تحقیقی که در سال 96 انجام شده است :
چكیده
با ظهور خانه های هوشمند، شهرهای هوشمند و اشیای هوشمند، اینترنت اشیاء (IoT) در قالب زمینه ای با اثرات، پتانسیل ها و پیشرفت های باورنکردنی ظهور یافته است، به طوری که شرکت سیسکو پیش بینی می کند که تا سال 2020، حدود 50 میلیارد دستگاه متصل وجود داشته باشد. با این حال، بیشتر این دستگاه های IoT به راحتی هک شده و لطمه می بینند. به طور معمول، این دستگاه های IoT در زمینه محاسبه، ذخیره سازی و ظرفیت شبکه محدودیت دارند و بنابراین، نسبت به دستگاه های دیگر همچون گوشی های هوشمند، تبلت ها یا کامپیوترها، در مقابل حملات آسیب پذیرتر می باشند. در این مقاله به ارائه و بررسی مسائل امنیتی عمده در اینترنت اشیاء می پردازیم. ما مسائل امنیتی مورد توجه در خصوص معماری لایه ای IoT در کنار پروتکل های بکار رفته برای شبکه سازی، ارتباطات و مدیریت را مرور و طبقه بندی می کنیم. الزامات امنیتی برای IoT در کنار حملات، تهدیدات و راهکارهای جدید و پیشرفته را ارائه می کنیم. علاوه بر این، مسائل امنیتی IoT را با راهکارهای موجود مشاهده شده در متون انطباق داده و با جدول نشان می دهیم. مهمتر از همه، بحث می کنیم که چگونه بلاک چین که تکنولوژی مبنا برای بیت کوین می باشد، می تواند محرک اصلی در حل بسیاری از مسائل امنیتی IoT باشد. این تحقیق با استفاده از نتایج آخرین پژوهشها در این زمینه به دنبال بیان مشكلات ایمنی اینترنت اشیاء و ارائه راهكارهای مطمئن و پیشگیرانه در جهت افزایش امنیت در این مقوله می باشد تا کاربران با خیالی آسوده تر از امكانات این فن آوری جدید بهره برداری نمایند و پیشنهاد می گردد با توجه به افزایش کاربری اینترنت اشیاء در همه حوزه ها متناسب با هر یک در مورد مشكلات امنیتی بررسی جامع تری صورت پذیرد.
مقدمه
با وقوع انقلاب صنعتی در اروپا در سده 18 میلادی و ورود اولین محصولات تولید شده صنعتگران و مخترعین معروف جهان ،دنیا به دروازه های جدیدی وارد شد که هر روز در آن زندگی روزانه مردم بهبود یافته و رفاه بیشتری برای آنان فراهم گردید ، برقرای ارتباطات مخابراتی هر روز ملت ها را به هم نزدیک تر می کرد اما در این میان هنوز ایده هایی همچون کامپیوتر و استفاده از آن به عنوان وسیله ارتباطی بسیار تخیلی می نمود اما در قرن20 با تلاشهای اولین دانشمندان در ساخت قطعات الكترونیكی همچون خازن ها ، مقاومت ها ،لامپ های خلاء و نیمه هادیها و ترانزیستورها رؤیای دیرین بشر که ارتباطات بسیار نزدیک با یكدیگر جهت ارتباطات کاری و خانوادگی بود محقق شد و مهمترین محصول فن آوری الكترونیک ،کامپیوترها خلق گردیدند و پس از آن شبكه جهانی اینترنت در برقرای ارتباط همه کامپیوترها بوسیله شبكه های فیبر نوری راه را هموارتر نمود و با توسعه فن آوری ارتباطات راه دور ، تلفن ها و شبكه های بی سیم راه را برای ورود نسل جدید محصولات هوشمند باز نمود، ورود اسمارت فون ها و نرم افزارهای اندرویدی و ایجاد شبكه های مخابراتی بدون سیم 3G,4G,5G عملا برای توسعه دهندگان فن آوریهای نوین زمینۀ ایجاد اینترنت اشیاء را فراهم نمود.
واژگان جدید در ادبیات تكنولوژی همانند شیء توسط کوین اشتون در سال 1999 عرضه گردید و اکنون کمپانیهای عظیمی که در دنیای ساخت لوازم و تجهیزات خانگی و صنعتی شهره می باشند عملاً به توسعه این فن آوری و اضافه نمودن
قابلیت هوشمند سازی به بسیاری از محصولات خود نموده اند.
تفاوت آشكار قرن 20 و 21 را می توان در این موضوع دانست که هیچگاه انسان قادر به صحبت کردن و یا تماس با اشیاء مورد استفاده در خانه نبوده و صرفاً با برقراری ارتباطات مكانیكی و فشردن کلیدها قادر به کنترل،تغییر و استفاده از لوازم اطراف خود بوده است اما هم اکنون شما قادر به صحبت کردن با تلویزیون خود می باشید و می توانید به آن فرمان داده تا کانال مورد علاقه شما و برنامه دلخواهتان را نمایش دهد اما بزرگترین هراس از این ارتباطات فراوان و مزایا بدون تردید عدم امنیت و احساس بیگانه بودن تكنولوژی اینترنت اشیاء می باشد که قبلا وجود نداشته است.
شما هرگز به ماشین خود به عنوان یک بیگانه و جاسوس نگاه نكرده اید اما وقتی ماشین شما مجهز به سنسورهای فراوان و نرم افزارهای کنترلی گردد و این ماشین قادر به ارتباط با دیگر ماشین ها باشد و مثلا اطلاعات شخصی شما توسط پلیس و یا بزهكاران به سرقت رود و مورد سوء استفاده قرار گیرد چه اتفاقی خواهد افتاد ،شما اعتماد خود را از دست خواهید داد و با نگاه شكاک و بد بینانه همواره به حضور چنین امكاناتی در منزل ،محل کار و خیابان های شهر خود نگاه خواهید کرد بنابراین لازم است تا در اولین گام به مشكلات امنیتی اینترنت اشیاء پرداخته شود.
