مدت هاست که در کنفرانس های خرده فروشی سالانه جمعه سیاه و دوشنبه سایبری ، طبل زدن بر روی جدیدترین محصولات فناوری پیش از کریسمس رواج داشته است. محصولات فعال شده اینترنت اشیا ((IoT) به یکی از اصلی ترین تکیه گاه های اصلی فروش تبدیل شده اند ، از جمله دستیارهای خانگی مجازی ، فناوری های پوشیدنی ، اسباب بازی های هوشمند و لوازم متصل.
با این حال ، همچنان که این محصولات متصل همچنان بر صحنه فروش تعطیلات تسلط دارند ، آنها همچنین نگرانی های امنیتی طولانی مدت را با دستگاه های اینترنت اشیا برجسته می کنند. محصولات اغلب فاقد هرگونه تضمین امنیتی اساسی ، به طور بالقوه کاربران را در معرض حمله به حریم خصوصی ، حملات سایبری و حتی خطر جسمی قرار می دهند.
کسانی که در فروش امسال از دستگاه های مجهز به اینترنت اشیا استفاده می کنند باید از تهدیدهای امنیتی جدید علیه خود و کارفرمایان خود آگاه باشند.
درباره نویسنده
ریچارد هیوز رئیس امنیت سایبری فنی گروه فناوری اطلاعات A&O است
امنیت IoT چقدر ضعیف است که هکرها را به خانه دعوت می کند
آسیب پذیری های امنیتی اینترنت اشیا extremely بسیار شایع است و محققان خود ما نقایص عمده ای را در همه موارد از کتری گرفته تا اسباب بازی های جنسی پیدا کرده اند. در طی چند سال گذشته نقض امنیتی اینترنت اشیا cad به صورت مداوم نقض شده است ، از جمله کشف آسیب پذیری های بالقوه و موارد واقعی بهره برداری.
یکی از برجسته ترین نمونه های اخیر زنگ درب هوشمند Ring است که توسط آمازون تولید شده است. این دستگاه ظاهراً برای کمک به کاربران با امنیت خانه طراحی شده است و آنها را قادر می سازد از راه دور از طریق تلفن هوشمند خود به فیدهای صوتی و تصویری دسترسی داشته باشند و همچنین در صورت داشتن بازدید کننده ، هشدارها را دریافت کنند.
با این حال ، به سرعت مشخص شد که Ring چند ویژگی امنیتی مهم ندارد. دستگاه توسط یک برنامه تلفن همراه کنترل می شود اما هیچ محدودیتی در تلاش برای ورود به سیستم نادرست تعیین نکرده و یا هنگامی که یک تلاش ناموفق یا ورود موفقیت آمیز از یک مکان یا دستگاه جدید رخ داده است ، به آنها اطلاع نمی دهد. این بدان معناست که یک بازیگر تهدید مستقیماً به جلو وارد حساب کاربر می شود و به دستگاه متصل می شود. نمونه های متعددی از ربودن دستگاه های Ring برای جاسوسی در خانه ها و همچنین عملکرد بلندگو برای آزار و اذیت و تهدید مردم به خشونت فیزیکی وجود دارد. اتصال به دستگاه Ring همچنین مهاجمان را قادر می سازد اطلاعات مفید Wi-Fi را برای تسهیل حملات بعدی به دست آورند.
تولیدکنندگان Ring سریع پاسخ دادند و نرم افزار را برای اصلاح این آسیب پذیری به روز کردند. با این حال ، لازم به ذکر است که مارک های زنگ هوشمند دیگری نیز در دسترس است و همه تولیدکنندگان در مورد بستن آسیب پذیری های گزارش شده کوشا نیستند.
چگونه می توان از دستگاه های اینترنت اشیا بهره برداری کرد؟
دستگاه های اینترنت اشیا a یک پل طبیعی بین دنیای سایبر و دنیای فیزیکی است ، به این معنی که آنها دارای مشخصات خطر متمایز در مقایسه با نقطه پایان سنتی هستند. بر خلاف لپ تاپ یا گوشی هوشمند هک شده ، بسیاری از دستگاه های اینترنت اشیا در واقع می توانند برای انجام اقدامات فیزیکی استفاده شوند.
