امنیت در اینترنت اشیاء

مفهوم اینترنت اشیاء و اهمیت آن در دنیای امروز

اینترنت اشیاء یا IoT، سیستمی به‌هم‌پیوسته از تجهیزات رایانه‌ای، ماشین‌های مکانیکی و دیجیتال، اشیاء، حیوانات یا افرادی است که با شناسه‌های منحصربه‌فرد (UID) هویت یافته‌اند و از قابلیت انتقال داده‌ها روی یک شبکه بدون نیاز به تعامل انسان-با-انسان یا انسان-با-رایانه برخوردار هستند.

یک شیء در اینترنت اشیاء می‌تواند انسانی باشد که یک دستگاه پایش قلب در بدنش نصب شده است؛ یا دامی با یک ترانسپنتر بیولوژیک، یا خودرویی که با حسگرهای تعبیه‌شده در آن، راننده را از فشار کم لاستیک‌ها آگاه می‌کند یا هر شیء طبیعی یا انسان‌ساخت دیگر که می‌تواند با اختصاص یک آدرس IP داده‌ها را روی یک شبکه انتقال دهد.

امروزه، سازمان‌ها در صنایع و کسب‌وکارهای گوناگون، به‌‌شکلی فزاینده‌ از قابلیت‌های اینترنت اشیاء بهره می‌گیرند تا کارآمدتر و اثربخش‌تر عمل کنند؛ آنها با بهره‌مندی از دستاوردهای اینترنت اشیاء، به درکی بهتر و شایسته‌تر از مشتریان‌شان دست می‌یابند و می‌توانند خدماتی بهینه‌تر به آنها ارائه کنند. اینترنت اشیاء فرایند تصمیم‌سازی و تصمیم‌‌گیری را در سازمان بهبود می‌بخشد و ارزش کسب‌وکار را به‌شکلی چشمگیر افزایش می‌دهد.

امنیت اینترنت اشیا

این فناوری نوپا با توجه به گسترش کاربری آن، دارای آسیب‌پذیری‌ها و چالش‌هایی در ارتباط با امنیت است، به‌طوری‌که می‌توان از امنیت، تحت عنوان «پاشنه آشیل اینترنت اشیا» یاد کرد. این آسیب‌پذیری‌ها باعث ایجاد نگرانی‌های جدی از توسعه این فناوری شده است. نگرانی‌های مربوط به امنیت اینترنت اشیا و آسیب‌پذیری‌های آن شامل این موارد است:
-افزایش کاربردها و خدمات مبتنی بر اینترنت اشیا در صنایع مختلف.
-فراهم آوردن امنیت و حریم خصوصی، دسترسی راحت و گسترده به اینترنت معضلات امنیتی فضای سایبری را گریبانگیر این فناوری کرده است.
-افزایش انگیزه‌ها برای انجام فعالیت‌های مخرب امنیتی در حوزه اینترنت اشیا.
-نقش کارکردی و انکارناپذیر آسیب‌پذیری‌های امنیتی در بروز و ظهور فعالیت‌های مخرب در حوزه اینترنت اشیا.
-توسعه تکنیک‌ها و مفاهیم برای بهینه‌سازی امنیت و کاهش آسیب‌پذیری‌ها.
-تعریف قوانین جدید در زمینه گسترش کاربری و توسعه کسب‌و‌کار‌ها با ممانعت از ایجاد آسیب‌پذیری‌ها و حفظ حریم خصوصی.
با توجه به موارد فوق و همچنین محدود بودن منابع مالی و انسانی، هزینه و زمانی که باید برای جبران خسارت ناشی از حفره‌های امنیتی موجود در فناوری اینترنت اشیا صرف کرد و حتی صدمات جانی‌ای که ممکن است عدم توجه و شناخت موضوعات امنیتی در این حوزه به بار آورد، ضرورت شناسایی و پرداختن به مسائل و چالش‌های امنیتی آن احساس می‌شود.

حریم خصوصی

 مسئله حریم خصوصی در بین ابعاد امنیتی اینترنت اشیا دارای اهميت فراوانی است، چرا که عدم حفظ حريم خصوصی موجب عدم پذيرش سيستم و سرویس‌های اینترنت اشیا توسط مردم و سازمان‌های مختلف می‌شود که در نتيجه هدف نهايی از ميان می­رود. مقوله حريم خصوصی در اينترنت اشيا بسيار حياتی­تر است. برخلاف اينترنت معمولی، حجم اطلاعات اندازه­ گيري شده در اینترنت اشیا (از افراد يا توسط افراد) بسيار بیشتر است و بنابراين خطر افشاي اطلاعات شخصی افراد به مراتب بيشتر خواهد بود.

به‌طور کلی نيازمندي­هاي حريم خصوصی در اينترنت اشيا را می‌توان به این صورت دسته­ بندي کرد:

-حفاظت از اطلاعات شخصی (اطلاعات اکتسابی و ذاتی) و جلوگيري از نشت آن‌ها.

