Коли ми говоримо про Інтернет речей (екосистеми IoT), ми маємо на увазі величезну мережу різних гаджетів і пристроїв, які спілкуються між собою. Уявіть, що ваш розумний холодильник надсилає на ваш смартфон повідомлення про те, що у вас закінчилося молоко, або розумний термостат регулює кімнатну температуру відповідно до ваших уподобань. Звучить футуристично, правда?
Але ось у чому заковика: ці пристрої, якими б передовими вони не здавалися, не такі потужні чи ресурсні, як комп’ютери, якими ми користуємося щодня. Вони як крихітні посланці з обмеженою енергією, завжди в русі.
Чому пристрої IoT відрізняються від звичайного комп’ютера
- Обмежені ресурси: На відміну від великих потужних серверів або комп’ютерів, до яких ми звикли, пристрої IoT часто мають лише невелику пам’ять і обчислювальну потужність.
- Різні канали зв'язку: Замість більш безпечних каналів, які використовують наші комп’ютери, пристрої IoT часто спілкуються через менш безпечні бездротові канали, такі як ZigBee або LoRa. Подумайте про це як про вибір неміцного замка для велосипеда замість міцного.
- Унікальна мова та функції: Кожен IoT-пристрій схожий на унікальну особистість. У них є свої функції, і вони спілкуються по-своєму. Це як мати багато людей з різних країн, кожен розмовляє своєю мовою, намагаючись вести розмову. Через це важко придумати для них універсальний протокол безпеки.
Чому це проблема?
Що ж, через ці унікальні проблеми пристрої IoT можуть бути легкою мішенню для кібератак. Це трохи схоже на місто. Чим більше місто, тим більше можливостей щось піти не так. І так само, як у великому місті з багатьма різними типами людей, пристрої IoT від різних компаній мають знайти способи спілкуватися один з одним. Іноді для цього потрібен посередник, довірена третя сторона, щоб допомогти їм зрозуміти один одного.
Крім того, оскільки потужність цих пристроїв обмежена, вони не настільки оснащені для захисту від складних кіберзагроз. Це як відправити когось із рогаткою відбиватися від сучасної армії.
Усунення вразливостей
Уразливості IoT можна розділити на дві основні категорії
- Специфічні вразливості IoT: Сюди належать такі проблеми, як атаки з розрядженням акумулятора, проблеми зі стандартизацією або проблеми з довірою. Думайте про них як про проблеми, з якими стикаються лише ці пристрої.
- Поширені вразливості: Це проблеми, успадковані від більшого світу Інтернету. Типові проблеми, з якими стикається більшість онлайн-пристроїв.
Розуміння загроз безпеці в IoT
Занурюючись у світ кібербезпеки, особливо в сферу IoT (Інтернет речей), часто можна почути про тріаду ЦРУ. Це не стосується секретного агентства, а означає конфіденційність, цілісність і доступність. Це три принципи, які лежать в основі більшості кібербезпеки.
Перший, конфіденційність, полягає в тому, щоб ваші особисті дані залишалися саме такими: конфіденційними. Подумайте про це як про щоденник, який ви тримаєте під ліжком. Тільки ви (і, можливо, кілька довірених осіб) повинні мати ключ. У цифровому світі це означає особисту інформацію, фотографії або навіть розмову з другом через смарт-пристрій.
З іншого боку, чесність полягає в тому, щоб все, що ви написали в цьому щоденнику, залишалося таким, яким ви його залишили. Це означає, що ваші дані, будь то повідомлення, відео чи документ, не змінюються кимось без вашого відома.
Нарешті, доступність. Цей принцип схожий на те, щоб завжди мати під рукою свій щоденник, коли ви хочете записати свої думки. У цифровій сфері це може означати доступ до веб-сайту за потреби або отримання налаштувань розумного дому з хмари.
Пам’ятаючи про ці принципи, давайте глибше розглянемо загрози, з якими стикається IoT. Коли справа доходить до IoT, наші повсякденні пристрої, такі як холодильники, термостати та навіть автомобілі, взаємопов’язані. І хоча цей взаємозв’язок приносить зручність, він також відкриває унікальні вразливості.
