آیا این برنامه IoT برای نوشیدن بی خطر است؟
در حال حاضر ، جهان در حال پر کردن محصولات اینترنت اشیاء (IoT) است – آنها توسط مصرف کنندگان جداگانه در خانه های خود ، توسط شرکت ها در دفاتر خود و توسط صنایع در فرآیندهای خودکار بزرگ استفاده می شوند. آنها به صورت تصاعدی ضرب می شوند – از حدود 6 میلیارد دستگاه در سال 2016 به حدود 31 میلیارد در سال 2020 ، طبق ZDNet. آنها از راه اندازی های فردی سریع و وحشی در حال رشد هستند ، با تبلیغات غلط روبرو شده و هیچ یک از دستگاه های نظارتی برای تنظیم الزامات امنیتی و یا کیفیت کلی آنها ، ارائه نمی شود.
با افزایش تعداد محصولات IoT ، براساس اندازه های فراتر از سطح جمعیت بشری ، تلاش می شود تا به هر طریقی بتواند آنها را فریب دهد ، به یک کار فزاینده ترسناک تبدیل می شود. کیفیت محصولات IoT بسیار متفاوت است ، و مشخص نیست که کاملاً امن هستند و فقط خود را ایمن می نامند.
سیگار شامل هشدارهای بهداشتی از جراح عمومی است ، گوشت خام شامل دستورالعمل هایی در مورد استفاده ایمن از آن و مصرف آن قبل از تاریخ انقضا است. و بطری های دارویی نمی توانند حاوی تبلیغات نادرست درباره آنچه محصولشان می تواند انجام دهد باشد. اما هنگام خرید اسباب بازی IoT برای روز تولد یک دوست یا سیستم آبیاری گیاه با قابلیت Wi-Fi چه می کنید؟ نمرات کیفیت FDA کجا هستند؟ تاریخ انقضا کجاست؟
ما می دانیم که باید به مکانی برسیم که محصولات IoT کمتر مرموز و ایمن تر در بین محصولات مصرفی و اتوماسیون صنعت باشند ، اما چگونه؟ اگر مسیری وجود داشته باشد ، قانونگذاری ممکن است راه حل باشد ، و آن کار از قبل آغاز شده است.
آنچه BIG DEAL؟
در حال حاضر ، بازاریابی IoT بر توانایی خود در اتصال به Wi-Fi یا بلوتوث یا برنامه ای که بتواند یک دستگاه را از راه دور کنترل کند ، نه ویژگی های امنیتی آن یا اینکه فروشنده چه مدت قصد پشتیبانی از نرم افزار را دارد. دستگاههای متصل به اینترنت مجبور نیستند اطلاعاتی در مورد استفاده آنها از تأیید هویت چند عاملی (MFA) ، رمزگذاری نهایی برای پایان دادن به حریم خصوصی داده ها یا خط مشی های رمز عبور ارائه دهند. آنها بدون نیاز به نظارت و مقرراتی ، به طریقی انتخاب می شوند که شرکت هایشان اقدام به فروش آنها کنند. هر محصول IoT می تواند ادعا کند "ایمن" یا "رمزنگاری شده" است به همان شکلی که هر محصولی می تواند ادعا کند "ارگانیک" است – این تعریف قانونی ندارد و به مصرف کنندگان کمک نمی کند تا تصمیم های آگاهانه ای بگیرند.
بدان معنی است که در حال حاضر ، تمام وزن تصمیم گیری آگاهانه بر روی مصرف کنندگان است و ترس از اینکه طرح های آسیب پذیر منجر به حملات شوند ، فقط فرضی نیست ، بلکه این اتفاق می افتد. از مانیتورهای کودک از سال 2013 حداقل برای جاسوسی در خانه ها و صحبت با کودکان استفاده شده است ، محققان ثابت کردند که یک جیپ می تواند در سال 2015 به طور کامل از راه دور کنترل شود و در سال 2016 ، Mirai botnet کنترل دستگاههای IoT را به دست گرفت تا یک انکار توزیع خدمات را انجام دهد. (DDoS).
