คำถามติดแท็ก security

ตามที่รายงานโดยช่องข่าวหลายแห่งเช่นVergeหรือConsumerAffairsของเล่นที่เชื่อมต่อMy Friend Caylaและi-Queบันทึกสิ่งที่เด็กพูดและส่งกลับไปที่เซิร์ฟเวอร์เพื่อช่วยตอบคำถามของเด็ก ๆ ของเล่นดูเหมือนไม่ปลอดภัยและการฝึกฝนอยู่ในขอบเขตทางกฎหมายที่อ่อนแอเช่นนี้ซึ่งการร้องเรียนของ FTCนั้นได้ถูกยื่นไปแล้ว คำถามของฉันคือฉันจะป้องกันไม่ให้ของเล่นเหล่านั้นส่งข้อมูลไปยังบริการคลาวด์ได้อย่างไรและฉันจะเสียฟังก์ชันการทำงานประเภทใดเมื่อฉันตัดพวกเขาออกจากอินเทอร์เน็ต

14 security  privacy  smart-toys 

ฉันกำลังใช้บอร์ด NodeMCU พร้อมความสามารถ WiFi เพื่อสร้างตัวติดตามสินทรัพย์อย่างง่าย ฉันจัดการเพื่อค้นหาภาพร่าง Arduino บางอย่างที่เปิดใช้งานการเชื่อมต่อกับ Azure IoT Hub และโพสต์ข้อความ หนึ่งในกุญแจที่ฉันต้อง "โหลด" ลงบนบอร์ดคือสตริงการเชื่อมต่ออุปกรณ์ Azure และแน่นอนว่า SSID WiFi และรหัสผ่าน ความกลัวของฉันคือบางคนอาจใช้บอร์ดและ "ดาวน์โหลด" ไฟล์เพื่อเข้าถึงข้อมูลรับรองความปลอดภัย ความกลัวของฉันไม่มีเหตุผลหรือการสูญเสียข้อมูลประจำตัวเป็นภัยคุกคามที่แท้จริงที่ฉันต้องบรรเทา

13 security 

ฉันกำลังพยายามทำความเข้าใจกับช่องโหว่ของอุปกรณ์ IoT ที่บ้านของฉัน จากสิ่งที่ฉันเข้าใจ DDoS ขนาดใหญ่ในปีที่แล้วมีสาเหตุมาจากอุปกรณ์ IoT ที่ถูกบุกรุกด้วยชื่อผู้ใช้และรหัสผ่านทั่วไปหรือค่าเริ่มต้น อุปกรณ์ IoT ทั้งหมดของฉันอยู่หลังไฟร์วอลล์ (เช่น thermostats ของฉัน - Honeywell) พวกเขาเชื่อมต่ออินเทอร์เน็ต แต่ส่งออกเท่านั้น ฉันไม่มีการตั้งค่าการส่งต่อพอร์ต หากอุปกรณ์ IoT ทั้งหมดของฉันอยู่หลังไฟร์วอลล์ของเราเตอร์ของฉันและฉันไม่มีพอร์ตที่ส่งต่อไปยังอุปกรณ์เหล่านั้นความเสี่ยงในการมีชื่อผู้ใช้และรหัสผ่านเริ่มต้นคืออะไร

13 smart-home  security  routers 

ตามcmswire.comหนึ่งในความเสี่ยงด้านความปลอดภัยที่สำคัญกับอินเทอร์เน็ตของสิ่งต่าง ๆ คือการรับรองความถูกต้อง / การอนุญาตไม่เพียงพอ เมื่อพูดถึง Internet of Things ฉันควรใช้รหัสผ่านที่แตกต่างกันสำหรับอุปกรณ์แต่ละตัวของฉันหรือไม่หรือว่าจะเป็นไปได้หรือไม่ที่จะใช้รหัสผ่านที่ปลอดภัยมากเพียงรหัสเดียวเพื่อใช้กับอุปกรณ์ทั้งหมดของฉัน โดยเฉพาะอย่างยิ่งถ้าฉันซื้ออุปกรณ์เดียวกันซ้ำหลายครั้งฉันควรสร้างรหัสผ่านที่แตกต่างกันสำหรับแต่ละอันหรือไม่

