中圖網小程序
一鍵登錄
更方便
本類五星書更多>
-
>
全國計算機等級考試最新真考題庫模擬考場及詳解·二級MSOffice高級應用
-
>
決戰行測5000題(言語理解與表達)
-
>
軟件性能測試.分析與調優實踐之路
-
>
第一行代碼Android
-
>
JAVA持續交付
-
>
EXCEL最強教科書(完全版)(全彩印刷)
-
>
深度學習
車聯網滲透測試 版權信息
- ISBN:9787302592495
- 條形碼:9787302592495 ; 978-7-302-59249-5
- 裝幀:一般膠版紙
- 冊數:暫無
- 重量:暫無
- 所屬分類:>>
車聯網滲透測試 本書特色
當下,消費者對持續聯網的需求日益增長,利用科技將汽車與周圍的智慧城市連通,以減少交通擁堵的呼聲日益強烈,在這樣的形勢下,新技術進入載客汽車領域,在很大程度上推動了網聯汽車的發展,曾經孤立的車載網絡中的汽車,現在突然可從任何地方進行連接。這種連接性對網聯汽車內的乘客和自動駕駛汽車帶來了巨大的風險,所以OEM廠商和汽車制造商都在嘗試去了解網絡安全這個新領域,要知道,在過去,他們只關心行駛安全。Alissa Knight在loT設備和網聯汽車的風險管理、滲透測試方面有20年的從業經驗,可為網聯載客汽車的滲透測試、風險管理和風險處理提供全面的指導。《 車聯網滲透測試》為那些不熟悉車輛機電體化的網絡安全專業人士而作,為識別和緩解網聯汽車風險提供所需的策略、技術和步驟方面的參考。 本書全面總結了每章涵蓋的要點,以說明圖和接近外科手術的精度詳細介紹了執行網聯汽車滲透測試和風險評估的步驟,并且研究了相關問題,提供了前沿的系統防護策略。在攻擊者使用自己的方法對信息娛樂系統和遠程通信控制單元進行滲透測試之前,你將學習如何找到系統中的漏洞,以及如何分析影響資產機密性、完整性和可用性的漏洞和威脅的風險級別。 通過滲透測試和風險評估,將網絡威脅、漏洞和網聯汽車風險情境化的現場手冊。隨書贈送參考材料,獲取地址見書封底二維碼。 汽車網絡安全也許是人類有史以來*獨特、*具挑戰性的安全問題。載著人和重要貨物的幾千磅重的機器在高速行駛,周圍都是其他完全聯網的、自動化的甚至與周圍環境通信的類似機器。隨著大量新技術進入汽車領域來提升這些新功能和新特性,普通汽車可能也有10~100+萬行的代碼,并且需要管理多種協議。隨著汽車的復雜性不斷上升,很容易想象,在任何給定的車輛中都可能存在很多潛在的安全漏洞。 作為菲亞特-克萊斯勒汽車公司車輛安全保障項目的前全球負責人(2017—2019年),我每天都需要利用多種工具來應對這一復雜的挑戰。其中,我使用的功能*多的工具之一是行業推廣計劃。通過該計劃,我與獨立研究人員建立了聯系,以鼓勵和促進針對我們系統的安全性研究。也是通過這個計劃,我**次遇到了Alissa Knight。Alissa的努力和著作填補了汽車行業公司和其他研究人員在教育和意識方面的巨大空白。通過閱讀Alissa的著作,我個人已經成長為專業的黑客。 這種安全挑戰是對社會的挑戰。因此,不只是生產產品的企業,整個社會都應該努力解決這個問題。Alissa是安全意識的倡導者和*佳的實踐者,她為我們所有人推動了一個更安全的未來。我希望這本書的內容,以及Alissa的其他幾本著作,能幫助你成為一個更有安全意識的人。負責任地使用本書的內容,加入當地的安全研究小組,以Alissa為榜樣,回饋社會,讓大家都能受益。 Thaddeus Bender全球車輛安全保障項目經理菲亞特-克萊斯勒汽車公司 信任——一種使我們人類能了解周圍世界的必要情感。這是一種*原始的需求。當我們吃飯時,我們必須相信食物不會毒死我們。味覺和嗅覺的發展,只是為了讓我們信任我們的飯菜。我們走路時需要知道下一步不會掉下懸崖,也不會撞上大橡樹。所以,我們培養了視力,以免讓周圍的環境要了我們的命。我們必須信任與我們交往的人。所以,我們培養了自己的猜疑心和幽默感。 信任是我們的生存之道,是我們生活中的必需品。它蘊含在我們每一個有意識和無意識的決定中——每個人都是如此。因此,當我們吃飯、走路、睡覺,甚至開車時,我們必須相信,使我們移動的傳感器和系統不會讓我們過早地赴死。這也是未來出行的關鍵。車輛需要被信任。自動駕駛汽車必須贏得我們的信任。