تصویر: بهترین روش برای تأمین امنیت جهانی از اشیاء به هم متصل چیست؟

امروزه در جهان دستگاه‌های متصل به هم فراوانی داریم که در آینده این تعداد بیشتر هم خواهد شد. تعداد ترموستات‌ها، دوربین‌ها، چراغ‌های خیابان و سایر وسایل الکترونیک مجهز به اینترنت در سال 2017 حدود 8.4 میلیارد تخمین زده شد. در سال 2020 این تعداد به بیشتر از 20 میلیارد رسید و تا سال 2030 می‌تواند به بیش از 500 میلیارد برسد. از آن جایی که همه‌ی این وسایل و تجهیزات همیشه به اینترنت متصل هستند، هر یک از آن‌ها ( به عنوان مثال دستگاه تشخیص صدا و کلمات گفتاری، پارکومتر تلفنی، حسگر دما در یک روبات صنعتی) در معرض حمله‌ی سایبری قرار دارند و در برابر آن آسیب پذیرند و حتی هر کدام از این تجهیزات می‌توانند در حمله‌ی سایبری مورد استفاده قرار گیرند و بخشی از آن باشند.

امروزه بسیاری از دستگاه‌های هوشمند متصل به اینترنت توسط شرکت‌های بزرگ و معروف تجاری مانند گوگل، اپل، مایکروسافت و سامسونگ ساخته می‌شوند. این وسایل مجهز به تکنولوژی‌های به روز هستند و از طرفی دیگر باعث ایجاد بازارهایی برای رفع سریع مشکلات امنیتی آن‌ها نیز شده‌اند. اما این در مورد دنیای شلوغ امروز که شامل انبوهی از دستگاه‌های کوچک متصل به اینترنت است صدق نمی‌کند. نمونه‌هایی از این دستگاه‌ها شامل لامپ‌ها، چراغ‌های برق، زنگ‌های در و دستگاه‌هایی برای جابجایی بسته‌ها با استفاده از سیستم‌ های UPS (سیستم‌های تأمین انرژی پیوسته) است. این وسایل و هسته‌ی دیجیتالی آن‌ها معمولاً توسط شرکت‎‌های ناشناخته که بسیاری از آن‌ها در کشورهای در حال توسعه قرار دارند، بدون بودجه و حمایت مالی یا مارک تجاری شناخته شده و حتی بدون ویژگی‌های قوی امنیتی ساخته می‌شوند.
اگر ما حق کنترل وسایل خود را نداریم پس در حقیقت مالک آن‌ها هم نیستیم. بخشی از اینترنت اشیاء مربوط به دستگاه‌هایی است که امنیت کافی ندارند و استفاده از این دستگاه‌ها موجب فاجعه‌های سایبری بزرگی شده است. مانند حمله‌ی سایبری به شرکت مسیر یابی اینترنتی Dyn که در اکتبر 2016 صورت گرفت و بیش از 80 وب سایت محبوب را از بین برد و ترافیک اینترنت را در آمریکا متوقف کرد. محققان فناوری "اینترنت اشیاء"، سیستم‌های بلاکچین و امنیت سایبری راه حل این مشکل را ابداع روشی جدید برای ردیابی و توزیع نرم افزاهای امنیتی با استفاده از سیستم بلاکچین می‌دانند.

امنیت باید در اولویت قرار بگیرد

امروزه شرکت‌های بزرگ فناوری برای حفظ امنیت کاربران سخت در حال تلاش هستند، اما کار آن‌ها بسیار دشوار است زیرا هزاران بسته‌ی نرم افزاری پیچیده در سیستم‌های مختلف در سراسر جهان اجرا می‌شوند، و قطعاً هر کدام خطاهای متفاوتی دارند که آن‌ها را در معرض خطر حمله‌ی هکرها قرار می‌دهد. آن‌ها همچنین تیم‌هایی از محققان و تحلیلگران امنیتی دارند که سعی در شناسایی نواقص قبل از ایجاد مشکل و برطرف سازی آن‌ها دارند.

