امنیت (Security) اینترنت اشیا (Internet of Things)

سیاره را هک کنید / وقتی همه چیز باب میل هکرها پیش می‌رود

هکرها

دنیایی که همه چیز در آن به هم متصل باشد، در حکم یک زمین بازی برای هکرها خواهد بود.

وقتی بخواهید به سیستم یک کازینو نفوذ کنید، استفاده از یک آکواریوم روشی غیرمعمول به نظر می‌رسد. اما با این حال، این همان روشی است که در سال ۲۰۱۷ در یک قمارخانه ناشناس آمریکایی استفاده شد. این کازینو یک آکواریوم فانتزی متصل به اینترنت برای خود ساخته بود که دما و میزان شوری آب آن از راه دور قابل کنترل باشد. مالکان این آکواریوم افراد بی‌تجربه و ساده‌لوحی نبودند. در زمان نصب آکواریوم، سیستم کنترل‌گرهای آن را به بخش اختصاصی خودشان از شبکه شرکت منحصر کردند تا از تمامی سیستم‌های حساسی که دارند جدا باشد.

اما این تدبیر هم فایده چندانی نداشت. به گفته دارک‌تریس (Darktrace) که شرکتی در زمینه امنیت کامپیوتری است، هکرهای فنلاندی به سیستم‌های آکواریوم نفوذ و از آن به عنوان راهی برای ورود به بقیه شبکه‌های کازینو استفاده کردند. این شبکه‌ها تقریبا حاوی ۱۰ گیگابایت اطلاعات بودند.

حفظ امنیت کامپیوتر کار پیچیده و دشواری است. تقریبا همه سیستم‌ها، از بانک مرکزی بنگلادش گرفته تا آژانس امنیت ملی ایالات متحده، همگی از هک یا نفوذ داده رنج برده‌اند. ورود اینترنت اشیا به عرصه فناوری و زندگی روزمره نیز این وضعیت را بغرنج‌تر می‌کند. دنیایی که در آن اشیای بیشتری همانند کامپیوترها عمل می‌کنند، دنیایی است که اهداف بیشتری برای سوء استفاده دارد.

دیوید پالمر، رئیس بخش فناوری دارک‌تریس، چند نمونه را در این مورد بازگو می‌کند. او می‌گوید: «ما شاهد جاسوسی در سطح شرکتی مابین تامین‌کنندگان یک نیروگاه بوده‌ایم. یکی از تامین‌کنندگان از دسترسی خود به شبکه استفاده می‌کرد تا بتواند به ویژگی‌های اجرایی تجهیزات یکی دیگر از تامین‌کنندگان را ببیند.» این شرکت همچنین یک حمله به حسگرهای اثر انگشت را شناسایی کرد که دسترسی به یک کارخانه کالای لوکس را کنترل می‌کردند. آن‌ها بدافزاری را کشف کردند که پس از آلوده کردن یک ماشین فکس متصل به شبکه، در سرتاسر یک بخش از بیمارستان پخش شده بود.

حوادث دیگر نیز به اندازه کافی جالب و غیرمنتظره بوده‌اند که به سوژه‌ای برای رسانه‌ها تبدیل شوند. در سال ۲۰۱۶ میلیون‌ها آمریکایی برای دسترسی به بسیاری از وب‌سایت‌ها به مشکل خوردند که از جمله آن‌ها می‌توان به توییتر، آمازون، نتفلیکس و ردیت اشاره کرد. مقصر این حادثه قطعه‌ای از یک بدافزار مبتنی بر اینترنت اشیا به نام میرای (Mirai) بود. با استفاده از فهرستی از نام‌های کاربری و رمزهای عبور که اکثر کاربران آن‌ها را تغییر نمی‌دهند، میرای توانسته بود صدها هزار دستگاه متصل به اینترنت، از جمله کنتورهای هوشمند، دوربین‌های مداربسته خانگی و حتی دستگاه‌های نظارت راه دور نوزادان را آلوده کرده بود.

هر گجت آلوده به بخشی از یک بات‌نت (Botnet) تبدیل می‌شد. بات‌نت‌ها گروهی از کامپیوترها هستند که در خدمت بدافزار قرار دارند. سپس این بات‌نت یک «حمله منع سرویس توزیع‌شده» را علیه داین (Dyn) انجام می‌دهد. داین شرکتی است که به حفظ اطلاعات مسیریابی کمک می‌کند. این اطلاعات مسیریابی امکان دسترسی به وب‌سایت‌ها را برای مرورگرها فراهم می‌کنند. پیام‌های بدردنخور تولید شده توسط دستگاه‌های خرابکار، سرورهای داین را فریب می‌دهند و از این طریق، بات‌نت موفق می‌شود تا این سرورها را از پاسخگویی به درخواست‌های مشروع منع کند.

