حمله کرک (Krack) و دستگاه‌های اینترنت اشیاء (IoT)

حمله کرک (Krack) تقریباً بر روی هر دستگاه بی‌سیمی تأثیر می‌گذارد، و آن‌ها را به‌عنوان طعمه‌ای بی‌دفاع در برابر اتصالات اینترنتی به سرقت رفته، رها می‌کند. این‌چنین وضعیتی برای دیگر دستگاه‌ها و حوزه فعالیت آن‌ها به‌ویژه در حوزه اینترنت اشیاء (IOT) نیز چندان متفاوت نیست و آن‌ها نیز به همین مقدار در معرض خطر خواهند بود.

اثرات ناشی از حملات کرک همواره و در همه‌جا دیده می‌شوند. تحلیلگران امنیتی عقیده دارند که این یک آسیب‌پذیری پیچیده و فریبنده است که حملات کرک در آن نمی‌توانند چندان برتری پیدا کنند و علاوه بر این، سیستم‌عامل‌های عمده‌ای مانند آی.او.اس اپل (iOS)، مکینتاش (macOS) و ویندوز هم یا تحت تأثیر قرار نمی‌گیرند و مقاوم هستند یا هم قبلاً به‌روزرسانی‌ها بر روی آن‌ها اعمال شده‌اند.

اما با توجه به میلیون‌ها روتر و سایر دستگاه‌های IoT، که احتمالاً شما هرگز متوجه آسیب‌پذیری‌های آن‌ها نشوید و یا اصلاً به، به‌روزرسانی و اصلاح آن‌ها توجه نکنید، اثرات به‌جای مانده از یک حمله کرک در این دستگاه‌ها ممکن است سال‌ها به ایفای نقش بپردازد و همچنان باقی بماند.

اینترنت اشیاء (Internet Of Things(IOT:

مفهومی جدید در دنیای فناوری و ارتباطات است. به‌صورت خلاصه “اینترنت اشیاء” فناوری مدرنی است که در آن برای هر موجودی (انسان، حیوان و یا اشیاء) قابلیت ارسال داده از طریق شبکه‌های ارتباطی، اعم از اینترنت یا اینترانت، فراهم می‌گردد. فرآیند ارسال داده‌ها در فناوری اینترنت اشیاء بدین ترتیب است که به سوژه‌ موردنظر یک شناسه‌ یکتا و یک پروتکل اینترنتی (IP) تعلق می‌گیرد که داده‌های لازم را برای پایگاه داده‌‌ مربوطه ارسال می‌کند، داده‌هایی که توسط ابزارهای مختلف از قبیل گوشی‌های تلفن همراه و انواع رایانه‌ها و تبلت‌ها قابل مشاهده خواهند بود.

«کوین فو» (Kevin Fu)، دانشمند علوم کامپیوتر در دانشگاه میشیگان، که تحقیقات خود را بر روی امنیت دستگاه‌های پزشکی متمرکز نموده است، طی اظهارنظری در اینباره می‌گوید: « اوضاع امنیتی ما در دستگاه‌ها و ابزارهای گوناگون، چندان قابل‌قبول نیست و در برخی موارد ما بسیار بی‌خبرتر و بی‌تفاوت‌تر از آن چیزی هستیم که به نظر می‌رسد.

«Krack‌» در واقع این حقیقت را برای ما فاش می‌کند که این مشکلات، تا چه حد عمیق و ریشه‌ای عمل می‌کنند و پیش می‌روند و اینکه صنعت مدرن تا چه حد برای رفع و رجوع این خطرات به آرامی و کندی عمل می‌کند.

فاجعه

از میان تمامی توصیه‌هایی که برای برخورد و مقابله با حمله کرک ممکن است شنیده باشید، فقط یک مورد از آن‌ها واقعاً اهمیت قابل‌ملاحظه‌ای دارند: «دستگاه‌های خود را پچ و به‌روز کنید».

اگر شما یک رایانه‌‌‌‌‌، آیفون، مک و یا ویندوز دارید، باید حتماً آن را پچ و آپدیت کنید. اگر یک دستگاه با سیستم‌عامل اندروید داشته باشید، در حالت پیش‌فرض، به‌روزرسانی آن در حالت خاموش و غیرفعال است، اما بازهم ممکن است مدتی طول بکشد تا مهاجمی مثل کرک خود را به شما برساند، مگر اینکه چیزی جز Pixel یا Nexus داشته باشید. اما پس از همه این‌ها، همه‌چیز دستگاه شما تنظیم شده خواهد بود! و تمام اجزاء آن در شکل و فرم خوبی کار می‌کنند.

