الأمن، الحماية، وإنترنت الأشياء
هناك العديد من الأجهزة الإلكترونية التي نستعملها الآن والموصولة بالإنترنت. نحن نعيش في فجر عصر إنترنت الأشياء Internet of Things. هناك العديد من الأجهزة التي تتراوح بين البسيطة مثل مفاتيح الإضاءة أو أقفال الباب إلى أجهزة أكثر تعقيداً مثل السيارات والأجهزة الطبية، حيث تم إضافة ميزة الإتصال بالإنترنت إليها، فضلاً عن وظائفها الأصلية.
لا يمكننا رفض الراحة، ولكن ماهي التبعات الأمنية والخصوصية التي قد يترتب عليها مثل هكذا موضوع؟ هل المريض الخاضع لعملية زراعة مُنظم ضربات القلب (ناظم الخطا القلبي) الذي يتم التحكم به عن بعد مُعرض لخرقٍ أمني؟
كان أطباء نائب الرئيس ديك تشيني قلقين من محاول إغتيال له عن طريق جهاز إزالة الرجفان defibrillator المزروع له، ولذلك قاموا بتعطيل القدرات اللاسلكية للجهاز. ولكن هل علينا أن نتوقع حدوث جرائم سياسية عبر إختراق أجهزة مُتصلة على الإنترنت؟ هل بإمكان القراصنة شن هجمات إرهابية ضمن نطاق واسع؟ في الواقع تُظهر أبحاثنا أن هذه السيناريوهات معقولة وفي حدود الواقع.
سيارتك تخرج عن السيطرة
السيارات الحديثة هي من أكثر المنتجات المُتصلة بالإنترنت والتي يتفاعل معها المُستهلكين بشكلٍ دائم. العديد من الوحدات البنائية في السيارات مثل المحرك والفرامل يتم السيطرة عليها إلكترونيا الآن. كما تدعم السيارات الحديثة إتصالات لاسلكية بعيدة المدى عبر الشبكات الخلوية والـ Wi-Fi. ولكن التقدم التكنولوجي الكبير لايعني بالضرورة أمن وحماية متقدمين، فقد تمكن فريقٌ من الباحثين في مجال الأمن في جامعة واشنطن من قرصنة مَركبة مُحوسبة بشكل كبير و سيطروا عليها. وتمكنوا من انتهاك خصوصية ركاب السيارة والتنّصت على محادثاتهم. والأمر الأكثر خطورة هو تمكّنهم من تعطيل أنظمة الفرامل والإضاءة عن بُعد ووضع السيارة في حالة التّوقف التام في وسط طريقٍ رئيسيّ مكتظ. عن طريق إستغلال نقاط الضعف في وحدات مهمة في السيارة بما فيها أنظمة الفرامل والمحرك، إلى جانب استعمال موجات راديوية وعناصر تقنية، تمكن الفريق من تخطي سيطرة السائق وفرض سيطرتهم عليها. بإمكاننا أن نرى الآثار الأمنية المترتبة على هذا الإختراق.
هذا الهجوم الأمني يُثير تساؤلات مهمة حول مدى استعداد الكثير من المصنعين والمستهلكين على التضحية بالأمن والخصوصية لزيادة فعالية الوظائف وتأمين الراحة. بدأت شركات السيارات بأخذ هذه التهديدات على محمل الجد، وذلك بتوظيف مدراء تنفيذيين مسؤولين عن الأمن في العالم الإفتراضي (cybersecurity executives). يبدو أن مُصنعي السيارات يحاولون اللحاق بالركب وذلك بالتعامل مع الأمن في مرحلة لاحقة من عملية التصميم.
إنعدام الأمن في المنزل
أصبح عدد الأجهزة المنزلية الآلية والمُرتبطة بالإنترنت في تزايدٍ مُستمر، والعديد منها يستخدم بروتوكول (أو معيار) الإتصالات الاسلكية المُسمى Z-Wave. إستغل إثنين من الباحثين البريطانيين الثغرات الأمنية الموجودة في مكتبات التّشفير لبروتوكول Z-Wave، و هي الأدوات التي يستخدمها البرنامج للتحقق من الأجهزة المتصلة على الشبكة المنزلية، ولها أيضاً وظائف أخرى، وتقوم أيضا بتوفير الأمن عبر الإتصال مع الإنترنت. تَمكّن الباحثون من قرصنة التحكم الآلي في أجهزة المنزل، و استطاعوا أن يتحكموا فيها عن بعد، ومن ضمن هذه الأجهزة أقفال الأبواب وأنظمة الإنذار. الأمان في Z-Wave يعتمد بشكلٍ تام على إبقاء الخورزميات سرية، ولكن كان الباحثون قادرون على عكس هندسة البروتوكول وإيجاد نُقاط الضعف.