روند تحقیق در این مقاله بر اساس استفاده از یافته های پژوهشگران و کتابهای منتشر شده جدید می باشد و مهمترین پرسش این تحقیق مشكلات امنیتی اینترنت اشیاء در لایه های مختلف آن می باشد و سرانجام راهكارهای علاج بخش تامین امنیت و کاهش سرقت اطلاعات ارائه می گردد. در بخش اول به معرفی ساختار و اجزاء اینترنت اشیاء پرداخته و در بخش دوم معماری اینترنت اشیاء توصیف می گردد و سپس در بخش های بعدی به مشكلات و مسائل امنیتی لایه های مختلف اینترنت اشیاء پرداخته می شود و سرانجام در آخرین بخش راههای علاج بخشی و پیشگیرانه جهت افزایش امنیت در این حوزه ارائه می گردد.
معرفی اینترنت اشیاء
همانطور که گفته شد واژه اینترنت اشیاء برای اولین بار در سال 1999 توسط کوین اشتون مورد استفاده قرار گرفت و از آن زمان سیر پیشرفت و توسعه آن صعودی بوده است ،اینترنت اشیاء را می توان شبكه ای از اشیاء فیزیكی تعبیه شده با قطعات الكترونیكی ،نرم افزار ،سنسورها و اتصالات دانست که با تبادل اطلاعات مابین تولید کننده،اپراتور و یا دستگاههای دیگر قادر به ارائه ارزش و خدمات بیشتر می باشند،هر عضوی از اینترنت اشیاء به تنهایی توسط سیستم تعبیه شده در آن قابل شناسایی است و قادر به تعامل با زیرساخت اینترنت موجود هستند،تبادل داده ها در اینترنت اشیاء نیازی به حضور انسان نداشته و داده ها به صورت اتوماتیک و بر اساس تنظیمات انجام شده و در زمانهای مشخص به صورت دائم و یا لحظه ای ارسال می گردند،چنین توصیفی از اینترنت اشیاء مرهون توسعه فن آوریهای بی سیم و سامانه های میكرو الكترونیک می باشد.
اشیاء در این تكنولوژی به هر دستگاهی که دارای سنسور جهت تبادل اطلاعات است خطاب می شود، سنسورهای دما ، ترافیک ، تشخیص حرکت وتشخیص گازها نمونه ای از سنسورهایی است که به عنوان شیء در اینترنت اشیاء بكار گرفته می شوند ، تمامی این سنسورها اطلاعاتی را به دستگاه مقصد می فرستند تا بر اساس این اطلاعات تصمیماتی اتخاذ کنند ، بزرگترین فایده اینترنت اشیاء این است که به ما امكان می دهد تا با دنیای آنالوگ پیرامون خود)ماشین ها ، مردم ، حیوانات ، گیاهان و چیزهای دیگر( به زبان دیجیتال با تمام فواید ارتباطات دیجیتال سخن بگوییم،گرایشات کلیدی که منجر به توسعه هر چه بیشتر این تكنولوژی شدند عبارتند از :
کوچک سازی : بر اساس قانون موروهمچنین بهینه سازی در مدیریت انرژی الكتریكی،دستگاهها کوچكتر و قدرتمندتر شدند.
قیمت : هزینه مولفه ها و شبكه های الكترونیكی نیز بر اساس قانون مور به صورت مداوم کاهش پیدا کرده است.
سیم زدایی : هر روزه چیزهای بیشتری به صورت بی سیم قابل استفاده می شوند و این بدان معنی است که آن ها می توانند در هر جایی قرار گیرند.حضور فراگیر و در حال رشد تلفن همراه و شبكه های وای فای دلیل اصلی این امر است .
معماری اینترنت اشیا
معماری و اجزاء اینترنت اشیاء در چندین لایه 0 معرفی گردیده ،مدلهای مختلف به ترتیب در سه،چهار،پنج و هفت لایه آن
را تقسیم و هر لایه با اجزاء خاص ترسیم شده،مدل با لایه هفتگانه توسط شرکت سیسكو در سال 2014 معرفی شده است
، اما آنچه بیشتر محققان در دنیا به آن اشاره نموده اند مدل چهارگانه است که به عنوان مبنا از آن استفاده نموده اند،
در این مدل چهار لایه وجود دارد :
لایه حسی)ادراکی( (Perception Layer) : این لایه شامل انواع متفاوتی از سنسورها و حس گرها می باشد که وظیفه تعامل با محیط اطراف بعهده آن است و اطلاعات بصورت خام دریافت می شود،میلیاردها سنسور و حسگر در این لایه نصب خواهند شد،انواع مختلفی از سنسور با کاربردهای متفاوت تولید شده که از ابزار پوشیدنی 4 تا حس گرهای حرارتی نصب شده در داخل و بیرون منازل را شامل و به تعداد آنها روزانه افزوده می شود،این سنسورها بصورت وایرلس با همدیگر در ارتباط هستند و اطلاعات را منتقل می نمایند ، این سنسورها فاقد حافظه می باشند و قابل برنامه ریزی نمی باشند که مشكلات امنیتی خاصی را ایجاد می نماید.
لایه شبكه (Network Layer) : این لایه شامل تمام دستگاهها و ابزارهایی است که وظیفه تامین شبكه اتصالات حسگرها و سنسورها را به عهده دارند ،دروازه های ورودی،روترها نمونه ای از این ابزارها می باشند،شبكه های مخابراتی متفاوتی این وظیفه را انجام می دهند ، شبكه های وای فای،بلوتوث،ال تی ای،جی اس ام نمونه هایی از اینگونه شبكه ها می باشند که از طریق دروازه های ورودی اطلاعات را از حس گرها دریافت و به لایه های بالاتر انتقال می دهند،دروازه های ورودی با داشتن محدودیت در حافظه و انرژی مصرفی فاقد توانایی و نصب سیستم های عامل و دیواره های آتش در جهت حفاظت از حمله های سایبری بوده و دارای مشكلات امنیتی خاصی می باشند .
لایه میان پوششی (Middleware Layer) :این لایه شامل دریافت اطلاعات از لایه شبكه و پردازش و ذخیره اطلاعات می باشد،سرورها و رایانش ابری (cloud computing) نمونه ای از ابزارهای این لایه می باشند،با توجه به قابلیت خوب نصب نرم افزارهای ویژه حفاظتی و سیستم عامل های متفاوت کاربر پسند این لایه مشكلات امنیتی کمتری داشت .
