Espruino:Примеры/Безопасность и контроль доступа при использовании BLE на Puck.js

Материал из Онлайн справочника
Перейти к навигацииПерейти к поиску

Перевод: Максим Кузьмин
Проверка/Оформление/Редактирование: Мякишев Е.А.


Безопасность и контроль доступа при использовании BLE на Puck.js[1]

В момент, когда вы вынете пластиковый разделитель из батарейного отсека Puck.js, устройство тут же запустится, после чего к нему можно будет подключиться и программировать.

Как и прочие подобные устройства для разработки проектов, Puck.js создан с прицелом на то, чтобы вы могли начать пользоваться им как можно быстрее – без необходимости вводить пароли.

Но как только вы возьмётесь за более-менее серьёзные проекты, то наверняка захотите поставить защиту, чтобы Puck.js не мог перепрограммировать кто-то другой.

Примечание

Если в Puck.js не будет настроена привязка (см. раздел «Привязка и белый список» ниже), Bluetooth-коммуникация будет незашифрованной. В этом случае будьте готовы к тому, что рядом может оказаться злоумышленник с устройством для прослушки Bluetooth-связи, который сможет просматривать всё, что было записано и загружено на Puck.js.

Итак, как же защитить Puck.js? Есть несколько вариантов.

Запретите подключаться к Puck.js

При помощи функции NRF.setAdvertising() вы можете разрешить Puck.js рассылать Bluetooth-объявления, но также сделать так, чтобы к нему не мог подключиться ни один ПК: 

NRF.setAdvertising({}, { connectable:false });

Поставьте пароль при помощи E.setPassword("пароль")

См. тут. В результате UART продолжить работать, и любой компьютер по-прежнему сможет подключиться к Puck.js, но теперь каждый, кто захочет получить доступ к консоли Espruino, должен будет ввести пароль.

Это неидеальный вариант, так как к Puck.js по-прежнему сможет подключиться любой – он просто не получит доступа к JavaScript-консоли.

Спрячьте консоль

При помощи команды LoopbackA.setConsole(true) можно принудительно поместить JavaScript-консоль в Loopback.

В результате консоль будет доступна только через чтение и запись в переменную LoopbackB. Если кто-то подключится к Puck.js, у него по-прежнему будет доступ к UART, но он ничего не сможет сделать.

Всё, что будет записываться в Bluetooth UART, по-прежнему будет доступно в переменной Bluetooth через Bluetooth.on('data', function(data) { ... }), и вы также сможете отправлять ответы при помощи Bluetooth.write(...).

Примечание

Вы больше не сможете программировать Puck.js, пока не выполните сброс или не вызовите Bluetooth.setConsole().

Отключение при обнаружении незнакомого адреса (белый список)

Вы можете легко подцепиться к событию connect, а затем принудительно отключиться, если обнаружится, что подключение инициировано незнакомым адресом. 

NRF.on('connect',function(addr) {
  if (addr!="69:2d:94:d0:9d:97 public")
    NRF.disconnect();
});

У других Puck.js адрес обычно имеет формат "aa:bb:cc:dd:ee:ff random", а у ПК и телефонов это, как правило, что-то вроде "aa:bb:cc:dd:ee:ff public".

Чтобы выяснить, какой MAC-адрес добавить в белый список, загрузите вот этот код: 

devices = [];
NRF.on('connect',function(addr) {
  devices.push(addr);
});
// теперь подключитесь несколько раз
// и посмотрите, что находится в «devices» в левой части IDE
Примечание

Новые версии Android умеют делать «рандомизацию MAC-адреса» – это позволяет им при каждом новом подключении использовать случайный MAC-адрес. В таком случае этот метод не подойдёт.

Примечание

MAC-адреса можно менять, так что этот метод надёжен не на 100%. Впрочем, шансы на то, что кто-то угадает правильный MAC-адрес – не находясь при этом в области подключения в момент, когда соединение активно, чтобы иметь возможность его прослушать – крайне малы.

