امنیت اینترنت اشیا

طبق پیش بینی های موسسه گارتنر تا سال ۲۰۲۰ بیش از ۲۰ میلیارد دستگاه اینترنت اشیا به اینترنت وصل خواهند شد که نشان دهنده نفوذ وسیع و همه جانبه این تکنولوژی در آینده است، از این رو ایمن سازی و ارتقا امنیت این سیستم ها و دستگاه های مرتبط حیاتی و الزام آور خواهد بود. در مطالب قبلی با تعدادی از تکنولوژی و پروتکل های اینترنت اشیا آشنا شدیم، در این مطلب امنیت این پروتکل ها و شایع ترین مشکلات امنیتی به وجود آمده در مورد آنها بحث خواهد شد.

Insteon

همانطور که در مطلب قبلی اشاره شده این پروتکل امکان استفاده از هر دو تکنولوژی با سیم (Powerline)  و بی سیم برای انتقال و تبادل داده را دارا است. همچون دیگر تکنولوژی های ارتباطی، ارتباطات با سیم در این تکنولوژی نسبت به بی سیم از امنیت و پایداری بیشتری برخوردار است از اینرو که هکرها برای نفوذ به این سیستمها نیازمند به دسترسی فیزیکی به تجهیزات خواهند بود. عدم نصب صحیح و پیاده سازی اولیه تجهیزات، عدم بهره گیری از رمزنگاری اطلاعات به صورت پیش فرض  خصوصا در تجهیزات ISY، استفاده از جاوا برای برنامه نویسی سیستم واسط کاربری ISY GUI تجهیزات (با توجه به مشکلات امنیتی شناخته شده جاوا) از مهمترین ایرادات امنیتی تجهیزات بهره گرفته از این تکنولوژی است. با توجه به عدم رمزنگاری اطلاعات به صورت پیش فرض، حمله باز پخش (Replay Attack) از شایع ترین حملات ثبت شده بر علیه این تکنولوژی در چند سال اخیر است.

ZigBee

سنسورهای امنیتی، کنترل کننده های HVAC، سیستم های کنترل کننده ترافیک تنها بخشی از مصارف صنعتی این تکنولوژی به شمار می آیند. همچون دیگر تکنولوژی های اینترنت اشیا عدم نصب صحیح و پیاده سازی اولیه تجهیزات همچون عدم تغییر تنظیمات اولیه یا عدم بروز رسانی سفت افزار (Firmware) مهمترین و شایع ترین عامل تهدید کننده امنیت تجهیزات ZigBee است. از دیگر عوامل تهدید کننده این تکنولوژی نحوه ذخیره سازی و بار گذاری کلید رمزنگاری در حافظه به صورت استاتیک در تجهیزات است. ابزارهای Bus Pirate و GoodFet امکان اتصال فیزیکی به این تجهیزات و بازیابی کلید رمزنگاری استاتیک از حافظه این تجهیزات را برای نفوذ گر امکان پذیر میسازد. شنود ارتباطات بی سیم بین تجهیزات و بازیابی کلید رمزنگاری که معمولا به صورت Pre-shared Key  یا OTA بین تجهیزات ردوبدل میشود از طریق جعل هویت (Impersonation) یکی دیگر از مشکلات امنیتی برای این تکنولوژی است. ابزارهای KillerBee و Attify ZigBee Framework از شناخته شده ترین ابزارهای شنود، رمزگشایی و آنالیز برای این نوع حملات میباشند.

LoraWan

امکان برقراری شبکه هایی گسترده مبتنی بر این تکنولوژی در مسافتهای طولانی چند کیلومتری در رنج یک گیگاهرتز از جذابترین قابلیتهای این تکنولوژی نسبت به دیگر رقبای صنعت اینترنت اشیا است. این تکنولوژی برای رمزنگاری ارتباطات بین سنسورها و سرورهای فعال سازی به صورت پیش فرض از استاندارد رمزنگاری AES 128 استفاده میکند. گرچه این استاندارد از امنیت نسبتا خوبی برخوردار است ولی همچنان امکان بازیابی کلیدهای رمزنگاری و رمزگشایی ها آنها از تجهیزات سمت کلاینت و در هنگام تبادل با سرور فعال سازی وجود دارد. از دیگر مشکلات امنیتی و حملات شناخته شده این تکنولوژی میتوان از حملات انکار سرویس (DoS) و حمله تخلیه باتری (Battery Exhaustion Attack) نام برد.

