۱۰ آسیب پذیری اینترنت اشیاء IOT

اینترنت اشیا

همه ما می دانیم که امنیت یک مسئله بزرگ دراینترنت اشیاء است، اما  ما باید به طور خاص از چه چیزی بیشتر بترسیم؟ OWASP، ده آسیب پذیری قابل توجه را شناسایی کرده است. سوالات امنیتی در مورداینترنت اشیاء، حتی قبل از نام  گذاری آن وجود داشته . همه افراد از فروشندگان تا شرکت های سازمانی و مصرف کنندگان نگران این هستند که دستگاه ها و سیستم های جدید با IoT  به خطر بیافتند. مشکل در واقع ترسناک تر از آن است که به نظر میرسد، به این دلیل که میتوان از طریق دستگاه های آسیب پذیر هک شده IoT به شبکه های غول پیکر و یا حتی شبکه های امن دسترسی پیدا کرد. اما دقیقا بزرگترین مشکلات و آسیب پذیری در هنگام ایجاد سیستم، استقرار یا مدیریت  IoT چیست؟

ما چه کاری برای کاهش و مدیریت این مسائل می توانیم انجام دهیم؟

 این همان جایی است که OWASP -( the Open Web Application Security Project )وارد می شود. به عبارت دیگر، “OWASP طراحی شده است تا به تولید کنندگان، توسعه دهندگان و مصرف کنندگان کمک کند به درک دقیقی از مسائل امنیتی دراینترنت اشیاء برسند ، و در هر شرایطی قادر به تصمیم گیری بهتر امنیتی در هنگام ساخت، استقرار و یا ارزیابی فناوری های IOT بشوند. ”

 به این ترتیب، در روز کریسمس، OWASP ده آسیب پذیری IOT خود را برای  سال ۲۰۱۸ منتشر کرد. بیایید نگاهی به لیست بیاندازیم:

 

 ۱. کلمات عبور ضعیف و قابل حدس زدن

 “استفاده از کلمات اعتباری که به صورت عمومی و غیر قابل تعویض، به راحتی brut-force می شوند، یا وجود back door در سیستم عامل یا نرم افزار مشتری که دسترسی غیرمجاز به سیستم های مستقر را فراهم می کند.”

 صادقانه بگویم این مسئله بسیار واضح است که من به سختی می توانم باور کنم که هنوز باید در مورد آن فکر کنیم. من اهمیتی نمی دهم که چگونه دستگاه یا نرم افزار IoT ارزان یا بی خطر باشد، هیچ دلیلی برای این نوع تنبلی وجود ندارد.

 

۲. افزایش سرویس های اینترنتی

“سرویس های غیر ضروری یا ناامن که در دستگاه، خود به خود اجرا می شوند بنابر دسترسی هایی که از قبل دارند، به خصوص کسانی که دسترسی به اینترنت دارند و دارای  اطلاعات محرمانه هستند،  منجر به دسترسی به اطلاعات و یا کنترل غیرقانونی از راه دور می شوند.”

این موضوع  بسیارحساس ومهم است، اما بیشتر شبیه به یک منطقه خاکستری است، زیرا همیشه مشخص نیست که آیا سرویس های شبکه “غیر ضروری و ناامن” هستند یا خیر.

 

۳. رابط های ناامن شبکه

 “وب، پایه API ، فضای ابری، یا رابط های تلفن همراهی که در شبکه هستند ،عموما  ناامن هستند،که در خارج از سیستم اجازه می دهند تا یک تعامل خطرناک با سیستم و یا با اجزای مرتبط به آن به وجودبیاید، مانند : مسائل مشترکی شامل فقدان احراز هویت / مجوز، فقدان یا ضعف رمزنگاری و فقدان فیلترینگ ورودی و خروجی. ”

 باز هم همیشه مشخص نیست که آیا رابط های کاربری واقعا ما را به خطر می اندازند یا خیر، اما احراز هویت، رمزگذاری و فیلتر کردن همیشه ایده های خوبی هستند.

