موضوعات روز ابتدای 2019

2019/4/11 8:11

دولت ژاپن تجهیزات IoT شهروندان را هک خواهد کرد!

به قول TechRadar‌ دولت ژاپن قصد دارد بر روی تمام تجهیزات IoT‌ کشور تست نفوذ و آزمایش امنیتی انجام دهد تا بداند کدام تجهیز ناامن است و بتواند برای ایمن کردن تجهیزات به مصرف‌کنندگان کمک کند.
مقامات قصد دارند تا امنیت گذرواژه بیش از 200 میلیون تجهیز را مورد آزمایش قرار دهند و این کار را با دوربین‌های تحت شبکه و روترها آغاز کنند. تجهیزاتی که مورد استفاده در خانه‌ها و شرکت‌ها و فضاهای تجاری هستند یکسان مورد تست قرار خواهند گرفت.تصمیم دولت ژاپن مبنی بر ورود به تجهیزات IoT کاربران باعث بروز نارضایتی در ژاپن شده است. در ژاپن بسیاری بر این باورند که برداشتن همچنین گام‌هایی لازم نیست زیرا با اعمال دیگری مانند ارسال پیام خصوصی به کاربران جهت تعویض گذرواژه‌های قابل حدس، شاید بتوان به نتیجه‌ی مشابهی دست یافت. دلیل دیگر مخالف این است که الزامی برای تعویض گذرواژه در صورت یافت شدن تجهیزات آسیب پذیر با گذرواژه ضعیف،برای‌کاربران آن تجهیز گذرواژه وجود ندارد.
با این حال طرح دولت ژاپن مزایای خود رادارد. امروزه تعداد زیادی بات نت برای روتر ها و تجهیزات IoT‌ توسط هکر‌ها در حال ساخت است که کنترل تجهیزات با گذرواژه پیش‌فرض یا قابل حدس را به دست می‌گیرند.
همچنین هکرها با بهره‌گیری از اکسپلویت‌ها و آسیب پذیری‌های موجود در firmware تجهیزات نیز بات‌نت‌ها را توسعه می‌دهند اما آسان‌ترین راه برای هکر ها همان گذرواژه های ضعیف است. در بیش‌تر اوقات تامین امنیت این تجهیزات با زحمت همراه است. مانند زمانی که پورت‌های Telnet یا SSH لو می‌روند و کاربر از آن بی‌خبر است، در حالی‌که تعداد محدودی از کاربران در‌خصوص چگونگی تعویض گذرواژه، آگاهی‌دارند. در این بین تجهیزاتی نیز وجود‌دارند که دارای حساب‌کاربری‌هایی مانند در‌پشتی مخفی می‌باشند، که بدون بروزرسانی firmware‌ برطرف نمی‌شوند.
نتایج این طرح بسیار جالب خواهد بود، ژاپن به عنوان یک کشور توسعه یافته، این دست از تکنولوژی‌ها بسیار در آن رایج هستند و نتایج این تست می‌تواند تا حدی نشان‌دهنده سطح ضرایب امنیتی این مقوله در سایر کشورها نیز باشد. با توجه به اینکه المپیک 2020 به میزبانی ژاپن در راه است، باید دید ژاپن چگونه می تواند زیرساخت اینترنت اشیا ایمنی داشته باشد.

اقدامات جدید فیسبوک
در راستای حریم شخصی


به گفته نشریه The Wire، فیسبوک سه تن از بزرگترین منتقدان خود را استخدام کرد! فیسبوک در ماه دسامبر ناتان وایت را از موسسه حقوق دیجیتال استخدام کرد و او را به سمت مدیر سیاست‌گذاری حریم ‌شخصی منسوب کرد. در همان هفته دو وکیل با نام‌های نیت کاردوزو از بنیاد حافظان مرزهای الکترونیک و رابین گرین از انسیتیتو تکنولوژی‌های باز آمریکای‌جدید، کاردوزو به عنوان مدیر سیاست‌گذاری حریم ‌شخصی واتس‌اپ و گرین به عنوان مدیر سیاست‌گذاری حریم ‌شخصی فیسبوک در حوزه نیروهای قانون‌گذاری و حفاظت از داده، را نیز به تیم خود اضافه کرد.
باید دید این اشخاص که پیش از این در جبهه حفاظت از حریم شخصی و داده‌ها فعالیت می‌کردند، اکنون چطور می‌توانند اثری بر این اوضاع آشفته بگذارند.

