正版新书]硬黑客(智能硬件生死之战)陈根9787111511021

前言
第1章 智能产品与安全现状囍
1.1 智能产品概述囍
1.1.1 手表手环囍
1.1.2 智能电视囍
1.1.3 智能汽车囍
1.1.4 家庭安防囍
1.1.5 虚拟现实囍
1.2 安全是永恒的主题囍
1.2.1 2014年十大木马—不可不知囍
1.2.2 2014年五大软件漏洞—不可不防囍
1.2.3 2015年主要信息安全行业发展趋势囍
1.2.4 大数据、云计算和移动决胜网络安全囍
1.3 2015年网络安全威胁预测囍
1.3.1 针对医疗行业的数据窃取攻击活动将会增加囍
1.3.2 物联网攻击将主要针对企业而非消费产品囍
1.3.3 信用卡盗窃犯将变身为信息掮客囍
1.3.4 移动威胁的目标是凭证信息而非设备上的数据囍
1.3.5 针对沿用数十年的源代码中的漏洞进行攻击囍
1.3.6 电子邮件威胁的复杂程度和规避能力将会大幅增加囍
1.3.7 全球网络攻击战场上将出现更多新的参与者囍
1.4 构筑安全屏障从何入手囍
第2章 云计算安全囍
2.1 云计算概述囍
2.1.1 云计算定义囍
2.1.2 云计算特征囍
2.2 2014年云计算安全事件囍
2.2.1 Dropbox囍
2.2.2 三星囍
2.2.3 Internap囍
2.2.4 微软Lync、Exchange囍
2.2.5 VerizonWireless囍
2.2.6 No-IP.com恶意中断囍
2.2.7 微软Azure囍
2.2.8 AmazonWebServices的CloudFrontDNS囍
2.2.9 Xen漏洞重启囍
2.3 云计算安全威胁囍
2.3.1 数据丢失和泄露囍
2.3.2 网络攻击囍
2.3.3 不安全的接口囍
2.3.4 恶意的内部行为囍
2.3.5 云计算服务滥用或误用囍
2.3.6 管理或审查不足囍
2.3.7 共享技术存在漏洞囍
2.3.8 未知的安全风险囍
2.3.9 法律风险囍
2.4 云计算的关键技术囍
2.4.1 虚拟化技术囍
2.4.2 分布式海量数据存储囍
2.4.3 海量数据管理技术囍
2.4.4 编程方式囍
2.4.5 云计算平台管理技术囍
2.5 云安全发展趋势囍
2.5.1 私有云的演变囍
2.5.2 云数据“监管”将影响管辖权法律囍
2.5.3 企业必须部署可行的云安全协议囍
2.5.4 确保移动设备以及云计算中企业数据安全成为企业关注的重心囍
2.5.5 灵活性将成为云计算部署的主要驱动力囍
2.5.6 云计算部署和不断变化的CASB解决方案将重绘IT安全线囍
2.5.7 泄露事故保险将成为常态囍
第3章 大数据安全囍
3.1 大数据概述囍
3.1.1 大数据的定义囍
3.1.2 大数据的特征囍
3.1.3 大数据产业现状囍
3.1.4 大数据面对的挑战囍
3.2 2014年典型大数据事件囍
3.2.1 国科大开设大数据技术与应用专业囍
3.2.2 世界杯的大数据狂欢囍
3.2.3 支付宝首提数据分享四原则为大数据“立规矩”囍
3.2.4 苹果承认可提取iPhone用户数据囍
3.2.5 影业纷纷引进大数据囍
3.2.6 日本构建海上“大数据路标”囍
3.2.7 联合国与百度共建大数据联合实验室囍
3.2.8 美国海军将云计算和大数据技术用于远征作战囍
3.2.9 大数据剑指金融业囍
3.2.1 0淘宝大数据打击假货囍
3.3 大数据的安全问题囍
3.3.1 大数据系统面临的安全威胁囍
