آنچه درباره اینترنت‌اشیا به ما نمی‌گویند!

2019/4/9 14:24
Internet of things (IoT) world map with connected devices

نویسنده: مهندس ابوالفضل خدایگانی

منابع:
cmswire.com
securityaffairs.co
computerworld.com
nec.com

هم‌اکنون اینترنت اشیا (Internet Of Things – IoT) منبعی دایمی برای تحول جنبه‌های تکنلوژیکال و عملکردی جوامع ماست. موج پس از موج از نوآوری ما را به این نقطه رسانده‌است. با این سرعت باورنکردنی تغییرات در مدت زمان بسیار کم، طبیعتا برخی از موضوعات به سرعت ترند می‌شوند و برخی نیز به سرعت محو می‌شوند و این امر تابع اقبال عمومی و همچنین ظهور تکنولوژی‌های برتر است.
وقتی صحبت از از نوآوری‌های تکنولوژی می‌شود، خصوصا IoT‌، حریم خصوصی و امنیت یکی از مهم‌ترین و پر‌چالش‌ترین مباحث مربوط توسعه هستند که محل بحث متخصصان و کاربران است. به همین دلیل لازم است امسال و سال‌های آتی از نزدیک به این صنعت نگاه کنیم. در ادامه به بررسی موضوعات داغ این صنعت در حوزه امنیت خواهیم پرداخت.
در بازار فعلی کشور هنوز به طور گسترده از این تکنولوژی بهره‌برداری نشده‌است و برای کاربران عمومی نام IoT‌ آمیخته با گجت‌های جذابی است که در فضای رسانه‌های مرتبط با فناوری‌های دیجیتال به آن پرداخته می‌شود، لذا بررسی و واکاوی جنبه‌هایی از این صنعت که تاثیر اساسی بر فعالیت‌های روزمره و همچنین حیاتی ما دارند، بسیار حایز اهمیت می‌باشد.

