بحلول نهاية عام 2018 ، تجاوز عدد أجهزة إنترنت الأشياء المتصلة
22 مليار . من بين 7.6 مليار شخص على الأرض ، هناك 4 مليارات شخص لديهم إمكانية الوصول إلى الإنترنت. اتضح أنه لكل شخص هناك 5.5 أجهزة إنترنت الأشياء.
في المتوسط ، تنقضي
حوالي 5 دقائق بين وقت اتصال جهاز إنترنت الأشياء بالشبكة ووقت الهجوم الأول. علاوة على ذلك ، تتم معظم الهجمات على الأجهزة الذكية
تلقائيًا .
بالطبع ، هذه الإحصاءات المحزنة لا يمكن أن تترك متخصصين غير مبالين في مجال الأمن السيبراني. كانت المنظمة الدولية غير الهادفة للربح OWASP (مشروع أمان تطبيق الويب المفتوح) مهتمة بسلامة إنترنت الأشياء في عام 2014 ، حيث أصدرت الإصدار الأول من OWASP Top 10 IoT. تم إصدار نسخة محدثة من "
أفضل 10 نقاط ضعف لأجهزة إنترنت الأشياء " مع تهديدات محدثة في عام 2018. تم تصميم هذا المشروع لمساعدة المصنّعين والمطورين والمستهلكين على فهم مشكلات أمان إنترنت الأشياء واتخاذ قرارات أكثر أمنًا بشأن المعلومات عند إنشاء أنظمة إيكولوجية إنترنت الأشياء.
10. عدم كفاية الأمن المادي.
عدم وجود تدابير الحماية المادية ، مما يسمح للمهاجمين المحتملين بالحصول على معلومات سرية ، والتي يمكن أن تساعد في المستقبل في تنفيذ هجوم عن بعد أو السيطرة المحلية على الجهاز.
يتمثل أحد التحديات الأمنية لنظام IoT البيئي في أن مكوناته موزعة في الفضاء وغالبًا ما يتم تثبيتها في الأماكن العامة أو غير الآمنة. يسمح ذلك للمهاجمين بالوصول إلى الجهاز والسيطرة عليه محليًا أو استخدامه للوصول إلى بقية الشبكة.
يمكن للمهاجم نسخ الإعدادات (شبكة IP ، عنوان MAC ، وما إلى ذلك) ووضع جهازه بدلاً من الجهاز الأصلي للاستماع أو تقليل أداء الشبكة. يمكنه اختراق قارئ RFID أو تعيين إشارة مرجعية للأجهزة أو إصابة البرامج الضارة أو سرقة البيانات اللازمة أو تعطيل جهاز إنترنت الأشياء فعليًا.
الحل لهذه المشكلة هو واحد - لتعقيد الوصول المادي إلى الأجهزة. يمكن تثبيتها على المناطق المحمية ، على ارتفاعات أو استخدام خزانات محمية ضد التخريب.
9. الإعدادات الافتراضية غير آمنة
الأجهزة أو الأنظمة تأتي مع إعدادات افتراضية غير آمنة أو غير قادرة على جعل النظام أكثر أمانًا عن طريق منع المستخدمين من تغيير التكوينات.
أي مصنع يريد أن يكسب أكثر وينفق أقل. يمكن تنفيذ الجهاز مع العديد من الوظائف الذكية ، لكن لا يمكن تكوين الأمان.
على سبيل المثال ، لا يدعم التحقق من كلمات المرور للتأكد من الوثوقية ، ولا يمكن إنشاء حسابات بمختلف الحقوق - المسؤول والمستخدمون ، ولا توجد إعدادات للتشفير وتسجيل وإخطار المستخدمين بأحداث الأمان.
8. عدم القدرة على التحكم في الجهاز
عدم وجود دعم أمان للأجهزة التي يتم نشرها في الإنتاج ، بما في ذلك إدارة الأصول وإدارة التحديث وإيقاف التشغيل الآمن ومراقبة النظام والاستجابة.
غالبًا ما تكون أجهزة إنترنت الأشياء صندوقًا أسود. لم يطبقوا القدرة على مراقبة حالة العمل ، وتحديد الخدمات التي تعمل ومع ما تتفاعل.