هنگامی که این تیم‌ها از آسیب پذیری دستگاه‌ها مطلع می‌شوند (از طریق تحقیقات خود یا گزارشات کاربران در مورد فعالیت‌های مخرب)، برنامه‌ها را به روز رسانی و سپس آن‌ها را برای کاربران ارسال می‌کنند. رایانه‌ها، تلفن‌ها و حتی بسیاری از برنامه‌های نرم افزاری این شرکت‌ها به صورت دوره‌ای به سایت‌های سازنده وصل می‌شوند، به روز رسانی‌ها انجام می‌شود و حتی می‌توانند به صورت خودکار به روز رسانی‌ها را دانلود و نصب کنند.

برای چنین کاری به افراد متخصص برای پیگیری مشکلات و ایجاد اصلاحات لازم و همچنین سرمایه گذاری هنگفتی نیاز است. برای این منظور به نرم افزارهایی جهت پاسخگویی خودکار به سؤالات، فضای ذخیره سازی برای نسخه‌های جدید نرم افزار و همچنین پهنای باند شبکه برای ارسال سریع اطلاعات به میلیون‌ها کاربر، نیاز داریم. گوشی‌های آیفون، دستگاه‌های پلی استیشن و نسخه‌های ورد در میکروسافت همگی به این طریق همواره به روز هستند و خطاهای امنیتی آن‌ها نیز همواره در حال اصلاح است.

هیچ کدام از این موارد برای تولید کنندگان نسل بعدی دستگاه‌های اینترنتی اتفاق نخواهد افتاد. برای مثال، نوعی فناوری در شانگهای چین به نام هنگوزیانگامی وجود دارد که دوربین‌ها و لوازم جانبی متصل به اینترنت را با نام تجاری خود تولید می‌کند و سپس قطعات آن را به فروشندگان دیگر می‌فروشد.

بسیاری از محصولات این شرکت و بسیاری از شرکت‌های مشابه دیگر، دارای رمزهای کنترلی هستند که در کارخانه تنظیم شده است و تغییر این رمزها کاری دشوار یا غیر ممکن است. اما هکرها از این راه برای اتصال به دستگاه‌های ساخته شده در زیانگمی استفاده کردند و از طریق وارد کردن رمز از پیش تعیین شده، کنترل دوربین‌ها و سایر دستگاه‌ها را به دست گرفتند و باعث ایجاد ترافیک اینترنتی مخرب در سطحی وسیع شدند.

هنگامی که این مشکل و دامنه‌ی جهانی آن مشخص شد، شرکت زیانگمی و سایر تولید کنندگان نتوانستند برای به روز رسانی دستگاه‌های خود کارِ زیادی انجام دهند. اگر این شرکت‌ها به محض پی بردن به نقص در سیستم خود، بتوانند به روشی سریع، آسان و ارزان به روز رسانی برنامه‌ی دستگاه را برای مشتریان خود ارسال کنند به این ترتیب می‌توانند از حملات سایبری در آینده جلوگیری کنند.

راهکار بالقوه برای حل این مشکل

به زبان ساده بلاکچین تراکنش‌های رایانه‌ای را هم زمان در مکان‌های مختلف ثبت می‌کند. به بیانی دیگر، این سیستم مانند تابلوی اعلانات عمومی است که در آن افراد می‌توانند اعلان معاملات و تراکنش‌های خود را در آن ارسال کنند. هر پست ارسالی باید دارای امضای دیجیتال باشد و هرگز قابل حذف یا تغییر نیست.

محققان برای بهبود و بالا بردن امنیت دستگاه‌های متصل به اینترنت، استفاده از سیستم‌های بلاکچین را پیشنهاد می‌کنند. در ژانویه 2017 گروهی متشکل از شبکه‌ی بزرگ آمریکایی با نام سیسکو، شرکت مهندسی بوش آلمان، بانک نیویورک ملون، سازنده‌ی لوازم الکترونیک چینی با نام فاکسکان، شرکت امنیت سایبری هلند با نام جمالتو و تعدادی از شرکت‌های نوپا در زمینه‌ی بلاکچین، برای رسیدن به این هدف و بالا بردن امنیت دستگاه‌ها تشکیل شد.