Отключите BLE UART

Если вы не хотите, чтобы у пользователя был доступ к BLE UART, рекомендуем полностью его отключить при помощи NRF.setServices(). 

NRF.setServices(undefined, {
  uart : false
});

Это полностью отключит сервис UART, в результате чего Puck.js нельзя будет перепрограммировать (пока не выполнить сброс).

Если снова вызвать NRF.setServices() с настройкой uart:true, это возобновит работу UART. К примеру, код ниже выключает и включает UART (а также мигает красным и зелёным светодиодами) при нажатии на кнопку. 

var locked = true;
NRF.setServices(undefined,{uart:!locked}­);
setWatch(function() {
  locked = !locked;
  digitalPulse(locked?LED1:LED2,1,100);
  NRF.setServices(undefined,{uart:!locked}­);
}, BTN, {repeat:true, edge:"rising", debounce:50});

Отключите Bluetooth

Вы можете включить и выключить Bluetooth при помощи функций NRF.sleep() и NRF.wake().

Это остановит рассылку Bluetooth-объявлений, с помощью которых Puck.js объявляет о своём присутствии, а также сделает так, чтобы к Puck.js нельзя было подключиться. Это также увеличит продолжительность работы батареи.

Код ниже мигает красным и зелёным светодиодами, а также включает и выключает Bluetooth. 

var locked = false;
setWatch(function() {
  locked = !locked;
  digitalPulse(locked?LED1:LED2,1,100);
  if (locked) NRF.sleep();
  else NRF.wake();
}, BTN, {repeat:true, edge:"rising", debounce:50});

Привязка / занесение в белый список

В версии Espruino 1v92 в Puck.js была реализована функция привязки. Будучи привязанными, устройства могут создавать безопасное подключение друг к другу.

Puck.js принимает и безопасные, и небезопасные подключения – решение о том, запускать ли процедуру привязки или нет, остаётся за подключающимся устройством. Если вызвать функцию NRF.setWhitelist(true), то следующее устройство, которое будет привязано к Puck.js, будет также добавлено в белый список. В результате устройства, которых нет в белом списке, к Puck.js подключиться не смогут, пока он не будет перезапущен (для этого нужно зажать кнопку).

Сам Puck.js, подключаясь к другому устройству, тоже может инициировать процедуру привязки – это делается с помощью метода startBonding(). Кроме того, подключившись, при помощи функции getSecurityStatus() можно узнать настройки безопасности соединения.

Сопряжение с помощью ключа доступа (пароля)

В версии Espruino 2v02 (и в самых свежих, но нестабильных билдах) можно задать статический ключ доступа (пароль). 

NRF.setSecurity({passkey:"123456", mitm:1, display:1});

При попытке подключения центральное устройство запросит ключ доступа (пароль), и если он окажется неправильным, подключение установлено не будет.

Когда Espruino работает в режиме центрального устройства, которому нужно подключиться к другому устройству, ключ доступа можно ввести при помощи события BluetoothDevice.passkeyRequest и метода BluetoothDevice.sendPasskey() но при этом в NRF.setSecurity должно быть задано keyboard:1).

Отключите команды dump() и E.dumpStr()

Благодаря этим командам тот, у кого есть доступ к консоли Espruino, может легко выгрузить программный код, хранящийся на устройстве.

Их можно отключить при помощи global.dump=function(){};E.dumpStr=function(){};, но полную защиту это не гарантирует, потому что, выполнив некоторые манипуляции, их можно снова включить. Кроме того, если злоумышленник будет иметь доступ к консоли Espruino, то сможет прочесть состояние интерпретатора даже без этих команд. Другими словами, вы можете реконструировать большую часть кода, даже не используя dump().

Если вас беспокоит то, что кто-то может прочесть ваш код, лучше вообще отключите консоль (см. выше).

