Virgool - ویرگول
امنیت اینترنت اشیاء
by javadti.aموضوع:امنیت اینترنت اشیاء
دانشگاه صدرالمتالهین(صدرا)
گردآورنده: جواد عبدی
استاد: مهندس یعقوبی تبار
1399
امنیت اینترنت اشیا: تمام چیزهایی که باید بدانید و به کار بگیرید
این دیگر فقط رایانههای شخصی و گوشیهای هوشمند ما نیستند که باید بیش از پیش نگرانشان باشیم بلکه نگرانیهای ما طیف گستردهای از دستگاههای متصل به اینترنت مانند ترموستات، متر هوشمند، اتومبیلهای هوشمند بدون راننده و حتی دستگاههای دستیار صوتی مانند Ok Google را شامل میشود.
اینها بخشی از امواج نوآوری اینترنت اشیا(IOT) هستند که به طور کلی وعده داده شده که زندگی ما را بسیار بهبود میبخشند، به این شرط که بتوانیم تهدیدات امنیتی سایبری بالقوهای را که میتوانند به وجود بیاورند را برطرف کنیم.
اینترنت اشیا (IOT) چیست؟
کارشناسان صنعتی، معمولاً یک ابزار اینترنت اشیا (IOT) را بهعنوان هر شیء متصل به اینترنت تعریف میکنند (یا در بعضی موارد به اتصال محلی یک منطقه).
مثالهای این مطلب عبارتند از:
- تلویزیونهای هوشمند
- ماشینهای اینترنتی متصل شده
- روتر Wi-Fi
- دوربینهای هوشمند
- قفل هوشمند (از جمله آنهایی که دارای بلوتوث هستند)
- برخی از دستگاههای پزشکی
- دستیارهای صوتی مانند Ok Google
- چراغهای هوشمند
- گروههای تناسباندام.
اساساً، اگر یخچال یا تلویزیون شما دارای اتصال به اینترنت باشد، آنها را نیز میتوان یک ابزار اینترنت اشیا (IOT) به شمار آورد.
هم تولید کننده و هم مصرف کننده هر دو این دستگاهها را ترجیح میدهند. مصرف کنندگان بیشتر برای این قابلیت اضافه شده این دستگاهها را میخواهند.
با این حال، تولیدکنندگان بیشتر دوست دارند بر روی تولید وسایل اینترنت اشیا (IOT) تمرکز کنند به این دلیل که اجازه میدهد آنها در مورد چگونگی استفاده مصرف کنندگان از محصولاتشان به جمعآوری اطلاعات بپردازند. در نتیجه، آنها میتوانند محصولات آینده خود را بر اساس این الگوهای مصرفِ مشتریها تولید نمایند.
در اینجا آمارهایی را میبینیم که نشان میدهند واقعاً ما با چه تعداد دستگاههای متصل به اینترنت درگیر هستیم، با آنها ارتباط داریم و از امکانات و قابلیتهای آنها استفاده میکنیم:
📷📷
چرا امنیت اینترنت اشیا از اهمیت بسیار بالایی برخوردار است؟
در سال ۱۳۹۵، «بات نت میرای» (Mirai botnet) یکی از بزرگترین حملات دیداس(DDoS) که تاکنون ثبت شده است را به راه انداخت. بیش از ۱ ترابایت در هر ثانیه، شبکه داین (Dyn) ، ارائهدهنده اصلی DNS، و سایتهایی مانند Reddit و Airnbnb را از بین برد.
اما آنچه این حمله را بسیار خاص نشان میداد این بود که برای اولین بار بود که چنین حملهای با ابزارهای اینترنت اشیا(IOT) انجام شد. در جریان این حمله، نزدیک به ۱۵۰ هزار عدد از دوربینهای هوشمند، روترها و دستگاههای دیگر که به یک باتنت تکیه داشتند و متصل بودند به خطر افتادند و تنها بر روی یک هدف متمرکز شدند.
در پایین یک نقشه حرارتی را میبینید که میزان شدت حمله را ثبت کرده و نشان میدهد که حمله دیداس چند وبسایت را از بین برده است.
📷
به هرحال تیم باتنت Mirai بسیار بزرگتر است! در برخی برآوردها، باتنت Mirai شامل میلیونها دستگاه میباشد که به آن متصل هستند. و البته این را هم باید در نظر داشت که در شروع کار، ساخت و طراحی آن چندان هم سخت و دشوار نبوده است.
سازندگان از چندین رمز عبور پیشفرض و نام کاربری برای محافظت از ابزار IOT استفاده میکنند. بنابراین شما چند صد هزار ترکیب رمز عبور برای محافظت از دهها میلیون دستگاه هوشمند در اختیار خواهید داشت.