Z-Wave

یکی از شاخصه های این تکنولوژی از منظر امنیتی، اتصال گرا (Connection Oriented) بودن نسبت به دیگر رقبا است، به عبارت دیگر، قبل از برقراری ارتباط بین کنترل کننده و دستگاه تقاضا کننده ارتباط، دریافت کلید رمزنگاری  (Key Exchange )باید در هشت مرحله با موفقیت انجام گیرد. گرچه پیچیدگی این تبادل از سطح ایمنی خوبی برخوردار است ولی همچنان امکان انجام حملات مرد میانی (MitM) و حمله بازیابی کلید (Key Recovery) وجود دارد. ابزار Z-Force امکان شنود و تزریق در مرحله تبادل کلید رمزنگاری را برای نفوذ گر مهیا میسازد. Z-Attack دیگر ابزاری است که امکان شنود دستکاری (Manipulation) فریم ها را فراهم میسازد.

NFC

این تکنولوژی برای استفاده در تلفن های همراه امروزی و تجهیزات اینترنت اشیا و به منظور تبادل اطلاعات بین دستگاهی با فاصله کم طراحی و توسعه  یافته است. قابلیت Card Emulation به دستگاه های مجهز به این تکنولوژی امکان جایگزینی کارتهای پلاستیکی سنتی حمل و نقل عمومی، کنترل ورود و خروج و کارتهای بانکی را میدهد که قابلیت بسیار جذابی برای کاربران این تکنولوژی است. گرچه وجود این قابلیت از منظر امنیتی با توجه به فاصله مجاز حداکثر چهار سانتیمتری بین دو دستگاه برای تبادل اطلاعات در این تکنولوژی شنود اطلاعات تبادل شده را برای نفوذ گر سخت میکند ولی خصوصا اگر برنامه هایی که از NFC استفاده میکنند، از استانداردهای رمزنگاری بهرهمند نباشند همچنان این امکان وجود خواهد داشت که اطلاعات ردوبدل شده بین دو دستگاه شنود شده و اطلاعات ضبط شده مورد سوءاستفاده نفوذ گران قرار گیرد. از دیگر مشکلات امنیتی که این تکنولوژی را تحت تاثیر قرار میدهد، عدم نیاز به تائیدیه در هنگام دریافت اطلاعات به طور مثال در Android Beam در بعضی دستگاه ها است. این امکان در کنار نقص امنیتی Webkit  در مرور گر اندروید فرصتی را فراهم میکند که با ارسال لینک آلوده دسترسی روت برای نفوذ گر ایجاد گردد. از جدیدترین نقص های امنیتی کشف شده در این تکنولوژی نشت اطلاعات به دلیل عدم وجود اعتبار سنجی کافی (Insufficient Validation) در هنگام درخواست ارسال است که جزییات آن در سایت CVE Details  به شماره CVE-2018-7930 قابل دسترس است.

در کنار نرم افزارهای معرفی شده شاخص ترین و قابل دسترس ترین ابزارهای سخت افزاری برای تست تجهیزات اینترنت اشیا برای متخصصین امنیت میتوان از کارت شبکه  Yard Stick One که در کنار نرم افزار های متن بازی همچون Rfcat و RFCrack امکان شنود و تزریق فریم برای سیگنالهای رادیویی زیر یک گیگا هرتز است را نام برد.

مدیریت هوشمند شهری، سرویسهای هوشمند مدیریت وقایع طبیعی تا مدیریت هوشمندانه منازل، فروشگاهها و وسایل نقلیه تنها بخش کوچکی از مزایای بهره گیری از اینترنت اشیا (Internet of Things) است که اهمیت آشنایی با ابعاد مختلف این تکنولوژی جذاب را برای علاقه مندان و فعالین این صنعت دوچندان میکند. همانند دیگر تکنولوژی ها، اینترنت اشیا نیز در کنار نیاز به بهره برداری از سخت افزارهای مختلف نیازمند استفاده از استانداردها و پروتکل های مختلف برای برقراری ارتباطی سریع و ایمن و یکپارچه با دیگر دستگاهها متصل و تبادل داده و اطلاعات است.

تکنولوژی های ارتباطی شناخته شده فراوانی برای برقراری ارتباطات و تبادل اطلاعات در دستگاهها و اجزای اینترنت اشیا از جمله وای فای، بلوتوث، نسلهای دو، سه، چهار و (در آینده ای خیلی نزدیک) نسل پنج اینترنت همراه وجود دارد، با این حال تکنولوژی های شبکه نسبتا جدیدی با توجه به رنج، الزامات داده، امنیت، مصرف انرژی و دیگر فاکتورها بهینه شده برای مصارف اینترنت اشیا در حال افزایش سهم خود از بازار رو به گسترش این صنعت هستند. در این مطلب به صورت مختصر با تعدادی از این تکنولوژی ها رو به رشد صنعت اینترنت اشیا آشنا میشویم.