شکل و شدت خطر نشان دهنده آن تا حد زیادی به عملکرد دستگاه بستگی دارد. بسیاری از دستگاه های اینترنت اشیا مانند یخچال و مسواک از نظر جسمی مضر هستند. از طرف دیگر ، به عنوان مثال یک کتری متصل می تواند از راه دور خشک شود و به طور بالقوه آتش سوزی ایجاد کند.
هر وسیله ای که درگیر امنیت جسمی باشد در صورت به خطر افتادن تهدیدی مستقیم و مستقیم است. همانطور که با Ring مشاهده کردیم ، دستگاههای نظارتی بدون امنیت را می توان برای جاسوسی بصری و شنیداری ربود و قفلهای متصل نیز برای ورود به ساختمان به خطر افتاد.
در صورت به خطر افتادن حریم خصوصی ، از هر نوع دستگاه متصل دیگری که قابلیت ضبط دارد ، می توان از یک دستگاه هاب گرفته تا یک اسباب بازی کودک به ظاهر بی خطر نیز استفاده کرد.
حتی اگر این دستگاه خود از توانایی نظارت مستقیم برخوردار نباشد ، با این وجود می توان از آن برای نظارت مخفیانه بر یک خانوار و ارائه اطلاعات به مجرمان استفاده کرد. به عنوان مثال یک ترموستات هوشمند داده های زیادی را در اختیار شما قرار می دهد که نشان می دهد احتمال خالی بودن محل وجود دارد و بنابراین در معرض سرقت آسیب پذیر است.
در کنار بهره برداری از ویژگی های منحصر به فرد خود ، همه دستگاه های اینترنت اشیا poor که از ایمنی ضعیفی برخوردار هستند ، مسیر دسترسی آسان را نیز برای دسترسی به شبکه ساختمان ارائه می دهند. مهاجمان می توانند از دستگاه متصل به عنوان نقطه پرش به روتر استفاده کنند و سپس می توانند به صورت جانبی به سمت سایر دستگاه های متصل در شبکه حرکت کنند. همانند Ring ، برخی از دستگاه های اینترنت اشیا by با دسترسی مهاجمان به اطلاعات مربوط به شبکه Wi-Fi ، کار را آسان تر می کنند.
دستگاه های اینترنت اشیا often معمولاً بهترین عمل را برای امنیت انجام نمی دهند ، رمزگذاری داده ها انجام نمی شود و کاربران نیازی به تغییر اعتبار ورود به سیستم پیش فرض یا اعمال به روزرسانی های امنیتی ندارند. در واقع ، استفاده از وصله ها اغلب برای بسیاری از دستگاه ها بسیار دشوار است.
از دیدگاه مصرف کننده ، این بدیهی است که افراد را در معرض خطر حملات عمده علیه سایر دستگاههای شخصی خود قرار می دهد ، اما همچنین یک خطر تجاری را نشان می دهد زیرا مهاجمان می توانند هرگونه دستگاه شرکتی را که در شبکه خانگی استفاده می شود ، به خطر بیندازند.
اگرچه احتمالاً کمتر خرج خرید گجت بلک فرایدی را دارند ، اما مشاغل در صورت داشتن هرگونه وسیله اینترنت اشیا on در محل ، مانند دوربین های امنیتی و سنسورهای هوشمند برای روشنایی ، مستقیماً در معرض خطر این تهدید قرار می گیرند.
چرا اینترنت اشیا با امنیت مبارزه می کند؟
علیرغم نگرانی گسترده از طرف بخش امنیت و تعداد فزاینده ای از نقض های برجسته که خبرساز هستند ، امنیت کلی استاندارد برای دستگاه های اینترنت اشیا poor در مقایسه با نقاط انتهایی سنتی ضعیف است. تعدادی از عوامل موثر در این مسائل در حال انجام هستند.
اولین و مهمترین نکته این است که قیمت گذاری مانع بزرگی برای امنیت کافی است. تولیدکنندگان به طور کلی با نسخه معمولی هر چه می سازند رقابت می کنند ، بنابراین محصولات مانند لوازم خانگی هوشمند و اسباب بازی ها نمی توانند بیش از حد استاندارد از قیمت استاندارد برخوردار شوند.