در حال حاضر ، ما دستگاه های Wi-Fi ارگانیک را با خط مشی های رمز عبور بد ، به فروش می رسانیم ، هیچ ضمانتی برای پشتیبانی از وصله نرم افزار خود ندارید ، و در صورت عدم وجود اشکالات ، خط مشی افشای آسیب پذیری. آنچه به عنوان "دستیار بعدی خانه" به فروش می رسد ممکن است به هیچ وجه ویژگی های امنیتی نداشته باشد و می تواند در حین نصب بدافزار برای استفاده از دستگاه شما در یک بات نت ، خانواده شما را سیر کند. هیچ راه خوبی برای مرتب کردن روغن مار از محصولات واقعاً امنیتی وجود ندارد ، که می تواند اوضاع را برای کارشناسان امنیتی و مصرف کنندگان یکسان کند.
آنچه باید اهداف را بهبود ببخشد؟
از زمان IoT چنین دامنه وسیعی را پوشش می دهد ، اهداف باید نهایی و واضح باشند. با توجه به کارهایی که قبلاً انجام شده است ، به نظر می رسد که تمرکز بهبود وضعیت IoT به دو صورت است:
- ایمنی: ما می خواهیم کیفیت و امنیت کلی محصولات وارد بازار را بالا ببریم.
- شفافیت: ما می خواهیم توانایی خریدار در تمایز محصولات با کیفیت از روغن مار را افزایش دهیم.
این دو هدف برای هدایت بهبود امنیت در محصولات موجود ، تکرار جدید دستگاه ها و دستگاه های IoT آینده با یکدیگر همکاری می کنند. با تعیین تعاریف استاندارد شده ای که برای امنیت معنادار است ، می توان محصولات را ملزم به رعایت آنها به شیوه ای قابل اجرا دانست. موافقت با زبان امنیتی ، شرکتهایی را که از امنیت غفلت می کنند یا از تبلیغات غلط استفاده می کنند ، برای افزایش قیمت و کمبود محصول در محصول استفاده می کنند.
برای بالا بردن کیفیت دستگاه های IoT ، سازمان ها باید تعاریف معنی دار و الزامات امنیتی را تعیین کنند. و سپس شرکت هایی را که در اقدامات امنیتی و تبلیغات خود سهل انگاری هستند مجازات می کنند.
با توجه به این اهداف ، بیایید ببینیم که تاکنون چه پیشرفت هایی روی آنها انجام شده است:
ایجاد تعاریف معنی دار و امنیت هنجارها
UK Code Practice
در ایالات متحده آمریکا ، اکنون شیوه های بنیادی وجود دارد که کلیه مشاغل مستقر در ایالات متحده باید مطابق با آن کد عمل را رعایت کنند. به زبان ساده ، سه شیوه اصلی به شرح زیر است:
- رمزهای عبور ضعیف یا پشتیبان خود را ضمیمه نکنید
- یک سیاست افشای آسیب پذیری داشته باشید
- به طور علنی فاش کنید که چه مدت یک دستگاه به روزرسانی ها را دریافت خواهد کرد
قانون عمل در مارس 2018 تأسیس شده است ، اما هیچ روش فعلی برای اجرای این قوانین وجود ندارد. آنها بخشی از یک برنامه آزمایشی آهسته آهسته هستند که به شرکت های آمریکایی اجازه می دهد به تدریج از قوانین پیروی کنند. بدون داشتن یک جدول زمانی مشخص ، ایجاد انگیزه در شرکت ها برای شروع بهبود کار دشوار خواهد بود ، اما ایجاد الزامات اولیه امنیتی (مانند پوشیدن کلاه های سخت در سایت ساخت و ساز) ایده خوبی است ، حتی اگر در حال حاضر این شرایط فاقد دندان باشد.
