چالشهای امنیتی دستگاههای IoT موضوعی بسیار بحثبرانگیز است و به حق. در این مقاله، Attila Szasz، مدیرعامل و بنیانگذار BugProve، کمی نور بر دلایل، روندها و انتظارات فعلی خواهد تاباند.
فهرست مطالب
چالشهای امنیتی جهانی دستگاههای IoT چیست؟
شاید بزرگترین زنگ بیدارباش، حمله باتنت Mirai بود که تغییرات را آغاز کرد. جعبههای تنظیم (set-top boxes) هکشده و حملات هماهنگ که توانستند GitHub، Twitter و Reddit را از کار بیندازند، بزرگترین ریسک را به خوبی نشان دادند.
اگر یک آسیبپذیری در یک دستگاه وجود داشته باشد، در همه دستگاههای مستقر شده حاضر و قابل دسترسی است. این دیگر فقط یک ریسک امنیتی ساده نیست.
جنگ کنونی بین روسیه و اوکراین نیز این موضوع را برجسته کرد. آژانسهای اطلاعاتی تلاش کردند تا به دوربینهای IP نفوذ کنند که نقاط ضعف بودند و از طریق آنها میشد به راحتی جاسوسی کرد. فراموش نکنیم که این دستگاهها نه تنها در خانههای ما، بلکه در ساختمانهای دولتی و نظامی و زیرساختهای حیاتی نیز حضور دارند.
صرفنظر از بخش، بیشتر شرکتهای دیجیتال با ریسکهایی روبرو هستند اگر دستگاههای IoT در مرزهای شبکهشان فعالیت کنند. آسیبپذیریهای دستگاه میتواند نقاط ورود در حملات علیه اهداف باارزش بالا باشد.
به عنوان مثال برجسته، یک کازینو در سال ۲۰۱۷ خبرساز شد که از طریق یک آکواریوم هوشمند هک شد. با وجود سرمایهگذاری زیاد در امنیت اطلاعات، فکر نمیکردند آکواریوم لینک ضعیف باشد. از آن زمان، بخشهای امنیت اطلاعات بیشتری ریسکهای مرتبط با داراییهای IoT در شبکهشان را درک کردهاند و هزینههای خود را برای کشف تلاشهای مخرب و دستگاههای پرریسک افزایش دادهاند.
چه چیزی دستگاههای IoT را متفاوت میکند؟ چرا چالشبرانگیزتر هستند؟
امنیت سیستمهای نهفته (embedded systems) به طور اساسی متفاوت از فضای برنامههای کاربردی است. در اینجا چند عامل کلیدی آورده شده است:
- شاید مهمترین تفاوت اولیه، ذخیرهسازی و منابع محدود باشد که محدودیتهای زیادی بر کد IoT تحمیل میکند. اگرچه برخی پروژههای نرمافزاری سهم بازار نسبتاً بزرگی دارند، مانند Linux و FreeRTOS، طیف همه طراحیهای IoT بسیار ناهمگن است. معمولاً این فرآیندها شامل کد سختافزار خاص بسته هستند که اغلب امنیت را به طور منفی تحت تأثیر قرار میدهد.
- دستگاهها باید کل مشکل را خودشان حل کنند، اغلب بدون یک سیستم عامل کامل. کد bare metal اغلب در برابر بردارهای حمله آسیبپذیر است، جایی که مسائل ساده مانند اشارهگر null dereference به دلیل عدم حفاظت حافظه یا سایر امکانات امنیتی که معمولاً توسط سیستم عامل تنظیم میشود، قابل بهرهبرداری میشود.
- اغلب هیچ کنترلی بر اجزای خریداریشده خاص وجود ندارد و SDKهای مرتبط با کد مثال آسیبپذیر بدون هیچ تضمینی همراه هستند. گاهی کد آسیبپذیر به صورت کد منبع توزیع میشود که ممکن است ممیزی شخص ثالث آنها را بگیرد. با این حال، اغلب اوقات SDK این آسیبپذیریها را در قالب تغییرات سفارشی به باینریهای سیستم که از قبل برای پلتفرم کامپایل شدهاند، پنهان میکند.