 

۴. عدم مکانیسم های به روز رسانی امن

 “عدم توانایی به روز رسانی امن دستگاه که شامل عدم اعتبار سیستم عامل دستگاه است و همچنین عدم ارتباط امن (غیر رمزگذاری شده در هنگام دریافت و ارسال)، عدم وجود مکانیزم های غیر قابل بازیابی و عدم اطلاع از تغییرات امنیتی در هنگام به روز رسانی است. ”

 این یک مسئله درحال بحث برای برنامه های IoT است، زیرا بسیاری از فروشندگان و شرکت ها در آینده از دستگاه ها و پیاده سازی هایشان نگران نیستند. علاوه بر این، این همیشه یک مسئله فناوری نیست. در برخی موارد، مکان فیزیکی دستگاه های IoT باعث به روز رسانی و تعمیر و تعویض می شود.

 

۵. استفاده از اجزای ناامن یا قدیمی

“استفاده از اجزای نرم افزاری ناسازگار یا ناامن / کتابخانه هایی که می تواند به دستگاه آسیب برساند. این شامل سفارشی سازی غیرمستقیم سیستم عامل و استفاده از نرم افزار و یا قطعات سخت افزاری شخص ثالث از یک زنجیرهای است که به خطر افتاده و باعث به خطر افتادن شبکه می شود. ”

 دوستان، برای این نوع مشکلی هیچ بهانه ای وجود ندارد. اطلاعاتتان را بالا ببرید و کارهای امنیتی  را درست انجام بدهید.

 

۶. حفاظت ناکافی از حریم خصوصی

 “اطلاعات شخصی کاربر در دستگاه یا در شبکه ذخیره شده میشودکه در وضعیتی ناامن، نادرست یا بدون اجازه ممکن استفاده شود.”

 بدیهی است، باید اطلاعات شخصی مورد نیاز باشد!. اما در اینجا “مجوز” لازم است. شما نمی توانید با اطلاعات شخصی کاربری، دسترسی پیدا کنید، مگر اینکه مجوز داشته باشید.

 ۷. انتقال اطلاعات  و ذخیره سازی ناامن

 “فقدان رمزگذاری یا کنترل دسترسی به اطلاعات حساس در هر نقطه از شبکه، از جمله در حالت استراحت، حمل و نقل و یا در طول پردازش”.

 در حالی که بسیاری از فروشندگان IoT توجه ای به ذخیره سازی امن ندارند و یا اطمینان پیدا کردن ازانتقال اطلاعات، اغلب نادیده گرفته می شود.

۸. عدم مدیریت دستگاه

 “عدم حمایت امنیتی در دستگاه های مستقر در تولید، که شامل مدیریت دارایی، مدیریت به روز رسانی، نظارت بر سیستم و عدم قابلیت پاسخ دادن است، یکی دیگر از آسیب پذیری ها است.”

 دستگاه های IoT ممکن است کوچک، ارزان و قابل استفاده و تعداد زیادی از انها وجودداشته باشند، اما این به این معنا نیست که شما مجبور نیستید آنها را مدیریت کنید. در واقع، مدیریت آنها مهم تر از همیشه است. حتی اگر همیشه آسان، ارزان  و یا راحت نیست.

 

۹. تنظیمات پیش فرض ناامن

 “دستگاه ها یا سیستم های قابل حمل با تنظیمات پیش فرض ناامن یا عدم توانایی برای ایجاد امنیت سیستم با محدود کردن اپراتورها از تغییر تنظیمات نیز یکی دیگر از آسیب پذیری ها است .”

 

۱۰. عدم اقدامات سخت گیرانه

 “فقدان اقدامات سختگیرانه فیزیکی، به مهاجمان بالقوه این اجازه رامی دهد تا اطلاعات حساسی را دریافت کنند که می تواند سبب یک حمله غافلگیرانه دراینده بشود یا کنترل محلی را بر روی دستگاه داشته باشند

 IoT از “اشیاء” تشکیل شده است. و نباید جای تعجب باشد؛ مهم این است که طبیعت فیزیکی IoT را به خاطر بسپاریم و اقدامات لازم را برای ایمن سازی دستگاه ها انجام دهیم.

اشتراک گذاری :

مطالب مرتبط

تماس با ما