کتاب Fuzzing Against the Machine

کتاب Fuzzing Against the Machine (Fuzzing Against the Machine: خودکارسازی تحقیقات آسیب‌پذیری با دستگاه‌های IoT شبیه‌سازی شده در QEMU) راهنمای امنیت در شبکه اینترنت اشیا و شبیه‌سازی آن‌ها می‌باشد.

در ادامه مقدمه‌ای از کتاب Fuzzing Against the Machine را از زبان نویسنده شرح خواهیم داد.

مقدمه‌ای بر کتاب Fuzzing Against the Machine:

شبیه‌سازی و فازی کردن از جمله تکنیک‌هایی هستند که می‌توانند برای بهبود امنیت سایبری استفاده شوند. با این حال، استفاده موثر از اینها می‌تواند مشکل باشد. Fuzzing Against the Machine راهنمای عملی شما برای درک نحوه عملکرد این ابزارها و تکنیک‌های قدرتمند است. این کتاب با استفاده از انواع موارد استفاده در دنیای واقعی و مثال‌های عملی، به شما کمک می‌کند تا مفاهیم بنیادی fuzzing و شبیه‌سازی را همراه با تحقیقات آسیب‌پذیری پیشرفته درک کنید و ابزارها و مهارت‌های مورد نیاز برای یافتن نقص‌های امنیتی در نرم‌افزار خود را در اختیار شما قرار دهد.

کتاب Fuzzing Against the Machine با معرفی دو موتور fuzzer منبع باز شروع می‌شود: QEMU، که به شما امکان می‌دهد نرم‌افزاری را برای هر معماری که فکر می‌کنید اجرا کنید، و American Fuzzy Lop (AFL) و نسخه بهبودیافته آن، AFL++.

شما یاد خواهید گرفت که چگونه این ابزارهای قدرتمند را برای ایجاد محیط شبیه‌سازی و فازی خود ترکیب کنید و سپس از آن برای کشف آسیب‌پذیری‌ها در سیستم‌های مختلف مانند iOS، Android و نرم افزار Mobile Baseband سامسونگ، Shannon استفاده کنید. پس از خواندن مقدمه‌ها و تنظیم محیط خود، می‌توانید در هر فصلی که می‌خواهید فرو بروید، اگرچه با پیشرفت کتاب، موضوعات به تدریج پیشرفته‌تر می‌شوند.

در پایان این کتاب، مهارت‌ها، دانش و تمرین مورد نیاز برای یافتن ایرادات در هر سیستم‌افزاری را با شبیه‌سازی و فازی کردن آن با QEMU و چندین موتور فازی به دست خواهید آورد.

کتاب Fuzzing Against the Machine برای چه کسی است؟

این کتاب برای محققان امنیتی، متخصصان امنیت، مهندسین سیستم عامل جاسازی شده و متخصصان نرم افزار جاسازی شده است. یادگیرندگان علاقه‌مند به شبیه‌سازی و همچنین مهندسان نرم‌افزار علاقه‌مند به تحقیق و بهره‌برداری از آسیب‌پذیری، تست نرم‌افزار و توسعه نرم‌افزار تعبیه‌شده نیز آن را مفید خواهند یافت. این کتاب دارای دانش اولیه برنامه نویسی (C و Python) است. سیستم عامل (لینوکس و macOS)؛ و استفاده از پوسته لینوکس، کامپایل و اشکال زدایی.

مخاطب اصلی کتاب Fuzzing Against the Machine، محققان یا دانشجویانی هستند که در مراحل اولیه امنیت سایبری قرار دارند و می‌خواهند با نرم‌افزارهای تعبیه‌شده آشنا شوند.

اگر اینطور نیست و فقط در مورد موضوع کنجکاو هستید، می‌توانید به خواندن ادامه دهید. لطفاً به بخش برای استفاده بیشتر از این کتاب نیز مراجعه کنید.

آنچه کتاب Fuzzing Against the Machine پوشش می‌دهد:

فصل اول، این کتاب برای چه کسانی است، پیش نیازهایی را برای درک محتوای این کتاب برمی‌شمرد و ابزارهای مورد استفاده در بقیه فصل‌ها را معرفی می‌کند.

فصل 2، تاریخچه شبیه‌سازی، تعدادی از مفاهیم کلیدی مانند شبیه‌سازی، مجازی‌سازی و کانتینری‌سازی را توضیح می‌دهد و نقش شبیه‌سازی در امنیت سایبری را معرفی می‌کند.