اما عواقب اینترنت اشیا فراتر از ایجاد اهداف جدید برای هکرها می‎باشد. از آن‌جا که کامپیوترها رفته رفته به داخل اشیایی که با دنیای فیزیکی سر و کار دارند گسترش پیدا می‌کنند، امکان وقوع حملاتی که زندگی و دارایی‌های افراد را تهدید می‌کند نیز ایجاد خواهد شد.

در سال ۲۰۱۵ گروهی از محققان امنیتی از توییتر و آی‌او اکتیو (IOActive) که یک شرکت امنیت سایبری است، نمایشی را برای مجله فناوری وایرد اجرا کردند. در این نمایش آن‌ها کنترل یک خودروی با راننده و در حال حرکت را از راه دور به دست گرفتند. آن‌ها می‌توانستند سیستم صوتی و برف‌پاک‌کن را روشن، موتور را خاموش کنند، ترمز بگیرند و حتی در برخی شرایط، فرمان ماشین را کنترل کنند. در نتیجه این نمایش، شرکت فیات کرایسلر (Fiat Chrysler) که سازنده آن خودرو بود، اعلام کرد که ۱/۴ میلیون وسیله نقلیه را فرا می‌خواند. محققان امنیتی توانایی خود در هک کردن تجهیزات پزشکی از جمله دستگاه‌های تنظیم‌کننده ضربان قلب و پمپ انسولین را نیز پیش از این نشان داده بودند.

هک کردن یک پمپ انسولین روش پیچیده‌ای برای کشتن یک نفر است، اما روش‌های شدیدتری از جرایم نیز ممکن است اتفاق بیافتد. گسترش باج‌افزارها که تا زمان پرداخت نشدن مبلغ یا همان باج خواسته‌شده از استفاده از کامپیوتر جلوگیری می‌کنند، امری طبیعی در دنیایی است که همه چیز به هم متصل است.

باج‌افزارهایی که اتومبیل‌ها یا سیستم‌های روشنایی خانه‌ها را هدف قرار می‌دهند، پیش‌بینی قریب‌الوقوع اکثر کنفرانس‌های امنیت کامپیوتری است. البته تا کنون برخی آلودگی‌ها نیز به طور تصادفی اتفاق افتاده‌اند. در سال ۲۰۱۸ دوربین‌های کنترل سرعت (مخصوص سرعت ۵۵) در ویکتوریای استرالیا، توسط بخشی از یک باج‌افزار که برای حمله به کامپیوترهای رومیزی طراحی شده بود، آلوده شد. در ماه ژوئن، آواست سافت‌ویر که یک شرکت امنیت سایبری در جمهوری چک است، نشان داد که چطور می‌توان یک باج‌افزار را روی یک قهوه‌ساز متصل به شبکه نصب کرد و تا زمانی که قربانی پول خواسته شده را پرداخت نکرده است، کاری کرد تا آب جوش از آن فوران کند و خردکن آن مدام بچرخد.

.

خطرات اتصال

شرکت‌ها در مورد خطرات بالقوه‌ای که وجود دارد آگاهی دارند. یک نظرسنجی از مدیران که از سوی شرکت مشاوره بین اند کمپانی (Bain & Company) انجام شد، مشخص کرد که بزرگ‌ترین مانع بر سر راه بکارگیری فناوری‌های اینترنت اشیا توسط شرکت‌ها، نگرانی‌هایی است که در مورد امنیت وجود دارد. مصرف‌کنندگان نیز نگرانی‌های مشابهی دارند. نتایج یک نظرسنجی از ۲۵۰۰ مصرف‌کننده توسط شرکت مشاوره مدیریت ارنست اند یانگ (Ernst & Young)، نشان می‌دهد که ۷۱ درصد آن‌ها نگران دسترسی هکرها به گجت‌های هوشمند هستند.

از بین بردن این حجم از نگرانی‌ها قطعا کار آسانی نخواهد بود. یکی از دلایل این دشواری این است که کامپیوترها و نرم‌افزارهای کامپیوتری پیچیده هستند. به عنوان مثال، تخمین زده می‌شود که پرفروش‌ترین وانت فورد یعنی اف۱۵۰ (F150)، حدودا ۱۵۰ میلیون خط کد دارد. یک قاعده کلی در این زمینه این است که برنامه‌نویسان خوب که تحت نظارت دقیق کار می‌کنند، به طور میانگین در هر ۲۰۰۰ خط کد یک باگ خواهند داشت. این یعنی هر وسیله کامپیوتری‌شده مملو از باگ‌ها خواهد بود.