Поширеною загрозою є атака на відмову в обслуговуванні (DoS). Уявіть собі: ви на концерті і намагаєтеся пройти через двері, але група жартівників блокує шлях, не пропускаючи нікого. Це те, що DoS робить з мережами. Він переповнює їх фальшивими запитами, щоб реальні користувачі, як-от ми з вами, не могли потрапити. Більш загрозлива версія — це розподілений DoS (DDoS), де не одна група блокує двері, а кілька груп блокують кілька дверей одночасно .
Ще одна прихована загроза – це атака «людина посередині» (MiTM). Це схоже на те, що хтось таємно підслуховує вашу телефонну розмову, а іноді навіть прикидається людиною, з якою, на вашу думку, ви розмовляєте. У цифровому просторі ці зловмисники таємно передають і навіть можуть змінити зв’язок між двома сторонами.
Потім ми маємо зловмисне програмне забезпечення, цифровий еквівалент застудного вірусу, але часто з більш шкідливими намірами. Це програмне забезпечення, створене для проникнення та іноді пошкодження наших пристроїв. Оскільки наш світ наповнюється все більшою кількістю розумних пристроїв, зростає ризик зараження шкідливим програмним забезпеченням.
Але тут є срібна підкладка: якими б численними не звучали ці загрози, експерти з усього світу невтомно працюють над їх боротьбою. Вони використовують передові методи, такі як штучний інтелект, щоб виявляти ці атаки та протидіяти їм. Вони також вдосконалюють спосіб обміну даними між нашими пристроями, гарантуючи, що вони справді можуть розпізнавати один одного та довіряти йому. Тож, хоча цифрова ера має свої виклики, ми не орієнтуємося в них із зав’язаними очима.
Конфіденційність
Окрім вищезазначених загроз безпеці, пристрої Інтернету речей і дані, які вони обробляють, стикаються з ризиками, пов’язаними з конфіденційністю, включаючи перехоплення даних, розкриття анонімних даних (деанонімізація) і створення висновків на основі цих даних (атаки логічних висновків). Ці атаки в першу чергу спрямовані на конфіденційність даних, незалежно від того, зберігаються вони чи передаються. У цьому розділі детально розглядаються ці загрози конфіденційності.
MiTM у контексті конфіденційності
Передбачається, що атаки MiTM можна розділити на дві категорії: активні атаки MiTM (AMA) і пасивні атаки MiTM (PMA). Пасивні атаки MiTM включають непомітний моніторинг обміну даними між пристроями. Ці атаки можуть не змінювати дані, але вони можуть поставити під загрозу конфіденційність. Подумайте про когось, хто має можливість таємно контролювати пристрій; вони могли робити це протягом тривалого періоду перед початком атаки. Враховуючи поширеність камер у пристроях Інтернету речей, починаючи від іграшок і закінчуючи смартфонами та носіями, потенційні наслідки пасивних атак, як-от прослуховування чи перехоплення даних, є суттєвими. І навпаки, активні атаки MiTM відіграють більш безпосередню роль, використовуючи отримані дані для оманливої взаємодії з користувачем або доступу до профілів користувачів без дозволу.
Конфіденційність даних і її проблеми
Подібно до структури MiTM, загрози конфіденційності даних також можна класифікувати на активні атаки на конфіденційність даних (ADPA) і пасивні атаки на конфіденційність даних (PDPA). Занепокоєння щодо конфіденційності даних стосується таких питань, як витік даних, несанкціонована зміна даних (підробка даних), крадіжка особистих даних і процес розкриття, здавалося б, анонімних даних (повторна ідентифікація). Зокрема, атаки повторної ідентифікації, які іноді називають атаками на логічні висновки, обертаються навколо таких методів, як деанонімізація, визначення місця розташування та накопичення даних із різних джерел. Основна мета таких атак – зібрати дані з різних місць, щоб розкрити особу особи. Потім ці об’єднані дані можуть бути використані для маскування цільової особи. Атаки, які безпосередньо змінюють дані, наприклад підробка даних, підпадають під категорію ADPA, тоді як атаки, пов’язані з повторною ідентифікацією або витоком даних, вважаються PDPA.
