Ilovalarning zaif tomonlari. Dasturiy ta'minot zaifliklarni o'z ichiga olganligini tan olish IoT qurilmalarini xavfsizligini ta'minlashda muhim qadamdir. Dasturiy ta'minotdagi xatolar qurilmada ishlab chiquvchilar tomonidan mo'ljallanmagan funktsiyalarni ishga tushirishga imkon berishi mumkin. Ba'zi hollarda, bu tajovuzkorning qurilmada o'z kodini ishlatishiga olib kelishi mumkin, bu esa maxfiy ma'lumotlarni olish yoki boshqa tomonlarga hujum qilish imkonini beradi.
Barcha dasturiy ta'minotdagi xatolar singari, dasturiy ta'minotni ishlab chiqishda xavfsizlik nuqsonlarini to'liq oldini olish mumkin emas. Biroq, taniqli zaifliklardan qochish yoki zaiflik ehtimolini kamaytirish usullari mavjud. Bunga dasturni zaifligini oldini olish bo'yicha eng yaxshi amaliyotlar, masalan, kirishni tekshirishni doimiy ravishda bajarish kiradi.
Ishonchli ijro etiladigan muhitning etishmasligi. IOT qurilmalarining aksariyati samarali dasturiy ta'minotni ishlata oladigan umumiy maqsadli kompyuterlardir. Bu tajovuzkorlarga qurilmaning normal ishlashiga kirmaydigan funksionallikka ega bo'lgan o'zlarining dasturlarini o'rnatishga imkon beradi. Masalan, tajovuzkor DDoS hujumini amalga oshiradigan dasturni o'rnatishi mumkin. Qurilmaning funksionalligini va uning ishlashi mumkin bo'lgan dasturiy ta'minotni cheklash orqali qurilmadan suiiste'mol qilish imkoniyatlari cheklangan. Masalan, qurilmani faqat sotuvchining bulutli xizmatiga ulanish uchun cheklash mumkin. Ushbu cheklash DDoS hujumida samarasiz bo'lib qoladi, chunki u endi o'zboshimchalik bilan maqsadli xostlarga ulana olmaydi.
Qurilmaning ishlashi mumkin bo'lgan dasturiy ta'minotni cheklash uchun kod odatda kriptografik xash bilan imzolanadi. Dasturni imzolash kaliti faqat sotuvchiga ega bo'lgani uchun, qurilma faqat sotuvchi tomonidan tarqatilgan dasturiy ta'minotni ishlaydi. Shunday qilib, tajovuzkor endi qurilmada o'zboshimchalik bilan kod ishlata olmaydi.
Qurilmada ishlaydigan kodni to'liq cheklash uchun yuklash jarayonida qo'shimcha qurilmalar yordamida kod imzolanishi kerak. Buni to'g'ri amalga oshirish qiyin bo'lishi mumkin. Apple iPhone, Microsoft Xbox va Nintendo Switch kabi qurilmalarda "jailbreak" deb nomlangan, bu ishonchli ijro etuvchi muhitni amalga oshirishda xatolar natijasidir.
Sotuvchining xavfsiz holati. Xavfsizlikning zaif tomonlari aniqlanganda, sotuvchining reaktsiyasi ta'sirni sezilarli darajada aniqlaydi. Sotuvchida potentsial zaifliklar to'g'risida ma'lumot olish, yumshatishni rivojlantirish va sohadagi qurilmalarni yangilash vazifasi bor. Sotuvchining xavfsizlik holati ko'pincha sotuvchida xavfsizlik muammolarini etarli darajada hal qilish jarayonining bor-yo'qligi bilan belgilanadi.
Iste'molchi asosan sotuvchining xavfsizlik holatini sotuvchi bilan xavfsizlikka nisbatan yaxshilangan aloqa sifatida qabul qiladi. Agar sotuvchi aloqa ma'lumotlarini yoki xavfsizlik muammosi haqida xabar berishda qanday choralar ko'rilishini ko'rsatma qilmasa, bu muammoni yumshatishga yordam bermaydi.
Cheklovlar haqida bilmasdan, oxirgi foydalanuvchilar qurilmani mo'ljallangan usulda ishlatishda davom etadilar. Bu xavfsiz bo'lmagan muhitga olib kelishi mumkin. Qurilmalar xavfsizligini yangilash chastotasi va maxfiy ma'lumotlar uzatilmasligi uchun qurilmani qanday qilib xavfsiz tarzda yo'q qilish yoki qayta sotish to'g'risida maslahat berib, sotuvchilar mijozlarga ishlarni osonlashtirishi mumkin.
Maxfiylik himoyasi etarli emas. Iste'mol qurilmalari odatda maxfiy ma'lumotlarni saqlaydi. Simsiz tarmoqqa ulangan qurilmalar ushbu tarmoqning parolini saqlaydi. Kameralar ular joylashgan uyning video va audio yozuvlarini taqdim etishi mumkin. Agar ushbu ma'lumotga tajovuzkorlar kirishgan bo'lsa, bu shaxsiy hayotning jiddiy buzilishiga olib keladi.
IoT qurilmalari va tegishli xizmatlar maxfiy ma'lumotlarni to'g'ri, xavfsiz va faqat qurilmaning oxirgi foydalanuvchisining roziligidan so'ng ishlashi kerak. Bu maxfiy ma'lumotlarni saqlash va tarqatish uchun ham amal qiladi.
Maxfiylikni himoya qilishda sotuvchi muhim rol o'ynaydi. Maxfiylikning buzilishi uchun tashqi tajovuzkordan tashqari, sotuvchi yoki sherik bo'lgan shaxs javobgar bo'lishi mumkin. IoT qurilmasining sotuvchisi yoki xizmat ko'rsatuvchisi, aniq roziligisiz, bozorni o'rganish kabi maqsadlarda iste'molchilarning xatti-harakatlari to'g'risida ma'lumot to'plashi mumkin. IOT qurilmalari, masalan, aqlli televizorlar, uy ichidagi suhbatlarni tinglashi mumkin bo'lgan bir nechta holatlar ma'lum.
Fizik xavfsizlik yetarli emas. Agar tajovuzkorlar qurilmaga jismoniy kirish huquqiga ega bo'lsa, ular qurilmani ochishlari va qo'shimcha qurilmalarga hujum qilishlari mumkin. Masalan, xotira tarkibiy qismlarining tarkibini to'g'ridan-to'g'ri o'qish orqali har qanday himoya dasturini chetlab o'tish mumkin. Bundan tashqari, qurilmada buzg'unchiga qo'shimcha imkoniyatlar yaratadigan, uni ochgandan so'ng kirish mumkin bo'lgan disk raskadrovka aloqalari bo'lishi mumkin. Jismoniy hujumlar bitta qurilmaga ta'sir qiladi va jismoniy ta'sir o'tkazishni talab qiladi. Ushbu hujumlarni Internetdan ommaviy ravishda amalga oshirishning iloji yo'qligi sababli, biz buni xavfsizlikning eng katta muammolaridan biri deb bilmaymiz, ammo shunga qaramay, bu kiritilgan. Jismoniy hujum, agar u bir xil modeldagi barcha qurilmalar o'rtasida taqsimlanadigan qurilma kalitini ochib bersa va shu bilan qurilmalarning keng doirasini buzsa, ta'sirchan bo'lishi mumkin. Biroq, bu holda biz kalitni barcha qurilmalar o'rtasida bo'lishini jismoniy xavfsizlik uchun emas, balki muhimroq muammo deb bilamiz.
Do'stlaringiz bilan baham: |