تمام اینها چند خط سادهای از کد بود که برای تست هر یک از این کلمات عبور پیشفرض طراحی شده بود. یک دستگاه تا زمانی که کاربر اطلاعات ورودی استاندارد را تغییر نداده باشد میتواند در عرض چند ثانیه هک شده و تحت کنترل قرار بگیرد.
اما باتنتهای IOT تنها نوع تهدید موجود نیستند. محققان چندین بار ثابت کردهاند که امکان کنترل فیزیکی یک دستگاه با شکستن برنامههایی که نرمافزار در حال اجرا را کنترل میکنند، وجود دارد و قابل انجام است. البته اینکار تاکنون، تنها در شرایط آزمایشی انجام شده است، اما از آنجایی که اتومبیلهای متصل به اینترنت بالأخره به بهرهبرداری خواهند رسید، در نهایت تنها بحث زمان مطرح است که یک فرد بخت برگشته در شرایطی کاملاً واقعی نه آزمایشگاهی گرفتار چنین حمله سایبری شود.
برنامههای ناامن خودروها میتوانند هکرهای مخرب را قادر سازند که کنترل ماشین شما را به دست بگیرند.
بهعنوان مثال، محققان شرکت معروف روسی «کسپرسکی» (Kaspersky) که در زمینه امنیت سایبری فعالیت دارند، به سادگی و با هک کردن یک برنامه، موفق به باز کردن قفل یک خودرو شدند.
آسیبپذیریهای امنیتی اینترنت اشیا
سادگی و سهولت استفاده، از اصول مهم در صنعت IT و الکترونیک است. هر نرمافزار و دستگاه به گونهای طراحی شده است که تا حد امکان استفاده از آن ساده و راحت باشد، به طوریکه به مصرف کنندگان اعتماد به نفس لازم را بدهد که از ابتدای خرید دستگاه، بدانند که میتوانند از آن استفاده کنند و پیچیدگیهای اضافی محصول، آنها را به اشتباه نیاندازد و آنها را در استفاده از محصول دلسرد نکند.
متأسفانه این اغلب به این معنی است که در برخی محصولات، مسائل و پیشبینیهای امنیتی به حاشیه رانده شده و ویژگیهای امنیتی که ممکن است مصرفکنندهها آنها را “خیلی خوب و دلپذیر” به حساب نیاورند در دستگاهها اجرا نمیشوند.
اعتبار ورودی پیشفرض ناامن
در عمل، ممکن است تولیدکنندگان، گزینه “تغییر رمز عبور/ نام کاربری” را در جایی عمیق و نادیدنی از منوها و UI دستگاه که پیدا کردنش برای مصرف کننده چندان راحت نیست قرار داده و پنهان کنند، که در نتیجه اکثر کاربران آن را نمیبینند. جای تعجب نیست که بسیاری از افراد نام کاربری و رمزهای عبور پیشفرض خود را حفظ کردهاند.
شاید اگر هر ابزار IOT، نام کاربری و رمز عبور تصادفی داشت، حادثه Mirai هیچوقت اتفاق نمیافتاد. اما این فرآیند در صنایع رقابتی با حاشیه سود خیلی کمی میباشد و به عبارت دیگر اینجا نیز مثل خیلی از موارد دیگر موجود در بازار صنایع، امنیت فدای سود بیشتر شده است.
بهروز رسانی ضعیف نرمافزاری
بسیاری از سازندگان IOT، کم و بیش حتی برای نرمافزار موجود در دستگاههای خود پچ یا بهروز رسانی قرار نمیدهند. اگر دستگاه شما یک آسیبپذیری نرمافزاری داشته باشد (تقریباً ۱۰۰٪ احتمال دارد که این اتفاق بیافتد)، تنها با کمک سازنده و تولیدکننده دستگاه و از طریق آپدیتهای نرمافزاری جدید که به شما ارائه میدهند میتوانید از حملات سایبری جلوگیری نمایید و بدون اینها، واقعاً کار زیادی از دست شما ساخته نخواهد بود.
ارتباط رمزگذاری نشده است!
سایر ابزارهای IOT، فاقد رمزگذاری اساسی برای مخفی کردن اطلاعات ارسال شده بین وسیله و سرور مرکزی هستند. اگر یک هکر مخرب بتواند اطلاعات شخصی خود را به این سمت سوق دهد، این مسئله میتواند به طور بالقوه اطلاعات شخصی کاربر را در معرض افشا قرار دهد.
چیز دیگری که وسایل اینترنت اشیا انجام میدهند، این است که برخی از آنها، بیش از آن چیزی که موردنیاز است، از شما درخواست مجوز مینمایند.