لا تمنح جميع الشركات المصنعة لمستخدمي أجهزة إنترنت الأشياء السيطرة الكاملة على نظام التشغيل والتطبيقات قيد التشغيل ، وكذلك التحقق من سلامة وشرعية البرامج التي تم تنزيلها أو تثبيت تصحيحات التحديث على نظام التشغيل.
أثناء الهجمات ، يمكن إعادة تكوين البرنامج الثابت للجهاز بحيث لا يمكن إصلاحه إلا عن طريق وميض الجهاز بالكامل. تم استخدام عيب مماثل ، على سبيل المثال ، من قبل
البرامج الضارة Silex .
يمكن أن يتمثل حل هذه المشكلات في استخدام برامج متخصصة لإدارة أجهزة إنترنت الأشياء ، على سبيل المثال ، حلول السحابة AWS و Google و IBM ، إلخ.
7. نقل وتخزين البيانات غير آمن
عدم وجود تشفير أو التحكم في الوصول إلى البيانات الحساسة في أي مكان في النظام البيئي ، بما في ذلك أثناء التخزين أو أثناء الإرسال أو أثناء المعالجة.
تقوم أجهزة Internet of Things بجمع وتخزين البيانات البيئية ، بما في ذلك المعلومات الشخصية المختلفة. يمكن استبدال كلمة المرور التي تم اختراقها ، ولكن البيانات المسروقة من جهاز القياس الحيوي - بصمة شبكية العين وشبكية العين - لا.
في الوقت نفسه ، لا يمكن لأجهزة إنترنت الأشياء فقط تخزين البيانات في شكل غير مشفر ، ولكن أيضًا نقلها عبر الشبكة. إذا كان من الممكن شرح طريقة نقل البيانات في الشبكة المحلية بطريقة أو بأخرى ، في حالة وجود شبكة لاسلكية أو نقل عبر الإنترنت ، يمكن أن تصبح ملكًا لأي شخص.
يمكن للمستخدم نفسه استخدام قنوات اتصال آمنة لنقل البيانات ، ولكن يجب أن تتولى الشركة المصنعة للجهاز العناية بتشفير كلمات المرور المخزنة والبيانات الحيوية والبيانات الهامة الأخرى.
6. عدم كفاية حماية الخصوصية
معلومات المستخدم الشخصية المخزنة على جهاز أو نظام بيئي يستخدم بطريقة غير آمنة أو غير صحيحة أو بدون إذن.
يعكس هذا البند TOP-10 العنصر السابق: يجب تخزين جميع البيانات الشخصية ونقلها بطريقة آمنة. لكن هذه الفقرة تعتبر الخصوصية بمعنى أعمق ، أي من وجهة نظر حماية أسرار الخصوصية.
تجمع أجهزة إنترنت الأشياء معلومات حول الأشخاص الذين يحيط بهم ومن الذي يحيط بهم ، بما في ذلك هذا ينطبق أيضًا على الأشخاص المطمئنين. يمكن لبيانات المستخدم المسروقة أو التي تمت معالجتها بطريقة غير صحيحة أن تشوه شخصًا عن غير قصد (على سبيل المثال ، عندما تتعرض كاميرات المرور التي تم تكوينها بشكل غير صحيح للزوجين غير المخلصين) ، ويمكن استخدامها في الابتزاز.
لحل المشكلة ، تحتاج إلى معرفة بالضبط البيانات التي يتم جمعها عن طريق جهاز إنترنت الأشياء ، وتطبيقات الهاتف المحمول والواجهات السحابية.
تحتاج إلى التأكد من جمع البيانات اللازمة لتشغيل الجهاز فقط ، للتحقق مما إذا كان هناك إذن لتخزين البيانات الشخصية وما إذا كانت محمية ، وما إذا كانت سياسات تخزين البيانات موصوفة أم لا. خلاف ذلك ، إذا لم يتم مراعاة هذه الشروط ، فقد يواجه المستخدم مشاكل مع القانون.