OWASP Top 10
هر چند سال از سال 2003 ، OWASP فهرست 10 آسیب پذیری را جمع می کند. از سال 2014 ، آنها همچنین یک لیست برتر ده IoT را معرفی کرده اند. مانند قوانین انگلستان ، این لیست پر است از مشکلات عقلانی اساسی برای جلوگیری از تأمین امنیت دستگاه های IoT ، از جمله محافظت از حریم خصوصی کافی ، عدم مدیریت دستگاه و رمزهای عبور ضعیف ، حدس زده یا هک شده.
مشاوره در مورد صنعت و دستگاه [19659018] انتقال به موارد خاص ، مثال خوب صنعت و راهنمایی های خاص الزامات امنیتی سخت افزار سرویس صوتی Alexa Alexa است. این الزامات هر دو به توسعه دهندگان توصیه می كنند كه چگونه می توانند مفاهیم سطح بالا را به مشاوره عملی تبدیل كنند ، و همچنین به فروشندگان معتبر توصیه می كنند كه می توانند معیارهای انطباق خود را آزمایش كنند. این استانداردها در بیشتر موارد از OWASP IoT Top Ten پیروی می کنند ، اما همچنین معیارهای خاص مناسبی را برای استانداردهای رمزنگاری و مشخصات امنیتی بلوتوث ارائه می دهند.
بهترین نرم افزارهای سیستم عامل Whitepaper
برای یک بحث عمیق در مورد توسعه سیستم عامل ایمن ، توصیه می کنیم مطالعه "بهترین راهکارها برای توسعه سیستم عامل ایمن" توسط کارگروه فنی زنجیره تأمین اجلاس صنعت امنیت ابر (Cloud Security Summit). این whitepaper شامل ایجاد یک ریشه اعتماد ، روش های امن بوت شدن و نحوه اجرای روشهای ایمن به روزرسانی سیستم عامل است. این برنامه وقتی امنیت سیستم عامل را تعیین می کند معیارهایی را برای امنیت سیستم عامل ایجاد می کند و توسعه دهندگان را ترغیب می کند تا فناوری میراث را بمیرند (خداحافظی از IPMI و Legacy BIOS Boot). لیست چک یک منبع عالی برای توسعه دهندگان است و راهنمایی هایی در مورد تهیه یک مدل تهدیدی خاص برای محصول شما ارائه می دهد.
مجازات هایی برای سهل انگاری
بخش عمده ای از کار قانونی که در اطراف IoT انجام می شود اکنون تعیین کننده چه سهل انگاری و نه بهترین صنعت است. اقدامات ، با طرح دعاوی مربوط به FTC و دادخواستهای اقدام طبقاتی به عنوان اصلی ترین مسیر پیشرفت امنیت IoT در ایالات متحده است. هدف از این رویکرد موقت ، ایجاد سابقه با انتخاب تعقیب بدترین تولید کنندگان برای اقدامات امنیتی سهل انگاری است. به عنوان مثال ، FTC در سال 2017 علیه D ‑ Link به دلیل عدم اتخاذ "اقدامات معقول" برای ایمن کردن دوربین های IP و روترهای خود ، دادخواست قضایی ارائه داد ، که (از جمله سایر تهدیدات امنیتی) اجازه استفاده از آنها را در بات نت Mirai 2016 داد. در ژوئیه سال 2019 ، D-Link سرانجام با FTC حل و فصل شد و توافق كرد كه پیشرفت های خود را انجام دهد.
اگرچه بعید است هیچ حكمی در سراسر IoT وجود داشته باشد ، اما كالیفرنیا اخیراً قانونی را درباره آن – SB-327 – تصویب كرد. امسال از زمان تأسیس ، و از آنجا که اکثر دستگاه های IoT در کالیفرنیا ایجاد شده اند ، ممکن است به زودی شرایط امنیتی با وضوح بیشتری را نیز مشاهده کنیم.
