پروژه‌ی Tor و XMPP در تلاش برای امنیت اینترنت اشیاء

۱۰بله… و دوباره اینترنت اشیاء. اصطلاحی که در طول دو سال گذشته از نماد «آینده‌ای روشن که زندگی ما را بهتر خواهد کرد!» به سمت «این چه جهنمی است که ما خود را گرفتار آن کردیم» حرکت کرد. مسئولیت کاهش شدید اعتبارات اینترنت اشیاء نیز فقط و فقط به یک چیز می‌تواند نسبت داده شود و آن چیز «امنیت» است.

شروع سریع IoT همه از جمله بخش حفاظت، تنظیم‌کننده‌ها و مدیران استانداردها را درگیر خود کرده است. قبل از اینکه بتوانیم تأثیرات این دستگاه‌های هوشمند را در زندگی روزمره خود باور کنیم، همگی ما محکوم به شکست شدیم.
با گسترش بیلیون‌ها دستگاه IoT در سطح دنیا، این دستگاه‌ها پاشنه آشیل هر شبکه مدرن هستند. این دستگاه‌ها نقاط ورود برای هر نفوذگری است که می‌خواهد شرکت و یا خانه‌ی شما را به خطر اندازد.
بعد از مجموعه حملات منع سرویس توزیع‌شده‌ی مبتنی بر دستگاه‌های IoT که در فصل جاری اتفاق افتاد، انجمن infosec بیش از پیش از خطرات این دستگاه‌ها آگاه شد.

امن کردن چشم‌انداز IoT با استفاده از Tor
تلاش‌ها برای امن کردن اینترنت اشیاء بلافاصله بعد از حمله‌ی منع سرویس توزیع‌شده علیه وب‌گاه کربس شروع نشده است. حتی قبلاً نیز کارشناسان بافکری وجود داشتند که بر روی این مشکلات اجتناب‌ناپذیر IoT کار می‌کردند.
افرادی که جستجوی روش‌هایی برای حفاظت از اینترنت اشیاء را شروع کردند حتی قبل از اینکه ما متوجه حفره‌های بزرگ امنیتی شویم، روش‌های دفاعی را در شبکه‌های ما تعبیه کرده بودند.
یکی از پروژه‌هایی که در رسانه‌ها نیز زیاد مورد توجه بوده، استفاده از پروژه‌ی Tor در ارتباطات کارخواه-کارگزار برای دستگاه‌های IoT است.

با استفاده از پروتکل پیازی، که با پشتیبانی رمزنگاری بنا شده است، شرکت‌های IoT برای پیاده‌سازی امن ارتباطات و به‌روزرسانی تحویل فرآیندها برای دستگاه‌های IoT، روش آسانی در پیش خواهند داشت.
استفاده از Tor در تجهیزات IoT بسیاری از حملات و بهره‌برداری‌ها علیه دستگاه‌های مبتنی بر ارتباطلات HTTP و یا HTTPS پیاده‌سازی‌شده توسط شرکت‌ها را کاهش می‌دهد.

XMPP می‌تواند یک جایگزین باشد
در حالی‌که پروژه‌ی Tor+IoT= <۳ در حال انجام است و یک نمونه از آن نیز در دسترس قرار گرفته، یک ایده‌ی عالی دیگر برای امنیت IoT توسط شرکت امنیتی Security Compass ارائه شده است.
پیشنهاد پژوهشی آن‌ها بر روی استفاده از XMPP به عنوان پروتکل ارتباطاتی بین تجهیزات IoT تمرکز دارد.
این شرکت به بلوغ و کمال این پروتکل، اینکه این پروتکل با موفقیت در محصولات مختلفی پیاده‌سازی شده است و پشتیبانی که برای تعداد زیادی از ویژگی‌های امنیتی دارد، اشاره می‌کند.

این شرکت امنیتی توضیح می‌دهد: «XMPP برای ویژگی‌های امنیتی، پایه و اساس مستحکم و انعطاف‌پذیری را ارائه می‌کند. XMPP مدیریت هویت، احراز هویت، مجوزها، OTR و رمزنگاری از جمله رمزنگاری انتها به انتها را آسان می‌کند. این‌ها مواردی است که برای امنیت IoT بسیار ضروری است.»
این شرکت همچنین اضافه کرده است: «امنیتِ هسته‌ی پروتکل XMPP مبتنی بر پروتکل امن لایه‌ی انتقال۱ (TLS) و لایه‌ی امنیتی و احراز هویت ساده۲ (SASL) است. پروتکل TLS برای داده‌ی منتقل‌شده، محرمانگی و جامعیت را ارائه می‌کند. پروتکل SASL نیز یک چارچوب قابل‌توسعه برای احراز هویت ارائه می‌کند و به حفاظت در برابر فریب کاربران، استفاده‌ی غیرمجاز و حملات مرد میانی کمک می‌کند.»

