タグ付けされた質問 「security」

VergeやConsumerAffairsのようないくつかのニュースアウトレットで報告されているように、接続されたおもちゃMy Friend Caylaとi-Queは、子供たちの言うことを記録し、子供の質問に答えるためにサーバーに送り返します。おもちゃは非常に不安定であるように思われ、慣習はFTCの苦情がすでに提出されているほど弱い法的根拠に基づいています。 私の質問は、これらのおもちゃがクラウドサービスにデータを送信しないようにする方法と、インターネットから切断したときにどのような機能を失うのかということです。

14 security  privacy  smart-toys 

WiFi機能を備えたNodeMCUボードを使用して、シンプルなアセットトラッカーを構築しています。Azure IoT Hubへの接続とメッセージの投稿を可能にするArduinoスケッチをいくつか見つけました。 ボードに「ロード」する必要があるキーの1つは、Azureデバイス接続文字列と、もちろんWiFi SSIDとパスワードです。 私の恐れは、誰かが単にボードを取り、ファイルを「ダウンロード」してセキュリティ認証情報にアクセスするかもしれないということです。 私の恐怖は正当ではありませんか、または資格情報の紛失は私が軽減する必要がある本当の脅威ですか？

13 security 

ホームIoTデバイスの脆弱性を理解しようとしています。私が理解したことから、昨年の大きなDDoSは、汎用またはデフォルトのユーザー名とパスワードを使用したIoTデバイスの侵害が原因でした。 すべてのIoTデバイスがファイアウォールの背後にあります（サーモスタット-Honeywellなど）。 インターネットに接続しますが、発信のみです。ポート転送のセットアップがありません。 すべてのIoTデバイスがルーターのファイアウォールの背後にあり、それらのデバイスへのポート転送がない場合、デフォルトのユーザー名とパスワードを使用するリスクはどこにありますか？

13 smart-home  security  routers 

cmswire.comによると、モノのインターネットの主要なセキュリティリスクの1つは不十分な認証/承認です。モノのインターネットに関しては、デバイスごとに異なるパスワードを使用する必要がありますか、それともすべてのデバイスで使用する非常に安全なパスワードを1つ作成しても大丈夫ですか？ より具体的には、同じデバイスのイテレーションを複数購入した場合、デバイスごとに異なるパスワードを作成する必要がありますか？

13 security 

自宅でMQTTネットワークをセットアップしようとしています。実践的な演習で知識を積み上げたい。それは、私のラップトップ（Windows 7）でホストされるブローカーと、Raspberry Piを搭載したクライアントを備えた小さなネットワークです。また、携帯電話でクライアントを作成することも考えています（Android）。 私の目標は、簡単なネットワークを使用して実験できるようにすることであり、最初に実験して、セキュリティテストを実行することです。 悪意のあるMQTTクライアントとして機能するように設計されたMQTT Server Test Suiteを見つけました。開始することはかなり有望です。 テストツールの一般的な機能 完全自動化されたブラックボックスネガティブテスト 既製のテストケース Java（tm）で書かれています GUI、コマンドライン、リモートインターフェースモード 計装（ヘルスチェック）機能 サポートとメンテナンス 包括的なユーザードキュメント 結果の報告と分析 しかし、MQTTセキュリティ機能を検証するために使用できる、より簡単なプラクティスにも興味があります。初心者がMQTTネットワークでいくつかの基本的なセキュリティ検証を実行する最も簡単な方法は何ですか？