5. استخدام مكونات غير آمنة أو عفا عليها الزمن
استخدام مكونات البرامج أو المكتبات القديمة أو غير الآمنة التي قد تعرض جهازك للخطر. يتضمن ذلك التكوين غير الآمن لأنظمة تشغيل نظام التشغيل واستخدام البرامج أو مكونات الأجهزة التابعة لجهات أخرى من سلسلة التوريد المعرضة للخطر.
أحد المكونات الضعيفة يمكن أن ينفي كل تكوين الأمان.
في بداية عام 2019 ،
حدد الخبير
Paul Marrapiz الثغرات الأمنية في الأداة المساعدة iLnkP2P P2P ، والتي تم تثبيتها على أكثر من مليوني جهاز متصل بالشبكة: كاميرات IP ، وشاشات الأطفال ، وأجراس الباب الذكية ، DVR.
تسمح الثغرة الأولى
CVE-2019-11219 للمهاجم بتحديد هوية الجهاز ، والثاني هو ثغرة أمنية في المصادقة في iLnkP2P
CVE-2019-11220 - لاعتراض حركة المرور بشكل واضح ، بما في ذلك تدفقات الفيديو وكلمات المرور.
لعدة أشهر ،
تحول بولس ثلاث مرات إلى الشركة المصنعة ومرتين لمطور الأداة ، لكنه لم يتلق رداً منهم.
يكمن حل هذه المشكلة في مراقبة إصدار تصحيحات الأمان وتحديث الجهاز ، وإذا لم يخرج ... قم بتغيير الشركة المصنعة.
4. عدم وجود آليات تحديث آمنة
عدم القدرة على تحديث الجهاز بشكل آمن. يتضمن ذلك عدم التحقق من صحة البرامج الثابتة على الجهاز ، وعدم وجود التسليم الآمن (بدون تشفير أثناء النقل) ، وعدم وجود آليات لمنع التراجع عن الحالة السابقة وعدم وجود إعلامات حول تغييرات الأمان بسبب التحديثات.
عدم القدرة على تحديث الجهاز نفسه هو ضعف الأمن. الفشل في تثبيت التحديث يعني أن الأجهزة تظل عرضة لفترة غير محددة.
ولكن بالإضافة إلى ذلك ، قد يكون التحديث نفسه والبرامج الثابتة غير آمنين أيضًا. على سبيل المثال ، إذا لم يتم استخدام القنوات المشفرة لتلقي البرنامج ، أو لم يتم تشفير ملف التحديث أو لم يتم التحقق منه للتأكد من سلامته قبل التثبيت ، لا توجد حماية ضد التراجع (الحماية من الرجوع إلى إصدار سابق أكثر عرضة للإصابة بهجمات الفيروسات) ، أو لا توجد إعلامات حول تغييرات الأمان بسبب التحديثات.
حل لهذه المشكلة هو أيضا على جانب الشركة المصنعة. ولكن يمكنك التحقق مما إذا كان جهازك قادرًا على التحديث على الإطلاق. تأكد من تنزيل ملفات التحديث من الخادم الذي تم التحقق منه عبر قناة مشفرة ، وأن جهازك يستخدم بنية تثبيت تحديث آمنة.
3. واجهات النظم الإيكولوجية غير الآمنة
واجهة ويب غير آمنة أو واجهات برمجة تطبيقات أو سحابة أو واجهات جوال في النظام البيئي خارج الجهاز ، مما يسمح لك بخرق الجهاز أو مكوناته ذات الصلة. تشمل المشاكل الشائعة عدم وجود مصادقة أو ترخيص ، ونقص أو تشفير ضعيف ، ونقص ترشيح المدخلات والمخرجات.
يتيح لك استخدام واجهات الويب غير الآمنة وواجهات برمجة التطبيقات (APIs) والواجهات السحابية والجوالة اختراق الجهاز أو مكوناته ذات الصلة حتى دون الاتصال به.
على سبيل المثال ، أجرت
Barracuda Labs تحليلًا لتطبيقات الهاتف المحمول وواجهة الويب لإحدى الكاميرات "الذكية" ووجدت ثغرات أمنية تسمح بالحصول على كلمة مرور لجهاز إنترنت الأشياء:
- تجاهل تطبيق الهاتف المحمول صلاحية شهادة الخادم.