См.также

Внешние ссылки

  1. www.espruino.com - Bluetooth LE Security and Access Control
Партнерские ресурсы
Криптовалюты
Магазины
Хостинг
Разное
Справочник по API Espruino
Глобальные методы, переменные и объекты acceleration()analogRead()analogWrite()argumentsatob()Объект Bluetoothbtoa()changeInterval()clearInterval()clearTimeout()clearWatch()compass()decodeURIComponent()digitalPulse()digitalRead()digitalWrite()dump()echo()edit()encodeURIComponent()eval()FETgetPinMode()getSerial()getTime()globalHIGHОбъект I2C1Объект I2C2Объект I2C3InfinityisFinite()isNaN()load()Объект LoopBackAОбъект LoopBackBLOWNaNparseFloat()parseInt()peek16()peek32()peek8()pinMode()poke16()poke32()poke8()print()require()reset()save()SCLSDAОбъект Serial1Объект Serial2Объект Serial3Объект Serial4Объект Serial5Объект Serial6setBusyIndicator()setDeepSleep()setInterval()setSleepIndicator()setTime()setTimeout()setWatch()shiftOut()show()Объект SPI1Объект SPI2Объект SPI3Объект TelnetОбъект Terminaltrace()Объект USBVIBRATE
Класс AES decrypt()encrypt()
Класс Array Array()concat()every()fill()filter()find()findIndex()forEach()includes()indexOf()isArray()join()lengthmap()pop()push()reduce()reverse()shift()slice()some()sort()splice()toString()unshift()
Класс ArrayBuffer ArrayBuffer()byteLength
Класс ArrayBufferView bufferbyteLengthbyteOffsetfill()filter()find()findIndex()forEach()includes()indexOf()join()map()reduce()reverse()set()slice()sort()
Класс Bangle accelaccelRd()accelWr()aiGesturebeep()buzz()chargingcompassWr()dbg()drawWidgets()F_BEEPSETfaceUpgesturegetAccel()getCompass()getLCDMode()getLogo()GPSGPS-rawHRMioWr()isCharging()isLCDOn()lcdPowerlcdWr()loadWidgets()magoff()project()setCompassPower()setGPSPower()setHRMPower()setLCDBrightness()setLCDMode()setLCDOffset()setLCDPower()setLCDTimeout()setOptions()setPollInterval()showLauncher()stepswipetouchtwist
Класс BluetoothDevice connectedgattgattserverdisconnectedpasskeypasskeyRequestrssisendPasskey()
Класс BluetoothRemoteGATTCharacteristic characteristicvaluechangedreadValue()startNotifications()stopNotifications()writeValue()
Класс BluetoothRemoteGATTServer connect()disconnect()getPrimaryService()getPrimaryServices()getSecurityStatus()setRSSIHandler()startBonding()
Класс BluetoothRemoteGATTService getCharacteristic()getCharacteristics()
Класс Boolean Boolean()
Библиотека CC3000 connect()
Класс Console log()
Библиотека crypto AESPBKDF2()SHA1()SHA224()SHA256()SHA384()SHA512()
Класс DataView DavaView()getFloat32()getFloat64()getInt16()getInt32()getInt8()getUint16()getUint32()getUint8()setFloat32()setFloat64()setInt16()setInt32()setInt8()setUint16()setUint32()setUint8()
Класс Date Date()getDate()getDay()getFullYear()getHours()getMilliseconds()getMinutes()getMonth()getSeconds()getTime()getTimezoneOffset()now()parse()setDate()setFullYear()setHours()setMilliseconds()setMinutes()setMonth()setSeconds()setTime()toISOString()toJSON()toString()toUTCString()valueOf()
Библиотека dgram createSocket()
Класс dgramSocket addMembership()bind()Функция close()Событие close()messagesend()