سازندگان دستگاه‌ها از این به بعد می‌توانند مانند شرکت‌های بزرگ فناوری، با استفاده از بلاکچین زیر ساخت‌هایی‌ برای به روز رسانی نرم افزارهای خود ایجاد کنند. این شرکت‌های کوچکتر باید محصولات خود را به گونه‌ای برنامه ریزی کنند که به صورت دوره‌ای با استفاده از سیستم بلاکچین به جستجوی نرم افزار جدید بپردازد و سپس به صورت ایمن به روز رسانی‌های خود را انجام دهد. برای اطمینان از اتصال درست دستگاه به شرکت سازنده، هر دستگاه دارای هویت رمز نگاری شده‌ی قوی است. در نتیجه، سازندگان دستگاه‌ها و مشتریان آن‌ها ابزاری برای به روز رسانی امنیت دستگاه‌های خود دارند.
ما باید حق حذف تبلیغ کنندگان مزاحم را در دستگاه‌های خود داشته باشیم.این نوع سیستم‌ها باید به گونه‌ای باشند که بتوان به راحتی آن‌ها را در دستگاه‌های کوچک با حافظه‌ و قدرت پردازش محدود نیز برنامه ریزی کرد. سیستم‌ها به راه‌های استانداردی برای تعامل و تأیید اعتبار به روز رسانی‌ها و تشخیص پیام‌های رسمی از حملات هکرها، نیاز دارند. بلاکچین‌های موجود از جمله، بیت کوین و اتریوم به نظر امیدوارکننده می‌رسند. مبتکران بلاکچین همچنان در حال تلاش برای یافتن راه‌های بهتر هستند. آن‌ها می‌خواهند برای میلیاردها دستگاه مجهز به اینترنت اشیاء، راهی آسان برای ورود به سیستم، بررسی و به روز رسانی خودکار وضعیت ایمنی خود ایجاد کنند.

اهمیت فشار خارجی

تنها توسعه‌ی سیستم‎‌هایی مبتنی بر بلاکچین با قابلیت حفاظت از دستگاه‌های مجهز به اینترنت اشیاء، کافی نیست. اگر تولید کنندگان دستگاه‌ها از این سیستم‌ها استفاده نکنند، امنیت سایبری همه‌ی کاربران همچنان در معرض خطر است. شرکت‎‌هایی که با سود ناچیز دستگاه‌های ارزان قیمت تولید می‌کنند، بدون کمک و حمایت از خارج، لایه‌های محافظتی را به دستگاه‌های خود اضافه نمی‌کنند. آن‌ها برای ایجاد تغییر در روش‌های فعلی خود، به فناوری و فشار مقررات دولتی برای رعایت حقوق مصرف کننده‌ها نیاز دارند.

وقتی تولید کنندگان ناشناخته که معروف هم نیستند، با عدم فروش محصولات خود به دلیل امنیت پایین مواجه می‌شوند به این نتیجه می‌رسند که تا زمانی که محصولاتشان از امنیت بالاتری برخوردار نباشد، خریداری نخواهند داشت و به این ترتیب این گروه از تولید کنندگان اینترنت اشیاء نیز پیشرفت خواهند کرد و امنیت کاربران و فضای اینترنت را ارتقاء می‌دهند.

آیا تکنولوژی "اینترنت اشیاء" ما را به قرون وسطی برمی‌گرداند

تصویر: آیا این تصویر نشان دهنده‌ی رابطه‌ی کنونی ما با شرکت‌های فناوری است؟

همان طور که گفته شد دستگاه‌های مجهز به اینترنت بسیار رایج و همچنین بسیار آسیب پذیر هستند، به طوری که هکرها اخیراً توانسته‌اند از طریق مخزن ماهی سیستم یک کازینو را هک کنند. این مخزن دارای حسگرهای متصل به اینترنت برای سنجش دما و بهداشت آب بود. هکرها وارد سیستم حسگرهای مخزن ماهی شدند و سپس به رایانه‌ای که کنترل این حسگرها را بر عهده داشت، متصل شدند و از آن جا به سایر قسمت‌های شبکه‌ رفتند. متجاوزان توانستند 10 گیگا بابت از داده‌های مربوط به این شبکه را در مکانی در فنلاند کپی کنند.