تولیدکنندگان سنتی تجهیزات و متخصصان امنیت:
دو دنیای متفاوت

سازندگان تجهیزات درگیر تولید قطعات و اعداد و ارقام تیراژهای چندین رقمی خود هستند. مدیریت دقیق اموال، هزینه‌های مواد اولیه و تحویل به‌موقع، مواردی هستند که تولیدکنندگان برای سرپا‌ماندن در این بازار رقابتی به آن‌ها توجه دارند. سازندگان تجهیزات با سیستم‌عامل‌ها و نرم‌افزارهایی سروکار دارند که بسیار سبک هستند و ردپای کوچکی از خود به جای می‌گذارند زیرا این قطعات فضای ذخیره‌سازی و قدرت پردازشی محدودی در‌اختیار دارند. به مسائل امنیتی در سطح حداقل به نظر لازم درجهت پایین نگه‌داشتن هزینه‌ها و زمان تحویل محصول، توجه می‌شود. این بازار را می‌توان شامل تولیدکنندگان متعدد دانست که بیشتر آن‌ها شاید در تعداد بالا تولید نمی‌کنند اما در مجموع شاید تیراژشان به ارقام میلیاردی برسد.
از سوی دیگر به طور سنتی شرکت‌های امنیتی در بازارهای سازمان‌های بزرگ، شبکه و سرورهای وب و برنامه‌های وب فعالیت می‌کنند. این موارد عموما شرکت‌های بزرگ هستند که خود دارای گروه‌های IT و مشاوران متخصص امنیت هستند. به طور‌کلی این بازارهای هدف، بانک‌ها، مراکز داده و … می‌باشند که محصول فیزیکی در آن‌ها وجود ندارد و مهم‌ترین موارد داده‌ها می‌باشند. این داده‌ها عموما در راستای خدمات مالی می‌باشند که حاوی اطلاعات شخصی یا مالی افراد هستند که نیاز به محافظت شدیدی دارند.همانطور که می‌بینیم یک نا‌همگنی بین نیاز‌های تولیدکنندگان تجهیزات و توانایی‌ها و تمرکز شرکت‌های امنیتی وجود دارد، در نتیجه فاصله بین این دو سکتور دیده‌می‌شود و نکات امنیتی به طور‌کافی در تولید رعایت نمی‌شود. این به‌دلیل عدم علاقه یا میل تولید‌کنندگان نیست، بدین دلیل است که به هدف امنیت در این حوزه راه زیادی طی‌نشده‌است.
در گذشته تجهیزات خودکار متصل به شبکه همانند امروز رایج بودند که توسط سیستم های با استفاده عمومی، پیاده‌سازی می‌شدند. اما امروزه با رشد فزاینده تولید میکروکنترلرها، تراشه ها کوچک و بسیار ارزان هم می توانند در بسترTCP/UDP‌ فعالیت کنند و حتی بی‌سیم نیزعمل کنند. این امکانات جدید منجر به گسترش چندبرابری استفاده از تجهیزات متصل شد.
هر تجهیزی که به شبکه متصل است یک کاربر بالقوه محسوب می‌شود. آیا شما اجازه‌ می‌دهید که یک فرد بدون مجوز به شبکه شما متصل شود؟ اگر خیر پس چطور یک دستگاه نامطئن اجازه حضور در شبکه شما را دارد؟
تجهیزات هم می‌توانند همانند یک کاربر باشند چرا که نمی‌توان گفت کنترل این تجهیز نامطمین در اختیار کیست.
یکی از دلایلی که معمولا برخی هنگام استفاده از یک دستگاه نامطمین در شبکه برای خود می‌آورند این است که در این دستگاه اطلاعات مهمی وجود نخواهد‌داشت! بله موافقم، کسی به اطلاعات بی ارزش آن دستگاه اهمیت نمی‌دهد، بلکه به شبکه‌ای که آن دستگاه به آن متصل است اهمیت می‌دهند! این یک درگاه برای ورود به شبکه شما و سپس دسترسی به داده باارزشتان است.
در کنار ایمن‌سازی بر اساس طراحی در سمت تولیدکنندگان که مدتی طول خواهد کشید تا سهم بالایی از بازار را شامل شود، کاربران باید با حجم بزرگ کالاهای موجود سروکار داشته‌باشند. برای پر‌کردن این فاصله به‌نظر می‌رسد راهکار پیش‌رو مطمین شدن از سلامت و کارکرد تجهیزات به کمک آزمودن و ایجاد یک ساز‌و‌کار استانداردگونه مرجع است. به‌طوری‌که کاربران بتوانند با استعلام از آن مرجع، از خرید خود اطمینان حاصل کنند.

رایج‌تر شدن باج‌افزار های IoT
و بدافزارهای مرکب

همان‌طور که در مقاله نگرانی‌های امنیتی پیش‌رو را با هم بررسی کردیم، باج‌افزار‌ها در سال های 2017 و 2018 روند رو‌به‌رشدی داشتند. با اینکه بیشتر سهم باج‌افزار‌های سنتی از الگوریتم‌های رمزنگاری برای قفل‌کردن پلتفرم‌های کاربران استفاده‌می‌کنند، به نظر می‌رسد هکرها در آتی از گستره بیشتری از روش‌ها برای این هدف استفاده خواهند کرد. Song Li ‌بنیان‌گذار شرکت امنیتی NewSky بیان داشت:
باج‌افزار‌های مبتنی بر IoT می‌توانند بر سرقت داده یا از کار انداختن عملکرد یک دستگاه متمرکز شوند. دوربین‌های مبتنی بر IP می‌توانند تصاویر مهمی از مکان‌های مختلفی که در آن حضور دارند تهیه‌کنند، مانند خط تولید یک کارخانه یا حتی داخل یک منزل مسکونی. هکرها می‌توانند در ازای منتشر نکردن تصاویر، تقاضای مبلغی به صورت رمز ارز بکنند.
در سناریوی دیگر هکر‌ها می‌توانند در ازای مختل کردن عملکرد یک قفل هوشمند یا حتی یک ترموستات باج‌خواهی کنند. واضح است که هیچ اطمینانی از خوش‌قولی یک هکر در صورت پرداخت وجه نمی‌توان داشت. در موارد گذشته که باج‌افزار‌ها اشخاص را از دسترسی به PC خود منع‌می‌کردند و پس از دریافت باج، باز هم تقاضای بیشتری داشتند.
به گفته Peter Tran‌ از مدیران شرکت RSA به نظر می‌رسد در سال پیش شاهد ادغام و ترکیب خانواده بدافزارها خواهیم بود، به عنوان مثال ترکیب DDoS و باج‌افزار‌ها. این منجر به ظهور پدیده‌ای می‌شود که آن را می‌توان بدافزار‌های مرکب نامید که به لطف انفجار تولید دستگاه های IoT‌ ترکیبات حاصل از این باج‌افزار‌ها غیر قابل پیش‌بینی خواهد بود.
چنانچه راهکارهای امنیتی هم‌پای توسعه صنعت IoT‌ رشد نکنند باید در آینده شاهد قفل شدن سرنشینان درون وسیله نقلیه باشیم یا حتی صبح‌گاه در منزل نتوانیم قهوه بنوشیم چرا که قهوه‌ساز‌مان گروگان گرفته شده‌است!