اما آیا روتر شما؟ دوربین امنیتی شما؟ درب گاراژ شما متصل به اینترنت است؟

«اچ.دی مور» (HD Moore)، یک محقق امنیت شبکه در مؤسسه تحقیقاتی «Atredis Partners» در این باره می‌گوید: “ما احتمالاً از الآن تا 20 سال آینده، دستگاه‌هایمان آسیب‌پذیر هستند و خواهند بود.”

به همین دلیل است که حتی در بهترین شرایط، دستگاه‌های IOT به‌ندرت به‌ روز رسانی نرم‌افزاری لازم برای تصحیح مسائل امنیتی را دریافت می‌کنند. برای مشکل پیچیده‌ای مانند کرک، که این صنعت را در سطح پروتکل‌های اساسی آن تحت تأثیر قرار می‌دهد و نیاز به تلاش هماهنگ برای حل و برطرف نمودن آن می‌باشد، در بسیاری موارد بهترین انتخاب شما فقط خرید تجهیزات جدیدی خواهد بود که گزینه‌های به‌روز رسانی آن‌ها در بازار موجود باشند.

چالش های حل مشکل

اما چالش‌های موجود فراتر از در دسترس بودن یک آپدیت نرم‌افزاری هستند. به‌عنوان مثال، شرکت «نت گیر» (Netgear) را در نظر بگیرید؛ این شرکت برای حفظ آبرو و اعتبار خود، درست در روزی که کرک در همه‌جا پخش شد، برای چندین مدل روتر خود بسته‌های تعمیراتی یا همان پچ‌هایی را تولید و منتشر کرد.

اما برای انجام چنین کاری باید بیش از 1200 محصول و هرکدام که نیاز به آزمایش خاص برای حملات کرک داشته باشند به‌طور جداگانه توسط متخصصین شرکت تست شوند. در بسیاری از موارد، شرکت «نت گیر» نیز نمی‌تواند این اصلاحات را به‌تنهایی انجام دهد. برای حل تمام این مسائل، باید با شرکا و همکاران قراردادی خود که چیپست دستگاه‌ها را برایش تولید نموده‌اند نیز تماس گرفته و از آن‌ها کمک بخواهد و خلاصه اینکه این یک پروسه مفصل و زمان‌بر خواهد بود.

و تازه هنگامی‌که این امکانات به‌روزرسانی در دسترس قرار می‌گیرند، این شرکت راه‌های محدودی برای اطلاع‌رسانی به مشتریانی که نیاز دارند تا در اسرع وقت به‌روز شوند دارد. آن‌ها ایمیل‌هایی را به کسانی که خرید محصول خود را ثبت کرده‌اند ارسال می‌کنند و مشاوره‌ها و پست‌ها را در گروه‌های اجتماعی در فضای مجازی به اشتراک می‌گذارند.

باقی‌مانده‌ای از مشتریان «نت گیر» یا به عبارتی اکثریت آن‌ها، مجبور خواهند بود یک گزارش خبری مثل این را بخوانند و لینک لینوکس درست و سالم را برای نصب پچ تعمیراتی پیدا کنند. و حتی اگر آن‌ها این کار را انجام دهند، فرآیند پچ کردن واقعی نیاز به ورود به شبکه مدیریت شرکت «نت گیر» از طریق رایانه را دارد که در این مورد هم ممکن است تعدادی صاحب روتر را به‌درستی نشناخته و باعث سوءاستفاده از دستگاه آن‌ها شود.

«تجاس شاه» (Tejas Shah) مدیر بخش CIO در شرکت «نت گیر» می‌گوید: “من نمی‌توانم ادعا کنم که کسی بتواند این کار را انجام دهد. مشتریان ما در هنگام بروز مشکل نیاز به توصیه‌ها و راهنمایی‌های ما دارند.”

