::process
    K --> K3(更新位置可写漏洞):::process
    K --> K4(更新验证漏洞):::process
    K --> K5(更新认证漏洞):::process
    K --> K6(恶意更新漏洞):::process
    K --> K7(缺少更新机制漏洞):::process
    K --> K8(无手动更新机制漏洞):::process

    L --> L1(设备或云隐式信任漏洞):::process
    L --> L2(用户名枚举漏洞):::process
    L --> L3(账户锁定漏洞):::process
    L --> L4(已知默认凭证漏洞):::process
    L --> L5(弱密码漏洞):::process
    L --> L6(不安全数据存储漏洞):::process
    L --> L7(传输加密漏洞):::process
    L --> L8(不安全密码恢复机制漏洞):::process
    L --> L9(双因素认证漏洞):::process

    M --> M1(对云或移动应用的固有信任漏洞):::process
    M --> M2(弱认证漏洞):::process
    M --> M3(弱访问控制漏洞):::process
    M --> M4(注入攻击漏洞):::process
    M --> M5(隐藏服务漏洞):::process

    N --> N1(健康检查漏洞):::process
    N --> N2(心跳漏洞):::process
    N --> N3(生态系统命令漏洞):::process
    N --> N4(停用漏洞):::process
    N --> N5(推送更新漏洞):::process

    O --> O1(LAN 漏洞):::process
    O --> O2(LAN 到互联网漏洞):::process
    O --> O3(短距离漏洞):::process
    O --> O4(非标准漏洞):::process
    O --> O5(无线漏洞):::process
    O --> O6(协议模糊测试漏洞):::process

    P --> P1(认证/授权相关值泄露漏洞):::process
    P --> P2(会话密钥、令牌等复用漏洞):::process
    P --> P3(设备到设备认证漏洞):::process
    P --> P4(设备到移动应用认证漏洞):::process
    P --> P5(设备到云系统认证漏洞):::process
    P --> P6(移动应用到云系统认证漏洞):::process
    P --> P7(网页应用到云系统认证漏洞):::process
    P --> P8(缺少动态认证漏洞):::process

    Q --> Q1(用户数据泄露漏洞):::process
    Q --> Q2(用户/设备位置泄露漏洞):::process
    Q --> Q3(差分隐私漏洞):::process

    R --> R1(传感环境操纵漏洞):::process
    R --> R2(物理篡改漏洞):::process
    R --> R3(物理损坏漏洞):::process

从这个流程图中可以直观地看到，每个攻击面都对应着多个可能的漏洞，这要求测试人员在进行安全测试时，要全面考虑各个方面，不能有遗漏。例如，在对设备网络服务进行测试时，不仅要关注常见的信息泄露和拒绝服务漏洞，还要留意加密实现不佳、重放攻击等相对隐蔽的漏洞。

实际应用中的测试策略

在实际的 IoT 安全测试中，我们可以根据上述的攻击面和漏洞信息，制定详细的测试策略。以下是一个示例测试策略的列表：
1. 分层测试
- 从设备层开始，对设备的物理接口、内存、固件等进行测试，确保设备本身的安全性。
- 接着测试网络层，包括网络服务、通信协议等，防止网络攻击。
- 最后测试应用层，如网页界面、移动应用等，保障用户交互的安全性。
2. 漏洞优先级排序
- 根据漏洞的严重程度和影响范围，对发现的漏洞进行优先级排序。例如，影响系统可用性的拒绝服务漏洞应优先处理，而一些小的信息泄露漏洞可以稍后处理。
- 可以使用风险评估矩阵来确定漏洞的优先级，考虑漏洞被利用的可能性和造成的损失。
3. 持续测试
- IoT 系统是动态变化的，新的漏洞可能随时出现。因此，要进行持续的安全测试，定期对系统进行评估。
- 可以使用自动化测试工具，如静态代码分析工具和动态扫描工具，定期对系统进行扫描，及时发现新的漏洞。
4. 模拟攻击测试
- 模拟各种可能的攻击场景，如 SQL 注入、跨站脚本攻击（XSS）等，测试系统的抗攻击能力。
- 可以使用漏洞扫描器和渗透测试工具，对系统进行模拟攻击，发现潜在的安全隐患。

AI 在安全测试中的实际操作

前面提到了 AI 在安全系统测试中的五种应用方式，下面我们详细介绍如何在实际操作中运用这些方式：
1. 系统 - 软件洞察
- 数据收集 ：收集系统和软件的各种数据，包括需求文档、设计文档、代码、复用组件、团队信息等。
- 数据预处理 ：对收集到的数据进行清洗、转换和标注，以便 AI 模型能够处理。
- 模型训练 ：使用机器学习或深度学习算法，如神经网络、决策树等，对预处理后的数据进行训练，发现数据中的模式。
- 威胁分析 ：根据训练得到的模型，分析系统和软件中可能存在的威胁、风险和漏洞。
2. 测试规划建议
- 模式发现 ：利用 AI 模型对系统、软件和数据进行分析，发现其中的模式和规律。
- 测试建议生成 ：根据发现的模式，生成针对性的测试建议，如测试用例、测试场景等。
- 建议评估 ：对生成的测试建议进行评估，确保其可行性和有效性。
- 测试计划制定 ：根据评估后的测试建议，制定详细的测试计划。
3. 自主缓解
- 信息监测 ：实时监测测试信息，包括测试结果、系统状态等。
- 模式识别 ：使用 AI 模型对监测到的信息进行分析，识别其中的模式和异常。
- 问题解决 ：当发现问题时，AI 模型自动采取相应的措施进行解决，无需人工干预。
- 结果验证 ：验证问题是否得到解决，确保系统的安全性。
4. 自动化测试支持
- 测试用例生成 ：利用 AI 模型根据系统的需求和设计，自动生成测试用例。
- 快速测试执行 ：使用自动化测试工具，快速执行生成的测试用例。
- 模式检测 ：在测试过程中，AI 模型实时检测测试结果，发现其中的模式和异常。
- 结果分析 ：对测试结果进行分析，提供详细的报告和建议。
5. 测试“整体”
- 边界监测 ：监测 IoT 系统的边界，包括边缘、雾和云等层面，发现潜在的漏洞。
- 通信分析 ：分析 IoT 系统之间的通信，包括数据传输、协议使用等，检测是否存在安全隐患。
- 漏洞发现 ：使用 AI 模型对监测和分析的数据进行处理，发现难以察觉的漏洞模式。
- 修复建议 ：根据发现的漏洞，提供相应的修复建议和措施。

未来展望与总结

随着 IoT 技术的不断发展，安全测试将面临更多的挑战和机遇。未来，AI 技术将在安全测试中发挥更加重要的作用，自动化和智能化的测试将成为主流。同时，随着 OWASP 等组织不断更新和完善安全信息，测试人员需要及时跟进，不断学习新的知识和技能。

在 IoT 安全测试中，我们要始终保持警惕，不断探索和创新。从基础的文件测试到高级的 OWASP 相关策略，每个环节都需要我们认真对待。通过合理运用攻击思路、测试工具和 AI 技术，结合详细的报告和持续的学习，我们能够有效提高 IoT 系统的安全性，满足客户和监管机构的要求。

总之，IoT 安全测试是一个长期而复杂的过程，需要我们不断努力和投入。只有这样，我们才能为 IoT 技术的发展提供坚实的安全保障，让物联网更好地服务于人类社会。