硬黑客：智能硬件生死之战

　　本书阐释了互联网领域新的产业风口——智能产品的过去与未来，涉及智能产品的定义、发展现状以及与智能产品相关的云计算、大数据等的演变与发展。第1章叙述智能产品与安全现状，涉及产品发展思路、发展方向与应用领域，以及只能产品的安全问题，并列举具体的案例，涉及2014年十大木马、五大软件漏洞、主要信息安全行业发展趋势及2015年网络安全威胁预测。第2章集中讨论了云计算安全相关的问题。第3章涉及大数据安全的问题。第4章讨论智能产品的硬件安全问题。第5章涉及智能产品操作系统使用的安全问题。第6章讨论智能产品无线网络使用的安全问题。第7章讨论智能手机的安全问题。第8章介绍了移动支付功能的安全问题。

前言
第1章智能产品与安全现状
1.1智能产品概述
1.1.1手表手环
1.1.2智能电视
1.1.3智能汽车
1.1.4家庭安防
1.1.5虚拟现实
1.2安全是永恒的主题
1.2.12014年十大木马—不可不知
1.2.22014年五大软件漏洞—不可不防
1.2.32015年主要信息安全行业发展趋势
1.2.4大数据、云计算和移动决胜网络安全
1.32015年网络安全威胁预测
1.3.1针对医疗行业的数据窃取攻击活动将会增加
1.3.2物联网攻击将主要针对企业而非消费产品
1.3.3信用卡盗窃犯将变身为信息掮客
1.3.4移动威胁的目标是凭证信息而非设备上的数据
1.3.5针对沿用数十年的源代码中的漏洞进行攻击
1.3.6电子邮件威胁的复杂程度和规避能力将会大幅增加
1.3.7全球网络攻击战场上将出现更多新的参与者
1.4构筑安全屏障从何入手

第2章云计算安全
2.1云计算概述
2.1.1云计算定义
2.1.2云计算特征
2.22014年云计算安全事件
2.2.1Dropbox
2.2.2三星
2.2.3Internap
2.2.4微软Lync、Exchange
2.2.5VerizonWireless
2.2.6NoIP.com恶意中断
2.2.7微软Azure
2.2.8AmazonWebServices的CloudFrontDNS
2.2.9Xen漏洞重启
2.3云计算安全威胁
2.3.1数据丢失和泄露
2.3.2网络攻击
2.3.3不安全的接口
2.3.4恶意的内部行为
2.3.5云计算服务滥用或误用
2.3.6管理或审查不足
2.3.7共享技术存在漏洞
2.3.8未知的安全风险
2.3.9法律风险
2.4云计算的关键技术
2.4.1虚拟化技术
2.4.2分布式海量数据存储
2.4.3海量数据管理技术
2.4.4编程方式
2.4.5云计算平台管理技术
2.5云安全发展趋势
2.5.1私有云的演变
2.5.2云数据“监管”将影响管辖权法律
2.5.3企业必须部署可行的云安全协议
2.5.4确保移动设备以及云计算中企业数据安全成为企业关注的重心
2.5.5灵活性将成为云计算部署的主要驱动力
2.5.6云计算部署和不断变化的CASB解决方案将重绘IT安全线
2.5.7泄露事故保险将成为常态