3.3.2 大数据带来隐私安全问题囍
3.3.3 2014年国内外数据泄密事件盘点囍
3.4 大数据安全保障技术囍
3.4.1 数据信息的安全防护囍
3.4.2 防范APT攻击囍
3.5 大数据安全发展趋势囍
3.5.1 数据安全成为新一代信息安全体系的主要特征囍
3.5.2 加密技术作为数据安全基础技术得到用户广泛接受囍
3.5.3 数据安全建设成为助推信息安全与应用系统融合的发动机囍
3.5.4 数据安全纳入主流行业信息安全标准体系囍
3.5.5 数据安全品牌集中度显著提高囍
第4章 智能产品的硬件安全囍
4.1 对硬件的物理访问：形同虚设的“门”囍
4.1.1 撞锁技术及其防范对策囍
4.1.2 复制门禁卡及其防范对策囍
4.2 对设备进行黑客攻击：“矛”与“盾”的较量囍
4.2.1 绕过ATA口令安全措施及其防范对策囍
4.2.2 针对USBU3的黑客攻击及其防范对策囍
4.3 默认配置所面临的危险：“敌人”在暗，你在明囍
4.3.1 标准口令面临的危险囍
4.3.2 蓝牙设备面临的危险囍
4.4 对硬件的逆向工程攻击：出手于无形囍
4.4.1 获取设备的元器件电路图囍
4.4.2 嗅探总线上的数据囍
4.4.3 嗅探无线接口的数据囍
4.4.4 对固件进行逆向工程攻击囍
4.4.5 ICE工具囍
4.5 智能硬件安全保障囍
4.5.1 移动终端安全防护囍
4.5.2 数据加密技术囍
4.6 2015年智能硬件产业预测囍
4.6.1 第三边界产业掀起新一轮商业浪潮囍
4.6.2 2015年智能硬件产业发展趋势囍
4.6.3 2015年将走进大众生活的智能硬件技术
4.6.4 扩展阅读
第5章 智能产品操作系统使用安全
5.1 iOS操作系统的安全
5.1.1 iOS概述
5.1.2 iOS8
5.1.3 iOS越狱
5.1.4 iPhone基本安全机制
5.1.5 iOS“后门”事件
5.2 Android操作系统的安全
5.2.1 Android基础架构
5.2.2 Android5.0的三大安全特性
5.2.3 Android攻防
5.3 WindowsPhone操作系统的安全
5.3.1 WindowsPhone概述
5.3.2 破解WindowsPhone—铜墙铁壁不再
5.3.3 WindowsPhone安全特性
5.4 智能硬件操作系统的发展新趋势—自成一家，多向进发
5.4.1 Firefox：消除智能硬件隔阂，推进Firefox平台系统
5.4.2 三星：欲借智能电视发展自家Tizen操作系统
5.4.3 LG：下一代智能手表或放弃谷歌AndroidWear系统
5.4.4 微软、黑莓、Linux、谷歌、苹果：五大生态系统圈地汽车行业
第6章 智能产品无线网络使用安全
6.1 无线网络技术
6.1.1 无线网络概述
6.1.2 无线网络的类型
6.1.3 无线网络的功能
6.2 无线通信技术—NFC
6.2.1 NFC技术概述
6.2.2 NFC技术发展现状
6.3 无线通信技术—蓝牙
6.3.1 蓝牙技术概述
6.3.2 蓝牙技术的应用
6.3.3 蓝牙技术应用的安全威胁及应对措施
6.4 无线通信技术—Wi-Fi
6.4.1 Wi-Fi概述
6.4.2 Wi-Fi的应用
6.4.3 Wi-Fi应用的安全问题
6.5 无线网络的安全威胁
6.5.1 被动侦听 流量分析
6.5.2 主动侦听 消息注入
6.5.3 消息删除和拦截
6.5.4 伪装和恶意的AP