Класс E asm()clip()compiledC()connectSDCard()convolve()CRC32()defrag()dumpFragmentation()dumpFreeList()dumpLockedVars()dumpStr()dumpTimers()dumpVariables()enableWatchdog()errorFlagFFT()flashFatFS()getAddressOf()getAnalogVRef()getBattery()getConsole()getErrorFlags()getFlags()getRTCPrescaler()getSizeOf()getTemperature()HSBtoRGB()hwRand()initkickWatchdog()killlockConsole()lookupNoCase()mapInPlace()memoryArea()memoryMap()nativeCall()openFile()pipe()reboot()reverseByte()sendUSBHID()setBootCode()setClock()setConsole()setFlags()setPassword()setRTCPrescaler()setTimeZone()setUSBHID()showAlert()showMenu()showMessage()showPrompt()srand()sum()toArrayBuffer()toJS()toString()toUint8Array()unmountSD()variance()
Класс Error Error()toString()
Библиотека ESP8266 crc32()deepSleep()dumpSocketInfo()getFreeFlash()getResetInfo()getState()logDebug()neopixelWrite()ping()printLog()readLog()reboot()setCPUFreq()setLog()
Класс Ethernet getHostname()getIP()getStatus()setHostname()setIP()
Класс File close()pipe()read()seek()skip()write()
Библиотека Flash erasePage()getFree()getPage()read()write()
Класс Float32Array Float32Array()
Класс Float64Array Float64Array()
Библиотека fs appendFile()appendFileSync()mkdir()mkdirSync()pipe()readdir()readdirSync()readFile()readFileSync()statSync()unlink()unlinkSync()writeFile()writeFileSync()
Класс Function apply()bind()call()Function()replaceWith()
Класс Graphics asBMP()asImage()asURL()bufferclear()clearRect()createArrayBuffer()createCallback()createImage()createSDL()drawCircle()drawEllipse()drawImage()drawImages()drawLine()drawLineAA()drawPoly()drawPolyAA()drawRect()drawString()dump()fillCircle()fillEllipse()fillPoly()fillRect()flip()getBgColor()getColor()getFont()getFontHeight()getFonts()getHeight()getInstance()getModified()getPixel()getWidth()lineTo()moveTo()quadraticBezier()reset()scroll()setBgColor()setClipRect()setColor()setFont()setFontAlign()setFontBitmap()setFontCustom()setFontVector()setPixel()setRotation()stringWidth()toColor()transformVertices()
Библиотека heatshrink compress()decompress()
Библиотека http createServer()get()request()
Класс httpCRq drainend()errorwrite()
Класс httpCRs available()closedataerrorheadershttpVersionpipe()read()statusCodestatusMessage
Класс httpSRq available()closedataheadersmethodpipe()read()url
Класс httpSRs closedrainend()headerssetHeader()write()writeHead()
Класс httpSrv close()listen()
Класс I2C find()I2C()readFrom()setup()writeTo()
Класс Int16Array Int16Array()
Класс Int32Array Int32Array()
Класс Int8Array Int8Array()
Класс InternalError InternalError()toString()
Класс JSON parse()stringify()
Класс Math abs()acos()asin()atan()atan2()ceil()clip()cos()Eexp()floor()LN10LN2log()LOG10ELOG2Emax()min()PIpow()random()round()sin()sqrt()SQRT1_2SQRT2tan()wrap()
Класс Microbit accel()accelOff()accelOn()accelWr()gesturemag()MICMIC_ENABLEplay()record()SPEAKER
Класс Modules addCached()getCached()removeAllCached()removeCached()
Библиотека neopixel write()
Библиотека net connect()createServer()
Библиотека NetworkJS create()
Класс NodeMCU A0D0D1D2D3D4D5D6D7D8D9D10