در یک مورد مشهور، تعداد زیادی از کاربران سرویس «آمازون اکو»، پس از یک میانپرده تلویزیونی با چشمانی شگفتزده، عبارت «آلکسا برای من یک خانه عروسکی سفارش داد» را مشاهده کردند و متوجه شدند که شیئی بدون اطلاعشان، خانهای عروسکی سفارش داده است.
در این ماجرا، یک وسیله یا ابزار بهتنهایی مجاز به انجام هرگونه خریدی با انجام تمامی مراحلش بود. هر مجوز اضافی در ابزار IOT یک لایه آسیبپذیر دیگر را اضافه میکند که میتواند مورد سوءاستفاده تبهکاران و نفوذگران سایبری قرار گیرد. به طور خلاصه، با صدور مجوزهای کمتر، امنیت دستگاه شما بیشتر میشود.
رابط کاربری ناامن
رابط کاربری (UI) دستگاه معمولاً اولین چیزی است که برای پیدا کردن هر نوع آسیبپذیری در آن، مورد توجه یک هکر مخرب قرار میگیرد. بهعنوان مثال، ممکن است هکر سعی کند گزینه “من رمز عبور خود را فراموش کردهام” را به منظور بازنشانی آن و یا حداقل پیدا کردن نام کاربری و یا ایمیل شما دستکاری کند.
یک دستگاه که به درستی طراحی شده باشد، باید کاربر را از تلاش برای ورود بیش از حد و چندین باره منع کند. اینکار، حملات لغتنامهای (Dictionary Attack) و حملات جستجوی فراگیر (Brute force attaks) را متوقف میکند که کلمه عبور و تا حد زیادی امنیت اعتباری دستگاه شما را هدف قرار میدهند.
در موارد دیگر، رمز عبور ممکن است از دستگاه به سرور مرکزی با یک متن ساده ارسال شود یعنی به صورت رمزگذاری نشده! این اتفاق تقریباً یک فاجعه خواهد بود اگر کسی در حال خواندن تمام اطلاعات شما باشد.
📷📷
حفاظت ضعیف از حریم خصوصی
دستگاههای متصل به اینترنت، به منزله جانوران گرسنه دیتا و داده هستند که برخی از آنها اشتهای بیشتری نسبت به دیگران دارند. هرچه آنها اطلاعات کمتری از شما داشته باشند، بهتر است، زیرا نهایتا در صورتی که هکرها و تبهکاران سایبری برای کسب اطلاعات در مورد شما دستگاه را هک کنند، محدودیت بیشتری برای آنها به وجود میآورد و دستشان را کوتاه میکند.
بهعنوان یک قاعده، همیشه سعی کنید به نوع دادههایی که دستگاه در مورد شما ذخیره میکند، نگاهی بیاندازید و آنها را زیر نظر داشته باشید. همچنین سعی کنید نسبت به دستگاههایی که اطلاعاتی از شما ذخیره میکنند که اصلاً نیازی هم به آنها ندارند جدی و هوشیار باشید. مثلاً اگر در جایی یک دستگاه ماشین قهوه ساز اطلاعات محل کنونی و آدرستان را از شما میخواهد، خیلی سریع و فوری به مراجع ذیربط یا متصدی آن دستگاه اعتراض و شکایت نمایید.
انواع حملاتی که علیه ابزارهای IOT انجام میشود
دستگاههای هوشمند را بسته به نوع آسیبپذیری که حملهکننده تصمیم میگیرد تا از آن استفاده کند میتوان به روشهای مختلفی هک کرد.
سوءاستفاده از آسیبپذیریها
هر نرمافزاری دارای آسیبپذیریهای خاص خود میباشد. نبود این آسیبپذیریها تقریباً غیرممکن است به طوریکه حتی شرکت بزرگی مثل گوگل با تمام منابع و امکاناتش نمیتواند آنها را از Chrome حذف کند و به طور کامل برطرف نماید.
بسته به نوع آسیبپذیری، شما میتوانید از آنها به روشهای مختلفی استفاده کنید.
سر ریز بافر: این اتفاق زمانی میافتد که یک دستگاه سعی میکند مقداری بیش از حد از دادهها را در یک فضای ذخیرهسازی موقت، ذخیره کند. این دادههای اضافی پس از آن در قسمتهای دیگری از حافظه رها میشوند و آن را دوباره رونویسی میکنند. اگر بدافزار در چنین دادههایی پنهان شده باشد، میتواند مجدداً کد خود را در دستگاه بازنویسی کند.
تزریق کد: با بهرهبرداری از یک آسیبپذیری در نرمافزار، مهاجم قادر به تزریق کد به دستگاه خواهد بود. اغلب اوقات این کد ذاتاً مخرب است و میتواند بسیاری از وظایف کلیدی و اساسی مانند خاموش کردن یا کنترل دستگاه را انجام دهد.
