اعتماد و امنیت برای برنامه های کاربردی اینترنت اشیاء

اعتماد و امنیت برای برنامه های کاربردی اینترنت اشیاء

اعتماد و امنیت نهایی برای برنامه های کاربردی اینترنت اشیاء• دستگاه های اینترنت اشیاء (LOT) پیشتر با رایانش ابری(Cloud) ذخیر اطلاعات و به هنگام سازی با یکدیگر استفاده میکند. تضمین از اطمینان و امنیت در آخر برای برنامه هایLOT بسیار مهم است و برای اینکه نقض داده ها در هر نقطه رایانش ابری می تواند اتفاق بیفتد. نویسندگان یک هشدار سه بعدی را پیشنهاد می کنند که مدلی برای lot و در مورد امنیت و حریم خصوصی برای چالش ها و همچنین راه های مختلف برای کاهش خطرات بحث می کنند.• اینترنت اشیاء(LOT) محاسبات پیوسته در هدف های تعیین شده با پیشرفت RFID و سنسور ها شبکه های ارتباطی و پروتکل های اینترنتی فعال می شود ، LOT درحال پل زدن به فناوری های متنوع است و با اتصال فیزیکی اشیاء ، در حمایت از تصمیم گیری هوشمند ، برنامه های جدید را فعال می کند. تخمین زده شده تا سال 2020 ، 50 میلیون دستگاه هوشمند قادر به ارسال و دریافت داده از طریق اینترنت به سرار جهان متصل می شوند. LOT فرصت های عظیمی برای توسعه اقتصادی ایجاد می کند. طبق اعلام موسسه جهانی کینگز ، این پتانسیل را دارد که تا سال 2025 در آمد 3.9 تریلیون دلاری به 11.1 تریلیون دلار در سال داشته باشد. دولت ها در حال همکاری با ذینفسان گوناگون برای درک و بهربرداری از مزایای دستگاه های متصل هستند• برای مثال400 میلیون دلار ابتکار کاخ سفید ، به رهبری NFC ، هدف از استقرار سیستم عامل های تست مقیاس گسترده در سطح شهری برای اتصالات بی سیم پیشرفته که میتوان ایلات متحده را در دستیابی به شبکه های که در همه جا حاضر باشندو از دستگاه ها و سنسور ها پشتیبانی کند. فوایدی در هامن زمان ، LOT چالش های امنیتی بزرگی را ارائه داد. هزینه های جرایم سابری400 تا 500 میلیون دلار در سال 2015 به2 تا 3 تریلیون دلار در سال بعد صعود کرد ، تخمین زده شده بود.• اشتراک گذاری داده های پس زمینه : دستگاه های LOT اغلب داده ها را در یک سرویس دهنده ی خدمات ابری(Cloud) خاص بارگذاری می کنند، که می تواند منجر به جداسازی داده هااز سایر برنامه ها شود. مدل اشتراک داده باطن پسوند مدل ارتباطات دستگاه به Cloud است. داده های تولید شده با اجازه دادن بین اجزای قابل اعتماد از data silos جلوگیری می کند . مدل اشتراک گذاری داده همچنین به کاربران امکان صادرات ، جمع و تجزیه تحلیل داده های تولید شده توسط دستگاه هایLOT از برنامه های دیگر را می دهد. می توان تاثیر شکاف عظیم داده ها را پیشبینی کرد و حوادث امنیتی در دنیا رخ دهد که میلیارد ها چیز از جمله وسایل نقلیه ، ساختمان ها ، لوازم ودستگاه های تلفن همراه به اینترنت متصل شوند.ترافیک حمله ، که باعث قطع بزرگ اینترنت در سواحل شرقی ایالات متحده شد که باعث شبکه Mirai ها شد ، که شامل100.000 نقطه LOT مخرب مانند مسیر اینترنت ، DVR و دوربین های IP بود . با اتصال چیز های بیشتر ، امنیت LOT از اهمیت بیشتری برخوردار می شود.دستگاه های LOT محدود به منابعی هستند که شامل : حافظه با توان محدود ، ذخیره سازی و عمر باتری . بنابر این بیشتر انها از یارانش ابری (Cloud) برای ذخیره داده و همگام سازی با یکدیگر استفاده می کنند . ایمن سازی دستگاه های Lot برای اطمینان از امنیت داده ها و محافظت از حریم خصوصی برای برنامه هایLOT بسیار مهم است . تا به حال ، چنین دستگاه هایی که تولید داده می کنند و از این طریق شبکه های ارتباطی به یک محل ذخیره سازی درCloud منتقل می شوند ،بنابر این نقص داده ها می تواند در هر نقطه از مسیر اتفاق بیفتتد . از این روی ، فراهم کردن اعتماد و امنیت با کمک End-To-End برای برنامه های LOT مهم است.