لایه کاربردی (Application Layer): این لایه وظیفه ارتباط با کاربر و یا کاربران را که طیف وسیعی را شامل می شوند و در واقع مصرف کنندگان اطلاعات پردازش شده لایه میان پوششی هستند را شامل می شود،برنامه های متفاوتی که در گوشی های هوشمند ، تبلت ها ، کامپیوترها برای کنترل اشیاء همانند لامپهای هوشمند بر اساس سیستم های عامل متفاوت مثل اندروید،ویندوز،مک اینتاش جهت ارتباط با اشیاء تهیه گردیده نمونه هایی از اینگونه برنامه ها می باشند که وظیفه ارتباط کاربر را با اطلاعات پردازش شده در سرورها و فضای رایانش ابری بر عهده دارند ، این لایه دامنه کاربرد اینترنت اشیاء را در محیط های متفاوت تعیین می نماید حوزه هایی همچون حمل و نقل،سلامت،خانه های هوشمند،ساخت وساز ،نفت و گازو...پس از معرفی مختصر لایه های اینترنت اشیاءبه مبحث چالشهای آن می پردازیم .
علاقمندان به سرقت اطلاعات
قبل از ورود به مبحث مشكلات امنیتی اینترنت اشیاء لازم است تا توضیح داده شود چه کسانی علاقمند به حمله و سرقت اطلاعات در این حوزه می باشند،یكی از مهمترین دلایل، وجود انبوه اطلاعات در شبكه اینترنت اشیاء می باشد که توسط اشیاء در محیط کاربری آنها تولید می گردند ،اطلاعاتی از کاربران همانند شماره حساب ها،اطلاعات مكانی،پسوردهای حسابهای مالی ، اطلاعات سلامت از ارزشمندترین داده های مورد علاقه سارقان و هكرها می باشد، همچنین جاسوسان می توانند از علاقمندان به حملات سایبری به حوزه اینترنت اشیاء باشند و بنابراین اطلاعات ارزشمندی در اینترنت اشیاء وجود دارد که سارقین را ترغیب به نقشه کشی و اجراء برنامه های نفوذ از طریق هک نمودن شبكه ها و سرورها و اشیاء نمایند .
حال پس از یک مقدمه کامل ، برویم سراغ موضوع اصلی تحقیق که چیستی و مولفه های امنیت IOT میباشد :
تعریف امنیت در اینترنت اشیاء
محافظت از سیستم ذر مقابل خرابكاری و یا سرقت سخت افزار،نرم افزار و داده ها به عنوان تعریف امنیت کامپیوتری ارائه
گردیده است و امنیت سایبری به عنوان محافظت ار داده ها در شبكه می باشد، بر اساس تعریف سنتی امنیت به صورت هرم
امنیتی یا هرم CIA که بر اساس سه عنصر محرمانه بودن اطلاعات،ادغام اطلاعات ، قابل دسترس بودن داده ها تعریف می گردد.
محرمانه بودن اطلاعات (Confidentiality)
به منظور کنترل دسترسی و حفظ محرمانه بودن اطلاعات این مكانیزم امنیتی تعریف شده و کاربران غیر مجاز قادر به
دسترسی به سیستم نیستند،یكی از این مكانیزم ها رمز گذاری می باشد که اطلاعات به شكل کد و رمز تغییر می نمایند.
ادغام اطلاعات (Integrity)
به منظور امنیت بیشتر و جلوگیری از سرقت اطلاعات تنها افراد مجاز تحت پروسه مشخص قادر به تغییر اطلاعات می باشند و یكپارچگی اطلاعات در بیرون و داخل سیستم باید حفظ شود.
قابل دسترس بودن داده ها (Availability)
از مهمترین فاکتورهای تعریف شده در هرم امنیتی می باشد و بدین معنی است که اطلاعات برای کاربرها همواره در دسترس باشد حتی در شرایط دشوار . به این علت که مشتریان چنین چیزی را نمیپذیرند.
مشكلات امنیتی اینترنت اشیاء
دنیاي دیجیتال، با داده هاي شخصی و اشتراکی و ثبت شده توسط افراد اشباع شده است و نگرانیهایی را در زمینه امنیت و حفاظت از اطلاعات افراد و دولتها فراهم کرده است. مشکلات ناشی شده از انتقال و پردازش داده هاي ناخواسته، موجب نگرانیهاي کاربران و مسائل قانونی شده است . با رشد سریع کاربردهاي IOT مفاهیم امنیتی مورد توجه قرار میگیرند و نگرانیهایی در زمینه محرمانگی و ناتوانی مردم در کنترل زندگی شخصیشان شکل میگیرد. اگر فعالیت روزانه افراد نظارت شده و آنها تولید کننده خروجیهاي اطلاعاتی باشند، فعالیتهاي سیاسی، اقتصادي و اجتماعی تحت تأثیر قرار میگیرند. در صورت نقض امنیت، رخداد حمله و اختلال در عملکرد ، مزایاي IOT کمرنگ میشود. در آینده اي نزدیک حجمی وسیع از اطلاعات توسط وسایل متصل و سیستمهاي مدیریتی دریافت و ارسال خواهد شد. در نظر داشته باشید که اطلاعات مرتب در حال حرکت و جابجایی است و با ورود اینترنت اشیاء رویکرد این جابجایی بسیار متفاوت از حالت فعلی خواهد شد. امنیت اینترنت اشیاء به واسطه اتصال همه دستگاهها به یکدیگر کاملآ متفاوت از روند هاي فعلی خواهد بود. ما باید به نقاط اتصالی و ارتباطی انتقال اطلاعات ما بین تمامی وسایل و ابر و شبکهها توجه کرده و ایمنی را در آنجا به وجود آوریم .