تزریق اسکریپت از طریق وبسایت (Scripting Cross Site): این روش با ابزارهای IOT کار میکند و با یک رابط مبتنی بر وب ارتباط برقرار مینماید. در واقع، هکر با یک بدافزار یا کدهای مخرب، یک وب قانونی را آلوده میکند و سپس از این طریق، خودِ IOT را آلوده میکند.
📷📷
حمله با استفاده از بدافزار
شایعترین و شناخته شدهترین حملات مخرب بر روی رایانههای شخصی، اعتبار ورود به سیستم را هدف قرار میدهند. اما اخیراً، انواع دیگر نرمافزارهای مخرب مانند باج افزارها، ابزارهای IOT را نیز هدف حملات خود قرار دادهاند.
برای بسیاری از دستگاههایی که سیستمعامل خود را مبتنی بر اندروید نصب میکنند خطر، بسیار بزرگتر و محسوستر است زیرا بدافزارها عمدتاً با این سیستمعامل سازگار هستند و تنها نیاز به تغییراتی جزئی دارند.
تلویزیونهای هوشمند و دیگر نمونههای مشابه، بیشتر در معرض این نوع تهدید هستند، زیرا که کاربران ممکن است به طور تصادفی بر روی لینکهای مخرب کلیک کنند و یا با دانلود برنامههای آلوده موافقت نمایند.
📷📷
حملات رمزعبور
حملات رمز عبوری مثل حملات لغتنامهای و یا حملات جستجوی فراگیر، اطلاعات ورود به دستگاه را هدف قرار داده و تا زمانیکه رمز عبور درست و موردنظر خود را پیدا نکردهاند آنرا با رمزهای عبور و نامهای کاربری بیشماری بمباران میکنند.
از آنجایی که اکثر مردم از یک رمز عبور ساده استفاده میکنند، این حملات نسبتاً موفق هستند. نه تنها این، بلکه بر اساس یک مطالعه، تقریبا ۶۰ درصد از کاربران از یک رمز عبور مشابه برای دو یا چند دستگاه مختلف استفاده میکنند؛ بنابراین اگر یک مهاجم و هکر به یک دستگاه دسترسی داشته باشد، به همه دستگاهها دسترسی پیدا خواهد کرد.
برای جلوگیری از هک شدن، رمز عبور پیشفرض و نام کاربری ابزارهای IOT خود را همیشه تغییر دهید
📷📷
اسنیفینگ (Sniffing) یا حملاتی با واسطه و دخالت انسانی
در این حمله، یک هکر مخرب، در روند یک ترافیک اینترنتی که از یک دستگاه هوشمند خارج میشود دخالت نموده و آنرا متوقف مینماید.
هدف مورد نظر وی یک روتر Wi-Fi است، زیرا یک روتر شامل تمام دادههای ترافیکی ارسال شده از شبکه است و بنابراین میتواند برای کنترل هر دستگاه متصل به آن، حتی رایانههای شخصی یا تلفنهای هوشمند مورداستفاده قرار گیرد.
📷📷
اسپوفینگ یا ظاهرسازی سایبری (Spoofing)
روند اسپوفینگ یا ظاهرسازی سایبری (Spoofing) یا همان حملات جعل هویت سایبری به این صورت انجام میشود که مثلاً دستگاه A را بهگونهای مخفی میکنیم که بهعنوان دستگاه B به نظر برسد. بر اساس این مثال، اگر دستگاه B دسترسی به یک شبکه بیسیم داشته باشد، پس یک دستگاه مخفی A، به آن اجازه میدهد یا به عبارتی به آن فرمان میدهد تا روتر را به شبکه متصل نماید. درنتیجه دستگاه A مخفی شده، میتواند با روتر ارتباط برقرار نموده و نرمافزارها و بدافزارهای مخرب را تزریق کند. این بدافزار پس از آن به تمام دستگاههای دیگرِ موجود در شبکه سرایت کرده و پخش میشود.
📷📷
به کنترل گرفتن باتنت
ابزارهای IOT از اولین قربانیان موردنظر برای هک شدن از طریق یک باتنت (botnet) هستند. زیرا آنها هر دو به راحتی هک میشوند، و به سختی تشخیص میدهند که در معرض خطر هستند و مورد حمله قرار گرفتهاند.
هنگامی که دستگاه شما از این طریق به کنترل گرفته میشود، میتوان از آن برای انواع گستردهتری از فعالیتهای سایبری مانند حملات دیداس(DdoS)، ارسال ایمیلهای هرزنامهای، انجام کلیکهای تقلب، جعل، سوءاستفاده و استخراج بیت کوین (واحد پولی مجازی) استفاده کرد.
