[ad_1]

بله ، با آن نکته این کلیشه است که محصولات ارزان قیمت و رایج اینترنت اشیا می توانند حاوی آسیب پذیری هایی باشند که به طور بالقوه میلیون ها یا حتی میلیاردها دستگاه را نشان می دهد. و با این حال هر بار کمتر فوری نیست. اکنون ، یک مطالعه جدید توسط شرکت امنیتی IoT Forescout 33 نقص در پروتکل منبع باز اینترنت را برجسته می کند ، که به طور بالقوه میلیون ها دستگاه تعبیه شده را در معرض حملاتی مانند رهگیری اطلاعات ، انکار سرویس و تصاحب کامل قرار می دهد. دستگاه های تحت تأثیر دامنه را کنترل می کنند: سنسورها و چراغ های خانه هوشمند ، بارکد خوان ها ، تجهیزات شبکه برای مشاغل ، سیستم های اتوماسیون ساختمان و حتی تجهیزات کنترل صنعتی. ترمیم آنها دشوار است ، اگر غیرممکن نباشد – و خطر واقعی را برای مهاجمان ایجاد می کند تا از این کاستی ها به عنوان اولین قدم در طیف گسترده ای از شبکه ها استفاده کنند.

در طی چهارشنبه کنفرانس امنیتی Black Hat Europe ، محققان Forescout جزئیات آسیب پذیری موجود در هفت پشته منبع باز TCP / IP ، مجموعه ای از پروتکل های ارتباطی شبکه را که واسطه اتصالات بین دستگاه ها و شبکه هایی مانند اینترنت است ، ارائه می دهند. این گروه تخمین می زند که میلیون ها دستگاه از بیش از 150 فروشنده ممکن است آسیب پذیر باشند ، که آنها مجموعاً Amnesia می نامند: 33.

هر هفت پشته منبع باز هستند و به اشکال مختلف اصلاح و دوباره منتشر شده اند. پنج مورد از این هفت مورد تقریباً 20 سال است که وجود دارد و دو مورد از سال 2013 در حال چرخش هستند. این طول عمر به معنای وجود نسخه ها و تغییرات مختلف در هر پشته است ، بدون داشتن اختیارات وصله مرکزی. و حتی اگر وجود داشته باشد ، تولیدکنندگانی که کد را در محصولات خود گنجانده اند ، مجبورند تصحیح صحیح نسخه و اجرای خود را پذیرفته و سپس آن را بین مصرف کنندگان توزیع کنند.

الیسا کوستانته ، معاون تحقیقات در Forescout ، گفت: “آنچه بیشتر از همه من را می ترساند این است که درک اینکه این تأثیر چقدر بزرگ است و چه تعداد دستگاه آسیب پذیرتر وجود دارد بسیار دشوار است.” “این پشته های آسیب پذیر منبع باز هستند ، بنابراین هر کسی می تواند آنها را بگیرد و از آنها استفاده کند ، و شما می توانید آن را مستند کنید یا خیر. 150 ما تا کنون مواردی است که می توانیم پیدا کنیم که مستند است “اما من مطمئن هستم که هزاران تن دستگاه آسیب پذیر دیگر وجود دارد که ما فقط هنوز از آنها نمی دانیم.”

از آن بدتر ، در بسیاری از موارد ، در واقع برای تولیدکنندگان دستگاه امکان فشار دادن وصله ها وجود ندارد ، حتی اگر آنها بخواهند یا می توانند. بسیاری از فروشندگان عملکردهای اساسی مانند پشته TCP / IP را از “سیستم های روی تراشه” ارائه شده توسط تولید کنندگان سیلیکون شخص ثالث دریافت می کنند ، که همچنین باید در تعمیرات نقش داشته باشند. و این خیلی قطعی نیست که بسیاری از این مهمانی ها حتی راهی برای ارائه پچ دارند. به عنوان مثال ، در برخی موارد ، محققان Forescout دریافتند که آسیب پذیری در مجموعه متنوعی از دستگاه ها را می توان در تولیدکننده SoC جستجو کرد که ورشکسته شده و دیگر فعالیت نمی کند.

آنگ کوئی ، یک هکر قدیمی IoT و مدیر عامل شرکت امنیتی تعبیه شده Red Balloon Security ، گفت: “این شرایط کاملاً یک مزاحمت مسخره است ، من نمی دانم چه چیز دیگری در این مورد بگویم.” “به خوبی می توانید بگویید که امنیت اینترنت اشیا bad هرچند بد است. اما با هر یک از این افشاگری های بزرگ و سیستمیک خطر واقعی تجمعی وجود دارد. ما باید در طراحی این محصولات بهتر عمل کنیم.”

بسیاری از آسیب پذیری های کشف شده توسط محققان Forescout از مهمترین اشکالات نرم افزاری است ، مانند عدم وجود اصطلاحات بررسی اعتبار سنجی ورودی که مانع از پذیرش مقادیر یا عملکردهای مشکل ساز سیستم می شود. به یک ماشین حساب فکر کنید که هنگام تلاش برای تقسیم بر صفر خطایی ایجاد می کند ، به جای اینکه از تنش دربیاید ، سعی کنید بفهمید چگونه این کار را انجام می دهد. بسیاری از خطاها نقص “حافظه” است – از این رو Amnesia: 33 نامگذاری شده است – که به مهاجم اجازه می دهد داده ها را از حافظه دستگاه بخواند یا داده هایی را به آن اضافه کند تا بتواند اطلاعات را بازیابی کند ، دستگاه را به دلخواه خراب کند یا کنترل را به دست گرفتن. برخی از این آسیب پذیری ها نیز به مکانیسم های اتصال به اینترنت مربوط می شوند ، مانند نحوه مدیریت پشته نام دامنه سیستم و آدرس دهی پروتکل اینترنت مانند IPv4 و بعد از آن IPv6.

[ad_2]

منبع: sadeh-news.ir