مسئله مهم نحوه اتصال دستگاه‌های اینترنت اشیاء به شبکه‌های اینترنتی

گروه‌های امنیتی حوزه رایانه و اینترنت همواره اذعان داشته‌اند که اینترنت اشیاء  خطر سوءاستفاده را به همراه دارد. متأسفانه، عموم کاربران و مردم با تکیه کاذب بر فناوری‌های محافظ موجود در این زمینه، از کنار این نگرانی‌ها و هشدارها به‌سادگی و بدون توجه عبور می‌کنند.
خوشبختانه از طرف دیگر، یک گروه تحقیقاتی از دانشگاه میشیگان آمریکا و شرکت مایکروسافت به‌تازگی با انجام یک تحلیل و بررسی کامل و همه‌جانبه در مورد اینترنت اشیاء در حوزه استفاده‌های خانگی، مشکلات و نگرانی‌های ناشی از این نوع فناوری را برای کاربران عمومی این حوزه بیان کردند. نتایج حاصل از این تحقیقات توجه هرکسی را جلب می‌کند. محققان در این تحقیقات، اندکی روش کار خود را تغییر داده و بر اساس یافته‌های خود چهار نوع حمله را ترتیب دادند. این حملات، شامل سوءاستفاده‌های واقعی و عملی مانند طراحی یک رمز برای قفل‌های خودکار درب ورودی خانه، سرقت شماره شناسایی شخصی  برای باز کردن دیگر درها و از کار انداختن حسگرها و سامانه‌های هشداری بوده‌ است.

ابزار استفاده‌ شده در مرکز تحقیقات از نوع ابزار هوشمند سامسونگ بوده که یک مجموعه از محصولات و نرم‌افزارهای مرتبط با دستگاه‌های هاب  است. شرکت سامسونگ دستگاه‌های نظارتی، هشداری و دیگر ابزار‌ها را در این زمینه می‌فروشد. همچنین در این حوزه یک مجموعه از محصولات وجود دارند که با استفاده از ابزارهای هوشمند فعال می‌شوند و شامل قفل درها و سامانه‌های روشنایی و سرمایشی و به‌طور کلی سامانه‌های تهویه منازل می‌شوند. گروه‌های طراحی کننده این ابزار برنامه‌هایی را نیز برای ابزارهای خود طراحی و عرضه کرده‌اند که در تلفن همراه و برنامه‌های اینترنتی قابل ‌نصب است و از طریق آن‌ها ابزار کنترل می‌شوند.

نقطه تفاوت اینترنت اشیا و یا ابزار دیگر در این زمینه، نرم‌افزار موجود در آن‌هاست. این ابزارها طبق تعریفی که از قبل برای آن‌ها انجام ‌شده است، به اینترنت متصل می‌شوند. نرم‌افزاری که اصول امنیتی در آن رعایت نشده باشد، ممکن است دارای نقاط آسیب‌پذیری باشد که می‌توان از آن‌ها برای دسترسی و کنترل ابزار استفاده کرد. به‌طور قطع هر ابزاری که به اینترنت وصل شود، قابل‌شناسایی و نفوذ است و در این‌گونه موارد هدف اصلی، نرم‌افزار موجود در ابزار خواهد بود.
این تحقیق به یافته‌های صنایع امنیتی در مورد اینترنت اشیاء می‌پردازد و محققان نیز این یافته‌ها را اثبات کرده‌اند.

وقتی مردم عادی یک تبلیغ را در تلویزیون می‌بینند که در آن ‌یک زوج با استفاده از تلفن همراه اقدام به باز کردن درب ورودی خانه می‌کنند، در اصل حس راحتی و ایمنی به آن‌ها القاء می‌شود، اما کسانی که در گروه‌های امنیتی فعالیت می‌کنند، در ابتدا قبل از هر چیز، نقاط آسیب‌پذیری موجود و سوءاستفاده‌های ممکن را می‌بینند. گزارشی که در ادامه می‌خوانید، اثباتی بر این یافته‌ها است.

این تحقیقات در ابتدا یادآور می‌شود که بیشتر نقاط آسیب‌پذیری موجود، در نرم‌افزار دستگاه و یا نرم‌افزاری که دستگاه را کنترل می‌کند، مشاهده‌ شده است. این متأسفانه همان چیزی است که گروه‌های امنیتی آن را خطرناک و دردسرساز می‌دانند. این اتفاق همیشه هم‌زمان با ظهور و طراحی یک فناوری جدید رخ می‌دهد و ناشی از عدم توجه کافی به اصول امنیتی است. در ابتدای ظهور اینترنت، این اتفاقات در قالب اتصال و فعالیت برنامه‌ها در شبکه‌های اینترنتی مشاهده شد و در آن زمان محققان برحسب وظیفه خود اقدام به بررسی مسائل می‌کردند و از هر مسئله‌ای که مشاهده می‌شد یادداشت‌برداری می‌کردند. سپس هم‌زمان با ظهور برنامه‌های تلفن همراه، متأسفانه این مسائل و یادداشت‌برداری‌ها فراموش شد و همان اشتباهات دوباره تکرار شد. این اتفاقات سپس با ظهور ابر و برنامه‌های ابری تشدید شد و امروزه مشاهده می‌شود که همین اتفاقات در حوزه اینترنت اشیاء رخ می‌دهد.