این فقط شرکت «نت گیر» نیست که در تولیداتش با چنین مسائل و مشکلاتی روبرو می‌شود، که اگرچه بازهم نباید فراموش کنیم که برای ایجاد و در دسترس قرار دادن چنین آپدیت‌ها و پچ های تعمیراتی فوری برای حل مشکلات، باید یک هزار آفرین و امتیاز مثبت بزرگ به شرکت «نت گیر» داده شود. آن‌ها همچنان بر چگونه طعمه قرار گرفتن دستگاه‌های بی‌سیم برای رخ دادن این نوع فجایع در صنایع امروزی تمرکز ویژه دارند.

البته توجه داشته باشیم که این تنها در مورد روترهایی است که افراد و کاربران معمولی از اتصال آن‌ها به اینترنت کم‌وبیش آگاهی دارند اما در مورد دستگاه‌های IOT به دلیل پیچیدگی بیشتر، وضع کاملاً فرق کرده و به یک سطح آگاهی بالا در این زمینه نیاز است.

“کاربران حتی نمی‌دانند که آن‌ها یک دستگاه IOT مجهز به وای‌فای دارند. یخچال و فریزر می‌تواند یکی از آن‌ها باشد‌”‌.

«باب‌ رودیس» (Bob Rudis)، دانشمند ارشد اطلاعات در شرکت امنیتی «رپیدسِوِن» (Rapid7) چنین گفته است: “یخچال به‌خودی‌خود نمی‌خواهد به اینترنت وصل شود و آپدیت‌ها و به‌روز رسانی‌های جدید مربوط به خود را دریافت کند.”

شاید یخچال و فریزر متصل به اینترنت یک مثال احمقانه و خنده‌دار به نظر برسند، اما این‌گونه دستگاه‌ها نیز درست مانند هر چیز دیگری که به اینترنت متصل می‌شوند، واقعی‌اند و وجود دارند. اغلب این دستگاه‌ها، دارای رابط کاربری که به‌آسانی قابل‌دسترسی باشند نیستند و حتی اگر آپدیت‌ها و پچ های آن‌ها به هر شکلی وجود داشته باشند، به کار بستن و نصب آن‌ها بسیار دشوار خواهد بود.

و «باب رودیس» در این مورد می‌گوید که اگرچه یک دستگاه هک شده معمولی، سوابق ذخیره شده در مرورگرهای شما و یا لیست تماس‌هایتان را به هکر لو نمی‌دهد در عوض دستگاه‌های IOT آسیب‌پذیر، نوع دیگری از تهدیدات بالقوه را نشان می‌دهند.

رودیس گفته‌هایش را چنین ادامه می‌دهد که « اگر کسی موفق به انجام این حملات شود و دستگاه‌های IOT شما را هدف قرار دهد، تا جایی می‌تواند از آسیب‌پذیری موجود برای کنترل دستگاه شما استفاده کند که مثلاً درب گاراژ خانه شما یا حتی قفل درب اصلی منزلتان را به میل خود باز و بسته نماید!»

و تا زمانی که شما دستگاه‌های IOT خود را به موارد و قابلیت‌های امنیتی مجهز نکنید (که البته نیازی نیست بگوییم که خیلی هم گران‌قیمت و پرخرج هستند)، به ‌احتمال زیاد بسیاری از دستگاه‌های شما برای چندین دهه تحت تأثیر قرار خواهند گرفت.

به‌روز رسانی‌های خودکار

وقتی ما احساس می‌کنیم که در حال غرق شدن هستیم، ناامیدی به سراغمان خواهد آمد. مشکلات امنیتی که “اینترنت اشیاء” با آن‌ها مواجه می‌باشند، همچنان گسترده و عمیق هستند و کرک این مشکلات را به‌طور کامل، واقعی و محسوس انعکاس می‌دهد.

با این حال لازم نیست بیش از حد نگران باشید. در ماه‌ها و سال‌های اخیر، اقداماتی در جهت تضمین امنیت “اینترنت اشیاء” به کار گرفته شده است تا چنین نگرانی‌هایی تا حد امکان برطرف شده و یا حداقل آن را آرام‌آرام به کنترل درآورند.

برای یک دقیقه برگردید به موضوع روترها و بر روی آن‌ها تأمل کنید؛ اگر مدل قدیمی‌تری داشته باشید، تقریباً به‌طور حتم از شانس زیادی برای دور ماندن از شر این تهدیدات برخوردار نخواهید بود و در حقیقت، اگر به‌اندازه کافی به عقب برگردید، ممکن است دستگاه شما حتی از WPA2 نیز پشتیبانی نکند. اما یک کورسوی امید در نسل جدید روترهای شبکه‌ای ظاهر شده است، دستگاه‌هایی که دارای یک برنامه برای دسترسی آسان به رابط کاربری هستند و به‌طور کلی قابلیت‌های به‌روز رسانی خودکار را ارائه می‌دهند.

