مقدمه ای بر امنیت اینترنت اشیاء

پیدایش اینترنت اشیا

در سال ۱۹۶۶ بود که Karl Steinbuch پیشگام علوم کامپیوتری در آلمان عنوان کرد : “در کمتر از چند دهه آینده ، کامپیوترها بیش از هر محصول صنعتی دیگری تولید خواهند شد” . نه تنها تحقق این تصور Karl Steinbuch چند دهه به طول نکشید بلکه امروزه شاهد اتصال اشیاء مختلف به اینترنت می باشیم (اینترنت اشیاء) و حالا درگیر مسئله مهمتری به نام امنیت اینترنت اشیاء گردیده ایم .

با عرضه تلفن های هوشمند ، تبلت ها و لپ تاپ های قابل حمل در حال حاضر مردم می توانند در هر زمان و مکانی با یکدیگر ارتباط برقرار کنند . سازندگان حسگرها و تجهیزات شبکه به دنبال عرضه یک اکوسیستم پیچیده تری برای تجهیزات سخت افزاری می باشند . چشم انداز ۵۰ میلیارد دستگاه متصل به اینترنت تا سال ۲۰۲۰ نشان می دهد که هر شی ایی می تواند به شبکه متصل شود . این تکامل سریع باعث حرکت از اینترنت سنتی به سمت اینترنت اشیاء گردیده است ، این حرکت باعث اکتشاف و معرفی حوزه های جدید و بی شماری در صنایع و موضوعات مختلف گردیده است .

تاثیر استفاده اینترنت اشیا بر زندگی انسان ها

 استفاده از اینترنت اشیاء باعث خواهد شد که جوامع انسانی اشکال جدیدی از تهدیدات و حملات را در بسیاری از شبکه ها تجربه کنند . با اینترنت اشیاء محاسبات و ارتباطات به شکل گسترده ای فراگیر خواهد شد و در همه جا و هر زمان نقش موثری را بر عهده خواهند داشت . امنیت سایبری و حفظ حریم خصوصی در اینترنت اشیاء از مفاهیم و عناوین مهم محسوب می شوند که در کسب و کارهای مختلف تاثیر گذار خواهند بود.

(مطلب مرتبط : طبقه بندی حملات در اینترنت اشیاء)

(مطلب مشابه : نوآوری های جدید در اینترنت اشیاء)

(مطلب کاربردی : معرفی یک موتور جستجوگر در اینترنت اشیاء)

تامین امنیت اینترنت اشیا

تکامل اینترنت اشیاء و پیشرفت ها در محاسبات به طور کلی باعث ایجاد یک رقابت شدید بین جامعه امنیت و مجرمان سایبری گردیده است . بهره وری از طریق تعداد زیادی از تجهیزات محیطی مجهز به WiFi ، بلوتوث و دستگاه های رادیویی به دست می آید و هم زمان امنیت و مدیریت با توجه به حجم گسترده اطلاعات دریافتی از محیط به خطر خواهد افتاد .

حفاظت از اطلاعات از اولین مباحثی بوده است که از زمان ارتباط بین دو کامپیوتر مطرح گردیده است . با تجاری شدن اینترنت ، نگرانی های امنیتی از جمله حفظ حریم خصوصی کاربر ، تراکنش های مالی و سررقت اطلاعات مطرح گردیده است . باید توجه داشت که در اینترنت اشیاء امنیت مفهومی جدا از ایمنی دارد . وقوع  یک رخداد تصادفی یا عمدی (توسط یک بدخواه یا مهاجم) در یک یک سیستم کنترلی ، یک خودرو اتومات و یا یک رآکتور هسته ای می تواند فاجعه به بار آورد .

توسعه سریع اینترنت اشیاء بدون در نظر گرفتن چالش های امنیتی و نظارت های ضروری می تواند مشکلاتی را ایجاد کند . همان طور که اینترنت اشیاء به طور گسترده ای توسعه می یابد ، حملات سایبری هم به طور فزاینده ای و غالبا به صورت فیزیکی گسترش می یابند . (در اینترنت اشیاء حملات فیزیکی بیشتری نسبت به حملات مجازی به وقوع می پیوندد ) . در ژانویه ۲۰۱۴ ، فوربس اعلام کرد که بسیاری از لوازم متصل به اینترنت مانند تلویزیون ها ، لوازم آشپزخانه ، دوربین ها و ترموستات ها می توانند به عنوان وسیله ای برای جاسوسی از مردم در خانه هایشان مطرح شوند  .

خطرات ناشی از نقض امنیت در اینترنت اشیا

کامپیوترها به کنترل دستگاه ها در سیستم های ترمز خودرو ها ، موتورها ، قفل ها ، سیستم های گرمایشی و … می پردازند ، این در حالی است که امکان حمله به تمامی این تجهیزات وجود دارد . این تجهیزات در حال حاضر به شبکه های خارجی متصل نیستند ، بنابراین حملات اینترنتی در مورد آن ها کمتر قابل تصور است اما با اتصال آن ها به اینترنت مقدار حملات به شدت افزایش خواهد یافت .تصور این که یک مزاحم این امکان را خواهد داشت که از راه دور به تنظیم سیستم تهویه هوا ، راه اندازی سیستم گرمایشی ، بازکردن درب ، استقرار بی دلیل کیسه هوا در حین رانندگی و یا در اختیار گرفتن کنترل فرمان یک خودرو بپردازد ، بسیار وحشتناک خواهد بود .

شورای اطلاعات ملی آمریکا در مورد امنیت چنین تجهیزاتی هشدارهای مختلفی را صادر کرده است و اعلام کرده که این وضعیت می تواند منجر به عدم دسترسی به شبکه ها و حسگرها و اشیایی با قابلیت کنترل از راه دور توسط دشمنان ، جنایتکاران و مفسدان گردد . در مباحث تجاری و مالی نیز می توان با جمع آوری غیرقانونی داده های حساس از حسگرها به منافع قابل توجه ای دست یافت و امنیت ضعیف می تواند به جنایتکاران و جاسوسان در شناسایی نقاط آسیب پذیر کمک کند .