مرکز امنیتی Sopho به عنوان یکی از بزرگترین بانکهاي پشتیبانی از محصولات امنیتی، به پیشبینی تهدیدات امنیتی سال 2015 دست زده است . به اعتقاد Sophoدر سال 2015 سواستفاده از آسیبپذیريهاي نرمافزاري کاهش خواهد یافت. با توجه به کاهش تعداد آسیبپذیريهاي نرمافزاري، معدودي آسیبپذیريها به شدت مورد استفاده قرار خواهند گرفت. اینترنت اشیاء، بزرگترین نگرانی امنیتی سال 2015 به نظر میرسد. این فناوري نوپا، در بدو تولد خود به شدت به موضوع امنیت توجه نشان داده است. شرکتهاي گوگل، سامسونگ، سونی و دیگر غولهاي فناوري که به نوعی در رشد یافتن این فناوري نقش داشتهاند، رعایت ایمنی را یکی از اصول اولیه کار قرار دادهاند اما به اعتقاد کارشناسان، اینترنت اشیاء بعد از عبور از مرحله “ایمن نمایشی” به مرحله “خطرناك در حال کار” خواهد رسید و بیشک، برخورد واقعی با بد افزار نویسان، شرایط را به گونه دیگري تغییر خواهد داد اینترنت اشیاء با چالشهاي زیادي رو به رو است. از نظر مقیاس پذیري برنامه هاي کاربردي به تعداد زیادي از دستگاهها نیاز دارد که پیاده IoT سازي آنها به دلیل محدودیتهاي زمان، حافظه و پردازش مشکل است. به عنوان مثال محاسبه تغییرات روزانه دمایی در محدوده یک کشور به دستگاه هاي زیادي نیازمند است و مدیریت بر داده هاي زیادي را میطلبد . در شکل زیر نیازمنديهاي امنیتی ضروري براي اینترنت اشیاء نمایش داده شده است. همان طور که مشاهده میکنید محرمانگی و امنیت به عنوان بلوكهاي سازنده فنی کلیدي مورد نیاز میباشند.
نیازمنديهاي امنیتی اینترنت اشیا (Silicon Valley brainstorm,2013)
مهمترین تهدیدات در لایه های مختلف شامل موارد ذیل می باشد :
مشكلات امنیتی لایه حسی
تهدید تروجان (Trojan) : تروجان یكی از مهمترین مشكلات برای بردهای الكترونیكی می باشد،تروجان سخت افزاری در هنگام ساخت مدارات به آن اضافه شده و با مكانیسم رهاسازی از طریق داخل و یا خارج مدار فعال سازی می شوند ،این امربوسیله آنتن یا سیستم شمارش معكوس در داخل خود برد فعال سازی می شود و اطلاعات ارزشمند مدار به سرقت میرود .
تهدید کانال جانبی غیر شبكه ای (Non-network side-channel attacks) : در حملات کانال جانبی غیر شبكه ای با استفاده از تكنیک های هک و نفوذ غیر قانونی مهاجم نسبت به جمع آوری داده های ظاهرا بی اهمیت از تجهیزاتی همانند سنسورها و اشیاء اقدام می نماید، در پژوهش های صورت گرفته مشخص شده است که وسایل و تجهیزات در زمانیكه مورد استفاده قرار نمی گیرند توانایی ارسال اطلاعات ارزشمندی را حتی بدون اتصال به شبكه بی سیم دارا هستند، به عنوان نمونه امضاهای الكترو مغناطیسی، نشتی سیگنالهای الكترومغناطیسی در لوازم پزشكی اطلاعات ارزشمندی از دستگاه و یا بیمار منتشر می کند که برای حفظ حریم خصوصی بیماران می تواند مخرب باشد .
حملات منع سرویس (Denial of Service (DoS) attacks) : حمله منع سرویس به منظور خارج کردن ماشین و منابع شبكه از دسترس کاربران مجازصورت می پذیرد،اگرچه انگیزه های انجام آن متفاوت است، اما در مجموع تلاش برای قطع موقت یا دائمی و یا تعلیق خدمات یک میزبان متصل به اینترنت می باشد.
اینگونه حملات در این لایه بصورت مصرف باتری وسایلی است که دارای ذخیره انرژی اندکی هستند به عنوان مثال اگر مهاجم به نوعی باتری یک کاشف دود را خالی نماید می تواند سیستم هشدار آتش سوزی را از کار انداخته و کل مجموعه در خطر قرار گیرد،روش دیگری که مهاجم استفاده می نماید با ارسال پیامهایی است به سمت گره برای تشخیص هویت با هزاران بسته تصادفی که باعث مصرف انرژی گره و اتمام آن که یک سنسور و یا دروازه ورودی است می شود.
حمله استتار (Camouflage) : در این گونه حملات که بوسیله اضافه کردن گره های جعلی و یا حمله به گره های مجاز از طریق پنهان شدن صورت می گیرد پس از شناسایی، گره جعلی می تواند بصورت نرمال به ارسال و دریافت بسته های اطلاعاتی اقدام نماید.
مشكلات امنیتی لایه شبكه
حمله حفره ای (Sinkhole Attack) : دراین حمله مهاجم گره تغییر داده شده را جذاب نشان می دهد و تمام اطلاعات از دیگر نقاط به سمت این گره هدایت می شوندو با فریب سیستم از طریق تبلیغ جعلی به روزرسانی ترافیک را به سمت گره هدایت می نماید و پس از دریافت با انجام تغییراتی نظیر حذف بسته های اطلاعاتی سیستم را دچار پیچیدگی می نماید .
حمله سرویس زدایی (Denial of Service (DoS) Attack) : در این حمله مهاجم در شبكه ترافیک زیادی ایجاد می نماید که باعث اختلال در شبكه و قطع سرویس در آن می شود و کاربر قادر به استفاده از شبكه نمی باشد .
حمله میان فردی (Man-in-the-Middle Attack) : حمله میان فردی به نوعی استراق سمع در شبكه ارتباطی است که عضو غیر مجاز می تواند تمام مكالمات خصوصی بین دو کاربر را بصورت پنهانی کنترل و استراق سمع نماید،مهاجم حتی می تواند هویت قربانی را تغییر دهد و برای جمع آوری اطلاعات خصوصی از روشهای معمولی استفاد نماید.
