فشلت صناعة إنترنت الأشياء | ماكس الدوامة

في نهاية الأسبوع الماضي ، تباطأت الإنترنت في الولايات المتحدة بسبب الزحف على هجوم رفض الخدمة أو DDOS. لقد كان هجومًا مثيرًا للاهتمام لسببين. أولاً ، لم يهاجم المهاجمون - أيا كانوا - موقع ويب واحد مع الطلبات غير المرغوب فيها ، كما هو الحال مع MO المعتاد لهجمات DDOS. بدلاً من ذلك ، اتبعوا Dyn DNS provider ، مما تسبب في بطء العديد من مواقع الويب في الزحف أو إيقاف العمليات بالكامل. أصبحت التحذيرات حول المركزية المفرطة للبنية التحتية DNS فجأة مثيرة للاهتمام للغاية.

النقطة الثانية ، والأكثر أهمية ، هي أن جزءًا كبيرًا من الأجهزة المتورطة في هجوم DDoS كانت تسمى أجهزة إنترنت الأشياء الذكية. عادةً ما ينشر المهاجمون برامج ضارة عبر أجهزة الكمبيوتر التي ستتبع أمر المهاجم ثم تطلب في وقت واحد معلومات من مواقع الويب حتى يتم ربط الموقع أسفل التحميل. ولكن هذه المرة ، شملت الكسالى الرقمية الزومبية الكاميرات الأمنية وأجهزة التوجيه اللاسلكية.

فعل إبريق الشاي

في قلب الهجوم كان ميراي ، وهو ليس قطعة غريبة من البرمجيات الخبيثة بشكل خاص. يقوم بمسح بحثًا عن أجهزة متصلة بالإنترنت لمعرفة ما يبدو أنه أجهزة إنترنت الأشياء التي تعمل بنظام Linux ، ويبدو أنه يفضل الكاميرات الأمنية وأجهزة التوجيه المنزلية من Hangzhou Xiongmai Technology. بعد ذلك يبحث عن رمز المرور الافتراضي على جدول ويسجّل الدخول إليه. بمجرد إدخاله ، فإنه يسلم التحكم بالجهاز إلى خادم قيادة وتحكم مركزي.

بينما كان هذا الهجوم مروعًا فيما أنجزه ، إلا أنه للأسف لا شيء لم نراه قادمًا. في مؤتمر Black Hat في عام 2013 ، أظهر Craig Heffner القدرة على الاستيلاء بسهولة على كاميرات الأمان المتصلة بالشبكة. تضمن العرض التوضيحي للشركات ذات الأسماء الكبيرة التي تتعرف عليها ، بما في ذلك D-Link و Linksys و Cisco و IQInvision و 3SVision. عندما سئل عن الأجهزة المعرضة للهجوم ، قال إنه لم يعثر على علامة تجارية لا يمكن السيطرة عليها.

بالنسبة للعرض التوضيحي الخاص به ، خدع هيفنر الكاميرا لعرض مقطع فيديو ، كما في فيلم سرقة. لكن المضمون الفعلي لكلامه كان أشد وطأة. أجهزة إنترنت الأشياء مثل الكاميرات الأمنية ، وغلايات الشاي ، والثلاجات ، ونعم ، حتى أجهزة التوجيه اللاسلكية هي مجرد أجهزة كمبيوتر صغيرة متصلة بالإنترنت. وقال إنه إذا أراد المهاجمون استهداف شخص أو شركة على وجه التحديد ، فيمكنهم مهاجمة هذه الأجهزة المدافعة عن السوء واستخدامها كرئيس للشاطئ لاستكشاف بقية شبكة الضحية. ولأنها أجهزة كمبيوتر صغيرة ، فيمكن تخيلها في تنفيذ أي كود يريده المهاجم.

فكر في الأمر بهذه الطريقة: يمكنك شراء أقوى الأبواب باستخدام أفضل الأقفال التي لا تُحمى لحماية منزلك ، ولكن لا يزال بإمكان اللص اختراق النوافذ.

إنترنت الأشياء مختلف

في صناعة الأمن ، نود أن نلوم الناس ، وليس أجهزة الكمبيوتر. إذا كان الناس في حالة تأهب أكبر ، فقد يكونوا قد اكتشفوا حشرة Heartbleed قبل تقديمها. هناك مقولة شائعة مفادها أن أكبر نقطة فشل في أي نظام أمان هي بين الكمبيوتر والكرسي. مثال على ذلك: يبدو أن اختراق حساب Gmail لرئيس حملة هيلاري كلينتون ، جون بوديستا - والذي قدم لنا وصفة أكلة ، من بين أمور أخرى - بدأ على ما يبدو مع عملية احتيال.

ولكن في حالة أمان إنترنت الأشياء ، لا يمكن مساءلة المستهلكين بنفس الطريقة. كمالك سيارة ، على سبيل المثال ، يجب عليك توخي الحذر أثناء القيادة وتوفير صيانة معقولة. شركة السيارات ، بدورها ، مطالبة بتوفير منتج لا يقتلك فعليًا.