第3章大数据安全
3.1大数据概述
3.1.1大数据的定义
3.1.2大数据的特征
3.1.3大数据产业现状
3.1.4大数据面对的挑战
3.22014年典型大数据事件
3.2.1国科大开设大数据技术与应用专业
3.2.2世界杯的大数据狂欢
3.2.3支付宝首提数据分享四原则为大数据“立规矩”
3.2.4苹果承认可提取iPhone用户数据
3.2.5影业纷纷引进大数据
3.2.6日本构建海上“大数据路标”
3.2.7联合国与百度共建大数据联合实验室
3.2.8美国海军将云计算和大数据技术用于远征作战
3.2.9大数据剑指金融业
3.2.10淘宝大数据打击假货
3.3大数据的安全问题
3.3.1大数据系统面临的安全威胁
3.3.2大数据带来隐私安全问题
3.3.32014年国内外数据泄密事件盘点
3.4大数据安全保障技术
3.4.1数据信息的安全防护
3.4.2防范APT攻击
3.5大数据安全发展趋势
3.5.1数据安全成为新一代信息安全体系的主要特征
3.5.2加密技术作为数据安全基础技术得到用户广泛接受
3.5.3数据安全建设成为助推信息安全与应用系统融合的发动机
3.5.4数据安全纳入主流行业信息安全标准体系
3.5.5数据安全品牌集中度显著提高

第4章智能产品的硬件安全
4.1对硬件的物理访问：形同虚设的“门”
4.1.1撞锁技术及其防范对策
4.1.2复制门禁卡及其防范对策
4.2对设备进行黑客攻击：“矛”与“盾”的较量
4.2.1绕过ATA口令安全措施及其防范对策
4.2.2针对USBU3的黑客攻击及其防范对策
4.3默认配置所面临的危险：“敌人”在暗，你在明
4.3.1标准口令面临的危险
4.3.2蓝牙设备面临的危险
4.4对硬件的逆向工程攻击：出手于无形
4.4.1获取设备的元器件电路图
4.4.2嗅探总线上的数据
4.4.3嗅探无线接口的数据
4.4.4对固件进行逆向工程攻击
4.4.5ICE工具
4.5智能硬件安全保障
4.5.1移动终端安全防护
4.5.2数据加密技术
4.62015年智能硬件产业预测
4.6.1第三边界产业掀起新一轮商业浪潮
4.6.22015年智能硬件产业发展趋势
4.6.32015年将走进大众生活的智能硬件技术
4.6.4扩展阅读

第5章智能产品操作系统使用安全
5.1iOS操作系统的安全
5.1.1iOS概述
5.1.2iOS8
5.1.3iOS越狱
5.1.4iPhone基本安全机制
5.1.5iOS“后门”事件
5.2Android操作系统的安全
5.2.1Android基础架构
5.2.2Android5.0的三大安全特性
5.2.3Android攻防
5.3WindowsPhone操作系统的安全
5.3.1WindowsPhone概述
5.3.2破解WindowsPhone—铜墙铁壁不再
5.3.3WindowsPhone安全特性
5.4智能硬件操作系统的发展新趋势—自成一家，多向进发
5.4.1Firefox：消除智能硬件隔阂，推进Firefox平台系统
5.4.2三星：欲借智能电视发展自家Tizen操作系统
5.4.3LG：下一代智能手表或放弃谷歌AndroidWear系统
5.4.4微软、黑莓、Linux、谷歌、苹果：五大生态系统圈地汽车行业

第6章智能产品无线网络使用安全
6.1无线网络技术
6.1.1无线网络概述
6.1.2无线网络的类型
6.1.3无线网络的功能
6.2无线通信技术—NFC
6.2.1NFC技术概述
6.2.2NFC技术发展现状
6.3无线通信技术—蓝牙
6.3.1蓝牙技术概述
6.3.2蓝牙技术的应用
6.3.3蓝牙技术应用的安全威胁及应对措施
6.4无线通信技术—WiFi
6.4.1WiFi概述
6.4.2WiFi的应用
6.4.3WiFi应用的安全问题
6.5无线网络的安全威胁
6.5.1被动侦听流量分析
6.5.2主动侦听消息注入
6.5.3消息删除和拦截
6.5.4伪装和恶意的AP
6.5.5会话劫持
6.5.6中间人攻击
6.5.7拒绝服务攻击
6.6无线网络的安全技术
6.6.1安全认证技术
6.6.2数据加密技术

