چالش‌های امنیتی دستگاه‌های IoT موضوعی بسیار بحث‌برانگیز است و به حق. در این مقاله، Attila Szasz، مدیرعامل و بنیان‌گذار BugProve، کمی نور بر دلایل، روندها و انتظارات فعلی خواهد تاباند.

چالش‌های امنیتی جهانی دستگاه‌های IoT چیست؟

شاید بزرگ‌ترین زنگ بیدارباش، حمله بات‌نت Mirai بود که تغییرات را آغاز کرد. جعبه‌های تنظیم (set-top boxes) هک‌شده و حملات هماهنگ که توانستند GitHub، Twitter و Reddit را از کار بیندازند، بزرگ‌ترین ریسک را به خوبی نشان دادند.

اگر یک آسیب‌پذیری در یک دستگاه وجود داشته باشد، در همه دستگاه‌های مستقر شده حاضر و قابل دسترسی است. این دیگر فقط یک ریسک امنیتی ساده نیست.

جنگ کنونی بین روسیه و اوکراین نیز این موضوع را برجسته کرد. آژانس‌های اطلاعاتی تلاش کردند تا به دوربین‌های IP نفوذ کنند که نقاط ضعف بودند و از طریق آن‌ها می‌شد به راحتی جاسوسی کرد. فراموش نکنیم که این دستگاه‌ها نه تنها در خانه‌های ما، بلکه در ساختمان‌های دولتی و نظامی و زیرساخت‌های حیاتی نیز حضور دارند.

صرف‌نظر از بخش، بیشتر شرکت‌های دیجیتال با ریسک‌هایی روبرو هستند اگر دستگاه‌های IoT در مرزهای شبکه‌شان فعالیت کنند. آسیب‌پذیری‌های دستگاه می‌تواند نقاط ورود در حملات علیه اهداف باارزش بالا باشد.

به عنوان مثال برجسته، یک کازینو در سال ۲۰۱۷ خبرساز شد که از طریق یک آکواریوم هوشمند هک شد. با وجود سرمایه‌گذاری زیاد در امنیت اطلاعات، فکر نمی‌کردند آکواریوم لینک ضعیف باشد. از آن زمان، بخش‌های امنیت اطلاعات بیشتری ریسک‌های مرتبط با دارایی‌های IoT در شبکه‌شان را درک کرده‌اند و هزینه‌های خود را برای کشف تلاش‌های مخرب و دستگاه‌های پرریسک افزایش داده‌اند.

چه چیزی دستگاه‌های IoT را متفاوت می‌کند؟ چرا چالش‌برانگیزتر هستند؟

امنیت سیستم‌های نهفته (embedded systems) به طور اساسی متفاوت از فضای برنامه‌های کاربردی است. در اینجا چند عامل کلیدی آورده شده است:

  1. شاید مهم‌ترین تفاوت اولیه، ذخیره‌سازی و منابع محدود باشد که محدودیت‌های زیادی بر کد IoT تحمیل می‌کند. اگرچه برخی پروژه‌های نرم‌افزاری سهم بازار نسبتاً بزرگی دارند، مانند Linux و FreeRTOS، طیف همه طراحی‌های IoT بسیار ناهمگن است. معمولاً این فرآیندها شامل کد سخت‌افزار خاص بسته هستند که اغلب امنیت را به طور منفی تحت تأثیر قرار می‌دهد.
  2. دستگاه‌ها باید کل مشکل را خودشان حل کنند، اغلب بدون یک سیستم عامل کامل. کد bare metal اغلب در برابر بردارهای حمله آسیب‌پذیر است، جایی که مسائل ساده مانند اشاره‌گر null dereference به دلیل عدم حفاظت حافظه یا سایر امکانات امنیتی که معمولاً توسط سیستم عامل تنظیم می‌شود، قابل بهره‌برداری می‌شود.
  3. اغلب هیچ کنترلی بر اجزای خریداری‌شده خاص وجود ندارد و SDKهای مرتبط با کد مثال آسیب‌پذیر بدون هیچ تضمینی همراه هستند. گاهی کد آسیب‌پذیر به صورت کد منبع توزیع می‌شود که ممکن است ممیزی شخص ثالث آن‌ها را بگیرد. با این حال، اغلب اوقات SDK این آسیب‌پذیری‌ها را در قالب تغییرات سفارشی به باینری‌های سیستم که از قبل برای پلتفرم کامپایل شده‌اند، پنهان می‌کند.
  4. پیچیدگی بیشتر این است که تولیدکنندگان معمولاً ارزان‌ترین عنصری را که الزامات را برآورده می‌کند، جستجو می‌کنند. تا زمانی که امنیت قوی در میان الزامات سخت نباشد، طراحی‌ها هزینه را به قیمت اقدامات پایه مانند رمزنگاری قوی یا جداسازی privileges به حداقل می‌رسانند.
  5. زبان‌های برنامه‌نویسی رایج در این حوزه، مانند C و C++، از دیدگاه کدگذاری امن چالش‌برانگیز هستند. مسائل ایمنی حافظه همچنان کلاس‌های اصلی آسیب‌پذیری هستند که این طراحی‌ها را آزار می‌دهند.
  6. دشواری تست امنیتی آخرین میخ بر تابوت است. ابزارهایی که می‌توانند در این زمینه کمک کنند، کمبود دارند و تنها چند پروژه منبع باز موجود است. این با کمبود چند میلیون متخصص امنیتی در بازار تشدید می‌شود. بنابراین، غیرممکن است که فقط به نظارت انسانی تکیه کنیم.