فصل 3، QEMU از زمین، QEMU را به عنوان شبیه‌ساز سیستم منتخب برای این کتاب، از جمله داستان‌های موفقیت قبلی، ارائه می‌کند، اما همچنین به معرفی مختصری از برخی از قسمت‌های داخلی آن می‌پردازد.

فصل 4، حالت‌های اجرای QEMU و Fuzzing، به جزئیات هر دو حالت کاربر QEMU و حالت شبیه‌سازی کامل سیستم می‌پردازد، در حالی که فازبندی استاتیک و پویا را نیز معرفی می‌کند.

فصل 5، A Famous Refrain – AFL+QEMU = CVEs، استفاده از QEMU را در ارتباط با AFL برای جستجوی آسیب‌پذیری که در سال 2011 در VLC، یک پخش کننده رسانه معروف گزارش شده بود، نشان می‌دهد.

فصل 6، اصلاح QEMU برای ابزار دقیق، نشان می‌دهد که چگونه Avatar2 می‌تواند به عنوان یک رابط برای گسترش QEMU، به عنوان مثال، برای شبیه‌سازی تجهیزات جانبی جدید مانند رابط سریال UART استفاده شود.

فصل 7، مطالعه موردی واقعی – Samsung Exynos Baseband، به CVE-2020-25279 می‌پردازد، آسیب پذیری که در تلفن‌های مدرن سامسونگ مانند Galaxy S10 یافت می‌شود.

فصل 8، مطالعه موردی – OpenWrt Full-System Fuzzing، شامل مطالعه پروژه TriforceAFL، تلفیقی از سیستم OpenWRT، و فازی کردن تماس‌های سیستم از طریق درایور TriforceAFL است.

فصل 9، مطالعه موردی – OpenWrt System Fuzzing برای ARM، استفاده از یک پروژه قبلا دیده شده (TriforceAFL) را برای فازی کردن OpenWRT که برای معماری ARM ساخته شده است، توصیف می‌کند، همچنین بر تغییرات مورد نیاز برای کارکرد آن در این معماری خاص تمرکز می‌کند.

فصل 10، در نهایت اینجا – iOS Full-System Fuzzing، بر استفاده از QEMU و نسخه اصلاح شده TriforceAFL برای شبیه‌سازی و فازی کردن در iOS تمرکز دارد. این فصل از کتاب Fuzzing Against the Machineکتاب Fuzzing Against the Machine همچنین یک نمای کلی از تغییرات مورد نیاز برای شبیه ساز و فازر ارائه می‌دهد.

فصل 11، Deus Ex Machina – Fuzzing Android Libraries، در مورد استفاده از تنبلی پروژه منبع باز برای fuzzing کتابخانه‌هایی که سیستم اندروید را هدف قرار می‌دهند، توضیح می‌دهد و تغییرات پیشنهادی این پروژه در شبیه ساز QEMU را درک می‌کند.

فصل 12، نتیجه‌گیری و اظهارات پایانی، یافته‌های تحقیق، پیامدهای آن‌ها و جهت‌گیری‌های آتی را خلاصه می‌کند و در عین حال بر اهمیت مسئله تحقیق تأکید می‌کند و افکار پایانی را در مورد اهمیت مشارکت‌های مطالعه ارائه می‌کند.

سرفصل‌های کتاب Fuzzing Against the Machine:

• Cover
• Title Page
• Copyright and Credits
• Dedications
• Forewords
• Contributors
• Table of Contents
• Preface
• Part 1: Foundations
  • Chapter 1: Who This Book is For
  • Chapter 2: History of Emulation
  • Chapter 3: QEMU From the Ground
• Part 2: Emulation and Fuzzing
  • Chapter 4: QEMU Execution Modes and Fuzzing
  • Chapter 5: A Famous Refrain: AFL + QEMU = CVEs
  • Chapter 6: Modifying QEMU for Basic Instrumentation
• Part 3: Advanced Concepts
  • Chapter 7: Real-Life Case Study: Samsung Exynos Baseband
  • Chapter 8: Case Study: OpenWrt Full-System Fuzzing
  • Chapter 9: Case Study: OpenWrt System Fuzzing for ARM
  • Chapter 10: Finally Here: iOS Full System Fuzzing
  • Chapter 11: Deus Ex Machina: Fuzzing Android Libraries
  • Chapter 12: Conclusion and Final Remarks
• Index
• Other Books You May Enjoy

جهت دانلود کتاب Fuzzing Against the Machine می‌توانید پس از پرداخت، دریافت کنید.