مجازات های تبلیغاتی دروغین
کمیسیون تجارت فدرال (FTC) نیز شکایتی را ارائه داده است. در برابر قفل هوشمند بودجه ای با نام Indiegogo به نام Tapplock برای جلوگیری از آسیب پذیری های "قابل پیش بینی معقول". در مورد Tapplock ، این بدان معناست که آنها برنامه امنیتی ندارند ، کاربران نمی توانند دسترسی کاربرانی را که اضافه کرده اند لغو کنند و مهاجمان غیرمجاز می توانند با استفاده از آدرس MAC بلوتوث Tapplock در زمان محدوده کشف و تعامل کنند و سپس قفل را باز کنند.
"قابل پیش بینی بسیار معقول" ممکن است مبهم و بی پروا باشد ، اما وقتی چیزی تبلیغ می شود غیرقابل شکست است اما به راحتی شکسته می شود ، مسئله ای روشن وجود دارد. دادگاهها این محصولات ناامن را با استانداردهای مربوط به صنعت مقایسه می كنند ، و از آنجا كه حواشی امنیت IoT با محكم تر تعریف شده در دادگاه ها ، اهداف در حال حرکت مانند این آسان تر می شود تا از نظر قانونی مشخص شود.
آیا قانون است حل؟ این وضعیت از طریق قانونگذاری یک رویکرد سطح بالا است. این اظهارات را بیان می کند که سهل انگاری در فضای امنیتی چیزی است که بدون مجازات نخواهد ماند ، این یک مسواک ، روتر یا سیستم کنترل دما است. تعیین سهل انگاری اقدامات غیرقابل اجتناب خدا (حمله پنهانی دولت به کشور را به خطر می اندازد سیستم شما) را از اشتباهات بنیادی (بدون رمز عبور لازم) که منجر به حمله مهاجمین به یک زنجیره بهره برداری گسترده از سیستم می شود ، مرتکب می شود.
به نظر می رسد قانون این است که بهترین راه حل برای امنیت IoT ، اما اولین گام نبود. در برابر تعداد قابل توجهی دستگاه های عظیم ، اهداف نزاع لازم است که روشن باشد برای اطلاع رسانی در مورد شرکت ها ، صنایع و دولت ها جهت استفاده مجدد در اکوسیستم سریع در حال رشد IoT.
و حتی قبل از دستیابی به اهداف ، کسی مجبور می شد این مشکل را تعیین کند که ارزش حل آن را داشته باشد ، سپس با طرف های درگیر گفتگوهای دشوار راجع به مشکل واقعی انجام دهید. آن گفتگوها شروع به تعریف اهداف و مقدمات می كنند ، كه به نوبه خود راهنمائی گفتگوهای بیشتر می شود كه زمینه های مهمی در مورد معیارها و الزامات را كاهش می دهد و بیشتر مکالمه را متمرکز می كند. حرکت ، به نظر می رسد بهترین روش این است که شروع به تعریف چیزهای خوب و قطعی چیزهای بد (بدون پشتیبانی ، بدون نسخه های جدید ، رمز عبور پیش فرض ، دسترسی به پشت در ، شامل نرم افزارهای مخرب و غیره) کنید ، و سپس از آنها برای محدود کردن سرکوب استفاده کنید. منطقه خاکستری بین این دو حد است.
مشکالت FACING LEOISLATION IoT
IoT نه تنها جدید است ، بلکه شامل مشاغلی است که در یک روش جدید کار می کنند. کار یک توسعه دهنده منفرد می تواند به سرعت بیلیونها کاربر را در یک مقیاس فوق العاده بزرگ با روشی بی سابقه ای تحت تأثیر قرار دهد. یک کشاورز شیر نمی تواند تمام دنیا را با یک دسته رنگ آلوده مسموم کند ، اما یک برنامه نویس می تواند یک برنامه ناامن ایجاد کند که ویروسی شود. اگر برنامه ای که محصول Wi-Fi یا Bluetooth آنها را کنترل می کند ، به مهاجمان اجازه می دهد تا به داده های خارجی دسترسی پیدا کنند ، می توانند اطلاعات شخصی و پرداخت کاربران را در یک کشور در یک روز به خطر بیاندازند.