میرای (Mirai) بزرگترین باتنت اینترنت اشیا است که تاکنون شناخته و دیده شده است، و بر اساس رمز عبور و نامهای کاربری پیشفرض ساخته شده است.
📷📷
دسترسی و کنترل از راه دور
در نگاه اول، کنترل یک ابزار IOT شاید چندان بد و تهدیدآمیز به نظر نرسد. اما از اینکه بگذریم، اگر یک هکر مخرب بتواند با هک کردن ماشین قهوه سازتان شما را مسموم کند نظرتان در این مورد چه خواهد بود؟! مسلماً آنوقت این هک شدن یک اتفاق بسیار خطرناک خواهد بود.
مسلماً اگر یک مهاجم سایبری کنترل ماشین شما را در هنگام رانندگی به دست بگیرد، همهچیز جدی و بسیار تهدیدآمیز خواهد شد. لازم به ذکر است که در اینجا ما از یک وضعیت فرضی حرف نمیزنیم بلکه این نوع حمله در دنیای امروزی واقعاً انجام شده است، با وجودی که توسط محققان امنیتی سایبری انجام شده است. در این نمونه، گروه «هکرهای کلاه سفید» توانستند به سیستم ترمز و شتاب خودرو نفوذ کرده و کنترل آنرا به دست بگیرند.
اکنون برخی از مردم از قفلهای هوشمند برای ایمنسازی خانههای خود استفاده میکنند، اما در نهایت، همه آنها نرمافزارهایی بر روی یک سختافزار هستند. در کنفرانس «دفکان ۲۰۱۶» (DEF CON 2016) (بزرگترین کنفرانس هکرها در جهان)، محققان ۱۶ قفل هوشمند را آزمایش کردند و ثابت کردند که بسیاری از آنها از ویژگیهای امنیتی بسیار ساده مانند کلمه عبور با متنی ساده استفاده میکنند. دیگر نمونهها نیز در مقابل حملاتی مثل اسپوفینگ (جعل و ظاهرسازی) و یا حملات بازپخش (Relay Attacks) آسیبپذیر بودند.
📷📷
نشت اطلاعاتی
دستگاههای هوشمند، بسیاری از اطلاعات شخصی را پردازش میکنند، مانند:
- اطلاعات پزشکی
- اطلاعات مکانی
- الگوهای استفاده
- سوابق جستجو
- اطلاعات مالی و غیره
📷📷
محققان گروه کلاه سفید ثابت کردند که توانستهاند به یک اسپیکر صوتی هوشمند نفوذ کرده و دادهها را از حسگرهای آن تجزیه و تحلیل کنند تا بتوانند در مورد اینکه آیا شما داخل منزلتان هستید یا نه مطلع شوند. این امر برای سرقت هکرها از خانههای خالی بسیار مؤثر و کارآمد میباشد.
در یک پرونده نسبتاً سطح بالا، دولت آلمان یک نوع عروسک کودکانه را ممنوع کرد چرا که اطلاعات زیادی را ثبت کرده بود به حدی که به آن برچسب «ابزار جاسوسی» زده شده بود.
دستگاههایی که اطلاعات را از حریم خصوصی خانه اشخاص بیرون برده و لو میدهند به دلایل مختلفی خطرناک هستند. ضبط مکالمات حساس و اعمال اینگونه میتواند بهعنوان ابزار پیشگامانه علیه یک فرد یا به طور مستقیم برای نمایش یک تصویر شخصی از وی مورداستفاده قرار گیرد.
📷📷
سناریوی نگران کنندهتر احتمال هک کردن وسایل IOT در صنعت مراقبتهای بهداشتی است که ارتباط تنگاتنگی با حریم به شدت خصوصی و محرمانه افراد دارد. بنابراین امنیت را در این زمینه جدی بگیرید.
“اما گاهی این سرور مرکزی است که اطلاعات را لو میدهد و باعث میشود که به بیرون درز کنند.”
گاهی اوقات، این شرکتهای تولیدکننده هستند که اطلاعات را نشت میدهند و نه دستگاهها. یکی از این موارد، خرس عروسکی بود که ماجرای آن طبق آمار و برآورد، برای نزدیک به ۲ میلیون کودک و والدینشان اتفاق افتاد.
این نوع اطلاعات به فضای ابری (Cloud) شرکتها وارد میشوند. اگر این شبکه به خطر افتاده باشد، شانس اینکه تکتک اعضا و مصرف کنندگان آن نیز هک شده باشند، تقریباً قطعی خواهد بود.