با دقت در این مخزن ماهی، می‌توانیم به مشکل دستگاه‌های مجهز به "اینترنت اشیاء" پی ببریم: در واقع ما آن‌ها را کنترل نمی‌کنیم و همیشه مشخص نیست چه کسی این کار را انجام می‌دهد، اگر چه اغلب طراحان و تبلیغ کنندگان نرم افزارها در این کار دخیل هستند.
دستگاه‌های هوشمند می‌توانند به گونه‌ای برنامه ریزی شوند که اطلاعات خصوصی ما را با تبلیغ کنندگان از طریق کانال‌های مخفی که ما از آن بی اطلاع هستیم، به اشتراک بگذارند.در کتاب "دارایی، حریم خصوصی و بردگی دیجیتال" درباره‌ی تعداد بیشتر حسگرهایی که در محیط اطراف ما، نسبت به گذشته وجود دارد بحث شده است. مخزن‌های ماهی، تلویزیون‌های هوشمند، ترموستات‌های خانگی مجهز به اینترنت، دستبندهای هوشمند سلامتی و تلفن‌های هوشمند دائماً اطلاعاتی درباره ‌ما و محیط زندگی ما جمع آوری می‌کنند. این اطلاعات نه تنها برای ما بلکه برای افرادی که می‌خواهند محصولی را به ما بفروشند، ارزشمند است. آن‌ها دستگاه‌های مجهز به اینترنت را به گونه‌ای برنامه ریزی می‌کنند که اطلاعات را به اشتراک بگذارند.

به عنوان مثال رومبا، یک جارو برقی روباتیک فوق العاده را در نظر بگیرید. از سال 2015، مدل‌های پیشرفته‌ی این جارو برقی نقشه‌هایی را از خانه‌های کاربران خود تهیه کردند تا هنگام تمیز کردن خانه، بتوانند بهتر در آن‌ها حرکت کنند. اما همان طور که اخیراً رویترز و گیزمودو گزارش کرده‌اند، تولید کنندگان رومبا ممکن است قصد داشته باشند تا نقشه‌های چیدمان منازل شخصی افراد را با شرکای تجاری خود به اشتراک بگذارند.

نقض امنیت و حریم خصوصی در ساخت این دستگاه‌ها وجود دارد

همانند رومبا، سایر دستگاه‌های هوشمند می‌توانند به گونه‌ای برنامه ریزی شوند که اطلاعات خصوصی ما را با تبلیغ کنندگان از طریق کانال‌های مخفی که ما از آن بی اطلاع هستیم، به اشتراک بگذارند. نمونه‌ای دیگر مربوط به دستگاه ماساژی به نام وی وایب است که توسط تلفن هوشمند کنترل می‌شود که اطلاعات مربوط به تعداد استفاده در روز، ساعات استفاده و تنظیمات آن را جمع آوری می‌کند. برنامه‌ی وی وایب این داده‌ها را به سازنده‌ی خود ارسال کرد و هنگامی که مشتریان متوجه این موضوع شدند، به دلیل نقض حریم خصوصی از آن شکایت کردند و سازنده‌ی این برنامه مجبور شد چندین میلیون دلار خسارت پرداخت کند.

این کانال‌های محرمانه ضعف جدی امنیتی به حساب می‌آیند. برای مثال سازنده‌ی یارانه‌ی لنوو، قبلاً رایانه‌های خود را با برنامه‌ای به نام سوپرفیش که از قبل بر روی آن‌ها نصب شده بود، می‌فروخت. هدف این برنامه این بود که به شرکت لنوو یا سایر شرکت‌هایی که هزینه‌ی آن را پرداخت کرده‌اند، اجازه دهد که به طور مخفیانه در نتایج جستجوی اینترنتی کاربران تبلیغات هدفمند قرار دهند. روش انجام کار این برنامه کاملاً خطرناک بود: بدون اطلاع کاربر، ترافیک مرورگرهای اینترنتی را ربود. این اطلاعات شامل ارتباطات اینترنتی بود که کاربران فکر می‌کردند به طور ایمن رمز گذاری شده‌اند، به عنوان مثال کاربران از درگاه‌های اتصال به بانک‌ها و فروشگاه‌های آنلاین برای انجام معاملات مالی استفاده می‌کردند در حالی که این ارتباطات امن نبود.