حفظ حریم خصوصی بزرگترین چالش اینترنت اشیا

امنیت جامع برای اینترنت اشیاء شامل تامین امنیت دستگاه ها / حسگرها ، تامین امنیت داده ها و تامین امنیت در سراسر یک شبکه باز می باشد ، که نشان دهنده حجم عظیمی از چالش های امنیتی است . دسترسی به اطلاعات شخصی یکی از بزرگترین چالش ها در حوزه امنیت اینترنت اشیاء در آینده خواهد بود و برای مقابله با این چالش باید مدیریت جامع و امنیت به اندازه کافی قوی شود تا بتواند جلوی تخریب های شخصی ، اجتماعی و صنعتی گرفته شود . از این رو ، درک مدل های امنیتی برای اینترنت اشیاء بسیار مهم خواهد بود .

چالش دیگر ، که ما در کار با اینترنت اشیاء با آن مواجه خواهیم شد این است که بتوانیم برای هر فرد موجود در سیستم نقش مشخصی را تعریف کنیم و محدودیت های خاصی را برای این نقش در سیستم در نظر بگیریم . اینترنت اشیاء فضای مجازی و فیزیکی را به یکدیگر نزدیکتر کرده است . جهان فیزیکی  به طور مستقیم و از طریق ماشین آلات با جهان مجازی مرتبط می شود . هر چند که دخالت انسان به صورت سنتی و در اشکال مختلف در ارتباطات و کنترل اشیاء وجود دارد .

تاثیر انسان بر عملکرد اینترنت اشیا

دخالت انسان باعث افزایش انحرافات در رفتار سیستم می شود که دلیل آن دخالت های تصادفی و رفتارهای خرابکارانه مهاجم بدخواه می باشد . ماشین ها باید قادر باشند تا سیاست های حداقلی و میانجیگرانه را با انسان به کار گیرند . این سیاست ها باید به نوبه خود در زمینه های خاص و مبتنی بر اجماع باشند . این امر نیاز به مشارکت حداکثری کاربران در فرموله سازی سیاست ها دارد .

در این زمینه کتاب تدوین سیاست های پویا مبتنی بر اجماع برای مطالعه بیشتر پیشنهاد می شود . در این کتاب محدودیت های اجتماعی مطرح شده  و اهداف زیر دنبال می شود :

  • به حداکثر رساندن مشارکت فعالانه کاربران در تدوین سیاست های پویا و تسهیل فرموله سازی سیاست ها در یک زمینه خاص با توجه به اجماع محلی .
  • به حداقل رساندن نقش کاربران در پایبندی به سیاست ها و در مقابل به حداکثر رسانی پایبندی به سیاست ها در ماشین آلات هوشمند ، به گونه ای که در اجرای سیاست ها خودگردان شوند .

و درپایان …

برای اطمینان از تکامل اینترنت اشیاء و ایجاد زیر ساخت های قوی و امن در آینده ، همه افراد علاقه مند به این مبحث باید به سمت یک هم افزایی در توسعه فناوری های مرتبط با اینترنت اشیاء بپردازند ، د حالی که هم زمان به دنبال حفظ ثبات ، امنیت و حریم خصوصی جامعه باشند . به عنوان بخشی از این تلاش ها ، ضروری است که افراد به صورت جامع و کامل ویژگی های اینترنت اشیاء را مورد مطالعه قرار دهند و قبل از هرگونه بهره برداری از فناوری های نوین ، تهدیدات مرتبط با زیرساخت های اینترنت اشیاء را شناسایی کنند . علاوه بر این برای آینده ای بهتر در اینترنت اشیاء نیاز به یک چارچوب مشخص برای توسعه مطلوب داریم . با توجه به ارتباطات قوی و سریع در تجهیزات مرتبط با اینترنت اشیاء ، بسیار مهم است که چارچوب توسعه اینترنت اشیاء را از اینترنت سنتی جدا کنیم .

ترجمه ، گردآوری و ارائه : مسعود معاونی

فهرستی از کسب و کارهای حوزه اینترنت اشیاء

تحول در اقتصاد یک حرکت پیوسته از گذشته تا امروز بوده است . در این پست می خواهیم به بررسی دیدگاه‎های مختلف درباره ی فضای کسب و کارهای حوزه اینترنت اشیاء و تاثیر آن بر تجارت و اقتصاد بپردازیم. طبق بررسی های انجام شده صنایعی نظیر خدمات مالی، تولید، مراقبت‎های بهداشتی، بیوتکنولوژی و داروشناسی، فناوری اطلاعات، انرژی و منابع طبیعی، املاک و مستغلات، زیرساخت های شهری و مدیریت کلان از حوزه های مورد توجه در اینترنت اشیاء می‎باشند .

جایگاه امروزی اینترنت اشیا

درآمد کنونی اینترنت اشیا بیش از ۵۰۰ میلیون دلار در سال است که این درآمد بیشتر توسط شرکت‎های کوچک و متوسط حاصل می‎شود و شرکت‎های بزرگ هنوز در حال سرمایه‎گذاری و تحقیق جدی در این حوزه می باشند. IoT در حال تبدیل شدن به یک حرکت است. اینترنت اشیاء امروزه یک حرکت کلیدی محسوب می‎شود که قادر است یک تحویل دیجیتالی ایجاد نماید. IoT مسیر فناوری در آینده است که باعث ایجاد نوآوری‎های گسترده در صنایع مختلف خواهد گردید. در سالیان اخیر اشتیاق افراد و شرکت‎ها به این دانش افزایش غیرقابل تصوری پیدا کرده است و این نوید بخش تحول شگرفی است.

