فقط رایانههای شخصی و گوشیهای هوشمند ما نیستند که باید بیش از پیش نگرانشان باشیم بلکه نگرانیهای ما طیف گستردهای از دستگاههای متصل به اینترنت مانند ترموستات، متر هوشمند، اتومبیلهای هوشمند بدون راننده و حتی دستگاههای دستیار صوتی مانند Ok Google را شامل میشود. و در مقابل اشیاء که به اینترنت متصل می شوند، امنیت اینترنت اشیاء است که برای این گونه ابزارها حائز اهمیت است.
کارشناسان صنعتی، هر شی متصل به اینترنت را به عنوان اینترنت اشیا (IOT) تعریف میکنند (یا در بعضی موارد به اتصال محلی یک منطقه).
مثالهای این مطلب عبارتند از:
به عنوان مثال هریک از ابزار بالا که به اینترنت متصل باشند را میتوان یک ابزار اینترنت اشیا (IOT) به شمار آورد.
تولیدکنندگان بیشتر دوست دارند بر روی تولید وسایل اینترنت اشیا (IOT) تمرکز کنند به این دلیل که باعث میشود مشتریان در مورد چگونگی استفاده مصرف کنندگان از محصولاتشان به جمعآوری اطلاعات بپردازند.
در نمودار زیر آمارهایی را میبینیم که نشان میدهند در سال های اخیر ما با چه تعداد دستگاههای متصل به اینترنت درگیر هستیم، با آنها ارتباط داریم و از امکانات و قابلیتهای آنها استفاده میکنیم:
در سال 1395، «بات نت میرای» (Mirai botnet) یکی از بزرگترین حملات دیداس(DDoS) که تاکنون ثبت شده است را به راه انداخت. بیش از 1 ترابایت در هر ثانیه، شبکه داین (Dyn) ، ارائهدهنده اصلی DNS، و سایتهایی مانند Reddit و Airnbnb را از بین برد. برای اولین بار بود که چنین حملهای با ابزارهای اینترنت اشیا (IOT) انجام شد. در جریان این حمله، حدود 150 هزار عدد از دوربینهای هوشمند، روترها و دستگاههای دیگر که به یک باتنت تکیه داشتند و متصل بودند به خطر افتادند و تنها بر روی یک هدف متمرکز شدند.
این اتفاق برای اولین بار رخ داد و میزان شدت حملات به بعضی وب سایت ها جبران ناپذیر بود. سازندگان از چندین رمز عبور پیشفرض و نام کاربری برای محافظت از ابزار IOT استفاده میکنند. بنابراین شما چند صد هزار ترکیب رمز عبور برای محافظت از دهها میلیون دستگاه هوشمند در اختیار خواهید داشت. تمام اینها چند خط سادهای از کد بود که برای تست هر یک از این کلمات عبور پیشفرض طراحی شده بود. یک دستگاه تا زمانی که کاربر اطلاعات ورودی استاندارد را تغییر نداده باشد میتواند در عرض چند ثانیه هک شده و تحت کنترل قرار بگیرد.
سهولت استفاده از اصول مهم در صنعت IT و الکترونیک است. هر ابزار به گونه ای طراحی شده که تا حد امکان استفاده از آن آسان باشد. و کاربر بتواند به راحتی از آن استفاده کند و پیچیدگی های آن محصول باعث دلسرد شدن کاربر نشود.
معمولا تولیدکنندگان، گزینه تغییر رمز و نام کاربری را در جایی نادیدنی و عمیق از دستگاه قرار میدهند که پیدا کردنش برای کاربر سخت و دشوار است، بنابراین جای تعجب نیست که بسیاری از کاربران از نام کاربری و رمزعبور پیش فرض را استفاده می کنند.
بسیاری از سازندگان IOT، برای نرم افزار موجود در دستگاه های خود بروز رسانی قرار نمی دهند. اگر دستگاه شما یک آسیبپذیری نرمافزاری داشته باشد (تقریباً ۱۰۰٪ احتمال دارد که این اتفاق بیافتد)، تنها با کمک سازنده و تولیدکننده دستگاه میتوانید از حملات سایبری جلوگیری نمایید و بدون اینها، واقعاً کار زیادی از دست شما ساخته نخواهد بود.
سایر ابزارهای IOT، فاقد رمزگذاری اساسی برای مخفی کردن اطلاعات ارسال شده بین وسیله و سرور مرکزی هستند. اگر یک هکر مخرب بتواند اطلاعات شخصی خود را به این سمت سوق دهد، این مسئله میتواند به طور بالقوه اطلاعات شخصی کاربر را در معرض افشا قرار دهد.