第7章智能手机的安全
7.1智能手机安全现状
7.1.1手机安全环境日渐恶化
7.1.2移动安全关乎个人、企业和国家
7.1.3移动安全风险涉及产业链各环节
7.1.4移动安全病毒危害不断
7.1.5移动安全威胁渠道多样
7.1.6移动互联网黑色利益链
7.1.7厂商扎堆发力安全手机领域
7.1.8运营商结盟厂商布局安全手机
7.22014年智能手机安全事件
7.2.1iCloud安全漏洞泄露名人裸照
7.2.2窃听大盗系列木马上演—现实版“窃听风云”
7.2.3酷派安全漏洞事件
7.3智能手机终端用户的安保
7.3.1如何安全使用WiFi
7.3.2如何安全使用智能手机
7.3.3如何防范“伪基站”的危害
7.3.4如何防范骚扰电话、电话诈骗、垃圾短信
7.3.5出差在外，如何确保移动终端的隐私安全

第8章移动支付的安全
8.1移动支付概述
8.1.1移动支付的概念
8.1.2移动支付的基本要素
8.1.3移动支付的特征
8.1.4移动支付的发展现状
8.2移动支付的安全现状
8.2.1移动支付技术的安全性比较
8.2.2近年移动支付安全事件
8.3移动支付安全相关技术
8.3.1移动支付安全总体目标
8.3.2移动支付安全技术方案
8.3.3安全的手机支付
8.42015年移动支付发展趋势
8.4.1从Beacon到移动支付
8.4.2新的支付方式
8.4.3无卡交易和有卡交易
8.4.4社交支付将找到盈利方式

 