مشکل دیگر این که فقط تعداد کمی از شرکت‌هایی که گجت‌های متصل تولید می‌کنند تجربه زیادی در زمینه امنیت سایبری دارند (یا انگیزه جدی گرفتن آن را دارند). برقراری امنیت بالا هزینه‌بر است و هرچه کیفیت آن بالاتر باشد، نتایج آن برای کاربر نهایی کمتر قابل لمس است. حمله‌هایی مثل میرای که در آن‌ها هزینه‌ها به جای سازندگان یا مالکان وسیله‌ها، بر دوش اشخاص ثالث غیرمرتبط می‌افتد، اوضاع را پیچیده‌تر هم می‌کنند. در نتیجه، اقدامات احتیاطی اساسی نادیده گرفته می‌شوند. مقاله‌ای که در ماه ژوئن از سوی دانشگاه استنفورد به چاپ رسید، دوری‌سنجی (تله‌متری) ۸۳ میلیون دستگاه متصل به اینترنت را اندازه‌گیری کرد و به این مساله پی برد که میلیون‌ها دستگاه از پروتکل‌های ارتباطی قدیمی و ناامن یا رمزهای عبور ضعیف استفاده می‌کنند.

یکی از گزینه‌ها این است که مسایل امنیتی را از دیگران یاد بگیریم. در ماه فوریه، کنسرسیوم اینترنت صنعتی که یک سازمان تجاری با تمرکز بر روی بکارگیری صنعتی اینترنت اشیا است، یک راهنما برای امنیت منتشر کرد. این راهنما توسط کارشناسانی از شرکت‌های کهنه‌کار مانند فوجیتسو، کسپرسکای لبز و مایکروسافت نوشته شده است.

اما گزینه دیگر این است که از طریق برون‌سپاری، حل مشکل را به کسانی که در سر و کله زدن با آن مهارت دارند بسپاریم. شرکت آرم (Arm) طراحی تراشه‌های خود را به کمک ویژگی‌های امنیتی توکار تقویت کرده است و شرکت اینتل، بزرگ‌ترین سازنده تراشه جهان نیز همین کار را با تراشه‌های خود می‌کند.

شرکت‌های محاسباتی بزرگ در تلاشند تا امنیت را به مزیت فروش منحصربفرد خود تبدیل کنند. مایکروسافت اینترنت اشیا را به چشم یک بازار مهم برای کسب‌وکار محاسبات ابری خود می‌بیند. این شرکت تحت عنوان برند آژور اسفر (Azure Sphere)، یک میکروکنترلر کم‌مصرف و متمرکز بر امنیت توسعه داده که به عنوان مغز متفکر محدوده وسیعی از دستگاه‌های اینترنت اشیا طراحی شده است. این میکروکنترلرها کوچک‌تر، ارزان‌تر و کم‌توان‌تر از ریزپردازنده‌ها هستند. این میکروکنترلرها یک نسخه متمرکز بر امینت سیستم عامل لینوکس را اجرا می‌کنند و از طریق سرورهای ابری آژور ارتباط برقرار می‌کنند که هر دوی این سیستم‌ها به خودی خود از ویژگی‌های امنیتی بیشتری برخوردار هستند.

مارک راسینوویچ، مدیر ارشد بخش فناوری آژور می‌گوید که بسیاری از ویژگی‌های امنیتی آژور، از درس‌هایی که شرکت از بخش بازی‌های ویدئویی ایکس‌باکس خود آموخته، الهام گرفته شده‌اند که تجربه بالایی در طراحی کامپیوترهای مقاوم در برابر هک شدن را دارد. فروشگاه‌های زنجیره‌ای استارباکس که قهوه‌سازهای متصل به اینترنت آن قابلیت دانلود دستورالعمل‌های جدید را دارد، از مشتریان اولیه این سیستم است.

دولت‌ها نیز رفته رفته درگیر این قضیه می‌شوند. در سال ۲۰۱۷، سازمان غذا و داروی ایالات متحده اولین فراخوانی محصول خود که مرتبط با امنیت سایبری بود را صادر کرد، زیرا پی برده بود که برخی از دستگاه‌های تنظیم‌کننده ضربان قلب در برابر هک شدن آسیب‌پذیر هستند.