مسئولیت با کیست؟ اپراتورها یا تولیدکنندگان؟

قطعاً، حل بسیاری از مسائل شامل استفاده فعال از عملیات مناسب، از جمله فایروال‌ها، XDRها و پلتفرم‌های observability IoT است. با این حال، حتی با این اقدامات، آسیب‌پذیری دستگاه‌ها می‌تواند ریسک باقی بماند، به ویژه اگر حمله هدفمند علیه دارایی باارزش بالا در سازمان باشد. بنابراین، ما معتقدیم که مسئولیت اصلی بر عهده تولیدکننده است تا اطمینان حاصل کند محصولشان انتظارات امنیتی پایه را برآورده می‌کند.

خوشبختانه، وضعیت در یک جنبه مهم بهبود یافته است: اگر امروز آسیب‌پذیری در محصولی کشف کنیم و گزارش دهیم، شرکت‌ها معمولاً آن را به عنوان حمله PR نمی‌بینند بلکه به عنوان کمک خوشایند. تولیدکنندگان بیشتر تمایل دارند قدردانی کنند و با ما در حل مسئله همکاری کنند.

چرا یک نوع دستگاه وضعیت امنیتی بهتری نسبت به دیگری دارد؟

آنچه می‌گویم ممکن است تعجب‌آور نباشد: آن دستگاه‌ها سطح بالاتری از امنیت IT داشتند جایی که انگیزه تجاری و پتانسیل واقعی برای حملات وجود داشت.

یک مثال عالی، set-top box به عنوان دستگاه است. ممکن است فکر کنید در همان دسته router قرار می‌گیرد، به ویژه وقتی دستگاه‌های ارزان‌تر و کیفیت پایین‌تر را در نظر بگیریم. با این حال، از دیدگاه امنیتی، تفاوت قابل توجهی تجربه کرده‌ام.

set-top boxهای ارزان تحلیل‌شده منابع سخت‌افزاری اختصاصی داشتند و با رمزنگاری جدی کار می‌کردند. این عمدتاً به لطف قراردادهای خالقان محتوا با اپراتورها و ارائه‌دهندگان تلویزیون کابلی بود که شامل جریمه‌های سنگین در صورت سرقت بود، زیرا می‌خواستند مالکیت معنوی‌شان را حفاظت کنند. در نتیجه، اپراتورها ناگهان علاقه قوی به اطمینان از رسیدن امن محتوا به مصرف‌کنندگان داشتند.

در کشورهای جهان سوم، این کسب‌وکار بزرگی است. دزدی دریایی به یک صنعت کامل تبدیل شده و برخی گروه‌های مخرب حتی عملیات ماهواره‌ای دزدی خود را اداره می‌کنند. بنابراین، فشار قابل توجهی بر اپراتورها بود که منجر به توسعه دستگاه‌های امن‌تر شد.

فرآیندهای مشابه کنسول‌های بازی را نیز امن کرده‌اند.