13 security  mqtt  mosquitto  testing 

評価とプロトタイピングのために、FPGAでIoTプラットフォームを使用しています。TLSのサポートを提供する必要があり、そのためにはエントロピーソースが必要です。 FPGAの真のランダムノイズソースはFPGAの専門家である（実用的であっても）ことは理解していますが、これはデバイスのパフォーマンスが非常に優れているため（コーナーケースパラメーターを見つけるのが難しいため）、擬似ランダムシーケンスジェネレーターを実装できることです。問題。 私はいくつかの標準I / Oチャンネル（uart、I2Cなど）しか持っていません。PRBSをシードするために提供できるものはほとんどありません-オーディオADC入力を除く。FPGAでエントロピーを生成するために、考慮すべき信頼性の高いトリックはあるのでしょうか？ PRBSを使用すると仮定すると、種として確実に使用できる外部ノイズソースを潜在的に接続できます。これが実際にTLS実装にどの程度追加されるかを知りたいです。これは信頼できる安全なものでしょうか、それとも固定の擬似ランダムシーケンスを使用するよりもほんの少しだけ良いでしょうか？エントロピーを高めるために、外部ノイズソースのポーリングを続ける必要がありますか？ エントロピーのソースが適切に暗号化されていなくても構いません（これは単なるプロトタイプのためです）が、コストと品質のトレードオフを理解したいと思います。

12 security  hardware 

Tor wifiルーターを使用すると、IoTは攻撃などからより安全になりますか？ これらのルーターはTorクライアントを提供し、すべてのインターネットトラフィックをVPN経由でトンネルします。サーバーはIPアドレスを識別できないため、これによりインターネットアクセスが匿名化されます。VPNを使用すると、サードパーティのWi-Fiホットスポットを使用して接続している場合でも、インターネットの公共部分でトラフィックを傍受するのが困難になります。ノードとルーターのパスは標準の802.11暗号化を使用し、ルーターとパブリックの部分はVPN内にカプセル化されます。

12 security  networking 

私は自分のホームオートメーションシステムを実装する予定です。中央のRaspberry PIサーバーと、無線（nRF24L01、2.4GHzを使用）を介して中央のRaspberry PIと通信している8ビットPIC16マイクロコントローラーに基づいた多数のセンサーとスイッチが含まれます。 例として考えます 16k ROMと1k RAMを備えたPIC16F1705をます。 システムを保護するには、次のような暗号化アルゴリズムが必要です。 ハッシュ関数 ブロック暗号 乱数ジェネレーター 今、私の質問は： PIC16で利用できる暗号化アルゴリズムはどれですか？ どのアルゴリズムを移植または実装できますか？ たとえば、私の知る限りのAdvanced Encryption Standard（AES）は、RAMの制限のために実装できません。

12 security  microcontrollers  pic  cryptography 

可能であれば、新しいデバイスをブローカーに接続するときに2FA（2要素認証）を使用するにはどうすればよいですか？ 簡単だと思われるため、2番目の要素は最初にソフトウェアソリューションにすることができますが、ハードトークン（RFIDの場合もある）を導入する方法についてのアイデアを歓迎します。 デバイスが最初の接続でのみ認証する必要があり、サーバーが「古い」クライアントを記憶している場合、それは理にかなっています。 アイデアは多分珍しいまたは不適切です-それが悪いアイデアである場合、私にその理由を教えてください。

12 security  mqtt  authentication 

一部のIoTデバイスでは、送信する必要があるデータは機密であるため、プレーンテキストで送信することはできません。そのため、IoTデバイス間で送信されるデータを暗号化する方法を検討してきました。RFID Journalの Webサイトで最近読んだ記事では、NSAが開発したSPECKおよびSIMON暗号がIoTアプリケーションに特に適していると述べています。 NSAは、デバイスがインターネット上の他のユーザーとデータを共有しているモノのインターネット（IOT）のセキュリティを確保するための取り組みの一環として、暗号を無料で公開しています[...]。 [...] NSAの研究者は、すでに使用されているブロック暗号アルゴリズムの改良としてSIMONとSPECKを開発しました。ほとんどの場合、デスクトップコンピューターまたは非常に特殊なシステム向けに設計されています。 IoTデバイスに、特に電力が制限されているアプリケーション（バッテリー電源のみなど）に、SIMONやSPECKなどの新しいアルゴリズムを選択する必要があるのはなぜですか？AESなどの他の暗号化システムと比較した場合の利点は何ですか？

