คำถามติดแท็ก security

ฉันกำลังพิจารณาอุปกรณ์ IoT ที่เชื่อมต่อกับเครือข่ายท้องถิ่นของฉัน (การตั้งค่าเริ่มต้นไม่มี VPN ไม่มี NAT ไม่มี DMZ) ที่มีหรือไม่มีอินเทอร์เน็ต อุปกรณ์ของฉันจะทำงานเป็นเซิร์ฟเวอร์ HTTP ที่เสนอกลไก RPC พร้อมการตรวจสอบและการอนุญาต โฆษณาตัวเองด้วย mDNS และฉันคุยกับมันโดยใช้แอพมือถือหรือ RaspberryPi ของฉัน ดูเหมือนว่าบรรทัดฐานในการพัฒนา IoT คือการมี SSL (สองทาง) ซึ่งกันและกัน นั่นหมายความว่า SSL แบบทางเดียวไม่สามารถรักษาความปลอดภัยให้กับทราฟฟิคของฉันได้? ทำไม? หมายเหตุ: ฉันเข้าใจความแตกต่างทางเทคนิคระหว่าง SSL หนึ่งและสองทางฉันไม่เข้าใจว่าทำไม One-way (เกือบ) ไม่เคยถูกพิจารณาในการผลิต IoT ฉันเข้าใจว่าการมี SSL ร่วมกันสำหรับอุปกรณ์ในพื้นที่นั้นเป็นเรื่องยาก: คุณต้องใช้รหัสสาธารณะของเซิร์ฟเวอร์และรับรองลูกค้าและในทางกลับกัน ในทางกลับกันดูเหมือนง่ายขึ้น (ไม่ต้องการให้ผู้ใช้ดำเนินการ) อุปกรณ์ที่ผลิตจำนวนมากเช่นฟิลิปส์เว้ต้องการเปิดจุดปลาย http ท้องถิ่นและไม่ปลอดภัยกว่าการเข้ารหัส SSL ทางเดียว ทำไมหนึ่งจะเลือกนี้ …

9 security  wifi  https  tls 

มีอุปกรณ์เหล่านี้ที่คุณสามารถเสียบเข้ากับรถยนต์ของคุณและ บริษัท ประกันภัยสามารถรับข้อมูลแบบเรียลไทม์เพื่อ "ลด" ต้นทุนการประกันภัยของคุณ ภาพจากUSNews , 2016 พวกเขาเชื่อมต่ออินเทอร์เน็ตได้อย่างไร ดาวเทียม? เครือข่ายมือถือ การค้นหาใน Google ไม่ได้ให้ข้อมูลอะไรมากมาย: เมื่อเสียบอุปกรณ์เข้ากับคอมพิวเตอร์ของรถยนต์แล้วจะสามารถดูข้อมูลทั้งหมดที่คอมพิวเตอร์รวบรวมและจะคว้าสิ่งที่ บริษัท ประกันภัยได้ตั้งโปรแกรมให้ค้นหา จากนั้นใช้เทคโนโลยีไร้สายเพื่อส่งข้อมูลดังกล่าวไปยัง บริษัท ประกันภัย USNews , ทำผู้ติดตามประกันภัยรถยนต์อุปกรณ์การทำงานอย่างไร 2559 นอกจากนั้นอุปกรณ์เหล่านั้นปลอดภัยแค่ไหน? เป็นไปได้ไหมที่มนุษย์ในการโจมตีตรงกลางเป็นไปได้และพวกเขาสามารถเปลี่ยนข้อมูลที่ถูกส่งไปได้หรือไม่?

9 security  communication 

การตั้งค่า: ฉันมี Raspberry Pi เป็นโหนดหลักที่เชื่อมต่อกับอินเทอร์เน็ตผ่านการเชื่อมต่อบรอดแบนด์ raspberry pi เชื่อมต่อเซ็นเซอร์หลายตัวและไมโครคอนโทรลเลอร์อื่น ๆ Pi เชื่อมต่อกับเซิร์ฟเวอร์ที่ Cloud Hosting Provider อย่างต่อเนื่อง คำถามคือ: ฉันจะหยุดผู้ใช้ที่ไม่ได้รับอนุญาตจากการเข้าถึงราสเบอร์รี่ Pi ของฉันได้อย่างไร ฉันจะป้องกันการโจมตี DDoS บน Pi ได้อย่างไร ฉันควรใช้ DDNS (Dynamic DNS) เพื่อเข้าถึง Pi ของฉันอย่างไรและอย่างไร

