Қазақстан Республикасы Білім және ғылым министрлігі
"Л. Н. Гумилев атындағы Еуразия ұлттық университеті"
Факультет Ақпараттық технология
Кафедра Ақпараттық қауіпсіздік жүйелері
Студенттің өзіндік жұмысы Интертнет заттары және оған қатысты қауіпсіздік мәселелері Орындаушы: Қанай А.О
Тобы: АҚЖ-27
Тексеруші:Аға оқытушы
Онгарбаева А.И.
Астана 2023
Интернет заттарының пайдалануы оған қатысушылардың ақпаратты ұсынуы, арнайы бағдарламаларды жүктеуі, адастық немесе фотосуреттерді жіберуі деген сәйкестендірілген қызметтерді пайдалану көпшілікті қолданушылар үшін тиімді болады. Бірақ, интернет пайдалануы кезінде кейбір қауіпсіздік мәселелеріне де тура келуге болады.
Кіру мәселесі: Қызметтеуді аяқтау кезінде, парольды теру кезінде және жеке ақпаратты қосымша қауіпсіз жерде сақтау арқылы кіріс үшін ақысыз Wi-Fi желісін пайдалану.
Фишинг: Арқылы адамдарды алдату үшін, келесіде жиі емес құжаттар ұсынатын электрондық хат жіберу арқылы ақпараттарды шеше алады.
Мәнінен тыс: Қоздырылған бағамен жүктелетін немесе сайтқа қайтуға арналған видео, аудио және программалар.
Вирустар: Тегін жүке түсетін немесе жасаған файлдарға және кеудеген сілтемелерге кіреші үшін пайда ететін программалар.
Біздің ешқайсымыз үшін "Заттар интернеті" (Заттар интернеті, IoT) ұғымы ұзақ уақыт бойы экзотикалық емес. Тақырып үнемі көптеген пікірталастарды тудырады. Кейбіреулер тіпті интернетті Ұялы телефоннан кейінгі келесі революция деп атайды, ал біреу, керісінше, Шу нақты пайдадан гөрі көп дейді. Шындық, әдеттегідей, ортасында. Бірақ бір нәрсе дұрыс: интернетке қосылған құрылғылардың саны артып, тез өсуде. Бұрын бұл тек компьютерлер – жұмыс үстелі машиналары, серверлер және ноутбуктер болатын, бірақ қазір кез-келген құрылғының, ең болмағанда, Желіге қосылу мүмкіндігі бар. Машиналардан бастап есік сенсорларына дейінгі барлық спектр-бұл күндері Интернетке қосылуға болатын барлық нәрсені тізімдеу қиын.
Зерттеулерге сәйкес, 2016 жылдың соңына қарай желіде 6 миллиардтан астам құрылғы болды, ал 2020 жылға қарай ол 20 миллиардқа жетеді. олар интернетке не үшін қосылады? Олар бұлтқа ақпаратты жібере алады, содан кейін оны өңдеуге және әртүрлі мақсаттарда пайдалануға болады. Шәйнекті телефоннан басқарғыңыз келе ме? Қарапайым. Сіз болмаған кезде үйді қауіпсіздік үшін қауіпсіздік камераларымен жабдықтағыңыз келе ме? ИЯ, қалағаныңызша!
Алайда, осы қосылыстардың барлығында бір мәселе бар. Байланыс екі бағытта да жүзеге асырылады. Егер құрылғы деректерді бұлтқа жібере алса, онда сіз бұлттан байланыса аласыз. Бұл жерде қауіпсіздік мәселесінің тамыры жатыр. Егер хакер құрылғыларды басқара алса, сөзсіз хаос пайда болады. Бұл заттар интернетінің негізгі кемшілігі емес пе?