Класс NRF characteristicsDiscoverconnectconnect()disconnectdisconnect()filterDevices()findDevices()getAddress()getAdvertisingData()getBattery()getSecurityStatus()HIDnfcAndroidApp()NFCoffNFConnfcPair()nfcRaw()NFCrxnfcSend()nfcStart()nfcStop()nfcURL()requestDevice()restart()securitysendHIDReport()servicesDiscoversetAddress()setAdvertising()setConnectionInterval()setLowPowerConnection()setRSSIHandler()setScan()setScanResponse()setSecurity()setServices()setTxPower()setWhitelist()sleep()updateServices()wake()
Класс Nucleo A0A1A2A3A4A5D0D1D2D3D4D5D6D7D8D9D10D11D12D13D14D15
Класс Number MAX_VALUEMIN_VALUENaNNEGATIVE_INFINITYNumber()POSITIVE_INFINITYtoFixed()
Класс Object assign()clone()create()defineProperties()defineProperty()emit()getOwnPropertyDescriptor()getOwnPropertyNames()getPrototypeOf()hasOwnProperty()keys()lengthObject()on()removeAllListeners()removeListener()setPrototypeOf()toString()valueOf()
Класс OneWire OneWire()read()reset()search()select()skip()write()
Класс Pin getInfo()getMode()mode()Pin()read()reset()set()toggle()write()writeAtTime()
Класс Pixl getBatteryPercentage()lcdw()menu()setContrast()setLCDPower()
Класс process envmemory()uncaughtExceptionversion
Класс Promise all()catch()Promise()reject()resolve()then()
Класс Puck accelaccel()accelOff()accelOn()accelRd()accelWr()capSense()getBatteryPercentage()getTemperature()IR()light()mag()magmagOff()magOn()magRd()magTemp()magWr()selfTest()
Класс ReferenceError ReferenceError()toString()
Класс RegExp exec()RegExp()test()
Класс Serial available()datafind()framinginject()paritypipe()print()println()read()Serial()setConsole()setup()unsetup()write()
Класс Server close()listen()
Класс Socketavailable()closedatadrainend()errorpipe()read()write()
Класс SPIfind()send()send4bit()send8bit()setup()SPI()write()
Библиотека Storage compact()debug()erase()eraseAll()getFree()list()open()read()readArrayBuffer()readJSON()write()writeJSON()
Класс StorageFile erase()getLength()read()readLine()write()
Класс String charAt()charCodeAt()endsWith()fromCharCode()includes()indexOf()lastIndexOf()lengthmatch()padEnd()padStart()repeat()replace()slice()split()startsWith()String()substr()substring()toLowerCase()toUpperCase()trim()
Класс SyntaxError SyntaxError()toString()
Библиотека TelnetServer setOptions()
Библиотека tensorflow create()
Класс TFMicroInterpreter getInput()getOutput()invoke()
Библиотека tls connect()
Библиотека tv setup()
Класс TypeError toString()TypeError()
Класс Uint16Array Uint16Array()
Класс Uint24Array Uint24Array()
Класс Uint32Array Uint32Array()
Класс Uint8Array Uint8Array()
Класс Uint8ClampedArray Uint8ClampedArray()
Класс url parse()
Класс Waveform startInput()startOutput()stop()Waveform()
Библиотека WiFi associatedauth_changeconnect()connecteddhcp_timeoutdisconnect()disconnectedgetAPDetails()getAPIP()getDetails()getHostByName()getHostname()getIP()getStatus()ping()probe_recvrestore()save()scan()setAPIP()setConfig()setIP()setSNTP()sta_joinedsta_leftstartAP()stopAP()turbo()
Класс WioLTE A4A6D20D38I2CLED()setGrovePower()setLEDPower()UART
Библиотека WIZnet connect()
Класс WLAN connect()disconnect()getIP()reconnect()setIP()

Источник — http://wikihandbk.com/ruwiki/index.php?title=Espruino:Примеры/Безопасность_и_контроль_доступа_при_использовании_BLE_на_Puck.js&oldid=7737205