چیز دیگری که وسایل اینترنت اشیا انجام میدهند، این است که برخی از آنها، بیش از آن چیزی که موردنیاز است، از شما درخواست مجوز مینمایند.
در یک مورد مشهور، تعداد زیادی از کاربران سرویس «آمازون اکو»، پس از یک میانپرده تلویزیونی با چشمانی شگفتزده، عبارت «آلکسا برای من یک خانه عروسکی سفارش داد» را مشاهده کردند و متوجه شدند که شیئی بدون اطلاعشان، خانهای عروسکی سفارش داده است.
در این ماجرا، یک وسیله یا ابزار بهتنهایی مجاز به انجام هرگونه خریدی با انجام تمامی مراحلش بود. هر مجوز اضافی در ابزار IOT یک لایه آسیبپذیر دیگر را اضافه میکند که میتواند مورد سوءاستفاده تبهکاران و نفوذگران سایبری قرار گیرد. به طور خلاصه، با صدور مجوزهای کمتر، امنیت دستگاه شما بیشتر میشود.
انواع حملاتی که علیه ابزارهای IOT انجام میشود
دستگاههای هوشمند را بسته به نوع آسیبپذیری که حملهکننده تصمیم میگیرد تا از آن استفاده کند میتوان به روشهای مختلفی هک کرد
یکی از رایج ترین حملات مخرب بر روی رایانههای شخصی نرمافزارهای مخرب مانند باج افزارها هستند که ابزارهایIOT را نیز مورد هدف حملات خود قرار دادهاند.بدافزار ها عمدتا با سیستم عامل اندروید سازگارترند و اینگونه IOT ها را بیشتر مورد حمله قرار می دهند. لویزیونهای هوشمند و دیگر نمونههای مشابه، بیشتر در معرض این نوع تهدید هستند، زیرا که کاربران ممکن است به طور تصادفی بر روی لینکهای مخرب کلیک کنند و یا با دانلود برنامههای آلوده موافقت نمایند.
در حملات رمز عبور اطلاعات ورود به دستگاه هدف قرار میگیرد و تا زمانی که رمز عبور درست را پیدا نکرده اند آن را با رمز عبور و نام های کاربری بیشمار مورد حمله قرار میدهند.
در این حمله، یک هکر مخرب، در روند یک ترافیک اینترنتی که از یک دستگاه هوشمند خارج میشود دخالت نموده و آنرا متوقف مینماید.
هدف مورد نظر وی یک روتر Wi-Fi است، زیرا یک روتر شامل تمام دادههای ترافیکی ارسال شده از شبکه است و بنابراین میتواند برای کنترل هر دستگاه متصل به آن، حتی رایانههای شخصی یا تلفنهای هوشمند مورداستفاده قرار گیرد.
روند اسپوفینگ یا ظاهرسازی سایبری (Spoofing) به این صورت انجام میشود که مثلاً دستگاه A را بهگونهای مخفی میکنیم که بهعنوان دستگاه B به نظر برسد. سپس اگر دستگاه B دسترسی به یک شبکه بیسیم داشته باشد، پس دستگاه مخفی A، به آن اجازه میدهد یا به عبارتی به آن فرمان میدهد تا روتر را به شبکه متصل نماید. درنتیجه دستگاه A مخفی شده، میتواند با روتر ارتباط برقرار نموده و نرمافزارها و بدافزارهای مخرب را تزریق کند. این بدافزار پس از آن به تمام دستگاههای دیگرِ موجود در شبکه سرایت کرده و پخش میشود.
ابزارهایIOT از اولین قربانیان موردنظر برای هک شدن از طریق یک باتنت (botnet) هستند. زیرا آنها هر دو به راحتی هک میشوند، و به سختی تشخیص میدهند که در معرض خطر هستند و مورد حمله قرار گرفتهاند.
هنگامی که دستگاه شما از این طریق به کنترل گرفته میشود، میتوان از آن برای انواع گستردهتری از فعالیتهای سایبری مانند حملات دیداس (DdoS)، ارسال ایمیلهای هرزنامهای، انجام کلیکهای تقلب، جعل، سوءاستفاده و استخراج بیت کوین (واحد پولی مجازی) استفاده کرد.
میرای (Mirai) بزرگترین باتنت اینترنت اشیا است که تاکنون شناخته و دیده شده است، و بر اساس رمز عبور و نامهای کاربری پیشفرض ساخته شده است.
خب تا اینجا تا حد بسیار زیادی درباره امنیت اینترنت اشیا صحبت کردیم ، اگ از مطلب ما خوشتون اومده پیشنهاد میکنم بقیه مطلب رو از طریق لینک زیر مطالعه کنید. و نظرات خودتونو با ما درمیان بگذارید.
منبع: فراست