13 security 

ฉันกำลังจะตั้งค่าเครือข่าย MQTT ที่บ้าน ฉันต้องการสร้างความรู้ด้วยการฝึกปฏิบัติ มันจะเป็นเครือข่ายขนาดเล็กที่มีนายหน้าโฮสต์ไว้ในแล็ปท็อปของฉัน (Windows 7) และไคลเอนต์ Raspberry Pi บางคนขับเคลื่อน นอกจากนี้ฉันกำลังคิดเกี่ยวกับการสร้างลูกค้าบนโทรศัพท์ของฉัน (Android) เป้าหมายของฉันคือมีเครือข่ายง่าย ๆ ที่ฉันสามารถทดลองได้และฉันต้องการทำการทดสอบความปลอดภัยโดยทดลองก่อน ฉันพบชุดทดสอบเซิร์ฟเวอร์ MQTTซึ่งออกแบบมาเพื่อทำหน้าที่เป็นไคลเอนต์ MQTT ที่เป็นอันตราย มันค่อนข้างจะสัญญาว่าจะเริ่มต้นด้วย เครื่องมือทดสอบคุณสมบัติทั่วไป การทดสอบเชิงลบกล่องดำอัตโนมัติเต็มรูปแบบ กรณีทดสอบสำเร็จรูป เขียนใน Java (tm) GUI, บรรทัดคำสั่ง, โหมดอินเตอร์เฟสระยะไกล ความสามารถในการใช้เครื่องมือ (การตรวจสุขภาพ) สนับสนุนและบำรุงรักษา เอกสารประกอบสำหรับผู้ใช้ที่ครอบคลุม การรายงานและการวิเคราะห์ผลลัพธ์ แต่ฉันก็สนใจวิธีปฏิบัติง่ายๆที่ฉันสามารถใช้เพื่อตรวจสอบคุณสมบัติความปลอดภัยของ MQTT วิธีที่ง่ายที่สุดสำหรับผู้เริ่มต้นในการตรวจสอบความปลอดภัยขั้นพื้นฐานบนเครือข่าย MQTT คืออะไร?

13 security  mqtt  mosquitto  testing 

ฉันทำงานกับแพลตฟอร์ม IoT ใน FPGA สำหรับการประเมินผลและการสร้างต้นแบบ ฉันต้องให้การสนับสนุน TLS และฉันต้องการแหล่งข้อมูลเอนโทรปี ฉันเข้าใจว่าแหล่งกำเนิดเสียงแบบสุ่มที่แท้จริงนั้นค่อนข้างผู้เชี่ยวชาญ (ถ้าใช้งานได้จริง) ใน FPGA เนื่องจากประสิทธิภาพของอุปกรณ์มักจะค่อนข้างดี (และยากที่จะหาพารามิเตอร์มุมตัวพิมพ์เล็ก ๆ ) แต่ฉันสามารถใช้ตัวกำเนิดลำดับแบบสุ่มหลอกได้ ปัญหาที่เกิดขึ้น ฉันมีแชนเนล I / O มาตรฐาน (uart, I2C และอื่น ๆ ) เท่านั้นไม่มีอะไรที่ดูเหมือนว่าจะให้ PRBS ได้มากเท่าที่ควร - ยกเว้นเสียงอินพุต ADC อาจมีเทคนิคที่น่าเชื่อถือในการสร้างเอนโทรปีใน FPGA ที่ฉันควรพิจารณาหรือไม่? สมมติว่าฉันใช้ PRBS ฉันสามารถติดตั้งแหล่งกำเนิดเสียงภายนอกซึ่งฉันสามารถใช้เป็นเมล็ดพันธุ์ได้ ฉันสนใจที่จะรู้ว่าสิ่งนี้จะเพิ่มในการใช้ TLS ของฉันจริง ๆ สิ่งนี้จะเชื่อถือได้และปลอดภัยหรือดีกว่าการใช้ลำดับสุ่มหลอกคงที่เพียงเล็กน้อยเท่านั้นหรือไม่ ฉันจะต้องทำการสำรวจแหล่งสัญญาณเสียงภายนอกเพื่อให้เอนโทรปีต่อไปหรือไม่ มันก็โอเคถ้าแหล่งเอนโทรปีที่ฉันลงท้ายด้วยไม่ปลอดภัยอย่าง crypto (เพราะนี่เป็นแค่ต้นแบบ) แต่ฉันต้องการที่จะเข้าใจการแลกเปลี่ยนที่คุ้มค่า