9 security  networking  raspberry-pi 

ฉันมีต้นแบบของอุปกรณ์ที่ จำกัด ทรัพยากร (8-bit MCU ที่ไม่มีเฟิร์มแวร์ระบบปฏิบัติการ) ซึ่งโต้ตอบกับเว็บเซิร์ฟเวอร์ ฉันสงสัยว่ามีวิธีแก้ปัญหาเฟรมเวิร์กหรือบริการคลาวด์สำหรับการอัปเดตเฟิร์มแวร์อุปกรณ์ของฉันจากเว็บหรือไม่ จากการวิจัยของฉันมี Microsoft IoT Hub แต่ฉันเกรงว่าจะไม่เหมาะกับอุปกรณ์ที่ จำกัด ทรัพยากรดังกล่าว มีอีกหนึ่งวิธีที่ฉันพบ - พอร์ทัล mbed Cloud แต่ฉันไม่แน่ใจว่ามันทำงานอย่างไร มีใครบ้างที่สามารถช่วยฉันได้ผ่านคำแนะนำใด ๆ อาจมีแนวทางปฏิบัติที่ดีที่สุดในการใช้การอัพเกรดเฟิร์มแวร์ผ่านทางอากาศสำหรับอุปกรณ์ฝังตัวในวิธีที่ปลอดภัยและมีประสิทธิภาพ

9 security  microcontrollers  over-the-air-updates 

ฉันมีสวิตช์ IoT จำนวนมากที่เชื่อมต่อกับ Wi-Fi ของฉัน ฉันตระหนักถึงสามความเป็นไปได้ในการเชื่อมต่อและควบคุมพวกเขา ผ่าน Wi-Fi โดยตรง (เช่นเดียวกับ Samsung SmartThings) เชื่อมต่อพวกเขาเข้ากับ VLAN ส่วนตัวและใช้พวกมัน (ดูปลอดภัยกว่า) เชื่อมต่ออุปกรณ์ทั้งหมดเข้ากับ Raspberry Pi (หรือบางอย่างที่คล้ายกัน) เช่นมาสเตอร์และเชื่อมต่ออุปกรณ์เข้ากับมัน อันไหนที่ปลอดภัยที่สุด (ปลอดภัยที่สุดสำหรับ iot) มีวิธีแก้ปัญหาที่ดีกว่าหรือไม่และแต่ละคนจะยากแค่ไหน?

9 security  networking 

วันนี้ฉันน่าจะสะดุดกับการรั่วไหลของความปลอดภัยที่สำคัญในการตั้งค่าระบบอัตโนมัติที่บ้านของฉัน สถานการณ์ ฉันติดตั้งโครงการ gitub สะพานฮาบน Raspberry Pi ของฉันเป็นหลักเพื่อดูว่ามันสามารถทำอะไร แท้จริงฉันเพียงแค่ทำตามขั้นตอนไม่กี่ครั้งแรก, การดาวน์โหลดและการเริ่มต้นhabridge ด้วยความประหลาดใจที่ยิ่งใหญ่ของฉัน Logitech Harmony Hub ดูเหมือนว่าจะแบ่งปันข้อมูลทั้งหมดของเขากับสะพานใหม่อย่างอิสระ ฉันไม่ได้ป้อนข้อมูลรับรองใด ๆ เลย สิ่งเดียวที่ฉันให้คือที่อยู่ IP ของ Harmony และชื่ออุปกรณ์ปลอม (นั่นคือฮับของฉันมีชื่อที่แสดงอื่นสำหรับ Logitech และ Alexa ทั้งหมด) ฮับไม่เพียง แต่แชร์ข้อมูลเกี่ยวกับอุปกรณ์ที่กำหนดค่าทั้งหมดเท่านั้น แต่ยังช่วยให้สามารถเรียกใช้กิจกรรมเหล่านั้นได้อย่างอิสระ ฉันทดสอบมันพวกมันทำงานได้อย่างยอดเยี่ยม ฉันดูทั้งในโปรแกรมเดสก์ท็อปและแอพมือถือ ดูเหมือนว่าจะไม่มีวิธีใด ๆ ในการเปิดใช้งานตัวเลือกความปลอดภัยใด ๆ เมื่อฉันมองเข้าไปในท่อนไม้ของhabridgeมันก็แสดงให้เห็นว่า Harmony ออกอากาศทุกอย่างที่เห็นได้ชัด กิจกรรมที่สามารถเห็นได้ที่นั่น (ลบด้วย ID ที่ถูกครอบตัด) ถูกเรียกใช้โดยแอป Harmony นอกจากนี้ยังมีการเต้นของหัวใจที่บอกhabridgeของฉันทันทีเมื่อ Hub ออฟไลน์ คำถาม …