- پیچیدگی بیشتر این است که تولیدکنندگان معمولاً ارزانترین عنصری را که الزامات را برآورده میکند، جستجو میکنند. تا زمانی که امنیت قوی در میان الزامات سخت نباشد، طراحیها هزینه را به قیمت اقدامات پایه مانند رمزنگاری قوی یا جداسازی privileges به حداقل میرسانند.
- زبانهای برنامهنویسی رایج در این حوزه، مانند C و C++، از دیدگاه کدگذاری امن چالشبرانگیز هستند. مسائل ایمنی حافظه همچنان کلاسهای اصلی آسیبپذیری هستند که این طراحیها را آزار میدهند.
- دشواری تست امنیتی آخرین میخ بر تابوت است. ابزارهایی که میتوانند در این زمینه کمک کنند، کمبود دارند و تنها چند پروژه منبع باز موجود است. این با کمبود چند میلیون متخصص امنیتی در بازار تشدید میشود. بنابراین، غیرممکن است که فقط به نظارت انسانی تکیه کنیم.
مسئولیت با کیست؟ اپراتورها یا تولیدکنندگان؟
قطعاً، حل بسیاری از مسائل شامل استفاده فعال از عملیات مناسب، از جمله فایروالها، XDRها و پلتفرمهای observability IoT است. با این حال، حتی با این اقدامات، آسیبپذیری دستگاهها میتواند ریسک باقی بماند، به ویژه اگر حمله هدفمند علیه دارایی باارزش بالا در سازمان باشد. بنابراین، ما معتقدیم که مسئولیت اصلی بر عهده تولیدکننده است تا اطمینان حاصل کند محصولشان انتظارات امنیتی پایه را برآورده میکند.
خوشبختانه، وضعیت در یک جنبه مهم بهبود یافته است: اگر امروز آسیبپذیری در محصولی کشف کنیم و گزارش دهیم، شرکتها معمولاً آن را به عنوان حمله PR نمیبینند بلکه به عنوان کمک خوشایند. تولیدکنندگان بیشتر تمایل دارند قدردانی کنند و با ما در حل مسئله همکاری کنند.
چرا یک نوع دستگاه وضعیت امنیتی بهتری نسبت به دیگری دارد؟
آنچه میگویم ممکن است تعجبآور نباشد: آن دستگاهها سطح بالاتری از امنیت IT داشتند جایی که انگیزه تجاری و پتانسیل واقعی برای حملات وجود داشت.
یک مثال عالی، set-top box به عنوان دستگاه است. ممکن است فکر کنید در همان دسته router قرار میگیرد، به ویژه وقتی دستگاههای ارزانتر و کیفیت پایینتر را در نظر بگیریم. با این حال، از دیدگاه امنیتی، تفاوت قابل توجهی تجربه کردهام.
set-top boxهای ارزان تحلیلشده منابع سختافزاری اختصاصی داشتند و با رمزنگاری جدی کار میکردند. این عمدتاً به لطف قراردادهای خالقان محتوا با اپراتورها و ارائهدهندگان تلویزیون کابلی بود که شامل جریمههای سنگین در صورت سرقت بود، زیرا میخواستند مالکیت معنویشان را حفاظت کنند. در نتیجه، اپراتورها ناگهان علاقه قوی به اطمینان از رسیدن امن محتوا به مصرفکنندگان داشتند.
در کشورهای جهان سوم، این کسبوکار بزرگی است. دزدی دریایی به یک صنعت کامل تبدیل شده و برخی گروههای مخرب حتی عملیات ماهوارهای دزدی خود را اداره میکنند. بنابراین، فشار قابل توجهی بر اپراتورها بود که منجر به توسعه دستگاههای امنتر شد.
