当前: 首页 - 图书专区 - 物联网设备安全
物联网设备安全


  在线购买
[美]尼特什?汉加尼(Nitesh Dhanjani)著
978-7-111-55866-8
69.00
258
2017年03月17日
林林 陈煜 龚娅君 译 缪纶 审校
计算机 > 计算机网络 > 综合
OReilly Media, Inc.
54
简体中文
16
Abusing the Internet of Things: Blackouts, Freakouts, and Stakeouts
店面
O''Reilly精品图书系列








未来,几十亿互联在一起的“东西”蕴含着巨大的安全隐患。本书向读者展示了恶意攻击者是如何利用当前市面上流行的物联网设备(包括无线LED灯泡、电子锁、婴儿监控器、智能电视以及联网汽车等)实施攻击的。
如果你是联网设备应用开发团队的一员,本书可以作为一个指南,帮助你探讨如何建立安全解决方案。你不仅会学到如何在现有的物联网设备上发现漏洞,还会对攻击者的攻击方法有更深入的了解,包括:
■ 分析无线照明系统的设计、体系结构及其安全问题。
■ 了解如何破坏电子锁以及它们的无线机制。
■ 验证远程控制婴儿监控器的安全设计缺陷。
■ 评估成套家用物联网设备的安全设计。
■ 审视智能电视的安全漏洞。
■ 探讨智能汽车的安全隐患。
■ 深入研究在初始设计阶段解决安全问题的原型技术。
■ 了解人们在使用物联网设备时最有可能遇到的攻击场景。
即将到来的物联网时代,会使实际生活和线上生活的界限越来越模糊。在未来,攻击我们的线上空间会威胁到我们的人身安全。按照传统方式,攻击物理设施需要物理上的接触,而互联网突破了这一限制。未来,这一情况将被数百亿连接入因特网的“物”所破坏。
在本书中,我们将采取一种有趣的方式看一看市场上已有的基于物联网的流行设备可能被滥用的情况。我们将探讨简单的攻击如何使LED灯泡永久停电,糟糕的安全策略如何使家庭物理安全和隐私受到侵犯,以及不安全的电动汽车将如何导致生命面临危险。
本书的目的是展示物联网设备所存在的实实在在的风险,随着时间的推移,我们会越来越依赖这些设备。今天,只有了解了设备中存在的安全漏洞的本质原因,我们才能打通一条通往未来的路,这将帮助我们更安全地使用这些设备,服务于我们的生活。
恶意攻击者已经在致力于发掘和利用这些安全缺陷,他们将继续寻找各种能够找到的阴险手段来滥用自己的知识。这些攻击者中,有好奇的大学生,也有私人或国家资助的犯罪团伙,他们经验丰富,并热衷于恐怖活动。物联网设备的安全漏洞可能会导致大量隐私外泄,并造成人身伤害。事关重大!
本书为谁而写
本书是为任何有兴趣分析市场上现有物联网设备安全漏洞的人而写的。这样能让你了解那些忙着想办法利用这些设备获利的恶意攻击者的心态。了解物联网世界的恶意实体采用的迂回战术,会让你更深入地了解攻击者的战术和心理,这样不仅可以学会保护自己,也有助于设计安全的物联网产品。
如何使用本书
本书分成下面几章:
第1章:熄灯——攻击无线灯泡致使持续性停电
本书从市场上比较流行的物联网产品飞利浦彩色个人照明系统(http://meethue.com/)入手,深入研究其设计理念和体系结构。该章呈现了系统中存在的各种安全问题,包括基本内容,例如口令安全,滥用弱权限机制导致恶意软件的可能性,最终引发持续停电。该章还讨论了在线空间(如Facebook)与物联网设备互连的复杂性,以及跨多个平台可能导致的安全问题。
第2章:电子撬锁——滥用门锁危害物理安全
该章围绕现有的电子门锁探讨安全漏洞、无线机制,以及与移动设备的集成。我们也展示了实际的案例,研究那些已经采用这些手段进行窃取的攻击者。
第3章:袭击无线护士站——破坏婴儿监视器和其他设施
该章主要讲了远程控制婴儿监视器的安全防御。我们会探讨已经被攻击者滥用的真实漏洞的细节,并且指出简单的设计缺陷是如何使家庭成员面临安全风险的。
第4章:模糊的界限——当物理空间遇到虚拟空间