9 security  logitech-harmony 

บทความนี้พูดถึง CEO ของ Image Ware [การแก้ปัญหา] ตามมิลเลอร์เป็นชีวภาพที่หลากหลายซึ่งเขาอ้างว่าเป็นไปไม่ได้เลยที่คนผิดจะเข้าถึงระบบคอมพิวเตอร์ บริษัท ของเขาใช้ฮาร์ดแวร์และแพลตฟอร์มที่มีอยู่เชื่อมต่ออัลกอริธึมการจดจำคุณสมบัติทางกายภาพ (นิ้วฝ่ามือมือและภาพพิมพ์และใบหน้าตาไอริส) กับอัลกอริธึมอื่นที่ใช้เซ็นเซอร์ข้อมูลไบโอเมตริกซ์ทั่วไปที่พบในอุปกรณ์มือถือในปัจจุบัน ความรู้สึกของฉันคือว่าเขาพูดเกินจริงเรื่องนี้อย่างใด แต่ฉันไม่สามารถจับนิ้วว่าทำไมวงนี้ถึงไม่จริง สำหรับฉันแล้วดูเหมือนว่าหากวิธีการแบบมัลติเซ็นเซอร์มีประสิทธิภาพอย่างแท้จริงเราจะเห็นฮาร์ดแวร์และซอฟต์แวร์สำหรับกลยุทธ์ดังกล่าวทุกที่ในตอนนี้ เครือข่ายเซ็นเซอร์ IoT ที่หลากหลายสามารถเป็นกลยุทธ์การรักษาความปลอดภัยที่มีประสิทธิภาพและมีประสิทธิภาพได้หรือไม่? (วิธีการหลายเซ็นเซอร์มีประสิทธิภาพหรือไม่) ข้อผิดพลาดคืออะไร?

9 security  sensors  machine-learning  biometrics 

ฉันเพิ่งลงทะเบียนกับIFTTTซึ่งดูเหมือนว่าเป็นบริการที่ยอดเยี่ยมในการเชื่อมโยงเหตุการณ์เข้าด้วยกันเพื่อสร้างสมาร์ทโฮมหรือบริการอัตโนมัติต่างๆ ฉันเพิ่งพบช่อง Makerที่อนุญาตให้คุณสร้างคำขอ HTTP อย่างง่าย (เช่น GET และ POST) และฉันหวังว่าจะใช้สิ่งนี้เพื่อส่งข้อความไปยัง Raspberry Pi อย่างปลอดภัยฉันกำลังใช้งานซึ่งกำลังรอคำขอ API ใด ๆ ในเส้นทางที่แน่นอน (เช่นตัวอย่างเช่นPOST /foo) บทความ Makezineฉันเชื่อมโยงให้เห็นวิธีการนี้สำหรับการรักษาความปลอดภัย: ตอนนี้สิ่งที่ฉันทำด้านบนนั้นไม่ปลอดภัยอย่างน่ากลัวฉันก็เปิดเผยสคริปต์ทั่วโลก - เว็บแอปพลิเคชันในคำอื่น ๆ - ที่สามารถสลับสวิตช์ควบคุมแสงในบ้านของฉันในและนอก เห็นได้ชัดว่านี่ไม่ใช่สิ่งที่คุณต้องการ แต่นั่นคือเหตุผลที่บริการของ IFTTT มอบความสามารถในการส่งข้อมูลเพิ่มเติมไปยังบริการระยะไกล การตั้งค่าลิงก์ที่ผ่านการรับรองความถูกต้องของTOTPเป็นเรื่องยากหรือจะเป็นการแลกเปลี่ยนโทเค็นหรือการแลกเปลี่ยนคีย์ - และเพื่อปกป้องบัญชี IFTTT ของคุณเอง พวกเขาเพิ่งเพิ่มการตรวจสอบสิทธิ์แบบสองปัจจัย ฉันอ่านเพิ่มเติมเกี่ยวกับรหัสผ่านแบบใช้ครั้งเดียวตามเวลาบน Wikipedia ซึ่งดูเหมือนว่าจะแนะนำว่ามีองค์ประกอบของการคำนวณที่เกี่ยวข้องเพื่อสร้างรหัสผ่านแบบใช้ครั้งเดียว เนื่องจาก IFTTT ไม่รองรับการโยงงานหรือการเขียนสคริปต์ใด ๆ ฉันจะสร้าง TOTP ได้อย่างไรตามที่แนะนำในบทความ เป็นไปได้หรือไม่ที่จะทำเช่นนี้เนื่องจากต้องมีการคำนวณบางอย่างและดูเหมือนจะไม่มีวิธีในการทำสิ่งเหล่านี้หรือไม่?

9 security  ifttt  one-time-password 

ปิด คำถามนี้จะต้องมีมากขึ้นมุ่งเน้น ไม่ยอมรับคำตอบในขณะนี้ ต้องการปรับปรุงคำถามนี้หรือไม่ อัปเดตคำถามเพื่อให้มุ่งเน้นที่ปัญหาเดียวโดยแก้ไขโพสต์นี้ ปิดให้บริการใน3 ปีที่ผ่านมา แนวทางปฏิบัติด้านความปลอดภัยที่ดีที่สุดในการปฏิบัติตามเมื่อออกการอัปเดต OTA ให้กับอุปกรณ์ IoT มีอะไรบ้าง อะไรคือสาเหตุสำคัญของความกังวล ตัวอย่างเช่น, การป้องกันการอัปเดตไม่ให้ถูกดักข้อมูล ปฏิบัติตามมาตรฐานที่กำหนด แพลตฟอร์มสำหรับการกระจายซอฟต์แวร์ การอัพเดตอัตโนมัติกับการอัพเดตเสริม

8 security  over-the-air-updates