تزریق کد های مخرب (Malicious code injection) : این نوع حمله مخرب می باشد و در آن مهاجم با تزریق بسته های آلوده و دستكاری شده که به ظاهر قانونی می باشند اقدام نموده که پس از این حمله ارتباط کاربر به طور کامل قطع می شود و در حالت مخرب تر مهاجم کنترل همه شبكه را به دست می آورد.
حمله کانال جانبی (Side-channel attacks) : اجرای اینگونه حملات آسان نمی باشد و به صورت جدی رمزگذاری در شبكه را هدف قرار می دهند و تهدیدی موثر برای امنیت و اجرای رمزگذاری درشبكه محسوب می شوند و بصورت غیر تهاجمی در این لایه از اینترنت اشیاء توسط مهاجم اجراء می گردد ،تنها اطلاعاتی که غیر عمد از شبكه تراوش می کند مورد استفاده مهاجم است .
مشكلات امنیتی لایه میان پوششی
حمله سرویس زدایی (Denial of Service (DoS) Attack) : این حمله مشابه حملات توصیف شده در بخش های قبلی است که منجر به قطع سیستم می شود و سرویسهای موجود غیر قابل دسترس برای کاربر می گردند.
دسترسی غیر مجاز (Unauthorized Access) : در لایه میان پوششی رابط های متفاوتی برای برنامه های کاربردی و سیستم های ذخیره اطلاعات وجود داردکه مهاجم به سهولت می تواند با حذف داده های موجود به سیستم اینترنت اشیاء آسیب وارد نماید که این امراز طریق حذف داده ها و یا ممنوع سازی دسترسی انجام می شود،این دسترسی غیر مجاز برای سیستم میباشد.
خودی های مخرب (Malicious Insider ) : دراین حمله مهاجم از داخل ، اطلاعات را برای منافع شخصی یا منافع گروه سوم تغییر می دهد، این اطلاعات به سهولت برای اهداف داخلی قابل تغییر هستند .
مشكلات امنیتی لایه کاربردی
حمله سرویس زدایی : در این حمله صفحه نمایش توسط مهاجم سیاه می شود تا حملات به سیستم های دفاعی صورت پذیرد ودر نتیجه محرمانه بودن اطلاعات کاربر از بین می رود در حالیكه قربانی تصور می کند حمله در جایی دیگری رخ داده است،دراین حمله اطلاعات غیر رمز گذاری شده کاربر در اختیار هكر قرار می گیرد و سرقت می شود .
تزریق کد غیر مجاز (Malicious Code Injection) : سارق ازطریق سیستم کاربر نهایی با فنون هک کردن حمله را آغازمی کند و این امر به مهاجم امكان وارد کردن هر نوع کد غیرمجاز را به سیستم می دهد و اطلاعات کاربررا سرقت می کند.
حمله اکتشافی(Sniffing Attack) : در این حمله مهاجم از طریق معرفی برنامه کاربردی اکتشافی در سیستم بدان حمله می کند و می تواند به اطلاعات شبكه در نتیجه نقص سیستم دست یابد.
اما چند معضل امنیتی اینترنت اشیا
خیلی دور نبود ، زمانی که اینترنت اشیا ، هوس و مدی بیش نبود و تصور میلیارد ها دستگاه متصل ، بسیار دور از ذهن .اما امروزه فن آوری در حوزه های تجارتی و صنعتی ، فراگیر شده است . تلویزیون های هوشمند ، HVAC ها متصل به اینترنت ، دوربین های امنیتی و سیستم های روشنایی هوشمند ، همه و همه به کالا های عمده تبدیل شده اند . با اینکه طلوع اینترنت اشیا در کارگاه های مدرن اتفاقی تازه است ، برخی از متعارف ترین ضعف های امنیتی دستگاه هایIoT ، کاملا جدید نیستند . اما آدرس دهی نگرانی های امنیتی اینترنت اشیا کاملا مشابه با امنیت IT سنتی نیست ؛ این آدرس دهی نیازمند پیگیری و تحت نظر داشتن آرایه ای از مسائل است که ده مورد زیر شامل آنهاست .
امنیت موبایل ضعیف
درال هیلند ،که یک تستر نفوذ حرفه ای ، که رهبر قسمت امنیتRapid7/IoT است میگوید: نقطه ضعف های متعارفی که در حوزه ی اینترنت اشیا مشاهده میکنم ، اکثرا در رابطه با امنیت ضعیف برنامه های موبایل است . یکی از بزرگترین شکوه های من ، ذخیره شدن دیتا در برنامه های موبایلی است . در حالی که ذخیره ی دیتا رویiOS از اندروید خطرناک تر است ، ذخیره سازی هرگونه اطلاعات حساس روی هر موبایل سرویسی ، بسیار از خطرناک است . چه رخ خواهد داد اگر کارمندی تلفن همراه خود را که حاوی داده های آسیب پذیر است گم کند و هیچ نسخه پشتیبانی از داده ها وجود نداشته باشد .
ابر های طوفانی در افق
"ابر" معمولا یکی دیگر از ضعف های مرتبط با نصب اینترنت اشیاست . هیلند توضیح میدهد : "در رابطه با امنیت ، API های دستگاه های IoT احتمالا بسیار بدتر از API های وب های معمولی هستند . من فکر میکنم اکثر توسعه دهندگان به ارتباطات میان دستگاه هایIoT وAPIهای ابر ، به شکل ارتباطات ماشین به ماشین نگاه میکنند .
خطر اعتبار نامه های پیش فرض
و سپس خطر دستگاه های IoT با درهای پشتی نه چندان محرمانه وجود دارد که میتوان با استفاده از نام کاربری و پسوورد های پیش فرض به آنها دسترسی پیدا کرد . شرکت ها باید بپرسند : آیا ما فرایند های تصدیق اعتبار و رمزنگاری مناسبی برای ارتباطاتمان داریم ؟ ، هیلند توصیه میکند : باید شخصی را مجاب کنید که روی یک پورت غیر استاندارد تلنت کرده و از پسوورد پیشفرض استفاده کند .
