神器分享：物联网黑客工具包

今天，我将在BSides San Francisco做一个题为“物联网黑客工具包”的演讲。我会打算一个幻灯片并且公布一篇博客去参与这个发言，如果有我讲话的视频链接，我也即将把这个视频链接放到这个博客里。

介绍

来自于我演讲的摘要

物联网和嵌入式设备为期望了解跟评估某些设备的安全工程师带来了新的挑战。从新的界面到不常见的操作系统和工具，在常规安全检测之外我们还必须一些技能跟工具。我将介绍硬件跟软件工具，包括他们同样的地方或者每个工具独特的用途。我还将要谈到如何建立技能树或者怎么使用嵌入式安全检测软件来进行实际操作。

虽然有些物联网设备可以从纯硬件的视角进行检测（逆向移动应用程序的工程师足以满足我们的意愿），但借助与所有可用接口（通常包含不用于访问的接口，如安装和外部接口）交互可以知道该设备的更多信息。

背景

我仍然对黑客和电子产品感兴趣。我在11岁成为爱好者，在学校里，由于我的大学没有计算机安全研究领域的课程，我选择了嵌入式系统研究领域的课程。作为一名黑客，我终于发现了越来越对物联网设备着迷。这些设施为黑客带来了诸多新挑战，其中也包含负责检测这种仪器安全漏洞的工程师：

不熟悉的架构（主要是ARM和MIPS）

不常见的接口（802.15.4，Bluetooth LE等）

迷你的硬件（剥离了C程序是常见的）

当然，这些挑战也为熟知这些平台的黑客（白帽和黑帽）提供了机会。虽然在企业Web应用程序中看到内存损坏漏洞几乎闻所未闻，但在IoT设备上,Web请求使用基本C解析和服务并不少见，并且存在所有的内存管理问题。在2016年，我看到了流行的IP电话中的内存损坏漏洞。

考虑功能，而不是玩具

包括我自己在内的好多黑客都是“小男人” (或者 “小女孩”)。经常把每种可能用到的工具看作是新的工具增加至工具箱中，但是在每天结束时，必须考量该软件怎样提高新功能。其实它不需要具备完全独立的功能，也许只是降低了速度或稳定性。

当然，这是一个“照我说的做，而不是照我做的做”区域。实际上，我有很多具有重叠功能的设备。我最愿意非常这些设备也是为了使某些参与我的演说或阅读这篇文章的人受益，但老实说，我喜欢我的技术玩具。

软件

大部分软件与应用程序安全性或渗透检测没有区别。例如，Wireshark通常用于网络预测（IP和蓝牙），以及用于HTTP/HTTPS的Burp Suite。

fccid.io网站在侦察设备时十分有用，提供关于所使用频率跟调制的信息，以及仪器的外部图片，这些照片还可以显示诸如芯片组，整体构架等信息，所有这种都不需要用螺丝刀。

逆向工程

固件镜像通常是多个文件串联起来，或包括专有的元数据头。Binwalk进入镜像，查找已知的文件签名，并提取模块。通常这将包含整个Linux文件系统，内核镜像等。

一旦您提取了这个平台，您或许有兴趣分析上面的二进制文件或其它工具。通常反汇编是有用的。我如今最喜欢的反汇编程序是Binary Ninja，但有很多选择：

Binary Ninja

IDA

Radare2

Hopper

基本工具

我觉得有几种工具针对任何类别的软件攻击都是绝对必要的。这些软件针对了解设备并访问设备上的多种类型的接口是至关重要的。

螺丝刀组

一个螺丝刀组也许是一个明显的东西，但是你必须一个具有这些钻头的螺丝刀组，可以开启狭小的空间，且长度与您设备上的螺丝相符。许多设施也使用“安全螺丝钉”实用手机版黑客工具包，这或许是一个术语，适用于任何不属于标准家用软件套件的螺丝钉.(我终于发现了Torx，三角形钻头，方形钻头，带有中心销的Torx等等)。

我有一个很棒的iFixit螺丝刀套件，它可以开启任何东西。扩展的螺丝刀有助于进入最小的空间，而64合1套件覆盖了所有内容。我个人偏爱支持iFixit，因为它带有很高的装配和拆解功能，但也是山寨版的iFixit。

开瓶器

许多设备都用塑料卡扣或压配在一起的组件密封。对于那些，你必须某种开瓶器（有时称为撬棒 ）来打开他们。我看到诸多有用的形状。您可以将它成为iFixit，iFixit克隆或开瓶器自身组合软件套件的一部分。我看到iFixit型号的品质略高，但我也随身携带了一款合适偶尔旅行使用的廉价克隆版.