حریم خصوصی،
بخش انکار‌ناپذیر از بحث IoT

شرکت‌های بزرگ در حال نصب و به‌کارگیری روزافزون تجهیزات IoT همانند ترموستات‌ها و دستگاه‌های تهویه‌ی هوشمند، تلویزیون‌های هوشمند، پرینتر‌های تحت‌شبکه و هوشمند و نورپردازی هوشمند، می‌باشند. در همین حین بعد صنعتی‌سازی تجهیزات IoT با اقبال عمومی نسبت به محصولاتی همانند بلندگوهای هوشمند یا همان دستیاران شخصی، در حال پیشرفت می‌باشد. اما برخلاف افزایش پرسرعت متصل شدن و هوشمند شدن تجهیزات، ایمن‌سازی این محیط‌ها هنوز رویه‌ی درست و مشخصی نیافته است.
Don Deloach‌ نویسنده کتاب “آینده IoT‌” در این باره گفته حریم خصوصی در آینده تبدیل به فیل در اتاق خواهد شد (مشکل بزرگی که وجود دارد اما کسی در خصوص آن صحبت نمی کند!)
افزایش جمع‌آوری داده‌های حساس توسط کمپانی‌های بزرگ در‌حال بالا‌بردن بی‌اعتمادی افکار‌عمومی است. همچنین رسوایی‌های درز اطلاعات کاربری از شرکت‌های بزرگ به این امر دامن زده‌است. اما در این بین قوانین عمومی حفاظت از داده‌های اتحادیه اروپا یا همان GDPR که در گذشته در خصوص آن صحبت کردیم، از ماه می سال گذشته اجرایی شده‌است و می‌تواند تا چندین درصد گردش مالی سالیانه کمپانی‌ها را جریمه کند. پس از GDPR‌ افکار عمومی بیشتر از گذشته مشغول حریم خصوصی شده‌است.
یکی از موارد پر سر‌و‌صدای سال‌های اخیر درز داده‌های شرکت خدمات مالی Equifax بود که شامل داده های 145.5 میلیون کاربر بود. این درز داده یک رسوایی بزرگ بود و اهمیت و همچنین مشکل بودن حفاظت از داده‌هایی مرتبط با اشخاص همانند نام، آدرس و شماره ملی، را نشان داد. محصولات مرتبط با IoT پر از این داده‌ها خواهد‌بود! که نیازمند روش های مختلف ناشناس‌سازی است.
درز داده‌های Equifax‌ یادآور آسیب‌پذیر بودن داده‌های شخصی است و IoT می‌تواند به این امر دامن بزند. به‌نظر می‌رسد از تکنولوژی‌هایی همچون بلاک‌چین و توکن‌سازی داده‌ها برای تجدیدنظر ساختارهای کنونی داده، بهره گرفته شود. نکته حایز اهمیت برای هکرها در سرقت داده‌ها کیفیت/اهمیت داده، حجم آن و آسان بودن دسترسی است.
چنان‌چه هر کدام از این ویژگی‌ها را بتوانیم به نحوی تحت تاثیر قرار‌دهیم، توانسته‌ایم به افزایش ضریب امنیت داده‌هایمان کمک کنیم.

