樹立登山者從九蟲書中獲取一頁

eSpressif esp8266芯片組是三美元的“事物互聯網”發展委員會的經濟現實。根據流行的自動固件建築工地Nodemcu-Builds，在過去的60天內有13,341個自定義固件為該平台構建。其中，只有19％的SSL支持，10％包括加密模塊。 我們往往批評IOT部門缺乏安全，經常覆蓋殭屍網絡和其他攻擊，但我們將把我們的項目置於我們需求的相同標準嗎？我們會停下來識別問題，還是我們可以成為解決方案的一部分？ 本文將專注於使用運行Nodemcu固件的流行ESP8266芯片對MQTT協議應用AES加密和哈希授權功能。我們的目的不是提供複製/粘貼靈棍，而是逐步完成流程，沿途識別挑戰和解決方案。結果是一個系統，該系統是端到端加密和認證，防止沿途竊聽，並欺騙有效數據，而無需依賴於SSL。 我們知道還有更強大的平台，可以輕鬆地支持SSL（例如Raspberry PI，Orange Pi，FriendlyArm），但讓我們從我們大多數人躺在最便宜的硬件上開始，以及適合我們許多項目的協議。如果您需要，AES是您可以在AVR上實施的東西。 理論 MQTT是一個輕量化的消息傳遞協議，在TCP / IP之上運行，通常用於IOT項目。客戶端設備訂閱或發佈到主題（例如，傳感器/溫度/廚房），這些消息由MQTT代理中繼。有關MQTT的更多信息，可在其網頁或我們自己的入門系列中提供。 MQTT協議沒有超出用戶名/密碼身份驗證的任何內置安全功能，因此通過SSL對網絡進行加密和認證是通用的。但是，SSL對ESP8266和啟用時，SSL可能更加苛刻，因此您將留下更少的內存為您的應用程序。作為輕量級替代方案，您只能加密已發送的數據有效負載，並使用會話ID和散列函數進行身份驗證。 直接執行此操作的是使用Lua和Nodemcu加密模塊，包括支持CBC模式中AES算法以及HMAC哈希函數。使用AES加密正確需要三件事來生成密文：消息，密鑰和初始化向量（IV）。消息和鍵是簡單的概念，但初始化向量值得一些討論。 當您在具有靜態鍵的AES中對消息進行編碼時，它將始終產生相同的輸出。例如，用key“1234567890abcdef”加密的消息“UsernamePassword”可能會產生“E40D86C04D723AFF”等結果。如果使用相同的密鑰和消息再次運行加密，則會獲得相同的結果。這為您打開了幾種常見類型的攻擊，特別是模式分析和重放攻擊。 在模式分析攻擊中，您可以使用給定數據的知識始終產生相同的密文來猜測不同消息的目的或內容而沒有實際知道密鑰。例如，如果在所有其他通信之前發送消息“E40D86C04D723AFF”，則可能會迅速猜測它是登錄。簡而言之，如果登錄系統是簡單的，則發送該數據包（重播攻擊）可能足以將自己標識為授權用戶，並且混亂隨之而來。 IVS使模式分析更加困難。 IV是與修改結束密文結果的密鑰一起發送的數據。顧名思義，它在數據進入之前初始化加密算法的狀態。對於發送的每條消息，IV需要不同，以便重複的數據加密到不同的密文，以及一些密碼（如AES-CBC）需要它是不可預測的 – 實現這一目標的實用方法只是為了每次隨機調整它。 IVS不必保密，但典型以某種方式混淆它們是典型的。 雖然這可以防止模式分析，但它沒有幫助重播攻擊。例如，重傳給定的一組加密數據仍將重複結果。為防止，我們需要驗證發件人。我們將使用公共，偽偽裝生成的每條消息的會話ID。通過發佈到MQTT主題，可以由接收設備生成此會話ID。 防止這些類型的攻擊在幾種常見用例中是重要的。互聯網控制的爐灶存在，拋開效用，如果他們沒有使用不安全的命令，那將是很好的。其次，如果我是從一百個傳感器的數據記錄，我不希望任何人用垃圾填充我的數據庫。 實用加密 在Nodemcu上實施上述需要一些努力。您將需要編譯的固件，除了任何其他人之外，還包括“加密”模塊您的申請。不需要SSL支持。 首先，讓我們假設您與以下內容的內容連接到MQTT代理。您可以將其實現為來自加密學的單獨功能，以保持清潔。客戶端訂閱了SessionID頻道，該頻道適當地發布了很長的偽隨機會話ID。您可以加密它們，但這不是必需的。 1 2 3. 4. 5.

