انقلاب اینترنت اشیا (قسمت دوم)

تولیدکنندگان به رغم عجله زیادی که برای عرضه ابزار‌های اینترنت اشیا دارند، توجه چندانی به مشکلات امنیتی پیش رو نمی‌کنند.

نوپانا*: تولیدکنندگان به رغم عجله زیادی که برای عرضه ابزار اینترنت اشیا به بازار دارند، اما توجه چندانی به مشکلات امنیتی پیش رو ندارند؛ مشکلاتی که ناشی از ارتباط بیش‌ازپیش سیستم‌‌ها با یکدیگر است. این ارتباط بیشتر به معنای راه‌​های میان‌بر بیشتری است که می‌تواند مورد استفاده یک هکر قرار گیرد ـ خصوصا وقتی که حتی طراحان خود سیستم، از وجود آن راه‌های میان‌بر بی​‌خبر باشند ـ البته در مورد منابع متن‌باز (open source) نیز شرایط عموما به همین صورت است. قسمت دوم:

اینترنت اشیا و ابزار پزشکی

این نرم‌افزارها هستند که بر اساس هسته‌​ای با عناصر اوپن​‌سورس ساخته شده‌اند و انقلاب اینترنت اشیا را به پیش می​رانند. یکی از گزارش​‌های اخیرسازمان تحقیقاتی فارستر ریسرچ (Forrester Research) نشان داده است که برنامه​های اوپن​سورس به طرز گسترده‌‌ای شیوع ​ یافته‌اند و کدهای دست‌کاری‌شده معمولا تنها ۱۰ تا ۲۰ درصد از هر برنامه​ تجاری را در بر می‌گیرند.

 بررسی برنامه‌​های تجاری توسط نرم‌افزار مدیریت امنیت بلک داک (Black Duck) نشان داده است که عناصر اوپن‌​سورس تقریبا در ۱۰۰ درصد نمونه​‌های بررسی‌شده یافت می​‌شود. استفاده از اوپن‌سورس در تمامی قسمت​‌های عمودی صنعت خودرو رواج دارد و تقریبا ۲۰ تا ۳۰ درصد از برنامه​‌های تجاری در صنایع خودروسازی و مالی و ۴۶ درصد از برنامه​‌ها در صنعت بهداشت و درمان، اوپن‌​سورس هستند.

در این میان حتی فکر به بروز اشکال در باطری قلب و سایر دستگاه‌​ها و سیستم​ های درمانی هم نگران‌کننده است. «بیلی ریوز» و «جاناتان باتز» (همان پژوهشگرانی که نشان دادند که PDQ چگونه می‌تواند هک شود)؛ پیش از این به موضوع باطری قلب پرداخته بودند. آنها سخت​‌افزار و نرم​‌افزار مربوط به چهار باطری قلب مختلف را برداشته و به بررسی نقاط ضعف در ساختار و عملکرد پرداختند. در نهایت یکی از بزرگترین مسائلی که این دو در مقاله​ خود به آن اشاره داشتند، چیزی بود که بلک داک نیز بارها به آن اشاره کرده بود؛ انباره​‌های غیرمتصل نرم​‌افزاری.

(منبع: «ارزیابی امنیت معماری، نصب و وابستگی دستگاه‌​های قلبی کاشته​‌شده»، بیلی ریوز، جاناتان باتز، پی.اچ.دی، می ۲۰۱۷)

هر چهار باطری قلبی که مورد بررسی قرار گرفتند، عناصر اوپن​سورسی با مشکلات مشخص داشتند، در واقع ۵۰ درصد از تمامی عناصر آنها دچار اشکال بود. از آن بدتر این بود که به طور متوسط در هر باطری ۵۰ درصد آسیب​‌پذیری مشاهده شد و هر مدل نیز بیش از ۲۰۰۰ اشکال را آشکار کرد. ما نمی‌​دانیم این دستگاه و نرم​‌افزارهای آن​ها چه قدمتی داشته​‌اند، اما از آنجا که این​ موارد از سایت ای‌بی (eBay) خریداری شده بودند، می​توان فرض را بر این گذاشت که مدل​‌های جدیدی نیستند.

مقاله​ مذکور به این مورد نیز اشاره نمی‌کرد که آیا محققان پیش از تحقیق در مورد به‌روز​رسانی محصول با سازنده تماس گرفته‌​اند یا خیر. حدس من این است که این اتفاق نیفتاده، اما در میزان تاثیر این کار جای تردید وجود دارد. تحقیقات بلک داک نشان می​‌دهد که فروشنده‌​ها معمولا از اوپن​‌سورسی که خود به کار می‌​برند بی​‌خبرند، چرا که راه​‌های ورود به پایگاه کدها فراوان است.

افزایش امنیت اوپن​سورس به اینترنت اشیا

دلایل گوناگون و بسیاری برای امنیت اینترنت اشیا وجود دارد. در عرض چند سال آینده میلیاردها دستگاه به هم متصل آنلاین می​‌شوند که طبعا مشکلات امنیتی بیشتری را به دنبال خواهند داشت. در این میان امنیت باید در هسته​ تمامی دستگاه‌​های اینترنت اشیا قرار داشته باشد، نه فقط به عنوان یک گزینه​ انتخابی یا منفعلانه که تنها پس از بروز آسیب فعال می‌​شود.

وقتی مشکلی وجود دارد، بالاخره کسی آن را کشف خواهد کرد. با بیش از ۳۶۰۰ اشکال در عناصر اوپن​‌سورس که سال ۲۰۱۶ اعلام شدند، نیاز به شفافیت و کنترل بیشتر اوپن‌​سورس در دستگاه​‌های اینترنت اشیا احساس می‌​شود و شناسایی و حل مشکلات امنیتی اوپن ​سورس باید اولویت نخست باشد.

تولیدکنندگان اینترنت اشیا باید از رویکرد مشخصی برای امنیت سایبری بهره ببرند که نه​ تنها تماس حتمی با مشکلات را در بر می​‌گیرد، بلکه به آسیب​‌پذیری​‌هایی توجه نشان می‌​دهد که ممکن است داخل کد برنامه قرار داشته باشد. هر سازمانی که قصد استفاده از تکنولوژی اینترنت اشیا را دارد، باید اکوسیستم نرم‌​افزاری خود را بررسی کند تا شناسایی و مدیریت اوپن‌​سورس را انجام دهد و از این نکته اطمینان حاصل کند که اوپن‌​سورس موجود در بستر آنها فاقد مشکلات امنیتی پنهان باشد.

(همچنین بخوانید: از هکرها فریب نخورید!)

قسمت پیشین: قسمت اول

*نویسنده متن اصلی: تیم مکی