Insteon  

این پروتکل امکان استفاده از هر دو تکنولوژی با سیم (Powerline) و بی سیم برای اتوماسیون خانه ها (Home Automation) را دارا است.Insteon  در واقع با استفاده از تکنولوژی اختصاصی خود برای ارتباطات و بهره گیری از ارتباطات Dual-Mesh که در آن تمام تجهیزات همتا سازی (Peer) شده و البته در عین حال هر کدام از این تجهیزات به تنهایی و به صورت مستقل امکان ارسال، دریافت و مدیریت اطلاعات بدون نیاز به کنترل کننده مرکزی (Master Controller) را دارا هستند، امکان برقراری ارتباطی پایدار و سریع را برای تجهیزات اینترنت اشیا فراهم میکند. Insteon با همکاری با کمپانی های همچون Nest و Apple رنج فراوانی از محصولات را از قبیل کنترل کننده های روشنایی تا سیستم های امنیتی را تهیه و به بازار عرضه میکند. همانطور که در ابتدا اشاره شد مهمترین مزیت این تکنولوژی نسبت به رقبا امکان بهره گیری آن از تکنولوژی ها ارتباطی با سیم و بیسیم است.

ZigBee

این تکنولوژی براساس پروتکل IEEE802.15.4 است و همانند بلوتوث رنج وسیعی از تجهیزات، خصوصا تجهیزات صنعتی را تحت پوشش قرار میدهد. مهمترین شاخصه های این تکنولوژی بهره برداری از کانال ۲٫۴ گیگاهرتز، نرخ داده پایین  (Low Data-Rate) و محدوده تحت پوشش حداکثر ۱۰۰ متری برای برقراری ارتباطات بین تجهیزات است. برقراری ارتباط کم مصرف (Low Power Operation) امنیت بالا و مقیاس پذیری (Scalability) از دیگر مزایای استفاده از این تکنولوژی است. ZigBee نسخه های مختلفی دارد که ZigBee PRO و ZigBee Remote Control از مهمترین آنها هستند. جدیدترین نسخه ZigBee نسخه ۳ است که در واقع از یکسان سازی استانداردهای بی سیم مختلف این تکنولوژی حاصل شده است.

LoraWan

پروتکل LoraWan برای ارتباطات کم مصرف در شبکه های گسترده (LPWA) و به منظور برقراری ارتباط بین سخت افزارهای بی سیم اینترنت اشیا و اینترنت در سطح منطقه محدود (Regional)، سطح ملی (National) و سطح بین المللی   (Global) توسعه یافته است. در واقع این پروتکل با بهره گیری از نرخ داده ای بین ۰٫۳ تا ۵۰ کیلو بیت در ثانیه، ارتباطات دو جهته (Bi-Directional) ، امنیت سرتاسری (End-to-End Security)، تحرک پذیری (Mobility) و محلی سازی (Localization) را برای توسعه اینترنت اشیا خصوصا برای مصارف در شهرهای هوشمند و مصارف صنعتی را امکان پذیر میکند.

Z-Wave

این پروتکل کم مصرف بر پایه امواج رادیویی (RF Communication) و برای اتصال محصولاتی از قبیل کنترل کننده ها و سنسورهای روشنایی، دما و امنیت در مصارف اتوماسیون خانگی (Home Automation) طراحی و توسعه یافته است. از مهمترین شاخصه های این تکنولوژی تاخیر پایین  (Low-Latency)در ارتباطاتی تا نرخ داده ۱۰۰ کیلو بیت در ثانیه است. با توجه به فعالیت این تکنولوژی در کانال ۱ گیگاهرتز از دیگر مزایای این تکنولوژی عدم تاثیر پذیری و تداخل (Interference) با دیگر پروتکل های اینترنت اشیا از قبیل بلوتوث و ZigBee که در کانال ۲٫۴ گیگاهرتز فعال هستند است. این تکنولوژی بدون نیاز به تطبیق کننده (Coordinator) امکان برقراری شبکه Full-Mesh بین تا حداکثر ۲۳۲ تجهیزات اینترنت اشیا را دارا است.