雖然自動駕駛技術尚不完美,但人們有可能過度信任該系統。 2016年,**起自動駕駛汽車死亡事件發生了。車輛駕駛員Joshua Brown相信,他的自動駕駛系統不會允許他的車輛全速撞上半掛車。他的系統運行正常。問題在于,當時的半掛車是白色的,在明亮的天空下,車輛的物體檢測算法無法將掛車與周圍環境區分開來。不過,該系統的運轉確實跟宣傳的一樣。只是自動駕駛系統并非為應對所有情況而開發,所以用戶必須時刻關注路況。本案中用戶對系統的信任度太高了。在自動駕駛成功案例的海報頻頻出現的某個地方,Joshua由于過度信任他的自動駕駛系統而付出了慘重代價。 在不久的將來,下一代自動駕駛汽車將到來,并且這些系統將被宣傳為不需要用戶干預即可運轉的系統。車輛的駕駛員實際上將在系統啟動后變成忽略車輛的速度、軌跡或周圍環境的乘客。這些系統將需要操作者用生命來信任構成自主駕駛系統的眾多電子控制模塊、車載網絡、數百萬行的代碼和電子傳感器。*重要的是,車載WiFi、遠程信息處理控制器和車對車通信等新技術提高了復雜性且擴大了攻擊領域。 要確保這些系統不被惡意篡改,需要警惕、機智聰明、有條理、有才華的人才,以保證聯網的自動駕駛汽車獲得信任。而這正是Alissa Knight的閃光點所在。她是汽車網絡安全的堅定支持者。她不僅希望建立一個網絡安全工程師社區,還希望確保汽車制造商及其零部件供應商努力保障其軟件、硬件和傳感器的安全。 我**次見到Alissa是在德國,她在那里生活和工作就是為了這個目標。在我們**次見面時,她用一個擁抱迎接我,同時說道:“我是個擁抱者。”直覺上,她明白什么是信任。她知道,擁抱將有助于培養一種紐帶,幫助我們為當前和未來的項目共同努力。 Alissa的才華不止于此。她繼續致力于講授和談論如何保障車輛系統的安全,她在網上講解如何通過建立和測試蜂窩網絡基站來測試遠程信息傳輸系統,并講授許多其他相關主題的在線課程。 能夠認識Alissa Knight,并與她一起進行多個項目,致力于保護汽車電子系統的未來,我深感榮幸。Alissa,我祝愿你出書順利,并在今后的生活中能有更多的作品。謝謝你的信任和擁抱! Robert Leale CanBusHack Inc.總裁
車聯網滲透測試 內容簡介
《車聯網滲透測試》提供了重要工具來幫助安全從業人員、研究人員和供應商在不犧牲網聯汽車連通性的情況下保持其安全性。本書主要內容 如下: 電子和遠程信息處理單元(ECU和TCU) 滲透測試中HU和TCU的殺戮鏈 中間人攻擊 影響機密性、完整性和可用性的攻擊 風險評估、威脅建模和風險處理框架 逆向二進制和靜態代碼分析 密鑰交換和其他密碼分析攻擊 車載診斷評估 影響通用ECU/TCUHU操作系統平臺的漏洞
車聯網滲透測試 目錄
目 錄
第Ⅰ部分 策略、技術和步驟
第1章 前期準備 3
1.1 滲透測試執行標準 4
1.2 范圍定義 6
1.2.1 架構 7
1.2.2 完整信息披露 7
1.2.3 版本周期 8
1.2.4 IP地址 8
1.2.5 源代碼 8
1.2.6 無線網絡 9
1.2.7 開始日期和結束日期 9
1.2.8 硬件唯一序列號 9
1.3 測試規則 10
1.3.1 時間表 11
1.3.2 駐場測試 11
1.4 工作分解結構 12
1.5 文檔收集和審查 13
1.6 項目管理 14
1.6.1 構思和發起 16
1.6.2 定義和規劃 22
1.6.3 啟動或執行 24
1.6.4 績效/監督 25
1.6.5 項目完結 26
1.7 實驗室布置 26
1.7.1 所需的硬件和軟件 26
1.7.2 筆記本電腦的設置 29
1.7.3 Rogue BTS方案1:OsmocomBB 30
1.7.4 Rogue BTS方案2:BladeRF + YateBTS 34
1.7.5 設置WiFi Pineapple Tetra 38
1.8 本章小結 39
第2章 情報收集 41
2.1 資產登記表 42
2.2 偵察 44
2.2.1 被動偵察 44
2.2.2 主動偵察 61
2.3 本章小結 64
第3章 威脅建模 67
3.1 STRIDE模型 69
3.1.1 使用STRIDE進行威脅建模 71
3.1.2 攻擊樹模型 75
