هم‌اکنون اینترنت اشیا (Internet Of Things – IoT) منبعی دائمی برای تحول جنبه‌های تکنولوژیکال و عملکردی جوامع ماست. موج پس از موج از نوآوری ما را به این نقطه رسانده است. با این سرعت باورنکردنی تغییرات در مدت زمان بسیار کم، طبیعتاً برخی از موضوعات به سرعت‌ترند می‌شوند و برخی نیز به سرعت محو می‌شوند و این امر تابع اقبال عمومی و همچنین ظهور تکنولوژیهای برتر است. وقتی صحبت از از نوآوری‌های تکنولوژی می‌شود، خصوصاً IoT، حریم خصوصی و امنیت یکی از مهمترین و پرچالش‌ترین مباحث مربوط توسعه هستند که محل بحث متخصصان و کاربران است. به همین دلیل لازم است امسال و سالهای آتی از نزدیک به این صنعت نگاه کنیم. در ادامه به بررسی موضوعات داغ این صنعت در حوزه امنیت خواهیم پرداخت. در بازار فعلی کشور هنوز به طور گسترده از این تکنولوژی بهره برداری نشده است و برای کاربران عمومی نام IoT آمیخته با گجتهای جذابی است که در فضای رسانه‌های مرتبط با فناوری‌های دیجیتال به آن پرداخته می‌شود، لذا بررسی و واکاوی جنبه‌هایی از این صنعت که تأثیر اساسی بر فعالیت‌های روزمره و همچنین حیاتی ما دارند، بسیار حائز اهمیت می‌باشد.

تولیدکنندگان سنتی تجهیزات و متخصصان امنیت: دو دنیای متفاوت

سازندگان تجهیزات درگیر تولید قطعات و اعداد و ارقام تیراژهای چندین رقمی خود هستند. مدیریت دقیق اموال، هزینه‌های مواد اولیه و تحویل به موقع، مواردی هستند که تولیدکنندگان برای سرپاماندن در این بازار رقابتی به آنها توجه دارند. سازندگان تجهیزات با سیستم عامل‌ها و نرم‌افزارهایی سروکار دارند که بسیار سبک هستند و ردپای کوچکی از خود به جای می‌گذارند زیرا این قطعات فضای ذخیره سازی و قدرت پردازشی محدودی در اختیار دارند. به مسائل امنیتی در سطح حداقل به نظر لازم در جهت پایین نگه‌داشتن هزینه‌ها و زمان تحویل محصول، توجه می‌شود. این بازار را می‌توان شامل تولیدکنندگان متعدد دانست که بیشتر آنها شاید در تعداد بالا تولید نمی‌کنند اما در مجموع شاید تیراژشان به ارقام میلیاردی برسد. از سوی دیگر به طور سنتی شرکتهای امنیتی در بازارهای سازمانهای بزرگ، شبکه و سرورهای وب و برنامه‌های وب فعالیت می‌کنند. این موارد عموماً شرکت‌های بزرگ هستند که خود دارای گروههای IT و مشاوران متخصص امنیت هستند. به طورکلی این بازارهای هدف، بانک‌ها، مراکز داده و … می‌باشند که محصول فیزیکی در آنها وجود ندارد و مهمترین موارد داده‌ها می‌باشند. این داده‌ها عموماً در راستای خدمات مالی می‌باشند که حاوی اطلاعات شخصی یا مالی افراد هستند که نیاز به محافظت شدیدی دارند. همانطور که می‌بینیم یک ناهمگنی بین نیازهای تولیدکنندگان تجهیزات و توانایی‌ها و تمرکز شرکتهای امنیتی وجود دارد، در نتیجه فاصله بین این دو سکتور دیده می‌شود و نکات امنیتی به طورکافی در تولید رعایت نمی‌شود.