　　前言IT技术、互联网的发展引领着产业的变革和跨界融合，随之而来的是，智能化的浪潮向家居、可穿戴设备、汽车、制造等领域快速延伸，这引起全世界高科技企业、投资机构的广泛关注，智能化浪潮也随即成为全球经济新的增长点。尽管物联网的概念提出已久，但它真正在产品上的表现则主要在*近两年内才实现。随着智能硬件产业的火爆发展，很多科技、IT、互联网、制造业巨头纷纷涌入这个产业。
　　2014年1月，谷歌32亿美元收购Nest；同年2月，美国可穿戴运动摄像机制造商GoPro向SEC递交IPO文件，并于6月正式登陆纳斯达克；2015年6月，被称为全球智能穿戴领域**股的FitBit成功登陆美国资本市场，这一系列新科技与资本关系的演绎中出现的巨额变现能力让人们感知到这个市场的发展潜力巨大。百度、小米、乐视、**、奇虎等一大批互联网企业积极布局智能硬件，聚焦技术和商业模式融合创新，推出了智能手机、智能电视、盒子、手环、路由器等一系列智能硬件产品，同时孵化培育了一批创新型企业，初步形成了良好的智能硬件产业生态圈。
　　智能产品的普及源于移动互联网技术的突破，借助于产品的智能化、互联网化，给人们的生活、工作、学习、社交、购物等方面带来便利。显然，智能产品的爆发得益于现代网络技术的高速发展，多种多样的数据传输方式和传输速度将一个大大的世界变成小小的地球村，时空实现了穿越和倒转；云计算带来社会计算资源利用率的提高和计算资源获得的便利，推动以互联网为基础的物联网迅速发展，更加有效地提升人类感知世界、认识世界的能力，促进经济发展和社会进步；大数据在众多领域掀起变革的巨浪，物联网、云计算、移动互联网、车联网、手机、平板电脑、PC以及遍布地球各个角落的各种各样的传感器，无一不是数据来源或者承载的方式，大数据的商业价值和市场需求成为推动信息产业持续增长的新引擎。
　　但是在2013年～2014年，虽然非常多的公司在试水智能硬件，但是几乎没有拿得上台面并且实现量产的产品。一是客观环境使然，软件及硬件、产业链等各种问题牵制了这些产品的量产，并且很难有很好的产品设计与体验。二是大部分的智能硬件都只是鸡肋，根本无法与之前的设想相比。无论是眼镜、手表、手环，还是音响、戒指，大部分功能只是围绕着手机的基础功能做延展，这些硬件多数无法形成新的需求，无法做到让人使用得如鱼得水，难以割舍。
　　但经过近两年的摸索、尝试、创新，以及产业链技术的不断成熟，可以说物联网时代的关键终端载体，也就是智能硬件将步入正轨，并呈现新一轮的爆发增长，一切的终端、产品、设施都将智能化，并借助于互联网、移动互联网技术实现万物互联的物联网时代。随之而来，智能硬件的安全将会成为一个新的危机点。过去由于互联网的快速发展，基于互联网的系统、网络、PC等环节的安全困扰着使用者，也由此每年给各种组织、机构、用户带来了巨大的损失；而进入移动互联网时代之后，各种安全问题伴随着互联网技术向移动互联网技术转移而转移，显然，当前基于智能手机的移动互联网安全成为用户、企业、黑客的焦点。
　　随着移动互联网向物联网转移，这些物联网时代的关键载体，也就是这些硬件终端将成为黑客的下一个关注焦点。可以说，物联网时代的安全问题更为复杂，终端智能硬件产品本身、通信传输环节、系统平台、大数据平台、云服务平台等任何一个环节都可能成为黑客攻击的对象。本书正是基于即将爆发的智能硬件安全问题进行探讨，之所以取名为“硬黑客”，也正是基于过去在软环境中所存在的安全隐患将伴随着物理实体的智能硬件出现而转移，由过去的软系统层面向当前的硬产品层面转移。智能硬件能否一路顺利地发展，并且真正造福人类，其中一个关键的要素就是智能产品本身的使用安全性，可以说，硬件安全将会是智能硬件接下来的一场生死之战。
　　智能产品是继智能手机之后的一个科技概念，是通过软硬件结合的方式，对传统的设备进行改造，进而让其拥有智能化的功能。改造的对象可能是电子设备，例如手表、电视和其他电器；也可能是以前没有电子化的设备，例如门锁、茶杯、汽车，甚至房子。智能化之后，硬件具备连接的能力，实现互联网服务的加载，形成“云+端”的典型架构，具备大数据等附加价值。
　　智能硬件已经从智能手机、可穿戴设备延伸到智能电视、智能家居、智能汽车、医疗健康、智能玩具、机器人等领域。比较典型的智能硬件包括Google Glass、三星Gear、FitBit、麦开水杯、咕咚手环、Tesla、乐视电视等。
　　2014年，移动互联、大数据、云计算、物联网等技术为个人生活带来了便利，为企业发展提供了技术上的支持。但是“水能载舟，亦能覆舟”，在过去的一年全球互联网安全也摊上不少大事：“Heartbleed”和“Bash”漏洞震惊全球，数据泄露事故似乎已经成为家常便饭，ATP攻击事件层出不穷，DDoS黑客活动的频率与手法不断升级，甚至出现了史上流量**的攻击。安全是智能产品永恒的主题，无论是对开发者、生产者还是使用者。智能产品的设计、生产、销售、使用、销毁，每一个环节都存在安全隐患。如何构筑智能产品的安全屏障，考虑到与智能产品安全的相关程度，我认为应该关注以下几个方面，并从这几个方面做出实际的安全工作：
　　云计算的安全、大数据的安全。
　　智能产品硬件的安全、智能产品操作系统使用的安全、智能产品无线网络使用的安全。
　　智能手机的安全、移动支付的安全。
　　新技术、新攻击令人眼花缭乱，企业如何能在这场日益复杂并且不断变化的“战争”中领先一步，是时候拨开云雾，一探未来安全趋势，从而有的放矢了。
　　而写这本书的目的便是试图站在智能产品产业链的各个关键环节来揭秘智能产品这一科技宠儿的安全大事。