کسب و کارهای حوزه اینترنت اشیاء

امروزه سازمانی موفق خواهد بود که بتواند راندمان کاری بهتری داشته باشد و هزینه‎های جاری خود را کاهش دهد و این مهم را می توان به کمک دستگاه‎های متصل به شبکه که به صورت مستمر به جمع‎آوری اطلاعات می‎پردازند، فراهم کرد. اینترنت اشیاء در آینده چالش‎های بسیاری را حل خواهد کرد و با بسیاری از تکنولوژی‎های دیگر که خود را با آن سازگار خواهند کرد و استراتژی‎های خود را براساس آن تعیین خواهند کرد، به حل مشکلات و افزایش کیفیت زندگی بشر خواهد پرداخت.

امنیت در اینترنت اشیا

با برطرف شدن نگرانی ها در حوزه های امنیت و حریم خصوصی، سازمان‎های بیشتری به سمت استفاده و توسعه این تکنولوژی پیش خواهند رفت. اینترنت اشیاء تاثیرات زیادی برروی کسب و کارها، مشتریان ، ارزش‎ها ، کارکنان و محیط خواهد گذاشت. نوآوری‎های جدید، فرصت‎های جدیدی را در اختیار شرکت‎ها می‎گذارند و این فرصت‎ها باعث ایجاد ارزش افزوده برای این شرکت‎ها می‎گردند. اینترنت اشیاء یک واقعیت است که در سطح گسترده ای از صنایع و جغرافیای محیطی در حال به کارگیری است. بر این اساس شرکت‎ها در چند سال آینده باید زیرساخت های اساسی خود را براساس آن پیاده سازی کنند.

۵۷% از صاحب نظران معتقدند که رشد و توسعه IoT به اندازه کافی سریع و قابل قبول بوده است و در تمامی کسب و کارها اثری از آن را می‎توان یافت . اینترنت اشیاء به طور کلی باعث می شود تا بینش افراد (دانش+نگرش) نسبت به موضوعات تغییر کند و خود این واقعیت باعث توسعه و پیشرفت در بسیاری از حوزه‎های دیگر خواهد گردید. رشد اینترنت اشیاء از سال ۲۰۱۳ تا به امروز یک شیب مثبت دارد، این در حالی است که بسیاری از تجارت های دیگر نظیر صنایع نفت و طلا در این مدت دارای نوسانات بسیاری بوده اند.

نگرانی اصلی سازمان‎ها در بخش اینترنت اشیاء هزینه های بالای اجرای آن می‎باشد. اینترنت اشیاء نیاز گسترده ای به هزینه در زیرساخت‎ها دارد. این در حالی است که در بخش های امنیتی، نیروهای متخصص، مهارت و دانش نیز نگرانی‎های عمده ای وجود دارد. در این پست مقدمه ‎ای بر امنیت اینترنت اشیا را بیان کرده‎ایم.

چالش های عمده در اینترنت اشیا

  • هزینه های بالای سرمایه گذاری در زیرساخت های مورد نیاز IoT
  • نگرانی در مورد امنیت و حریم خصوصی
  • عدم مدیریت مناسب در زمینه دانش و مهارت
  • ضعف در زیرساخت های فناوری سازمان ها
  • مقررات(به عنوان مثال در زمینه حریم خصوصی)
  • ضعف در ارتباطات عمومی در زیرساخت های موجود
  • مبهم بودن استانداردهای صنعتی در حوزه اینترنت اشیا
  • عدم کارآیی مشخص اینترنت اشیاء در برخی از محصولات یا خدمات
  • عدم اطمینان عمومی در زمینه اقتصادی بودن
  • عدم آگاهی مصرف کننده
  • عدم وجود مدل های کسب و کار مناسب

مدل‎های کسب و کاری حوزه اینترنت اشیا

شرکت‎های برجسته موفق شده اند که در مدل های کسب و کار خود IoT را جای دهند. به عنوان مثال شرکت ISS با استفاده از سنسورهای تعبیه شده در محیط‎های عمومی رفتار افراد را تحلیل کرده و براساس اطلاعات جمع‎آوری شده خدمات متناسب با هر شخصی را ارائه می‎دهد. شرکت‎های بسیاری از IoT به عنوان ابزاری برای نظارت و کنترل استفاده می‎کنند تا به وسیله آن مدیریت بهتری بر دارایی‎ها و مشتریان خود داشته باشند .

یک سازمان برای توسعه و گسترش IoT در مجموعه ی خود باید اقدامات زیر را انجام دهد :

  1. دریافت مشاوره از کارشناسان و متخصصان حوزه IoT
  2. یادگیری و در نظر گرفتن موفقیت ها و شکست های احتمالی
  3. آموزش کارمندان موجود برای کار با اینترنت اشیاء
  4. انجام یا حمایت از تحقیقات
  5. ایجاد و گسترش تقاضاهای جدید در بازار
  6. ایجاد کشش و کارکرد برای محصولات IoT
  7. کشف و دنبال کردن فرصت های IoT
  8. معرفی مدل های جدید کسب و کار
  9. سرمایه گذاری مشترک یا اتحاد بین شرکت ها
  10. بهره برداری از فرصت های IoT
  11. شناسایی کسب و کارهای جدید در حوزه IoT

آشنایی با کسب و کارهای حوزه اینترنت اشیاء

حوزه‎های کاری اینترنت اشیاء به شدت در حال گسترش است. ازجمله سیستم‎های مراقبت بهداشتی، سیستم‎های مدارک پزشکی و سیستم‎های مبتنی بر اَبر که مبنای تمامی آن‎ها همکاری بین اجزاء مختلف یک سیستم می‎باشد. درسال ۲۰۱۶ بسیاری از سازمان‎ها به علّت عدم وجود استاندارد مطمئن و بن المللی از IoT استفاده نکرده اند. ترویج استانداردها به عنوان یک استراتژی باید از سوی سازمان‎های بزرگ و دولت‎ها پیگیری شود و باید از ایجاد چندین استاندارد موازی جلوگیری شود تا مثلا در ساختمان‎های هوشمند شاهد یک گونه استاندارد باشیم . در اینجا رقابت بین شرکت‎ها و سازمان‎ها باعث می‎شود که شاهد استانداردهای گونگونی باشیم.