-تنظیم رضايت­نامه براي استفاده از اطلاعات شخصی افراد (صدور مجوز حريم خصوصی: چون‌که شخص بايد روي نحوه افشاي اطلاعات خود کنترل کامل داشته باشد).

-اطمينان از پاک شدن اطلاعات خصوصی افراد پس از استفاده (فراموشی ديجيتالی).

-حفظ حريم خصوصی و گمنامی (اجازه استفاده از نام مستعار در شرايط خاص) براي مجموعه‌هاي ناهمگون از دستگاه‌ها (که توسط مديريت هويت ديجيتال مهيا می‌شود).

 -ارائه سياست­ها و چارچوب لازم براي حفظ حريم خصوصی و ثبت قوانين مربوط به آن

-بررسی شرايط استفاده از Bridge (در صورت نياز براي حفظ حريم خصوصی).

-سازگاري حريم خصوصی سيستم­هاي مختلف.

-حفظ حريم خصوصی هنگام جستجو يا کشف سرويس­ها و دستگاه‌هاي اینترنت اشیا.

-بررسی اثر استفاده از هويت يکتا در سطح جهانی در حريم خصوصی و راهکارهاي مقابله با خطرات احتمالی آن (استفاده از مشتقات هويت­ها).

– اطمينان از عدم افشاي مالکيت داده، دستگاه و اشيا براي افراد غيرمجاز.

– تنها شخص مجاز براي خواندن تگ­هاي مرتبط با حريم خصوصی، مالک آن باشد.

-عدم امکان رديابی فعاليت­هاي يک شئ توسط شئ ديگر.

-اطلاعات انتقال مرتبط با حريم خصوصی، تنها بايد براي طرفين ارتباط قابل فهم باشد.

-ايجاد پروتکل­ها و الگوريتم­هاي مخفی­کننده اطلاعات خصوصی افراد، مثل چهره يا مکان (به‌طوري­که تنها اشخاص مجاز قابليت باز کردن آن را داشته باشند).

-پيشنهاد پروتکل برای توافق روي سطح حريم خصوصی لازم براي اطلاعات منتشر شده.

ده نگرانی امنیتی در رابطه با اینترنت اشیا

خیلی دور نبود ، زمانی که اینترنت اشیا ، هوس و مدی بیش نبود و تصور میلیارد ها دستگاه متصل ، بسیار دور از ذهن .اما امروزه فن آوری در حوزه های تجارتی و صنعتی ، فراگیر شده است . تلویزیون های هوشمند ، HVAC ها متصل به اینترنت ، دوربین های امنیتی و سیستم های روشنایی هوشمند ، همه و همه به کالا های عمده تبدیل شده اند .

با اینکه طلوع اینترنت اشیا در کارگاه های مدرن اتفاقی تازه است ، برخی از متعارف ترین ضعف های امنیتی دستگاه های IoT ، کاملا جدید نیستند . اما آدرس دهی نگرانی های امنیتی اینترنت اشیا کاملا مشابه با امنیت IT سنتی نیست ؛ این آدرس دهی نیازمند پیگیری و تحت نظر داشتن آرایه ای از مسائل است که ده مورد زیر شامل آنهاست .

امنیت موبایل ضعیف

درال هیلند ،که یک تستر نفوذ حرفه ای ، که رهبر قسمت امنیت Rapid7/IoT است میگوید:  نقطه ضعف های متعارفی که در حوزه ی اینترنت اشیا مشاهده میکنم ، اکثرا در رابطه با امنیت ضعیف برنامه های موبایل است . یکی از بزرگترین شکوه های من ، ذخیره شدن دیتا در برنامه های موبایلی است . در حالی که ذخیره ی دیتا روی iOS از اندروید خطرناک تر است ، ذخیره سازی هرگونه اطلاعات حساس روی هر موبایل سرویسی ، بسیار از خطرناک است . چه رخ خواهد داد اگر کارمندی تلفن همراه خود را که حاوی داده های آسیب پذیر است گم کند و هیچ نسخه پشتیبانی از داده ها وجود نداشته باشد .

ابر های طوفانی در افق

“ابر” معمولا یکی دیگر از ضعف های مرتبط با نصب اینترنت اشیاست . هیلند توضیح میدهد : “در رابطه با امنیت ، API های دستگاه های IoT احتمالا بسیار بدتر از API های وب های معمولی هستند . من فکر میکنم اکثر توسعه دهندگان به ارتباطات میان دستگاه های IoT و APIهای ابر ، به شکل ارتباطات ماشین به ماشین نگاه میکنند .

خطر اعتبار نامه های پیش فرض

و سپس خطر دستگاه های IoT با درهای پشتی نه چندان محرمانه وجود دارد که میتوان با استفاده از نام کاربری و پسوورد های پیش فرض به آنها دسترسی پیدا کرد . شرکت ها باید بپرسند : آیا ما فرایند های تصدیق اعتبار و رمزنگاری مناسبی برای ارتباطاتمان داریم ؟ ، هیلند توصیه میکند : باید شخصی را مجاب کنید که روی یک پورت غیر استاندارد تلنت کرده و از پسوورد پیشفرض استفاده کند .

