تصور کنید تیتری را در اخبار فردا بخوانید که نشان می دهد هویت همسایه شما، به سرقت رفته و پس انداز زندگی او توسط تعدادی خلافکار، سرقت می شود. شما ممکن است ابزار و وسایل متصل به اینترنت و دستگاه های IoT داشته باشید که به صورت بی سیم از طریق یک روتر با پیکربندی اشتباه و بدون تنظیمات firewall متصل شده اند. آیا قطعه های امنیتی، بروز هستند؟
هنوز متقاعد نشده اید که این یک مشکل جدی است؟ پس این مثال چشمگیر را در نظر بگیرید که یک دستگاه قدیمی چقدر می تواند خطرناک باشد. ( در ماه ژوئن، صاحبان NAS در کتابخانه Western Digital My Book دریافتند که دستگاه های آن ها به طرز مرموزی به حالت کارخانه بازنشانی شده و همه فایل های آن ها حذف شده است. “My Book Live” و “My Book Live Duo” دستگاه های ذخیره سازی ابری شخصی هستند.
هنگامی که کاربران محصول WD سعی کردند از طریق داشبورد وب وارد سیستم شوند، دستگاه ها پاسخ دادند که “رمز عبور نامعتبر” است. دارندگان “WD My Book” دیگر نمی توانند از طریق مرورگر یا برنامه به دستگاه وارد شوند.
به گفته وب سایت وسترن دیجیتال، محصولات “My Book Live” و “My Book Live Duo” به دلیل حادثه امنیتی، داده های خود را از دست داده اند. WD به مشتریان اطلاع داد که این شرکت هزینه های کاربران واجد شرایط را با محصولات واجد شرایط برای بازیابی اطلاعات خود با استفاده از خدمات بازیابی اطلاعات (DRS) ارائه شده توسط فروشنده منتخب وسترن دیجیتال، تامین می کند.
این شرکت قول داد هزینه های ارسال محصول واجد شرایط به فروشنده “DRS” و خدمات بازیابی اطلاعات را تامین کند. هرگونه اطلاعات بازیابی شده در درایو “My Passport” به مشتری ارسال می شود.
وسترن دیجیتال تأیید کرد که “برخی از دستگاه های “My Book Live” توسط نرم افزار های مخرب در معرض خطر هستند”. این شرکت همچنین گزارش هایی را تأیید کرد که “این منجر به تنظیم مجدد کارخانه شده است که تمام داده های برخی از دستگاه های مشتری را پاک می کند”.
دستگاه “My Book Live” آخرین بروزرسانی سیستم عامل خود را در سال 2015 دریافت کرد. بیانیه ژوئن 2021 از وسترن دیجیتال به کاربران پیشنهاد کرد دستگاه های “My Book Live” خود را از اینترنت قطع کنند تا از داده های دستگاه خود محافظت کنند. آسیب پذیری My Book Live نشان می دهد که هنوز راه زیادی در امنیت اینترنت اشیا، وجود دارد.)
در این مورد، ما می بینیم که دستگاه هایی در حال ساخت هستند که به منظور فراتر رفتن از تعهدات پشتیبانی فروشنده خود، هستند. بنابراین آن ها آسیب پذیر هستند و حتی مصرف کنندگان نیز نمی توانند از خود در برابر آن ها، محافظت کنند. چه از دست دادن داده ها، چه باج افزار ها و چه DDoS، این مشکلات تا زمانی که فروشندگان متعهد به محافظت از مشتریان خود نشوند، تکرار خواهند شد.
مدل کسب و کار معیوب
تولیدکنندگان تجهیزات اصلی (OEM) هیچ مسئولیتی در قبال این عیب و نقص ندارند، زیرا دستگاه های متصل شده آن ها، دیگر برای فروش نیستند.
با این حال، اکثر مشتریان نمی دانند که این دستگاه ها در واقع تاریخ انقضا دارند و مصرف کنندگان از خطرات ادامه استفاده از سیستم عامل بدون اتصال مطلع نیستند، زیرا تعداد بیشماری دستگاه متصل قدیمی در انتظار نفوذ توسط مهاجمان فرصت طلب هستند.
OEM، یا باید مدل کسب و کار خود را تغییر دهد تا بتواند یک سرویس نرم افزاریِ طولانی مدت را حفظ کند یا فناوری پیچیده تری را نصب کند که هک این دستگاه ها را بسیار دشوار تر می کند. اگرچه، مشکل از مدل کسب و کار است. هیچ استانداردی برای تنظیم نحوه نگهداری و ایمن سازی دستگاه های اینترنت اشیا وجود ندارد.
قطعاً نیاز به شفافیت بیشتری از نظر سطح پشتیبانی از نرم افزار، در این دستگاه ها وجود دارد. تا زمانی که صنعت تصمیم نگیرد این چالش را برطرف کند، هیچ کاری برای مقابله با این مشکل انجام نمی شود.