6.5.5 会话劫持
6.5.6 中间人攻击
6.5.7 拒绝服务攻击
6.6 无线网络的安全技术
6.6.1 安全认证技术
6.6.2 数据加密技术
第7章 智能手机的安全
7.1 智能手机安全现状
7.1.1 手机安全环境日渐恶化
7.1.2 移动安全关乎个人、企业和国家
7.1.3 移动安全风险涉及产业链各环节
7.1.4 移动安全病毒危害不断
7.1.5 移动安全威胁渠道多样
7.1.6 移动互联网黑色利益链
7.1.7 厂商扎堆发力安全手机领域
7.1.8 运营商结盟厂商布局安全手机
7.2 2014年智能手机安全事件
7.2.1 iCloud安全漏洞泄露名人裸照
7.2.2 窃听大盗系列木马上演—现实版“窃听风云”
7.2.3 酷派安全漏洞事件
7.3 智能手机终端用户的安保
7.3.1 如何安全使用Wi-Fi
7.3.2 如何安全使用智能手机
7.3.3 如何防范“伪基站”的危害
7.3.4 如何防范骚扰电话、电话诈骗、垃圾短信
7.3.5 出差在外，如何确保移动终端的隐私安全
第8章 移动支付的安全
8.1 移动支付概述
8.1.1 移动支付的概念
8.1.2 移动支付的基本要素
8.1.3 移动支付的特征
8.1.4 移动支付的发展现状
8.2 移动支付的安全现状
8.2.1 移动支付技术的安全性比较
8.2.2 近年移动支付安全事件
8.3 移动支付安全相关技术
8.3.1 移动支付安全总体目标
8.3.2 移动支付安全技术方案
8.3.3 安全的手机支付
8.4 2015年移动支付发展趋势
8.4.1 从Beacon到移动支付
8.4.2 新的支付方式
8.4.3 无卡交易和有卡交易
8.4.4 社交支付将找到盈利方式

陈根，曾参与《大国重器》项目策划，三星集团产品战略规划项目，三峡二期机柜设计规划项目；曾参与美国通用电气、美国华尔街证券交易所、NASDAQ、联合国企业优选协议研究中心、三星、现代、爱立信、沃尔沃、西门子、奔驰、欧司朗、中国农业银行、中国人民保险公司、国家电网、长春一汽等公司的调研与讲课。
北京林业大学MBA导师、南京航空航天大学客座教授。出版专著20余本，涉及技术、设计、经济、科技等领域。现为新浪科技、百度百家、网易科技、搜狐、i黑马、36氪、雷锋网等媒体专栏作家。
主要研究方向：智能产业、移动医疗、4D打印、互联网与实体产业变革等。

此外，云计算使用分布式架构，意味着比传统的基础设施需要更多的数据传输，在传输过程中如未采用加密机制，攻击者可以通过实施嗅探、中间人攻击、重放攻击来窃取或篡改数据。
4．加密数据的密钥管理存在缺失导致数据泄露的风险数据的保密性需要大量的加／解密钥，而密钥的管理是一大难题。对用户来说，如果数据的加密密钥或访问权限丢失，将会带来严重的安全问题。加密管理信息的丢失(如加密密钥、认证代码和访问权限等)将会给用户带来损害，如数据的丢失和不期望的信息泄露等。
5．用户数据存储没有进行容灾备份导致数据丢失的风险在云计算环境中，大量用户信息、财务数据、关键业务记录等敏感数据被集中存储并在网络中传输。
如在未做备份的情况下对数据删除、修改，把数据存储于不可靠的介质上，丢失密钥导致数据无法解密，发生意外灾难但缺乏合适的备份与存档等情况，都可能带来严重的数据丢失事故。例如，2011年10月，阿里云服务器磁盘错误，导致TeamCola公司的数据丢失；2011年3月，由于管理员操作失误，15万谷歌用户的邮件与聊天记录丢失。