مع تغير مجتمعنا ، تغيرت توقعات المستهلكين. يشير دعاة المستهلك إلى أن بعض السيارات "غير آمنة بأي سرعة". ومثل مخلوق متطور ، انتشرت السيارات في الملاحق الجديدة: أحزمة المقاعد ، وسائد هوائية ، وميزات أقل وضوحًا مثل مناطق التجعد والمواد المصممة خصيصًا للحفاظ على أمان المستهلكين بشكل معقول في عالم متغير.

وينطبق الشيء نفسه على التكنولوجيا الاستهلاكية. دفع انتشار البرامج الضارة والمخاطر التي يتم تقديمها إلى أي جهاز يتصل فقط بالإنترنت ، الشركات المصنعة إلى القيام بدور أكثر نشاطًا في حماية المستهلكين. Windows ، على سبيل المثال ، يأتي الآن مع برنامج مكافحة الفيروسات الذي تم تثبيته وصيانته بواسطة Microsoft. تقوم الشركة أيضًا بإصدار تصحيحات على أساس منتظم ، لأن التحديات التي تواجه المستهلكين معقدة للغاية بحيث يتعذر عليهم التعامل معها بمفردهم.

عندما بدأت الهواتف الذكية في الإقلاع ، تعلّم المصنعون والمطورون من تجارب سنوات الكمبيوتر الشخصي. في حين أن أمن الهاتف المحمول كان لديه بعض المطبات على طول الطريق ، إلا أنه كان طريقًا سريعًا مقارنةً بتاريخ الكمبيوتر. لم يكن لدينا هذا النوع من العدوى على نطاق واسع على الهواتف الذكية التي شاهدناها مع Conficker ، ونأمل ألا نتمكن من ذلك.

لقد حدد تاريخ إنترنت الأشياء مسارًا مختلفًا ، ربما الذي استخدم سمكة ذهبية كملاح. بدلاً من التحكم في الوصول إلى الجهاز ، وتوظيف أفضل الممارسات المستفادة من توصيل مليارات أجهزة الكمبيوتر والهواتف على مدار عقود ، هرعت الشركات المصنعة للمنتجات الرخيصة إلى السوق. تلك التي تم تصميمها ، في بعض الحالات ، بحيث لا تتم خدمتها أو ترقيتها أو ترقيتها أبدًا. وحتى لو كان من الممكن معالجة المشاكل ، فمن غير المعقول القول بأن الأفراد يتعاملون مع الأجهزة التي توفر العمالة بنفس الطريقة التي يتعاملون بها مع أجهزة الكمبيوتر. تفترض الغالبية العظمى من المستهلكين ، وهي محقة في ذلك ، أنه إذا لم يكن الجهاز يحتوي على شاشة أو نوع من طريقة الإدخال ، فلن يكون الغرض منه خدمتها.

هذا لا يجب أن يحدث

الجزء الأكثر إحباطًا من هجوم DDoS الأخير هو أن مصنعي IoT يحتاجون فقط إلى النظر إلى تكنولوجيا المستهلك لمدة 30 عامًا لرؤية الكتابة المثلية على الحائط. وإذا لم يتمكنوا من فعل ذلك ، فقد استجابوا للتحذيرات التي أطلقها الباحثون الأمنيون (متسللو الشركات والهواة على حد سواء). لقد أخبر هؤلاء الأشخاص أي شخص يستمع إلى أن وضع مليارات الأجهزة على شبكة الإنترنت دون النظر بعناية في كيفية استخدامها هي فكرة سيئة. في عام 2014 ، افتتح دان جير مؤتمر القبعة السوداء بالقول إن إنترنت الأشياء أمامنا بالفعل وقد تؤدي إلى مشكلة.

على الرغم من بذل قصارى جهدي للبقاء ساخرة ، فإن إنترنت الأشياء لا مفر منه وجذاب. لقد وعدتنا Sci-fi بتحدث أجهزة الكمبيوتر والأجهزة المستقبلية لعقود من الزمن ، وربما لهذا السبب فإن التنبؤ من Gartner بأنه سيكون هناك 6.4 مليار جهاز متصل بالإنترنت بحلول عام 2020. هذه الأجهزة موجودة بالفعل في منازلنا: صناديق البث ، لوحات تحكم الألعاب ، أجهزة التوجيه اللاسلكية. في نظر المهاجمين والهجمات الآلية ، هذه ليست سوى عناوين IP لاستغلالها.

بينما نتحرك باتجاه الأعياد ونتقدم نحو جيل جديد من أجهزة إنترنت الأشياء ، فلنضع الأمان الذي تم تصميمه ليتم فهمه من قبل المستخدمين في المقدمة. إذا كانت أفضل نصيحة لا يزال يتعين علي تقديمها للناس بحلول عام 2020 هي قطع اتصال أجهزتهم الذكية ، فإن هذه الصناعة لا تستحق سمعتها في الابتكار أو حتى الذكاء.