این به دلیل عدم علاقه یا میل تولیدکنندگان نیست، بدین دلیل است که به هدف امنیت در این حوزه راه زیادی طی نشده است. در گذشته تجهیزات خودکار متصل به شبکه همانند امروز رایج بودند که توسط سیستم‌های با استفاده عمومی، پیاده سازی می‌شدند. اما امروزه با رشد فزاینده تولید میکروکنترلرها، تراشه‌ها کوچک و بسیار ارزان هم می‌توانند در بستر TCP/UDP فعالیت کنند و حتی بیسیم نیزعمل کنند. این امکانات جدید منجر به گسترش چندبرابری استفاده از تجهیزات متصل شد. هر تجهیزی که به شبکه متصل است یک کاربر بالقوه محسوب می‌شود. آیا شما اجازه می‌دهید که یک فرد بدون مجوز به شبکه شما متصل شود؟ اگر خیر پس چطور یک دستگاه نامطمئن اجازه حضور در شبکه شما را دارد؟ تجهیزات هم می‌توانند همانند یک کاربر باشند چرا که نمی‌توان گفت کنترل این تجهیز نامطمئن در اختیار کیست. یکی از دلایلی که معمولاً برخی هنگام استفاده از یک دستگاه نامطمئن در شبکه برای خود می‌آورند این است که در این دستگاه اطلاعات مهمی وجود نخواهد داشت! بله موافقم، کسی به اطلاعات بی ارزش آن دستگاه اهمیت نمی‌دهد، بلکه به شبکه‌ای که آن دستگاه به آن متصل است اهمیت می‌دهند! این یک درگاه برای ورود به شبکه شما و سپس دسترسی به داده باارزشتان است. در کنار ایمن‌سازی بر اساس طراحی در سمت تولیدکنندگان که مدتی طول خواهد کشید تا سهم بالایی از بازار را شامل شود، کاربران باید با حجم بزرگ کالاهای موجود سروکار داشته باشند. برای پرکردن این فاصله به نظر می‌رسد راهکار پیشرو مطمئن شدن از سلامت و کارکرد تجهیزات به کمک آزمودن و ایجاد یک سازوکار استانداردگونه مرجع است. به طوری که کاربران بتوانند با استعلام از آن مرجع، از خرید خود اطمینان حاصل کنند.

رایج‌تر شدن باج افزار های IoT و بدافزارهای مرکب

همان‌طور که در مقاله نگرانی‌های امنیتی پیشرو را با هم بررسی کردیم، باج افزارها در سال‌های 2017 و 2018 روند رو به رشدی داشتند. با اینکه بیشتر سهم باج افزارهای سنتی از الگوریتم‌های رمزنگاری برای قفل کردن پلتفرم‌های کاربران استفاده می‌کنند، به نظر می‌رسد هکرها در آتی از گستره بیشتری از روشها برای این هدف استفاده خواهند کرد. Song Li بنیانگذار شرکت امنیتی NewSky بیان داشت: باجافزارهای مبتنی بر IoT می‌توانند بر سرقت داده یا از کار انداختن عملکرد یک دستگاه متمرکز شوند. دوربین‌های مبتنی بر IP می‌توانند تصاویر مهمی از مکانهای مختلفی که در آن حضور دارند تهیه‌کنند، مانند خط تولید یک کارخانه یا حتی داخل یک منزل مسکونی. هکرها می‌توانند در ازای منتشر نکردن تصاویر، تقاضای مبلغی به صورت رمز ارز بکنند. در سناریوی دیگر هکرها می‌توانند در ازای مختل کردن عملکرد یک قفل هوشمند یا حتی یک ترموستات باج‌خواهی کنند. واضح است که هیچ اطمینانی از خوش‌قولی یک هکر در صورت پرداخت وجه نمی‌توان داشت. در موارد گذشته که باج‌افزارها اشخاص را از دسترسی به PC خود منع می‌کردند و پس از دریافت باج، باز هم تقاضای بیشتری داشتند. به گفته Peter Tran از مدیران شرکت RSA به نظر می‌رسد در سال پیش شاهد ادغام و ترکیب خانواده بدافزارها خواهیم بود، به عنوان مثال ترکیب DDoS و باج‌افزارها. این منجر به ظهور پدیده‌ای می‌شود که آن را می‌توان بدافزارهای مرکب نامید که به لطف انفجار تولید دستگاه‌های IoT ترکیبات حاصل از این باج افزارها غیر قابل پیش‌بینی خواهد بود. چنانچه راهکارهای امنیتی همپای توسعه صنعت IoT رشد نکنند باید در آینده شاهد قفل شدن سرنشینان درون وسیله نقلیه باشیم یا حتی صبحگاه در منزل نتوانیم قهوه بنوشیم چرا که قهوه سازمان گروگان گرفته شده است.