راه اندازی های کوچک که در بخش جدید و بدون هنجار ، بدون ادارات حقوقی کار می کنند. یک کار دشوار برای تنظیم استفاده از تاکتیک های قوانین سنتی است. بر خلاف کدهای ساختمان (که به خوبی تثبیت شده و مبتنی بر هزاران سال است که انسان دانش مهندسی سازه را کسب می کند) ، محصولات IoT برای سازندگان و قانون گذاران جدید است. به همین دلیل ، بسیاری از استارتاپ ها از دفاع Google استفاده می کنند – "اگر Google این کار را انجام دهد ، اگر من هم این کار را انجام دهم ، خوب است." – اما هیچ شرکتی نباید مورد استفاده قرار گیرد تا استانداردهای گسترده ای در صنعت تعریف كند. این فقط یک حقوقی قانونی نیست ، زیرا این اولین بار است.
چه تأثیراتی از این قرار خواهد گرفت الزامات اساسی وجود دارد؟
ایجاد تعاریف از اهداف افزایش ایمنی و شفافیت محصولات پشتیبانی می کند. به دلیل کارهایی که قبلاً درمورد استانداردهای امنیتی و صنعت IoT انجام شده است ، ما به تعریف های الزام آور قانونی برای اصطلاحاتی نزدیک می شویم که به معنای چیزی قابل توجه برای مصرف کنندگان است و همچنین در موارد غفلت قضاوت را راهنمایی می کنیم. به جای Wi-Fi ارگانیک کم چرب ، می توانستیم محصولاتی را در آینده با ویژگی های معتبر مانند موارد زیر مشاهده کنیم:
- رمزگذاری شده به پایان
- بدون آگهی
- امنیتی ممیزی
- جمع آوری داده های شخصی
- داده ها هرگز با اشخاص ثالث به اشتراک گذاشته نشده است
تعریف امنیت خوب یک قدم ضروری برای دستیابی به IoT بهتر است ، اما ما خیال نگر نیستیم. مطمئناً ما انتظار نداریم که یک شبه چیزی تغییر کند و هر استانداردی که از طریق دستورات دولت یا دستورالعملهای مربوط به صنعت تصویب شود ، امنیت محصولات قبلی را که در بازار یا استفاده استفاده می شود ، تغییر نخواهد داد. IoT موضوعی گسترده است و نیاز به بحث و در مقیاس به همان اندازه گسترده دارد. فناوری به سرعت پیش می رود و هنجارهای فرهنگی و سابقه های قانونی راه طولانی را برای دستیابی به موفقیت دارند. این مرحله در مورد ایجاد یک پایه محکم برای پیشبرد ساختمان است.
چه راه حل هایی برای امنیت اینترنت چیزها هستند؟
بنابراین ، ما در پایین تپه هستیم که Wi-Fi را هل می دهد. فعال کردن صخره دولت ها و صنایع پایه هایی را ایجاد می کنند ، اما کند است. برای بهبود امنیت دستگاه های IoT در حال حاضر چه کاری می توانید انجام دهید؟ خوب. بستگی دارد که شما چه کسی باشید.
اگر شما یک مصرف کننده هستید ، می دانید که نمی توانید اعتماد کنید که دستگاه توزیع غلات با استفاده از Wi-Fi شما صوتی و داده های شما را در سطح بین المللی ارسال نمی کند ، بنابراین با احتیاط عمل کنید و این کار را انجام دهید. پژوهش. بخاطر داشته باشید که داروها با افتخار شامل کوکائین و آرسنیک بودند؟ این مرحله توسعه است که هم اکنون محصولات مصرف کننده IoT در آن قرار دارند. اگر می توانید از آنها جلوگیری کنید خود را در معرض خطرات ناشناخته قرار ندهید. محصولاتی را خریداری کنید که به شما اجازه می دهد رمز عبور را تغییر دهید و این وضعیت را به مدت چند روز از دستگاه پشتیبانی می کند.