فهرست کسب و کارهای اینترنت اشیاء نشان می‎دهد که هیجان قابل توجه ای برای آینده اینترنت اشیاء می‎توان متصور بود. در کمتر از سه سال آینده بیش از ۵۵% از صنایع به طور مستقیم تحت تاثیر فناوری‎های IoT قرار خواهند گرفت و به کمک این فناوری‎ها صرفه جویی شگرفی در هزینه‎های داخلی و تولید به وقوع خواهد پیوست. این در حالی است که بسیاری از صنایع برای سرمایه گذاری گسترده در IoT در تردید به سر می‎برند.

مثبت ترین پیامدهای اینترنت اشیاء

  1. موج جدید نوآوری باعث می شود که اطلاعات کسب شده به ما بینش بهتری بدهد .
  2. فرصت های جدید درآمدزایی برای محصولات/خدمات.
  3. تغییر گسترده در مدل های کسب و کار یا استراتژی های کسب و کار.

بزرگترین تغییرات اینترنت اشیاء بر روی کسب و کارها

  1. آنالیز و مدیریت داده
  2. محصولات و سرویس ها
  3. مدیریت زیرساخت فناوری

طبقه بندی حملات در اینترنت اشیاء

اینترنت اشیاء (IoT) یک شبکه پیچیده از دستگاه های هوشمند است که داده های خود را از طریق اینترنت مبادله می کنند. با توجه به رشد قابل توجه اینترنت اشیاء به عنوان یک فناوری نوپا، نگرانی های زیادی در حفاظت از اطلاعات و عملیات به وجود آمده است. در این پست قصد داریم به طبقه بندی حملات در اینترنت اشیاء بپردازیم .

حملات رایج در اینترنت اشیا

هم چنین به ارائه یک طبقه بندی برای حملات در شبکه های اینترنت اشیاء خواهیم پرداخت و معضلات وقفه های ایجاد شده در چنین سیستم های را مورد بحث قرار می دهیم . طبقه بندی حملات به توسعه دهندگان سیستم های اینترنت اشیاء کمک خواهد کرد تا نواقص امنیتی خود را بهتر بشناسند و راه کارهای مناسب برای حفاظت از اطلاعات خود را پیاده سازی کنند .

آشنایی با چالش های اینترنت اشیا

کاربردهای اینترنت اشیا در زمینه های مختلف

در ابتدا باید عنوان کنیم که سیستم های اینترنت اشیاء امروزه به صورت گسترده ای در خانه های هوشمند ، تجهیزات هوشمند ، شهر های هوشمند ، پزشکی الکترونیک و … استفاده می شوند و به صورت مستمر به تولید حجم عظیمی از داده ها می پردازند . یک اکوسیستم اینترنت اشیاء شامل مجموعه ای از سنسورها می باشد که اطلاعات محیطی را جمع آوری می کنند و براساس این اطلاعات ، در زمان و مکان های ضروری مجموعه ای از فرامین را صادر می کنند . با توجه به حجم گسترده اطلاعات ذخیره شده ، فناوری های اینترنت اشیاء معمولا بر روی اَبر(cloud) ارائه می شوند .

پیش بینی می شود اجزاء اینترنت اشیاء در سال ۲۰۲۰ ، به چندین میلیارد برسد . افزایش تعداد تجهیزات احتمال اختلال و خطا را افزایش می دهد ، هم چنین با توجه به حجم اطلاعات و انتقال آنلاین آن ها امکان مواجه شدن با انواع حملات توسط هکرها افزایش می یابد . علاوه بر این ، لو رفتن اطلاعات محرمانه می تواند به صورت مستقیم بر روی زندگی حقیقی (علاوه بر تاثیر بر روی زندگی مجازی) افراد و جامعه تاثیر بگذارد .

در اینترنت اشیاء چهار مولفه کلیدی وجود دارد که عبارتند از : افراد ، اشیاء هوشمند ، محیط های زمینه ای و فرآیندها . یک سیستم اینترنت اشیاء به طور طبیعی نیاز به فرآیندهای امنیتی از قبیل شناسایی ، احراز هویت ، حفظ محرمانگی ، انکارناپذیری و قابلیت اطمینان دارد و به همین دلیل باید در مقابل حملات مختلف مقاوم باشد . اینترنت اشیاء به طور طبیعی با حملات مختلفی مواجه است که در ادامه به صورت فهرست وار به برخی از آن ها اشاره می کنیم.

انواع حملات در اینترنت اشیا

  • Spoofing :

از جمله مهم ترین حملات ، حمله جعل یا spoofing می باشد . اهمیت این حمله از آن جهت است که خود این حمله می تواند زمینه ساز حملات دیگری نظیر حمله مسیریابی ، حمله جایگزینی ، حمله تکرار ، حمله منع سرویس و … شود . در این دسته از حملات مهاجم با ایجاد یک پیغام نادرست (جعلی) ممکن است به ایجاد یک حلقه(loop) مسیریابی بپردازد . یک Spoofer ابتدا به کانال گوش می دهد و یک سری اطلاعات را از کانال ناامن دریافت می کند و سپس به ارسال اطلاعات جعلی می پردازد . معملا نقاط ورود اطلاعات بیشتر مورد توجه یک spoofer قرار می گیرد . یک spoofer ممکن است برای رسیدن به اهداف خود کاربران را گمرا کند تا آن ها اطلاعات خود را در یک صفحه جعلی وارد کنند (نوعی phishing) و از این طریق به اطلاعات مورد نیاز خود دست یابد .

  • Sybil :

در حمله Sybil یک گره (شئ) برای خود هویت های چند گانه ای را ایجاد می کند و این بدان معنا است که یک مهاجم می تواند در یک زمان دارای چندین هویت باشد . این حمله باعث کاهش یکپارچگی و امنیت داده ها می شود و از طرفی دیگر باعث کاهش یکپارچگی و امنیت داده ها می شود . در واقع مهاجم به وسیله حمله Sybil یک لباس مبدل (Masquerade) می پوشد و سعی می کند رفتار خود را عادی نشان دهد .

