امنیت IoT باید در اولویت باشه
تا حالا، امنیت اینترنت اشیا (IoT Security) اولویت نبوده. بهجای اینکه بخشی جدانشدنی از هر سیستم IoT دیده بشه، امنیت اغلب یه فکر بعدی بوده (یا اصلاً بهش فکر نشده).
از این به بعد، امنیت باید تو هر جنبهای از یه سیستم IoT عمیقاً در نظر گرفته بشه؛ چه خود دستگاه فیزیکی، چه روش اتصالش، چه پردازش و ذخیرهسازی تو ابر (Cloud)، یا حتی رابط کاربری (اگه میخواین بدونین سیستم IoT چطور کار میکنه، اینجا توضیح دادم).
اگه مصرفکننده هستین، باید مطمئن بشین دستگاههای متصلی که میخرین آسیبپذیر نیستن و قدمهای لازم رو بردارین تا اونا امن بمونن. اگه کسبوکار دارین، باید امنیت رو اولویت اصلی محصولاتتون قرار بدین و پشتیبانی مداوم داشته باشین تا هر آسیبپذیری جدیدی سریع برطرف بشه.
ولی چرا امنیت IoT مهمه؟
چرا امنیت IoT اهمیت داره؟
اینترنت اشیا (Internet of Things) قراره دنیای ما رو متحول کنه و کلی ارزش خلق کنه. ولی وقتی میلیاردها دستگاه جدید به اینترنت وصل میشن و تو زندگی روزمرهمون جا میگیرن، راههای جدیدی برای آسیب زدن باز میشه.
دستگاههای “خنگ” که به اینترنت وصل نیستن، سخت هک میشن چون باید نزدیکشون باشین. اما دستگاههای “هوشمند”، همون چیزی که اونا رو هوشمند میکنه (یعنی اتصال)، راههای جدیدی برای حمله از هر جای دنیا باز میکنه.
خطر برای افراد
یکی از خطرات این حملات، نقض ترسناک حریم خصوصیست. سال 2013، هکرها اطلاعات شخصی 70 میلیون نفر رو از Target دزدیدن و این کار رو از طریق یه سیستم تهویه متصل انجام دادن.
همچنین ثابت شده که خیلی از مانیتورهای بچه تو بازار بهراحتی هک میشن و به غریبهها اجازه میدن فیدهای ویدیویی زنده رو ببینن یا کلیپهای ذخیرهشده آنلاین رو جمع کنن. جدا از حس عجیب اینکه یکی لحظات خصوصیتون رو تماشا کنه، هک کردن دوربینهای ویدیویی یا حتی ترموستاتهای هوشمند میتونه به یه غریبه بگه شما خونهاید یا نه، و این کار دزدی رو آسونتر میکنه.
علاوه بر نقض حریم خصوصی، حملات دیجیتال میتونن امنیت شخصی رو هم تهدید کنن. محققان امنیتی چارلی میلر (Charlie Miller) و کریس والاسک (Chris Valasek) نشون دادن که میتونن یه جیپ چروکی (Jeep Cherokee) در حال حرکت رو هک کنن، حتی ترمزها و گازش رو خاموش کنن.
“مجموعه کامل ابزار میلر و والاسک شامل کاراییه که تو سرعتهای پایینتر موتور رو کامل خاموش میکنه، ترمزها رو یهو فعال میکنه یا کلاً غیرفعالشون میکنه. نگرانکنندهترین حرکت وقتی بود که ترمزهای جیپ رو قطع کردن و من دیوونهوار پدال رو فشار میدادم، در حالی که این SUV دو تُنی بدون کنترل تو یه گودال لیز میخورد. محققا میگن دارن روی کنترل کامل فرمان کار میکنن – فعلاً فقط وقتی جیپ دندهعقبه میتونن چرخ رو بدزدن. هکشون جاسوسی رو هم ممکن میکنه: میتونن مختصات GPS جیپ هدف رو ردیابی کنن، سرعتش رو اندازه بگیرن و حتی پینهایی رو نقشه بندازن تا مسیرش رو دنبال کنن.”
فقط ماشینها نیستن که میتونن هک بشن و به آدما آسیب بزنن؛ یه آسانسور پر از آدم یا دستگاههای حیاتی تو بیمارستان که هک بشن، میتونن ضرر بزرگی بزنن، شاید حتی برای باجگیری استفاده بشن.
این مثالها نگرانکنندهان و بایدم باشن، ولی اشتباهه فکر کنیم امنیت IoT فقط به افراد ربط داره. تهدیدهای بزرگی هم تو سطح سیستمها وجود داره که باعث میشه امنیت IoT برای همه حیاتی باشه.
