BlackHat 兵器谱新添 IOT 安全武器|安全专家带你看干货

2017 年 7 月 29 日 宅客频道 兜哥带你学安全

本文由宅客频道专栏作者百度安全兜哥撰写。虽然低调,干货却不少。

在刚结束不久的 BlackHat 会议上,Tripwire 的首席安全研究员特拉维斯·史密斯(Travis Smith)发布了一款开源的网络监控软件Sweet Security。这是本次 Blackhat 上发布的第一款专门针对 IOT 设备和工业控制系统(ICS)的安全软件。

物联网 IOT 设备和工业控制系统 ICS 设备在底层硬件上有很多许多相似之处,两者都面临这两大安全难题:一方面,因为计算和内存资源有限,很难运行常见的监控软件,更糟糕的是其操作系统也往往因为过于老旧或者定制开发的导致常见的安全监控软件甚至无法安装。另一方面,IOT和ICS的通讯协议大量使用定制的协议,比如Modbus和DNP3,现有的开源监控软件很少支持。

基于这样的现状,特拉维斯·史密斯开发了一套基于 Bro 和 ELK 的针对 IOT 和 ICS 的安全监控软件——Sweet Security。它通过开源软件Bro支持了常见的DNS、HTTP等协议,同时支持了工控系统常用的Modbus和DNP3协议,并且减少开源软件上不必要的功能以减少资源消耗,让这套软件可以在计算和内存资源相对贫乏的IOT设备上运行。这就很好的解决了上面的两个问题。

举例来说,一个典型的配置为单核700 MHz 的处理器和512MB的内存,这种硬件配置就相当于是常见的树莓派 Raspberry Pi 入门配置,即使这样的简单系统也可以运行 Sweet Security 系统。

Sweet Security 通过监控 IOT 和 ICS 的通讯流量识别攻击行为,包括基于 Modbus 和 DNP3 协议的攻击。监测到的结果会保存在本地存储,并且支持进一步发送给 ELK 或者常见的日志收集系统,比如 SIEM。

Sweet Security支持的操作系统为 Raspbian Jessie、Debian Jessie、Ubuntu 16.04,目前支持的硬件平台为RaspberryPi 、x86、x86_64;推荐的硬件配置为ARM, x86, or x86_64 CPU;2GB RAM;8GB Disk Storage;100 MB NIC 。

总体上看,该软件从架构上使用开源的大数据处理架构 Bro和ELK,具有良好的可扩展性,并且它针对IOT和ICS特有协议的解析,支持检测通过这些协议的攻击行为。它的开源可以很好地促进IOT和ICS开源安全产品的发展。

Sweet Security的下载地址和安装方法具体如下:

Sweet Security的 GitHub 地址为:https://github.com/TravisFSmith/SweetSecurity

安装方法为:git clone https://github.com/travisfsmith/sweetsecurity

sudo python setup.py

安装软件前建议安装 Python 和 Java 环境。

Python 2.7

sudo apt install python

Java 1.8

sudo apt install default-jre

安装模式支持三种:

Full Install: This will install Bro IDS, Critical Stack (optional), Logstash, Elasticsearch, Kibana, Apache, and Sweet Security Client/Server. Choose this option ONLY if you have 2GB of memory or more.

Sensor Only: This will install Bro IDS, Critical Stack (optional), Logstash, and Sweet Security Client

Web Server Only: This will install Elasticsearch, Kibana, Apache, and Sweet Security Server

Sweet Security也支持分布式部署,一个推荐的分布式架构包括分别执行ARP Spoofing、Network Scans和Bro IDS Inspection的三个客户端以及一个基于Web的服务器。

Client: ARP Spoofing

Client: Network Scans

Client: Bro IDS Inspection

Server: Website Hosting 





蓝字查看更多精彩内容


探索篇

  暗网【上】|  暗网【下

草榴社区 女鉴黄师 | 以图搜图

心脏滴血 撞库攻击 | 潜行追踪

刷票 | 人肉 | 勒索 | 内鬼

超级欺骗系统


真相篇

战斗民族野生聊天 App

草榴社区这类色情网站为什么封不掉

什么样的漏洞买得起北京二环一套房?