  • DOS :

در حملات منع سرویس ، سرویس های عادی شبکه از دسترس خارج می شوند و دسترسی اشیاء و کاربران به سرور و سایر منابع غیر ممکن می شود .

  •  Devices Property  :

این دسته از حملات بر اساس خصوصیات خاصی که تجهیزات مورد استفاده در اینترنت اشیاء دارند به وجود می آید و دارای ساختارهای متفاوت و متعددی می باشند . در این حملات سعی می شود که توان محاسباتی ، پردازشی و انرژی تجهیزات را به تحلیل ببرند و یا اطلاعات ناقص و یا غلط در اختیار آن ها بگذارند .

  • Access Level :

در حمله به سطح دسترسی ممکن است هر شء حق دسترسی به یک سری اطلاعات را نداشته باشد اما به شیوه ای غیر متعارف به استراق سمع بپردازد و اطلاعات حساس را بدست آورد . این حمل می تواند شامل دو نوع فعالانه و غیرفعال باشد .

  • Adversary Location :

یک مهاجم می تواند در هر جایی که یک سیستم اینترنت اشیاء راه اندازی می شود وجود داشته باشد (مهاجم داخلی یا مهاجم خارجی ) و بر این اساس به شناسایی موقعیت اشیاء مختلف بپردازد و از اطلاعات ارسالی آن ها سوء استفاده کند . مهاجم در چنین مواردی می تواند به سادگی و با سعی و خطا و جمع آوری مستمر اطلاعات به موفقیت برسد و اطلاعات حساس و حیاتی را استخراج کند .

  • Attacks Strategy :

یک مهاجم در این دسته از حملات سعی می شود تا استراتژی یک سیستم اینترنت اشیاء را با چالش مواجه کند . معمولا در این شیوه حملات هم از روش های فیزیکی استفاده می شود و هم از روش های منطقی بهره برده می شود .

  • information level attack :

تمامی تجهیزات تجهیزات اینترنت اشیاء شامل سنسور های هستند که به صورت مستمر به جمع آوری ، تولید  و باز نشر اطلاعات می پردازند . این سنسورها تحت نظارت پارامترهای مختلفی هستند و با توجه به باز بودن محیط اینترنت اشیاء ، این اطلاعات می تواند توسط مهاجمان به راحتی تغییر کند .

  • Interruption :

هدف حملات وقفه این است که سیستم را از دسترس پذیری خارج کنند . چنین اختلالی در سیستم اینترنت اشیاء ممکن است عوارض غیرقابل تصوری را داشته باشد .

  • Eavesdropping :

مهاجم با استراق سمع کانال های ارتباطی ، محرمانگی اطلاعات را از بین می برد .

  • Alteration :

دستگاه های IoT برای داشتن عملکرد مناسب باید دارای اطلاعات یکپارچه باشند . یک مهاجم می تواند با ایجاد تغییرات مدنظر عملکرد کلی سیستم را با اخلال مواجه کند .

  • Fabrication :

با ایجاد تهدیدات احراز هویتی می توان ساختار کلی سیستم اینترنت اشیاء را به خطر انداخت و زمینه حملات گسترده را فراهم کرد .

  • Message Replay :

یک مهاجم می تواند با تکرار یک پیام و یا اصلاح و تغییر در ساختار یک پیام به ایجاد یک تهدید امنیتی بپردازد و نهایتا حمله ای را به سیستم وارد کند . بسیاری از مهاجمان اطلاعات فعلی را برای سوء استفاده احتمالی در آینده نگهداری می کنند .

  • Man-in-the-middle :

یک فرد (شئ) می تواند به راحتی در بین دو موجودیت (شئ) دیگر قرار بگیرد و اطلاعات دریافتی از طرفین را به گونه ای تغییر دهد که به اهداف مدنظر خود برسد .

  • Host-based attacks :

ما در سیستم های اینترنت اشیاء دارای میزبان های (host) مختلفی هستیم . در حقیقت ما با نرم افزارها و سخت افزارهای مختلفی مواجه می باشیم که خود این موضوع می تواند حملات مختلفی را در پی داشته باشد .

  •  User/software/hardware-compromise :

سازش کاربران / نرم افزارها / سخت افزارها  در یک سیستم اینترنت اشیاء می تواند رخ دهد . در این حمله دو کاربر می توانند با یکدیگر سازش کنند و اطلاعاتی را به یکدیگر منتقل کنند . این موضوع حتی ممکن است بین نرم افزارها و سخت افزارها به وقوع بپیوندد !!!

  • Protocol based attacks :

انحراف در یک پروتکل نیز یکی از مسائلی است که می تواند منجر به یک حمله شود . یک مهاجم می تواند با ایجاد انحراف و اختلال در یک پروتکل امنیتی برخی از ویژگی های امنیتی را نقض کند .

موارد فوق تنها برخی از موارد و حملات مطرح در اینترنت اشیاء بود و با توجه به توسعه این سیستم ها و فراگیرتر شدن آن ها نوع حملات نیز روز به روز فراوان تر می شود .


