azizipour
azizipour
خواندن ۶ دقیقه·۴ سال پیش

امنیت اینترنت اشیا‌ : تمام چیزهایی که باید بدانید و به کار بگیرید

امنیت اینترنت اشیا
امنیت اینترنت اشیا


فقط رایانه‌های شخصی و گوشی‌های هوشمند ما نیستند که باید بیش از پیش نگرانشان باشیم بلکه نگرانی‌های ما طیف گسترده‌ای از دستگاه‌های متصل به اینترنت مانند ترموستات، متر هوشمند، اتومبیل‌های هوشمند بدون راننده و حتی دستگاه‌های دستیار صوتی مانند Ok Google را شامل می‌شود. و در مقابل اشیاء که به اینترنت متصل می شوند، امنیت اینترنت اشیاء است که برای این گونه ابزارها حائز اهمیت است.

اینترنت اشیا(IOT) چیست؟

کارشناسان صنعتی، هر شی متصل به اینترنت را به عنوان اینترنت اشیا (IOT) تعریف می‌کنند (یا در بعضی موارد به اتصال محلی یک منطقه).

مثال‌های این مطلب عبارتند از:

  • تلویزیون‌های هوشمند
  • ماشین‌های اینترنتی متصل شده
  • روتر Wi-Fi
  • دوربین‌های هوشمند
  • قفل هوشمند (از جمله آن‌هایی که دارای بلوتوث هستند)
  • برخی از دستگاه‌های پزشکی
  • دستیارهای صوتی مانند Ok Google
  • چراغ‌های هوشمند
  • گروه‌های تناسب‌اندام.

به عنوان مثال هریک از ابزار بالا که به اینترنت متصل باشند را میتوان یک ابزار اینترنت اشیا (IOT) به شمار آورد.

تولیدکنندگان بیشتر دوست دارند بر روی تولید وسایل اینترنت اشیا (IOT) تمرکز کنند به این دلیل که باعث میشود مشتریان در مورد چگونگی استفاده مصرف کنندگان از محصولاتشان به جمع‌آوری اطلاعات بپردازند.

در نمودار زیر آمارهایی را می‌بینیم که نشان می‌دهند در سال های اخیر ما با چه تعداد دستگاه‌های متصل به اینترنت درگیر هستیم، با آن‌ها ارتباط داریم و از امکانات و قابلیت‌های آن‌ها استفاده می‌کنیم:

چرا امنیت اینترنت اشیا بسیار حائز اهمیت است؟

در سال 1395، «بات نت میرای» (Mirai botnet) یکی از بزرگ‌ترین حملات دیداس(DDoS) که تاکنون ثبت شده است را به راه انداخت. بیش از 1 ترابایت در هر ثانیه، شبکه داین (Dyn) ، ارائه‌دهنده اصلی DNS، و سایت‌هایی مانند Reddit و Airnbnb را از بین برد. برای اولین بار بود که چنین حمله‌ای با ابزارهای اینترنت اشیا (IOT) انجام شد. در جریان این حمله، حدود 150 هزار عدد از دوربین‌های هوشمند، روترها و دستگاه‌های دیگر که به یک بات‌نت تکیه داشتند و متصل بودند به خطر افتادند و تنها بر روی یک هدف متمرکز شدند.

این اتفاق برای اولین بار رخ داد و میزان شدت حملات به بعضی وب سایت ها جبران ناپذیر بود. سازندگان از چندین رمز عبور پیش‌فرض و نام کاربری برای محافظت از ابزار IOT استفاده می‌کنند. بنابراین شما چند صد هزار ترکیب رمز عبور برای محافظت از ده‌ها میلیون دستگاه هوشمند در اختیار خواهید داشت. تمام این‌ها چند خط ساده‌ای از کد بود که برای تست هر یک از این کلمات عبور پیش‌فرض طراحی شده بود. یک دستگاه تا زمانی که کاربر اطلاعات ورودی استاندارد را تغییر نداده باشد می‌تواند در عرض چند ثانیه هک شده و تحت کنترل قرار بگیرد.

آسیب‌پذیری‌های امنیتی اینترنت اشیا

سهولت استفاده از اصول مهم در صنعت IT و الکترونیک است. هر ابزار به گونه ای طراحی شده که تا حد امکان استفاده از آن آسان باشد. و کاربر بتواند به راحتی از آن استفاده کند و پیچیدگی های آن محصول باعث دلسرد شدن کاربر نشود.

اعتبار ورودی پیش فرض ناامن

معمولا تولیدکنندگان، گزینه تغییر رمز و نام کاربری را در جایی نادیدنی و عمیق از دستگاه قرار میدهند که پیدا کردنش برای کاربر سخت و دشوار است، بنابراین جای تعجب نیست که بسیاری از کاربران از نام کاربری و رمزعبور پیش فرض را استفاده می کنند.

به روز رسانی ضعیف نرم افزاری

بسیاری از سازندگان IOT، برای نرم افزار موجود در دستگاه های خود بروز رسانی قرار نمی دهند. اگر دستگاه شما یک آسیب‌پذیری نرم‌افزاری داشته باشد (تقریباً ۱۰۰٪ احتمال دارد که این اتفاق بیافتد)، تنها با کمک سازنده و تولیدکننده دستگاه می‌توانید از حملات سایبری جلوگیری نمایید و بدون این‌ها، واقعاً کار زیادی از دست‌ شما ساخته نخواهد بود.

ارتباط رمزگذاری نشده است

سایر ابزارهای IOT، فاقد رمزگذاری اساسی برای مخفی کردن اطلاعات ارسال شده بین وسیله و سرور مرکزی هستند. اگر یک هکر مخرب بتواند اطلاعات شخصی خود را به این سمت سوق دهد، این مسئله می‌تواند به طور بالقوه اطلاعات شخصی کاربر را در معرض افشا قرار دهد.