یکی از ضعفهای اصلی وسایل IOT این است که بسیاری از آنها اطلاعات را از طریق پورتهای ناامن ارسال میکنند. به عبارت دیگر، شما واقعاً میتوانید به صورت زنده و همزمان دادهها را بدون نیاز به رمز عبور و نام کاربری مشاهده کنید. تمام چیزی که برای مشاهده این اطلاعات موردنیاز است یک حساب کاربری پرداخت شده(غیر رایگان) در همان ابتدای کار است و دیگر تمام؛ شما وارد شبکه شدهاید.
چرا هنوز یک راه حل که به طور گسترده برای فیلتر کردن ترافیک مورد توافق باشد به وجود نیامده است؟
یکی دیگر از راههای ممکن برای محدود کردن آسیبهای ناشی از ابزارهای IOT، فیلتر کردن بخشی از ترافیک بد (bad traffic) است که در شبکه اینترنت گسترده شده است.
ISP ها میتوانند به طور تئوری هرگونه ترافیک مخرب موجود در شبکه خود را شناسایی و فیلتر کنند. اما این فرایند میتواند فریبنده باشد، و احتمال بازخورد مثبت کاذب وجود داشته باشد.
یکی دیگر از امکاناتی که برای فیلتر کردن ترافیک میتواند استفاده شود، انجام آن در سطح کاربری میباشد. امروزه سختافزارهای فیلتر هوشمند و امنی مانندBitdefender Box یا Luma Wi-Fi System راه خود را به بازار بازکردهاند و تعداد بیشتری از آنها نیز در راه بازار هستند. اما متأسفانه، این محصولات گران هستند و واقعاً هنوز هم زود است که کاربران آنها را بهعنوان یک سرمایهگذاری ارزشمند در نظر داشته باشند.
چگونه میتوان امنیت دستگاههای اینترنت اشیا خود را بهبود بخشید؟
گذرواژهها و نامهای کاربری پیشفرض خود را تغییر دهید
بدافزار «میرای» (Mirai) همچنان در شبکه اینترنت حضور دارد و همین گوشه و کنارها کمین کرده است و به طور فعال به دنبال وسایل اینترنت اشیا بیشتری برای غارت کردن آنها بهسوی باتنتهاست. خوشبختانه این یک نرمافزار مخرب نسبتاً ساده است و با تنظیم یک رمز عبور قوی و امن و تغییر نام کاربری پیشفرضتان، شما میتوانید به راحتی آن را برطرف کنید و از شرش در امان بمانید.
برای کسب بهترین نتایج، توصیه میکنیم رمز عبورتان حداقل ۱۰ کاراکتر داشته باشد و حداقل ۱ حرف با حروف بزرگ، ۱ عدد صحیح، ۱ عدد و ۱ کاراکتر خاص مانند * یا # را در آن قرار دهید.
همچنین سعی کنید گذرواژههای متفاوتی برای سایر دستگاهها داشته باشید؛ به این ترتیب، اگر یک دستگاه هک شود، میتوانید بر روی دیگر گذرواژههای خودتان حساب کنید.
تا آنجا که ممکن است، به آخرین بهروز رسانی نرمافزاری مجهز باشید
تولیدکنندگان بهترین ابزارهای IOT، معمولاً محصولات عرضه شده خود را برای بهبود عملکرد و همچنین رفع آسیبپذیریهای امنیتی مکرراً به پچ ها و آپدیتها مجهز میکنند. به همین دلیل سعی کنید اطمینان حاصل کنید که دستگاه شما این بهروز رسانیها را هر زمان که به شبکه وصل میشود دریافت کند.
متأسفانه، همه تولید کنندگان به طور منظم بهروز رسانی را منتشر نمیکنند. بسیاری از آنها حتی نگران این مسئله هم نیستند تا همه آنها را بهروز رسانی کنند و به طور مؤثر مشتری و دستگاه او را به حال خود رها میکنند.
هنگامیکه شما در مرحله تحقیقات برای خرید هستید، به چرخه بهروز رسانی محصول نگاه کنید. اگر شما نمیتوانید آنرا پیدا کنید، و بازرسان به طور آشکار از بهروز رسانیهای نرمافزاری غیرممکن واهمه دارند، پس احتمال اینکه این شرکت بخواهد هزینهها را به ضرر شما کاهش دهد زیاد است. و اغلب، این به معنی کاهش هزینهها در زمینه پشتیبانی مشتری نیز هست.
📷📷
تصویری که در بالا میبینید، سیاست بهروز رسانی در نظر گرفته شده برای یک نرمافزار به نام Open Nebula میباشد. هرچند همه توسعهدهندگان این سیاست را در سیستم کاری خود به کار نمیگیرند، اما بهرحال مسلماً یک ایده خوب را در مورد چگونگی عمل کردن این سیاست به شما میدهند.
