在针对特定场景的威胁建模研讨会中，大数据与云计算，我们发现了一个消息授权问题。在下面，我想以一个例子重复一下导致这一发现的思想。我使用的例子是完全虚构的，我还没有验证是否有任何现有的产品在市场上容易受到这种影响。即使一个人很容易受到影响-这不是黑客指南！请记住，我们是站在好的一边。

我想剖析的例子是家庭自动化。让我们假设我们正在构建一个家庭自动化解决方案，其中包括使用温度传感器控制加热系统和使用遥控钥匙开门。

我们要保护什么？除此之外，我们还想禁止攻击者开门。当然，我们也不想让攻击者有机会篡改暖气或其他连接的东西，但让我们把注意力集中在门上。

我们基本上可以使用任何威胁建模方法来分析这个场景。例如，我们可以使用攻击树，攻击者的目标是在没有合适的开门器的情况下开门。步幅（另见：https://msdn.microsoft.com/en-us/library/ee823878%28v=cs.20%29.aspx?f=255&MSPPError=-2147217396）当然也可以，但我想暂时使用我们的SAP方法。

通常，我们从欺骗/身份验证相关的威胁开始。

我们可以欺骗一个东西的身份吗？

好的，我们有温度传感器和开门器（仍然只看子集）。他们是如何通过中央系统验证身份的？我们当前的设计预见到身份验证使用一个预共享密钥和一个对象ID。从攻击者的角度（即我们当前的角色）来看，我们希望访问这两个密钥。我们需要一个有效的ID和一个有效的密钥。因为我们无法进入这些东西所在的房子，返利啦，所以很难进入——但是等等，加热系统依靠一个传感器来发送外界温度。我们能拿到那个吗？也许我们不需要破门而入就能找到传感器。但是我们需要物理访问—这是一个相当大的障碍。

假设我们可以访问传感器，我们需要能够从中获取ID和密钥。也许身份证印在箱子上？也许我们需要打开箱子，真正云服务器，试着从处理器上下载代码？假设箱子上没有打印ID，但我们可以使用适当的连接（可能是使用板载USB的Arduino）连接到处理器。我们使用工具从单元下载代码并获得汇编代码。这也是一个相当大的障碍，因为我们需要能够分析和理解汇编代码。但是假设我们非常聪明，代码最终会向我们展示密钥和ID。现在，如果我们能够上传自己的恶意代码，我们至少可以伪造传感器数据。至少我们应该能够伪造外界温度，并使加热系统加热或关闭。

所以我们打破了真实性。下一步是检查我们进入（授权）后可以做什么。因为我们现在所达到的不是我们想要的。

让我们问更多的问题。如果我们使用传感器访问发送"开门"消息会发生什么？让我们试试。我们可以在公开的规范中搜索消息的正确格式。现在，让我们创建并上传一个程序，它不感知温度，但会发送一个"打开门"消息。

作为一个攻击者，我们希望能够欺骗系统打开门。如果成功了，我们的进攻就成功了。但从设计的角度看，哪里出了问题？

设计者（我们）没有检查消息授权。我们实现了两步方法：1）检查发送者的真实性，2）检查消息的格式是否正确。如果两个条件都满足，我们将处理消息。但我们没有确认"开门"信息是否来自开门器。

这个威胁有多大？嗯，我们需要访问一个设备（暂时没有检测到互联网攻击），我们需要能够下载代码并分析它（在很大程度上取决于所使用的硬件）。我们需要能够使用正确的消息格式编写恶意程序。总的来说，这次袭击并不容易（我们至少会给它贴上"高级"的标签），但影响将是严重的：有人可以进入我们的房子而不留下任何痕迹。导致严重撞击的高级攻击是我们方法中的一个关键风险。因此，我们最好尝试解决这个问题。

我知道我跳过了很多细节，但原则上这是我们已经发现的设计缺陷，不一定是物联网场景中的缺陷，尽管这是一个很好的例子。

您对此有何看法？例如，我想听听你对各种风险的看法。很高兴阅读您的评论。

嗨，奥利弗

关于您的场景-高级或不高级-它真的会回来做犯罪者攻击的价值-什么是影响和成本和影响？您的场景已经识别了该漏洞，尽管它是一种高级攻击，但如果有好处，它将被利用。另外，这个人想要破门而入是有原因的，所以第一次去检查设备并不是一种威慑（也许保安站在前面作为一种额外的保护措施）。

在紧闭的门后面是什么才是他们真正想要的。即使是简单的干扰暖通空调的场景-仅改变温度可能会产生不利影响（即家庭数据中心）。