خطرات برای سیستمها، کسبوکارها و دولتها
هرچه سیستمهای فیزیکی بیشتر آنلاین میشن و به اینترنت وصل میشن، آسیبهای فیزیکی بیشتری میتونه با ابزارهای دیجیتال ایجاد بشه.
سال 2009، آمریکا و اسرائیل یه کرم کامپیوتری به اسم Stuxnet طراحی و منتشر کردن تا یه تأسیسات غنیسازی هستهای تو ایران رو آلوده کنه. این کد با موفقیت سیستمهای کنترل صنعتی رو آلوده کرد و باعث شد سانتریفیوژها خراب بشن و نابود شن.

“اگه از حملات سایبری معروفی مثل StuxNet درسی بگیریم، اینه که هک دیگه فقط کار نوجوانای بیحوصله، هک پهپادها یا گروههای کوچیک هکرای باانگیزه نیست. وقتی پای مسائل بزرگ وسطه، حملات سایبری عملیات چندمرحلهای و چندسالهست که توسط تیمهای بزرگ و پرپول هکرها یا حتی دولتها انجام میشه.” — اینترنت اشیا امن، واقعاً برای امن کردن IoT چی لازمه؟
ممکنه وسوسه بشین که این مشکلات رو مسئولیت کسبوکارها و دولتها بدونین، ولی مصرفکنندهها هم نقش مهمی دارن. چرا؟ چون دستگاههای IoT فقط هدف حمله نیستن، بلکه خودشون میتونن سلاح باشن.
“ایده اینه که الان، باتنتهای IoT یکی از بزرگترین تهدیدها برای پایداری اینترنتان و انگار هیچ راهی برای متوقف کردن رشدشون نیست، چون نه سازندهها و نه مصرفکنندهها به امنیت IoT اهمیت نمیدن. در نتیجه، هر روز میلیونها دستگاه آسیبپذیر جدید به اینترنت وصل میشن و به ارتش زامبیهای باتلوردها نیرو میدن.” — بن دیکسون (Ben Dickson)، چطور صنعت IoT خودش رو تنظیم میکنه؟
یه باتنت (Botnet) به گروهی از کامپیوترها میگن که از راه دور دسترسیشون رو گرفتن و به خطر افتادن. هکرها از این کامپیوترهای آلوده (که بهشون بات یا زامبی میگن) استفاده میکنن تا انتقالها رو به سرورها یا کامپیوترهای دیگه بفرستن. وقتی همه این باتها به یه جا بفرستن و ترافیک خیلی بالایی بسازن، بهش میگن حمله توزیعشده انکار سرویس (DDoS). این حملات با غرق کردن سرورها با پهنای باند عظیم، اونا رو از کار میندازن.
اکتبر 2016، بزرگترین حمله DDoS تاریخ روی ارائهدهنده خدمات Dyn با یه باتنت IoT انجام شد. این باعث شد بخشهای بزرگی از اینترنت از کار بیفته، از جمله توییتر (Twitter)، گاردین (The Guardian)، نتفلیکس (Netflix)، ردیت (Reddit) و CNN.
این باتنت IoT با بدافزاری به اسم Mirai ممکن شد. وقتی دستگاهی با Mirai آلوده میشه، مدام اینترنت رو برای دستگاههای IoT آسیبپذیر میگرده و با نامهای کاربری و رمزهای پیشفرض شناختهشده واردشون میشه و اونا رو با بدافزار آلوده میکنه. این دستگاهها چیزایی مثل دوربینهای دیجیتال و پخشکنندههای DVR بودن.
گرچه این حمله DDoS برای خیلیها فقط یه مزاحمت بود، تصور اینکه همچین حملهای با نیت بدتری هدایت بشه سخت نیست، بهخصوص وقتی دنیای فیزیکی بیشتر و بیشتر به آنلاین بودن وابسته میشه.
نتیجهگیری
امن کردن اینترنت اشیا (Internet of Things) حیاتیه، ولی چرا امنیت IoT اینقدر مسئلهست؟ موانع حل این مشکلات چیه؟ تو بخش دوم این مقاله میتونین جوابش رو پیدا کنین!
اگه میخواین تو دنیای متصل امروزی ایمن بمونین، چه مصرفکننده باشین چه صاحب کسبوکار، وقتشه امنیت IoT رو جدی بگیرین. آیندهمون بهش بستگی داره!
منبع: iotforall