12 security  simon  speck 

壁に設置するシンプルな照明スイッチを使用する予定です。スイッチはバッテリーまたはピエゾから電力を取得し、433 MHzを介してSmartHome-RaspberryPIに接続されたレシーバーに一意のデータシーケンス（オンイベントおよびオフイベント）を送信します。 私は1階に住んでいるので、セキュリティに関していくつかの考慮事項があります。誰かがスイッチが送信する一意のシーケンスを記録および再生できます。 ハードウェアまたはソフトウェアを使用してセキュリティを改善することは可能ですか？

12 security  smart-home  raspberry-pi 

STM32マイクロコントローラーを使用してAWS-IoTに取り組んでいます。 今日まで、証明書をフラッシュに書き込み、フラッシュを外部読み取りからロックしていました。アプリケーションコードが増えると、フラッシュ上のスペースが少なくなるため、証明書を外部でSDカード/ EEPROMに移動し、AWS-IoTに接続する前に必要なときにいつでも読み取ることを計画していました。 ノート： Thing用に作成されたポリシーは、特定の名前のデバイスのみがその特定の証明書に接続することを許可します。 データプロセッサに接続されている2つのチャネル（名前とデータフィードチャネル）のみにパブリッシュすることが許可されています。 Thingが他のトピックをパブリッシュ/サブスクライブすると、AWSはThingを即座に切断します。 デバイスの盗難/不正が検出された場合は、サーバーからキーを無効にします。 悪用者は証明書（RootCA、サーバーキー、クライアントキー）で何ができますか？ 悪用者がアクセスできる外部ストレージにそのようなユースケースの証明書を保持することは悪い習慣ですか？

11 security  mqtt  aws-iot 

これらのデバイスの提供されたセキュリティを比較するために使用できるIoTデバイスの信頼できる証明書はありますか？1 現在、IoTランドスケープには、さまざまなプロトコル、標準、独自のソリューションが完全に散在しています。一方、IoTデバイスはハエのようなボットネットに分類されます。デバイスが特定のレベルのセキュリティに準拠することを顧客が信頼できる標準はありますか？たぶん、提供されたセキュリティを保証する証明書ですか？ 現在の標準がない場合、そのような標準を作成する有望な取り組みはありますか？ 1：免責事項：これは、コミットメント段階でサイトにコミットしなかったと思われるユーザーからのこのArea 51の質問に基づいています。サイトの範囲を定義するのに役立つように投稿したいと思います。

11 security  standards  certifications 

Z-Waveが昨年セキュリティの問題を抱えていたとき、4月の時点ですべての新しい認証にS2 Securityが必須であり、その時点で後退しなかったことが発表されたことを嬉しく思います。 それで、私は今、いくつかのZ-Waveデッドボルトを拾う時だと考えましたが、私が知る限り、それらのどれもS2セキュリティをサポートしていません。 最近11/10/2017に新しく認定されたデバイスでさえ、S2をサポートしていません。 S2セキュリティの本当のスクープは何ですか？古いZ-Waveに対する攻撃は壊滅的でしたが、セキュリティの問題に効果的に対処していると思いました。私はこれについてオンラインで多くの話を見つけることができませんでした。

10 security  zwave 

MQTTは非常に用途が広いですが、それ自体も保護されていません。これは仕様によるものです。 Stanford-Clark氏によると、セキュリティを強化するためにセキュリティメカニズムをMQTTの周りに配置できることを彼とNipperが知っていたため、セキュリティは当初プロトコルから意識的に除外されていました。また、当時、スタンフォードクラーク氏は、気象観測所からの風速データなど、MQTTを介して送信される情報は特に保護する必要はないとしました。- ソース MQTTにラップできるセキュリティメカニズムの1つはTLSです。今日、ほとんどのブローカーがこれをサポートしています。もちろん、ラッピングメジャーによってオーバーヘッドが生じます。このオーバーヘッドは無視できる可能性があります（HiveMQブログを参照）。 現在、私のプロジェクトのMQTTの実行可能性を評価するために、TLSを介したMQTTと単純なMQTTのパフォーマンスの低下に関する情報（できれば信頼できる情報源）を探しています。特に、テクノロジーが多数の加入者に拡大する場合。 MQTT over TLSのパフォーマンスに関する有効なデータを取得するためのプロトタイピング以外の方法はありますか？

10 security  mqtt  tls