دستگاه های استاندارد مسلح شده
یکی از نگرانی های امنیتی IoT اینست که دستگاه های متعارفی همچون تلویزیون های هوشمند و پرینتر ها میتوانند به حامل های تهدید شوند . هیلند میگوید : مشکلات بلقوه ی امنیتی بزرگی در رابطه با پرینتر های چندکاره وجود دارد . هیلند توضیح میدهد : من پرینتر های فعلی را متصل به اینترنت اشیا تصور میکنم ، ما طی دوره ی ارزیابی از پرینتر ها برای دسترسی یافتن به سازمان هاو شبکه ها و همچنین خارج کردن دیتا استفاده کردیم .
دشواری بارگذاری عامل ها روی دستگاه های IoT
یوجن دیبروو ، مدیر عامل شرکت ایمنی آرمیس ، یک استارت آپ امنیتی متمرکز بر اینترنت اشیا میگوید : یکی از بزرگترین چالش هایی که با آن مواجه میشویم این است که امکان بارگذاری عامل ها (مثل نرمافزار های آنتی ویروس ) روی بسیاری از دستگاه ههای IoT وجود ندارد . پس بسیاری از شرکت ها از مزیت امنیت نقطه ی پایانی برای همه ی دستگاه های متصلشان برخوردار نیستند ، خواه این دستگاه ها ، پرینتر باشند یا دوربین های امنیتی یا چیز دیگر . چگونه مطمئن خواهید بود یکی از این دستگاه ها کاری که نباید انجام بدهد را انجام نمیدهد ؟
امنیت دستگاههای اینترنت اشیا
خطر دستگاه های IoT چموش
یکی دیگر از نگرانی های امنیتی اینترنت اشیا ، رواج دستگاه های متصل چموش مخفی شده داخل شرکت ها و نظارت محرمانه ی شبکه است . دیبروو میگوید : ما این را بیشتر و بیشتر میبینیم ، ما شاهد دستگاه هایioT چموشی مثلRasberry pi یاWi-Fi Pineapple هستیم . این یک حامل حمله ی محبوب است چرا که بسیار ساده است . یه مهاجم میتواند یکی از این دستگاه ها برداشته ، به منهتن برود و صد ها دستگاه را به یک دستگاه چموش متصل کند ، مثل دستگاه هایی که متعلق به سازمان های مالی و دیگر انواع شرکت ها هستند .
نقص /نبود آگاهی شبکه
یک مشکل مرتبط این است که بسیاری از سازمان ها از آنچه که داخل شبکه شان وجود دارد آگاهی کامل ندارند و بدین خاطر نمیتوانند بدانند که آیا شبکه شان حاوی دستگاه های IoT تعریف نشده یا دستگاه های چموش هست یا خیر . دیبروو توضیح میدهد : تا آنجایی که ما تجربه داریم ، بسیاری از سازمان ها میتوانند تنها تا شصت درصد دستگاه های متصل را در محیطشان ببینند . ما این مشکل را در انواع سازمان ها میبینیم ، خواه در بخش سلامت باشند یا تولید یا فن آوری یا مالی .
نگرانی های بسامد رادیو
حوزه ی امنیت اینترنت اشیا ، محیطی چند فاکتوری و با دامنه ای بسیار گسترده است ، هیلند بررسی تمام اکوسیستم را پیشنهاد میکند که شامل تمام فاکتور های بالا به علاوه ی دیگر مسائلی همچون آسیب پذیری های نشات گرفته از ارتباطات بسامد رادیویی میشود . برای مثال ، بلوتوث 5 ، از نتوورکینگ غربالی پشتبانی میکند ، که به یک مهاجم امکان هدف گیری یک دستگاه بلوتوث منفرد ، و سپس پخش بدافزار در کل شبکه ی غربالی را میدهد .
آرمیس اخیرا یک نقطه ضعف مربوط به بلوتوث با نام بلوبورن کشف کرده که میتواند بسیاری از دستگاه های IoT را تحت تاثیر قرار دهد .
نگرانی های IP
تولیدکنندگان دستگاه های IoT ای که از دارایی های اطلاعاتی محافظت میکنند ممکن است بخواهند حفاظت ازfirmware محصولاتشان را در نظر بگیرند . هیلند میگوید :شرکت هایی که IP برایشان مهم است نمیخواهد کسی به راحتی Firmware را از دستگاه خارج کند . این چیزی است که ما معمولا آزمایش میکنیم . بسیاری از تولید کنندگان دستگاه های IoT برای حفاظت از دارایی های اطلاعاتی از روش های بی اشتیاق استفاده میکنندو از محافظت بر پایه ی رمز نگاری ، که در سخت افزاری که استفاده میکنند موجود است استفاده نمیکنند . "عموما میبینیم که سازمان ها از حفاظت درون ساخته ی موجود روی برخی از چیپست هایشان استفاده نمیکنند.
عکس زیر یه مجموعه کامل از انواع بد افزار ها است که درسایت فراست میباشد. حیفم امد که در این تحقیق نباشد:
تا اینجای کار ما از نگرانی ها و حمله ها گفتیم اما راه های مقابله و بهبود شرایط چگونه امکان پذیر است .
بهبود امنیت دستگاههای اینترنت اشیا
تحلیل کانال جانبی (Side-channel analysis) : تحلیل کانال جانبی یكی از موثرترین راهها جهت شناسایی تروجان های سخت افزاری و میان افزارها و یا نرم افزارهای مخرب نصب شده بر روی دستگاهها می باشد که شامل کشف تروجان از طریق سیگنالهای دارای زمان ، انرژی و حرارت می باشد.
حضور تروجان ها در مدارات بر روی انرژی آن اثر دارد و همچنین با عث تاخیر خواص دروازه ها و سیم ها در مدار میگردد ، برای کشف یک سخت افزار آلوده از یک مدل مقایسه ای استفاده می شود که بر اساس خواص مكانیكی فیزیكی و یا نقشه توزیع حرارتی قادر به تشخیص می باشد ، برای کشف نرم افزار مخرب از روش مشابهی استفاده و بر اساس سیگنالهای کانال جانبی برای رفتار غیر متعارف تحلیل می شود، به عنوان نمونه افزایش مصرف انرژی نشانه نصب یک نرم افزار آلوده در مدار می باشد.