حریم خصوصی، بخش انکارناپذیر از بحث IoT  

شرکت‌های بزرگ در حال نصب و به‌کارگیری روزافزون تجهیزات IoT همانند ترموستات‌ها و دستگاه‌های تهویه‌ی هوشمند، تلویزیون‌های هوشمند، پرینترهای تحت شبکه و هوشمند و نورپردازی هوشمند، می‌باشند. در همین حین بعد صنعتی‌سازی تجهیزات IoT با اقبال عمومی نسبت به محصولاتی همانند بلندگوهای هوشمند یا همان دستیاران شخصی، در حال پیشرفت می‌باشد. اما برخلاف افزایش پرسرعت متصل شدن و هوشمند شدن تجهیزات، ایمن سازی این محیط‌ها هنوز رویه‌ی درست و مشخصی نیافته است. Don Deloach نویسنده کتاب “آینده ”IoT در این باره گفته حریم خصوصی در آینده تبدیل به فیل در اتاق خواهد شد (مشکل بزرگی که وجود دارد اما کسی در خصوص آن صحبت نمی‌کند)! افزایش جمع‌آوری داده‌های حساس توسط کمپانیهای بزرگ در حال بالابردن بی‌اعتمادی افکار عمومی است. همچنین رسوایی‌های درز اطلاعات کاربری از شرکتهای بزرگ به این امر دامن زده‌است. اما در این بین قوانین عمومی حفاظت از داده‌های اتحادیه اروپا یا همان GDPR که در گذشته در خصوص آن صحبت کردیم، از ماه می سال گذشته اجرایی شده‌است و می‌تواند تا چندین درصد گردش مالی سالیانه کمپانیها را جریمه کند. پس از GDPR افکار عمومی بیشتر از گذشته مشغول حریم خصوصی شده است. یکی از موارد پر سروصدای سال‌های اخیر درز داده‌های شرکت خدمات مالی Equifax بود که شامل داده‌های 145.5 میلیون کاربر بود. این درز داده یک رسوایی بزرگ بود و اهمیت و همچنین مشکل بودن حفاظت از داده‌هایی مرتبط با اشخاص همانند نام، آدرس و شماره ملی، را نشان داد. محصولات مرتبط با IoT پر از این داده‌ها خواهد بود!

که نیازمند روش‌های مختلف ناشناس‌سازی است. درز داده‌های Equifax یادآور آسیب‌پذیر بودن داده‌های شخصی است و IoT می‌تواند به این امر دامن بزند. به نظر می‌رسد از تکنولوژی‌هایی همچون بلاکچین و توکن‌سازی داده‌ها برای تجدیدنظر ساختارهای کنونی داده، بهره گرفته شود. نکته حائز اهمیت برای هکرها در سرقت داده‌ها کیفیت/اهمیت داده، حجم آن و آسان بودن دسترسی است. چنانچه هر کدام از این ویژگی‌ها را بتوانیم به نحوی تحت تأثیر قراردهیم، توانسته‌ایم به افزایش ضریب امنیت داده‌هایمان کمک کنیم.

بات‌نت‌های بهتر و هوشمندتر IOT  

میرای(Mirai) به معنای آینده اولین نمونه واقعی از یک باتنت IoT است که در سال 2016 شناسایی شد. این بدافزار به کمک چند خط کد ساده حاصل شد. اما به علت هدف قراردادن مواردی همچون دوربین‌های IP متصل به اینترنتی بود که امنیتشان بسیار کم تحت نظر بود یا به‌روزرسانی می‌شد، تأثیر فراوانی داشت که توانست بخش قابل توجهی از اینترنت را تحت تأثیر قرار دهد و به آن آسیب وارد کند. سرویس دهندگان اینترنت و شرکتهای DNS پس از میرای امنیت خود را ارتقا دادهاند اما بازار IoT که پیشبینی می‌شود تا سال 2024 به حجم 6.5 تریلیون دلار برسد، همچنان درحال رشد چشمگیری است. با توجه به اتفاقات پیشرو، متاسفانه تنها برخی از تولیدکنندگان محصولاتشان را بهروز کردهاند. اما با توجه با آمیخته شدن هرچه بیشتر زندگی روزمره مردم با تجهیزات IoT این امر قابل توجه تر به نظر می‌رسد. طبق گفته کریس بوید متخصص ارشد بررسی بدافزارها، در سال 2018 چندین هزار عدد از تجهیزات میکروتیک (MikcoTik) در معرض این خطرات قرار گرفتند و هکرها از آنها برای استخراج ارزهای دیجیتالی بهره بردند.