این بدان معنی است، هنگامی‌که یک حمله کرک رخ می‌دهد شرکت تولیدکننده دستگاه نیز می‌تواند موضوع را فوراً به کاربر هشدار دهد و بدون اینکه نیاز به تائید صاحب دستگاه باشد اصلاحات و آپدیت‌ها را به دستگاه منتقل نموده و رابط کاربری GUI را کنترل کند.

برای نمونه، «آئرو» (Eero) را بررسی می‌کنیم که یکی از شرکت‌های کلاسیک، باتجربه و فعال در زمینه شبکه‌های به‌هم‌ پیوسته می‌باشد. این شرکت به‌طور خودجوش تنها چند ساعت پس از انتشار خبر حمله کرک، آپدیت‌ها و اصلاحاتی را به مشتریان بتای خود ارائه داد. این شرکت پس از انجام آزمایشات خود، برای اطمینان از این‌که این عملیات تعمیراتی، عوارض غیرمنتظره جانبی برای دستگاه‌های آن‌ها نداشته است، پچ و به‌روز رسانی مقابله با کرک را به‌طور هم‌زمان برای تمام کاربران خود ارسال نمود.

«نیک ویور» (Nick Weaver)، مدیر CEO در شرکت «آئرو» در اینباره می‌گوید: «سیستم ما از ابتدا و از ریشه، برای چنین سناریوهایی طراحی شده است». «اگر ما نیاز به، به‌روز رسانی 100 درصد تمامی محصولات شرکت آئرو داشته باشیم، می‌توانیم آن را تقریباً بلافاصله و هم‌زمان انجام دهیم. این یکی از ویژگی‌های اصلی محصولات ما می‌باشد.»

به‌روز رسانی‌های خودکار نیز مسائل و مشکلات خود را دارند. در ماه اوت، یک شرکت سازنده قفل هوشمند به نام «لاک‌استیت» (Lockstate) به‌طور ناخواسته یکی از محصولات خود را با واردکردن یک باگ نرم‌افزاری در آن عملاً از کار انداخت (به‌گونه‌ای که انگار یک تکه آجر به درد نخور باشد!) و همان را به فروش رساند. بعضی از مشتریان مجبور بودند قفل‌های خود را برای ریست (reset) ‌به شرکت بازگردانند و این اصلاً ایده آل نبود.

هکرها نیز در این میان از آپدیت‌های خودکار برای به‌کارگیری نرم‌افزارهای مخرب خود در مقیاس وسیع استفاده کرده‌اند، به‌عنوان مثال همین تابستان امسال بود که آن‌ها بدافزار «نوت پتیا» (NotPetya) را پخش کردند که در نتیجه آن، این بدافزار، تمام کشور اوکراین و چندین شرکت بزرگ چندملیتی را تحت تأثیر اثرات مخرب خودش قرار داد.

با تمام این‌ها، در حال حاضر در محاسبه خطرات پیش رو و بالقوه، همیشه بین راحتی و امنیت، قابلیت به‌روز رسانی خودکار “‌اینترنت اشیاء” یک راه‌حل امنیتی خوب و به درد بخور به نظر می‌رسد، به‌ویژه اینکه یک فرایند بتای (فرایندی برای تست محصولات جدید تکنولوژیکی) کامل برای رفع هرگونه اشکال پیش از انتشار گسترده آن‌ها در نظر گرفته شده است.

«اچ.دی مور» دراین‌باره می‌گوید: “به‌طور کلی، به‌روزرسانی خودکار از هیچی بهتر است و با فرض اینکه کارش را درست انجام می‌دهد بودنش بهتر از نبودنش است.”

شرکت «نت گیر» نیز این مدل را در سیستم شبکه Orbi خود (یک شبکه به‌هم‌ پیوسته مداری) در نظر گرفته است. «تجاس شاه» مدیر بخش CIO در این شرکت می‌گوید که این شرکت قصد دارد “تا آنجا که امکان دارد، به‌روزرسانی خودکار را در تمامی محصولات خود قرار داده و فعال نماید.” هرچند که متأسفانه این راه‌کار خوب، روترهای آلوده به کرک موجود در بازار را شامل نخواهد شد.

