FTC، جایزه‌ای ۲۵٫۰۰۰ دلاری برای ارائه راه‌حل مدیریتی برای وصله کردن خودکار اینترنت اشیاء قرار داد.

کمیسیون تجارت فدرال ایالات‌متحده یک مسابقه برای ارائه یک راه حل بر پایه نرم‌افزار یا سخت‌افزار با توانایی وصله کردن خودکار دستگاه‌های آسیب‌پذیر اینترنت اشیاء راه انداخته است[۱].

امروزه تعداد زیادی از دستگاه‌های اینترنت اشیاء ما را احاطه کرده‌اند. خانه‌های ما مملو از کامپیوترهای کوچکی است که در داخل دوربین‌های امنیتی، تلویزیون‌ها، یخچال و فریزرها، ترموستات‌ها و قفل‌های درب‌ها قرار دارد.

در حالی که اینترنت اشیاء در حال بهبود سطح زندگی مردم است، تعداد ریسک‌های امنیتی در ارتباط با این دستگاه‌ها به علت فقدان تدابیر و مکانیزم‌های امنیتی در دستگاه‌ها، به شدت در حال افزایش است. این مسئله تعداد زیادی ورودی در اختیار مهاجمان قرار می‌دهد تا به روش‌های مختلف شما را در معرض خطر قرار دهند.

چند ماه قبل، Mirai Botnet با hijack کردن بیش از ۱۰۰٫۰۰۰ دستگاه اینترنت اشیاء و سوءاستفاده از آن‌ها، درخواست‌های ناخواسته و بسیار زیادی را روانه سرویس DNS شرکت Dyn کرد و اینترنت میلیون‌ها کاربر را قطع کرد[۲].

در آن موقع، شرکت چینی Hangzhou Xiongmai Technology اعتراف کرد که محصولات هوشمند این شرکت شامل DVR ها و دوربین‌های متصل به اینترنت، سهواً مورد سوءاستفاده قرار گرفته تا حملات عظیم DDoS علیه شرکت Dyn انجام شود.

بعد از این اتفاق، این شرکت چینی، وصله‌هایی را برای آسیب‌پذیری‌های امنیتی که در محصولات اینترنت اشیاء این شرکت پیدا شده بود، منتشر کرد اما به علت کلمات عبور hard-coded شده و این حقیقت که آن‌ها به‌گونه‌ای این دستگاه‌ها را پیاده‌سازی کرده بودند که به‌سادگی قابل به‌روزرسانی نبودند، این شرکت بعضی از محصولات خود را فراخوانی کرد.

کارخانه‌هایی که دستگاه‌های اینترنت اشیاء را تولید می‌کنند، این دستگاه‌ها را بدون هیچ‌گونه مکانیزم به‌روزرسانی خودکار وصله‌ها وارد بازار می‌کنند، بنابراین نصب و اجرا کردن وصله‌های مؤثر، به یک مشکل بزرگ برای دستگاه‌های اینترنت اشیاء تبدیل شده است. تعداد بسیار زیادی از این دستگاه‌ها بر پایه کلمه عبور ضعیف و ساده ۱۲۳۴، کلمات عبور hardcoded، backdoor ها یا پروتکل‌های ناامن هستند.

خبرگزاریComputerworld  گزارش داده است که در تلاش برای پیدا کردن راه‌حلی که بتواند علیه آسیب‌پذیری‌های امنیتی در دستگاه‌های اینترنت اشیاء مورد استفاده قرار گیرد، کمیسیون تجارت فدرال ایالات‌متحده یک مسابقه برای عموم راه‌اندازی کرده است[۳].

خبر خوب این است که شما می‌توانید در ازای ارائه یک راه‌حل یا ابزار فنی که مصرف‌کنندگان بتوانند با اعمال آن بر روی دستگاه‌های اینترنت اشیاء خانگی‌شان در برابر آسیب‌پذیری‌های امنیتی محافظت شوند، صاحب ۲۵٫۰۰۰ دلار شوید.

FTC به دنبال ابزاری است که بتواند برای پیاده‌سازی به‌روزرسانی خودکار نرم‌افزار برای دستگاه‌های اینترنت اشیاء مورد استفاده قرار گیرد و همچنین دستگاه‌های فیزیکی را نیز به‌روزرسانی کند. این در حالی است که امکان دارد بعضی از این به‌روزرسانی‌ها به طور کاملاً خودکار انجام شود و بعضی دیگر نیازمند این هستند که کاربران بعضی از تنظیمات مورد نیاز را قبل از اعمال به‌روزرسانی بر روی دستگاه انجام دهند.

FTC گفته است: ابزاری که در این مسابقه برنده می‌شود می‌تواند یک دستگاه فیزیکی باشد یا یک برنامه یا سرویس بر پایه Cloud که به مصرف‌کنندگان کمک کند تا از آسیب‌پذیری‌های امنیتی که به علت به روز نبودن نرم‌افزار موجود در دستگاه‌های اینترنت اشیاء ناشی می‌شود، در امان باشند.

FTC برنده این مسابقه را در ماه جولای اعلام می‌کند. این خبررسانی جدید در روز چهارشنبه (۴ دسامبر ۲۰۱۷) در دفتر ثبت فدارل اطلاع رسانی شده است [۱].

منابع

[۱] https://s3.amazonaws.com/public-inspection.federalregister.gov/2016-31731.pdf

[۲] http://apa.aut.ac.ir/?p=1672

[۳] http://www.computerworld.com/article/3154348/security/ftc-sets-25-000-prize-for-automatic-iot-patching.html

[۴] http://thehackernews.com/2017/01/iot-security-patch.html