非常薄的带橡胶手柄的塑料手柄可能是我最喜欢的开瓶器 – 它适合更薄的开口，但此后它也十分容易弯曲。我在使用过程中遭遇过它由于弯曲造成的破损。要小心使用这种工具，并保证您的手摆脱它，如果被划到，虽然它们不是锋利的刀刃，但它们会误伤您的手。

万用表

我知道了，您正在寻求破解设备，而不是重新布线您的汽车。这就是说，对于许多任务来说，在我们必定需要跟节约时间成本上，一个中等大小的万用表是有必要的。万用表一些任务比如：

识别未知的引脚

找到UART的接地引脚

检查这些组件已连接

搞清楚您应该什么样的电源

检查接口上的电压以保证不会造成事件

我有几个万用表（对于电子工作来说有多个是很重要的），但是您为了研究物联网黑客攻击有一个就足够了。从性价比来看UNI-T UT-61E是不错的，但是它的安全性评价不是很好。EEVBlog BM235是我最喜欢的，但价格非常高。如果您为了工作而购买，Fluke 87V是您最佳的选择。

如果您购买低价的万用表，它或许适用于物联网项目，但有众多万用表存在安全隐患。请勿在“总输电缆”电源，高压电源，任何从墙上出来的电源上使用这种便宜的万用表。我们不能为了削减40美元而威胁至我们的人身安全。

烙铁

在制造物联网设备上您会看到这些已填充的头（只是电路板上的孔）。各种调试接口头被省略，或者成为成本节约，或者出于空间原因，或者二者兼而有之。在开发过程中使用了很多头，但制造商经常想要留下这些连接，以减少重新印刷电路板（PCB）布局，或者无法现场调试故障。

为了连接至某些已填充的头，您会想要在它们的位置焊接您自己的头。要做到这一点，您必须一个烙铁。为了尽可能降低在此过程中受损电路板的风险，请使用可变频率跟小尖端的烙铁。Hakko FX-888D是十分流行跟更加不错的选择，但您一直可以做很好的选用，像使用this Aoyue或其它的烙铁。但是不要使用专为水管工或类似功能设计的烙铁，它会烧掉电路板。

同样，开始在您目标板上工作之前，您应该训练焊接技能。比如：找到一些大型焊接工程以及废弃电子仪器进行练习。

网络接口

显然，这些设施具备网络接口。毕竟，他们被当作“Internet of Things”，所以网络连接是一个必要条件。几乎普遍存在802.11连接（有时仅在基站上），而以太网（10/100或1000）接口也十分普遍。

有线网络嗅探

要想嗅出有线网络，最简单的方式就是在你的手机上使用第二接口。我是这款USB 3.0双千兆适配器的很大粉丝，它反而为这些使用同款笔记本电脑或仅支持USB-C的Macbook的用户提供USB-C版本。 任何一个选项都可以为您提供两个网络端口，即使在没有内置有线接口的笔记本电脑上也有极其。 除此此外，您应该软件来进行嗅探。Wireshark是原始数据包捕获软件，但您常常也会期望HTTP/HTTPS嗅探，因此Burp Suite是事实上的标准，但是mitmproxy是一个具有许多不错功能的新兴竞争者。

无线网络嗅探

最常见的笔记本电脑上的无线网路接口可以执行监控机制，但其实您想使用它来连接互联网，我们也可以在另一个接口上嗅探。像AWUSO36NH和AWUSO36ACH这样的Alfa无线网卡 已经太流行了一段时间，但我个人偏爱使用基于RT5370的小型适配器进行检测，因为其体积小，便于携带，所以不需要长距离的测试。

有线（调试/内部）接口

物联网设备上有许多细微的接口，它被用于安装或与各类壳体之间的通信。例如：

用于闪存的SPI/I2C芯片

用于wifi的SPI/SD 芯片

用于串行控制台的UART

用于蓝牙/ wifi控制器的UART

用于调试处理器的JTAG/SWD

用于编程的ICSP

UART

虽然有许多通用设备可以做其它事情，但我一直遇到UART，因此我喜欢为此设定独立适配器。此外，拥有一个独立的适配器允许我在使用JTAG/SWD或其它接口的同时保持UART连接。

您可以获得价值10美元的独立电缆，可用于大多数UART接口。（在我见到的大多数设备上，UART接口为3.3v，这些管道可以较好地工作。） 这些电缆中的大多数具有下列引脚分配，但请保证检查自己的：

红色：+ 5V（不要在大多数主板上连接）黑色：GND绿色：来自计算机的发送，来自设备的接收白色：来自计算机的接收，来自设备的发送

对于UART到USB 的FT232RL 或CH340芯片还有一些电缆外接头。这些提供了一系列头来联结目标设备跟适配器之间的跳线。我更喜欢电缆的简单性（在我的测试过程中跳线端数量会降低），但这进一步证明了有很多选项可以提供同样的功能。

通用接口（JTAG / SWD / I2C / SPI）

有许多接口被称为“通用接口”，它无法与各类协议对接。这些主要分为两类：

Bit-banging微控制器

硬件接口（以FTDI的FT * 232系列为主）

有许多选项可以推动用于表明这种协议的bit-banging解决方案，从硬件项目至运行在Arduino上，以及例如使用PIC微控制器的总线海盗（Bus Pirate）等项目。这些一般向主机和应用程序提供串行接口（UART），并使用带内信号进行配置跟设定。某些器件可能存在一些时序问题，因为微控制器通常能够在同一时钟周期更新多个输出引脚。

