如何學習物聯網安全?

物聯網在近些年發展越來越快,其所暴露出的安全問題也是層出不窮。物聯網安全作為網路安全的一部分,目前也越來越受到重視。作為一個學習網路安全的研究生,具備一些基本的網路知識,該從何處入手學習物聯網安全?


我只是偶爾研究研究軟體逆向工程.在我眼裡,所有的漏洞的根源都是人的邏輯漏洞.我還是建議你先把物聯網的東西學好(協議之類),之後再挖掘漏洞.

雖然我不專門挖掘漏洞,但是做逆向分析是挖掘漏洞的一個基本功.因為很多應用是看不到源代碼的,找他的邏輯漏洞就比較麻煩一點.

具體的方法,我就沒法指導了.

太多人,把問題都割裂來看了.沒能看到事物之間的關聯性.就像做軟體逆向分析,很多人竟然都不會編程,連正向的思維都沒有,怎麼在軟體逆向上有大的突破?編譯理論都不知道,怎麼研究反編譯?不要忽視問題的相關性了.

也有的人,希望一勞永逸.希望有一種方法能夠解決所有的問題,拒絕正視不同事物之間的區別.從軟體逆向工程舉例子來說,要逆向分析一個軟體系統,是需要去調研該軟體系統可能用到的技術,查閱相關開源代碼,針對編譯他的編譯器和相關語言知識都要去了解.如此逆向一個軟體系統會系統性的多.對於你挖掘物聯網的漏洞,不是類似的?物聯網的硬體平台很多,針對不同的平台,你都要去先調研,了解開發過程相關知識,熟悉他之後,再去挖掘漏洞,才是系統性的挖掘.

我想我沒能給出具體的建議,很多人是不會願意看完的.


智能硬體安全入門 - gjden的文章 - 知乎專欄


自己買一些智能插座之類這兩年新興的智能硬體,抓包、測試,然後嘗試找安全或者應用漏洞

等發現漏洞並嘗試去解決時候就已經比較上路了

產品狗一枚不懂技術,大牛輕噴


在學習物聯網安全之前,應該首先解決信息安全與防護的問題。隱私信息的內容包括個人基本信息、身份信息、財產信息、位置信息、個人信仰、個體特徵等。尊重和保護個人隱私已經是全社會的共識,也是共同的需要。

在物聯網信息安全領域,研究並應用隱私信息保護機制具有重要的意義。具體來說,可以從下述幾個方面入手:

1.法律法規保護政策:通過法律政策來規範化物聯網信息系統對用戶個人隱私信息的保護和使用過程。

2.隱私信息使用方針:通過終端用戶本著自願的原則,以及根據需要與物聯網運營商、網路運營商等供應商達成協議來使用個人隱私信息。

3.匿名身份應用:使用間接的匿名信息來代替實名制信息,防止個人隱私信息泄露以及被非法用戶用於非法活動或行為。

4.數據加密解密:對於重要的數據信息,比如商品交易信息,個人的位置信息等,可以使用複雜的加密及解密演算法來混淆或置換這些隱私信息,防止被非法用戶竊取。

  物聯網技術已經成為繼互聯網、移動網路之後的新一代信息技術,具有廣闊的應用前景,發展和應用物聯網對於推動社會經濟具有重要的意義。研究RFID系統安全漏洞,制定信息安全保護機制,有助於提高物聯網的信息系統的健壯和安全。

我個人認為,人工智慧經過數十年的發展,在存儲、運算、和傳輸能力上都已經有了幾何級的提升,相信不久的將來,人工智慧將會滲透我們的生活,影響我們的點點滴滴,人工智慧、大數據、雲計算、物聯網、智能家居,將是我們必須面對,也是必須要接受的,建議大家,可以看下相關的智能科訊平台,比如,多智時代:http://duozhishidai.com,引領智能變革,雷峰網——讀懂智能未來等等,讓我們一起迎接人工智慧時代的社會、經濟與文化變革,擁抱智能,暢享未來!