像SmartThings这样的公司会售卖一系列物联网设备和传感器,这些设备可以用来保护家庭安全,例如,在午夜如果房门打开了,能够收到有可能有入侵者的通知。事实上,这些设备使用因特网来操作,增加了我们对网络连接的依赖,模糊了我们的物理世界和网络虚拟世界之间的界限。我们来看看SmartThings系列产品的安全性,并探讨它们与其他制造商的设备进行安全操作是如何设计的。
第5章:傻瓜盒子——攻击“智能”电视
如今,电视机基本上都运行着强大的操作系统,如Linux。它们连接到家庭WiFi网络,支持观看流视频、视频会议、社交网络和即时消息等服务。该章研究了三星电视机实际的漏洞,帮助我们了解缺陷发生的根本原因,以及对我们的隐私和安全性的潜在影响。
第6章:联网汽车的安全性分析——从燃油汽车到全电动汽车
现在,汽车也属于能够被远程访问和控制的“物”了。不像许多其他设备,汽车的互联可以起到重要的安全作用,但是汽车的安全漏洞会导致失去生命。该章研究了低范围的无线系统,然后回顾由学术界的首席专家完成的广泛研究。我们分析和探讨了特斯拉S型轿车的特性,包括汽车安全性方面能够改进的地方。
第7章:安全原型——littleBits和cloudBit
企业设计一个物联网产品时,首先要创建一个原型确认这个想法是可行的,探索可选择的设计理念,并建立规范形成一个固定的商业产品。在最初的原型中,设计安全性是极其重要的,随后会叠加到最终产品上。事后考虑安全性势必会导致最终产品给消费者带来安全隐患和隐私泄露的风险。该章我们使用littleBits原型平台设计了一个短信门铃原型。cloudBit模块可帮助我们实现远程无线连接,这样可以将物联网思想原型化,按下门铃就会给用户传递一个短消息。在设计原型时,讨论原型步骤需考虑安全问题和需求,也需要讨论应当由产品设计师来解决的重要安全问题。
第8章:未来的安全——对话将来的攻击方式
在接下来的几年里,我们在生活中对物联网设备的依赖势必迅速增长。在该章,我们基于对未来物联网设备如何服务于我们需求的理解来预测可能的攻击。
第9章:两个方案——意图和结果
为了对人们如何影响安全性事件获得有效评估,我们来看看两种不同的假设情况。第一种情况,我们将探索如何在一个大公司试图利用围绕在物联网安全周围的“嗡嗡”声让董事会印象深刻。第二种情况,我们看到一个冉冉升起的物联网设备提供商,为了保持其商业信誉,是如何选择去接触和回应研究者与记者的。该章的最终目的是要说明:安全相关情景的结果主要是受关系人的意图和行为影响的。
本书约定
本书使用下列排版约定:
斜体
标示新的术语、URL、电子邮件地址、文件名和文件扩展名。
等宽字体(Constant width)
用于程序清单和段落中引用的程序元素, 如变量或函数名、数据库、数据类型、环境变量、语句和关键字。
等宽粗体(Constant width bold)
表示命令,或者应该由用户直接键入的其他文本。
表示提示或建议
表示警告或注意
使用代码样例
本书的目的是帮助你完成工作。一般情况下,你可以使用本书所提供的样例代码进行编程和文档撰写。不需要联系我们获得许可,除非重现代码的重要部分。例如,使用书中的一些代码段进行编写程序,无需获得许可。销售或发行来自O扲eilly图书的光盘实例,需要获得许可。引用本书和引用代码实例来解决问题,无需获得许可。从本书获取大量的样例代码到你的产品文档,需要获得许可。
我们感谢你的署名,但不会强求。署名通常包含书名、作者、出版商和ISBN。例如: “Abusing the Internet of Things by Nitesh Dhanjani(O扲eilly). Copyright 2015 Nitesh Dhanjani, 978-1-491-90233-2.”
如果你觉得你使用的代码示例超出正当使用或上面给出的权限,请随时与我们联系:permissions@oreilly.com。
如何联系我们
如果你对本书有意见和问题,请联系出版商:
美国:
O'Reilly Media,Inc.