منبع (مقاله) : Internet of Things (IoT): Taxonomy of Security Attacks

گردآورنده : مسعود معاونی – نیلوفر مظفریان

دانلود منبع مقاله از اینجا

اینترنت همه چیز

اینترنت همه چیز

در این مقاله می خواهیم در باره IoE یا اینترنت همه چیز صحبت کنیم و تفاوت آن را با اینترنت اشیا یا همان IoT بیان کنیم . می توان گفت که IoE یک مفهوم گسترش یافته بر اساس IoT است که بر ارتباط ماشین به ماشین تکیه دارد و به توصیه سیستم های پیچیده که شامل افراد و یک سری مراحل انجام فرآیندها می باشد ، می پردازد .
مفهوم IoE بیشتر در سیسکو مطرح گردیده است که به دنبال اتصال هوشمند مردم ، فرآیندها ، داده ها و اشیاء به یکدیگر می باشد . از آنجا که در اینترنت اشیاء(IoT) همه ارتباطات بین ماشین ها می باشد به طوری که M2M با IoT به صورت کلی معادل فرض می شود . باید دقت داشت که مفهوم IoE از IoT گسترده تر است به طوری که علاوه بر ارتباطات ماشین به ماشین(M2M) ارتباطات ماشین با مردم (M2P) ، و فناوری های کمک مردم به مردم (P2P) را نیز شامل می شود . این در حالی است که اینترنت اشیاء در گسترده ترین مفهوم خود شامل هر نوع جسم فیزیکی و یا مجازی است که قابلیت انتقال داده ها را بدون دخالت مستقیم انسان بوجود می آورد . در واقع یک اتوماسیون ارتباطات بین اشیا را ما با مفهوم اینترنت اشیاء می شناسیم . اما IoE شامل ارتباطات ایجاد شده توسط کاربر و تعاملات گسترده جهانی در تجهیزات شبکه می باشد .
به طور واضح تر باید این چنین بگوییم که اینترنت اشیاء (IoT) به معنای اتصال یک شی به شی دیگر از طریق اینترنت است که در آن هدف آیتم های فیزیکی است اما بسیاری از سرویس هایی که در اینترنت از آن ها استفاده می شود دارای نمود فیزیکی نمی باشد (مانند اَبر ، دراپ باکس ، سرویس های انتقال تصاویر مانند اینستاگرام و…. ) ، چننین سرویس هایی را با نامه اینترنت همه چیز(IoE) می شنسیم .
در IoE تمامی مفاهیم مجزا با یکدیگر مرتبط می شوند و به اجزاء اجازه می دهند تا با یکدیگر ارتباط برقرار کنند . این اجزاء مستقل می توانند شامل مشتریان ، کارمندان ، سخت افزار ، نرم افزار ، سرویس های جانبی و … باشند .

نویسنده و گردآورنده : مهندس مسعود معاونی


 

مبحثی نو در اینترنت اشیاء(معرفی یک موتور جستجو اینترنت اشیاء)

موتور جستجو اینترنت اشیا

اینترنت اشیا (IOT) ، ابر ، داده های حجیم و…. از کلمات مُد شده در عصر مدرن امروزی هستند . اینترنت اشیا واقعا چیست ؟ این سوالی است که اکثر محققان درباره آن از خود می پرسند . دانشمندان در حال حاضر از یک دید سطح بالا به این موضوع نگاه می کنند .
اینترنت اشیا را در واقع باید دستگاه های دانست که قدرت محاسباتی (بستگی به نوع دستگاه کم ، متوسط و یا زیاد) دارند و قادر به برقراری ارتباط با مراکز داده ای از طریق اینترنت می باشند و از این ارتباط اینترنتی برای شناسایی ، احراز هویت و تبادل اطلاعات بهره می برند و مهمتر از همه این که از نوعی هوشمندی منحصربفرد برخوردار هستند . این دستگاه ها می توانند شامل وب کم ، میکروفن ، سنسور های سنجش شرایط محیطی ، دستگاه های تشخیص پزشکی ، یخچال و فریزرهای هوشمند ، ماشین های اتومات و … باشند . تمامی تجهیزاتی که در اینترنت اشیا به کار می روند در گذشته نیز وجود داشته اند و تنها تفاوت آن ها ارسال داده ها توسط آن ها به یک سرور مرکزی و پرازش داده ها و داده کاوی می باشد .
اگر چه برنامه های کاربردی بسیاری در زمینه اینترنت اشیا امروزه به بازار آمده است اما همچنان چالش های بسیاری در این زمینه وجود دارد و بعضا می توان راه حل های اقتصادی تر و مقرون به صرفه تری را ارائه کرد . با این حال اینترنت اشیا در حال رسیدن به یک بلوغ در مباحث مختلف است و امیدهای زیادی وجود دارد که اینترنت اشیاء در آینده برای ما منافع زیادی را به ارمغان بیاورد .
اما یکی از چالش های مطرح این است که آینده موتورهای جستجو با توجه به اتصال میلیون ها دستگاه هوشمند به آنها چگونه خواهد شد ؟ ما در آینده شاهد فناوری های پیچیده ای هم چون شهر هوشمند (smart cities) و جستجو ماشین به ماشین (machine to machine) خواهیم بود که نیاز به تنظیمات و اطلاعات محلی و داده های عددی و حسّی خاصی دارند . بنابراین باید به دنبال راه حل های جدید در جستجو باشیم که قابلیت استخراج اطلاعات از تجهیزات خاص اینترنت اشیاء را داشته باشند .
موتورهای جستجو در حال حاضر از روش های خزنده در صفحات وب برای الگوریتم های جستجو خود استفاده می کنند ، در حالی که اینترنت اشیا باید به سمت جستجو ماشین به ماشین پیش برود . موتورهای جستجو باید به سمت نمایه سازی کارآمد ، مقیاس پذیری و مکانیزم های رتبه بندی جدید بروند و هم چنین بین خدمات ارائه شده توسط دستگاه های هوشمند به یک یکپارچگی برسند .
در این جا می خواهیم کمی دربار Thingful که یک موتور جستجو اینترنت اشیا است صحبت کنیم . این موتور جستجو قادر به کشف امن همکاری های بین میلیون ها شی عمومی و خصوصی متصل به اینترنت در سطح جهاناست . ماموریت این موتور جستجو استفاده از داده های اشیاء با رضایت صاحبان آنها می باشد . Thingful صاحبان اشیاء را قادر به کنترل و استفاده بهینه از داده هایشان می سازد و باعث می شود تا آن ها تصمیم های با ارزش تر و موثرتری را بگیرند .
شما می توانید در یک زمان کوتاه و در یک مقیاس بزرگ به جستجو بپردازید و بر روی داده های خود در یک مخزن واحد تمرکز کنید .با Thingful شما ارزش واقعی داده های خود را خواهید شناخت و داده های غیر حساس خود را می توانید با دیگران به اشتراک بگذارید . این موتور جستجو در زمینه شهرهای هوشمند ، یادگیری ماشین ، تجزیه و تحلیل داده های بزرگ و کارهای مبتکرانه فعالیت می کند . این موتور جستجو فعلا در نسخه بتا عرضه گردیده است . Thingful مورد حمایت بخش خصوصی و موسسات داده باز می باشد .(لینک دسترسی به اینموتور جستجو : www.thingful.net )

برای کسب اطلاعات بیشتر درباره این مقاله و خواندن متن کامل تر اینجا کلیک کید .