Блокчейн як потенційне рішення
Блокчейн, який зазвичай скорочується як BC, — це стійка мережа, яка характеризується своєю прозорістю, відмовостійкістю та можливістю перевірки та аудиту. Часто описуваний такими термінами, як децентралізований, одноранговий (P2P), прозорий, безнадійний і незмінний, блокчейн виділяється як надійна альтернатива в порівнянні з традиційними централізованими моделями клієнт-сервер. Примітною особливістю в блокчейні є «розумний контракт», самовиконуваний контракт, де умови угоди записуються в код. Внутрішній дизайн блокчейна забезпечує цілісність і автентичність даних, забезпечуючи надійний захист від підробки даних на пристроях IoT.
Зусилля щодо зміцнення безпеки
Були запропоновані різні стратегії на основі блокчейну для різних секторів, таких як ланцюги поставок, ідентифікація та управління доступом, і, зокрема, IoT. Однак деякі існуючі моделі не враховують часові обмеження та не оптимізовані для пристроїв IoT з обмеженими ресурсами. Навпаки, деякі дослідження в основному зосереджені на збільшенні часу відгуку пристроїв IoT, нехтуючи міркуваннями безпеки та конфіденційності. Дослідження Мачадо та його колег представило архітектуру блокчейну, розділену на три сегменти: IoT, Fog і Cloud. Ця структура наголошує на встановленні довіри між пристроями IoT за допомогою протоколів на основі методів перевірки, що забезпечує цілісність даних і заходи безпеки, такі як керування ключами. Однак ці дослідження безпосередньо не стосувалися питань конфіденційності користувачів.
Інше дослідження вивчало концепцію «DroneChain», яка зосереджена на цілісності даних для дронів шляхом захисту даних за допомогою загальнодоступного блокчейну. Хоча цей метод забезпечив надійну та підзвітну систему, він використовував proof-of-work (PoW), який може бути не ідеальним для додатків Інтернету речей у реальному часі, особливо для дронів. Крім того, моделі бракувало функцій, які б гарантували походження даних і загальну безпеку для користувачів.
Блокчейн як щит для пристроїв IoT
У міру того, як технологія продовжує розвиватися, підвищується сприйнятливість систем до атак, таких як атаки типу «Відмова в обслуговуванні» (DoS). Завдяки поширенню доступних пристроїв IoT зловмисники можуть контролювати кілька пристроїв, щоб здійснювати грізні кібератаки. Програмно-визначена мережа (SDN), хоча й є революційною, може бути скомпрометована через зловмисне програмне забезпечення, що робить її вразливою до різноманітних атак. Деякі дослідники виступають за використання блокчейну для захисту пристроїв IoT від цих загроз, посилаючись на його децентралізовану та захищену від втручання природу. Проте варто відзначити, що багато з цих рішень залишаються теоретичними, не мають практичної реалізації.
Подальші дослідження були спрямовані на усунення недоліків безпеки в різних секторах за допомогою блокчейну. Наприклад, для протидії потенційним маніпуляціям у системі розумних мереж одне дослідження запропонувало використання криптографічної передачі даних у поєднанні з блокчейном. Інше дослідження підтримало систему підтвердження доставки з використанням блокчейну, що спрощує процес логістики. Ця система виявилася стійкою проти поширених атак, таких як MiTM і DoS, але мала недоліки в ідентифікації користувача та управлінні конфіденційністю даних.
Розподілена хмарна архітектура
Окрім вирішення знайомих проблем безпеки, таких як цілісність даних, MiTM і DoS, кілька дослідницьких зусиль вивчали багатогранні рішення. Наприклад, дослідницька стаття Шарми та команди представила економічно ефективну, безпечну та постійно доступну техніку блокчейну для розподіленої хмарної архітектури, наголошуючи на безпеці та зменшених затримках передавання. Однак існували сфери контролю, зокрема конфіденційність даних і керування ключами.
Тема, яка постійно повторюється в цих дослідженнях, полягає в поширеному використанні PoW як механізму консенсусу, який може бути не найефективнішим для додатків Інтернету речей у реальному часі через його енергоємний характер. Крім того, значна кількість цих рішень не враховує життєво важливих аспектів, таких як анонімність користувачів і повна цілісність даних.