هنگامی‌که در برنامه‌های تجاری و بازرگانی، نقاط آسیب‌پذیری کشف می‌شوند، تلاش‌هایی برای جلوگیری از سوءاستفاده انجام می‌شود و وصله‌هایی به این منظور طراحی می‌شوند. نسخه‌های جدید نیز به همین منظور به‌روزرسانی می‌شوند. در این میان افرادی هستند که کار آن‌ها بررسی ابزارهای موجود و اطمینان از به‌روزرسانی آن‌هاست تا از این طریق خطر بروز حملات احتمالی کاهش پیدا کند.

در مورد اینترنت اشیاء، ممکن است نرم‌افزاری وجود داشته باشد که در برنامه‌نویسی آن، اصول امنیتی و به‌طور کلی، سیاست‌های جلوگیری از حملات لحاظ نشده باشند. سازندگان این ابزار نیز ممکن است به دلیل وجود مسائل و محدودیت‌های مالی نتوانند گزینه به‌روزرسانی را برای این ابزار، اعم از سخت‌افزار یا نرم‌افزار، قرار دهند. در چنین شرایطی، تنها کاری که خریدار این‌گونه ابزار می‌تواند در مورد ابزار آسیب‌پذیر انجام دهد، این است که به هنگام بروز حمله یا سوءاستفاده، آن ابزار را برای همیشه استفاده نکند و یا دعا کند که آن ابزار هرگز مورد حمله و سوءاستفاده قرار نگیرد!

اگر شما بدانید که قفل عادی درب ورودی خانه شما نمی‌تواند تضمینی بر امنیت خانه شما باشد، آیا باز هم از آن برای دور نگه‌داشتن سارقین استفاده می‌کنید؟ بی‌شک این کار را دیگر نخواهید کرد. همچنین مشخص است که شما اگر زمانی احساس کنید که این قفل کارایی لازم را ندارد، بی‌شک اقدام به تعویض آن خواهید کرد. با این اوصاف، آیا شما در مورد یک نرم‌افزار این کار را خواهید کرد؟‌ شما چگونه می‌توانید متوجه شوید که یک نرم‌افزار، نقطه آسیب‌پذیری دارد؟‌ و یا چگونه متوجه خواهید شد که آیا آن نقطه مورد سوءاستفاده واقع‌ شده است یا خیر؟

نکته‌ای که قابل‌توجه است این است که تحقیق انجام‌ شده در حوزه مسائل حریم شخصی موجود در این ابزارها و نرم‌افزارها ورود پیدا نکرده است. برای مثال، اطلاعاتی که به پایگاه اطلاعات مرکزی اصلی این ابزار مخابره می‌شود، یکی از این مسائل حریم شخصی است. این اطلاعات همان اطلاعات مربوط به شما و خانواده شما، عادات رفتاری شما و رفت‌وآمدهای شما است.

همچنین این ابزار می‌تواند اطلاعاتی را فراهم کنند که مشخص می‌کند در یک ‌زمان خاص و در یک روز خاص، چه کسی در خانه است. این ابزار به راحتی می‌توانند مشخص کنند که آیا شما در را قفل نکرده رها کرده‌اید یا خیر و همچنین می‌توانند در مورد فعال بودن سامانه ضد سرقت خانه شما اطلاعاتی را فراهم کنند.

این مسائل را نباید فراموش کرد. اکنون با تحقیق انجام ‌شده در این زمینه، اطلاعات لازم و مفیدی در این زمینه جمع‌آوری‌ شده است. اینکه یک ترموستات هوشمند چگونه تشخیص می‌دهد شما در خانه هستید، یکی از نمونه‌های این اطلاعات است. سؤالی که با توجه به این شرایط و این سؤال‌ها در ذهن درست می‌شود این است که: «این اطلاعات سپس به کجا می‌رود و چه کسی از آن‌ها محافظت می‌کند؟»

مهم‌ترین بخش این تحقیقات در مورد اینترنت اشیاء مربوط به اطلاعاتی است که توسط محققان دانشگاهی انجام‌ شده است. شما می‌توانید با استفاده از اطلاعات داده‌ شده در قالب این تحقیقات اطلاعات خود را در مورد خدمات و محصولات اینترنت اشیاء افزایش دهید. قطعاً اینترنت اشیاء، آسایش را برای شما به ارمغان می‌آورد، اما باید به این نکته توجه داشت که اگر شما بهترین ابزار و نرم‌افزارهای موجود در این زمینه را فراهم نکنید، هزینه‌های سنگینی برای شما به بار خواهد آمد.

منبع: asis

    درباره نماد امنیت وب

“نماد امنیت وب” به عنوان یکی از شرکت های پیشتاز در زمینه امنیت نرم افزار و سرویس های تحت وب، با ارائه سرویس های امنیتی برای تمامی کسب و کار ها و دارای نمایندگی شرکت Acunetix (اکوانتیکس) بعنوان محبوب ترین اسکنر امنیتی black box در دنیا، ایمنی وب سایت شما را در مقابل حمله هکر ها تضمین می کند.

اسکن امنیتی وب سایت
(5000 تومان)

نوع وب سایت: وبلاگ، شرکتی، تجارت الکترونیک و کسب و کارحرفه ای
آسیب پذیری های OWASP (شامل بررسی 10 آسیب پذیری متداول)
اسکن نرم افزار/وب سایت توسط Acunetix نسخه 11
اسکن تمامی پورت ها با ابزار Nmap
اسکن وب سرور و پیکربندی آن توسط ابزار Nikto
اسکن تزریق توسط نرم افزار قدرتمند SQLmap