3.2 VAST 81
3.3 PASTA 83
3.4 本章小結 91
第4章 漏洞分析 93
4.1 被動和主動分析 94
4.1.1 WiFi 97
4.1.2 藍牙 108
4.2 本章小結 113
第5章 漏洞利用 115
5.1 創建偽基站 117
5.1.1 配置PC內部網絡 117
5.1.2 讓偽基站聯網 120
5.2 追蹤TCU 122
5.2.1 當知道TCU的MSISDN時 122
5.2.2 當知道TCU的IMSI時 123
5.2.3 當不知道TCU的IMSI和MSISDN時 123
5.3 密鑰分析 127
5.3.1 加密密鑰 128
5.3.2 證書 128
5.3.3 IV 129
5.3.4 初始密鑰 131
5.3.5 密鑰有效期 131
5.3.6 密鑰存儲不安全 131
5.3.7 弱證書密碼 133
5.3.8 冒充攻擊 133
5.3.9 啟動腳本 136
5.3.10 后門shell 141
5.4 本章小結 142
第6章 后滲透 143
6.1 持久訪問 144
6.1.1 創建反彈shell 144
6.1.2 Linux系統 147
6.1.3 在系統中部署后門 147
6.2 網絡嗅探 147
6.3 基礎設施分析 149
6.3.1 檢查網絡接口 149
6.3.2 檢查ARP緩存 150
6.3.3 檢查DNS 152
6.3.4 檢查路由表 153
6.3.5 識別服務 154
6.3.6 模糊測試 155
6.4 文件系統分析 160
6.4.1 歷史命令行 160
6.4.2 核心轉儲文件 161
6.4.3 日志調試文件 161
6.4.4 證書和憑據 161
6.5 OTA升級 162
6.6 本章小結 163
第Ⅱ部分 風險管理
第7章 戰略性風險管理 167
7.1 框架 168
7.2 建立風險管理計劃 170
7.2.1 SAE J3061 171
7.2.2 ISO/SAE AWI 21434 175
7.2.3 HEAVENS 176
7.3 威脅建模 179
7.3.1 STRIDE 181
7.3.2 PASTA 184
7.3.3 TRIKE 188
7.4 本章小結 190
第8章 風險評估框架 191
8.1 HEAVENS 192
8.1.1 確定威脅級別 192
8.1.2 確定影響級別 195
8.1.3 確定安全級別 199
8.2 EVITA 200
8.3 本章小結 204
第9章 車輛中的PKI 205
9.1 VANET 207
9.1.1 車載單元(OBU) 208
9.1.2 路側單元(RSU) 208
9.1.3 VANET中的PKI 208
9.1.4 VANET中的應用程序 209
9.1.5 VANET攻擊向量 209
9.2 802.11p的興起 210
9.3 密碼技術 210
9.3.1 公鑰基礎設施 211
9.3.2 V2X PKI 212
9.3.3 IEEE美國標準 213
9.4 證書安全 214
9.4.1 硬件安全模塊 214
9.4.2 可信平臺模塊 214
9.4.3 證書固定 215
9.5 PKI的糟糕實施 216
9.6 本章小結 216
第10章 報告 217
10.1 滲透測試報告 218
10.1.1 摘要 218
10.1.2 執行摘要 219
10.1.3 范圍 221
10.1.4 方法 221
10.1.5 限制 223
10.1.6 敘述 224
10.1.7 使用的工具 225
10.1.8 風險等級 226
10.1.9 測試結果 228
10.1.10 緩解措施 230
10.1.11 報告大綱 230
10.2 風險評估報告 232
10.2.1 簡介 232
10.2.2 參考資料 233
10.2.3 功能描述 234
10.2.4 HU 234
10.2.5 系統接口 235
10.2.6 威脅建模 236
10.2.7 威脅分析 237
10.2.8 影響評估 238
10.2.9 風險評估 238
10.2.10 安全控制評估 240
10.3 風險評估表示例 243
10.4 本章小結 244
展開全部
車聯網滲透測試 節選