Проблеми впровадження Blockchain в IoT
Затримка та ефективність
Хоча технологія блокчейн (BC) існує вже більше десяти років, її справжні переваги почали використовувати лише нещодавно. Зараз реалізуються численні ініціативи щодо інтеграції BC у такі сфери, як логістика, харчування, розумні електромережі, VANET, 5G, охорона здоров’я та спостереження за натовпом. Тим не менш, поширені рішення не вирішують притаманну затримку BC і не підходять для пристроїв IoT з обмеженими ресурсами. Переважаючим механізмом консенсусу в BC є підтвердження роботи (PoW). PoW, незважаючи на його широке використання, порівняно повільний (обробка лише семи транзакцій на секунду на відміну від середнього показника Visa, що становить дві тисячі на секунду) і енергоємний.
Обчислення, обробка та зберігання даних
Запуск BC вимагає значних обчислювальних ресурсів, енергії та пам’яті, особливо якщо він розповсюджений у великій одноранговій мережі. Як підкреслили Сонг та інші, до травня 2018 року розмір реєстру біткойнів перевищив 196 ГБ. Такі обмеження викликають занепокоєння щодо масштабованості та швидкості транзакцій для пристроїв IoT. Одним із потенційних обхідних шляхів може бути делегування їхніх обчислювальних завдань централізованим хмарам або напівдецентралізованим серверам туману, але це створює додаткові затримки в мережі.
Уніфікованість і стандартизація
Як і всі нові технології, стандартизація Британської Колумбії є проблемою, яка може вимагати коригування законодавства. Кібербезпека залишається серйозним викликом, і надто оптимістично очікувати єдиного стандарту, який зможе зменшити всі ризики кіберзагроз для пристроїв IoT у найближчому майбутньому. Однак стандарт безпеки може гарантувати, що пристрої відповідають певним прийнятним стандартам безпеки та конфіденційності. Будь-який IoT-пристрій має містити низку основних функцій безпеки та конфіденційності.
Проблеми безпеки
Незважаючи на те, що BC характеризується незмінністю, надійністю, децентралізацією та стійкістю до втручання, безпека налаштування на основі блокчейну настільки ж надійна, як і його точка входу. У системах, побудованих на загальнодоступних BC, будь-хто може отримати доступ до даних і перевірити їх. Хоча приватні блокчейни можуть бути виправленням цього, вони створюють нові проблеми, такі як залежність від надійного посередника, централізація та законодавчі проблеми щодо контролю доступу. По суті, рішення IoT на основі блокчейну повинні відповідати критеріям безпеки та конфіденційності. Вони включають забезпечення збереження даних у відповідності з потребами конфіденційності та цілісності; забезпечення безпечної передачі даних; сприяння прозорому, безпечному та підзвітному обміну даними; збереження автентичності та безспірності; гарантування платформи, яка дозволяє вибіркове розкриття даних; і завжди отримувати явну згоду на обмін від суб’єктів-учасників.
Висновок
Блокчейн, технологія з величезним потенціалом і перспективами, була проголошена трансформаційним інструментом для різних секторів, включаючи величезний ландшафт Інтернету речей (IoT), який постійно розвивається. Завдяки своїй децентралізованій природі блокчейн може забезпечити покращену безпеку, прозорість і відстежуваність – функції, які дуже бажані у впровадженнях IoT. Однак, як і будь-яке технологічне злиття, поєднання блокчейну з IoT не обходиться без проблем. Від проблем, пов’язаних зі швидкістю, обчисленнями та зберіганням, до гострої потреби в стандартизації та усуненні вразливостей, є кілька аспектів, які потребують уваги. Важливо, щоб зацікавлені сторони як в екосистемах блокчейну, так і в екосистемах Інтернету речей вирішували ці проблеми спільно та інноваційно, щоб повністю використовувати синергетичний потенціал цього союзу.
Джерело: https://www.cryptopolitan.com/blockchain-can-build-trust-in-iot-ecosystems/