نگرانی درباره شهرهای هوشمند
تصور کنید شخصی تمام چراغهای راهنمایی و رانندگی شهر نیویورک را در ساعت ۴ بعد از ظهر خاموش کند.
فکر میکنید در آن لحظه چه احساسی خواهید داشت؟ آیا اصلا به این موضوع فکر میکنید که ممکن است چراغ قرمز هک شده باشد؟
موضوع هک شدن چراغ قرمز، ایده Ryan Naraine محقق امنیتی کسپرسکی بود که آن را در بحث تامین امنیت شهرها در Blackhat مطرح کرد.
اگرچه در این رابطه گفتوگویی در بین محققان فنی برگزار شده بود اما ایده هک شدن چراغ قرمز در یکی از شلوغترین شهرهای جهان برای من تکاندهنده نبود. امروزه، همه چیز از جمله تلفنهایتان، تلویزیون، ساعت، ردیاب تناسب اندام و حتی شاید درب منزلتان، به صورت آنلاین عمل میکند. اما آیا میدانستید که عملکرد سیستم چراغهای قرمز، سیستمهای مترو و شبکههای برق نیز آنلاین هستند؟
در واقع فکر کردن به خاموشی یکی از سیستمهای صنعتی که در زندگی روزمره ما کاملا حیاتی هستند، ترسآور است.
برق؟ مترو؟ چراغ قرمز؟
هر یک از این سه میتواند در صورت استفاده ی نادرست کشنده باشد. اما مثل خیلی چیزهای دیگر، اینقدر که امنیت برای شهرهای هوشمند نیاز است برای جاهای دیگر تا این اندازه مهم نیست. مقررات و توسعه در سیستمها معنی یک چارهاندیشی در بسیاری از مواردی است که از قبل به آن رسیدگی شده است.
سرانجام بحث کردن پیرامون موضوع امنیت، معمولا باعث ناراحت شدن طرفین میشود. و این بحثها در فرومهای امنیتی بدون نتیجه میباشد.
وقتی که موضوع امنیت مطرح میشود، ما اغلب به چیزهایی که شخصا در طول روز مورد استفادهمان قرار میگیرد تمرکز میکنیم. کامپیوترها، دستگاههای موبایل، دستگاههای تناسب اندام و غیره. اما این موارد، لازمه زندگی لاکچری هستند و نیازهای اصلی روزانهی ما محسوب نمیشوند. وقتی که این ابزارها هک شوند، درد بزرگی است و منکر آن نمیشویم اما هک شدن توسط آنها باعث مرگ شما نمیشود و خطر جانی به همراه نخواهد داشت.
در پرسش و پاسخ هفته گذشته، شخصی سوالی با این عنوان مطرح کرده بود” من میخواستم بدانم که باتوجه به اینکه شما تاکنون توانسته اید خیلی چیزها را پیشبینی کنید، چه هنگام ما تلفات سنگینی و حتی مرگ ناشی از هک سیستم کنترل صنعتی را متحمل میشویم؟ آیا ممکن است این زمان حال باشد؟ به دنبال حمله به کارخانه فولاد آلمان، نرمافزار مخرب انرژی سیاه و حمله کنترل ترافیک هوایی سوئد، احساس میکنم که در آستانه چیزی هستیم اما اصلا مشخص نیست.
Brian Bartholomew به او پاسخ داد: سوال بسیار خوبی بود. به عقیده من، چنین اتفاقاتی قبل از اینکه شخصی را مورد حمله قرار دهد، یک مکان را نشانه میگیرند و باعث تلفات آن میشود. اگر شما نگاهی به سیستمهای بحرانی بیندازید، مشاهده خواهید کرد که همچنان حملههای آسیبپذیر و ناامن وجود دارند و تمام این آسیبها میتواند بیانگر شخصی دیوانه باشد و یک شناخت کلی از عملکرد سیستم کنترل صنعتی(ICS) برای مقابله با آسیبها باشد.
به همین دلیل است که شخصی که مسئول برقراری امنیت ICS میباشد باید در زمینه ایجاد Policyها و سایر تخصصهای امنیتی نامبر وان باشد. با توجه به اینکه چه کسی میتواند برای این کار “خوب” باشد؛ بنظر من خوب بودن کافی نیست؛ این سیستمها باید غیر قابل نفوذ باشند اما اینطور نیست! زیرا موضوع هک کردن ICSها دیگر مثل شکار اسب تکشاخ ناممکن نیست و متاسفانه این کار صورت گرفته و شرایط بدتر از گذشته شده است.
Vitaly Kamluk پاسخ داد، حقیقتش من نمیخواهم که در مورد این موضوع فکر کنم. آخرین باری که من در مورد عبور از محدوده ی نرمافزارهای مخرب بین دنیای مجازی و واقعی برای از بین بردن یک شی واقعی، فکر کردم ماه اخیر بود. من تنها به این موضوع فکر کردم “چرا به این زودی؟” احساس عجیبی که تجربه کردم مثل همان احساسی بود که هنگام حوادث ناگهانی مثل سقوط هواپیما یا خارج شدن از ریل قطار و غیره به من دست داد.
محقق امنیتی که در سال اخیر همه او را با نام halvarflake میشناسند بیان کرد: سیستمهای کامپیوتر میتوانند یک بعد دیگری برای کنترل داشته باشند. شما ممکن است یک کامپیوتر داشته باشید و صاحب آن باشید اما آن فقط از نظر فیزیکی برای شما است و با توجه به سیستمهای فعلی طراحی شده هرگز نمیتوانید مطمئن باشید که کاملا تحت کنترل شما است.
این چیزی است که من را از خواب شب محروم میکند زیرا که این توهم کنترل سیستمهای کامپیوتری امکانات بینهایتی را به مجرمان میدهد که سرانجامش به یک تراژدی تلخ ختم میشود و آنها با این کار قدرنمایی می کنند.
تا چه اندازه میتواند این موضوع برای ما نگرانکننده باشد؟
برای شروع، به عنوان شهروندان سراسر جهان، ما باید به آنچه مقامات منتخب برای امنیت ما انجام میدهند، توجه کنیم.
آموزش و آگاهی موارد حیاتی هستند. این گفتگوها باید فراتر از قلمرو امنیتی گسترش یابند و در همه جا اطلاعرسانی شوند. هک سیستمها بسیار حساساند و میتوانند صدمات فاجعهباری را به بار آورد. این موضوع چیزیست که ما باید بیشتر بر روی آنها نسبت به هک سایتهای دوستیابی یا هک اکانتهای انسانهای مشهور تمرکز کنیم.
منبع: کسپرسکیآنلاین