[Kevin Lynagh]對微小的PCB步進電機感興趣，並在審查各種項目和專利後迄今為止，決定使其成為自己嘗試。這些通常是展開的步進電機，該步進電機在PCB上展開並使PCB的跡線充當作為線圈和微小的磁性“機器人”作為轉子。 如果你想自己嘗試這個概念，[凱文]的帖子包括對現有技術和項目的特殊調查，以及探索這些事情如何工作背後的理論。他已經深入了解了這個理論，足夠深處掌握發生的事情並建立一些初步的原型，並有一點信心。首先是作為概念驗證的手工纏繞的平線線圈。接下來是PCB版本，幾乎完全按計劃工作，但在踩回並進行一些計算之前，他承認要燃燒電機摩托車電路。 我們在2014年介紹了一個這樣的項目，並在2018年讀者[Bobricius]的Hackaday.IO磁力機器人項目。除了示範之外，您是否曾在任何方面使用過這項技術？讓我們在下面的評論中了解。 感謝[Adrian]向我們發送提示。

亞馬遜被迫公開描述其Alexa能力的產品之一最終如何錄製配偶和配偶之間的私人對話合夥人，然後將對話發送給丈夫的員工。 如果要相信這種解釋，那麼這是一系列不幸事件的情況，而不是積極惡意或侵入性。 根據對位於波特蘭的電視台Kiro 7的採訪，亞馬遜Echo設備中的Alexa能夠記錄一名名為Danielle和她的丈夫的女性之間的對話。然後，好像錄音還不夠糟糕，硬件隨後將完整的私人對話直接轉發給了丹妮爾丈夫的員工，這表明個人能夠聆聽完整的對話。 亞馬遜已經確認，這種情況實際上確實是在電視採訪中規定的，但澄清說，由於Alexa錯誤地認為它聽到了一系列命令：問題發生了： 迴聲醒來，因為背景對話中的一個單詞聽起來像“ Alexa”。然後，隨後的對話是作為“發送消息”請求聽到的。在這一點上，Alexa大聲說：“向誰？”屆時，背景對話被解釋為客戶聯繫人列表中的名稱。然後，Alexa大聲問：“ [聯繫人名稱]，對吧？”然後，Alexa將背景對話解釋為“正確”。儘管這些事件不太可能，但我們正在評估選項以使這種情況的可能性更低。” 因此，這就是亞馬遜的解釋，並發出了《邊緣》。很棒的是，亞馬遜非常意識到，這聽起來完全不可行，因此可以做出許多解釋，以激活這一系列事件。充其量，整個發生的情況表明，亞馬遜以及其他數字助手的創造者仍然需要做很多工作，以確保這種類型的事件不會再發生。最糟糕的是，它突出瞭如果毫無疑問以惡意的方式編程，他們在我們家中的侵入性數字助手如何。 不過，如果您實際上有任何亞歷克斯（Alexa）運行的亞馬遜硬件，那麼您自己可能會知道，根據其認為是關鍵字的內容，它很容易與生活有關的自發行為。 （來源：Kiro-TV） 您可能還想檢查一下： PUBG Mobile 0.7.1 Beta APK，iOS應用程序推出，補丁筆記。 直播WWDC 2018在Android，Windows，iOS，Mac，Apple TV上在線上的主題演講，這就是這樣 免費的iPhone個人熱點連接而無需越獄或臨時互聯網共享：是的，現在有可能 iOS 11.3.1越獄項目月亮在視頻上演示 下載iOS 11.4 Beta 6 IPSW鏈接和OTA更新[僅測試器] iPhone和iPad上的越獄iOS 11.3