قدرت ها می‌خواهند دستگاه‌های هوشمندتان نقص‌های امنیتی داشته باشند!


به نقل از Nature‌ به ندرت روزی از راه می‌رسد که ما خبر درز امنیت سایبری و دزدی یا لو‌رفتن داده‌های محرمانه، به گوش ما نرسد و این معضلات به‌زودی بیش‌تر می‌شوند. همان‌طور که پیش از این اشاره شد هر روزه بر میزان اتصال و هوشمندی در دستگاه‌ها افزوده می‌شود و البته با این روند تکامل تکنولوژی اینترنت اشیا، خطرات آن نیز رشد می‌کنند. در مراحل ابتدایی تجهیزات صنعتی وارد موج هوشمندسازی و اتصال شدند. اما مهاجمان نیز در این حین روش‌های حمله خود را توسعه دادند. کرم کامپیوتری استاکس‌نت که در سال 2010 تجهیزات اتمی ایران را مورد حمله قرار‌داد را می‌توان یکی از نسخه‌های نخستین این نوع از حملات بر‌شمرد.
دیجیتال و متصل‌شدن بیش از پیش دنیای فیزیکی ما مزایای بسیاری برای اشتراک اطلاعات، تجارت و راحتی زندگی برای ما به ارمغان آورده‌است، اما هرچه این در‌هم‌تنیدگی بیش‌تر شود خطرات بیشتری را نیز با خود به‌همراه خواهد‌داشت، همانند عملیات اطلاعاتی منتسب به روسیه در انتخابات ریاست جمهوری امریکا مشاهده کردیم.
اما همواره به نقش هکر‌ها و گروه‌های معارض در باب خطرات اینترنت و اتصال همه‌چیز اشاره کردیم، آیا این تمام چیزی‌است که ما را تهدید می‌کند؟

کاپیتالیسم نظارت


شاید برایتان جالب باشد که بیشتر کسب و کار و سودآوری اینترنت بر اساس ناامنی استوار شده‌است. کاپیتالیسم نظارتی – جمع‌آوری داده‌های کاربران و فروش آن جهت استفاده در تبلیغات و سایر مسائل- مبتنی بر پیاده‌‌سازی‌های نا‌امن اینترنت است، همانند جمع‌آوری داده‌ها توسط سرویس‌های اطلاعاتی و مراجع قانونی. برخی از دولت‌ها بر این باورند که نیازشان به پایش اطلاعات آن‌لاین منجر‌به تهدید بیشتری در سایر ابعاد نخواهد‌ شد در‌حالی‌که کارشناسان به خلاف این امر اعتقاد دارند.
در اصل ایمن کردن اینترنت یک خط مشخص و واضح دارد و آن یک طرح تمام عیار متشکل از تمام بازوهای دولتی با گام‌های برنامه‌ریزی‌شده و مشخص است. انگیزه‌های مالی و سیاسی باید در راستای تضمین امنیت جهت‌دهی شوند و نقیصه‌های امنیتی نرم‌افزاری با استفاده از ثبت خطا‌های نرم‌افزاری، مورد جریمه قرار بگیرند تا تولیدکنندگان به صورت قانونی پاسخگوی خطا‌ها و خطرات نرم‌افزارشان باشند. لازم است نکات امنیتی در محصولات جدید اجباری شوند و با یارانه‌ها و کاهش مالیات، تولیدکنندگان محصولات امن مورد تشویق قرار‌گیرند. تمام داده‌ها می‌بایست رمزگذاری شوند تا در برابر جمع‌آوری ایمن باشند. شبکه‌ی زیرساخت‌های حیاتی می‌بایست مورد تقویت قرار‌گیرند و از شبکه بیرونی ایزوله شوند.
برخی از مقامات دولتی آمریکا همانند کمیته ملی ضداطلاعات، بر این باورند که با افزایش نرخ گسترش اینترنت و افزایش مجال برای مجرمان، میزان نفوذ آژانس‌های دولتی، جهت کنترل، در اینترنت باید افزایش پیدا کند. اما برخی دیگر کارشناسان طور دیگری فکر می‌کنند. برخی بر این باورند که رمزگذاری امری غیر قابل اغماض حتی در شبکه‌های خصوصی و شخصی است. مسئله‌ای که سازمان دادگستری کل آمریکا آن را مانعی برای اجرای قانون می‌داند. همچنین طبق عقیده برخی کارشناسان درهای پشتی باید به کل برداشته شود زیرا به طور کلی تمام سیستم را نا امن می کند. (ویژگی‌هایی در طراحی که به کاربران چه دارای سطح دسترسی و چه غیر آن اجازه می‌دهد ارتباطات را رمزگشایی کند و نکات ایمنی را دور بزند) اما در این مورد نیز پیش از این وزیر داخله انگلیس اظهار داشت: عدم دسترسی به داده‌های رمزگذاری ‌شده در موارد خاص توانایی‌های آژانس‌های ما را برای متوقف‌کردن تروریست‌ها و به پای عدالت کشاندشان، محدود می‌کند. همان‌طور که در وقایع تروریستی انگلیس مشاهده کردیم، جهت دست‌گیری خرابکاران اطلاعات شخصی و رمزگذاری شدن کاربران یک پیام‌رسان خاص در اختیار نهاد‌های ذی‌ربط قرار گرفت. در همین راستا رییس سازمان دادگستری کل امریکا بر این باور است که ناشناس شدن بدون قابلیت نفوذ یک تهدید ویژه و قابل توجه برای امنیت عمومی است.

