Questions tagged «security»

有关与IoT设备(尤其是直接连接到Internet的设备)的安全性有关的问题,以及如何减轻或完全避免这些问题。请勿将其与设备安全性混淆(如果被黑客入侵,则是安全问题,如果爆炸则是安全问题)。

2
单向SSL可以保护IoT设备吗?
我正在考虑将IoT设备连接到我的本地网络(默认设置,无VPN,无NAT,无DMZ),无论是否可以访问Internet。我的设备将作为HTTP服务器运行,并提供具有身份验证和授权的RPC机制。它使用mDNS进行广告宣传,我使用移动应用程序或RaspberryPi与之对话。 物联网开发中的规范似乎是具有相互(双向)SSL。 这是否意味着单向SSL无法保护我的流量?为什么? 笔记: 我确实了解单向SSL和双向SSL之间的技术差异,我不明白为什么在物联网生产中从来没有考虑过单向(几乎)。 我知道在本地设备上使用相互SSL是很困难的:您需要与客户端共享服务器公钥和证书,反之亦然。另一方面,单向似乎更容易(不需要用户操作)。 与单向SSL加密相比,像飞利浦Hue这样的大量量产的设备宁愿开放并不受保护的本地http终结点。为什么要做出这一选择? 我希望这个问题不是基于观点的。如果是这种情况,我们深表歉意。
9 security  wifi  https  tls 

2
汽车保险跟踪设备如何连接到互联网?
您可以将这些设备插入汽车,保险公司可以获得实时数据,以“降低”您的保险费用。 图片来自USNews,2016年。 他们如何连接到互联网?卫星?移动网络?在Google上搜索不会提供太多信息: 将设备插入汽车的计算机后,便可以看到计算机收集的所有数据,并且可以获取保险公司对其编程的所有内容。然后,它使用无线技术将该信息传输到保险公司。 美国新闻。,那些汽车保险跟踪设备如何工作?,2016 除此之外,这些设备的安全性如何?中间人是否有可能受到攻击,他们是否可能更改正在发送的数据?


5
是否有任何可用的云服务或用于空中更新固件的框架?
我有资源受限设备(无操作系统固件的8位MCU)与Web服务器交互的原型。我想知道是否有任何解决方案,框架或云服务可用于从Web更新我的设备固件。根据我的研究,有Microsoft IoT Hub,但恐怕它不适用于此类资源受限的设备。我发现还有另一种解决方案-mbed Cloud门户,但是我不确定它如何工作。谁能通过任何建议为我提供帮助,也许有一些最佳实践可以以安全可靠的方式为嵌入式设备实现空中固件升级?

2
将IoT设备直接连接到Wi-Fi还是通过VLAN?
我有一堆连接到Wi-Fi的IoT交换机。 我知道连接和控制它们的三种可能性。 直接通过Wi-Fi(就像Samsung SmartThings一样) 将它们连接到个人VLAN并使用它们(似乎更安全)。 将所有设备连接到Raspberry Pi(或类似设备),例如主机,然后将设备连接到主机。 哪一个相对最安全(物联网最安全)?有没有更好的解决方案,每个解决方案会有多困难?

1
和谐中心安全
今天,我(可能)偶然发现了我的家庭自动化设置中的重大安全漏洞。 情境 我在Raspberry Pi上安装了ha bridge github项目,主要是看它能做什么。我实际上只是按照前几个步骤下载并启动了habridge。令我惊讶的是,我的Logitech Harmony Hub似乎可以与新桥自由共享他的所有信息。我没有输入任何凭证。我唯一提供的是Harmony的IP地址和虚假的设备名称(即,我的集线器实际上具有另一个用于Logitech和Alexa用途的显示名称)。 集线器不仅共享有关所有已配置设备的信息,还允许自由触发这些活动。我测试了一下,他们表现出色。 我看过桌面程序和移动应用程序。似乎都没有提供任何方式来激活任何安全选项。 当我查看桥的日志时,它甚至表明和谐似乎广播了发生的一切。在这里可以看到的活动(减去裁剪的ID)是由Harmony App触发的。当集线器离线时,还有一个心跳立即告诉我的桥梁。 题 除了将集线器备份并发送回任何不安全的设备之外,是否有其他方法可以保护集线器?

1
如何使用IFTTT生成基于时间的一次性密码?
我最近在IFTTT注册,这似乎是一项很棒的服务,可以将事件链接在一起,以创建智能家居或自动执行各种服务。 我刚刚找到了Maker通道,该通道可让您发出简单的HTTP请求(例如GET和POST),我希望以此为基础向正在运行的Raspberry Pi安全发送消息,该消息正在等待任何API请求在某条路线上(例如POST /foo)。 我链接的Makezine文章建议使用此方法来提高安全性: 现在,我在上面所做的操作非常不安全,我基本上向世人展示了一个脚本(换句话说就是Web应用程序),该脚本可以打开和关闭控制我家照明的开关。显然,这不是您想要执行的操作,这就是IFTTT的服务提供将更多信息传递到远程服务的功能的原因。 例如,在这两者之间建立经过TOTP身份验证的链接,或者令牌或密钥交换,并保护您的IFTTT帐户本身,将不会很困难?他们刚刚添加了两因素身份验证。 我在Wikipedia上阅读了更多有关基于时间的一次性密码的信息,这似乎表明为了生成一次性密码,涉及到一些计算元素。 由于IFTTT不支持任务链或任何脚本,因此如何按照本文中的建议生成TOTP?由于需要进行一些计算并且似乎没有一种方法可以执行,因此完全可以这样做吗?

2
多个同时的生物识别传感器会为设备创造牢不可破的安全性吗?
本文引用了Image Ware的首席执行官, 根据Miller的说法,[解决方案]是一种多模式生物特征识别技术,他声称,这实际上使错误的人无法访问计算机系统。 他的公司使用现有的硬件和平台,将物理特征识别算法(手指,手掌,手和指纹以及面部,眼睛,虹膜)与采用当今移动设备上常见的生物特征数据传感器的其他算法相连接。 我的直觉是,他以某种方式夸大了这一说法,但我不能直言为什么这是不正确的。在我看来,如果多传感器方法真正有效,那么到现在我们将在任何地方看到用于这种策略的硬件和软件。 包含各种传感器的物联网网络能否成为一种有效的安全策略?(多传感器方法有效吗?) 有什么陷阱?

1
安全的无线更新最佳实践[关闭]
已关闭。这个问题需要更加集中。它当前不接受答案。 想改善这个问题吗?更新问题,使其仅通过编辑此帖子来关注一个问题。 3年前关闭。 向物联网设备群发布OTA更新时应遵循的最佳安全实践是什么?引起关注的重要原因是什么? 例如, 防止更新被拦截 遵循既定标准 软件分发平台 自动更新与可选更新
By using our site, you acknowledge that you have read and understand our Cookie Policy and Privacy Policy.
Licensed under cc by-sa 3.0 with attribution required.