NFC

پروتکل NFC یا Near-Field Communication که در واقع مجموعه از پروتکل های ارتباطی برای برقراری ارتباط ساده و امن بین دستگاه های الکترونیکی است، با توجه به کاربردهای فراوان و توسعه یافتگی آن در اغلب تلفن های همراه امروزی، شاید از شناخته شده ترین پروتکل های معرفی شده در این مطلب باشد. NFC امکان برقراری و تبادل اطلاعات بین دستگاهی تا حداکثر فاصله ۴ سانتیمتر را فراهم میکند که این قابلیت رنج کوتاه امکان برقراری ارتباطی نسبتا امن خصوصا برای تجهیزات پرداخت در فروشگاهها و سامانه های مالی را ایجاد میکند.

Thread

این پروتکل یکی از جدیدترین پروتکل های توسعه یافته در سال ۲۰۱۴ میلادی برای اینترنت اشیا و غالبا برای مصارف اتوماسیون خانگی (Home Automation) بر بستر IPv6 است. این تکنولوژی همچون ZigBee بر پایه استاندارد بی سیم IEEE802.15.4 فعالیت میکند. این پروتکل با استفاده از ارتباط  Mesh قابلیت اتصال حداکثر ۲۵۰ دستگاه اینترنت اشیا در محیطی امن با استفاده از تکتولوژی رمزنگاری و احراز هویت (Encryption and Authentication) را دارا است. از شاخصه های مهم این تکنولوژی اختصاص آی پی اختصاصی برای هر یک از تجهیزات نصب شده است که این قابلیت امکان برقراری ارتباط اینترنتی سریع، مستقل و امن تجهیزات اینترنت اشیا را فراهم میکند.

امروزه تصور نیاز به تهیه سیستم های فیزیکی مختلف برای انواع سیستم عاملها و آزمایشهای امنیتی مختلف با توجه به هزینه های گزاف آنها خصوصا برای متخصصین امنیت که نیازمند تعامل با سیستم عامل ها و برنامه های فراوانی هستند دور از ذهن خواهد بود، بنابراین میتوان نتیجه گیری کرد که شاخص ترین امتیاز محفظه ها Containers و ماشینهای مجازی Virtual Machines برای متخصصین امنیت ایجاد فضا ای نسبتا ایمن و ایزوله شده برای برقراری آزمایشگاه مجازی تست انواع نرم افزارها و تکنولوژی با کمترین هزینه و کاربردی ترین و سریعترین روشها است.

در این مطلب در سه بخش به معرفی اجمالی محفظه ها، تفاوتهای اساسی محفظه ها نسبت به ماشینهای مجازی و مزایا و معایب استفاده از آنها برای متخصصین امنیت و در نهایت معرفی تعدادی از بهترین برنامه های موجود برای این پلتفرم خواهیم پرداخت.

به دلیل شباهتهای فراوان بین داکر و ماشینهای مجازی از جمله فضای ایزوله، پروسسها، فضای ذخیره سازی و کارت شبکه اختصاصی، در نگاه اول درک تفاوتها، مزایا و معایب خصوصا برای علاقه مندانی که به تازگی با این تکنولوژی آشنا میشوند کار آسانی نخواهد بود. کانتینر یا محفظه محیطی ایزوله ای است که برای اجرای برنامه ها بر روی سیستم عاملهای مختلف ایجاد میشود که این محیط پروسس ها، فایلهای پیکربندی، توابع، تنظیمات شبکه، وابستگی ها و دیگر نیازمندی های آن برنامه اجرایی را به صورت پیش فرض به همراه خواهد داشت.

شناخته شده ترین کانتینر یا محفظه مجازی داکر Docker از کمپانی شناخته شده داکر است. مطالب فراوانی در مورد نحوه نصب و راه اندازی داکر منتشر گردیده که برای علاقمندان آشنایی به این تکنولوژی قابل دسترسی است. از این رو در این مطلب تمرکزاصلی برروی بررسی مزایا و معایب استفاده از داکر و کلا محفظه های مجازی Containers خصوصا برای متخصصین و علاقه مندان رشته امنیت و مقایسه آنها با ماشینهای مجازی یاVirtual Machines  قرار خواهد گرفت.

برای متخصصین امنیت نصب و تست برنامه های مختلف در محیطی نسبتا ایزوله بدون نگرانی از نشت اطلاعات به دیگر بخشهای سیستم عامل در آزمایشگاه های امنیتی از مهمترین مزایای محفظه ها است. برای مثال میتوان در زمانی بسیار کوتاه بدون نیاز به نصب درایور ها و نیازمندی های خاص محفظه حاوی آن برنامه خاص را دانلود کرده، تست های مورد نظر را انجام و بعد از اتمام کار و عدم نیاز آن محفظه را بایگانی یا حذف کرد.