硬件接口使专用USB端点与设施对话，尽管可以配置它，但它借助USB端点和寄存器完成。协议在半专用软件中推动。根据我的经验，这些元件比bit-banging微控制器更快，更可靠，但是你仅限于特定器件支持的任何协议，或者硬件驱动他们的素质。（例如，FT * 232H系列可以借助bit-banging来执行大多数协议，但它一次升级整个寄存器，并且带有足够高的速率来运行多种协议的时钟速度。）

FT2232H跟FT232H（不要与仅限于UART的FT232RL相混淆）已被纳入许多不同的分线板，这些分线板是优秀的通用接口：

Adafruit FT232 breakout （我个人最喜欢的）（亚马逊）

TUMPA和TUMPA Lite （亚马逊）

FTDI C232HM Cable （我的第二个最爱，最简单易用的）（亚马逊）

逻辑

当你有一个未知的协议，未知的引脚，或未知的协议修改（波特率，极性，奇偶校验等）时，逻辑可以帮助你直接查看芯片或接口之间释放的信号。

我有一个Saleae Logic 8，它是一个很棒的逻辑。它体积小，软件比较出众，易于使用。我用它来看到许多未贴标签的端口的引脚，发现UART的设定，并且窥探板上两个芯片之间的流量。

尽管在eBay或AliExpress上有昂贵的山寨品，但我终于尝试过他们，质量最差，不幸的是，开源的sigrok软件并不太符合Saleae软件的品质。此外，他们基本没有输入保护，来避免您自己炸毁设备。

无线

显然，物联网拥有非常多的无线设施。其中一些设备使用WiFI（上面讨论过），但许多设施使用其它无线协议。蓝牙（特别是蓝牙LE）非常普遍，但在其它领域，例如家庭自动化，其他协议非常流行。其中这些是基于802.15.4（Zigbee，Z-Wave）或433 MHz，915 MHz或2.4 GHz ISM频段的专有协议。

蓝牙

蓝牙设备相当普遍，低功耗蓝牙（从蓝牙4.0开始）在IoT设备中十分流行。大多数不会流式传输音频实用手机版黑客工具包，提供IP连接以及其它高带宽需求的设施仍然正在转向低能耗蓝牙，可能是因为几个原因：

更低的性能（对电池非常友好）

更便宜的芯片组

实施简单

我推荐一个工具来评估蓝牙，那就是Ubertooth One （亚马逊）。这可以追踪和捕捉蓝牙通讯，以pcap或pcap-ng格式输出，允许您将通信导入Wireshark以供日后分析。（您也可以使用其它基于pcap的软件（scapy）来预测pcaps。）Ubertooth工具可以成为软件包在Debian，Ubuntu或Kali中使用，但是您可以从 其Github获得升级版本的硬件内存库。

Adafruit还提供BLE嗅探器 ，该嗅探器仅用于低功耗蓝牙，并运用北欧半导体BLE芯片和特殊固件进行嗅探。这种工具在Windows上运行良好，但在Linux上不太好，因为它是一种比Ubertooth工具最无法使用的python脚本。

软件定义

对于自定义协议或实行低级评估或基于系统的攻击，软件定义为与物联网设备的射频端直接交互提供了极好的机会。这可以从仅接收（出于理解跟逆向工程设施的目的）到无法同时接收和发送（全双工），这取决于您的评估需求。

对于简单接收，有一些简单的DVB-T软件狗未被再次设计为通用SDR，通常称为“RTL SDR”，该名称是基于设备中存在的Realtek RTL2832U芯片。可以使用这种芯片，因为该芯片才能将原始样本提供给主机操作系统，并且因为其低成本，已经发生了一个大型的开源社区。像NooElec这样的公司目前或者为SDR社区提供基于这种芯片的定制内置硬件。还有一个扩展了RTL-SDR dongles接收范围的套件。

为了传输，硬件应复杂得多，这个空间中的大部分选项都是由FPGA或其它强大的处理器驱动的。即使在几年前，这些用途在USRP等工具中也十分廉价。然而，HackRF由大斯科特小工具和BladeRF通过Nuand已经价格非常低廉，大部分黑客可以接受。已经提供能力的长期黑客友好的价格。

我有一个BladeRF，但我真的期望我买了一个HackRF。HackRF具有很宽的只用速率范围（尤其是高频），而BladeRF则必须相对廉价的上变频器来覆盖这种频段。HackRF似乎也有一个更加活跃的社区，并在开源工具的这些领域提供更好的支持。

其他有用的工具

使用示波器查看射频讯号或信号完整性有时候会有用，但我在工作中基本没有使用过。专门的JTAG程序员用特定的软件设备工作的精度非常高，但成本相对较高，这些设施专门对于那些特定的项目。

对于读取Flash芯片，Xeltec程序员被觉得是“最重要的”，并且做了一个令人难以置信的工作，但它的价格因而只有定期做这件事的实验室才会认为这是值得的。

PDF：物联网黑客工具包

原文链接

本文来自电脑杂谈，转载请注明本文网址：
http://www.pc-fly.com/a/shouji/article-136554-1.html