タグ付けされた質問 「security」

インターネットアクセスの有無にかかわらず、ローカルネットワークに接続されたIoTデバイス（デフォルト設定、VPNなし、NATなし、DMZなし）を検討しています。私のデバイスは、認証と承認を備えたRPCメカニズムを提供するHTTPサーバーとして実行されます。それはmDNSでそれ自身を宣伝し、私は私のモバイルアプリまたは私のRaspberryPiを使用してそれに話します。 IoT開発の標準は相互（双方向）SSLを持つことです。 これは、一方向SSLではトラフィックを保護できないことを意味しますか？どうして？ ノート： 一方向SSLと双方向SSLの技術的な違いを理解していますが、IoTの生産で一方向（ほとんど）が考慮されない理由がわかりません。 ローカルデバイスに相互SSLを設定するのは難しいことを理解しています。サーバーの公開鍵と証明書をクライアントと共有する必要があり、その逆も同様です。一方、一方向の方が簡単に見えます（ユーザーの操作は必要ありません）。 Philips Hueのような一部の大量生産されたデバイスは、一方向SSL暗号化よりもローカルのhttpエンドポイントを開き、安全ではありません。なぜこの選択​​をするのでしょうか？ この質問は意見に基づくものではないと思います。この場合はお詫び申し上げます。

9 security  wifi  https  tls 

あなたの車に差し込むことができるこれらのデバイスがあり、保険会社はあなたの保険費用を「下げる」ためにリアルタイムのデータを得ることができます。 USNews、2016年からの画像。 彼らはどのようにインターネットに接続しますか？衛星？モバイルネットワーク？Googleで検索しても、あまり情報が得られません。 デバイスが車のコンピューターに接続されると、コンピューターが収集したすべてのデータを確認でき、保険会社がプログラムで見つけたものをすべて取得します。次に、ワイヤレス技術を使用して、その情報を保険会社に送信します。 USNews。、それらの自動車保険追跡装置はどのように機能しますか？、2016 それ以外に、それらのデバイスはどのくらい安全ですか？中間者攻撃は可能ですか？送信されているデータを変更する可能性はありますか？

9 security  communication 

セットアップ： ブロードバンド接続を介してインターネットに接続されているマスターノードとしてRaspberry Piを使用しています。raspberrypiは、いくつかのセンサーや他のマイクロコントローラーを接続します。Piはクラウドホスティングプロバイダーのサーバーに継続的に接続されます。 質問は次のとおりです。 権限のないユーザーがラズベリーPiにアクセスできないようにするにはどうすればよいですか？ PiへのDDoS攻撃を防ぐにはどうすればよいですか？ PiへのアクセスにDDNS（ダイナミックDNS）をどのように使用する必要がありますか？

9 security  networking  raspberry-pi 

リソース制約のあるデバイス（OSファームウェアのない8ビットMCU）のプロトタイプがあり、Webサーバーと対話しています。Webからデバイスファームウェアを更新するためのソリューション、フレームワーク、またはクラウドサービスはあるのでしょうか。私の研究によると、Microsoft IoT Hubがありますが、そのようなリソースに制約のあるデバイスには適していないと思います。私が見つけたもう1つの解決策があります。mbedクラウドポータルですが、それがどのように機能するかわかりません。誰かがアドバイスを介して私を助けることができますか、おそらく安全で堅牢な方法で組み込みデバイス用の無線によるファームウェアのアップグレードを実装するためのいくつかのベストプラクティスがありますか？

9 security  microcontrollers  over-the-air-updates 

Wi-Fiに多数のIoTスイッチが接続されています。 それらを接続して制御する3つの可能性を認識しています。 直接Wi-Fi経由（Samsung SmartThingsと同様） それらをパーソナルVLANに接続して使用します（より安全なようです）。 すべてのデバイスをマスターのようなRaspberry Pi（または類似のもの）に接続し、デバイスをそれに接続します。 どちらが比較的安全ですか（IoTで最も安全）。より良い解決策はありますか、そしてそれぞれがどれほど難しいでしょうか？