個人愚見:

物聯網和互聯網區別在於,後者都是IT設備相互連接,如PC機路由器等,其網路安全協議已經比較成熟了,但前者需要連接到非IT設備,即物物相連,這也就是物聯網安全問題的短板所在,而越是薄弱的環節越容易先受到攻擊。

所以搭建一個物聯網的話,主要注意三個方面的安全問題,

第一,終端採集設備。如PLC,RTU等,盡量採用企業級工業級的設備,了解其加密等安全協議,配合採集程序保證數據採集通道的安全。

第二,數據存儲。除了常用的資料庫外,還可搭建私有雲平台進行存儲,通常來講找一些靠譜的雲平台公司提供成熟的解決方案就可以。

第三,移動端。通常來講,移動端應用的監控數據都是通過登錄後,服務端程序開放相應許可權,通過介面進行傳輸,較為安全。但移動端也常常和終端設備直接交互,如直接通過IP與攝像頭相連等,這種情況通常會存在一定的安全隱患。

所以學習物聯網安全相關的話可以暫時從自動化設備、私有雲平台、移動端應用這三個方面及其安全問題逐漸入手。

我也就大概了解這麼多,因為公司現在正好做物聯網的項目,我目前也只是在邊工作邊學習當中。


我是今年GeekPwn的選手,雖然最後是Pwn失敗了... 因為不是專攻方向就先匿名吧~

----

ok,物聯網安全近幾年很火,各種智能家居,所謂物聯網,我理解的是物品與物品之間相互連接,連接可以是互聯網、可以是藍牙、可以是紅外、可以是Wifi等等 ...

因為物聯網和生活息息相關,所出現的安全問題通常都會很嚴重,甚至可能會危害人身的生命財產安全。因為算是新興領域吧,國內研究物聯網安全的人並不多,近些年還好,這要感謝GeekPwn等活動的推動

因為要相互連接,所以連接協議是首先要搞明白的地方,想知道連接是什麼協議,那麼就又必須要掌握抓包的技術,有些可能要用專業設備進行嗅探 .. 而這些設備通常不會便宜,國內研究物聯網安全出名的小組也都會開發自己的設備

還有必須要掌握逆向破解的技術,因為物聯網的系統固件基本都是閉源的,研究者時常需要從固件包中分析其執行邏輯尋找安全漏洞,聽說今年GeekPwn 藍蓮花那些牛人搞了好多智能攝像頭,有一些在1024之前升級了固件修復了要利用的漏洞,他們就又臨時Pwn了一遍,最終搞定了所有的攝像頭,而他們採用的手段就是逆向分析固件,不過這需要很高的技術水平,我Web狗是搞不來 只能在遠處膜拜 雖然我近視 :)

有些Pwn是去搞的雲端,也就是設備是使用互聯網進行連接操控的,有些廠商會自己開發平台,有些則利用現成的平台,比如阿里小智、京東微聯等,通過找雲端漏洞來實現對設備的Pwn,這類漏洞通常都是遠程的,比如我可以遠程關掉你們家的烤箱之類的。

大概就是這樣吧,哦 對了 動手能力要強!

聽一位北大的研究生哥哥說,破解有時候要看電路板,那些一層一層的電路板甚至還要動用X光 ....

額,就想起這麼多,想起再更!


先從看報告開始吧,從中可以理清楚自己的思路。【下載】3個細分領域6個關注點 給出物聯網安全切入點 綠盟科技發布物聯網安全白皮書 ,【下載】綠盟科技發布《國內物聯網資產的暴露情況分析》報告


你要學習物聯網安全,首先你要了解物聯網安全都涉及哪些內容,具體要有哪些操作。

通俗來講,所謂的物聯網安全更多是依託於硬體方面的安全,他需要你涉及系統的底層原理層去發現和解決問題。在安全領域裡有一個底層信息安全方向不知道你聽沒聽說過過。它所涉及的內容和物聯網安全學習所需要的知識比較接近,你如果學習的話可以參考於這個方向。


看看這個你就 很容易入門 掌握mqtt


先了解下行業。 物聯網的定義很廣,比如汽車,工業,消費電子等等。

然後針對這個行業的特點,找找有沒有現成的解決方案? 比如針對汽車聯網的信息安全解決方案。

然後從上而下,根據這個方案裡面所提到的技術來進行深入學習。


首先不知道您是想從事安全方面的技術?諮詢?銷售?所以我建議你沒事多加入專業的社區去看看,多參加線下聚會、展會,認識這個行業的人脈,比如這裡 物聯網安全-專註於物聯網安全領域的專業社群媒體,聚會展會信息可以從這找,還有專業諮詢


抖個機靈唱個反調,在可預見的未來幾年內,學會忽悠即可 -_-


推薦閱讀:

國內手機銀行安全體檢:多款存在高危漏洞 可影響資金安全
如何開發支持 FIDO U2F 登錄的網站
快訊:烏克蘭、俄羅斯、印度等多國遭受Petya勒索病毒襲擊(附樣本)
迪士尼或以延期《加勒比海盜5》上映的代價 為好萊塢網路安全現身說法

TAG:物聯網 | 網路安全 | 信息安全 |