نویسنده و گردآورنده : مهندس مسعود معاونی

https://telegram.me/moaveni_ir

چگونگی تامین امنیت دستگاه های متصل به اینترنت و مقابله با تهدیدات

IOT Security

امروزه حملات به دستگاه های متصل به اینترنت در حال افزایش است . در این مقاله به بیان چندین تکنیک برای اطمینان از حفاظت داده ها و امنیت شبکه صحبت خواهد شد .
چالش های بسیاری در عرصه امنیت اینترنت اشیا وجود دارد . Gartner (وب سایت www.gartner.com) پیش بینی کرده است که در دو سال آینده ضعف روش های احراز هویت خطرات بسیاری را برای داده های حساس بوجود خواهد آورد . تخمین زده می شود که تا سال ۲۰۲۰ بیش از ۲۵% حملات سایبری بر روی تجهیزات اینترنت اشیا رخ خواهد داد .
این در حالی است که بودجه مقابله با حملات سایبری به اینتنرنت اشیا زیاد نمی باشد و نیاز به اتخاذ تاکتیک های مناسب در این زمینه احساس می شود .Forbes در آخرین مقاله منتشر شده در زمینه اینترنت اشیا پیشنهاد داده است که از استاندارد های سخت گیرانه نظارتی برای امنیت بیشتر و یک رویکر end to end برای ادغام فناوری اطلاعات و تکنولوژی محاسبات استفاده شود .
احراز هویت :
دستگاه ها باید در برابر سیستم های دیگر تصدیق شوند و برای این منظور به یک شناسه منحصر بفرد و کلمه عبور نیاز دارند . هم چنین برای پیاده سازی رمز نگاری (SSH) به کلیدهای احراز هویت برای تایید هویت دستگاه های متصل را دارد . دستگاه های هم چون تلویزیون مدار بسته (CCCTV) و یا دستگاه های DVR ویدئویی و تجهیزات آنتن ماهواره می توانند در این زمینه مورد استفاده قرار گیرند . در هنگام به روز رسانی یک دستگاه باید حتما احراز هویت صورت پذیرد و سرورهای داخلی و دستگاه های مجاز بازیابی شوند .
حریم خصوصی :
دستگاه اینترنت اشیا مجریان اعتماد مبتی بر سخت افزار (Hardware-based) می باشند ولی همزمان از اعتماد بوسیله فرآیندهای خاصی استفاده می کنند تا بدین شکل بتوانند مطالب خود را به صورت خصوصی نگهدارند و در برابر حملات نرم افزارهای غیرقابل اطمینان از آنان محافظت نمایند .
اطلاعات موجود بر روی تراشه های داده های متصل به اینترنت اشیا می تواند مورد سرقت قرار گیرد برای همین با استفاده از رمز گذاری و رمز گشایی از اطلاعات محافظت می شود . دسستگاه های اینترنت اشیا بوسیله رمزگذاری و استفاده از پروتکل های مانند TSL به انجام تراکنش های حساس مانند تراکنش های مالی می پردازند . TLS می تواند مانع حمله مرد میانی شود و برای موارد محرمانه بسیار پرکاربرد خواهد بود . استفاده از Firewall برای کنترل دسترسی نیز ایده مناسبی می باشد .
Botnets:
اینترنت اشیا می تواند در معرض بات نت ها و thingbot ها قرار گیرد (بات نت ها شبکه هایی هستند که با در اختیار گرفتن مجموعه ای از کامپیوترهایی که bot نامیده می شوند ، تشکیل می شوند این شبکه ها توسط یک و یا چند مهاجم که botmasters نامیده می شوند ، با هدف انجام فعالیت های مخرب کنترل می گردند . به عبارت بهتر ربات ها کدهای مخربی هستند که بر روی کامپیوتر میزبان اجرا می شوند تا امکان کنترل میزبان را از راه دور فراهم آورند ) .
در واقع یک بات نت یک گروه خصوصی مهار سیستم از طریق نرم افزارهای مخرب کنترل می باشد . بات نت ها اغلب برای حملات DDOS مورد استفاده قرار می گیرند و سیستم را با هدف انتقام ، اخاذی و اختلال فلج می نمایند . برای مقابله با این بدافزارها استفاده از یک اسکنر توصیه می شود که آلودگی و آسیب پذیری دستگاه ها و تجهیزات را به نرم افزرهای مخربی از جمله Mirai نشان می دهد . نسخه بتا این اسکنرها در حال حاضر در دسترس عموم قرار دارد . هم چنین به استفاده کنندگان تجهیزات اینترنت اشیا توصیه می شود که همواره  از رمزعبورهای قوی که به راحتی حدس زده نشوند استفاده شود هم چنین به روزرسانی بی دلیل این تجهیزات هم یک تهدید امنیتی محسوب می شود . دستگاه های که بر پایه لینوکس هستند در این زمینه آسیب پذیر هستند چرا که برخی از فروشندگان می توانند بدون اجازه به بروزرسانی دستگاه اقدام کننده .
بنابر توصیه Tim Mathews معاون شرکت انیتی Impreva مردم باید در مورد استفاده از اینترنت اشیا آموزش ببینند و در موارد ضروری از این تجهیزات استفاده کرده و راه مقابله با حملات را فرا گیرند و از طرفی تولید کنندگان نیز به مباحث امنیتی توجه کرده و استاندارد های اعتبار سنجی قوی و کنترل دسترسی مناسب ایجاد کنند.
منبع :http://www.techrepublic.com
گردآوری و ترجمه : مسعود معاونی