Жақында біз киберқылмыскерлер Dyn, Twitter провайдерінің DNS, SoundCloud, Spotify, Reddit және басқаларына DDoS шабуыл жасағанын көрдік. DDoS шабуылының мәні-пайдаланушылар оларға қол жеткізе алмайтындай етіп интернет қызметтерінің жұмысын бұзу. Бұл пайдаланушыларға теріс әсер етеді және веб-сайттар үшін ықтимал қаржылық шығындарға әкеледі. Мұндай шабуылдар мүмкін болады, өйткені олар бүкіл әлем бойынша бір әрекетті орындау үшін үйлестірілген көптеген (мыңдаған, тіпті ондаған мың) компьютерлерді пайдаланады. Бұл әдетте вирус жұқтырған Windows жүйесінде жұмыс істейтін жұмыс үстелі компьютерлері. Белгілі бір уақытта вирус іске қосылады және компьютер ботнетке қосылады – шабуыл жасайтын қашықтағы компьютерлерді біріктіретін желі.
DDoS шабуылдары жаңалық емес және сипатталған механизм тіпті компьютерлік әлемнің қыр-сырынан алыс адамдарға да таныс. Алайда, Dyn-ге шабуыл жасау туралы ерекше нәрсе болды. Ол ДК арқылы емес, бақылау камералары немесе желіге қосылатын деректерді сақтау құрылғылары сияқты қосылған құрылғылардың көмегімен ұйымдастырылды. Қауіпсіздік жөніндегі сарапшы Брайан Кребстің айтуынша, жақында желіні заттар интернетінің бөлігі болып табылатын құрылғыларға сканерлейтін және оларға қосылуға тырысатын жаңа вирус әзірленді. Егер оларға қол жеткізу оңай болса – мысалы, қарапайым зауыттық логин мен пароль қолданылады-вирус қосылып, зиянды бағдарламаны жүктейді.
Сондықтан біз мәселенің түбіне жеттік. Тым көп қосылған құрылғылар (миллиондаған!) Интернетке кіру үшін әдепкі логиндер мен парольдерді қолданыңыз. Барлық осы шексіз admin / admin немесе root/root. Мұның себебі қазіргі уақытта қарапайым, жарамсыз бағдарламалық жасақтама. Заттар интернетінің нарығын дамытудың маңызды шарттарының бірі-арзан, пайдаланушылар үшін құрылғылардың қол жетімділігі. Интернетке қосылу мүмкіндігі-бұл құрылғыларды сататын, мүмкін "ысқырықпен" қабылданатын, бірақ сонымен бірге ерекше ұсыныс болып табылатын сипаттама. Бұл функцияны қосу Linux процессорында (немесе RTOS) іске қосылуға және кейіннен веб-қызметтерді қосуға дейін азаймауы керек. Бұл құрылғыларды қауіпсіз ету дұрыс болады. Қазір қауіпсіздікпен айналысу қиын емес, бірақ бұл қосымша шығындарды білдіреді. Қысқа көзқарастың ақымақтығы – қауіпсіздікті елемей, өнімді арзанырақ етуге болады, бірақ көптеген жағдайларда ол қымбатқа түсуі мүмкін.
Jeep Cherokee мысалын алайық. Чарли Миллер мен Крис Валасек Jeep Cherokee-ге белгілі бір мүмкіндіктерді қашықтан басқарудың осалдығын пайдаланып, әйгілі хакерлік шабуыл жасады. Олар компанияның назарын бар мәселелерге аударды, бірақ Jeep-те олар жай ғана еленбеді. Jeep-те Миллер мен Валасектің зерттеулері туралы не ойлады, ол құпия болып қала береді, бірақ ешқандай дәйекті әрекет жасалмады. Шабуылдың егжей-тегжейлері ашылған кезде, компания миллиардтаған доллар тұратын бағдарламалық жасақтаманың осалдығын жою үшін миллионнан астам көлікті қайтарып алуға мәжбүр болды. Егер бағдарламалық жасақтама басынан бастап жетілдірілсе, бұл әлдеқайда арзан болар еді.
Егер біз Dyn-ге шабуыл жасау үшін пайдаланылған IoT құрылғыларына қайта оралсақ, бұл жағдайда қауіпсіздік қателерінің бағасы өндірушілердің емес, Dyn, Twitter және басқалары сияқты компаниялардың шығындарынан тұрады.