وتمكن الفريق من إختراق الـ Z-Wave بطريقةٍ أخرى أيضاً، وهي واجهات الويب الخاصة بها. فقد تمكن الفريق من التحكم في جميع الأجهزة المنزلية المتصلة بمتحكم الـ Z-Wave عبر شبكة الإنترنت، وأظهروا أنه بإمكان قرصان ما أن يقوم مثلاً بتعطيل التدفئة في الشتاء، أو يقوم بمشاهدة السكان عبر الكاميرات الموجودة في المنزل. كما أظهروا أيضاً خطورة ربط مفتاح التّحكم بشدة الإنارة مع الـ Z-Wave، فهم قد وجدوا أنه بإمكان المُهاجم أن يبعث إشاراتٍ فريدة إلى المصابيح والتي من شأنها أن تقوم بحرقها وقد ينبعث الشرار من الحريق مما قد يؤدي إلى نشوب حريق في المنزل.
وفكر الفريق بإحتمالات وقوع هجوم إرهابي واسع النطاق. إن نموذج التنبؤ بالخطر يفترض أن المنازل الحديثة تعتمد كليا على التشغيل الألي، وبالتالي فإن المهاجم قد يستغل الثغرات الأمنية في متحكمات التشغيل الآلي للأجهزة التي تعتمد على الطاقة العالية مثل أجهزة التكييف والتدفئة ويشغلها بشكل كبير في حي كامل مما يؤدي إلى زيادة الحمل على شبكة الكهرباء وبالتالي إنقطاع التيار الكهربائي عن الحي.
تسخير معرفة القراصنة
إحدى أفضل الممارسات في تصميم حلول أمنية متكاملة هي الحصول على مساعدة مُجتمع العاملين في مجال الأمان والقراصنة وذلك لإيجاد نقاط الضعف التي لم تكتشفها الشركة المُصنّعة. إذا كانت مكتبات التشفير الداخلية مفتوحة المصادر فهذا يُمكّن المجتمع الأمني من مراجعتها وفحصها، وفي حال إكتشاف مشاكل تقوم الشركة بتحديث المكتبات لحل المشاكل فيها. وذلك لأن مكتبات التشفير التي يتم بناؤها من الأساس تحتوي على بعض المشاكل في غالب الأحيان وبالتالي فإن مساعدة المجتمع الأمني يؤدي إلى إكتشاف هذه الأخطاء وإصلاحها، قبل أن يتمكن المهاجمون من استغلالها. ولكن للأسف فإن هذا المبدأ السليم لايتم التقيد به في عالم إنترنت الأشياء.
بالنسبة لواجهة الويب الخاصة بـ Z-Wave فقد تم تصميمها من قبل طرفٍ ثالث، وبالتالي فإذا افترضنا أن الشركة الأصلية قامت بعمل جيد بالنسبة للأمان يبقى وجود طرف ثالث في البرنامج مصدر ضعف. وهناك أيضاً إحتمالية إساءة إستخدام المُنتَج من قبل المُستهلك. ولهذا السبب فإن وجود حلول أمنية متعددة الطبقات يعتبر أمر مهم جداً، بحيث إذا تم خرق جزء من النظام يبقى الهجوم محصوراً ضمن نطاق المهاجمة، ولا ينتقل للنظام ككل.
مستوى الخطر
هناك ثغرة أمنية واحدة في إنترنت الأشياء تم لفت الإنتباه إليها من قبل القانون، وهي إستخدام السارقين لصندوق الماسح الضوئي والذي يحاكي الإشارات المرسلة من جهاز التحقق من المفاتيح key fob وقيامهم بسرقة السيارة. إن إحتمال حدوث الهجمات التي تم ذكرها سابقاً حقيقي، ولكن لم يتم التصريح عن حدوث هجمات من هذا النوع بعد. المخاطر الأمنية لا تزال ضمن مستوى منخفض وذلك لعدة أسباب، فمثلاً حدوث هجوم أمني على حي بأكمله قد يكون أمرا مكلفاً بالنسبة للهاكر الأمر الذي يقلل إحتمالية حدوثه.
يجب أن يكون هناك تنسيق بين جميع الأطراف من أجل تحسين أمن الأجهزة المستقبلية. يجب أن يكون الباحثين والمُصنعين والمُستهلكين على إطلاع بما يخص أمور الخصوصية والصحة والسلامة، وأن هذه الأمور قد تتعرض للخطر عند زيادة الإتصال مع الإنترنت. يجب أن يكون هناك موازنة بين الراحة والأمن والخصوصية، وبالأخص مع إزدياد دخول إنترنت الأشياء إلى المساحات الشخصية.
ترجمة: Asma M. Massad
المصدر: موقع Phys.org
للمزيد حول إنترنت الأشياء:
1- إنترنت الأشياء، هل سنحصل على حوسبة بكل مكان؟
2- التقنيون متحمسون حول مستقبل إنترنت الأشياء
3- شريحة حساسة تعمل بدون بطارية من أجل تطبيقات إنترنت الأشياء
4- بدون كهرباء وبدون بطاريات، مستقبل الاتصال بشبكة الإنترنت