पिछले हफ्ते, जुनिपर रिसर्च, इंटरनेट ऑफ थिंग्स मार्केट के एक अध्ययन में, 2022 (
समाचार ) द्वारा ऐसे उपकरणों की संख्या में दो गुना वृद्धि की भविष्यवाणी की गई थी। यदि अब विश्लेषकों का अनुमान है कि सक्रिय IoT की संख्या 21 बिलियन है, तो चार वर्षों में उनकी संख्या 50 बिलियन से अधिक हो जाएगी।
एक ही रिपोर्ट में कहा गया है कि हम IoT (उद्योग और व्यवसाय में) के व्यापक कार्यान्वयन के लिए नहीं बचे हैं: अब प्राथमिकता को और अधिक
बेवकूफ पारंपरिक समाधानों के लिए दिया जाता है। वास्तव में बड़े (एक लाख या अधिक) IoT अवसंरचना के उद्भव के लिए इंतजार करना होगा, लेकिन लंबे समय तक नहीं। रिपोर्ट सुरक्षा पर ध्यान नहीं देती है, लेकिन लगातार दूसरे सप्ताह इसके बारे में पर्याप्त प्रासंगिक खबरें हैं।
इस तथ्य के बारे में कि कई IoT डिवाइस होंगे और वे असुरक्षित होंगे, प्रसिद्ध क्रिप्टोग्राफर ब्रूस श्नेयर
ने 22 जून को
बात की थी। उनकी राय में, हम व्यक्तिगत डेटा (जब आप व्यक्तिगत जानकारी चुराते हैं, या इसे बंधक बना लेते हैं, या सब कुछ मिटा देते हैं) पर बुनियादी ढांचे की अखंडता, लघु उपकरणों से मिलकर या इसके प्रदर्शन पर हमला करते हैं। संक्षेप में, जब आपके खिलाफ एक हैक की गई कार ब्रेक मार देगी।
जुनिपर की रिपोर्ट में, दिलचस्प शब्द एज कंप्यूटिंग पेश किया गया है - यह तब होता है जब गणना की जाती है जहां आंदोलन होता है, और विक्रेता के डेटा केंद्र में कहीं नहीं होता है। गणना और डेटा की मात्रा केंद्रीय प्रसंस्करण को मुश्किल बनाती है। यदि आप जुनिपर के सकारात्मक और श्नीयर के संशयवाद को जोड़ते हैं, तो यह किसी भी तरह से बहुत अच्छा नहीं है: IoT अधिक होगा, उनका उपयोग अधिक महत्वपूर्ण क्षेत्रों (उद्योग, ऑटोमोबाइल, चिकित्सा) में किया जाएगा। और किसी तरह वे उन्हें और अधिक कुशलता से बचाने के लिए नहीं जा रहे हैं: आधुनिक उपभोक्ता IoTs के साथ, यह सब बुरा है, औद्योगिक लोगों में यह बेहतर नहीं है।
आइए देखें कि पिछले सप्ताह क्या वास्तव में खराब था। आईपी कैमरों के प्रसिद्ध निर्माता फोसकैम ऐसे उपकरणों के मालिकों को फर्मवेयर (
समाचार ) को तत्काल अपडेट करने के लिए कहते हैं। दिलचस्प बात यह है कि कंपनी का बयान इंगित नहीं करता है, जैसा कि आमतौर पर होता है, छेद वाले मॉडल की एक सूची: सभी उपकरण कथित रूप से कमजोर थे, या विक्रेता जानबूझकर विस्तृत जानकारी प्रदान नहीं करता है। Vdoo शोधकर्ताओं जिन्होंने भेद्यता की खोज की है, उनका
अधिक विस्तृत वर्णन है।
और तीन कमजोरियों के रूप में कई थे, और डिवाइस को हैक करने के लिए उन्हें क्रमिक रूप से उपयोग किया जाना चाहिए। आवश्यक सभी उपकरण का आईपी पता है। ऐसे उपकरण हमेशा इंटरनेट से सीधे उपलब्ध नहीं होते हैं, लेकिन, एक नियम के रूप में, इस तरह से कॉन्फ़िगर किया जा सकता है। अक्सर, ऐसा कॉन्फ़िगरेशन डिफ़ॉल्ट रूप से मौजूद होता है।