قابلیت تحویل OTA به‌روزرسانی‌ها برای امنیت IoT ضروری است
در واقع همگی این‌ها در ایده بسیار مستحکم هستند و صرفاً یک نظریه‌اند. آزمون‌ها و ساخت نمونه‌های اولیه‌ زمان زیادی طول خواهد کشید تا تولیدکنندگان قانع شوند که این ایده‌ها خوب هستند.
براساس گفته‌های لیویو آرسن۳ تحلیلگر ارشد تهدیدات در بیت‌دیفندر، جنبه‌های دیگری نیز برای امنیت IoT وجود دارد که کارشناسان در کنار احراز هویت و ارتباطات کارخواه-کارگزار نیاز است که با آن مقابله کنند.

آرسن می‌گوید: «محققان امنیتی تنها این نکته را کشف نکرده‌اند که دستگاه‌های IoT گذرواژه‌ها و اعتبارات خود را به‌طور همه‌پخشی در اختیار سایرین قرار می‌دهند، بلکه دریافتند که دستگاه‌های IoT فاقد نمونه‌های عالی امنیتی ِ پایه‌ای هستند به‌عنوان مثال مفاهیم هارکد کردن و مدیریت گذرواژه در این تجهیزات وجود ندارد. همچنین این دستگاه‌ها فاقد روشی برای به‌روزرسانی سفت‌افزار خود هستند.

هرچند در مرحله‌ی اول بسیار عالی است که به ساز و کارهای موجود یک لایه‌ی رمزنگاری برای ارتباطات ماشین به ماشین نیز افزوده شود ولی هنوز کارهای زیادی وجود دارد که باید انجام شود.»
«برای شروع‌کنندگان، حذف ارتباطات راه دور SSH همراه با گواهی‌نامه‌های هاردکدشده، تنها عمل ِ مناسب نخواهد بود ولی این کار اجباری است. همچنین داشتن قابلیت ارسال OTA۴ به‌روزرسانی‌های سفت‌افزار که آسیب‌‌پذیری‌های جدی را وصله می‌کند، ضروری خواهد بود. ما چنین سازوکاری را در دستگاه‌های IoT مشاهده نمی‌کنیم. به‌عبارت دیگر وقتی یک آسیب‌پذیری در یکی از این دستگاه‌ها کشف می‌شود، در بازه‌ای که این دستگاه عمر خواهد کرد، قابل وصله کردن نیست و این موضوع بدین معنی است که شما یک دستگاه آسیب‌پذیر IoT را تا آخر می‌توانید به شبکه‌ی خانگی خود متصل کنید بدون اینکه قابلیت امن شدن آن وجود داشته باشد.»

قانون‌گذاران آمریکا و اتحادیه‌ی اروپا به آرامی در این موضوع مشارکت می‌کنند
در واقع این فکر و مسئله، نگران‌کننده است. کار ِ امنیت IoT به استخوان رسیده و شاید برای برطرف کردن مسائل امنیتی آن دیر شود. سازندگان سخت‌افزار حتی اگر به‌طور عمومی اعتراف هم نکنند، از هر راهی شده هزینه خواهند کرد و اگر مجبور باشند شیوه‌ی ساخت تجهیزات هوشمند خود را تغییر خواهند داد.
یکی از راه‌ها برای وادار کردن این شرکت‌ها برای سرمایه‌گذاری روی امنیت از طریق قانون و استاندارهای صنعتی به همراه جریمه‌های مالیاتی است.
وزارت امنیت داخلی آمریکا هم‌اکنون بر روی راهنمایی برای اینترنت اشیاء کار می‌کند که امیدواریم چیزی بیش از یک توصیه‌نامه محقق شود.

در سمت دیگر اطلس، اتحادیه اروپا در حال حاضر جلوتر از ایالات متحده است. بنا به گزارش‌هایی کمیسیون اروپا بر روی یک سامانه‌ی برچسب‌گذاری جدید بر روی تجهیزات متصل به اینترنت از جمله دستگاه‌های اینترنت اشیاء کار می‌کند.
این کمیسیون می‌خواهد با استفاده از برچسب‌ها سطح ایمنی دستگاه را به اطلاع مشتریان برساند. تفکر پشت این قانون این است که تا این برچسب‌ها انگیزه‌ای شود برای تولیدکنندگان این دستگاه‌ها تا محصولی با امنیت بالا را تولید کنند که سطح بالایی از برچسب‌ها بر روی آن قرار بگیرد.