به این منظور ما یکLOT 3D را پیشنهاد می کنیم و در مورد چالش های امنیتی موجود و همچنین راه های کاهش خطرات امنیتی بحث خواهیم کرد.معماریLOT Appdicationشکل1 معماری اساسی برنامه های Lot را نشان می دهددامنه هااین معماری از چهار حوزه تشکیل شده است: دستگاه Lot ، ارتباطات ، رایانش ابری(Cloud)، ارائه اقداماتدستگاه های LOTاین دامنه از دستگاه های محدود کننده منابع مختلف اعم از گجت های پوشیدنی تا دستگاه مراقبت بهداشتی را شامل می شود و دستگاه ها در اندازه مختلف وجود دارند و در سیستم عامل مختلف تعبیه شده اند و پرئتکل های ارتباطی را اجرا می کند. ان ها غالبا در محیط باز و با دخالت اندک انسانی مستقر می شوند. انواع دستگاه های LOT مشکلات مربوط به قابلیت اطمینان ، راندمان انرژی و قابلیت همکاری را ایجاد می کند.ارتباطاتدر این دامنه اتصال به اینترنت را برای دستگاه هایLot فراهم می کند . اتصال این دستگاه ها به همدیگر و به رایانش ابری(Cloud) یک چالش اساسی برای شبکه های ارتباطی است . بلوتوث ، WiFi ، ZigBee، شبکه های تلفن همراه ، خطوط برق فن آوری ارتباطات غالبLOT هستند ، اما برخی دیگر مانند ارتباطات نزدیک میدان(NFC) و Z-Wave در دسترس هستند.رایانش ابری (Cloud)در حالی که دستگاه هایLot محدود به حافظه هستند ، ابر تقریبا قدرت ذخیره و پردازش نامحدود دارد . در نتیجه رایانش ابری معمولا عملکرد ها را مانند ثبت دستگاه/ پیکربندی دستگاه و مدیریت دستگاه ، رویداد و مدیریت داده را فراهم میکند. بنابر این رایانش ابری وLOT از طریقAPI ها،یک رابطه مکمل دارند و به عنوان دو طرف یک سکه مشاهده می شوند. (https://aws.amazon.com/iot) AWSLot نمونه ای از بستر ابر هست که به طور خاص برای Lot ها طراحی شده که باCloud ادغام می شده است.ارائه و اقداماتداده ها برای کاربران نهایی از طریق برنامه های مبتنی برCloud که در حال اجرا بر روی لپ تاپ یا رایانه های رومیزی هستند ارائه شده است. عملکرد های مدیریت ، مانند فعال سازی و غیر فعال کردن دستگاه های Lot ، همچنین از برنامه های مبتی بر Cloud برای مدیریت دستگاه های Lot کاربران نهایی قابل دسترسی هستند.مدل های ارتباطیهئیت معماری اینترنت(IAB) ، که مسئولیت نظارت بر توسعه و رشد اینترنت را داردRFC7452 را در مارس2015 منتشر کرد.چهار مدل ارتباطی برای دستگاه های Lot را تشریح می کند . دسستگاه به دستگاه ، دستگاه به دروازه ف دستگاه به رایانش ابری(Cloud) و به اشتراک گذاری دادهشکل2 ک مدل تهدید Lot تهدیدات در سه بعد تهدیدات امنیتی هدفمند محل حمله و هواپیمای حمله• دستگاه به دستگاه : در این مدل دو دستگاه مستقیم به یکدیگر وصل وبا یکدیگر ارتباط بر قرار می کنند. ارتباطات اغلب از طریق شبکه های بی سیم با استفاده از پروتکل های مانند بلوتوث یا ZigBee انجام می شود . مدل ارتباطی دستگاه به دستگاه اغلب برای سیستم های اتوماسیون خانگی مانند ترموستات ، ساعت های عوشمند ، لامپ هایی که در اندازه بیست کوچک هستند و توان دیتای نسبتا کمی داردند ، مناسب است.• دستگاه به دروازه : در این مدل دستگاه هایLot با استفاده از دروازه میانی به سرویس هایcloud ارتباط برقرار می کنند. اگر چه دستگاه های دروازه می توانند به اشکال مختلفی ارائه شوند ،اما آنها به ما اهداف مشابهی را ارائه می دهند: جمع اوری داده های دریافت شده ، ایجاد شکاف بین دستگاه ها با استفاده از پروتکل های ارتباطی مقاومت ، اجرای امینت و ارسال اطلاعات به cloud در برخی موارد . یک دستگاه دروازه ممکن است داده ها بر روی یک دروازه دیگر منتقل کند و سپس داده ها را بهcloud انتقال دهد.