مشکل اصلی، مالکیت است

ما دستگاه‌های خود را کنترل نمی‌کنیم زیرا شرکت‌ها به نحوی فکر و رفتار می‌کنند که حتی پس از خرید این دستگاه‌ها، همچنان آن‌ها مالک آن هستند. فرد با خرید وسیله‌ی الکترونیکی مانند تلفن هوشمند، تنها مجوز استفاده از نرم افزار آن را خریداری کرده است. این شرکت‌ها می‌گویند که همچنان مالک این نرم افزار هستند و به همین دلیل می‌توانند آن‌ها را کنترل کنند. مانند این است که فروشنده‌ی اتومبیل، اتومبیلی را بفروشد و همچنان ادعای مالکیت آن را داشته باشد.

این نوع برنامه ریزی، مفهوم مالکیت اساسی دارایی‌ها را از بین می‌برد. جان دیر قبلاً به کشاورزان گفته است که آن‌ها در حقیقت مالک تراکتور خود نیستند بلکه فقط مجوز استفاده از این نرم افزار را دارند، بنا بر این آن‌ها نمی‌توانند تجهیزات مزرعه‌ی خود را تعمیر کنند یا حتی آن را به یک تعمیرگاه مستقل برای تعمیر ببرند. کشاورزان با این موضوع مخالف هستند اما هنگامی که صحبت از تلفن‌های هوشمند می‌شود، برخی افراد ممکن است تمایل داشته باشند که از آن بگذرند، زیرا این دستگاه‌ها اغلب به صورت پرداخت اقساط خریداری می‌شوند و معامله‌ی آن‌ها سریع و فوری است.

چقدر طول می‌کشد تا متوجه شویم آن‌ها قصد دارند همان قوانین را در خانه‌های هوشمند، تلویزیون‌های هوشمند در اتاق‌های نشیمن و اتاق خواب‌ها، دستشویی‌های هوشمند و اتومبیل‌های مجهز به اینترنت ما اعمال کنند؟

بازگشت به فئودالیسم یا ملوک الطوایفی

مسأله‌ی مالکیت و کنترل وسایل و مایملک سابقه‌ای طولانی دارد. در سیستم ملوک الطوایفی اروپای قرون وسطی، پادشاه تقریباً صاحب همه چیز بود و حقوق مالکیت دیگران به رابطه‌ی آن‌ها با پادشاه بستگی داشت. دهقانان در زمین‌های اهدایی پادشاه به ارباب محلی زندگی می‌کردند و کارگران همیشه حتی مالک ابزارهای مورد استفاده در کشاورزی یا تجارت‌های دیگر مانند نجاری و آهنگری نبودند.
بلاکچین تراکنش‌های رایانه‌ای را هم زمان در مکان‌های مختلف ثبت می‌کند.در طی قرن‌ها، سیستم‌های اقتصادی و حقوقی در غرب همگام با سیستم تجارت مدرن تکامل یافتند به صورتی که مردم و شرکت‌های خصوصی اغلب خودشان وسیله‌ها را خرید و فروش می‌کنند و زمین، ابزار و سایر وسایل را به طور کامل در اختیار دارند. به جز چند قانون اساسی دولت مانند حفاظت از محیط زیست و بهداشت عمومی، مالکیت زنجیره‌ وار و ادامه دار نیست.

این سیستم به این معنی است که شرکت اتومبیل سازی نمی‌تواند مانع استفاده‌ی مردم برای استفاده از رنگ دلخواه خود در اتومبیلشان شود، همچنین مردم خود انتخاب می‌کنند که در کدام تعمیرگاه روغن ماشین خود را تعویض کنند. حتی مردم می‌توانند خودشان به تعمیر اتومبیل خود بپردازند. در مورد سایر وسیله‌ها مانند تلویزیون، تجهیزات و ابزار آلات مزرعه‌ها و یخچال نیز این مسأله صادق است.