1005 Gravenstein Highway North
Sebastopol,CA 95472
中国:
北京市西城区西直门南大街2号成铭大厦C座807室(100035)
奥莱利技术咨询(北京)有限公司
我们为本书创建了网页,其中列出了勘误表、实例,以及任何附加信息。你可以输入http://bit.ly/abusing_IoT来访问页面。
有关本书的意见和技术咨询,请发邮件到bookquestions@oreilly.com。
关于我们的书籍、课程、会议和新闻的更多信息,可参考我们的网站:
http://www.oreilly.com
http://www.oreilly.com.cn
致谢
感谢Mike Loukides、Dawn Schanafelt和Brian Sawyer的合作以及对本书从提案到最终完成的支持。感谢Rachel Head、Matthew Hacker、Susan Conant和O扲eilly团队的其他人,是他们将本书变为现实。
感谢我朋友Greg Zatkovich极具感染力的热情和支持。
感谢Sri Vasudevan审稿并提出了宝贵意见。
还要感谢Sean Pennline和Lionel Yee的友谊与支持。
序 1
前言 3
第1章 熄灯——攻击无线灯泡致使持续性停电 9
1.1 选用色调照明设备的原因 10
1.2 使用网站接口控制照明 11
1.3 使用iOS App控制灯光 23
1.4 改变灯泡状态 36
1.5 If This Then That 39
1.6 小结 41
第2章 电子撬锁——滥用门锁危害物理安全 43
2.1 酒店门锁和磁卡 43
2.2 采用Z-Wave技术的门锁案例 48
2.3 低能耗蓝牙和通过移动应用程序开锁 50
2.4 小结 62
第3章 攻击无线护士站——破坏婴儿监视器和其他设施 63
3.1 Foscam事件 64
3.2 Belkin WeMo婴儿监控器 71
3.3 有些事情从没有改变过:WeMo智能开关 79
3.4 小结 85
第4章 模糊的界限——当物理空间遇到虚拟空间 87
4.1 SmartThings 88
4.2 不安全的互用性导致不安全 107
4.3 小结 118
第5章 傻瓜盒子——攻击“智能”电视 121
5.1 TOCTTOU攻击 122
5.2 那也叫加密吗 128
5.3 理解和开发应用程序的世界 135
5.4 检查你自己的智能电视(和其他物联网设备) 143
5.5 小结 151
第6章 联网汽车的安全性分析——从燃油汽车到全电动汽车 153
6.1 轮胎压力监测系统 154
6.2 利用无线连接 158
6.3 特斯拉Model S 164
6.4 小结 178
第7章 安全原型——littleBits和cloudBit 181
7.1 cloudBit Starter Kit简介 182
7.2 安全评估 195
7.3 威胁代理攻击案例 207
7.4 bug奖励计划 217
7.5 小结 218
第8章 未来的安全——对话将来的攻击方式 221
8.1 thingbots 时代已经到来 221
8.2 无人机的崛起 222
8.3 设备交叉攻击 223
8.4 听声音 223
8.5 物联网云基础设施攻击 227
8.6 后门 228
8.7 潜伏的Heartbleed 228
8.8 篡改医疗记录 229
8.9 数据海啸 232
8.10 智慧城市目标 233
8.11 空间通信将是一个成熟的目标 234
8.12 超智能的危险 235
8.13 小结 236
第9章 两个方案——意图和结果 237
9.1 免费饮料的成本 237
9.2 愤怒、拒绝和自我毁灭的例子 240
9.3 小结 247
Nitesh用简明的例子阐述了物联网安全理论,向读者展示了一个真实的互联设备的世界,以及它们要面临的复杂问题。
—Brian Hanson,安全主管
本书揭示了不久的将来,数十亿互联设备可能会遇到的安全漏洞,并向消费者、设计人员和学生提供了应对即将到来的安全风险的指南。
—Elias Houstis,普渡大学和塞萨利大学名誉教授
