تولیدکنندگان به رغم عجله زیادی که برای عرضه ابزارهای اینترنت اشیا دارند، توجه چندانی به مشکلات امنیتی پیش رو نمیکنند.
نوپانا*: تولیدکنندگان به رغم عجله زیادی که برای عرضه ابزار اینترنت اشیا به بازار دارند، اما توجه چندانی به مشکلات امنیتی پیش رو ندارند؛ مشکلاتی که ناشی از ارتباط بیشازپیش سیستمها با یکدیگر است. این ارتباط بیشتر به معنای راههای میانبر بیشتری است که میتواند مورد استفاده یک هکر قرار گیرد ـ خصوصا وقتی که حتی طراحان خود سیستم، از وجود آن راههای میانبر بیخبر باشند ـ البته در مورد منابع متنباز (open source) نیز شرایط عموما به همین صورت است. قسمت دوم:
اینترنت اشیا و ابزار پزشکی
این نرمافزارها هستند که بر اساس هستهای با عناصر اوپنسورس ساخته شدهاند و انقلاب اینترنت اشیا را به پیش میرانند. یکی از گزارشهای اخیرسازمان تحقیقاتی فارستر ریسرچ (Forrester Research) نشان داده است که برنامههای اوپنسورس به طرز گستردهای شیوع یافتهاند و کدهای دستکاریشده معمولا تنها ۱۰ تا ۲۰ درصد از هر برنامه تجاری را در بر میگیرند.
بررسی برنامههای تجاری توسط نرمافزار مدیریت امنیت بلک داک (Black Duck) نشان داده است که عناصر اوپنسورس تقریبا در ۱۰۰ درصد نمونههای بررسیشده یافت میشود. استفاده از اوپنسورس در تمامی قسمتهای عمودی صنعت خودرو رواج دارد و تقریبا ۲۰ تا ۳۰ درصد از برنامههای تجاری در صنایع خودروسازی و مالی و ۴۶ درصد از برنامهها در صنعت بهداشت و درمان، اوپنسورس هستند.
در این میان حتی فکر به بروز اشکال در باطری قلب و سایر دستگاهها و سیستم های درمانی هم نگرانکننده است. «بیلی ریوز» و «جاناتان باتز» (همان پژوهشگرانی که نشان دادند که PDQ چگونه میتواند هک شود)؛ پیش از این به موضوع باطری قلب پرداخته بودند. آنها سختافزار و نرمافزار مربوط به چهار باطری قلب مختلف را برداشته و به بررسی نقاط ضعف در ساختار و عملکرد پرداختند. در نهایت یکی از بزرگترین مسائلی که این دو در مقاله خود به آن اشاره داشتند، چیزی بود که بلک داک نیز بارها به آن اشاره کرده بود؛ انبارههای غیرمتصل نرمافزاری.
(منبع: «ارزیابی امنیت معماری، نصب و وابستگی دستگاههای قلبی کاشتهشده»، بیلی ریوز، جاناتان باتز، پی.اچ.دی، می ۲۰۱۷)
هر چهار باطری قلبی که مورد بررسی قرار گرفتند، عناصر اوپنسورسی با مشکلات مشخص داشتند، در واقع ۵۰ درصد از تمامی عناصر آنها دچار اشکال بود. از آن بدتر این بود که به طور متوسط در هر باطری ۵۰ درصد آسیبپذیری مشاهده شد و هر مدل نیز بیش از ۲۰۰۰ اشکال را آشکار کرد. ما نمیدانیم این دستگاه و نرمافزارهای آنها چه قدمتی داشتهاند، اما از آنجا که این موارد از سایت ایبی (eBay) خریداری شده بودند، میتوان فرض را بر این گذاشت که مدلهای جدیدی نیستند.
مقاله مذکور به این مورد نیز اشاره نمیکرد که آیا محققان پیش از تحقیق در مورد بهروزرسانی محصول با سازنده تماس گرفتهاند یا خیر. حدس من این است که این اتفاق نیفتاده، اما در میزان تاثیر این کار جای تردید وجود دارد. تحقیقات بلک داک نشان میدهد که فروشندهها معمولا از اوپنسورسی که خود به کار میبرند بیخبرند، چرا که راههای ورود به پایگاه کدها فراوان است.
افزایش امنیت اوپنسورس به اینترنت اشیا
دلایل گوناگون و بسیاری برای امنیت اینترنت اشیا وجود دارد. در عرض چند سال آینده میلیاردها دستگاه به هم متصل آنلاین میشوند که طبعا مشکلات امنیتی بیشتری را به دنبال خواهند داشت. در این میان امنیت باید در هسته تمامی دستگاههای اینترنت اشیا قرار داشته باشد، نه فقط به عنوان یک گزینه انتخابی یا منفعلانه که تنها پس از بروز آسیب فعال میشود.
وقتی مشکلی وجود دارد، بالاخره کسی آن را کشف خواهد کرد. با بیش از ۳۶۰۰ اشکال در عناصر اوپنسورس که سال ۲۰۱۶ اعلام شدند، نیاز به شفافیت و کنترل بیشتر اوپنسورس در دستگاههای اینترنت اشیا احساس میشود و شناسایی و حل مشکلات امنیتی اوپن سورس باید اولویت نخست باشد.
تولیدکنندگان اینترنت اشیا باید از رویکرد مشخصی برای امنیت سایبری بهره ببرند که نه تنها تماس حتمی با مشکلات را در بر میگیرد، بلکه به آسیبپذیریهایی توجه نشان میدهد که ممکن است داخل کد برنامه قرار داشته باشد. هر سازمانی که قصد استفاده از تکنولوژی اینترنت اشیا را دارد، باید اکوسیستم نرمافزاری خود را بررسی کند تا شناسایی و مدیریت اوپنسورس را انجام دهد و از این نکته اطمینان حاصل کند که اوپنسورس موجود در بستر آنها فاقد مشکلات امنیتی پنهان باشد.
(همچنین بخوانید: از هکرها فریب نخورید!)
قسمت پیشین: قسمت اول
*نویسنده متن اصلی: تیم مکی