امنیت اینترنت اشیا

امنیت پروتکل های اینترنت اشیا

طبق پیش بینی های موسسه گارتنر تا سال ۲۰۲۰ بیش از ۲۰ میلیارد دستگاه اینترنت اشیا به اینترنت وصل خواهند شد که نشان دهنده نفوذ وسیع و همه جانبه این تکنولوژی در آینده است، از این رو ایمن سازی و ارتقا امنیت این سیستم ها و دستگاه های مرتبط حیاتی و الزام آور خواهد بود. در مطالب قبلی با تعدادی از تکنولوژی و پروتکل های اینترنت اشیا آشنا شدیم، در این مطلب امنیت این پروتکل ها و شایع ترین مشکلات امنیتی به وجود آمده در مورد آنها بحث خواهد شد.

Insteon

همانطور که در مطلب قبلی اشاره شده این پروتکل امکان استفاده از هر دو تکنولوژی با سیم (Powerline)  و بی سیم برای انتقال و تبادل داده را دارا است. همچون دیگر تکنولوژی های ارتباطی، ارتباطات با سیم در این تکنولوژی نسبت به بی سیم از امنیت و پایداری بیشتری برخوردار است از اینرو که هکرها برای نفوذ به این سیستمها نیازمند به دسترسی فیزیکی به تجهیزات خواهند بود. عدم نصب صحیح و پیاده سازی اولیه تجهیزات، عدم بهره گیری از رمزنگاری اطلاعات به صورت پیش فرض  خصوصا در تجهیزات ISY، استفاده از جاوا برای برنامه نویسی سیستم واسط کاربری ISY GUI تجهیزات (با توجه به مشکلات امنیتی شناخته شده جاوا) از مهمترین ایرادات امنیتی تجهیزات بهره گرفته از این تکنولوژی است. با توجه به عدم رمزنگاری اطلاعات به صورت پیش فرض، حمله باز پخش (Replay Attack) از شایع ترین حملات ثبت شده بر علیه این تکنولوژی در چند سال اخیر است.

ZigBee

سنسورهای امنیتی، کنترل کننده های HVAC، سیستم های کنترل کننده ترافیک تنها بخشی از مصارف صنعتی این تکنولوژی به شمار می آیند. همچون دیگر تکنولوژی های اینترنت اشیا عدم نصب صحیح و پیاده سازی اولیه تجهیزات همچون عدم تغییر تنظیمات اولیه یا عدم بروز رسانی سفت افزار (Firmware) مهمترین و شایع ترین عامل تهدید کننده امنیت تجهیزات ZigBee است. از دیگر عوامل تهدید کننده این تکنولوژی نحوه ذخیره سازی و بار گذاری کلید رمزنگاری در حافظه به صورت استاتیک در تجهیزات است. ابزارهای Bus Pirate و GoodFet امکان اتصال فیزیکی به این تجهیزات و بازیابی کلید رمزنگاری استاتیک از حافظه این تجهیزات را برای نفوذ گر امکان پذیر میسازد. شنود ارتباطات بی سیم بین تجهیزات و بازیابی کلید رمزنگاری که معمولا به صورت Pre-shared Key  یا OTA بین تجهیزات ردوبدل میشود از طریق جعل هویت (Impersonation) یکی دیگر از مشکلات امنیتی برای این تکنولوژی است. ابزارهای KillerBee و Attify ZigBee Framework از شناخته شده ترین ابزارهای شنود، رمزگشایی و آنالیز برای این نوع حملات میباشند.

LoraWan

امکان برقراری شبکه هایی گسترده مبتنی بر این تکنولوژی در مسافتهای طولانی چند کیلومتری در رنج یک گیگاهرتز از جذابترین قابلیتهای این تکنولوژی نسبت به دیگر رقبای صنعت اینترنت اشیا است. این تکنولوژی برای رمزنگاری ارتباطات بین سنسورها و سرورهای فعال سازی به صورت پیش فرض از استاندارد رمزنگاری AES 128 استفاده میکند. گرچه این استاندارد از امنیت نسبتا خوبی برخوردار است ولی همچنان امکان بازیابی کلیدهای رمزنگاری و رمزگشایی ها آنها از تجهیزات سمت کلاینت و در هنگام تبادل با سرور فعال سازی وجود دارد. از دیگر مشکلات امنیتی و حملات شناخته شده این تکنولوژی میتوان از حملات انکار سرویس (DoS) و حمله تخلیه باتری (Battery Exhaustion Attack) نام برد.

