Questions tagged «security»

据Verge或ConsumerAffairs等多家新闻媒体报道，联网玩具My Friend Cayla和i-Que记录了孩子们说的话，并将其发送回服务器以帮助回答孩子们的问题。这些玩具似乎很不安全，而且这种做法是基于薄弱的法律依据，因此已经提起了FTC的投诉。 我的问题是，如何阻止这些玩具将数据发送到云服务？当我将这些玩具与Internet断开连接时，会失去哪些功能？

14 security  privacy  smart-toys 

我正在使用具有WiFi功能的NodeMCU板来构建简单的资产跟踪器。我设法找到了一些Arduino草图，可以连接到Azure IoT中心并发布消息。 我需要“加载”到板上的键之一是Azure设备连接字符串，当然还有WiFi SSID和密码。 我担心有人可能会简单地拿起董事会并“下载”文件以访问安全证书。 我的恐惧是没有根据的，还是凭证丢失是我需要减轻的真正威胁？

13 security 

我试图了解我的家用物联网设备的漏洞。据我了解，去年的大型DDoS是由具有通用或默认用户名和密码的物联网设备受损造成的。 我所有的物联网设备都在防火墙后面（例如恒温器-霍尼韦尔）。 他们连接到Internet，但仅传出。我没有端口转发设置。 如果我所有的IoT设备都在路由器的防火墙后面，并且我没有任何端口转发到这些设备，那么使用默认的用户名和密码会有什么风险？

13 smart-home  security  routers 

据cmswire.com称，物联网的主要安全风险之一是身份验证/授权不足。当涉及到物联网时，我应该为每个设备使用一个不同的密码，还是可以在所有设备上使用一个非常安全的密码？ 更具体地说，如果我购买了同一设备的多个版本，是否应该为每个设备输入不同的密码？

13 security 

我将在家里建立一个MQTT网络。我想通过实践练习来积累一些知识。这将是一个小型网络，其中的代理托管在我的笔记本电脑（Windows 7）和一些Raspberry Pi支持的客户端上。我也在考虑在我的手机（Android）上建立客户端。 我的目标是拥有一个可以在其上进行实验的简单网络，并且我想先进行一些安全性测试。 我发现了一个旨在充当恶意MQTT客户端的MQTT服务器测试套件。首先是很有希望的。 测试工具的一般功能 全自动黑盒阴性测试 现成的测试用例 用Java（tm）编写 GUI，命令行，远程接口模式 仪表（健康检查）功能 支持与维护 全面的用户文档 结果报告与分析 但是我也对一些我可以用来验证MQTT安全性功能的简单实践感兴趣。初学者在MQTT网络上执行一些基本安全验证的最简单方法是什么？

13 security  mqtt  mosquitto  testing 

我正在使用FPGA中的IoT平台进行评估和原型设计。我需要提供对TLS的支持，为此，我需要一个熵源。 我知道真正的随机噪声源在FPGA中是非常专业的（甚至是实用的），因为器件性能通常非常好（并且很难找到任何极端情况的参数），但是我可以在没有任何噪声的情况下实现伪随机序列发生器问题。 我只有一些标准的I / O通道（uart，I2C等），看起来没有什么可以提供更多种子PRBS的功能-也许还有音频ADC输入。我应该考虑在FPGA中产生熵的可靠技巧吗？ 假设我使用PRBS，则可以潜在地连接一个外部噪声源，可以将其用作种子。我想知道这实际上会给我的TLS实现增加多少。这将是可靠且安全的，还是仅比使用固定的伪随机序列好一点？我是否需要继续轮询外部噪声源以获得更多的熵？ 如果我最终得到的熵源没有正确地加密安全（因为这只是用于原型设计），那是可以的，但是我想了解成本质量的权衡。

12 security  hardware 

使用Tor wifi路由器能否使IoT免受攻击等的影响更安全？ 这些路由器提供Tor客户端，还通过VPN隧道传输所有Internet流量。由于服务器无法识别您的IP地址，因此使您的Internet访问匿名化。即使您使用第3方Wi-Fi热点进行连接，VPN也使任何人都难以拦截Internet公共部分的流量。节点-路由器路径使用标准802.11加密，路由器-公共部分封装在VPN中。

12 security  networking 

我正计划实施自己的家庭自动化系统。其中将包含中央Raspberry PI服务器以及许多基于8位PIC16微控制器的传感器和开关，这些传感器和开关通过无线电（使用2.4GHz的nRF24L01）与中央Raspberry PI通信。 例如，考虑具有16k ROM和1k RAM的PIC16F1705。 为了保护系统，我需要一些加密算法，例如 哈希函数 分组密码 随机数发生器 现在我的问题是： PIC16可以使用哪些加密算法？ 可以移植或实现哪些算法？ 例如，由于RAM的限制，我无法理解高级加密标准（AES）。

