اینترنت اشیایی ایمن داشته باشیم

تاریخ: 95/8/8

تهديدات اينترنت اشيا

تهديدات متوجه اينترنت اشيا را مي‌توان به سه دسته تقسيم‌بندي کرد: محرمانگي، امنيت و ايمني. به‌گفته متخصصان اين حوزه، تهديدات اينترنت اشيا وسيع بوده و به‌صورت بالقوه مي‌توانند سيستم را از کار بيندازند. اينترنت اشيا مي‌تواند به‌دليل دارا بودن زيرساخت‌هاي حياتي، هدف خوبي براي جاسوسي ملي و صنعتي و نيز از کار انداختن خدمات و ديگر انواع حملات باشد. موضوع نگران‌کننده ديگر مي‌تواند محرمانگي اطلاعات شخصي ذخيره‌شده در شبکه باشد که خود آن براي مجرمان سايبري جذاب است.

چيزي که بايد در ارزش‌يابي مربوط به نيازهاي امنيتي در نظر گرفت اين است که اينترنت اشيا هنوز کاري ناتمام و در حال رشد است. در حال حاضر تجهيزات بسياري به اينترنت متصل هستند که همواره بر تعدادشان افزوده مي‌شود و در آينده نزديک اشتراک‌گذاري زمينه‌اي داده و رفتارهاي خودمختار ماشيني برحسب اين اطلاعات نيز حضور خود را بيشتر نشان خواهند داد. اينترنت اشيا اختصاص حضور مجازي به يک شيء فيزيکي بوده و با توسعه هر چه بيشتر آن، اين حضور مجازي با اين اطلاعات زمينه‌اي تعامل برقرار کرده و اين تجهيزات مي‌توانند بر اساس آن‌ها تصميم‌سازي کنند. اين امر موجب به‌وجود آمدن تهديدات فيزيکي براي زيرساخت‌هاي ملي، املاک و دارايي‌ها (خانه و خودرو)، محيط اطراف، انرژي برق، تأمين غذا و آب و غيره خواهد شد.

ما بايد اين حالت را در نظر بگيريم که هم‌زمان با اتصال اشياي متنوعي به يک محيط متصل به هم، اين تجهيزات ممکن است امنيت فيزيکي خود را از دست بدهند و در يک محيط نه‌چندان دوستانه مي‌تواند به دست افرادي بيفتد که به‌صورت ناجوانمردانه کنترل‌ها را به‌دست بگيرند؛ حمله‌کنندگان مي‌توانند داده‌ها را خوانده و تغيير دهند و بتوانند عملکرد سيستم را تغيير دهند و به ريسک موجود بيفزايند.

   تهديدات جدي هستند

در ميان مثال‌هاي پيش‌آمده، موردي وجود داشت که محققان توانسته بودند به داخل دو خودرو نفوذ کنند و از طريق وايرلس توانستند ترمزها را از کار بيندازند، چراغ‌ها را خاموش کنند و ترمزها را در حالت خارج از کنترل راننده قرار دادند. در موردي ديگر با هک شدن سيستم ناوبري GPS توسط محققان، يک قايق تفريحي لوکس از مسير اصلي خود به جاي ديگري هدايت شد.

پال هنري، مدير امنيتي در شرکت امنيتي VNet در بوينتون بيچ فلوريدا و مدرس ارشد در موسسه آموزشي و تحقيقاتي SANS در بتسداي مريلند، مي‌گويد: ما قبلاً نيز هک شدن دستگاه‌هاي تلويزيون و دوربين‌هاي مداربسته براي نظارت کودکان را ديده بوديم که سؤالات بسياري در مورد محرمانگي ايجاد کرده بود و نيز هک شدن کنتورهاي برق براي سرقت انرژي نيز به کَرّات اتفاق افتاده بود. او ادامه مي‌دهد: «مقاله‌اي اخيراً در مورد هک شدن يک لامپ خواندم. مي‌توانم تصور کنم که يک کرم به تعداد زيادي دستگاه متصل به رايانه نفوذ کرده و آن‌ها را به‌نوعي بات‌نت وارد مي‌کنند. به ياد داشته باشيد که آدم بدها تنها قدرت کنترل گرفتن يک دستگاه را نمي‌خواهند، بلکه براي آن‌ها دسترسي به يک پهناي باند و استفاده از آن براي حملات DDoS (حمله محروم‌سازي از سرويس) است که اهميت بيشتري دارد.»

از نظر هنري بزرگ‌ترين نگراني اين است که کاربران، امنيت تجهيزات متصل را پراهميت ندانند. «موضوع اين است که پهناي باند اشغال شده از طريق دستگاه مي‌تواند براي حمله به شخص ثالثي مورد استفاده قرار گيرد. بات‌نتي با حدود 100 ميليون دستگاه متصل اينترنت اشيا را تصور کنيد که همگي با هم درخواست مشروعي به وب سايت ديگر از طريق دامنه وب شرکت شما ارسال کنند.»