در تضاد شدید با این، routerها و دوربین‌های IP بسیار کمتر امن هستند. بر اساس تحقیقات ما، به طور متوسط در ۸ از ۱۰ مورد آسیب‌پذیری‌های جدی وجود دارد. و به طور کلی، دستگاه‌های جدی‌تر و گران‌تر تمایل به امن‌تر بودن دارند.

مقررات و آگاهی مشتری

حالا به یک مسئله حیاتی می‌رسیم که آگاهی مشتری است. به طور ساده، تهدیدها هنوز در سطحی نیستند که تولیدکنندگان را مجبور به بهینه‌سازی برای امنیت کند، زیرا مصرف‌کنندگان دستگاه‌های ضعیف‌تر را جریمه نمی‌کنند. البته، سؤال این است که مصرف‌کنندگان چگونه می‌توانند این را ارزیابی کنند، اما مشکلات بزرگ‌تری در جریان است.

برخی حتی به نقطه درک مشکل نرسیده‌اند که خطر خود است.

مقاله‌ای در مورد BugProve با عنوانی مانند «ما از یخچال هوشمند شما در برابر حملات حفاظت می‌کنیم» وجود داشت. یکی از نظرات برتر این بود: «کمک، اگر هک کنند و ناگت‌های مرغ من را بدزدند چه می‌شود؟»

این یک جوک sarcastic بود و من هم خنده‌ام گرفت. با این حال، فکر می‌کنم این کمی نور بر سؤال آیا مصرف‌کننده متوسط در موقعیت روانی نامناسبی است وقتی نگرانی‌های حریم خصوصی و امنیتی را با اشیاء خانگی بی‌ضرر مرتبط می‌کند، می‌تاباند. می‌توان این را «فالاسی آکواریوم» به خاطر حادثه کازینو نامید.

برای ما کارشناسان امنیتی، آسان است که چالش‌های امنیتی دستگاه‌های IoT را بلافاصله ببینیم هرجا میکروکنترلرها و سخت‌افزار محاسباتی دیگر به شبکه‌های IP متصل هستند حتی اگر داخل اشیاء آشنا پنهان باشند، اما این برای جمعیت گسترده‌تر صدق نمی‌کند.

نقش مقررات

همانطور که مثال کازینو نشان می‌دهد، ریسک به عملکرد اصلی دستگاه هک‌شده بستگی ندارد؛ مشکل این است که هر دستگاه IoT می‌تواند نقطه ورود به شبکه مشتری باشد و مهاجم می‌تواند منابع اضافی از آنجا به دست آورد. کد مخرب قرار داده‌شده به این روش اغلب از کاربر پنهان می‌ماند اما همچنان ریسک مداوم ایجاد می‌کند.

این چیزی است که مقررات آینده قصد تغییر آن را دارند. GDPR شاید بهترین راه برای افزایش امنیت داده نبود، اما حداقل همه را تا حدی آگاه کرد. امیدواریم RED و CRA اثر مشابهی داشته باشند.

حتی قابل توجه‌تر رویکرد آمریکایی Cyber Trust Mark است. محصولات لوگویی با سپر خواهند داشت که به مصرف‌کنندگان سیگنال می‌دهد محصول حداقل استاندارد خاصی را برآورده کرده است. همچنین کد QR خواهد بود که مصرف‌کنندگان بعداً می‌توانند برای تأیید اینکه آیا محصول هنوز این استانداردها را برآورده می‌کند، استفاده کنند.

اعتقاد دارم برخی مصرف‌کنندگان به این توجه خواهند کرد، اما همچنان کسانی خواهند بود که ارزان‌ترین گزینه روی قفسه‌ها را جستجو می‌کنند. اینجا نیاز به افزایش سطح امنیتی کلی کل صنعت مطرح می‌شود. حتی کسانی که راه‌حل ارزان‌ترین را انتخاب می‌کنند باید حفاظت پایه داشته باشند – این کلید حفاظت از جامعه ماست.

این ضروری است اگر بخواهیم به استفاده از دستگاه‌های نهفته بیشتر و بیشتر ادامه دهیم.

 

منبع: iotforall

اشتراک‌ها:
دیدگاهتان را بنویسید

نشانی ایمیل شما منتشر نخواهد شد. بخش‌های موردنیاز علامت‌گذاری شده‌اند *