سال بعد، کالیفرنیا تبدیل به اولین ایالت آمریکایی شد که حداقل استانداردهای امنیتی مورد نیاز برای محصولات اینترنت اشیا را مشخص کرد که شامل ممنوعیت استفاده از رمزهای عبور پیش‌فرض می‌شد. دولت بریتانیا نیز قوانین مشابهی را مطرح کرده است و قصد دارد بدین وسیله تولیدکنندگان را ملزم کند تا جزئیات تماس خود را برای شکارچیان باگ فراهم کنند و مشخص کنند که چقدر طول می‌کشد تا محصولات‌شان به‌روزرسانی‌های امنیتی را دریافت کنند.

اما همان‌طور که سازندگان گجت‌ها می‌توانند چیزهای زیادی از غول‌های محاسباتی یاد بگیرند، دنیای گجت‌ها نیز ممکن است درس‌های مفیدی برای کامپیوترها داشته باشد. صنعت محاسباتی با سرعت بالایی در حال پیشرفت است. به طور مثال، دریافت به‌روزرسانی امنیتی برای گوشی‌های هوشمند به ندرت بیش از ۵ سال طول می‌کشد. به عقیده آقای پالمر، این نوع از انطباق‌پذیری سازمانی در برابر تغییرات به درد محصولاتی مانند اتومبیل‌ها یا ربات‌های کارخانه‌ای که می‌توانند طول عمر بیشتری داشته باشند، نمی‌خورد. او می‌گوید که استخدام برنامه‌نویسان لازم برای ارائه پشتیبانی به مدل‌های مختلف و برای مدت چند دهه، کار پرهزینه‌ای خواهد بود.

.

کد و قانون

انجلا والچ که یک وکیل آمریکایی متخصص در حوزه فناوری است، عقیده دارد که ایجاد شبهه و سایه انداختن بر هر چیزی، یک موضوع مربوط به مسئولیت‌های قانونی است. صنعت نرم‌افزار از توافق‌نامه‌های صدور مجوز به منظور تلاش برای معافیت خود از نوعی از مسئولیت که متوجه شرکت‌های ارسال کالاهای تقلبی است، استفاده می‌کنند. او می‌گوید چنین معافیتی یک یارانه هنگفت بالفعل را به دنبال دارد.

تا به اینجا که دادگاه‌ها (دست کم در ایالات متحده) استقبال گسترده‌ای از این بیانیه‌های رفع مسئولیت کرده‌اند. خانم والچ می‌گوید هرگونه تلاش برای تغییر این وضعیت، مخالفت و مبارزه صنعت نرم‌افزار را به دنبال خواهد داشت که مدت‎‌هاست در مورد این که حفظ این مسئولیت استفاده‌ از نوآوری را از بین خواهد برد، بحث می‌کنند. اما با وجود گسترش نرم‌افزار به انواع کالاهای فیزیکی که تا به حال چنین معافیت قانونی به آن‌ها اعطا نشده است، دفاع از این موضع کار دشواری خواهد بود. او می‌پرسد: «ما در مورد چه چیزی صحبت می‌کنیم؟ این که اگر یک نرم‌افزار دارای باگ یا نرم‌افزار مخاطره‌آمیز کسی را به قتل برساند، شما نمی‌توانید هیچ ادعایی داشته باشید»

بروس اشنایر یک کارشناس امنیت آمریکایی است و این‌طور فکر می‌کند که در بلندمدت، عواقب امنیت ضعیف بدین معنا خواهد بود که کسب‌وکارها و مصرف‌کنندگان به «اوج اتصال» رسیده‌اند و شروع به زیر سوال بردن مفهوم متصل کردن اشیای روزمره خواهند کرد. او این مساله را با انرژی هسته‌ای مقایسه می‌کند، از این جهت که زمانی طرفداران انرژی هسته‌ای قصد نیرو بخشیدن به هر چیزی، از ماشین‌ها گرفته تا فلپ گربه را داشتند. او می‌نویسد: «این روزها ما هنوز هم انرژی هسته‌ای داریم، اما این که چه زمانی نیروگاه‌های هسته‌ای بسازیم و چه زمانی به فکر انرژی‌های جایگزین باشیم، بیشتر مورد توجه قرار دارد. یک روز، کامپیوتری‌سازی نیز به همین سرنوشت دچار خواهد شد.»

منبع: The Economist

درباره نویسنده

نگار علیی

دیدگاهتان را بنویسید