به نظر می‌رسد با گسترش استفاده از اینترنت اشیاء، ما در حال بازگشت به مدل قدیمی ملوک الطوایفی هستیم، جایی که مردم مالک اقلام مورد استفاده‌ی خود نبودند. در مدل ملوک الطوایفی قرن 21 ام، شرکت‌ها از قانون مالکیت معنوی - برای محافظت از ایده‌های خود - برای کنترل فیزیکی وسایل استفاده می‌کنند، در حالی که مصرف کنندگان تصور می‌کنند مالک وسایل خودشان هستند.

کنترل مالکیت معنوی

برای مثال در مورد گوشی‌های سامسونگ، گوگل سیستم عامل را کنترل می‌کند و برنامه‌های گوگل باعث کارکرد خوب گوشی‌های هوشمند اندرویدی می‌شوند. گوگل اجازه‌ی استفاده از این برنامه‌ها را به سامسونگ می‌دهد و سامسونگ تغییرات دلخواه خود را در رابط اندرویدی اعمال می‌کند و مجوز استفاده از تلفن شخصی افراد را به آن‌ها می‌دهد، این استدلال گوگل و سامسونگ است. شرکت سامسونگ با بسیاری از ارائه دهندگان نرم افزاری که می‌خواهند اطلاعات کاربران را به دست آورند، همکاری می‎‌کند.

اما این مدل بی نقص نیست. افراد و کاربران باید حق تعمیر وسایل خود را داشته باشند. ما باید حق حذف تبلیغ کنندگان مزاحم را در دستگاه‌های خود داشته باشیم. ما حق داریم کانال‌های مخفی را که اطلاعات ما را به تبلیغ کنندگان می‌فرستند ببندیم نه تنها به این دلیل که دوست نداریم از ما جاسوسی کنند بلکه این کانال‌های مخفی خطرهای امنیتی به حساب می‌آیند، همان طور که داستان سوپرفیش و مخزن ماهی هک شده نشان داد. اگر ما حق کنترل وسایل خود را نداریم پس در حقیقت مالک آن‌ها هم نیستیم. در واقع ما همان دهقانان دیجیتالی هستیم که وسایل را از اربابان دیجیتالی خود به قیمت دلخواه آن‌ها خریداری کرده‌ایم و از آن‌ها استفاده می‌کنیم.

با این که در حال حاضر اوضاع چندان عادلانه به نظر نمی‌رسد، اما هنوز امیدهایی وجود دارد. این مشکلات به سرعت برای روابط عمومی شرکت‌های درگیر تبدیل به کابوس می‌شوند و آن‌ها مجبورند به فکر راه حل باشند. حمایت جدی برای اجرای طرح‌ حق تعمیر وجود دارد تا به این طریق بتوانیم بعضی اختیارات مالکیت را به مصرف کنندگان برمی‌گردانیم.
بخشی از اینترنت اشیاء مربوط به دستگاه‌هایی است که امنیت کافی ندارند.در سال‌های اخیر شاهد پیشرفت در بازپس گیری مالکیت از اربابان دیجیتالی بوده‌ایم. مهم است که بتوانیم آن چه این شرکت‌ها در تلاش برای انجام هستند، را شناسایی و رد کنیم، بر اساس نیازهای خود خرید کنیم و به شدت از حقوق خود در استفاده، تعمیر و اصلاح اموال هوشمند خود دفاع کنیم و از تلاش‌ها برای به دست آوردن این حقوق حمایت کنیم. ایده‌ی مالکیت هنوز هم در تصورات فرهنگی ما قدرتمند است و به راحتی از بین نخواهد رفت. و اگر از این فرصت استفاده کنیم می‌توانیم از حقوق خود به عنوان مصرف کننده دفاع کنیم.

منبع: نیر کشتری، University of North Carolina – Greensboro، جوشوا A.T. فیرفیلد، Washington and Lee University