9 security  networking 

今日、私は（おそらく）ホームオートメーションのセットアップで重大なセキュリティリークに遭遇しました。 シナリオ Raspberry Piにha bridge githubプロジェクトをインストールし、主に何ができるかを確認しました。文字通り、最初のいくつかのステップに従って、habridgeをダウンロードして起動しました。驚いたことに、私のLogitech Harmony Hubは彼のすべての情報を新しい橋と自由に共有しているようです。資格情報をまったく入力していません。私が提供した唯一のものは、HarmonyのIPアドレスと偽のデバイス名でした（つまり、私のハブには、LogitechとAlexaのすべての目的で実際に別の表示名が付いています）。 ハブは、構成されたすべてのデバイスに関する情報を共有するだけでなく、それらのアクティビティを自由にトリガーすることもできます。私はそれをテストしました、彼らは素晴らしい働きをします。 デスクトッププログラムとモバイルアプリの両方を調べました。どちらも、セキュリティオプションをアクティブにする方法を提供していないようです。 ハブリッジのログを見ると、ハーモニーが発生したすべてのことを明らかにブロードキャストしていることがわかります。そこで見ることができるアクティビティ（トリミングされたIDを除く）は、Harmonyアプリによってトリガーされました。ハブがオフラインになるとすぐにハブリッジに知らせるハートビートもあります。 質問 ハブをパッケージ化して、安全でないデバイスの元の場所に送り返す以外に、ハブを保護する方法はありますか？

9 security  logitech-harmony 

私は最近IFTTTに登録しました。これは、スマートホームを作成したり、さまざまなサービスを自動化したりするためにイベントをチェーン化する素晴らしいサービスのようです。 単純なHTTP要求（GETやPOSTなど）を作成できるMakerチャネルを見つけました。これを使用して、API要求を待機している実行中のRaspberry Piにメッセージを安全に送信したいと思っています。特定のルート（たとえば、としましょうPOST /foo）。 Makezineの記事私がリンクされ、セキュリティのために、この方法が提案されています。 さて、上でやったことは恐ろしく安全ではありませんでした。基本的に、家の照明を制御するスイッチのオンとオフを切り替えることができるスクリプト（つまりWebアプリケーション）を世界に公開しました。これは明らかにあなたがやりたいことではありませんが、IFTTTのサービスがより多くの情報をリモートサービスに渡す機能を提供するのはそのためです。 たとえば、2つの間にTOTP認証リンクを設定したり、トークンや鍵交換を設定したり、IFTTTアカウント自体を保護したりすることは難しくありませんか？彼らは二要素認証を追加しました。 ウィキペディアで時間ベースのワンタイムパスワードの詳細を読みました。これは、ワンタイムパスワードを生成するために、計算の要素が含まれていることを示唆しているようです。 IFTTTはタスクのチェーンやスクリプトをサポートしていないため、記事で提案されているようにTOTPを生成するにはどうすればよいですか？いくつかの計算が必要であり、これらを行う方法がないように見えるので、これを行うことはまったく可能ですか？

9 security  ifttt  one-time-password 

この記事はImage WareのCEOを引用しており、 [ソリューション]は、マルチモーダルバイオメトリクスであり、悪意のある人物がコンピュータシステムにアクセスすることを事実上不可能にしていると主張しています。 彼の会社は既存のハードウェアとプラットフォームを使用して、物理的特徴認識アルゴリズム（指、手のひら、手とプリント、顔、目、虹彩）を、今日のモバイルデバイスにある一般的な生体認証データセンサーを使用する他のアルゴリズムと接続しています。 私の直感は彼が何とかこれを誇張しているということですが、これが真実ではない理由を指で言えません。マルチセンサーのアプローチが本当に効果的だったとしたら、今ではそのような戦略のハードウェアとソフトウェアがどこにでも見られるように思えます。 多様なセンサーのIoTネットワークは、効率的で効果的なセキュリティ戦略になるでしょうか？（マルチセンサーアプローチは効果的ですか？） 落とし穴は何ですか？

9 security  sensors  machine-learning  biometrics 

休業。この質問には、より焦点を当てる必要があります。現在、回答を受け付けていません。 この質問を改善してみませんか？質問を更新して、この投稿を編集するだけで1つの問題に焦点を当てます。 3年前休業。 一連のIoTデバイスにOTA更新を発行する場合に従うべき最良のセキュリティプラクティスは何ですか？懸念の主な原因は何ですか？ 例えば、 更新が傍受されるのを防ぐ 確立された基準に従って ソフトウェア配布用のプラットフォーム 自動更新とオプションの更新