در این میان عمده ترین تفاوت میان کانتینرها و ماشینهای مجازی در استفاده و نحوه تعامل آنها با کرنل سیستم عامل OS Kernel است. محفظه ها و شاخص ترین آنها داکر برخلاف ماشینهای مجازی که برروی سیستم عامل نصب و اجرا میشوند، ارتباط مستقیمی با هسته سیستم عامل برقرار میکنند. به طور مثال داکری که برروی سیستم عامل لینوکس نصب شده است با به اشتراک گذاشتن کرنل سیستم عامل خود توانایی اجرای دیگر سیستم عاملهای لینوکس را به دلیل شباهت کرنل سیستم عامل را دارا است. داکری که بر روی لینوکس اوبنتو در حال اجراست با توجه به مشترک بودن کرنل  توانایی اجرای لینوکس دبیان، فدورا، سوزه را بدون نیاز به نصب مجدد و با بهره گیری از کرنل سیستم عامل میهمان را دارا خواهد بود.

شایان ذکر است که گرچه این قابلیت مزایای فراوانی را برای بهره گیری از داکر برای کاربر ایجاد میکند در عین حال میتواند مشکلات امنیتی ای را نیز ایجاد نماید. یکی از مهمترین آنها این است که از آنجایی که محفظه ها در داکر ارتباط مستقیمی با هسته سیستم عامل برقرار میکنند بنابراین تمام برنامه ها و پروسس هایی که دسترسی روت (Root Privilege) دارند میتوانند مستقیما با کرنل سیستم تعامل کنند که این میتواند باعث ایجاد مشکلات امنیتی از جمله امکان دسترسی و سو استفاده هکرها از هسته مرکزی سیستم عامل میزبان گردد.

از دیگر تفاوتهای شاخص میان ماشینهای مجازی و داکر نحوه تعامل هر یک از آنها با سخت افزار سیستم است. هر ماشین مجازی به تنهایی نیازمند سی پی یو، رم، فضای ذخیره سازی اختصاصی است در صورتی که در داکر با به اشتراک قرار دادن یک سیستم عامل و کرنل آن میتوان محفظه های داکر متعددی را به آسانی دانلود و اجرا کرد. فضای ذخیره سازی مورد نیاز ماشینهای مجازی غالبا بیش از چند گیگا بایت خواهد بود در صورتی که غالب داکرهای شاخص فضایی بیش از چند ده یا چند صد مگا بایت را اشغال نمیکنند که این امکان ذخیره سازی و در دسترس قرار دادن تعداد فراوانی محفظه بر روی سرورها را فراهم میکند. سرعت بار گذاری و بالا آمدن بسیار سریعتر داکر نسبت به ماشینهای مجازی که در بهترین حالت نیازمند حداقل دقایقی برای آماده به کار شدن میشوند، مرهون به اشتراک گذاری کرنل سیستم عامل و نیاز به فراخوانی و خواندن اطلاعات ذخیره شده بسیار محدودتری است.

لیست نسبتا کاملی از سیستم عاملهای مختلف، دیتا بیسها و دیگر برنامه های کاربردی در Docker Hub به رایگان قابل دسترس است. یکی از جذابترین سیستم عاملهای قابل دسترس در این پایگاه REMnux  است که  در واقع مجموعه ای رایگان از ابزارهای آنالیز و مهندسی معکوس بد افزار بر پایه سیستم عامل لینوکس اوبنتو است. توزیع REMnux  حاوی تعداد فراوانی ابزار تجزیه و تحلیل برای سیستم عاملهای لینوکس و ویندوز از جمله Thug, Viper, Rekall, JSDetox است. نرم افزار آسیب پذیر تحت وب Juice Shop  از موسسه OWASP یکی دیگر از برنامه های قابل دسترس مفید مخصوصا برای علاقمندان و متخصصین امنیت وب است که بدون نیاز به نصب درایورها و نیازمندی های مختلف همچون پیکربندی Node.js به راحتی قابل دانلود و اجرا است.

در مطالب آینده با نحوه نصب و استفاده تعدادی از این برنامه ها بر بستر داکر به منظور استفاده در آزمایشگاه های مختلف امنیت در سیستم عاملهای مختلف آشنا میشویم.