info[at]nsec.ir
(+۹۸)-۳۱-۳۳۹۱۵۳۳۶

لزوم تجدید نظر کلی در امنیت ابزار‌های اینترنت اشیا - ابزار‌های اینترنت اشیا با تغییر پسورد امن نخواهند شد!

خلاصه: حملات منع دسترسی توزیع‌شده اخیر که در سطر اینترنت رخ داد توجه همه کارشناسان را به یک موضوع مهم جلب کرد. در همه این حملات، ابزار‌های اینترنت اشیا نقش پر‌رنگی در حملات داشتند. این موضوع،  نگرانی در مورد عدم امنیت این ابزار‌ها را بیش از پیش برانگیخت. عده‌ای از کارشناسان مصرف‌کنندگان را مقصر مشکل امنیتی این ابزار‌ها معرفی کردند. اما این بی انصافی است که تنها کاربران مقصر در این مشکل امنیتی شناخته شوند و تولید‌کنندگان هم باید مسئولیت خود را در این مشکل امنیتی پذیرفته و راهکار‌های لازم را برای برطرف کردن این مشکل انجام دهند.

برای رفع مشکل امنیت ابزار‌های اینترنت اشیا (Internet of Things) باید امنیت در همه حلقه‌های از تولید تا مصرف در نظر گرفته شود؛ امنیت و حریم خصوصی باید از خط تولید تا نصب در خانه یا محیط مورد نظر و نحوه یکپارچه شدن با دیگر ابزار‌ها و برنامه‌ها تا چگونگی پیکربندی و اعتبار‌نامه‌ها و پروتکل‌های امنیتی مورد استفاده، در طول همه این چرخه زندگی یک ابزار، مورد توجه قرار گیرد.

واقعیت این است که اکنون این مراحل استاندارد‌های امنیتی را به خوبی پیاده سازی نکرده و رعایت نمی‌کنند. در واقع این افزایش نگرانی در مورد ابزار‌های اینترنت اشیا می‌تواند برای این صتعت یک فرصت تلقی شود. همه اجزای این صنعت باید تلاش کنند تا امنیت را در همه جنبه‌های این ابزار‌ها در نظر بگیرند. این کار البته یک شبه اتفاق نمی‌افتد و نیازمند یک روند منطقی برای رسیدن به این هدف است.

 

توکن‌ها به جای کلمه‌های عبور

تغییر پسورد رابط کاربری یک ابزار اولین کاری است که باید در هنگام اتصال دستگاه به شبکه انجام داد. یک ابزار جدید نیاز دارد تا دسترسی‌های لازم را برای اتصال به شبکه و برنامه‌های لازم بگیرد. این که چگونه این مجوز دسترسی به یک دستگاه جدید داده شود یک چالش امنیتی است و نحوه برخورد با آن می‌تواند سطح امنیتی آن را تحت تاثیر زیادی قرار دهد.

ابزار‌های جدید نیاز به اتصال به اینترنت دارند و این نیاز معمولا از طریق مودم‌های بی‌سیم انجام می‌پذیرد. اجازه دسترسی به اینترنت وای‌فای معمولا با در اختیار گذاشتن کلمه عبور در اختیار ابزار جدید انجام می‌پذیرد. این عمل علاوه بر اینکه با در اختیار گذاشتن کلمه عبور برای دستگاه‌های مختلف، امنیت آن را کاهش می‌دهد، امکان این‌که بتوان برای دستگاه‌ها و ابزار‌های مختلف سطح دسترسی متفاوت ایجاد کرد را ندارد. برای رفع این مشکل می‌توان با اختصاص یک توکن امنیتی به هر دستگاه، علاوه بر ایجاد دسترسی آن به اینترنت به صورت مشخص، از فاش شدن کلمه عبور از طریق دستگاه‌های جانبی جلوگیری می‌شود. برای این منظور می‌توان از مدلی مشابه Oath که یک مدل استاندارد در تشخیص هویت در وب‌سایت‌ها است استفاده کرد.

مساله دیگر استفاده ابزار‌های اینترنت اشیا از سرویس‌های ابری است. مشکل احراز هویت در سرویس‌های ابری نیز مشابه مشکل در احراز هویت در شبکه‌های بی‌سیم است. احراز هویت در سرویس‌های ابری به هویت کاربر گره خورده و در اختیار قرار دادن اطلاعات کاربر برای هر ابزار اینترنت اشیا امتیت کاربر را به مخاطره می‌اندازد. به عنوان مثال ترموستات Nest اگر بخواهد از یک API گوگل استفاده کند باید اطلاعات کاربر را ارائه کند. در صورتی که این مشکل می‌تواند با در قرار دادن توکن‌های امنیتی در اختیار ابزار، مشکلات بیان شده را حل می‌کند. در واقع دیگر کاربر نیاز ندارد تا با قرار دادن کلمه عبور خود در اختیار دستگاه‌های مختلف، امکان فاش شدن آن را بالا ببرد و دستگاه‌ها احراز هویت خود را با توکن‌های امنیتی انجام خواهند‌ داد.

 

 

گام‌های رو به جلو

حمله‌های منع دسترسی توزیع شده که با استفاده از ابزار‌های اینترنت اشیا انجام شد بیشتر از ابزار‌های قدیمی استفاده کرده که از ابزار‌ها و سیستم‌های امنیتی به روز برخوردار نیستند. این امر نشان می‌دهد شرکت‌ها و تولید‌کننده‌ها در سال‌های اخیر با در نظر گرفتن کلمه عبور به عنوان تنها عامل احراز هویت، یک سهل‌انگاری امنیتی انجام داده است. این در حالی است که مدل‌ها و مکانیزم‌های امنیتی مختلفی همچون Oath، OpenID و FIDO ‪(Fast Identity Online)‬ برای ضمیمه شدن به کلمه عبور و یا حتی حذف آن به عنوان ابزار احراز هویت ارائه شده‌اند. صنایع مربوطه و تولید‌کنندگان باید با الهام گرفتن از این مدل‌ها و با توجه به محدودیت‌های توان پردازشی و انرژی ابزار‌های اینترنت اشیا، مدل‌ها و مکانیزم‌های امنی را برای احراز هویت در کنار کلمه عبور و یا حتی بدون استفاده از آن ارائه کنند.

 

این برهه زمانی می‌تواند بهترین فرصت برای جامعه اینترنت اشیا باشد تا با امن کردن این ابزار‌ها استفاده از آن‌ها را ساده‌تر و ایمن‌تر کرده تا از آسیب‌های جدی که ممکن است در آینده اتفاق بیافتد جلوگیری کنیم. امروز هکر‌ها قسمتی از اینترنت را مختل کردند، این آسیب ممکن است فردا گریبانگیر شبکه برق و دیگر زیر‌ساخت‌های مهم جامعه شود. جامعه صنعت باید در زمینه امن‌سازی این ابزار‌ها مسئولیت خود را قبول کرده و در راستای امن‌سازی هرچه زودتر این ابزار‌ها اقدام کند.