8 security  over-the-air-updates 

私はXiaomi Miロボット掃除機を持っていて、毎日午後7時40分に不正なインターネットメッセージによって起動されています。いくつかの起動の直前と直後にDD-WRTルーターファームウェアからアクティブIPテーブルを保存し、次の一意のIPリモート（外部）アドレスを見つけました。ここで、ソース（ローカル）IPはスイーパーのIPでした。 52.80.189.157 52.80.66.219 ルーターのDD-WRTファームウェアのファイアウォールを変更して、「管理」の「コマンドライン」入力から52.80.xx.xxアドレスをすべて含めることはできますか？

8 security  hardware  xiaomi-mi 

XMPPとその拡張機能について読んでいます。それらの1つは（XEP-xxxx：Sensor-Over-XMPP）と呼ばれ、非常に興味深いものです。 エンドツーエンド暗号化用のOMEMOプロトコルである別のXMPP拡張機能についても読みました。 両方を組み合わせることは可能ですか？エンドツーエンドで暗号化されたセンサーデータを取得するには また、考慮すべき考慮事項は何ですか？

8 security  networking  sensors 

IoTベースのスマートホームに対するセキュリティリスクの増加に伴い、多くのセキュリティアプライアンスが商品化されています。これらのアプライアンスまたはボックスは、マルウェア、サイバー攻撃からホームネットワークを保護し、消費者のデータプライバシーを保護すると主張しています。 この分野では、F-Secure（SENSE）、BitDefender BOX、その他多くの参加者のリストが増えています。 これらのボックスが技術的にどのように機能するか知りたいのですが、それらの中にオープンソースはありますか？ これらは単に従来のIDS / IPS /ファイアウォールのように機能しますか。多くの違いがあり、「クラウドサポート」もその1つです。他の違いはありますか？

8 smart-home  security 

自宅のWi-Fiに接続する必要がある画面のない接続デバイスを構築しています。WPSはオプションではありません。デバイスには、Wi-Fiハードウェアに加えてBluetoothモジュールが搭載されます。QRコードも同様に行うことができます。 また、デバイスをセットアップしてWifiセットアップへのアクセスを許可する手順をユーザーに説明するiOSアプリも作成しています。誰かが最適な通信プロトコルに関する技術的な詳細を手伝ってくれませんか？ ユーザーがアプリを使用してデバイスをセットアップできるように、デバイスをアプリに接続させます デバイスの画面としてアプリを使用して、利用可能なSSIDから選択し、パスワードを入力して、自宅のWi-Fiに接続します 以下の2つのオプションを検討しました。 BLEを使用してiOSアプリをデバイスに接続し、BLEを使用してWi-Fi SSIDリスト、デバイスとアプリ間のログイン認証情報を渡します。 Wi-Fiを使用してデバイスに接続し、Wi-Fi SSIDリストとデバイスとアプリ間のログイン認証情報を渡す ユーザーエクスペリエンス、信頼性（最初の試行で完了する）、労力（構築するための労力が少ない）の点でどのように比較しますか？

8 security  wifi 

IoTデバイスは通常、低利益率と低電力仕様で構築されているため、機能は通常、必要な機能に制限されます。ただし、数年続くと予想されるデバイスの場合、セキュリティの脆弱性と修正が必要な問題が発生します（例としてMiraiボットネットを参照）。 IoTメーカーとして、暗号化アルゴリズムまたはセキュリティプロトコルのパッチ適用またはアップグレードをリモートで有効にするにはどうすればよいですか。どの基準に従うべきですか？

8 security  over-the-air-updates 

OpenIoTプロジェクトについて読んだだけです。はっきりさせておきたい点がいくつかあります。 ワイヤレスセンサーノードでSYN-Flood攻撃検出を実行したい。送信モジュールは、Arduinoボード、センサー、RF送信機で構成されています。受信側では、ログ分析が実行されるRaspberry Piを使用しています。このシステム全体をOpenIoTでシミュレートできるのでしょうか？ OpenIoTの説明によると、世界のほぼすべてのセンサー（ノード）からデータを収集して処理します。センサーノードを統合することは可能ですか？（またはすでに利用可能なセンサーノードからデータを取得）、攻撃をシミュレートし、攻撃検出のためにログ分析を行いますか？ここで、OpenIoTの攻撃検出用のプラグインを導入できますか（ただし、非常に大きな音がします！）？または、ログを取得したら、セキュリティ攻撃を検出する他の方法はありますか？ また、私は学習段階にあるので、OpenIoTに関する知識を自由に共有してください。

8 security