جدال اولویت‌ها


کارشناسان و مقامات دولتی با دو مشکل در دو بعد زمانی مختلف مواجه‌اند، حل‌کردن یک جرم برای امروز یا درست‌کردن اینترنت برای آینده‌ای نزدیک. نمی‌توان این دو مقوله را به دیگری برتری داد و یا طبقه‌بندی‌شان کرد. اشنییر محقق امنیت بر این باور است که برای جبران کردن مشکلات ناشی از جمع‌آوری داده‌ها که به‌ اسم افزایش امنیت اینترنت انجام شده‌است، پیشنهاد می‌دهد نیروهای اعمال قانون را از طریق تحقیقات در موضوع امنیت، بهبود نیروی تشخیص جرم کامپیوتری (Computer Forensics) و مسیرهای شغلی جدید، هوشمندتر کنیم.
با‌اینکه این بحث در حلقه‌های سیاست‌گذاری بسیار داغ است اما پیشرفت بسیار کندی به‌خصوص در سوال‌های بنیادی به دلیل بروکراسی وجود‌ دارد. سال گذشته دفتر حساب‌پذیر و شفافیت آمریکا اعلام کرد که بیش از 1000 عدد از پیشنهاداتش هنوز پیاده‌سازی نشده‌است و به‌نظر ‌می‌رسد برای اجرایی‌سازی این مقررات چالش‌های بسیاری وجود دارد. اما به‌نظر می‌رسد اتحادیه اروپا با عزم راسخ‌تری در این مسیر گام برداشته است.اشنییر در این‌باره می‌گوید که درآمریکا و برخی کشورها فقط بر روی مواردی که مردم را ممکن است بکشد قانون وضع و اجرا می‌کند، همانند خودروها، هواپیماها، نیروگاه‌ها و… او همچنین بر این عقیده است که تا اینترنت شروع به کشتن مردم نکند کسی به آن توجه نخواهد کرد!
مسئله مهم دیگری که اینجا باید بدان اشاره نمود این است که صرفا هر قانونی را نمی‌توان در این موضوع به کار برد. متخصصان تکنولوژی تنها کسانی نیستند که باید دور میز قانون‌گذاری در این حوزه بنشینند.
سوالی که در این قوانین باید بدان پاسخ داد این است که چه نوع اینترنتی با ساختار جامعه و بنیان‌های انسانی ما سازگار است و ما حاضریم چه نوع تغییراتی را به خود راه دهیم. بدین دلایل تنها متخصصان تکنولوژی مهره‌های گم‌شده این حلقه نیستند، بلکه دانشمندان و متخصصان دیگری نیز باید به این جمع اضافه شوند.