چالش ِ MITRE IoT به دنبال اکسیر IoT است
اما طرح‌های ارائه‌شده برای امنیت اینترنت اشیاء متعلق به سازمان‌های ملی نیستند. شرکت MITRE یک سازمان غیرانتفاعی است که پایگاه‌داده‌ی CVE ها را مدیریت کرده و در برابر آن‌ها شروع به اقدام و عمل می‌کند.
این سازمان در حال حاضر، در حال اجرای یک مسابقه با عنوان چالش اینترنت اشیاء با جایزه ۵۰ هزار دلاری است که این جایزه به ایده‌ها و تکنولوژی‌هایی برای امن کردن اینترنت اشیاء تعلق خواهد گرفت.
در قوانین این مسابقه می‌خوانیم: « ما به دنبال یک راه حل ساده و مقرون به صرفه برای شناسایی دستگاه‌ها در یک شبکه اینترنت اشیاء هستیم تا بتوانیم دستگاه مخرب را کشف کنیم.»

شبیه به پاداش در ازای اشکال، این مسابقه بجای مشکلات به دنبال پیدا کردن راه‌حل است. پیدا کردن مشکلات آسان است. پیدا کردن راه‌حل نیازمند خلاقیت و دانش کافی است و تنها استفاده از ابزارهای خودکار برای آزمون که شکارچیان اشکال به آن علاقه‌ی زیادی دارند، کفایت نمی‌کند.
آرسن توضیح می‌دهد: «رخدادهایی مثل چالش MITRE برای اینترنت اشیاء اتفاق بسیار عالی برای جمع‌آوری ایده‌های نو برای امن کردن اینترنت اشیاء است مخصوصاً در شرایطی که انگیزه‌ی پاداش نیز وجود داشته باشد. با این حال دانستن اینکه چه نیازمندی‌هایی باید انجام شود و واقعاً چگونه باید پیاده‌سازی صورت گیرد، مسائلی مجزا هستند.»

آرسن ادامه می‌دهد: «بدون همکاری تولیدکنندگان با هم به هر نحوی (تحت فشار قوانین یا سایر مقررات) شانس اینکه شاهد پیاده‌سازی گسترده‌ی این راه‌حل‌ها باشیم، خیلی کم است. امنیت اغلب یک ویژگی اختیاری در نقشه راه توسعه محصولات اینترنت اشیاء است و نیاز است این روند تغییر یابد. از آنجا که ما امروزه شاهد این هستیم که بات‌نت‌های اینترنت اشیاء چه کارهایی می‌توانند انجام دهند از جمله انجام حملات DDoS، احتمالاً زمان آن فرارسیده است که کاری بیش از تفکر در مورد ایده‌های جدید برای امنیت اینترنت اشیاء انجام دهیم و اقدام و عمل را شروع کنیم.»

۱. Transport Layer Security
۲. Simple Authentication and Security Layer
۳. Liviu Arsene
۴. Over-the-air: به روش‌های مختلف برای توزیع یک نرم‌افزار جدید یا به‌روزرسانی اشاره می‌کند. یک ویژگی مهم OTA این است که یک مکان مرکزی می‌تواند به‌روزرسانی‌ها را برای تمامی کاربران ارسال کرده و در نتیجه به‌روزرسانی‌ها بلافاصله اعمال شود.

منبع: asis

درباره نماد امنیت وب

“نماد امنیت وب” به عنوان یکی از شرکت های پیشتاز در زمینه امنیت نرم افزار و سرویس های تحت وب، با ارائه سرویس های امنیتی برای تمامی کسب و کار ها و دارای نمایندگی شرکت Acunetix (اکوانتیکس) بعنوان محبوب ترین اسکنر امنیتی black box در دنیا، ایمنی وب سایت شما را در مقابل حمله هکر ها تضمین می کند.

اسکن امنیتی وب سایت
(5000 تومان)

نوع وب سایت: وبلاگ، شرکتی، تجارت الکترونیک و کسب و کارحرفه ای
آسیب پذیری های OWASP (شامل بررسی 10 آسیب پذیری متداول)
اسکن نرم افزار/وب سایت توسط Acunetix نسخه 11
اسکن تمامی پورت ها با ابزار Nmap
اسکن وب سرور و پیکربندی آن توسط ابزار Nikto
اسکن تزریق توسط نرم افزار قدرتمند SQLmap