12 security  hardware 

การใช้เราเตอร์ Tor wifiจะทำให้ IoT ปลอดภัยจากการโจมตีและอื่น ๆ หรือไม่? เราเตอร์เหล่านี้จัดเตรียมไคลเอนต์ Tor และทำการเชื่อมต่อทราฟฟิกอินเทอร์เน็ตทั้งหมดผ่าน VPN การทำเช่นนี้จะเป็นการเปิดเผยการเข้าถึงอินเทอร์เน็ตของคุณเนื่องจากเซิร์ฟเวอร์ไม่สามารถระบุที่อยู่ IP ของคุณได้ VPN ทำให้ทุกคนขัดขวางการรับส่งข้อมูลในส่วนสาธารณะของอินเทอร์เน็ตได้ยากแม้ว่าคุณจะเชื่อมต่อโดยใช้ฮอตสปอต Wi-Fi ของบุคคลที่สามก็ตาม เส้นทางโหนดเราเตอร์ใช้การเข้ารหัส 802.11 มาตรฐานส่วนที่เราเตอร์สาธารณะจะถูกห่อหุ้มภายใน VPN

12 security  networking 

ฉันวางแผนที่จะใช้ระบบอัตโนมัติภายในบ้านของฉันเอง ในนั้นจะมีเซิร์ฟเวอร์ Raspberry PI กลางและเซ็นเซอร์และสวิตช์จำนวนหนึ่งที่ใช้ไมโครคอนโทรลเลอร์ PIC16 8 บิตซึ่งสื่อสารกับ Raspberry PI กลางผ่านวิทยุ (ใช้ nRF24L01, 2.4GHz) ยกตัวอย่างเช่นพิจารณาPIC16F1705 ที่มี ROM 16k และ RAM 1k เพื่อความปลอดภัยของระบบฉันต้องการอัลกอริทึมการเข้ารหัสลับบางอย่างเช่น ฟังก์ชันแฮช ยันต์บล็อค เครื่องกำเนิดจำนวนสุ่ม ตอนนี้คำถามของฉันคือ: อัลกอริทึมการเข้ารหัสลับใดที่มีให้สำหรับ PIC16 อัลกอริทึมใดที่สามารถพอร์ตหรือนำไปใช้งานได้ ตัวอย่างเช่นมาตรฐานการเข้ารหัสขั้นสูง (AES) ในความเข้าใจของฉันไม่สามารถใช้งานได้เนื่องจากข้อ จำกัด RAM

12 security  microcontrollers  pic  cryptography 

ฉันจะใช้ 2FA (การตรวจสอบความถูกต้องด้วยสองปัจจัย) ได้อย่างไรเมื่อฉันเชื่อมต่ออุปกรณ์ใหม่กับโบรกเกอร์หากเป็นไปได้ เนื่องจากดูเหมือนง่ายกว่าปัจจัยที่สองอาจเป็นโซลูชันซอฟต์แวร์อันดับแรก แต่ฉันยินดีรับแนวคิดเกี่ยวกับวิธีแนะนำฮาร์ดโทเค็น (บางทีอาจเป็น RFID) มันจะสมเหตุสมผลถ้าอุปกรณ์ควรรับรองความถูกต้องเฉพาะที่การเชื่อมต่อครั้งแรกและเซิร์ฟเวอร์จะจำลูกค้า "เก่า" ความคิดอาจผิดปกติหรือไม่เหมาะสม - ถ้าเป็นความคิดที่ไม่ดีโปรดบอกเหตุผลว่าทำไม

12 security  mqtt  authentication 

สำหรับอุปกรณ์ IoT บางตัวข้อมูลที่ต้องส่งเป็นความลับและด้วยเหตุนี้การส่งข้อมูลด้วยข้อความธรรมดาจึงไม่เป็นที่ยอมรับ ดังนั้นฉันได้พิจารณาวิธีการเข้ารหัสข้อมูลที่ส่งระหว่างอุปกรณ์ IoT บทความที่ฉันเพิ่งอ่านบนเว็บไซต์RFID Journalกล่าวถึงรหัสที่ได้รับการพัฒนาโดย NSA SPECKและSIMON ciphers โดยเฉพาะอย่างยิ่งเหมาะกับแอปพลิเคชัน IoT: NSA กำลังทำให้ระบบรหัส [... ] เป็นแบบสาธารณะโดยไม่มีค่าใช้จ่ายซึ่งเป็นส่วนหนึ่งของความพยายามในการรับรองความปลอดภัยใน Internet of Things (IOT) ซึ่งอุปกรณ์ต่าง ๆ กำลังแบ่งปันข้อมูลกับผู้อื่นบนอินเทอร์เน็ต [ ... ] นักวิจัยของ NSA ได้พัฒนา SIMON และ SPECK เพื่อปรับปรุงอัลกอริธึมการบล็อกรหัสที่ใช้อยู่ซึ่งโดยส่วนใหญ่แล้วออกแบบมาสำหรับคอมพิวเตอร์เดสก์ท็อปหรือระบบพิเศษ เหตุใดฉันจึงควรเลือกอัลกอริทึมที่ใหม่กว่าเช่น SIMON หรือ SPECK สำหรับอุปกรณ์ IoT ของฉันโดยเฉพาะอย่างยิ่งสำหรับแอปพลิเคชันที่มีข้อ จำกัด ด้านพลังงาน (เช่นพลังงานแบตเตอรี่เท่านั้น) ประโยชน์ที่ได้รับเมื่อเทียบกับระบบการเข้ารหัสอื่น ๆ เช่นAESคืออะไร