فرآیندهای مشابه کنسولهای بازی را نیز امن کردهاند.
در تضاد شدید با این، routerها و دوربینهای IP بسیار کمتر امن هستند. بر اساس تحقیقات ما، به طور متوسط در ۸ از ۱۰ مورد آسیبپذیریهای جدی وجود دارد. و به طور کلی، دستگاههای جدیتر و گرانتر تمایل به امنتر بودن دارند.
مقررات و آگاهی مشتری
حالا به یک مسئله حیاتی میرسیم که آگاهی مشتری است. به طور ساده، تهدیدها هنوز در سطحی نیستند که تولیدکنندگان را مجبور به بهینهسازی برای امنیت کند، زیرا مصرفکنندگان دستگاههای ضعیفتر را جریمه نمیکنند. البته، سؤال این است که مصرفکنندگان چگونه میتوانند این را ارزیابی کنند، اما مشکلات بزرگتری در جریان است.
برخی حتی به نقطه درک مشکل نرسیدهاند که خطر خود است.
مقالهای در مورد BugProve با عنوانی مانند «ما از یخچال هوشمند شما در برابر حملات حفاظت میکنیم» وجود داشت. یکی از نظرات برتر این بود: «کمک، اگر هک کنند و ناگتهای مرغ من را بدزدند چه میشود؟»
این یک جوک sarcastic بود و من هم خندهام گرفت. با این حال، فکر میکنم این کمی نور بر سؤال آیا مصرفکننده متوسط در موقعیت روانی نامناسبی است وقتی نگرانیهای حریم خصوصی و امنیتی را با اشیاء خانگی بیضرر مرتبط میکند، میتاباند. میتوان این را «فالاسی آکواریوم» به خاطر حادثه کازینو نامید.
برای ما کارشناسان امنیتی، آسان است که چالشهای امنیتی دستگاههای IoT را بلافاصله ببینیم هرجا میکروکنترلرها و سختافزار محاسباتی دیگر به شبکههای IP متصل هستند حتی اگر داخل اشیاء آشنا پنهان باشند، اما این برای جمعیت گستردهتر صدق نمیکند.
نقش مقررات
همانطور که مثال کازینو نشان میدهد، ریسک به عملکرد اصلی دستگاه هکشده بستگی ندارد؛ مشکل این است که هر دستگاه IoT میتواند نقطه ورود به شبکه مشتری باشد و مهاجم میتواند منابع اضافی از آنجا به دست آورد. کد مخرب قرار دادهشده به این روش اغلب از کاربر پنهان میماند اما همچنان ریسک مداوم ایجاد میکند.
این چیزی است که مقررات آینده قصد تغییر آن را دارند. GDPR شاید بهترین راه برای افزایش امنیت داده نبود، اما حداقل همه را تا حدی آگاه کرد. امیدواریم RED و CRA اثر مشابهی داشته باشند.
حتی قابل توجهتر رویکرد آمریکایی Cyber Trust Mark است. محصولات لوگویی با سپر خواهند داشت که به مصرفکنندگان سیگنال میدهد محصول حداقل استاندارد خاصی را برآورده کرده است. همچنین کد QR خواهد بود که مصرفکنندگان بعداً میتوانند برای تأیید اینکه آیا محصول هنوز این استانداردها را برآورده میکند، استفاده کنند.
اعتقاد دارم برخی مصرفکنندگان به این توجه خواهند کرد، اما همچنان کسانی خواهند بود که ارزانترین گزینه روی قفسهها را جستجو میکنند. اینجا نیاز به افزایش سطح امنیتی کلی کل صنعت مطرح میشود. حتی کسانی که راهحل ارزانترین را انتخاب میکنند باید حفاظت پایه داشته باشند – این کلید حفاظت از جامعه ماست.
این ضروری است اگر بخواهیم به استفاده از دستگاههای نهفته بیشتر و بیشتر ادامه دهیم.
منبع: iotforall