ای دی اس (IDS) و یا سیستم کشف متجاوز (Policy-based mechanisms and Intrusion Detection Dystems) : یكی دیگر از روشها استفاده از مكانیسم اطمینان دادن تامین حریم خصوصی و امنیت می باشد،ای دی اس ها به مصرف کننده اطمینان می دهند که قوانین عمومی نقض نشده و برای کشف حملات بازدارنده همانند کاهش ذخیره باطری و یا محرومیت از خواب در دستگاهها )چیزها( بوسیله یافتن درخواست های غیر معمول در گره عمل می نماید.
تغییر مدار (Circuit modification) : تغییر دادن مدار یكی از موثرترین روش ها برای مقابله با حملات فیزیكی ،تروجانها و کانالهای جانبی می باشد،به عنوان نمونه اضافه نمودن پی یو اف به مدار جهت کنترل دسترسی و تشخیص هویت و برای کشف تروجان ها به کار می رود.
روزآمد مطمئن نرم افزارهای ثابت (Securing firmware update) : هر نرم افزار ثابتی بوسیله دسترسی مستقیم و یا از راه دور به روز می شود و این امر بوسیله دستورات سرور در سیستم اطلاع رسانی می شود و این امر به صورت گره به گره انجام می شود.
اقدامات پیشگیرانه در لایه شبكه
مسیریابی قابل اطمینان (Reliable routing) : یكی از مهمترین شاخص های شبكه اینترنت اشیاء اجرای پروتكل های مسیریابی ایمن شده بین سرورها و گره های میانی است،این الگوریتم ها باید ایمن بودن و حریم خصوصی را مورد توجه قرار داده تا از حملات سارقان اطلاعات و هكرها در امان باشند.
تشخیص هویت (Role-based authorization) : بدلیل اینكه به درخواست یک گره آلوده از طرف سیستم پاسخ ارسال نگردد نیاز به یک سیستم نظارتی می باشد که بتواند هویت درخواستهای گره ها ،روترها و خدمات دهندگان را در شبكه تشخیص وپس از آن اطلاعات را به اشتراک یا دسترسی پیدا نمایند .
رمزگذاری (Cryptographic): یكی از تكنیكهای موثر جهت جلوگیری از سرقت اطلاعات میان گره ها تكنیک رمزگذاری می باشد،یک الگوریتم
رمزگذاری قوی می تواند پروتكلهای ارتباطی را تقویت نماید،اما بدلیل محدودیت در حافظه ، ظرفیت باطریها و قدرت پردازش
نیاز به رمزگذاری های سبک در سنسورها می باشد تا اشیاء به گونه ای مطمئن با یكدیگر ارتباط برقرار کنند
اقدامات پیشگیرانه در لایه کاربردی
پیش آزمون (Pre-testing) : تست نمودن بروز رسانی و طراحی اجرای آن یكی از مهمترین گام ها در یک سیستم می باشد،رفتار تمام سیستم و اجزاء آن شامل روترها ،گره ها ،سرورها باید قبل از استفاده تست شود این امر بوسیله داده های متفاوت امكان پذیر می باشد و حملات احتمالی نیز بر روی سیستم پیاده و شبیه سازی می شود تا توان مقابله با بد افزارها و هكرها بر روی سیستم مورد بررسی کامل قرار گیرد.
شناسایی خارجی (Outlier detection) : هدف از تمام سیستم های دفاعی اطمینان حاصل کردن از حملات متحد برای اضافه کردن اطلاعات غیر معتبر به سیستم می باشد استفاده از سیستم فراگیری ماشین توسط بعضی از محققین برای مقابله با حملات مسموم توصیه شده است.
در جریان حمله Dyn که در اواخر اکتبر سال ۲۰۱۶ اتفاق افتاد و بسیاری از سایت های معروف هدف قرار داده شدند؛ مجرمان سایبری ای که این حمله را ترتیب داده بودند، برای مدیریت این عملیات از بسیاری دستگاه های متصل به اینترنت( مانند DVR ها و دوربین ها) کمک گرفتند. بعد از این حمله، کارشناس امنیت سایبری، آقای Bruce Schenier ، آیین نامه دولتی برای زیرساختهای IOT تنظیم کرد، چرا که نه تولید کنندگان محصولات IOT و نه مشتریان آن، هیچ کدام توجهی به امنیت سایبری نداشتند. هم به دلیل منافع دولتی و هم منافع شخصی، انتظار می رود که سرمایه گذاری در بخش امنیت IOT افزایش یابد. در تحقیقات Forrester که چشم اندازی را برای ۱۳ تکنولوژی مهم و مرتبط با IOT دارد، این هشدار عمومی داده می شود :
" هیچ راه حل امنیتی جادویی و یکتایی وجود ندارد که بتواند به راحتی تمام موارد امنیت IOT را بهبود بخشد"
با توجه به آنالیزهای Forrester، لیستی تهیه شده است که به مهمترین تکنولوژی های امنیتی IOT اشاره دارد:
۱- امنیت شبکه: IOT امنیت شبکه IOT به معنای حفاظت و ایمن کردن شبکه دستگاه های IOT که به سیستمهای back-end خود متصل هستند، می باشد. امنیت شبکه IOT چالش برانگیزتر از امنیت شبکه های معمولی است چرا که با محدوده وسیع تری از پروتوکل های ارتباطی، استانداردها و قابلیت ها طرف هستیم و این موضوع، پیچیدگی امنیت شبکه IOT را بالا می برد.
۲- احراز هویت در: IOT فراهم کردن قابلیت های احراز هویت برای کاربران مانند قابلیت multiple user برای یک دستگاه نیز گزینه خوبی است. همچنین قابلیت های دیگر از پسوردهای ایستا گرفته تا احراز هویت های قوی تر مانند گواهی های دیجیتالی و تاییدیه کارخانه ها نیز می تواند امنیت دستگاه های IOT را افزایش دهد.
