随着数字经济的蓬勃发展,物联网面临的安全风险日益增加,保障物联网安全已成为维护社会稳定、促进经济发展以及改善民生的重要环节。构筑可靠的物联网安全体系、化解潜在风险,需要各界人才共同努力。政府、科研机构、高等院校和企业需紧密合作,共同推动物联网生态系统的可持续发展,这对于培养更多专业人才至关重要。
近年来,IoT赛道奖金越来越高,在补天参与破解大赛活动,单个最高漏洞奖项达到了几十万。
而当涉及学习IoT安全时,我们确实会遇到一些挑战及困难。
实际案例研究缺乏:没有接触上手过实际IoT安全案例,缺乏实际安全环境和帮助,对于文章类复现案例无法实际操作,有许多困难。
IoT多样性与复杂性:IoT涉及多个领域的知识,包括二进制逆向、固件仿真、加密解密和通信协议等。同样,IoT设备的漏洞也存在多样性与复杂性,无法形成完整的漏洞防御与应用体系。在学习IoT安全时,不仅需要深入了解漏洞的多种应用方向,还需综合考虑各类威胁面,包括但不限于物理攻击、远程攻击、本地攻击等等,又受制于不同操作系统、通信协议和安全实现的差异。
IoT设备资产规划与识别:复杂多样的设备生态系统、不同制造商实施的标准和协议的碎片化,在企业IoT设备资产规划与识别中至关重要,对这一领域的不深入学习可能导致IoT生态的不全面理解,从而面临资产管理的盲区和安全风险。
IoT资源和设备访问限制:设备成本较高,摸不到设备,不知道真实环境应该怎么使用,设备部署在哪。
国际大厂主流设备漏洞案例
本次训练营讲解不少于6个真实、典型、最新的国际大厂主流设备漏洞。
对IoT设备固件漏洞分析和挖掘过程中涉及到的各项知识点讲解并进行课堂实验。
课程内容包括但不限于MIPS/ARM汇编基础、常见漏洞类型+漏洞利用思路、固件解密、固件仿真、固件静态分析、设备shell获取、动态调试、漏洞分析和利用、IDA脚本编写等多个方面。
MIPS/ARM汇编基础、常见漏洞类型以及漏洞利用缓解机制介绍
对固件解密与仿真、对3个近期某国际大厂主流设备漏洞进行(补丁比对)+分析+课堂实验,介绍MIPS架构上的漏洞利用思路。
对2个近期某国际大厂主流设备,介绍UPnP协议中存在的缓冲区溢出漏洞,及针对ARM架构,进行(补丁比对)+漏洞分析+课堂实验+漏洞利用
对某国际大厂设备进行环境搭建介绍+设备调试方法+漏洞案例分析
对采用实时操作系统的IoT设备环境搭建调试、固件解密、IDA脚本编写、漏洞案例分析
近期某热点漏洞的补丁比对、调试技巧、重现和利用开发