اگر شما یک توسعه دهنده یا مهندس سخت افزار هستید ، امنیت را در توسعه محصول خود از زمین به بالا وارد کنید. یک مدل تهدید ویژه برای دستگاه خود ایجاد کنید. الزامات خاص صنعت و دستگاه و اقدامات پیشنهادی (مانند Alexa Amazon) را پیدا کنید و آنها را خودتان پیاده سازی کنید. توصیههای امنیتی خود را به مواردی که باید انجام دهید (الزامات) و کارهایی که ممکن است انجام دهید (بهترین روشها) تقسیم کنید و سپس آنها را بررسی کنید.
اگر شما یک فروشنده هستید که به دنبال خراب شدن در قسمت امن امنیت هستید. ، منتظر نباشید که قوانینی دست شما را سیلی بزنند. این بدان معناست که به طور مرتب محصولات و محیط های خود را فراتر از انطباق آزمایش کنید – چه از نظر داخلی و چه با آزمایش خارجی. آزمایش قلم به شما امکان می دهد محیط خود را از منظر خارجی مشاهده کنید تا ببینید که آیا فاقد تدابیر امنیتی هستید که سازمانی مانند FTC اقدامات احتیاطی معقول را در نظر بگیرد. تمرکز خود را بر ایجاد وضوح و وضوح بد و وضوح خوب انجام دهید تا میزان منطقه خاکستری موجود در این منطقه محدود شود. محصولات و محیط های مربوط به مشتری های شما ، اما ممکن است بر درخواست های دامنه اولیه آنها تأثیر بگذارد – اگر الزامات رعایت جدید برای ارائه دهندگان اینترنت وجود دارد و برای الکترونیکی مصرفی روش ارائه خدمات پزشکی و پرداخت هزینه وجود دارد ، حتما آن موارد را پوشش دهید. هنوز این سیستم ها را به طور عمیق اکتشاف کنید تا متوجه شوید که محصولات در انجام وظایف اعلام شده خود یا در مناطقی که تحت پوشش آنها نیست تحت تأثیر قرار می گیرند.
اینترنت اشیا لغزنده است. این با محدودیت های فناوری سریعتر تغییر می کند تا این که دولت ها یا دادخواست های طبقاتی می توانند امیدوار باشند که بتوانند حرکت کنند ، اما برای کنار گذاشتن آن بسیار مهم است. برای ادامه کار با IoT ، زودهنگام امنیت را در نظر بگیرید ، انتظار داشته باشید تهدیدهای امنیتی جدیدی توسعه یابد و محصول خود را در برابر سناریوهای زندگی واقعی آزمایش کنید.
با تشکر ویژه از کلی آلبرینک و دن پترو برای مشاوره در مورد این قطعه. [19659061] (عملکرد (d ، s ، id) {
var js، fjs = d.getElementsByTagName (s) [0]؛
اگر (d.getElementById (شناسه)) بازگشت؛
js = d.createElement (s)؛ js.id = شناسه؛
js.src = "http://connect.facebook.net/en_US/all.js#xfbml=1&status=0"؛
fjs.parentNode.insert قبل از (js، fj)؛
} (سند ، "اسکریپت" ، "facebook-jssdk") ؛
var js، fjs = d.getElementsByTagName (s) [0]؛
اگر (d.getElementById (شناسه)) بازگشت؛
js = d.createElement (s)؛ js.id = شناسه؛
js.src = "http://connect.facebook.net/en_US/all.js#xfbml=1&status=0"؛
fjs.parentNode.insert قبل از (js، fj)؛
} (سند ، "اسکریپت" ، "facebook-jssdk") ؛
Comments are closed.