چیز دیگری که وسایل اینترنت اشیا انجام می‌دهند، این است که برخی از آن‌ها، بیش از آن چیزی که موردنیاز است، از شما درخواست مجوز می‌نمایند.

در یک مورد مشهور، تعداد زیادی از کاربران سرویس «آمازون اکو»، پس از یک میان‌پرده تلویزیونی با چشمانی شگفت‌زده، عبارت «آلکسا برای من یک خانه عروسکی سفارش داد» را مشاهده کردند و متوجه شدند که شیئی بدون اطلاعشان، خانه‌ای عروسکی سفارش داده است.

در این ماجرا، یک وسیله یا ابزار به‌تنهایی مجاز به انجام هرگونه خریدی با انجام تمامی مراحلش بود. هر مجوز اضافی در ابزار IOT یک لایه آسیب‌پذیر دیگر را اضافه می‌کند که می‌تواند مورد سوءاستفاده تبهکاران و نفوذگران سایبری قرار گیرد. به طور خلاصه، با صدور مجوزهای کمتر، امنیت دستگاه شما بیشتر می‌شود.

انواع حملاتی که علیه ابزارهای IOT انجام می‌شود

دستگاه‌های هوشمند را بسته به نوع آسیب‌پذیری که حمله‌کننده تصمیم می‌گیرد تا از آن استفاده کند می‌توان به روش‌های مختلفی هک کرد

سوءاستفاده از آسیب‌پذیری‌ها

  • سرریز بافر
  • تزریق کد
  • تزریق اسکریپت از طریق وب سایت (Scripting Cross Site)

حمله با استفاده از بدافزار

یکی از رایج ترین حملات مخرب بر روی رایانه‌های شخصی نرم‌افزارهای مخرب مانند باج افزارها هستند که ابزارهایIOT را نیز مورد هدف حملات خود قرار داده‌اند.بدافزار ها عمدتا با سیستم عامل اندروید سازگارترند و اینگونه IOT ها را بیشتر مورد حمله قرار می دهند. لویزیون‌های هوشمند و دیگر نمونه‌های مشابه، بیشتر در معرض این نوع تهدید هستند، زیرا که کاربران ممکن است به طور تصادفی بر روی لینک‌های مخرب کلیک کنند و یا با دانلود برنامه‌های آلوده موافقت نمایند.


حملات رمز عبور

در حملات رمز عبور اطلاعات ورود به دستگاه هدف قرار میگیرد و تا زمانی که رمز عبور درست را پیدا نکرده اند آن را با رمز عبور و نام های کاربری بیشمار مورد حمله قرار میدهند.

اسنیفینگ (Sniffing) یا حملاتی با واسطه و دخالت انسانی

در این حمله، یک هکر مخرب، در روند یک ترافیک اینترنتی که از یک دستگاه هوشمند خارج می‌شود دخالت نموده و آنرا متوقف می‌نماید.

هدف مورد نظر وی یک روتر Wi-Fi است، زیرا یک روتر شامل تمام داده‌های ترافیکی ارسال شده از شبکه است و بنابراین می‌تواند برای کنترل هر دستگاه متصل به آن، حتی رایانه‌های شخصی یا تلفن‌های هوشمند مورداستفاده قرار گیرد.

اسپوفینگ یا ظاهر سازی سایبری (Spooing)

روند اسپوفینگ یا ظاهرسازی سایبری (Spoofing) به این صورت انجام می‌شود که مثلاً دستگاه A را به‌گونه‌ای مخفی می‌کنیم که به‌عنوان دستگاه B به نظر برسد. سپس اگر دستگاه B دسترسی به یک شبکه بی‌سیم داشته باشد، پس دستگاه مخفی A، به آن اجازه می‌دهد یا به عبارتی به آن فرمان می‌دهد تا روتر را به شبکه متصل نماید. درنتیجه دستگاه A مخفی شده، می‌تواند با روتر ارتباط برقرار نموده و نرم‌افزارها و بدافزارهای مخرب را تزریق کند. این بدافزار پس از آن به تمام دستگاه‌های دیگرِ موجود در شبکه سرایت کرده و پخش می‌شود.

به کنترل گرفتن بات‌نت

ابزارهایIOT از اولین قربانیان موردنظر برای هک شدن از طریق یک بات‌نت (botnet) هستند. زیرا آن‌ها هر دو به راحتی هک می‌شوند، و به سختی تشخیص می‌دهند که در معرض خطر هستند و مورد حمله قرار گرفته‌اند.

هنگامی که دستگاه شما از این طریق به کنترل گرفته می‌شود، می‌توان از آن برای انواع گسترده‌تری از فعالیت‌های سایبری مانند حملات دیداس (DdoS)، ارسال ایمیل‌های هرزنامه‌ای، انجام کلیک‌های تقلب، جعل، سوءاستفاده و استخراج بیت کوین (واحد پولی مجازی) استفاده کرد.

میرای (Mirai) بزرگ‌ترین بات‌نت اینترنت اشیا است که تاکنون شناخته و دیده شده است، و بر اساس رمز عبور و نام‌های کاربری پیش‌فرض ساخته شده است.

خب تا اینجا تا حد بسیار زیادی درباره امنیت اینترنت اشیا صحبت کردیم ، اگ از مطلب ما خوشتون اومده پیشنهاد میکنم بقیه مطلب رو از طریق لینک زیر مطالعه کنید. و نظرات خودتونو با ما درمیان بگذارید.


منبع: فراست

امنیت اینترنت اشیااینترنت اشیاامنیت سایبری
شاید از این پست‌ها خوشتان بیاید