信任——一種使我們人類能了解周圍世界的必要情感。這是一種*原始的需求。當我們吃飯時,我們必須相信食物不會毒死我們。味覺和嗅覺的發展,只是為了讓我們信任我們的飯菜。我們走路時需要知道下一步不會掉下懸崖,也不會撞上大橡樹。所以,我們培養了視力,以免讓周圍的環境要了我們的命。我們必須信任與我們交往的人。所以,我們培養了自己的猜疑心和幽默感。 信任是我們的生存之道,是我們生活中的必需品。它蘊含在我們每一個有意識和無意識的決定中——每個人都是如此。因此,當我們吃飯、走路、睡覺,甚至開車時,我們必須相信,使我們移動的傳感器和系統不會讓我們過早地赴死。這也是未來出行的關鍵。車輛需要被信任。自動駕駛汽車必須贏得我們的信任。雖然自動駕駛技術尚不完美,但人們有可能過度信任該系統。 2016年,**起自動駕駛汽車死亡事件發生了。車輛駕駛員Joshua Brown相信,他的自動駕駛系統不會允許他的車輛全速撞上半掛車。他的系統運行正常。問題在于,當時的半掛車是白色的,在明亮的天空下,車輛的物體檢測算法無法將掛車與周圍環境區分開來。不過,該系統的運轉確實跟宣傳的一樣。只是自動駕駛系統并非為應對所有情況而開發,所以用戶必須時刻關注路況。本案中用戶對系統的信任度太高了。在自動駕駛成功案例的海報頻頻出現的某個地方,Joshua由于過度信任他的自動駕駛系統而付出了慘重代價。 在不久的將來,下一代自動駕駛汽車將到來,并且這些系統將被宣傳為不需要用戶干預即可運轉的系統。車輛的駕駛員實際上將在系統啟動后變成忽略車輛的速度、軌跡或周圍環境的乘客。這些系統將需要操作者用生命來信任構成自主駕駛系統的眾多電子控制模塊、車載網絡、數百萬行的代碼和電子傳感器。*重要的是,車載WiFi、遠程信息處理控制器和車對車通信等新技術提高了復雜性且擴大了攻擊領域。 要確保這些系統不被惡意篡改,需要警惕、機智聰明、有條理、有才華的人才,以保證聯網的自動駕駛汽車獲得信任。而這正是Alissa Knight的閃光點所在。她是汽車網絡安全的堅定支持者。她不僅希望建立一個網絡安全工程師社區,還希望確保汽車制造商及其零部件供應商努力保障其軟件、硬件和傳感器的安全。 我**次見到Alissa是在德國,她在那里生活和工作就是為了這個目標。在我們**次見面時,她用一個擁抱迎接我,同時說道:“我是個擁抱者。”直覺上,她明白什么是信任。她知道,擁抱將有助于培養一種紐帶,幫助我們為當前和未來的項目共同努力。 Alissa的才華不止于此。她繼續致力于講授和談論如何保障車輛系統的安全,她在網上講解如何通過建立和測試蜂窩網絡基站來測試遠程信息傳輸系統,并講授許多其他相關主題的在線課程。 能夠認識Alissa Knight,并與她一起進行多個項目,致力于保護汽車電子系統的未來,我深感榮幸。Alissa,我祝愿你出書順利,并在今后的生活中能有更多的作品。謝謝你的信任和擁抱!
車聯網滲透測試 作者簡介
Alissa Knight在網絡安全領域工作了20多年。在過去的10年中,她將漏洞研究的重點放在了為美國、中東、歐洲和亞洲的客戶破解網聯汽車、嵌入式系統和IoT設備方面。她持續地與世界上一些大的汽車制造商和OEM廠商合作,以制造更安全的網聯汽車。 Alissa是Brier & Thorn集團的CEO,也是Knight Ink的管理合伙人。她將黑客技術與文字內容創作和視覺內容創作結合起來,貢獻給網絡安全領域的參與者和市場領導者。作為一名連續創業者,Alissa曾是Applied Watch和Netstream的CEO。她曾在并購交易中將公司出售給國際市場上的上市公司。 她的職業熱情在于會見世界各地的佼佼者們并向他們學習,分享她對重塑全球市場的顛覆性力量的看法。Alissa的長期目標是幫助盡可能多的組織制訂和執行其戰略計劃,并專注于其風險較高的領域,彌合孤島效應,有效地管理跨組織邊界的風險,并使他們能明智地承擔風險,以實現長期價值創造。
書友推薦
- >
朝聞道
- >
史學評論
- >
人文閱讀與收藏·良友文學叢書:一天的工作
- >
伊索寓言-世界文學名著典藏-全譯本
- >
苦雨齋序跋文-周作人自編集
- >
名家帶你讀魯迅:朝花夕拾
- >
小考拉的故事-套裝共3冊
- >
名家帶你讀魯迅:故事新編
本類暢銷