在云计算环境下，多数应用和操作都是在网络上进行。用户通过云计算操作系统将自己的数据从网络传输到云计算平台中，由云计算平台来提供服务。云计算操作系统不是部署在普通服务器的物理硬件上，而是部署在数据中心的基础设施上，其提供了集群、
数据保护、动态资源规模调整、存储管理和复制、存储虚拟化工具、网络管理等一系列功能。在这种工作模式下，云计算实质上是利用大规模基础设施构建了一个网络化、虚拟化、服务化、透明化的计算环境来完成各项远程信息交互和相关虚拟化业务。因此，云计算的安全问题实质上涉及整个网络体系的安全问题，但又有其自身特点。
1．账户或服务流量劫持
在云计算环境中，攻击者一般通过网络钓鱼、社会工程学欺诈或利用软件漏洞来劫持无辜的用户。如
果攻击者能够获得用户的某个账号、密码信息，即可窃取用户多个服务中的资料，因为用户不会为每个账户设立不一样的密码。对于云服务提供商来说，如果被劫持的密码可以登录云计算系统，那么用户的云中数据将被窃听、篡改，攻击者将向用户返回虚假信息，或重定向用户的服务到欺诈网站，并且被劫持的账号或服务可能会被利用以发起新的攻击。同时，账户或服务劫持通常伴随着证书盗窃。窃取证书后，攻击者可以进入云计算服务的一些关键性领域，破坏其机密性、完整性和可用性。账户或服务劫持不仅对用户自身造成巨大损失，还将对云服务提供商的声誉造成严重影响。
2．拒绝服务攻击拒绝服务攻击是指攻击者阻止用户正常访问云计算服务的一种攻击手段，通常是发起一些关键性操作来消耗大量的系统资源，如进程、内存、硬盘空间、
网络带宽等，导致云计算服务器反应变得极为缓慢或者完全没有响应。
云计算最主要的安全威胁之一就是应用层DDoS攻击，这些攻击严重威胁到云计算基础设施的可用性。
如果云计算服务无法使用，那么从保护访问到确保合规等安全措施都失去了价值。目前，攻击者可以通过使用非常廉价且极易获取的工具对应用层发动攻击，有时只是在应用程序中运行一小段恶意程序，程序代码甚至不足100字节。攻击者之所以能够攻击成功，很大原因在于企业数据中心和云服务提供商没有对这类攻击做好防御措施，防火墙和入侵检测系统等现有解决方案是企业网络分层防御策略的关键部分，但它们却被设计用于解决那些与拒绝服务攻击完全不同的安全问题。随着拒绝服务攻击的大规模流行，数据中心运营者和云服务提供商将面临巨大的安全挑战。
流量高峰期遭遇拒绝服务攻击将是一场灾难，因为用户无法访问目标服务器。服务中断不仅会挫伤用户对云计算服务的信心，还会导致用户考虑将关键性数据从云计算中转移以降低损失。更糟的是，由于云计算服务的收费模式通常都是按照用户消耗系统资源率来计算，因此攻击者即使没有使云计算服务完全瘫痪，也使用户因为严重的资源消耗而蒙受巨大的经济损失。P30-31

陈根编写的《硬黑客(智能硬件生死之战)》阐释了互联网领域新的产业风口——智能产品的过去与未来，涉及智能产品的定义、发展现状以及与智能产品相关的云计算、大数据等的演变与发展。第1章叙述智能产品与安全现状，涉及产品发展思路、发展方向与应用领域，以及只能产品的安全问题，并列举具体的案例，涉及2014年十大木马、五大软件漏洞、主要信息安全行业发展趋势及2015年网络安全威胁预测。第2章集中讨论了云计算安全相关的问题。第3章涉及大数据安全的问题。第4章讨论智能产品的硬件安全问题。第5章涉及智能产品操作系统使用的安全问题。第6章讨论智能产品无线网络使用的安全问题。第7章讨论智能手机的安全问题。第8章介绍了移动支付功能的安全问题。