آموزش و فشار مصرف کننده
برای آگاه سازی مصرف کنندگان از خطرات ذاتی در خرید دستگاه های ناامن اینترنت اشیاء، به آگاهی آموزشی نیاز است. این می تواند به مصرف کنندگان این امکان را بدهد که امنیت دستگاه را به عنوان بخشی از تصمیم خرید خود در نظر بگیرند.
اکثر مصرف کنندگان در حال حاضر نمی دانند که دستگاه های بومی خانگی آن ها می توانند از طریق روتر های بی سیم خود به اینترنت متصل شوند. اگر آن ها دستگاهی دارند که به شبکه متصل می شود، باید از به روز بودن نرم افزار دستگاه، اطمینان حاصل کنند. “هنگامی که نرم افزار دیگر به روز نمی شود، استفاده از دستگاه می تواند خطرناک باشد.”
هدف، این است که ابتدا از مصرف کنندگان محافظت شود. سپس، مصرف کنندگان باید به اندازه کافی بر تولیدکنندگان فشار بیاورند تا شرکت ها شروع به پشتیبانی طولانی مدت همه نرم افزار ها، کنند.
اپل، گوگل و برخی دیگر از شرکت های بزرگ این کار را برخی دستگاه های خاص انجام می دهند. اما برای بسیاری از دستگاه های دیگر، شرکت ها پس از شش ماه یا بیشتر پشتیبانی آن ها را متوقف می کنند، در حالی که بسیاری از مصرف کنندگان، برای زمان طولانی تری از این دستگاه ها استفاده می کنند.
نقاط کور امنیت سایبری
امنیت اینترنت اشیا، از کاستی های صنعت رنج می برد. مسئله اصلی این است که ابزار های سنتی، آسیب پذیری سیستم عامل را اسکن نمی کنند. موضوع ثانویه شامل تولیدکنندگان دستگاه می شود که اغلب با وجود نداشتن کنترل های امنیتی مناسب برای اسکن آسیب پذیری های لایه سیستم عامل، اغلب وظیفه امنیت دستگاه را بر عهده دارند.
توصیه می شود که تولیدکنندگان تجزیه و تحلیل کامل آسیب پذیری ها را انجام دهند و در صورت کشف، کاربران بالقوه را در مورد ارتقاء سیستم عامل و قطعه های موجود مطلع کنند. برخلاف فرآیند پیشگیرانه خودکار، که در شیوه های مدیریت آسیب پذیری سازمان یافت می شود، این یک فرایند ارتجاعی است. در نتیجه، آسیب پذیری های سیستم عامل اغلب نادیده گرفته می شوند و به نقاط کور امنیت سایبری تبدیل می شوند.
امنیت IoT، پیچیده است
بسته به صنعت و کاربرد، ارائه قطعه، همیشه در دسترس نیست. اول، سازنده دستگاه نیاز به یک فرایند استاندارد ارتقاء دارد تا ارتقاء قطعه ها را به دستگاه های خود انجام دهد. مرحله دوم مستلزم افزایش آگاهی مصرف کننده در مورد نیاز به ارتقاء و رفع اشکال آسیب پذیری است.
سازندگان دستگاه می توانند چند قدم برای جلوگیری از قسمت های بیشتر مانند معضل وسترن دیجیتال بردارند. آن ها می توانند:
اطمینان از اینکه یک گروه امنیتی محصول در سازمان آن ها وجود دارد.
به طور فعال آسیب پذیری های قابل استفاده را در سیستم عامل خود اسکن کنید و در صورت کشف، سریعاً قطعه ها را توسعه دهید.
داشتن یک فرایند استاندارد و ایمنِ ارتقاء سیستم عامل در محل، که باعث می شود قطعه ها در دسترس قرار گیرند.
هدف گیری اجتناب ناپذیر
برنامه های بیشتر، داده های بیشتر در ابر، تجربیات دیجیتالی بیشتر، به معنای اهداف بیشتر فرصت و شانس است. امنیت همیشه با سهولت استفاده، جبران شده است. جامعه فروشندگان امنیت سایبری، باید به سمت ایجاد تجربه های آسان برای استفاده از امنیت سایبری حرکت کنند که سطح قابل قبولی از امنیت را به فناوری هایی که مصرف کنندگان تقاضا می کنند، ارائه دهد.
یک مثال خوب برای این امر، حرکت به سمت تأیید هویت بدون ورود به سیستم و رمز عبور است. کاربران در حفظ رمز های عبور مناسب برای چندین دهه شکست خورده اند و این وضعیت هرگز تغییر نخواهد کرد. بنابراین، نوآوری باید، جایگزینی برای استفاده آسان ایجاد کند که امنیت مناسب را با تجربه کاربری بسیار بهتر فراهم کند.
منبع: technewsworld