Z-Wave

یکی از شاخصه های این تکنولوژی از منظر امنیتی، اتصال گرا (Connection Oriented) بودن نسبت به دیگر رقبا است، به عبارت دیگر، قبل از برقراری ارتباط بین کنترل کننده و دستگاه تقاضا کننده ارتباط، دریافت کلید رمزنگاری  (Key Exchange )باید در هشت مرحله با موفقیت انجام گیرد. گرچه پیچیدگی این تبادل از سطح ایمنی خوبی برخوردار است ولی همچنان امکان انجام حملات مرد میانی (MitM) و حمله بازیابی کلید (Key Recovery) وجود دارد. ابزار Z-Force امکان شنود و تزریق در مرحله تبادل کلید رمزنگاری را برای نفوذ گر مهیا میسازد. Z-Attack دیگر ابزاری است که امکان شنود دستکاری (Manipulation) فریم ها را فراهم میسازد.

NFC

این تکنولوژی برای استفاده در تلفن های همراه امروزی و تجهیزات اینترنت اشیا و به منظور تبادل اطلاعات بین دستگاهی با فاصله کم طراحی و توسعه  یافته است. قابلیت Card Emulation به دستگاه های مجهز به این تکنولوژی امکان جایگزینی کارتهای پلاستیکی سنتی حمل و نقل عمومی، کنترل ورود و خروج و کارتهای بانکی را میدهد که قابلیت بسیار جذابی برای کاربران این تکنولوژی است. گرچه وجود این قابلیت از منظر امنیتی با توجه به فاصله مجاز حداکثر چهار سانتیمتری بین دو دستگاه برای تبادل اطلاعات در این تکنولوژی شنود اطلاعات تبادل شده را برای نفوذ گر سخت میکند ولی خصوصا اگر برنامه هایی که از NFC استفاده میکنند، از استانداردهای رمزنگاری بهرهمند نباشند همچنان این امکان وجود خواهد داشت که اطلاعات ردوبدل شده بین دو دستگاه شنود شده و اطلاعات ضبط شده مورد سوءاستفاده نفوذ گران قرار گیرد. از دیگر مشکلات امنیتی که این تکنولوژی را تحت تاثیر قرار میدهد، عدم نیاز به تائیدیه در هنگام دریافت اطلاعات به طور مثال در Android Beam در بعضی دستگاه ها است. این امکان در کنار نقص امنیتی Webkit  در مرور گر اندروید فرصتی را فراهم میکند که با ارسال لینک آلوده دسترسی روت برای نفوذ گر ایجاد گردد. از جدیدترین نقص های امنیتی کشف شده در این تکنولوژی نشت اطلاعات به دلیل عدم وجود اعتبار سنجی کافی (Insufficient Validation) در هنگام درخواست ارسال است که جزییات آن در سایت CVE Details  به شماره CVE-2018-7930 قابل دسترس است.

در کنار نرم افزارهای معرفی شده شاخص ترین و قابل دسترس ترین ابزارهای سخت افزاری برای تست تجهیزات اینترنت اشیا برای متخصصین امنیت میتوان از کارت شبکه  Yard Stick One که در کنار نرم افزار های متن بازی همچون Rfcat و RFCrack امکان شنود و تزریق فریم برای سیگنالهای رادیویی زیر یک گیگا هرتز است را نام برد.

برچسب ها

‫۴ نظرها

  1. سلام
    ممنون بابت مقاله. من دانشجوی آی تی هستم با اجازتون اگر اشکالی نداره این مقاله و بخشی از مقاله اینترنت اشیا و برترین پروتکل هارو با ذکر منبع سایت شما توی پایان نامه استفاده میکنم.
    ممنون

    1. سلام
      خواهش میکنم. جواب ایمیل شما ارسال شد بهرحال با ذکر منبع میتونید استفاده کنید. آرزوی موفقیت در تکمیل و دفاع از پایان نامه را برای شما دارم.

      1. سلام
        ممنون خیلی لطف کردید و ببخشید دیر به دیر سر میزنم گرفتار پایان نامه بودم. اینترنت اشیا خیلی موضوع جالبیه خواهشن باز هم اگر وقت کردید در موردش مطلب بنویسید.

        1. سلام
          خواهش میکنم…با توجه به گستردگی و اهمیت اینترنت اشیا حتما مطالب بیشتری در این زمینه منتشر خواهیم کرد.

پاسخی بگذارید

نشانی ایمیل شما منتشر نخواهد شد. بخش‌های موردنیاز علامت‌گذاری شده‌اند *

دکمه بازگشت به بالا
بستن