• دستگاه به ابر : در این مدل مشتری ها برای فیلتر کردن داده های تولید شده با استفاده از دستگاه های IoT قوانینی را تدوین می کنند و مطابق با آن از طریق پرتال cloud اقدامات لازم را انجام می دهند. به عنوان مثال (https:// powerbi.microsoft.com/en-us) Microsoft Power BI یک سیستم cloud است که به کاربران بدون دانش تخصصی یا فنی اجازه می دهد که داده های تولید شده توسط دستگاه های Lot را تجزیه تحلیل کنند. از انجا که این دستگاه ها به طور مداوم داده ها را تولید می کنند و آن را بهcloud منتقل می کنند ، ممکن است تراکم شبکه رخ دهد. بنابر این ترافیک شبکه باید به طور مداوم کنترل شود و برای جلوگیری از ترافیک باید تنظیمات و اقدامات مناسبی انجام شود.LOT THREAT MODELشکل2 : مدل تهدید Lot پیشنهادی ما را نشان می دهد که دارای 3 بعد است : خدمات امنیتی هدفمند ، محل حمله ،هواپیماهای حملهخدمات امنیت هدفمندحفظ محرمانه بودن ، یکپارچگی و در دسترس بودن داده ها محور امنیت اطلاعات است. محرمانه بودن به معنی این است که داده ها درست و صحیح هستند ودر حین ذخیره سازی و عبور از گذرگاه تغییر نکرده اند ، ودر دسترس بودن به معنی این است که داده ها به آسانی در دسترس مشتریان و مشاغل مورد نیاز قرار میگیرد . اگر کاربران مخرب راه هایی برای به خطر انداختن محرمانه بودن یکپارچگی و در دسترس بودن داده ها پیدا کند ، می تواند آن را برای منافع خود دستکاری کنند.این بعد می تواند با سایر خدمات امنیتی از ITU توصیه (www.itu.int /rec/ T-REC-X.800-199103-I/en)X.800 ، مانند تأیید اعتبار و عدم بازپرداخت گسترش یابد.محل حملههمانطور که در شکل 1 نشان داده شده است ، یک شبکهIoT کامل شامل چهار بخش اساسی است: دستگاههایی که داده را تولید می کنند ، شبکه هایی که داده را در حمل می کنند، سرویس های ابری که داده ها را پردازش و استخراج می کنند و برنامه هایی که داده مصرف می کنند.اغلب برنامه های وب مبتنی بر ابر که در هر دستگاه محاسباتی مانند لپ تاپ و رایانه های رومیزی قابل دسترس هستند.امنیت برنامه در بعد سوم یعنی هواپیماهای حمله در مطرح شده است.بنابراین ، محل حمله شامل سه مسیر است: دستگاه هایIoT ، شبکه های ارتباطی و ابر.دستگاه های IoTتعداد حملات سایبری علیه دستگاه های IoT رو به افزایش است.براساس گزارشی ازBeaming در انگلیس ، یک ISP تجارت اینترنتی ، حملات سایبری علیه دستگاه های IoT بین سه ماهه اول و آخر سال2016 ، 310 درصد رشد داشته است.میلیاردها دستگاهIoT به اینترنت متصل شده و داده ها را در زمان واقعی جمع آوری می کنند.بسیاری از این دستگاه ها دارای آسیب پذیری های امنیتی هستند که آنها را به اهداف خوبی تبدیل می کند.علاوه بر این ، دستگاه هایIoT اغلب بدون هیچ گونه مداخله انسانی عمل می کنند و بنابراین مکانیسم های امنیتی داخلی برای محافظت از آنها در برابر هر نوع حملات را ندارند.شبکه های ارتباطیحملات متداول در این گروه شامل حملات رهگیری ، اصلاح ، تزریق داده های اشتباه ، DoS و پخش مجدد است.به عنوان مثال ، تزریق داده های دروغین حمله به یکپارچگی داده ها در شبکه های ارتباطی است که می تواند اعتماد کاربران نهایی به یک سیستم را به خطر اندازد.رایانش ابری (cloud)ازcloud برای ذخیره و پردازش حجم زیادی از داده ها استفاده می شود.داده های جمع آوری شده ممکن است حاوی اطلاعات حساسی باشند که در صورت به خطر انداختن ، می توانند وجود یک سازمان را مورد تهدید قرار دهند.کاربران نهایی عموما به داده های ابری از طریق برنامه های مبتنی بر cloud دسترسی پیدا می کنند که دارای آسیب پذیری هایی مانند سایر برنامه های وب مثل تأیید هویت شکسته ، تزریق کد مخرب و اعتبار به خطر افتاده هستند. ارائه دهندگان cloud می توانند از احراز هویت بعنوان اولین خط دفاعی در برابر دسترسی به داده های غیر مجاز استفاده کنند اما ممکن است نتوانند الزامات معتبر کاربر را اعمال کنند ، این امر حملات شمارش حساب را ممکن می کند.هواپیماهای حملههواپیماهای حمله شامل چهار لایه است: نرم افزار کاربردی ، سیستم عامل ، سیستم عامل و سخت افزار.برای تأمین اعتماد و امنیت در پایان برای برنامه های IoT ، باید امنیت هر مکان حمله در هر صفحه اعمال شود.به عنوان مثال ، برای ساخت یک دستگاهIoT ایمن ، تولید کنندگان و توسعه دهندگان باید امنیت را در مرحله طراحی و اجرای هر لایه آزمایش کنند.نرم افزار کاربردییک برنامه کاربردی که از طریق تلفن های هوشمند یا وب سایت اجرا می شود ، به عنوان مثال ، یک برنامه مراقبت های بهداشتی که وضعیت بیمار را از طریق سنسورهای پوشیدنی نظارت می کند ، شامل رابط کاربری نهایی برای تعامل با سیستم است.یک برنامه با طراحی ضعیف می تواند به کاربران غیرمجاز اجازه دهد ویژگی های اداری دستگاه را کنترل کنند.این آسیب پذیری ذاتی ناشی از تغییر ورودی کاربر ، که منجر به محافظت در برابر حملات سخت لایه های نرم افزاری آنها می شود.سیستم عاملبیشتر دستگاه های متصل به اینترنت ، از درب های گاراژ گرفته تا یخچال ها ، دارای سیستم عامل خاص خود هستند.جامعه منبع باز (open source ) و غول های مختلف فناوری نیز سیستم عاملIoT خود را ارتقا می می دهند. به عنوان مثال ، (Windows 10 IoT https://developer .microsoft.com/en-us/windows/iot) و(https://developer. android.com/things/index.html) Android Things به ترتیب نسخه های سلب شده ویندوز 10 و اندروید از مایکروسافت و گوگل هستند.برای برآوردن رد حافظه کوچک ، فروشندگان ممکن است اجرای ویژگی های امنیتی را ضعیف کرده و سیستم عامل هایIoT را در معرض حملات قرار دهند.سفت فزار(ترکیبی از نرم افزار و سخت افزار: برنامه ی انبار شده در Rom)مهاجمین سطح بالا که دسترسی فیزیکی به یک دستگاهIOT دارند می توانند حافظه داخلی و سفت افزار آن را از طریق رابط برنامه ای پردازنده بخوانند و درک بهتری از نحوه عملکرد دستگاه داشته باشند.آنها می توانند از این دانش را برای شخصی سازی سفت افزار مخرب استفاده کنند و آن را در دستگاه بارگذاری کنند تا کنترل کامل بر روی آن داشته باشند.مهاجمان همچنین می توانند کلیدهای رمزنگاری دستگاه ، آسیب پذیری ها و هر نوع درپشتی موجود در سفت افزار را کشف کنند و آنها را قادر به حملات مؤثرتر کنند.علاوه بر این ، دسترسی فیزیکی به دستگاه اجازه می دهد تا مهاجمین تنظیمات پیکربندی را تغییر دهند.آنها ممکن است قادر به تنظیم مجدد دستگاه به تنظیمات کارخانه یا نصب مجوزSSL متشكل از بازخورد در ترافیك به سرور خود باشند ، و آنها را قادر می سازد در صورت پذیرفتن سفت افزار ناموجود ، سیستم عامل را با استفاده از سفت افزار مخرب به روز كنند.سخت افزارروش های مبتنی بر نرم افزار برای مطمئن ساختن امنیت IoT قوی کافی را ندارند.مهاجمی که دسترسی فیزیکی به یک دستگاه دارد می تواند با سخت افزار خود دستکاری کند تا تنظیمات امنیتی را تغییر دهد و دستگاه خارج از پارامترهای مورد انتظار عمل کند ، نتیجه آن سرویس غیرقابل اطمینان می باشد.برای اطمینان از امنیت مستحکم ، طراحی و ساخت سخت افزار ضد دستکاری ضروری است.گسترش مدل تهدیدهدف نهایی مدل تهدید سه بعدی ما ارائه دیدگاه بهتری در مورد محل حمله است. تجزیه و تحلیل ما از دستگاههایIoT را می توان گسترش داد تا دستگاههای شبکه مانند روترها و سوئیچ ها و پلتفرم ابری که اجزای محاسبات و ارتباطات را یکپارچه می کنند را برای ارائه نرم افزار به عنوان سرویس (SaaS) ، پلتفرم به عنوان یک سرویس (PaaS) و زیرساخت ها به عنوان خدمات (IaaS).امنیت و چالش های خصوصی IOTدولت آمریكا ، از جمله دیگر اقدامات ، برای جلوگیری از احتمال نقض اطلاعات در دستگاه های IoT آغاز كرده است.به عنوان مثال ، وزارت امنیت داخلی شش اصل استراتژیک را برای محافظت از چنین دستگاههایی فراهم می کند: ادغام امنیت در مرحله طراحی ، پیشبرد به روزرسانی های امنیتی و مدیریت آسیب پذیری ، ایجاد رویه های امنیتی اثبات شده ، اولویت بندی اقدامات امنیتی مطابق تأثیر احتمالی ، ارتقاء شفافیت در IoT و اتصال دقیق و عمدی.با این وجود ، حفاظت از امنیت داده ها و حفظ حریم خصوصی دشوار است.در اینجا ، ما نه چالش در مورد امنیت و حفظ حریم خصوصیIoT را بیان می کنیم.معماری بازاینترنت یک سیستم باز است که دسترسی به عموم را فراهم می کند.زیرساخت های موجود و پشته های پروتکل فرض می کنند که همه نهادهای متصل به اینترنت از اصول استقلال ، انصاف و سازگاری پیروی می کنند و منجر به آسیب پذیری هایی می شوند که می توانند توسط کاربران مخرب مورد سوء استفاده قرار بگیرند. ما قبلاً با چالش های بزرگی برای محافظت از امنیت و حفظ حریم خصوصی در اینترنت روبرو شده ایم و با اتصال میلیاردها دستگاه به آن ، این موارد به میزان قابل توجهی افزایش خواهند یافت.محدودیت های سیستماکثر خدمات امنیتی ، از جمله محرمانه بودن ، صداقت و تأیید اعتبار ، با تکنیک های رمزنگاری مانند رمزهای متقارن / نامتقارن ، کد تأیید پیام ، عملکردهای هش و امضاهای دیجیتال تأمین می شوند.محدودیت های سیستماکثر خدمات امنیتی ، از جمله محرمانه بودن ، درستی و تأیید اعتبار ، با تکنیک های رمزنگاری مانند رمزنگاری متقارن / نامتقارن ، کد تأیید پیام ، عملکردهای هش و امضاهای دیجیتال تضمین می شوند.به دلیل محدودیت حافظه ، توان محاسباتی و عمر باتری در دستگاه هایIoT ، از الگوریتم های پیچیده رمزنگاری مانندRSA نمی توان استفاده کرد.علاوه بر این ، کلیه سازوکارهای امنیتی به کلیدهای مخفی بستگی دارند: کلیدهای رمزگذاری/ رمزگشایی ، کلیدهای تأیید اعتبار ، کلیدهای جلسه و غیره; توزیع این کلیدها به صورت ایمن در چنین مقیاس بزرگ شبکه مانع بزرگی را ارائه می دهد.علاوه بر این ، با افزایش حملات ، پیچیدگی ها بیشتر می شوند و باید ویژگی های امنیتی بیشتری در سخت افزار ادغام شوند که به نوبه خود باعث کاهش عملکرد دستگاه می شود. به همین ترتیب ، بروزرسانی و ایجاد اقدامات متقابل برای مقابله با حملات جدید همچنان یک چالش برانگیز در دستگاه های IoT خواهد بود.عدم استاندارد سازیتنوع دستگاه هایIoT نیز مانعی برای استاندارد سازی است.هر دستگاه یک سیستم مستقل است که شامل سخت افزار ، سیستم عامل ، نرم افزار و رابط های ارتباطی است.ضروری است که امنیت را در مرحله طراحی ، نوشتن کد ایمن و انجام آزمایش های دقیق در طی مراحل ساخت ، گنجانید.با این وجود هیچ روش عملی برای استاندارد سازی و اجرای این روش ها در هر دستگاه وجود ندارد.اگرچه NIST اصول و روشهای کلی را برای تأمین امنیت سیستمهای فناوری اطلاعات ارائه می دهد ، عدم وجود استانداردهای تست امنیتی و حسابرسی برایIoT وجود دارد.حتی اگر چنین استاندارد هایی وجود داشته باشند ، انجام بازرسی های امنیتی در هر دستگاه به دلیل ناهمگونی و حجم زیاد دستگاه ها غیرممکن خواهد بود.اعتماد و صداقت کافیهر دستگاه IoT یک نقطه ورود بالقوه برای حملات است و با توجه به تعداد زیادی از این قبیل دستگاه ها که انتظار می رود تا در آینده نزدیک به50 میلیارد تا سال 2020 می خواهند به بازار عرضه شود ؛ می توان تشخیص داد که هر کدام دارای کنترل مناسب و محافظت در محل و با آخرین تکه های امنیتی به روز می شوند.این عدم قطعیت در پذیرش کاربر از دستگاه های IoT را افزایش می دهد.خطرات دستگاههای نا امن زیاد است زیرا فقط یک پیوند ضعیف در یک شبکه می تواند صدها یا هزاران دستگاه دیگر در شبکه را در دسترس مهاجمان قرار دهد. تحقیقات قبلاً نشان داده است که داده های دارای متر هوشمند را می توان از راه دور دستکاری کرد ، که در مقیاس بزرگ می تواند باعث قطع برق ، شرکت های کم هزینه هزینه میلیارد ها دلار درآمد و در بدترین حالت ، باعث فروپاشی کل شبکه برق شود.با وجود میلیاردها دستگاه متصل به اینترنت ، تأیید اعتماد و صداقت داده های دریافت شده از هر دستگاه IoT ضروری است.آسیب پذیری های نرم افزاراگر دستگاههای IoT برای دریافت به روزرسانی پیکربندی نشده باشند ، نهایتا نرم افزار تعبیه شده ، تاریخ گذاری نمی شود و در صورت ادامه سرویس ، دستگاه ها را در معرض حمله قرار می دهند.نهایتا این نرم افزار تعبیه شده از خط تولید خارج می شود ، احتمالاً این دستگاه ها برای بقیه عمر خود آسیب پذیر باقی خواهند ماند زیرا هیچ گونه به روزرسانی نرم افزاری یا پشتیبانی فنی برای آن ها در دسترس نخواهد بود.به همین ترتیب ، C و ++C به دلیل جای گیری کم در حافظه ، زبان مورد نظر برای نرم افزارIoT بوده اند ، اما بسیاری از برنامه نویسان که برنامه های نرم افزار منبع باز را می نویسند از آسیب پذیری های امنیتی معرفی شده توسط تماس های عملکرد ناامن بی اطلاع هستند.به عنوان مثال ، strcpy و strncpy درC طول بافر را بررسی نمی کنند ، که می تواند نشان دهنده ی آسیب پذیری سرریز بافر در یک برنامه باشد.به این ترتیب ، یک مهاجم می تواند کد دلخواه را اجرا کند یا عملکردهای غیرمجاز دیگری را نیز برای سرقت کلیدهای رمزنگار و استخراج اطلاعات کاربر که در دستگاهIoT ذخیره شده انجام دهد.در سال2016 محققان کشف کردند که میزان سرریز بافر و آسیب پذیری در بالای سر بافر درMatrixSSL X است.گواهینامه 509 ، اجرای منبع آزاد(open source) SSL برای دستگاههای تعبیه شده کم مصرف ، که به مهاجمین از راه دور اجازه می دهد کد های دلخواه را روی سیستم با امتیازات اصلی اجرا کنند.بدافزار دستگاه های IoT را هدف قرار می دهددستگاه های پزشکیIoT مورد توجه مهاجمین قرار گرفته اند زیرا از ویژگی های امنیتی پیشرفته برخوردار نیستند و در نتیجه در برابر بدافزارها آسیب پذیر هستند.در ایالات متحده ، دستگاه های پزشکی باید استانداردهای ایمنی سخت گیرانه ی را رعایت کنند و قبل از انتشار تجاری ، روند تأیید اداره غذا و دارو(FDA) را به صورت بلند مدت طی کنند.هرگونه تغییر در دستگاه های پزشکی از جمله نصب patch ها ، به روزرسانی های امنیتی و نرم افزار امنیتی شخص ثالث باید توسط سازنده دستگاه تأیید شود.به طور معمول ، مدت زمان بیشتری طول می کشد تا دستگاه های پزشکی فرایند اعتبار سنجی و رهاسازی رسمی را نسبت به سیستم های تنظیم شده IT طی کنند.این آسیب پذیری را در چنین دستگاه هایی حتی اگر در مکان های امن در پشتfirewalls نصب شده باشد ، ایجاد می کند.طبق اعلام شرکت امنیت سایبریTrapX ، هکرها در سال 2015 موفق به قرار دادن درب پشتی در وسایل پزشکی در سه بیمارستان شدند که به آنها امکان دسترسی آزاد به داده های بیمارستان را داده بود.در سال 2013 ، سه سال قبل از حمله سایبریDyn ، سیمانتک( Symantec) لینوکس را کشف کرد.کرم دارلوز (Darlloz worm)، که از آسیب پذیری های PHP برای آلوده کردن دستگاه هایIoT مانند تلویزیون و روتر سوء استفاده می کند.مثلا گزارش داده شده بود که یک دوربین امنیتی پس از اتصال به یک شبکه Wi-Fi ، طی 98 ثانیه توسط بدافزارهای مشابه Mirai آلوده شد.————————— * فقط یک خط اتصال ضعیف در یک شبکه می توانید از طریق آن به هزاران حمله یا هزاران دستگاه دیگر در شبکه دسترسی داشته باشید. * ——————رابط های ناامن وبواسط های ناامن وب در برابر دستگاه های IoT و در حملات مانند شمارش حساب ، ورود به سیستم Brute-Force (حملهBrute Force یکی از روشهای هکرها برای یافتن رمزهای عبور میباشد) یا قفل حساب آسیب پذیر هستند.به عنوان مثال ، مهاجمی که می توانند با استفاده از یک روش Brute-Force به وب سایت وارد شوند و به ویژگی های اداری و داده های حساس دسترسی پیدا کنند.آنها می توانند اعتبار کاربران قانونی را تغییر دهند و منجر به انکار دسترسی آن کاربران یا در برخی موارد به طور کامل دستگاه شوند.این آسیب پذیری در دستگاه های بی رحم IoT همه جا وجود دارد ، زیرا بیشتر توسعه دهندگان برنامه فرض می کنند که فقط کاربران داخلی قابل اعتماد به رابط وب دستگاه دسترسی دارند.این آسیب پذیری در دستگاه های (IoT (Brute-Force همه جا حضور دارد ، زیرا بیشتر توسعه دهندگان برنامه فرض می کنند که فقط کاربران داخلی قابل اعتماد به رابط وب دستگاه دسترسی دارند. با این حال ، تهدیدات کاربران خارجی به همان اندازه قدرتمند است. تجزیه و تحلیل پویا اخیر تصاویرfirmware ، بیشتر از50 فروشندگان نشان داد که24 درصد آسیب پذیری رابط وب دارند ، از جمله225 آسیب پذیری با تأثیر بالا.مسائل خصوصیاز آنجا که بیشتر دستگاه های IoT برای جمع آوری داده های شخصی استفاده می شوند ، محافظت از حریم خصوصی کاربران نهایی به یک چالش تبدیل می شود.در 6 فوریه 2017 ، ویزیو ، یکی از بزرگترین تولید کنندگان تلویزیون های هوشمند جهان ، موافقت کرد که 2.2 میلیون دلار جریمه به کمیسیون تجارت فدرال ایالات متحده و دفتر دادستان کل نیوجرسی برای پیگیری مشاهده داده ها از 11 میلیون تلویزیون بدون اطلاع مصرف کننده بپردازد. علاوه بر این ، با رشد فن آوری های بزرگ داده ، استفاده از تجزیه و تحلیل داده های عمیق ممکن است در نهایت همه داده های پراکنده و بدون ساختار در اینترنت را به هم متصل کند.این اطلاعات بسیار بیشتر از آنچه که تاکنون می دانستیم درباره ما نشان می دهد.بخش های زیربنایی برای امنیت ، اقتصاد و بهداشت عمومی و یا ایمنی کشور مشخص شده است ، و همه این ها حداقل به بخشی از اینترنت وابسته هستند.مانند همه انواع امنیت ، امنیت IoT با پیشرفته ترین تکنیک های مستقر ، بلکه ضعیف ترین پیوند اندازه گیری نمی شود. حتی هنگامی که آسیب پذیری گزارش شده و یک تکه امنیتی برای یک دستگاهIoT ایجاد شده است ، هیچ تضمینی برای به روزرسانی اعمال نخواهد شد ؛ خواه از طریق جهل ، بی تحرکی یا بی کفایتی باشد. آسیب پذیری ها همیشه می توانند توسط کاربران مخرب پیدا و مورد سوء استفاده قرار می گیرند.کاهش ریسکبا وجود بسیاری از چالش ها ، ایجاد اطمینان و امنیت در پایان برای برنامه های IoT ، می توان برای کاهش خطرات گام برداشت.سیاست های امنیتیبسیاری از اصول امنیتی موجود ، مانند لایه بندی و محدود کردن ، می توانند به کاهش خطرات امنیتی برنامه هایIoT کمک کنند. به عنوان مثال ، با فرض اینکه دستگاه های IoT می توانند نقض شوند ، می توان آنها را به لایه دیگری از شبکه اصلی جدا کرد.اگر دستگاه های IoT در هسته شبکه باید ساکن باشند، می توان از تقسیم شبکه و یک شبکه مجازی برای جداسازی دستگاهها استفاده کرد. علاوه بر این ، محدود کردن دسترسی به اطلاعات باید در دستگاه های IoT اعمال شود. سایر سیاستهای امنیتی مانند تنوع ، گمنامی و سادگی نیز برای مدیریت دستگاههای IoT اداره شوند.حملهDDoS به Dyn نشان می دهد که اجرای سیاست های امنیتی بر روی دستگاه هایIoT در یک شبکه چقدر مهم است.با استفاده از این واقعیت که بسیاری از کاربران اعتبار پیش فرض دستگاه ها را تغییر نمی دهند،68 جفت نام کاربری و رمزعبور پیش فرض رایج ، سعی در کنترل دستگاه ها و تشکیل یک بات نت(botnet) می کند.شناسایی دستگاه و ردیابی مکانشناسایی و ردیابی مکان همه دستگاه هایIoT در یک شبکه برای امنیت بسیار مهم است. برخی از دستگاه هایIoT در مکان های ناامن مانند کنار جاده ها و پل ها مستقر می شوند ، جایی که هر کس با دانش کافی می تواند سخت افزار خود را برای تولید داده های اشتباه تغییر دهد.سیستم های موقعیت یابی داخلی به ویژه در برابر حملات لایه های فیزیکی مانند فریب استفاده از مکان ، آسیب پذیر هستند: سیگنال هایی که برای شناسایی وسیله ای استفاده می شوند می توانند برای جعل مکان آن ضبط و تغییر دهند. تکنیک های مطابقت با یک سرویس درخواستی با هویت و مکان دستگاه ، در مقابله با چنین تهدیدهایی کمک خواهد کرد- به عنوان مثال ، تشخیص یک دوربین امنیتی که به طور نادرست درخواست دسترسی به بانک اطلاعات مالی فروشگاه خرده فروشی را داشته باشد.محاسبات مهمحاسبات مه ، با نزدیک کردن محاسبات به منبع داده ، فاصله بینIoT و ابر را پر می کند.دستگاههایIoT محدود به منابع ، توانایی کمی یا ناچیزی در محافظت از خود در برابر حملات سایبری پیچیده دارند.با اتخاذ یک معماری محاسبات مه ، توسعه دهندگان برنامه IoT می توانند با استفاده از گره های مه در نزدیکی که به عنوان فرستنده کار می کنند ، یک استراتژی دفاعی در عمق استفاده کنند.گره مه بالادستی با قدرت پردازش کافی می تواند ترافیک مخرب را قبل از ورود به سیستم شناسایی و فیلتر کند.استراق سمع روی داده ها نیز بسیار دشوار است ، زیرا مهاجمان باید در نزدیکی گره های مه قرار گیرند ، که احتمال کشف را افزایش می دهد.به طور مشابه ، ذخیره سازی داده ها روی گره های مه مهمی می تواند محافظت از حریم خصوصی بهتری نسبت به ذخیره داده در دستگاه ها داشته باشد ، که به دلیل کوچک بودن آنها به راحتی می توان سرقت کرد.بسیاری از دستگاه های IoT از ابر برای ذخیره داده و همگام سازی با یکدیگر استفاده می کنند.از آنجا که نقض داده ممکن است در هر کجا که در مسیر ابر قرار داشته باشد ، اطمینان از اطمینان و امنیت در انتهای برنامه های IoT بسیار مهم است.ما یک مدل سه بعدی جدید برای شناسایی تهدیدات برای IoT تهیه کردیم و در مورد9 چالش امنیتی موجود و همچنین شیوه های کاهش خطرات امنیتی بحث کردیم.در کار بعدی ، ما قصد داریم تا این مدل را گسترش دهیم تا تصویری کامل تر از محل وقوع حملات IoT بدست آوریم.

Author: admin

دیدگاهتان را بنویسید

نشانی ایمیل شما منتشر نخواهد شد. بخش‌های موردنیاز علامت‌گذاری شده‌اند *