۳- رمزنگاری : IOT رمزنگاری داده ها در هنگام انتقال بین دستگاه های IOT و استفاده سیستم های back-end از الگوریتم های رمزنگاری استاندارد می تواند به جلوگیری از شنود داده ها توسط نفوذگرها کمک کند. اما محدوده وسیع دستگاه های IOT، استفاده از پردازش ها و پروتوکل های رمزنگاری استاندارد را محدود می کند.
۴ : IOT PKI اول باید ببینیم PKI چیست PKI . یا Public Key Infrastructure مجموعه ای از سیاست ها و روش هایی است که برای درست کردن،مدیریت، استفاده و ذخیره گواهی های دیجیتال به کار می رود. مشکل اینجاست که مشخصات سخت افزاری بعضی از دستگاه های IOT، استفاده از PKI را محدود و در برخی موارد مختل می کند. اما گواهی های دیجیتال را می توان در زمان ساخت دستگاه های IOT به صورت کاملا ایمن بر روی آنها بارگذاری کرد.
۵- آنالیزهای امنیتی : IOT آنالیزهای امنیتی اینترنت اشیا به معنای جمع آوری، نظارت و طبیعی کردن داده هایی است که از دستگاه های IOT بدست می آید و همچنین فراهم کردن گزارش ها و هشدار دادن در مورد فعالیت هایی که از محدوده خود خارج شده اند. این راه حل ها با اضافه کردن یادگیری ماشین، هوش مصنوعی و تکنیک های کلان داده می توانند به کار گرفته شوند. آنالیزهای امنیتی IOT شانس شناسایی حملات خاصی را که به دستگاه هایIOT می شوند را افزایش می دهد چرا که تکنیک های امنیتی معمولی مانندfirewall نمی تواند موثر باشد.
البته در تحقیقاتForrester آمده است که این تکنولوژی ها در مرحله اجرا نیستند و به کارگیری این تکنولوژی ها زمان بر است. (جا داره یک خسته نباشی به اعضای این تیم گفت )
اینترنت اشیاء به جاي کاهش شکاف دیجیتال ممکن است حتی آن را تعمیق کند. بسیاري از افراد ممکن است نتوانند یا نخواهند از این سبک زندگی نوین استقبال کنند و آن را به دلایل اقتصادي، سیاسی، مالی، امنیتی، مذهبی و فرهنگی در تعارض با آنچه مطلوب میپندارند، بدانند. حال اگر بنگاههاي بزرگ اقتصادي و دولتها تصمیم بگیرند به سمت استفاده از اینترنت اشیاء حرکت کنند و عدهاي از شهروندان تمایلی به این امر نداشته باشند، شکافها و اختلافات اجتماعی تشدید خواهد شد. چون با نصب دستگاهها و سیستمهاي جدید فناوري مبتنی بر اینترنت اشیاء، به عقاید و دیدگاههاي این افراد بی توجهی خواهد شد. مجبور کردن مردم به خرید لوازم خانگی قابل اتصال به اینترنت و طراحی آنها به گونهاي که عدم استفاده از چنین قابلیتهایی مشکلاتی ایجاد کند نیز، از جمله دغدغه هاي این فناوري بوده است. پیچیدگی جهان مبتنی بر اینترنت اشیاء و تبعات امنیتی آن ممکن است بسیاري از افراد یا کشورها را به عدم استفاده از دستاوردهاي این پدیده ترغیب کند. کاربرد فناوريهاي یاد شده به نفع بسیاري از کشورهاي در حال توسعه است، اما ممکن است این کشورها به دلایل دیگري از جمله هزینههاي سنگین قادر به استفاده از آن نباشند و تمامی این موارد باعث تعمیق شکاف دیجیتال میشود. از طرفی دغدغه هاي امنیتی پیش روي این فناوري باید به دقت مورد بررسی قرار گیرند و سیاستهاي مناسب براي مقابله با این تهدیدات و ترغیب افراد، دولتها و کشورها جهت تمایل به استفاده از این فناوري، اتخاذ گردند. تردیدي وجود ندارد که اینترنت اشیاء در کنار مزایایش، مشکلاتی هم دارد و صاحبنظران و سیاستگذاران باید از هم اکنون در اندیشه مقابله با چالشهاي آن بعلاوه با رویکردي انتقادي می توان استدلال کرد که پیچیدگی این فناوري باعث میشود بسیاري افراد نتوانند از آن بهره گیرند. طبق گزارشها و نظر دیگر متخصصین دراین حوزه، کشورهاي توسعه یافته هنوز نتوانستهاند استفاده از این فناوري را کاملاً مقرون به صرفه کنند. هم چنین بسیاري کشورها استفاده از IOT را در محیط کار به دلیل نقض امنیت، غیر انسانی قلمداد میکنند .
مراجع فارسی و لاتین
(1) ساناز شفیعی، تهدیدات امنیتی و شکاف دیجیتالی ، دانشگاه تربیت مدرس، تهران، ایران
(2) شورای عالی فضای مجازی – مرکز ملی فضای مجازی
(3) سایت Faraasat.com
(4) بلاگ hubspot.com
(5) سایت fortinet
[1] Kellmereit D, Obodovski D. The Silent Intelligence: The Internet of Things, Published September 20th 2013 by Dnd Ventures LLC,2013.
[2] Mosin Nila A, K. Jha N. A Comprehensive Study of Security of Internet-of-Things, IEEE Transactions on Emerging Topics in Computing , Volume: PP, Issue: 99 ,2016.
[3] Leloglu E.A Review of Security Concerns inInternet of Things, Journal of Computer and Communication 5,121-136,2017.
[4] ACHBAROU O, Elbouanani S, El Kiram A. Introduction To The Internet Of Things Security: Standardization and research challenges, Information Assurance and Security (IAS), 2015 11th International Conference on,2015.
[5] Cristian Bude C , Kervefors Bergstrand A .Internet of Things Exploring and Securing a Future Concept , Bachelor’s Thesis, KTH Royal Institute of Technology School of Information and Communication Technology (ICT) Department of Communication Systems,2015.
[6] Andrea I, Chrysostomou C, Hadjichristofi G. Internet of Things: Security vulnerabilities and challenges, Computers and Communication (ISCC), 2015 IEEE Symposium on,2015.