12 security  simon  speck 

ฉันวางแผนที่จะใช้สวิตช์ไฟที่เรียบง่ายซึ่งวางอยู่บนผนัง สวิตช์รับพลังงานจากแบตเตอรีหรือ piezo และส่งลำดับของข้อมูลที่ไม่ซ้ำกัน (ในและนอกเหตุการณ์) ที่ 433 MHz ไปยังเครื่องรับซึ่งเชื่อมต่อกับ SmartHome-RaspberryPI ของฉัน ตั้งแต่ฉันอยู่ที่ชั้นล่างฉันมีข้อควรพิจารณาบางประการเกี่ยวกับความปลอดภัย บางคนสามารถบันทึกและเล่นซ้ำลำดับที่ไม่ซ้ำกันซึ่งสวิตช์ส่ง เป็นไปได้หรือไม่ที่จะปรับปรุงความปลอดภัยโดยใช้ฮาร์ดแวร์หรือซอฟต์แวร์

12 security  smart-home  raspberry-pi 

เรากำลังทำงานกับ AWS-IoT โดยใช้ไมโครคอนโทรลเลอร์ STM32 จนถึงวันนี้เรากำลังเขียนใบรับรองไปยังแฟลชและล็อคแฟลชจากการอ่านจากภายนอก เมื่อรหัสแอปพลิเคชันเพิ่มขึ้นเราจะมีพื้นที่ว่างน้อยลงบนแฟลชดังนั้นเราจึงวางแผนที่จะย้ายใบรับรองจากภายนอกบนการ์ด SD / EEPROM และอ่านเมื่อใดก็ตามที่จำเป็นก่อนเชื่อมต่อกับ AWS-IoT หมายเหตุ: นโยบายที่เขียนขึ้นสำหรับสิ่งนี้จะอนุญาตให้อุปกรณ์ที่มีชื่อเฉพาะเชื่อมต่อกับใบรับรองนั้นเท่านั้น สิ่งที่ได้รับอนุญาตให้เผยแพร่ไปยัง 2 ช่องทางเท่านั้น (ชื่อและช่องฟีดข้อมูล) ซึ่งเชื่อมต่อกับตัวประมวลผลข้อมูลซึ่งจะไม่สนใจแพ็กเก็ตอันธพาลใด ๆ ที่เข้ามา หากสิ่งที่เผยแพร่ / สมัครสมาชิกในหัวข้ออื่น AWS จะยกเลิกการเชื่อมต่อทันที หากฉันตรวจพบว่าอุปกรณ์ถูกขโมย / โกงเราจะปิดการใช้งานคีย์จากเซิร์ฟเวอร์ ผู้เอาเปรียบสามารถทำอะไรกับใบรับรอง (RootCA, คีย์เซิร์ฟเวอร์, รหัสลูกค้า) เป็นการปฏิบัติที่ไม่ถูกต้องหรือไม่ที่จะเก็บใบรับรองสำหรับ usecase ดังกล่าวไว้ในที่จัดเก็บข้อมูลภายนอก