- كان تطبيق الويب عرضة للبرمجة النصية عبر المواقع.
- كان من الممكن تجاوز الملفات على خادم سحابة.
- تحديثات الجهاز لم تكن محمية.
- تجاهل الجهاز صلاحية شهادة الخادم.
للحماية ، من الضروري تغيير المستخدم وكلمة المرور الافتراضية ، وتأكد من أن واجهة الويب لا تخضع لبرمجة المواقع أو هجمات SQL أو CSRF.
أيضا ، ينبغي تنفيذ الحماية ضد هجمات كلمة المرور عن طريق القوة الغاشمة. على سبيل المثال ، بعد ثلاث محاولات لإدخال كلمة المرور بشكل غير صحيح ، يجب حظر الحساب والسماح باسترداد كلمة المرور فقط من خلال إعادة تعيين الأجهزة.
2. خدمات الشبكة غير الآمنة
خدمات الشبكة غير الضرورية أو غير الآمنة التي تعمل على الجهاز نفسه ، خاصةً فتحها على شبكة خارجية ، مما يهدد السرية أو السلامة أو المصداقية أو إمكانية الوصول إلى المعلومات أو السماح بالتحكم عن بُعد غير المصرح به.
تعرض خدمات الشبكة غير الضرورية أو غير الآمنة تهديد أمان الجهاز ، خاصةً إذا كان لديهم إمكانية الوصول إلى الإنترنت.
قد تكون خدمات الشبكة غير الآمنة عرضة لتجاوز سعة المخزن المؤقت وهجمات DDoS. يمكن فحص منافذ الشبكة المفتوحة بحثًا عن نقاط الضعف وخدمات الاتصال غير الآمنة.
أحد أكثر العوامل الشائعة للهجمات وإصابة أجهزة إنترنت الأشياء حتى الآن هو تعداد كلمات المرور على خدمات
Telnet غير المعطلة
وعلى SSH . بعد الوصول إلى هذه الخدمات ، يمكن للمهاجمين تنزيل برامج ضارة على الجهاز أو الوصول إلى معلومات قيمة.
1. كلمة مرور ضعيفة أو قابلة للتخمين أو مشفرة
استخدام بيانات اعتماد سهلة التكسير أو متاحة للجمهور أو غير قابلة للتغيير ، بما في ذلك الخلفية في البرامج الثابتة أو برامج العميل التي توفر وصولاً غير مصرح به إلى الأنظمة المنشورة.
والمثير للدهشة ، حتى ذلك الحين ، أن أكبر نقاط الضعف هي استخدام كلمات مرور ضعيفة أو كلمات مرور افتراضية أو كلمات مرور تسربت إلى الشبكة.
على الرغم من الحاجة الواضحة لاستخدام كلمة مرور قوية ، لا يزال بعض المستخدمين لا يغيرون كلمات المرور الافتراضية. في يونيو 2019 ، استفادت هذه البرامج الضارة من Silex ، والتي تحولت
خلال ساعة واحدة إلى لبنة حول 2000 جهاز إنترنت الأشياء.
وقبل ذلك ، تمكن الروبوتات المعروفة والدودة Mirai من إصابة 600 ألف جهاز إنترنت الأشياء ، وذلك باستخدام قاعدة بيانات من
61 مجموعة موحدة لتسجيل الدخول وكلمة المرور.
الحل هو تغيير كلمة المرور!
النتائجعندما يشتري المستخدمون أجهزة إنترنت الأشياء ، فإنهم يفكرون بشكل أساسي في قدراتهم "الذكية" ، وليس في الأمان.
في الواقع ، بنفس الطريقة ، عند شراء سيارة أو ميكروويف ، نأمل أن يكون الجهاز "
آمنًا في التصميم " للاستخدام.
طالما أن أمن إنترنت الأشياء لا ينظمه القانون (حتى الآن ، فهذه القوانين هي فقط
في طور الإنشاء ) ، لن ينفق المصنِّعون أموالاً إضافية عليه.
اتضح أن الطريقة الوحيدة لتحفيز الشركة المصنعة ليست في شراء الأجهزة الضعيفة.
ولهذا نحتاج ... للتفكير في سلامتهم.