دستگاه های استاندارد مسلح شده

یکی از نگرانی های امنیتی IoT اینست که دستگاه های متعارفی همچون تلویزیون های هوشمند و پرینتر ها میتوانند به حامل های تهدید شوند . هیلند میگوید : مشکلات بلقوه ی امنیتی بزرگی در رابطه با پرینتر های چندکاره وجود دارد . هیلند توضیح میدهد : من پرینتر های فعلی را متصل به اینترنت اشیا تصور میکنم ، ما طی دوره ی ارزیابی از پرینتر ها برای دسترسی یافتن به سازمان هاو شبکه ها و همچنین خارج کردن دیتا استفاده کردیم .

دشواری بارگذاری عامل ها روی دستگاه های IoT

یوجن دیبروو ، مدیر عامل شرکت ایمنی آرمیس ، یک استارت آپ امنیتی متمرکز بر اینترنت اشیا میگوید : یکی از بزرگترین چالش هایی که با آن مواجه میشویم این است که امکان بارگذاری عامل ها (مثل نرمافزار های آنتی ویروس ) روی بسیاری از دستگاه ههای IoT  وجود ندارد . پس بسیاری از شرکت ها از مزیت امنیت نقطه ی پایانی برای همه ی دستگاه های متصلشان برخوردار نیستند ، خواه این دستگاه ها ، پرینتر باشند یا دوربین های امنیتی یا چیز دیگر . چگونه مطمئن خواهید بود یکی از این دستگاه ها کاری که نباید انجام بدهد را انجام نمیدهد ؟

خطر دستگاه های IoT چموش

یکی دیگر از نگرانی های امنیتی اینترنت اشیا ، رواج دستگاه های متصل چموش مخفی شده داخل شرکت ها و نظارت محرمانه ی شبکه است . دیبروو میگوید : ما این را بیشتر و بیشتر میبینیم ، ما شاهد دستگاه های ioT چموشی مثل Rasberry pi یا Wi-Fi Pineapple هستیم . این یک حامل حمله ی محبوب است چرا که بسیار ساده است . یه مهاجم میتواند یکی از این دستگاه ها برداشته ، به منهتن برود و صد ها دستگاه را به یک دستگاه چموش متصل کند ، مثل دستگاه هایی که متعلق به سازمان های مالی و دیگر انواع شرکت ها هستند .

نقص /نبود آگاهی شبکه

یک مشکل مرتبط این است که بسیاری از سازمان ها از آنچه که داخل شبکه شان وجود دارد آگاهی کامل ندارند و بدین خاطر نمیتوانند بدانند که آیا شبکه شان حاوی دستگاه های IoT تعریف نشده یا دستگاه های چموش هست یا خیر . دیبروو توضیح میدهد : تا آنجایی که ما تجربه داریم ، بسیاری از سازمان ها میتوانند تنها تا شصت درصد دستگاه های متصل را در محیطشان ببینند . ما این مشکل را در انواع سازمان ها میبینیم ، خواه در بخش سلامت باشند یا تولید یا فن آوری یا مالی .

نگرانی های بسامد رادیو

حوزه ی امنیت اینترنت اشیا ، محیطی چند فاکتوری و با دامنه ای بسیار گسترده است ، هیلند بررسی تمام اکوسیستم را پیشنهاد میکند که شامل تمام فاکتور های بالا به علاوه ی دیگر مسائلی همچون آسیب پذیری های نشات گرفته از ارتباطات بسامد رادیویی میشود . برای مثال ، بلوتوث 5 ، از نتوورکینگ غربالی پشتبانی میکند ، که به یک مهاجم امکان هدف گیری یک دستگاه بلوتوث منفرد ، و سپس پخش بدافزار در کل شبکه ی غربالی را میدهد .

آرمیس اخیرا یک نقطه ضعف مربوط به بلوتوث با نام بلوبورن کشف کرده که میتواند بسیاری از دستگاه های IoT را تحت تاثیر قرار دهد .

نگرانی های IP

تولیدکنندگان دستگاه های IoT ای که از دارایی های اطلاعاتی محافظت میکنند ممکن است بخواهند حفاظت از firmware محصولاتشان را در نظر بگیرند . هیلند میگوید :شرکت هایی که IP برایشان مهم است نمیخواهد کسی به راحتی Firmware را از دستگاه خارج کند . این چیزی است که ما معمولا آزمایش میکنیم .

بسیاری از تولید کنندگان دستگاه های IoT برای حفاظت از دارایی های اطلاعاتی از روش های بی اشتیاق استفاده میکنندو  از محافظت بر پایه ی رمز نگاری ، که در سخت افزاری که استفاده میکنند موجود است استفاده نمیکنند . “عموما میبینیم که سازمان ها از حفاظت درون ساخته ی موجود روی برخی از چیپست هایشان استفاده نمیکنند ” .

اینترنت اشیاء (Internet of Things)، مطالب ویژه
1063 بازدید

 برچسب ها: