آزمایشگاه تخصصی آپا دانشگاه فردوسی مشهد::FUM CERT Lab. (Computer Emergency Response Team)

پیش‌بینی روند امنیت اینترنت اشیاء در سال 2018

عنوانپیش‌بینی روند امنیت اینترنت اشیاء در سال 2018
گروه اصلیOther
شرح خبر

موضوع امنیت، موضوع‌های پیرامون اینترنت اشیاء را نیز در بر می‌گیرد. انتظار می‌رود در سال آینده، بحث‌ها مسیری کاملاً متفاوت را دنبال کنند.

آیا برای موجی در بدافزارهای دوگانه (hybridized) آماده هستید؟ برای بات‌نت‌های اینترنت اشیا که ارز دیجیتال استخراج می‌کنند چطور؟ بر مبنای مصاحبه‌های انجام شده با چند تن از کارشناسان امنیت اینترنت اشیا، این‌ها تنها دو مورد از احتمالاتی هستند که در افق سال آینده قابل پیش‌بینی‌اند. در این مقاله به این موضوعات پرداخته می‌شود، اما این مسأله را نیز در نظر می‌گیریم که با توجه به رشد روزافزون فناوری‌های مرتبط مانند هوش مصنوعی، محاسبات کوانتومی و ابزارهای خودکارسازی شبکه و امنیت، در سال 2018 چه مسائل دیگری قابل پیش‌بینی است.

1.      نرم‌افزارهای مخرب اخاذی پول و «بدافزارهای ترکیبی» رشد بیشتری پیدا می‌کنند

به گفته Song Li، بنیان‌گزار و مدیر ارشد فناوری NewSky Security، «نرم‌افزارهای مخرب اخاذی پول در سال 2017 بیشتر و بیشتر پیشرفت کردند. در حالی که اکثر نرم‌افزارهای اخاذی پول سنتی، برای تحریم کاربران از پلت‌فرم‌های محاسباتی، از رمزنگاری استفاده می‌کنند، احتمال دارد در سال آینده هکرها تنوع وسیع‌تری از حملات اخاذی پول را آغاز کنند. نرم‌افزارهای اخاذی پول مبتنی بر اینترنت اشیاء ممکن است بر روی سرقت داده‌ها و یا غیر فعال‌سازی عملکرد دستگاه هدف تمرکز کنند.» دوربین‌های مداربسته می‌توانند فیلم‌هایی با دقت بالا، از کف کارخانه تا درون خانه، ضبط کنند. «هکرها ممکن است بگویند: تا زمانی که به من بیت‌کوین ندهی، این فیلم را منتشر خواهم کرد.» یک احتمال دیگر این است که هکرها از دستگاه‌های اینترنت اشیاء، مانند وب‌کم‌ها استفاده کنند، تا ترافیک ورودی به آدرس وب‌سایت‌های آلوده شده به بدافزار را به شدت کاهش دهند. طبق گفته Ofer Amitai، بنیان گذار و مدیر اجرایی Portnox، «این آدرس به نوبه خود می‌تواند برای استخراج داده از نقطه پایانی دسترسی استفاده شود و برای بازگرداندن داده‌های رمزنگاری شده درخواست اخاذی پول کند.»

همچنین، یک هکر ممکن است تهدید به غیرفعال‌سازی عملکرد یک قفل هوشمند یا یک ترموستات کند تا زمانی که پرداخت انجام شود. البته هیچ راهی برای حصول اطمینان از اینکه هکرها به حرف‌های خود وفادار می‌مانند وجود ندارد. «ما این را زمانی دیدیم که هکرها از حمله اخاذی پول استفاده کردند تا به کاربر اجازه ورود به سیستمش را ندهند و بگویند: من نیاز به ارز دیجیتال بیشتری دارم.»

در سال آینده ممکن است شاهد ادامه ترکیب شدن سوء استفاده‌های بدافزاری باشیم، به‌طوری که حملات DDoS، اخاذی پول و سایر حملات با یکدیگر ادغام شوند. به گفته Peter Tran، مدیر کل و رئیس ارشد RSA’s Advanced Cyber Defense، «این امر منجر به رشد مفهومی می‌شود، که من آن را «بدافزارهای ترکیبی» می‌نامم. با توجه به رشد روزافزون تعداد دستگاه‌های اینترنت اشیاء، تغییرات متنوع حملات، غیر قابل پیش‌بینی خواهد بود.»

2.      بات‌نت‌های اینترنت اشیاء، ارز دیجیتال را هدف قرار می‌دهند

با توجه به افزایش اخیر ارزش ارز دیجیتال و رقابت گرمی که در استخراج ارز دیجیتال وجود دارد، تنها هکرهای طبیعی کاری می‌کنند تا با بهره‌گیری از این رشد عظیم، سرمایه خود را رونق ببخشند. به گفته Amitai، «بسیاری از افراد معتقدند پایگاه دیجیتال ثبت تراکنش‌های کامپیوتری (blickchain) غیر قابل هک است، اما شاهد افزایش حملات علیه برنامه‌های مبتنی بر این پایگاه دیجیتال هستیم.» آسیب‌پذیری اصلی که در اینجا وجود دارد، خود این پایگاه دیجیتال نیست، بلکه برنامه‌هایی است که آن را اجرا می‌کنند. طبق پیش‌بینی Amitai، «به منظور استخراج کلمات عبور و کلیدهای خصوصی برای هک این برنامه‌ها، مهندسی اجتماعی بیش از قبل مورد استفاده قرار خواهد گرفت.»

به گفته Ankit Anubhav، محقق امنیتی NewSky Security، «هم‌اکنون استخراج‌های مبتنی بر بات‌نت اینترنت اشیاء، در ارز دیجیتال متن‌باز Monero رو به افزایش است و هکرها برای استخراج بیت‌کوین دوربین‌های امنیتی را پیشنهاد کرده‌اند.»

به گفته Tran، «همانند ارزش ارز سنتی و ساختارهای غیرقابل پیش‌بینی، خطر این است که بازار آزاد از طریق کاوشگران بات‌نت اینترنت اشیاء طغیان کند، رخنه‌هایی در پایگاه دیجیتال ارز ایجاد شود و یکپارچگی داده‌ها از بین برود، و دستکاری و سرقت‌هایی بزرگ بر روی حجم عظیمی از ارز دیجیتال انجام شود.»

3.      فروشندگان، امنیت را برای عصر محاسبات کوانتومی بررسی خواهند کرد

مسابقه محاسبات کوانتومی جهانی در سال 2017 شدت گرفت. در عرض چند ماه، اینتل یک چیپ تست 17 کوانتوم بیتی عرضه کرد، مایکروسافت یک زبان برنامه‌نویسی جدید برای توسعه برنامه‌های کوانتومی ارائه داد و آی بی ام یک نمونه اولیه از کامپیوتر 50 کوانتوم بیتی تولید کرد. به گفته Louis Parks، مدیر اجرایی ارشد SecureRF، این پیشرفتها، فوریت رسیدگی به تهدیدات امنیتی بالقوه‌ای را که به موازات محاسبات کوانتومی ایجاد می‌شوند و احتمالاً در کمتر از یک دهه به صورت تجاری در دسترس قرار می‌گیرند، افزایش می‌دهد.

در حالی که کارشناسان نظرات گوناگونی پیرامون محاسبات کوانتوم کاربردی دارند، توجه به این موضوع رو به افزایش است. همان‌طور که آژانس امنیت ملی اعلام کرد، حملات مبتنی بر محاسبات کوانتومی، رمزنگاری کلید عمومی را منسوخ خواهند کرد و به‌طور بالقوه محصولات بی‌شماری از اینترنت اشیاء را در معرض حملات آسیب‌پذیر قرار خواهند داد. به گفته Li، «در مواجهه با محاسبات کوانتومی، کامپیوترهای مدرن می‌توانند به ابزار جیبی محاسباتی که در «راهنمای پیاده‌روی به کهکشان (HitchHiker’s Guide to the Galaxy)» تشریح شده بود، تبدیل شوند. برای یک کامپیوتر قدیمی، رمزگشایی مانند تست‌کردن کلیدهای مختلف بر روی قفل است، تا زمانی که بالاخره کلید درست پیدا شود. یک کامپیوتر کوانتومی تمام کلیدها را به یکباره تست می‌کند تا کلید درست پیدا شود.»

به گفته Parks، «ما معتقدیم سال 2018 نقطه عطف مهمی خواهد بود و برای اولین بار مهندسان در گستره وسیعی از بازارها، از جمله پزشکی، خودرو، تجزیه و تحلیل داده‌ها و صنایع هوا فضا با چالش‌های رایانه ای کوانتومی مواجه خواهند شد. فروشندگان دستگاه‌های نیمه رسانا، ارائه‌دهندگان پلت‌فرم‌های اینترنت اشیاء و تولیدکنندگان محصولات الکترونیکی که محصولات تولیدی آن‌ها برای 10 سال یا بیشتر مورد استفاده قرار خواهد گرفت، در سال 2018 در می‌یابند که باید با تهدیدات امنیتی ناشی از محاسبات کوانتومی مواجه شوند. آن‌ها همانگونه که برای مواجهه با چالش‌های امنیتی مرتبط با تکامل محاسبات کوانتومی آماده می‌شوند، باید ماندگاری محصولات خود در آینده را نیز در اولویت قرار دهند.»

Li معتقد است که محاسبات کوانتومی، چشم‌انداز امنیت اینترنت اشیاء را تحت تأثیر قرار می‌دهد. «محاسبات کوانتومی هنوز راه طولانی در پیش دارد.» مکانیزم‌های رمزنگاری فعلی در حال حاضر پاسخگو هستند، اما ریاضی‌دانان می‌باید الگوریتم‌های رمزنگاری ارائه دهند که حل آن‌ها حتی برای کامپیوترهای کوانتومی چندین سال زمان ببرد.

روند دیگری که در چشم‌انداز سال‌های آینده مشاهده می‌شود، افزایش هکرهایی است که از کامپیوترهای کوانتومی استفاده می‌کنند. به گفته Li، «کامپیوترهای کوانتومی نه فقط برای حمله، بلکه برای دفاع نیز مورد استفاده قرار خواهند گرفت.»

4.      بسیاری از حملات اینترنت اشیاء بدون اینکه شناسایی شوند و مورد توجه قرار گیرند، اتفاق می‌افتند

در سال 2016، بزرگترین بدافزار مبتنی بر اینترنت اشیاء، بات‌نت Mirai بود، که بسیاری از وب‌گاه‌های مهم را با مشکل مواجه کرد. یکی از به‌یاد ماندنی‌ترین بات‌نت‌های 2017 احتمالاً Reaper می‌باشد- اصطلاحاً IoTroop نیز نامیده می‌شود- که عمدتاً خطرناک‌تر از Mirai بوده و به میزان قابل توجهی کمتر به درخواست شما وابسته است. زمان مشخص می‌کند که آیا Reaper یک تهدید بزرگ بود یا نه، اما تعدادی از مهم‌ترین تهدیدهای امنیتی اینترنت اشیاء ممکن است به اندازه کافی کوچک باشند که بتوان از آن‌ها چشم‌پوشی کرد. طبق گفته Tran، «ما تعداد بیشتری از آنچه من «نقص میکرو» می‌نامم خواهیم دید، که از آسیب‌پذیری‌های عامل کوچک‌تر هستند و با بهره‌گیری از فناوری‌های نظارت و تشخیص فعلی، قابل رفع می‌باشند.» در حالی که بسیاری از ابزارهای امنیتی به دنبال شناسایی آسیب‌پذیری‌های بحرانی هستند، بسیاری از آسیب‌پذیری‌های اینترنت اشیاء مشابه خطاهای کوچک گردکردن در دفاتر حسابداری عمومی می‌باشند.» این مشکلات به لحاظ مقیاس آنچنان قابل توجه نیستند که به آن‌ها پرداخته شود، اما می‌توانند بسیار خطرناک باشند. آن‌ها می‌توانند با سرعتی بیشتر از حملات سنتی «پر سر و صدا و پر افتخار» مبتنی بر شبکه، با یکدیگر منطبق، دسته‌بندی و مقیاس بندی شده و در نهایت حمله کنند.»

Song Li با این مسأله موافق است و می‌گوید انتظار حملات مبتنی بر اینترنت اشیاء بیشتری دارد، که به دلیل ظرافت زیاد قابل شناسایی نیستند. «اگر هکرها به جای پلت‌فرم‌های محاسباتی، خودرو‌ها را هدف قرار می‌دادند، مانند این بود که آن‌ها حفره‌ای کوچک در باک بنزین این ماشین‌ها ایجاد کنند. خودرو‌ها مقدار کمی روغن از دست می‌دادند، اما همچنان عملکرد نرمال داشتند. اما مشکل اینجاست که: در هر صورت محیط زیست آلوده می‌شد.»

5.      خودکارسازی در مرحله مرکزی قرار می‌گیرد

همانطور که پیاده‌سازی اینترنت اشیاء به مرحله‌ای می‌رسد که شرکت‌ها صدها یا هزاران دستگاه اینترنت اشیاء دارند، از منظر شبکه و جمع‌آوری داده، مدیریت دشوارتر می‌شود. ابزارهای هوش مصنوعی و خودکارسازی می‌توانند به مدیران شبکه و کارکنان امنیتی کمک کنند تا به‌وسیله اعمال قوانین و شناسایی الگوهای ترافیکی غیر عادی، این آشفتگی را مهار کنند. به گفته Amitai، «احتمالاً در سال 2018، خودکارسازی به عنوان روند امنیتی پیشرو در مرحله مرکزی قرار می‌گیرد. در مجموع، این خبر خوبی است، چرا که تضمین می‌کند افراد بیشتری از وضعیت امنیتی مناسب برخوردار شوند و برای دستگاه‌های ماژولار مانند اینترنت اشیاء، که هنگام ارتقاء نرم‌افزارهای سیستمی دچار مشکل می‌شوند، معقول به نظر می‌رسد.»

به گفته Tran، «چشم‌انداز خودکارسازی در مقیاس گسترده، مخاطراتی نیز در بر خواهد داشت. خودکارسازی مبتنی بر یادگیری ماشین و هوش مصنوعی در حوزه اینترنت اشیاء، سیستم‌های خودمختار را به اتخاذ تصمیمات خودکار «در میان میلیون‌ها عملکرد برای زیرساخت‌های بزرگتر مانند حمل و نقل، برق، بهداشت و ...» هدایت می‌کند. به علاوه، الگوریتم‌های مورد استفاده در این سیستم‌ها نیز ممکن است دچار خطا شوند.»

6.      هکرها انواع مختلفی از دستگاه‌های مختلف را هدف قرار می‌دهند

در سال 2016، تعداد زیادی از دوربین‌های مداربسته نا امن، راه را برای بات‌نت Mirai که یکی از قوی‌ترین‌هاست، هموار کردند. با توجه به تعداد زیاد دوربین‌های دارای کلمه عبور پیش‌فرض ( و یا فاقد کلمه عبور)، که پهنای باند و توان محاسباتی آن‌ها می‌تواند مورد سوء استفاده بات‌نت‌ها قرار گیرد، این دوربین‌های مداربسته همچنان به عنوان تهدیدی مهم در سال 2018 به شمار می‌آیند.

به گفته Li، «هکرها دائما به دنبال راه‌هایی هستند که بات‌نت‌ها را با بهره‌گیری از دستگاه‌های مختلف ایجاد کنند. این دستگاه‌ها می‌توانند پرینترهای فاقد کلمه عبور و یا دارای کلمه عبور ضعیف باشند. در چین، هکرها حتی قفل‌های هوشمند را نیز هدف قرار می‌دهند.»

7.      حملات حسگر فراگیر می‌شود

با توجه به اینکه اینترنت اشیاء نتیجه شبکه حسگرهاست، منطقی به‌نظر می‌رسد که حسگرهای متصل، خود به عنوان یک آسیب‌پذیری امنیتی ظهور کنند. هکرها تلاش می‌کنند تا با ارسال انرژی به حسگرهایی که نمی‌توانند توسط انسان‌ها حس ‌شوند، حملات مبتنی بر حسگر را به‌صورت مخفیانه آغاز کنند. مثال‌هایی از این حملات می‌تواند ارسال سیگنال‌های فراصوت به یک سیستم کنترل صدا یا ارسال سیگنال‌های مادون قرمز به دوربین‌ها باشد.