12 security  microcontrollers  pic  cryptography 

将新设备连接到代理时，如果可能的话，如何使用2FA（两因素身份验证）？ 因为看起来比较容易，所以第二个因素可以首先是软件解决方案，但是我欢迎有关如何引入硬令牌（可能是RFID）的想法。 如果设备仅在第一次连接时进行身份验证，并且服务器会记住“旧”客户端，这将是有意义的。 这个想法可能不寻常或不合适-如果这是一个坏主意，请告诉我原因。

12 security  mqtt  authentication 

对于某些物联网设备，需要发送的数据是机密的，因此不接受以纯文本格式发送的数据。因此，我一直在考虑如何加密在IoT设备之间发送的数据。我最近在RFID Journal网站上阅读的一篇文章提到了NSA开发的SPECK和SIMON密码特别适用于IoT应用： 为了确保物联网（IOT）的安全性，美国国家安全局（NSA）将免费公开提供这些密码，其中设备正在与互联网上的其他人共享数据。 [...] NSA研究人员开发了SIMON和SPECK，以改进已使用的分组密码算法，该算法在大多数情况下是为台式计算机或非常专业的系统设计的 为什么我要为我的IoT设备选择更新的算法，例如SIMON或SPECK，尤其是在功率受限的应用中（例如，仅电池供电）？与其他加密系统（例如AES）相比有什么好处？

12 security  simon  speck 

我打算使用一个简单的电灯开关，该开关位于墙上。开关从电池或压电中获取能量，并以433 MHz的频率（在事件发生时和事件不发生时）发送唯一的数据序列到与我的SmartHome-RaspberryPI连接的接收器。 由于我住在底层，因此我对安全性有一些考虑。有人可以记录和重放交换机发送的唯一序列。 使用硬件或软件可以提高安全性吗？

12 security  smart-home  raspberry-pi 

我们正在使用STM32微控制器开发AWS-IoT。 直到今天，我们仍将证书写入闪存，并锁定闪存以防止外部读取。随着应用程序代码的增加，我们在闪存上的空间越来越小，因此我们计划将证书从外部移动到SD卡/ EEPROM中，并在连接到AWS-IoT之前在需要时随时读取。 笔记： 为该事物编写的策略将仅允许具有特定名称的设备连接该特定证书。 事物只能发布到2个通道（它的名称和数据馈送通道）上，该通道连接到数据处理器，该处理器将忽略进入其的任何恶意数据包。 如果该事物发布/订阅了其他任何主题，则AWS将立即断开该事物的连接。 如果我检测到设备被盗/流氓，则会从服务器上停用密钥。 开发者可以使用证书（RootCA，服务器密钥，客户端密钥）做什么？ 将此类用例的证书保留在可由开发人员访问的外部存储上是一种不好的做法吗？

11 security  mqtt  aws-iot 

IoT设备是否有任何可靠的证书，可用于比较这些设备提供的安全性？1个 当前，物联网领域完全被不同的协议，标准和专有解决方案所分散。在另一方面物联网设备下降到僵尸网络就像苍蝇。是否有任何标准可供客户信任，以使设备符合一定的安全级别？甚至证书都可以证明所提供的安全性？ 如果没有当前的标准，是否有希望的举措来创建这样的标准？ 1：免责声明：这是基于某个似乎在承诺阶段未提交到站点的用户的第51区问题。我想发布它以帮助定义网站的范围。

11 security  standards  certifications 

去年Z-Wave遇到安全问题时，我很高兴看到它宣布，自4月份起，所有新证书都必须具有S2安全性，而且当时还没有退出。 因此，我现在认为是时候拾起一些Z-Wave锁栓了，但是据我所知，它们都不支持S2安全性。 即使是最近在2017年11月10日获得新认证的设备也不支持S2。 什么才是S2安全性的真正体现？对较旧的Z-Wave的攻击具有毁灭性，但我认为它们正在有效解决安全问题。我在网上找不到很多谈论此话题的内容。

10 security  zwave 

虽然MQTT具有多种用途，但它本身也不安全。这是设计使然。 根据Stanford-Clark的说法，安全性最初被有意识地排除在协议之外，因为他和Nipper知道安全性机制可以围绕MQTT来增强安全性。而且，当时，斯坦福-克拉克（Stanford-Clark）说，通过MQTT发送的信息（例如来自气象站的风速数据）并不是特别需要保护。- 来源 可以封装在MQTT上的安全机制之一是TLS。如今，大多数经纪人都支持。当然，任何包装措施都会产生开销。此开销可以忽略不计（请参阅HiveMQ blog）。 目前，我正在寻找有关TLS与普通MQTT相比TLS上MQTT性能损失的信息（希望是权威来源），以评估我项目的MQTT可行性。尤其是当技术扩展到大量订户时。 除了原型之外，还有没有其他方法可以通过TLS获得有关MQTT性能的有效数据？

10 security  mqtt  tls