Nitesh整个职业生涯都处于信息安全领域先进技术的最前沿,他了解并影响着企业和消费者。在本书中,Nitesh阐述了如果危险没有在设计之初就被考虑清楚,那么潜在的问题 将会对主流社会产生重大的影响。
—Lee J. Kushner,LJ Kushner & Associates公司总裁
针对物联网的攻击将会主宰未来几年的头条新闻。有些人会对其进行过度的炒作,有些人则会悲观失望。本书直截了当地深入到物联网设备分析与攻击的世界当中。
—Haroon Meer,Thinkst Applied Research创始人
伴随互联设备不断扩散的趋势,社会对其关注度也不断提高,Nitesh以真实的例子,为我们展示了在互联世界中,我们将会遇到的挑战。 对我们将要面对依赖的设备提出了发人深省的思考。
—Billy Rios, Whitescope.io创始人
本书给出了针对物联网攻击的样例和具体步骤,指出我们怎样才能 避免过去犯过的错误。物联网设备连接着我们真实的物理世界,因而安全漏洞所带来的后果很可能是巨大的。
—Gustavo Rodriguez-Rivera, 普渡大学计算机科学系讲师
对下一代联网设备的威胁和安全感兴趣的人来说,本书是一个很好的起点。Nitesh给出了大量的研究案例,从导致“智能”照明系统停电到远程定位和解锁特斯拉电动汽车,只需要用一些20世纪90年代流行的小伎俩和技术就能做到。在本书中,Nitesh不仅 清晰地为我们解释了物联网设备高层次的设计缺陷,还描绘了低层次的技术实现故障。对我来讲,我恪守的一条信息 安全格言是“江山易改,本性难移”。
—Saumil Shah, Net-Square公司首席执行官
任何联网设备都有遭遇黑客攻击的风险,由于我们的汽车、家居设备等都在逐渐变得智能化,“被黑”的风险也就进一步加剧。早在几年前,人们对物联网的迅猛发展就已有预测。随着物联网的概念越来越热,市面上出现了大量基于物联网开发的连接设备:从与人们生活密切相关的空调系统、洗衣机等家庭设备,到与生命密切相关的家庭安全摄像头、婴儿监视器、心脏起搏器等安全与卫生设备,再到与人们健康密切相关的健身追踪器、智能手表等可穿戴设备。由于物联网设备相对来说比较新,无论是硬件设备还是与之配套的App和网络服务都鲜有安全保护措施。但每一种连接设备的出现,都为人们的生活增添了些许智能,所以我们不可能由于物联网具有安全隐患就拒绝进入物联网时代。
本书并非是一本关于物联网安全知识的手册,书中摒弃了“首先介绍概念,其次提出问题,最后阐述解决方法”这种“八股文”似的描述方法,而是以一个个鲜活的例子,从当前市面上比较流行的物联网设备入手,深入研究这些设备的设计思路和架构,向读者呈现了现实生活中我们可能会遭遇到的安全威胁和安全漏洞,帮助我们了解真实的物联网世界里攻击者的战术和心理,从而学会如何保护自己,同时本书也可以提醒物联网设备厂商改善他们的设计和产品。
可以说,现在的物联网大环境是不安全的,由于厂商和安全专业人员认为物联网设备安全的优先级较低,他们几乎没有做什么工作来确保物联网设备的安全。从这个角度来说,物联网设备的安全任重而道远。
本书的翻译组织工作由缪纶全面负责。第1、3、5、7章由林林译校,第2、4、6章由陈煜译校,前言及第8、9章由龚娅君译校。
本书在翻译过程中力求准确流畅,但纰漏之处在所难免,欢迎广大读者批评指正。若有关于本书的任何意见和想法,请发送邮件至lunmiao@tom.com,让我们共同探讨。

——译者
2016年8月于北京
计算机\安全
读者书评
发表评论



高级搜索
物联网工程设计与实施
社会化产品经理:社会化商业时代的产品管理与设计
数据隐藏技术揭秘:破解多媒体、操作系统、移动设备和网络协议中的隐秘数据


版权所有© 2017  北京华章图文信息有限公司 京ICP备08102525号 京公网安备110102004606号
通信地址:北京市百万庄南街1号 邮编:100037
电话:(010)68318309, 88378998 传真:(010)68311602, 68995260
高校教师服务
华章教育微信
诚聘英才
诚聘英才