https://telegram.me/moaveni_ir

۱۰ موضوع مهم و داغ در فناوری اطلاعات

10topics in IT

مدیران اجرایی در حوزه فناوری اطلاعات باید بر روی ۱۰ موضوع زیر در ماه های آینده متمرکز شوند چراکه این موضوعات از مهم ترین موضوعات مطرحه در زمینه فناوری اطلاعات می باشد :
  1. شبکه های نرم افزاری تعریف شده (SDN) :شبکه های نرم افزاری تعریف شده (SDN) موضوع بزرگ و چالش برانگیزی در سالیان اخیر بوده است . SDN مجموعه ای از ابزارهای مدیریت است که شما را قادر به مجازی سازی زیر ساخت های شبکه بدون توجه به سوئیچ ها و روترها می نماید . در واقع یک لایه در بالای تجهیزات فیزیکی قرار می گیرد با این حال اختلافات بسیاری بر سر این شبکه وجود دارد مثلا مباحثی در مجازی سازی و یا تغییر مقیاس و معماری مطرح می باشد .
  2. مرکز داده نرم افزاری تعریف شده (SDDC) : همراه با شبکه های SDN  ، مباحث دیگری هم چون Software – defined data center (SDDC) نیز مطرح می شوند . SDDC از SDN ها موضوعی مبهم تر است چرا که به استفاده از SDN به همراه تکنولوژی های ابری(Cloud) متمرکز می باشد .
  3. ابر (Cloud) : ابر یک موضوع خیلی مهم در صنعت IT بوده و یک شوک بزرگ به رد وبدل کردن اطلاعات وارد کرده است . از ابرهای خصوصی به ابرهای عمومی ، امکانات و منافع و هم چنین مشکلات و موانع متفاوت هستند . در این زمینه اطلاعات جدید و قابل بحث فراوانی وجود دارد .
  4. نرم افزار های ارائه دهنده سرویس (Software as a Service) :  SaaS موضوع دیگری است که در سالیان اخیر مطرح گردیده است و به همراه PaaS به عنوان یک زیر ساخت برای سرویس دهی مطرح شده اند . فروشندگان SaaS  به دنبال برنامه ریزی های برای تغییرات گسترده در آینده می باشند .
  5. تحرک (Mobility) : با تصویب استاندارد ۸۰۲٫۱۱ac موضوع انتقال اطلاعات به صورت سیار(بی سیم) بار دیگر داغ گردید . انواع شبکه های بی سیم امروزه وجود دارند و این شبکه ها به دنبال افزایش سرعت می باشند . مدیریت زیر ساخت های بی سیم خود دارای مباحث نظارتی و توسعه ای متعدد و متفاوت می باشد که می تواند یک زمینه مناسب برای محققین باشد .
  6. BYOD (Bring your Own Device) : موضوع BYOD مدت ها در مباحث بین محققین مطرح بوده است .در واقع BYOD به کارمندان یک شرکت اجازه می دهد تا از تجهیزات اختصاصی خود در دسترسی به منابع شبکه در محل کار خود بدون آن که اطلاعات حساس و مهم شرکت لو برود ، استفاده کنند .در این تکنولوژی از رمزنگاری و تصدیق هویت کاربر و تصدیق هویت شبکه به صورت گسترده ای استفاده می شود .
  7. اینترنت اشیا (IOT) : همان طور که در  BYOD نگرانی های درباره دسترسی فضای اینترنت به اطلاعات داخلی شرکت ها و افراد وجود دارد در IOT نیز این نگرانی ها وجود دارد . هر دستگاهی که به اینترنت متصل می شود از جمله انواع حسگرها ، تجهیزات پزشکی و …. می توانند به راحتی در خطر تهدیدات امنیتی باشند . داشتن تجهیزات هوشمند باعث کارآیی کاربران آن ها می شود مثلا تصو ر کنید که شما از آچار و یا پیچ گوشتی هوشمند برای بست یک پیچ استفاده کنید و  امکان هرز شدن پیچ به علت فشار پیش از حد وجود نخواهد داشت . پس اینترنت اشیا از مباحث جدید و داغ فضای فناوری اطلاعات می باشد .
  8. IPv6 : همه ما شنیده ایم که در آینده آن خواهد آمد . تقریبا همه ما سالیان سال از آدرس IPv4 استفاده کرده ایم . با این حال بسیاری از سیستم های مدرن از IPv6 پشتیبانی می کنند و برای برقراری ارتباط ترجیح می دهند که از آن استفاده کنند . بنابراین نیاز است که شبکه های خود را به سمت استفاده از IPv6 سوق دهیم و مفاهیم و مباحث مرتبط با آن را فرا گیریم .
  9. داده های حجیم (Big Data) : یکی دیگر از عناوین داغ این روزهای دنیای فناوری اطلاعات مفاهیم داده های بزرگ می باشد . داده های حجیم جمع آوری شده درباره یک موضوع خاص ، می تواند در مدل سازی و پیش بینی مباحث مختلف استفاده شود . داده های بزرگ در نرم افزارهای CRM و سوابق پزشکی (EMR) ها بسیار پر کاربرد خواهد بود .
  10. مدیریت فناوری اطلاعات : کنفرانس های فناوری اطلاعات بدون جلساتی آموزشی برای مدیران ارشد این حوزه بدون هدف خواهد بود . بنابراین مباحث مدیریت فناوری اطلاعات همواره مورد توجه خواهد بود و انتظارات بسیار زیادی درباره این حوزه وجود دارد .

منبع : http://www.techrepublic.com

گردآورنده (با دخل و تصرف) : مسعود معاونی

https://telegram.me/moaveni_ir