 متخصصان اينترنت اشيا مي‌گويند که اين فناوري مي‌تواند چالش‌هاي امنيتي پيچيده‌اي را براي سازمان‌ها به‌وجود آورد. با خودمختار شدن ماشين‌ها آن‌ها مي‌توانند با ديگر ماشين‌ها ارتباط برقرار کنند و تصميماتي را بگيرند که مي‌تواند روي دنياي فيزيکي تاثيرگذار باشد. ما قبلاً مشکل نرم‌افزارهاي خريد و فروش را ديده‌ايم که اين نوع نرم‌افزارها مي‌توانند به تله بازار حلقه‌اي گرفتار شوند. سيستم‌ها مي‌توانند سيستم برگشت از خطاي داخلي خود را داشته باشند، اما کدهاي نوشته شده توسط انسان‌ها، بي‌عيب و نقص نيست، به‌خصوص اينکه آن‌ها کدها را به سرعتي که کامپيوترها کار مي‌کنند مي‌نويسند.

اگر که سيستم برق‌رساني منطقه‌اي از شهر هک شده و سيستم روشنايي آن خاموش شود شايد براي بسياري امري مهم به نظر نرسد، اما براي هزاران نفر که در ايستگاه‌هاي مترو قرار دارند و ده‌ها متر در قعر تاريکي هستند، تفاوت چشم‌گير است. اينترنت اشيا اجازه مي‌دهد که دنياي مجازي با دنياي فيزيکي در ارتباط باشد که اين خود مشکلات امنيتي بزرگي ايجاد مي‌کند.

   چه کار مي‌توانيم انجام دهيم؟

حال آن که همانند ديگر فناوري‌ها، تهديدات براي اينترنت اشيا نيز وجود خواهد داشت، اما مي‌توان محيط اينترنت اشيا را با ابزارهاي امنيتي نظير رمزنگاري داده، تصديق قوي‌تر کاربر، کدنويسي بهتر و API هاي تست شده و استاندارد که به حالات قابل پيش‌بيني مي‌توانند واکنش نشان دهند، ايمن‌تر کرد. برخي از ابزارهاي امنيتي را مي‌توان مستقيماً به تجهيزات متصل اعمال کرد. رندي مارچاني، مدير ارشد اجرايي در دانشگاه ويرجينا تک و مدير آزمايشگاه امنيت IT اين دانشگاه، مي‌گويد: «اينترنت اشيا و برادرزاده آن يعني BYOD همان مسائل امنيتي را دارند که کامپيوترهاي سنتي با آن‌ها درگيرند. تجهيزات اينترنت اشيا توانايي محافظت از خود را ندارند و بايد از سيستم‌هاي ديواره آتش يا شناسايي ورود غيرمجاز استفاده کنند. ساختن يک بخش شبکه مجزا آپشن ديگري است.»  به‌نظر مارچاني، نبود ابزارهاي امنيتي روي خود تجهيزات يا نبود به‌روزساني مداوم، ايمن‌سازي اينترنت اشيا را نسبت به ديگر انواع موضوعات امنيتي IT مشکل‌تر کرده است: «امنيت فيزيکي مسئله‌اي است که اهميت بيشتري دارد، زيرا معمولاً تجهيزات در محيط‌هاي دور از دسترس قرار دارند و هرکسي مي‌تواند به آن‌ها دسترسي پيدا کند. درصورت دسترسي فيزيکي فردي به يک دستگاه، مشکلات امنيتي به‌طور فزاينده‌اي بيشتر مي‌شود.» ارائه تجهيزات اينترنت اشيا بدون امنيت کافي دروني نيز مزيد بر علت است. مارچاني مي‌گويد: «در طولاني‌مدت، مديران IT بايد از توليدکنندگان بخواهند که اثبات کنند تجهيزات آن‌ها در برابر تهديداتي که در ليست OWASP (پروژه امنيت اپليکيشن‌هاي وب باز) جزو ده خطر اصلي قرار دارند، مقاوم بسازند.» مديران امنيت IT بايد از سازندگان بخواهند در راهنماي محصولات‌شان نقاط ضعفي را که در تجهيزات‌شان موجود است اطلاع‌رساني کنند.

نيازهاي امنيتي بايد به‌عنوان بنيان سيستم‌هاي اينترنت اشيا قرار داده شود و کنترل‌هاي سخت‌گيرانه تصديقي، اعتماد، تأييد داده و رمزنگاري تمامي داده‌ها بايد گنجانده شود. در سطح اپليکيشن، سازمان‌هاي توسعه نرم‌افزار بايد کدهاي باثبات‌تر و قابل‌اعتمادتري بنويسند. با تعامل سيستم‌ها با يکديگر، ضرورت وجود استانداردهاي سازگاري که امن و مورد اعتماد هستند، بيش‌ازپيش بااهميت به نظر مي‌رسد. بدون ساختار مستحکم از پايين به بالا ما تهديدات بيشتري را با افزودن هر دستگاه به اينترنت اشيا، ايجاد خواهيم کرد. آنچه مي‌خواهيم اينترنت اشيايي امن و ايمن است؛ کاري دشوار ولي شدني.

 

منبع: بولتن خبری پیشرو نگار هدف