8.      حریم خصوصی به یک جزء حیاتی در بحث‌های پیرامون اینترنت اشیاء بدل می‌شود

شرکت‌های تجاری در حال نصب تعداد رو به رشدی از دستگاه‌های اینترنت اشیاء هستند، از جمله ترموستات‌ها و سیستم‌های تهویه مطبوع، تلویزیون‌های هوشمند در اتاق‌های جلسات، پرینترها و روشنایی هوشمند. در خلال این مسأله، اینترنت اشیاء صنعتی در حال پیشرفت است و مصرف کنندگان بیشتر و بیشتر به استفاده از دستگاه‌هایی مانند اسپیکر هوشمند علاقه پیدا می‌کنند. علی‌رغم این رشد در اتصالات، انشعابات حریم خصوصی محیط‌های متصل، نامعلوم باقی می‌ماند. به گفته Don DeLoach، نویسنده The Future of IoT: Leveraging the Shift to a Data Centric World، «حریم خصوصی به یک فیل در اتاق تبدیل می‌شود.»

در حال حاضر، پیشرفت در زمینه ردیابی داده‌های حساس، توسط کمپانی‌های بزرگ، منجر به بی اعتمادی عموم شده است. به گفته DeLoach، «رویدادهای اخیر در ایالات متحده، در رابطه با وب‌گاه‌های رسانه‌های اجتماعی برجسته، به این گفتگوها اضافه شده است، اما رخداد قریب‌الوقوع و واقعی این است که مقررات حفاظت از داده‌های عمومی اتحادیه اروپا (GDPR)، در ماه می 2018، تحت تأثیر قرار خواهد گرفت. اساساً، GDPR به منظور حفاظت از کلیه اطلاعات شخصی طراحی شده و شرکت‌های ناقض GDPR با جریمه‌هایی تا 4% درآمد سالیانه خود مواجه خواهند شد.»

GDPR در حال حاضر توجه را از کمپانی‌های بین‌المللی و آمریکایی که در اروپا تجارت می‌کنند، برداشته است. DeLoach توضیح می‌دهد: «به‌علاوه، اکثریت از جمله آمریکای شمالی، از GDPR انتظار دارند که به عنوان شاخص برتر در زمینه قوانین حریم خصوصی عمل کند.»

مسأله دیگری که باید به آن توجه شود، نقض داده‌های Equifax مربوط به 145.5 میلیون نفر در سال 2017 است که پیچیدگی‌های جدید حفاظت از اطلاعات شناسایی شخصی مانند نام، آدرس و کد ملی را برجسته می‌کند. به گفته DeLoach، «موضوع بحث‌های مرتبط با حریم خصوصی در آینده، بر روی انواع دیگری از اطلاعات تمرکز می‌کند، از جمله: آدرس‌های IP، موقعیت جغرافیایی، جستجوی وب، لاگ‌های تلفن و موارد بسیار دیگر. داده‌های اینترنت اشیاء با این اطلاعات تکمیل می‌شود و نیاز به قالب‌های متفاوت برای شناسایی دارد. این امر زمان‌بر خواهد بود. متاسفانه برای شرکت‌های درگیر یا شرکت‌های مبتنی بر اتحادیه اروپا، زمان کافی وجود ندارد. بنابراین مشابه سایر پیش‌شرط‌های «سنگین» (burdensome) گذشته مانند BaselII و MiFID در صنعت خدمات مالی، GDPR به یک موضوع حریم خصوصی قابل توجه، در تمامی محافل، تبدیل می‌شود.»

به گفته Tran، «اگر نقض Equifax یادآور آسیب‌پذیری PII بود، اینترنت اشیاء می‌تواند موضوعات را به طرز قابل محافظه‌ای پیچیده کند، و به عنوان ضریب شدت عمل، برای حملاتی که اطلاعات شناسایی شخصی (PII) را هدف قرار می‌دهند، عمل کند. من افزایش استفاده از فناوری‌هایی مانند Blockchain و نشانه‌گذاری داده‌ها را، برای اصلاح ساختارهای داده فعلی PII، پیش‌بینی می‌کنم. به این نکته توجه داشته باشید که هکرها برای اهدافشان به دنبال ویژگی‌های بسیار خاصی مانند ارزش داده، حجم و سهولت دسترسی هستند. کافی است یک یا چند مورد از این ویژگی‌ها کنار گذاشته شود، تا داده، ارزش کمی به عنوان یک کالا برای جرایم سایبری داشته باشد.»

آدرس اینترنتی خبرhttp://www.ioti.com/security/8-iot-security-trends-look-out-2018
تاریخ درج خبر1396-09-23
صفحه اصلی | تماس با ما | معرفی آزمایشگاه | ورود
©2018 Ferdowsi University Of Mashhad
مرکز آپا | آپا | آپا چیست