در یک نکته و مثال مشابه، در اینجا یک نمونه کوچک از سیاست بهروز رسانی مایکروسافت برای نسخههای مختلف نرمافزار ویندوز را میبینیم:
📷📷
تنظیمات قفل ورود به سیستم(Login) را اعمال کنید
حتی رمزهای عبور قوی و نامهای کاربری سفارشی میتوانند در برابر یک حمله لغتنامهای یا حمله جستجوی فراگیر آسیبپذیر باشند. اینگونه حملات، یک صفحه ورود به سیستم را با ترکیب رمزهای بیشماری بمباران میکنند تا زمانیکه به هدف درست و موردنظر اصابت کند.
بهعنوان مثال گوشی «آیفون» شرکت اپل، تنظیماتی دارد که پس از چندین تلاش، تأیید پین (PIN) را قفل میکند. پس از ۱۰ بار تلاش، دستگاه را به طور کامل پاک میکند.
یک ابزار IOT که دارای امنیت داخلی خوبی باشد، باید اینچنین گزینهای داشته باشد که بتوانید از آن برای اطمینان از صحت ورود خود استفاده کنید.
احراز هویت دومرحلهای
اینترنت اشیا در اجرای احراز هویت دومرحلهای تا حدودی از قائله عقب مانده است، اما به تازگی شرکت «نِست» (Nest) اعلام کرده است که احراز هویت دومرحلهای را برای دو محصول شامل ترموستات و دوربینهای هوشمند به کار خواهد گرفت.
در حال حاضر اکثر دستگاهها تأیید هویت دومرحلهای را ندارند، اما با افزایش سابقه این صنعت، در آینده این ویژگی بیشتر و بیشتر در وسایل IOT رایج خواهد شد.
در عین حال، حتماً توجه داشته باشید که هرگاه دیدید که دستگاه شما از چنین قابلیتی پشتیبانی میکند، فوراً آن را فعال کنید.
ضعفهای فیزیکی موجود در ابزارهای IOT
گاهی اوقات همهچیزی که برای آلوده کردن یک رایانه شخصی موردنیاز است این است که یک فلش درایو USB را در آن وارد کرده و به ویندوز اجازه دهیم که آنرا به صورت آتوران اجرا نموده یا باز کند و با اینکار به طور نرمافزاری، بدافزارهای مخرب را در تمام رایانه پخش کنیم.
دقیقاً همین اصول در مورد دستگاههای هوشمند نیز صدق میکند. فقط کافی است که دستگاه هوشمندِ بخت برگشته یک پورت و درگاه یو.اس.بی (USB) در خود داشته باشد، در این صورت تمام کاری که یک هکر مخرب باید انجام دهد این است که یک فلش درایو یا کابل یو.اس.بی به دستگاه وصل کند، کمی منتظر بماند و تمام؛ همهچیز دستگاه در اختیار وی خواهد بود.
در صورت امکان، سعی کنید دستگاه خود را جوری تنظیم کنید که هرگاه یک یو.اس.بی به آن وصل کردید، سریع و به طور مستقیم آنرا اجرا ننماید.
رمزگذاری
اکثر دستگاههای هوشمند با برقراری ارتباط با یک سرور مرکزی، شبکه اینترنت یا گوشیهای هوشمند کار میکنند. متأسفانه اطلاعات در اغلب موارد به درستی رمزگذاری نمیشوند به این دلیل که یا هر دو دستگاه کوچک هستند و یا سازنده تصمیم به کاهش هزینهها داشته است (که این مورد شامل قابلیتهای امنیتی دستگاه نیز میشود).
به شدت توصیه میکنیم هر زمان که برایتان ممکن باشد، گزینهای را برای رمزگذاری دادههای ارسالی و دریافتی خود فعال کنید.
یک شبکه دوم و جداگانه برای ابزارهای IOT خود ایجاد کنید
یک راه خوب برای محافظت از دستگاههای هوشمند شما، ایجاد یک شبکه جداگانه برای برقراری ارتباط با آن است. این شبکه به اینترنت متصل نیست، بنابراین این احتمال که بدافزار بتواند راه خود را بر روی دستگاههای شما باز کند به حداقل خواهد رسید.
با این وجود این سیستم با مجموعهای از مشکلات روبرو است. اگر میخواهید دستگاههای هوشمند خود را از طریق گوشی تلفن همراه خود کنترل کنید، برای کنترل شبکه ابزار IOT خود، باید بین شبکههای وایفای (Wi-Fi) سوئیچ کنید و جابهجا شوید. در این حالت، باید یاد بگیرید که چگونه همهچیز را خودکار کنید یا میتوانید از سوئیچهای ZWave برای تغییر مکان بین شبکهها استفاده کنید.