او در ادامه افزود این اتفاق تنها گوشه‌ای از آینده پیشروست، به طور روزافزون تجهیزات سخت افزاری از این قبیل در معرض خطر قرار خواهند گرفت تا از آنها برای کارهای مدنظر هکرها بهره‌برداری شود، چه استخراج ارز دیجیتالی و یا برای بهره گیری سایر بدافزارها. مدیریت در معرض خطر قرار گرفتن روترها و تجهیزات IoT در این مقیاس وسیع بسیار سخت‌تر از آلودگی کامپیوترهاست. مدیریت آلودگی در صورت موفقیت پایان کار نیست بلکه پس از آن باید فکری به حال آلودگی تک تک تجهیزات نیز کرد. شرکت کاسپرسکی نیز در خصوص سرعت توقف ناپذیر رشد این خطرات هشدار داد و توصیه کرد به هیچ وجه این خطرات را نباید دست کم گرفت. کارشناسان امنیت بر این باورند که هکرها تلاش خواهند کرد تا تجهیزات IoT را تبدیل به شبکه‌ای از بات‌های با قابلیت تصمیم گیری نیمه-مستقل کنند، تا بتوانند موانع را برای هدف قراردادن نقاط آسیب‌پذیر شبکه، کنار بزنند. هایونتها (Hivenet) اما گامی فراترند. هایونت‌ها خوشه‌هایی از تجهیزات آلوده، با قابلیت یادگیری هستند که می‌توانند به طور همزمان چندین بردار حمله را شناسایی و اجرایی کنند. تجهیزات موجود در هر هایو می‌توانند با یکدیگر به تبادل پیام بپردازد و از هوش موجود در کل هایو برای شناسایی تجهیزات جدید بهره بگیرد و هایو را توسعه دهند. هایونتی که بتواند تجهیزات جدید را شناسایی نماید، به صورت نمایی رشد خواهدکرد و می‌تواند به چندین قربانی به صورت همزمان حمله کند. با ظهور و همه گیرشدن بستر 5Gمی‌توانند از بهبود بسیار خوب پارامتر تأخیر به نفع خود بهره‌برداری کنند و تأثیر بسیار بیشتری بگذارند.

طبق عقیده دامون کاچور یکی از مدیران شرکت Sectigo گواهی دیجیتالی می‌تواند نقش مهم و مفیدی در این بین ایفا کنند. از دیدگاه کاربر نهایی، سرعت کم افزایش ضرایب امنیتی در تجهیزات،IoT دولت را وادار به قانون‌گذاری کرده است. کشورها و ایالات بیشتری از ایالت کالیفرنیا تبعیت خواهند کرد به این دلیل که رعایت کردن ضرایب امنیتی را برای شبکه‌های IoT الزامی دانسته است. این امر برای صنایع بهداشت، نقلیه، انرژی و تولیدی حیاتی‌تر می‌باشد، زیرا با تهدیدات بیشتری روبرو هستند. این قوانین مانع کوتاهی کردن در مدلهای احراز هویت سفت و سخت از جانب شرکتها می‌شود. مدل‌های احراز هویت قوی که توسط بنیاد اتصال باز Open Connectivity Foundation و AeroMACS به عنوان بهترین روش به کارگرفته می‌شود. خرابکاران یا مهاجمان به IoT دائما در حال رشد و توسعه‌اند، لذا اطمینان از تأمین کردن تجهیزات به بهترین شیوه و توانایی مدیریت الگوریتم‌های رمزنگاری جاری به سرعت و همچنین چیزهایی که در آینده جایگزینشان خواهد شد، بسیار حیاتی است. به نظر می‌رسد در بازارکنونی، تدوین مقررات الزام آور برای دارابودن فاکتورهای امنیتی استاندارد، نیروی محرکه لازم را از سویی برای افزایش ضرایب امنیتی از جانب تولیدکنندگان و همچنین از سوی دیگر عرضه محصولات استاندارد توسط توزیع کنندگان، فراهم می‌کند.

ادامه افزایش در استفاده از Big Data  

گسترش استفاده از IoT و تجهیزات هوشمند متصل در افزایش هنگفت داده‌هایی که ما هر روز تولید می‌کنیم، تأثیر به سزایی داشته است. افزایش تکنولوژی‌هایی که می‌توانند داده‌های تولیدی مارا جمع‌آوری، تفسیر و ذخیره کنند، طبیعتاً شرکت‌ها و کسب‌وکارها را به سرمایه‌گذاری در این عرصه ترغیب نموده است. یکی از راهکارهای اصلی که شرکتها و کسب‌وکارها که هدف تلاش‌های بازاریابی و تبلیغاتشان را بدان معطوف ساخته‌اند، ضبط، پردازش و تحلیل داده‌های مشتریان است. در این امر سایر شرکتهای تجاری و مالی نیز فعال شده‌اند. یکی از نکات جالب توجه در آینده تأثیر ورود به حریم خصوصی کاربران برای استفاده داده‌هایشان توسط کمپانیها در سرویس‌هایی که به آنها ارائه می‌دهند. بدین منظور قوانین GDPR کسب‌وکارها را به اجازه گرفتن از مشتری برای جمع‌آوری داده‌ها، موظف کرده است. اما به نظر می‌رسد با سطح قوانین کنونی و وضع بازار، تغییر چندانی در حجم داده‌های جمع‌آوری شده ایجاد نشده است. زمان تعیین خواهد کرد که آیا این حجم از داده‌های ذخیره‌شده بالاخره به بحران تبدیل می‌شود یا فرصت.

این مطلب اولین بار در فصلنامه امنیت الکترونیک به قلم ابوالفضل خدایگانی منتشر شده است.