بات‌نت‌های بهتر
و هوشمند‌تر IOT

میرای(Mirai) به معنای آینده اولین نمونه واقعی از یک بات‌نت IoT است که در سال 2016 شناسایی شد. این بدافزار به کمک چند خط کد ساده حاصل‌شد. اما به‌علت هدف قراردادن مواردی همچون دوربین‌های IP متصل به اینترنتی بود که امنیت‌شان بسیار کم تحت‌نظر بود یا به‌روزرسانی می‌شد، تاثیر فراوانی داشت که توانست بخش قابل توجهی از اینترنت را تحت تاثیر قرار دهد و به آن آسیب وارد‌کند.
سرویس‌دهندگان اینترنت و شرکت‌های DNS پس از میرای امنیت خود را ارتقا داده‌اند اما بازار IoT‌که پیش‌بینی می‌شود تا سال 2024 به حجم‌ 6.5 تریلیون دلار برسد، همچنان در‌حال رشد چشم‌گیری‌‌‌ست. با‌توجه ‌به اتفاقات پیش‌رو،متاسفانه تنها برخی از تولیدکنندگان محصولاتشان را به‌روز کرده‌اند. اما با توجه با آمیخته‌شدن هرچه بیشتر زندگی روزمره مردم با تجهیزات IoT این امر قابل توجه‌تر به‌نظر می‌رسد.
طبق گفته کریس بوید متخصص ارشد بررسی بدافزارها، در سال 2018 چندین هزار عدد از تجهیزات میکروتک (MikcoTik) در معرض این خطرات قرار گرفتند و هکر‌ها از آن‌ها برای استخرای ارز های دیجیتالی بهره‌بردند.
او در ادامه افزود این اتفاق تنها گوشه‌ای از آینده پیش‌روست، به‌طور روز‌افزون تجهیزات سخت‌افزاری از این قبیل در معرض خطر قرار خواهند‌گرفت تا از آن‌ها برای کار‌های مدنظر هکر‌ها بهره‌برداری شود، چه استخراج ارز دیجیتالی و یا برای بهره‌گیری سایر بدافزار‌‌ها. مدیریت در معرض خطر قرار گرفتن روتر‌ها و تجهیزات IoT‌ در این مقیاس وسیع بسیار سخت‌تر از آلودگی کامپیوتر‌هاست. مدیریت آلودگی در صورت موفقیت پایان کار نیست بلکه پس از آن باید فکری به حال آلودگی تک تک تجهیزات نیز کرد.
شرکت کاسپرسکی (Kaspersky) نیز در خصوص سرعت توقف ناپذیر رشد این خطرات هشدار داد و توصیه کرد به هیچ وجه این خطرات را نباید دست‌کم گرفت.
کارشناسان امنیت بر این باورند که هکرها تلاش خواهند‌کرد تا تجهیزات IoT را تبدیل به شبکه‌ای از بات‌های با قابلیت تصمیم‌گیری نیمه-مستقل کنند، تا بتوانند موانع را برای هدف قراردادن نقاط آسیب‌پذیر شبکه، کنار بزنند.
هایونت‌ها (Hivenet) اما گامی فراترند.‌ هایونت‌ها خوشه‌هایی از تجهیزات آلوده، با قابلیت یادگیری هستند که می‌توانند به طور همزمان چندین بردار حمله را شناسایی و اجرایی کنند. تجهیزات موجود در هر هایو می‌توانند با یکدیگر به تبادل پیام بپردازد و از هوش موجود در کل هایو برای شناسایی تجهیزات جدید بهره بگیرد و هایو را توسعه دهند.
هایونتی که بتواند تجهیزات جدید را شناسایی نماید، به صورت نمایی رشد خواهد‌کرد و می‌تواند به چندین قربانی به صورت همزمان حمله کند.
با ظهور و همه‌گیر‌شدن بستر 5G می‌توانند از بهبود بسیار خوب پارامتر تاخیر به نفع خود بهره‌برداری کنند و تاثیر بسیار بیشتری بگذارند.
طبق عقیده دامون کاچور یکی از مدیران شرکت Sectigo گواهی‌های دیجیتالی می‌تواند نقش مهم و مفیدی در این بین ایفا‌کنند.
از دیدگاه کاربر نهایی، سرعت کم افزایش ضرایب امنیتی در تجهیزات IoT، دولت را وادار به قانون‌گذاری کرده است. کشورها و ایالات بیشتری از ایالت کالیفورنیا تبعیت خواهند کرد به این دلیل‌که رعایت کردن ضرایب امنیتی را برای شبکه‌های IoT‌ الزامی دانسته‌است. این امر برای صنایع بهداشت، نقلیه، انرژی و تولیدی حیاتی‌تر می‌باشد، زیرا با تهدیدات بیشتری روبرو هستند.
این قوانین مانع کوتاهی‌کردن در مدل‌های احراز هویت سفت و سخت از جانب شرکت‌ها می‌شود. مدل‌های احراز هویت قوی که توسط بنیاد اتصال باز(Open Connectivity Foundation) و AeroMACS‌ به عنوان بهترین روش به‌کارگرفته می‌شود.
خرابکاران یا مهاجمان به IoT‌ دایما در حال رشد و توسعه‌اند، لذا اطمینان از تامین‌کردن تجهیزات به بهترین شیوه و توانایی مدیریت الگوریتم‌های رمزنگاری جاری به‌سرعت و همچنین چیزهایی که در آینده جایگزین‌شان خواهد‌شد، بسیار حیاتی‌ست. به‌نظر می‌رسد در بازار‌کنونی، تدوین مقررات الزام‌آور برای دارا‌بودن فاکتورهای امنیتی استاندارد، نیروی محرکه لازم را از سویی برای افزایش ضرایب امنیتی از جانب تولیدکنندگان و همچنین از سوی دیگر عرضه محصولات استاندارد توسط توزیع‌کنندگان، فراهم می‌کند.

