ليس غريبا أن إنترنت الأشياء مليء بالأدوات غير الآمنة. كل ما تحتاجه هو حادث واحد بسيط لتغمرها عناوين مرعبة حول كيفية اختراق كل شيء بدءًا من المكانس الكهربائية الروبوتية إلى الألعاب الذكية للتجسس عليك. ومع ذلك ، من الواضح أن بعض الأجهزة مثل الة صنع القهوة الذكية يمكن إعادة برمجتها لتتحول إلى معلومات وتطلب فدية من المستخدمين المطمئنين.
هذا الأسبوع ، قام مارتن هرون ، الباحث في شركة الأمن Avast ، بتصميم ماكينة صنع قهوة أكثر ذكاءً بقيمة 250 دولارًا كجزء من تجربة فكرية للكشف عن عيب مهم في البنية التحتية للأجهزة الذكية.
كتب منشور في مدونة يوضح بالتفصيل التجربة "لقد طُلب مني إثبات الأسطورة ، وأطلق عليها اسم الشك ، وأن التهديد الذي تتعرض له أجهزة إنترنت الأشياء لا يقتصر فقط على الوصول إليها عبر جهاز توجيه ضعيف أو التعرض للإنترنت ، ولكن جهاز إنترنت الأشياء نفسه ضعيف ويمكن امتلاكه بسهولة بدون امتلاك الشبكة أو جهاز التوجيه ، ".
كانت تجربته ناجحة: بعد أسبوع من الإصلاح ، قام فعليًا بتحويل الة صنع القهوة إلى آلة فدية. عندما يحاول المستخدم توصيله بشبكته المنزلية ، فإنه يحفز الجهاز على تشغيل الموقد ، وإخراج الماء الساخن ، وتدوير مطحنة الفول إلى ما لا نهاية ، وعرض رسالة فدية مبرمجة مسبقًا أثناء التصفير باستمرار. الطريقة الوحيدة لإيقافها؟ فصل آلة صنع القهوة تمامًا عن مصدر الطاقة.
وقال هرون في مقابلة مع آرس تكنيكا: "لقد تم ذلك للإشارة إلى أن هذا حدث بالفعل ويمكن أن يحدث لأجهزة IoT أخرى. "هذا مثال جيد على مشكلة خارج الصندوق. ليس عليك فعل أي شيء. عادة، لا يفكر البائعون في هذا الأمر".
اكتشف هارون أن الة صنع القهوة يعمل كنقطة وصول wifi ويستخدم اتصالاً غير مشفر للربط بتطبيق الهاتف الذكي المقابل ، وهو كيفية تفاعل المستخدم مع أجهزته وربطه بشبكة wifi المنزلية. يرسل التطبيق أيضًا تحديثات البرامج الثابتة ، التي تلقاها الجهاز "بدون تشفير ، ولا مصادقة ، ولا توقيع رمز" ، مما يوفر استغلالًا سهلًا.
بعد معرفة ذلك ، قام بتحميل أحدث إصدار من البرامج الثابتة لتطبيق اندرويد على جهاز كمبيوتر وعكس تصميمه باستخدام IDA ، وهو أداة تفكيك تفاعلية وأداة أساسية في أي مجموعة أدوات للهندسة العكسية. تطلبت العملية أيضًا تفكيك صانع القهوة لمعرفة وحدة المعالجة المركزية المستخدمة. مسلحًا بهذه المعلومات ، كتب نصًا بلغة بايثون يحاكي عملية تحديث صانع القهوة لتنفيذ البرامج الثابتة المعدلة وأسطر النص التي تؤدي في الواقع إلى جعلها غير صحيحة. لم تكن برمجة الآلة للمطالبة بفدية فكرة هرون الأولى ، كما كتب في المدونة : "في الأصل ، أردنا إثبات حقيقة أن هذا الجهاز يمكنه تعدين العملة المشفرة. بالنظر إلى وحدة المعالجة المركزية والبنية ، فمن المؤكد أنه يمكن تنفيذه ، ولكن بسرعة 8 ميجاهرتز ، لا معنى له لأن القيمة المنتجة لمثل هذا المنجم ستكون ضئيلة ".
ومع ذلك ، هناك بعض القيود الواضحة على هذا الاختراق. أولاً ، سيحتاج المهاجم إما إلى العثور على صانع قهوة داخل نطاق wifi. يمكن للمرء أن يطلق الهجوم عن بُعد عن طريق اختراق جهاز التوجيه الخاص بشخص ما ، وفي هذه الحالة يواجه مالك الشبكة مشكلات أكبر بكثير يجب معالجتها من صانع القهوة الذي يطلب فدية.
لكن هرون يقول إن الآثار المترتبة على هذا النوع من الاختراق مقلقة أكثر. من خلال هذا الاستغلال ، يمكن للمهاجمين جعل الأداة الذكية غير قادرة على تلقي تصحيحات مستقبلية لإصلاح هذا الضعف. كما يجادل بأن المهاجمين يمكنهم برمجة صانع القهوة أو أي أجهزة أكثر ذكاءً مع هذه الثغرة الأمنية لمهاجمة أي جهاز على نفس الشبكة دون إطلاق أي أجراس إنذار. بالنظر إلى عمر الأجهزة التقليدية الذي يمتد لسنوات وحتى عقود ، فإن هذا يطرح أيضًا السؤال عن المدة التي يخطط فيها بائعو أجهزة إنترنت الأشياء الحديثة للحفاظ على دعم البرامج ، كما يشير هارون : " مع وتيرة انتشار إنترنت الأشياء والمواقف السيئة تجاه الدعم ، فإننا ننشئ جيشًا من الأجهزة الضعيفة المهجورة التي يمكن إساءة استخدامها لأغراض شائنة مثل اختراق الشبكة وتسريب البيانات وهجوم برامج الفدية و DDoS."
وهذا لا يبدو جيدًا ، لاستخفاف الأمور.
ليست هناك تعليقات:
إرسال تعليق