11 security  mqtt  aws-iot 

มีใบรับรองที่เชื่อถือได้สำหรับอุปกรณ์ IoT ซึ่งสามารถใช้เพื่อเปรียบเทียบความปลอดภัยที่จัดเตรียมไว้ให้ของอุปกรณ์เหล่านี้ได้หรือไม่? 1 ปัจจุบันภูมิทัศน์ IoT นั้นกระจัดกระจายไปอย่างสมบูรณ์แบบด้วยโปรโตคอลมาตรฐานและโซลูชั่นที่เป็นกรรมสิทธิ์ที่แตกต่างกัน บนมืออื่น ๆ อุปกรณ์ IOT ตกไปbotnetsเช่นแมลงวัน มีมาตรฐานใดบ้างที่ลูกค้าสามารถให้ความไว้วางใจในอุปกรณ์เพื่อให้เป็นไปตามมาตรฐานความปลอดภัยระดับหนึ่ง? บางทีแม้แต่ใบรับรองการรับรองความปลอดภัยที่จัดไว้ให้? หากไม่มีมาตรฐานปัจจุบันมีความคิดริเริ่มที่มีแนวโน้มว่าจะสร้างมาตรฐานดังกล่าวหรือไม่? 1: ข้อจำกัดความรับผิดชอบ: สิ่งนี้ขึ้นอยู่กับพื้นที่ 51 คำถามจากผู้ใช้ที่ดูเหมือนจะไม่ผูกพันกับไซต์ในขั้นตอนที่มีข้อผูกมัด ฉันต้องการโพสต์มันเพื่อช่วยกำหนดขอบเขตของเว็บไซต์

11 security  standards  certifications 

เมื่อ Z-Wave มีปัญหาด้านความปลอดภัยเมื่อปีที่แล้วฉันยินดีที่จะเห็นประกาศว่า S2 Security จะบังคับสำหรับการรับรองใหม่ทั้งหมดในเดือนเมษายนและพวกเขาไม่ได้กลับไปในเวลานั้น ดังนั้นผมจึงคิดว่าตอนนี้ถึงเวลาที่จะเลือกบาง deadbolts Z-คลื่น แต่เท่าที่ผมสามารถบอกได้ว่าจะไม่มีของพวกเขาสนับสนุนการรักษาความปลอดภัย S2 อุปกรณ์แม้การรับรองใหม่เมื่อเร็ว ๆ นี้ 2017/11/10 ไม่สนับสนุน S2 ตักที่แท้จริงในการรักษาความปลอดภัย S2 คืออะไร? การโจมตี Z-Wave ที่เก่ากว่ากำลังทำลายล้าง แต่ฉันคิดว่าพวกเขาจัดการกับปัญหาด้านความปลอดภัยได้อย่างมีประสิทธิภาพ ฉันไม่สามารถพูดคุยเกี่ยวกับเรื่องนี้ทางออนไลน์ได้มากนัก

10 security  zwave 

ในขณะที่ MQTT นั้นค่อนข้างหลากหลาย แต่ก็ไม่ปลอดภัย นี่คือโดยการออกแบบ สแตนฟอร์ด - คลาร์กกล่าวว่าการรักษาความปลอดภัยได้ถูกละทิ้งโปรโตคอลไว้ตั้งแต่แรกเพราะเขาและก้ามรู้ว่ากลไกความปลอดภัยนั้นถูกห่อหุ้มรอบ MQTT เพื่อเพิ่มความปลอดภัย นอกจากนี้ในเวลานั้น Stanford-Clark กล่าวว่าข้อมูลที่ส่งผ่าน MQTT เช่นข้อมูลความเร็วลมจากสถานีตรวจอากาศไม่ได้ต้องการความปลอดภัยเป็นพิเศษ - ที่มา หนึ่งในกลไกความปลอดภัยที่สามารถล้อมรอบ MQTT คือ TLS โบรกเกอร์ส่วนใหญ่สนับสนุนในปัจจุบันนี้ แน่นอนว่ามาตรการห่อหุ้มจะทำให้เกิดค่าใช้จ่าย ค่าใช้จ่ายนี้อาจจะเล็กน้อย (cf. HiveMQ blog ) ขณะนี้ฉันกำลังมองหาข้อมูล (หวังว่าจะเป็นแหล่งข้อมูลที่เชื่อถือได้) เกี่ยวกับการสูญเสียประสิทธิภาพของ MQTT ผ่าน TLS และ MQTT ธรรมดาเพื่อประเมินความมีชีวิตของ MQTT สำหรับโครงการของฉัน โดยเฉพาะอย่างยิ่งเมื่อเทคโนโลยีปรับขนาดเป็นสมาชิกจำนวนมาก มีวิธีอื่นนอกเหนือจากการสร้างต้นแบบเพื่อรับข้อมูลที่ถูกต้องเกี่ยวกับประสิทธิภาพของ MQTT ผ่าน TLS หรือไม่

10 security  mqtt  tls