Wi-Fi خانه خود را امن کنید
روتر Wi-Fi یکی از اولین مکانهایی است که مورد حمله یک هکر مخرب قرار میگیرد. برای اطمینان از امنیت آن، پیشنهاد میکنیم این مقاله را مطالعه کرده و به موارد زیر عمل کنید:
از یک رمز عبور قوی و ایمن استفاده کنید.
نام کاربری خود را تغییر دهید تا برای مهاجمین و هکرها غیرقابل تشخیص باشد و برایشان راحت نباشد که بفهمند کدامیک Wi-Fiی شماست.
برای محافظت از Wi-Fi خود، یک فایروال را تنظیم کنید. در اغلب موارد، فایروال، نرمافزاری خواهد بود اما برخی از روترها از قبل به یک سختافزار نصب شده روی آنها مجهز شدهاند.
دسترسی شبکه مهمان را برای شبکه بیسیم خود غیرفعال کنید. یک شبکه مهمان، دومین Wi-Fi ایجاد شده از روتر شما است که دسترسی به شبکه “هسته” شما را محدود میکند. از لحاظ تئوری، با جدا کردن مهمانها در شبکهای جداگانه، قاعدتاً باید امنیت بیشتری فراهم شود. با این حال، بیشتر روترهای Wi-Fi، یک شبکه مهمان ناامن ایجاد میکنند که میتواند بهعنوان دریچهای به Wi-Fi اصلی شما عمل کند.
وقتی از دستگاه استفاده نمیکنید، آنرا از اینترنت جدا کنید
دستگاههایی مانند تلویزیونهای هوشمند نیازی به اتصال دائمی به اینترنت ندارند. با جدا نگهداشتن آنها از اینترنت، بازه زمانی دورهای را که یک تبهکار سایبری میتواند برای شکستن امنیت آن تلاش کند، محدود خواهید کرد.
برای هر نکته امنیتی که ممکن است پیدا کنید، راهنمای دستگاه را بخوانید.
اکثر مردم تنها در هنگام نصب از یک کتابچه راهنمای دستگاه استفاده میکنند و نحوه استفاده از آن را میآموزند. اما راهنماها اغلب شامل بسیاری از نکات و ترفندهای مفید هستند که میتواند عملکرد دستگاه را بهبود بخشد و آن را امنتر کند. برای اینکار وقت بگذارید و کتابچه راهنمای کاربر را بخوانید و مطمئن باشید مطالب و نکاتی در آن خواهید یافت که ممکن است بیش از آنچه که فکر میکنید مفید باشد.
برنامههای امنیتی را دانلود کنید
برخی از دستگاههای هوشمند مانند تلویزیون به اندازه کافی قدرتمند هستند تا برنامههای کاربردی را اجرا کنند. حتی سادهترین نسخههای رایگان برنامههای آنتیویروس میتوانند امنیت شما را به طور قابلتوجهی افزایش دهند.
برای رسیدن به بهترین نتایج، توصیه میکنیم از نسخه اصلی و خریداری شده یک برنامه آنتیویروس استفاده کنید، زیرا اینکار قابلیتهای کامل نرمافزار را باز میکند.
از یک راه حل سختافزاری برای امنیت شبکه “اینترنت اشیا” خود استفاده کنید
یک راه حل امنیتی اختصاصی برای شبکه اینترنت اشیای شما میتواند تفاوت بین یک دستگاه آلوده و یک دستگاه پاک را بهخوبی نشان بدهد. چند راه حل امنیتی وجود دارد، حتی اگر بازار به اندازه کافی برای محصولات دسکتاپی یا تلفن همراه توسعه نیافته باشد.
و اما خلاصه مطلب
اینترنت اشیا یکی از بزرگترین دغدغههای تکنولوژیکی از زمان استفاده از تلفنهای هوشمند محسوب میشوند و گفته شده است که به همان اندازه نیز تأثیرگذار خواهد بود. متأسفانه وعدهها و فرصتهایی که ارائه میدهند همانند وسایل و تجهیزاتی هستند که در اختیار مجرمان سایبری قرار میگیرند تا بتوانند مشتریان معمولی را هدف حملات خود قرار دهند.
با این حال، اگر بخواهیم نیمه پر لیوان را ببینیم، صنعت اینترنت اشیا، بهمرور زمان کامل شده و کاستیهای خود را جبران میکند و از طرف دیگر، کارشناسان و شرکتهای امنیتی سایبری به موازات هم و با هماهنگی خوبی در حال پیشرفت هستند.
پایان