بر این اساس ، دستگاه های هوشمند معمولاً با استفاده از اجزای بسیار سطح پایین ساخته می شوند ، به طور کلی از تراشه های پردازش ارزان قیمت که از چین تهیه می شوند ، استفاده می شود. این تراشه ها برای مدیریت فرآیندهای رمزنگاری بسیار کم قدرت هستند ، بنابراین داده ها به راحتی رمزگذاری نمی شوند.
گذشته از محدودیت های فیزیکی ، آزمایش امنیتی هنوز هم اغلب به عنوان یک هزینه اضافی گران و وقت گیر در نظر گرفته می شود که می توان از آن صرف نظر کرد تا قیمت پایین باشد. این امر به ویژه هنگامی صادق است که تولیدکنندگان قصد دارند محصول خود را به موقع برای دوره فروش تعطیلات خارج کنند. با تشدید این مسئله ، بسیاری از دستگاه های هوشمند نتیجه تولیدکنندگانی است که به دنبال اینترنت اشیا هستند ، بنابراین امنیت نه یک ویژگی خاص است و نه یک اولویت. به همین ترتیب ، در حالی که آگاهی در حال افزایش است ، امنیت هنوز یک نقطه فروش مهم برای یک مصرف کننده متوسط نیست.
چگونه می توان نقص امنیتی را برطرف کرد؟
اینترنت اشیا field یک حوزه نسبتاً جدید فناوری است و همیشه لازم است استانداردهای تولید و توسعه مناسب برقرار شوند. ما هنوز نتوانسته ایم به همان روشی که GDPR برای محافظت از داده های گسترده تر داریم ، به مقررات قانونی خاص برای دستگاه های متصل برسیم ، اما در این مسیر پیشرفت هایی حاصل شده است.
کمیته فنی ETSI اخیراً یک استاندارد پایه جدید برای امنیت اینترنت اشیا consumer مصرف کننده راه اندازی کرده است ، اما این هنوز راهنمایی است تا یک قانون قابل اجرا. بریتانیا در حال حاضر نیز در حال برنامه ریزی استانداردهای جدیدی برای دستگاه های متصل است.
نکات کلیدی در هر دو مورد شامل جلوگیری از استفاده کاربر از اعتبار کاربر مشترک یا پیش فرض کارخانه و ارائه اطلاعات واضح در مورد پشتیبانی از وصله بروزرسانی است. اقداماتی از این قبیل مسلماً به بسته شدن آشکارترین آسیب پذیری های موجود در دستگاه های اینترنت اشیا کمک می کند ، اما باید ببینیم تولیدکنندگان برای ایمن سازی محصولات خود فراتر از اصول اولیه عمل می کنند.
این به معنای آزمایش کامل امنیتی قبل از عرضه محصولات و همچنین استفاده از تراشه های مشخصات بالاتر و سایر اجزا برای تسهیل عناصر امنیتی مانند رمزگذاری است. با این حال ، همانطور که بحث شد ، بعید است که این ویژگیها در بازاری که تحت سلطه نقاط قیمتی است به ویژگیهای استاندارد تبدیل شوند. در حالی که برخی از محصولات ممکن است امنیت را به عنوان یک نقطه فروش تلقی کنند ، تعداد زیادی از محصولات ارزان قیمت وجود دارد که از امنیت چشم پوشی می کنند. تا زمانی که قوانینی قابل اجرا برای استانداردهای امنیتی وجود نداشته باشد ، اگر این به معنای پایین آمدن قیمت باشد ، بیشتر مصرف کنندگان همچنان به امنیت گذشته نگاه می کنند.
در این بین ، هر کسی که در تعطیلات و بعد از فروش دستگاه IoT خریداری می کند ، باید مدتی طول بکشد تا اعتبار امنیتی آن را بررسی کند و خطرات احتمالی سازش را بسنجد. این مهم از هر زمان دیگری بیشتر است زیرا افراد بیشتری در خانه کار می کنند و دستگاه های سازمانی خود را به همان شبکه های هوشمند بالقوه آسیب پذیر متصل می کنند.
منبع: tadrisriazi-news.ir
آخرین دیدگاهها