हमला पहले बफर अतिप्रवाह भेद्यता का फायदा उठाता है, जिससे वेब इंटरफ़ेस के लिए जिम्मेदार प्रक्रिया के दुर्घटनाग्रस्त हो जाता है। क्रैश के बाद, प्रक्रिया स्वचालित रूप से रिबूट हो जाती है, और जब इसे डाउनलोड किया जाता है, तो एक मनमानी फ़ाइल को हटाना संभव हो जाता है - यह भेद्यता दो है। सही स्थानों में फ़ाइलों का सही विलोपन आपको प्राधिकरण प्रणाली को बायपास करने की अनुमति देता है, और यह तीसरी भेद्यता डिवाइस पर पूर्ण नियंत्रण देता है। यह सबसे तुच्छ हमला नहीं है, और शोधकर्ता सीधे कहते हैं कि उन्होंने अभी तक किसी को भी इसका इस्तेमाल करते नहीं देखा है। और चूंकि कोई भी आमतौर पर फर्मवेयर को अपडेट करने के लिए कॉल का जवाब नहीं देता है, इसलिए सभी तीन कमजोरियों का विस्तार से वर्णन नहीं किया गया है।
और अब चलो सभी एक साथ मिलते हैं और किसी तरह के घर IoT को अपडेट करते हैं। चलो सच में नहीं!वीडू के एक ही शोधकर्ता ने एक अन्य निर्माता - एक्सिस (
समाचार ) से कमजोरियों को पाया। आईओटी उपकरणों में छेद का बड़े पैमाने पर पता लगाने के लिए उन्हें पता लगाने के लिए कुछ आंतरिक
सफाई घटना का परिणाम था। यहां परिणाम समान है: कुल सात भेद्यताएं पाई गईं, जिनमें से तीन का उपयोग एक सफल हमले के लिए किया जाना चाहिए।
जटिल (अपेक्षाकृत, लेकिन अभी भी) हमलों का पता लगाना एक सम्मान है, लेकिन ऐसा लगता है कि समस्या अब हजारों राउटरों, कैमरों और अन्य चीजों से
बॉटनेट्स की उपस्थिति है, जिसमें बहुत अधिक तुच्छ समस्याएं हैं जैसे कि डिफ़ॉल्ट पासवर्ड, एक कुटिल वेब इंटरफ़ेस और किसी की पूर्ण अनुपस्थिति सुरक्षा। यदि जुनिपर अनुसंधान सही है और अधिकांश औद्योगिक IoT पांच वर्षों में स्वायत्त रूप से बहुत अधिक कार्यों को हल करेंगे, तो क्या उनका अद्यतन अब भी बदतर हो जाएगा?
और मुझे लगता है कि औद्योगिक IoT में सब कुछ अलग होगा, हालांकि वास्तव में
नहीं । मैं मानता हूं कि औद्योगिक नेटवर्क उपकरणों के बीच एकमात्र अंतर यह है कि उनके पास एक अनुसूची और एक सेवा प्रोटोकॉल है, और इसके लिए जिम्मेदार लोग हैं। IoT का प्रसार प्रगति और ठंडा है। व्यापार और समाज इससे लाभान्वित होंगे, तेजी से इस तरह के उपकरणों की सुरक्षा सस्ता, सहित। गंभीर समस्याओं का पता लगाना, जिनमें सॉफ्टवेयर विधियों द्वारा समाधान बिल्कुल नहीं है, और उपकरणों के बड़े पैमाने पर कार्यान्वयन के बाद भी, हमेशा महंगा होगा।
Offtopic। इंटरनेट पर स्क्रीनकास्ट के प्रशंसकों के लिए मेमो: प्रसारण शुरू करने से पहले सूचनाओं को बंद करें।