ادامه افزایش در
استفاده از Big Data

گسترش استفاده از IoT و تجهیزات هوشمند متصل در افزایش هنگفت داده‌هایی که ما هر روز تولید می‌کنیم، تاثیر به‌سزایی داشته‌است. افزایش تکنولوژی‌هایی که می‌توانند داده‌‌های تولیدی مارا جمع‌آوری، تفسیر و ذخیره کنند، طبیعتا شرکت‌ها و کسب‌و‌کار‌ها را به سرمایه‌گذاری در این عرصه ترغیب نموده‌است.
یکی از راه‌کار‌های اصلی که شرکت‌ها و کسب‌و‌کار‌ها که هدف تلاش‌های بازاریابی و تبلیغات‌شان را بدان معطوف ساخته‌اند، ضبط، پردازش و تحلیل داده‌های مشتریان است. در این امر سایر شرکت‌های تجاری و مالی نیز فعال‌ شده‌اند.
یکی از نکات جالب توجه در آینده تاثیرورود به حریم‌خصوصی کاربران برای استفاده داده‌هایشان توسط کمپانی‌ها در سرویس‌هایی که به آن‌ها ارایه می‌دهند.بدین منظور قوانین GDPR کسب‌و‌کار‌ها را به اجازه گرفتن از مشتری برای جمع‌آوری داده‌ها، موظف کرده‌است. اما به‌نظر‌ می‌رسد با سطح قوانین کنونی و وضع بازار، تغییر چندانی در حجم داده‌های جمع‌آوری شده ایجاد نشده‌است.
زمان تعیین خواهد کرد که آیا این حجم از داده‌های ذخیره‌شده بالاخره به بحران تبدیل می‌شود یا فرصت.