上了个“假”黄网,误入了7亿黑产的大门

13岁小黑客自学一年挖到了微软、谷歌的漏洞

中学教材现黄色网站 人教社回应遭网友质疑

干货!top白帽子 Gr36_ 手把手教你挖漏洞

我们可以用“免疫系统”对抗黑客入侵吗?

这位叔叔要教勒索软件一些做人的道理

有个网站叫“我知道你下载了什么”

无线电攻击居然还能用来打飞机

“道哥”透露从业初心


人物篇


道哥:重回阿里的29个月

黑客老王:一个人的黑客史

吴石:站在0和1之间的男人

黑客衰大:45天攻入姑娘的心

黑客段子手“呆子不开口”

“特斯拉破解第一人”刘健皓

唐青昊:虚拟世界的越狱者

MOSEC:盘古团队的野心优雅

让周鸿祎“三顾茅庐” 的 黑客 MJ

美女黑客张婉桥的“爱丽丝奇遇记”

TK教主和玄武实验室的几个小故事

把老婆训练成女黑客的漏洞大神黄正

“真爱”黑客 Fooying 手把手教你追妹子


更多精彩正在整理中……

---

“喜欢就赶紧关注我们”

宅客『Letshome』

雷锋网旗下业界报道公众号。

专注先锋科技领域,讲述黑客背后的故事。

长按下图二维码并识别关注



登录查看更多
0

相关内容

ICS:International Conference on Supercomputing。 Explanation:国际超级计算会议。 Publisher:ACM。 SIT: http://dblp.uni-trier.de/db/conf/ics/
专知会员服务
31+阅读 · 2020年5月20日
【北京大学】面向5G的命名数据网络物联网研究综述
专知会员服务
37+阅读 · 2020年4月26日
【新书】Java企业微服务,Enterprise Java Microservices,272页pdf
【干货】大数据入门指南:Hadoop、Hive、Spark、 Storm等
专知会员服务
95+阅读 · 2019年12月4日
【白皮书】“物联网+区块链”应用与发展白皮书-2019
专知会员服务
93+阅读 · 2019年11月13日
分布式核心技术知识图谱,带走不谢
架构师之路
12+阅读 · 2019年9月23日
大数据安全技术浅析
计算机与网络安全
14+阅读 · 2019年4月24日
ZigBee 网络安全攻防
计算机与网络安全
14+阅读 · 2019年4月15日
金融风控背后的技术综述
七月在线实验室
45+阅读 · 2019年2月28日
综述——隐私保护集合交集计算技术研究
计算机研究与发展
22+阅读 · 2017年10月24日
一个人的企业安全建设之路
FreeBuf
5+阅读 · 2017年7月7日
Arxiv
14+阅读 · 2019年11月26日
Arxiv
35+阅读 · 2019年11月7日
Few-shot Learning: A Survey
Arxiv
362+阅读 · 2019年4月10日
Arxiv
6+阅读 · 2018年3月31日
Arxiv
6+阅读 · 2018年2月7日
Arxiv
5+阅读 · 2015年9月14日
VIP会员
相关资讯
分布式核心技术知识图谱,带走不谢
架构师之路
12+阅读 · 2019年9月23日
大数据安全技术浅析
计算机与网络安全
14+阅读 · 2019年4月24日
ZigBee 网络安全攻防
计算机与网络安全
14+阅读 · 2019年4月15日
金融风控背后的技术综述
七月在线实验室
45+阅读 · 2019年2月28日
综述——隐私保护集合交集计算技术研究
计算机研究与发展
22+阅读 · 2017年10月24日
一个人的企业安全建设之路
FreeBuf
5+阅读 · 2017年7月7日
相关论文
Arxiv
14+阅读 · 2019年11月26日
Arxiv
35+阅读 · 2019年11月7日
Few-shot Learning: A Survey
Arxiv
362+阅读 · 2019年4月10日
Arxiv
6+阅读 · 2018年3月31日
Arxiv
6+阅读 · 2018年2月7日
Arxiv
5+阅读 · 2015年9月14日
Top
微信扫码咨询专知VIP会员