شکست دادن کرک

از سوی دیگر در دهه‌های اخیر شاهد بهبودی آهسته و تدریجی در دستگاه‌ها بوده‌ایم. هزینه ورود به اکوسیستم خانه هوشمند  هوم کیت (HomeKit) شرکت اَپل شامل این‌گونه توافقات امنیتی است: صنعت “اینترنت اشیاء”، همان‌گونه که با همه سیستم‌عامل‌ها همپوشانی دارد، پس آن‌ها نیز باید حداقل شایستگی لازم را در ایمن نگه‌داشتن دستگاه‌ها، مراقبت و حفظ یکپارچگی‌شان از خود نشان دهند.

خانه هوشمند (smart home): به‌کارگیری امکاناتی که خانه را در اصطلاح “هوشمند” (Smart) کند، همواره یکی از مواردی بوده است که بشر توجه زیادی به آن داشته و در طول دوره‌های مختلف توسعه فناوری راه‌حل‌های متعددی برای این منظور خلق کرده است. خانه هوشمند به خانه‌ای گفته می‌شود که ساکنین آن امکان تنظیم و کنترل تجهیزات الکترونیکی منزل خود را از راه دور و نزدیک داشته باشند و نیز بتوانند برنامه‌های مختلف و سناریو‌های متنوعی را برای آن تجهیزات تعریف و اجرا نمایند.

سناتور «مارک وارنر» (Senator Mark Warner) از ویرجینیا در ماه اوت یک لایحه را مبنی بر حداقل‌های امنیتی خاص در دستگاه‌های هوشمند تصویب کرد. اگرچه هنوز کسی چندان به این کار سناتور توجه کافی نکرده است ولی بحران‌های امنیتی گسترده‌ای مانند کرک می‌توانند با خرابکاری‌هایشان، توجه دیگر قانون‌گذاران را به خود جلب کرده و آن‌ها را از خواب غفلت بیدار کنند.

سناتور «وارنر» در بیانیه‌ای به وب‌سایت «وایرد» (WIRED) گفت: «آسیب‌پذیری در WPA2، ما را با اثرات بالقوه‌ای که آسیب‌پذیری‌ها بر اجزا و پروتکل‌ها به‌طور گسترده دارند آشنا می‌کند و اهمیت تصویب الزامات اولیه برای “اینترنت اشیاء” را در برابر چشمان ما قرار می‌دهد».

اگرچه این اقدامات می‌توانند کمک‌کننده باشند ولی از نظر کارشناسان به‌اندازه کافی نمی‌توانند مفید و مؤثر واقع شوند.

پروفسور «کوین فو» که در مقابل اعضای کنگره آمریکا در مورد مسائل امنیتی “اینترنت اشیاء” شهادت داده است در اینباره می‌گوید: «من معتقدم که درنهایت، نوعی نظارت یا حداقل روش‌های سیاست‌گذاری شده‌ای برای ایجاد انگیزه در زمینه امنیت سایبری وجود خواهد داشت»، “خبر غم‌انگیز این است که، این میزان در نمودار، یک منحنی پیشرفت نزولی را داراست و مانند این است که به کسی که به ویروس ابولا مبتلا شده است، دستمال‌کاغذی تعارف کنید.”

باب رودی از شرکت «راپیدسِوِن» پیشنهاد می‌کند که از چارچوب‌های موجود در دیگر صنایع قرض گرفته و آن‌ها را به کار بگیریم.

او برای توضیح بهتر این مطلب می‌گوید:

به‌احتمال زیاد هیچ پراکسی برای مشکلات امنیتی “اینترنت اشیاء” وجود ندارد. بهترین امید در این زمینه وجود یک هماهنگی گسترده بین شرکت‌ها خواهد بود.

به نظر نمی‌رسد که در این مورد خیلی چیز زیادی برای سؤال کردن وجود داشته باشد. اما یک فاجعه مانند حمله کرک (Krack) نشان می‌دهد که دستگاه‌های اینترنت اشیاء چه راه پرپیچ‌وخمی در پیش رو دارند تا به مقصد نهایی یعنی تکامل امنیتی برسند.