«БУЮМЛАР ИНТЕРНЕТИ» нимаси билан хавфли?

15

Охирги пайтларда ахборот хавфсизлиги масаласига тегишли бўлган барча тадбирларда энг кўп муҳокама қилинаётган асосий масалалардан бири бу “буюмлар интернети” ҳисобланади. Айнан ушбу технология ўтган йили ҳам ушбу соҳа мутахассислар ақлини кўпроқ эгаллаб, турли ОАВ даги янгиликларда тез-тез учраб турди. Экспертларнинг фикрича ушбу тенденция келгусида ҳам пастламайди. Шу сабабли, ушбу мақоламизда “буюмлар интернети” номи остида қўлланиладиган технологиялар томонидан айни пайтда етказилиши мумкин бўлган долзарб хавфлар кўриб чиқилади.

БОТНЕТЛАР ВА ЗАИФ МАИШИЙ БУЮМЛАР

Интернетга чиқиши мавжуд бўлган кўп сонли қурилмалар бузилишдан етарли даражада ҳимояланмаган бўлади. Уларнинг кўпчилигига бир хил пароллар ўрнатилган бўлиб, баъзиларида кўпчиликка маълум бўлсада, бироқ тузатилмаган заифликлар мавжуд. “Ақлли” буюмларни ишлаб чиқарувчилар аксарият ҳолатларда хавфсизлик масалаларига бефарқлик муносабатида бўлади, фойдаланувчиларнинг эса, уйидаги ҳар бир буюм билан шуғулланишга вақти бўлмайди. Бундай вазият эса фожеавий
оқибатларга олиб келади. Ўтган йили “нарсалар интернети” билан боғлиқ ҳодисалар
орасида энг овоза бўлгани Miraj ботнети бўлди. У деярли бутунлай обрўсизлатнирилган IoT-қурилмалардан ташкил топган бўлиб, тарихдаги энг йирик DDoS-ҳужумларга сабаб бўлди. Қонунбузарлар фаолиятининг асосий мазмуни, IoT-қурилмаларни бошқаришда кўп фойдаланадиган соддалаштрилган Linux версияси бошқарувидаги қурилмаларга кириб борадиган троян дастуридан фойдаланишдан ташкил топган. Бунда бузиб кириш ҳаракатининг ўзи унчалик мураккаб эмас бўлиб чиқди – дастур бор-йўғи 61 та дефолтли логинлар ва пароллар комбинациясини тўлиқ териш усули орқали қурилмага киришни қўлга киритган. Бироқ обрўсизлантирилган қурилмаларнинг умумий сони 493 мингдан ошган эди. Уларнинг орасида терморегуляторлар, совутгичлар ва тостерлар каби “ақлли буюмлар” ҳам мавжуд эди. Miraj ботнетидан DDoS-ҳужумлар чўққига
чиққан вақтда уларнинг тезлиги бир сонияда бир террабайтгача етган. DNS операторига уюштирилган ҳужумда ушбу ботнетдан фойдаланиш, ҳужумни қайтариш учун қўлланилган тезкор тадбирларга қарамасдан таниқли бир қатор хизматларга киришда муаммолар туғдирди, булар жумласига Twitter, GitHub, Soundcloud ва Spotify хизматлари киради.

ЖИСМОНИЙ ХАВФСИЗИК

Ҳар кунлик ҳаётимизга юксак технологияларнинг кириб келиши янгидан-янги хавфларни тақдим қилади. Яқингача қонунбузарларнинг фаоллиги ахборот хавфсизлиги билан чекланган бўлса, ҳозирда хавф остига одамларнинг ҳаёти ва соғлиги қолмоқда. Ҳозирча булар ҳавотирли таҳмин ҳисобланади, бироқ ҳаётий реаллик IoT-қурилмалар билан ишлашда жисмоний хавфсизлик ҳақида бугундан қайғуришга мажбур қилмоқда.

Энг долзарб мисол – кун сайин “ақлли” бўлиб бораётган автомобиллар ҳисобланади. Бир-неча йил аввал ҳайдовчиси бўлмаган автомобиллар фантаст ёзувчилар асарларидаги сюжет бўлган, бироқ бугунги кунда автоном мошиналар Гонконг, Дубай, АҚШнинг бир қатор штатлари ва Европанинг баъзи мамлакатларида кўча кезиб юрибди. Аммо бундай автоном автомобиллар баъзида халокатга учрайди
– масалан, Tesla автопилотининг ишидаги носозликлар билан боғлиқ нохуш ҳодисалар кўп муҳокамага учрайдиган ҳолат бўлди. Ушбу ҳодисалар учун жавобгарликни ўз зиммасига автомобиль эгаси олиши керакми ё унинг ишлаб чиқарувчисими, буни ҳали аниқлаш зарур. Автопилот тизимини ҳисобга олмаган ҳолда ҳам, биламизки, замонавий автомобиль турли юқори технологияли модуллар билан, бошқарув датчиклари ва воситалари билан жиҳозланган, улар, табиийки, дистанцион
бошқарувга эга, шу жумладан интернет орқали ҳам.

Борган сари, автомобиллардаги муаммолар ҳақида янгидан-янги хабарлар тарқалмоқда, улар машиналарнинг механизмлари билан эмас, балки, айнан дастурий таъминот билан боғлиқ. Ушбу дастурий таъминотнинг хавфсизлиги, ҳудди маиший IoT-қурилмаларининг ҳолатидагидек ҳали анчагина иш талаб қиладиган аҳволда. Ушбу муаммо турли ишлаб чиқарувчиларга тегишли: масалан, ўтган йилнинг кузида General Motors компанияси дастурий таъминотдаги хатоликлар туфайли 3 миллиондан ортиқ автомобилларни қайтариб олишга мажбур бўлди, ушбу хатоликлар
хавфсизлик ёстиқчаси ва хавфсизлик камарининг носозликлари билан боғлиқ бўлган. Шунингдек, Volkswagen концерни билан содир бўлган жанжал ҳақидаги овоза кенг тарқалди, бунда автомобилларга зарарли моддаларни чиқаришнинг реал кўрсаткичларини пасайтириб кўрсатувчи дастур ўрнатилган. Бундан ташқари, автомобилларни “компьютерлаштириш” сабабли уларни масофали бузиш имкони мавжуд бўлди. Шу йўл билан тадқиқотчилар ва хакерлар Chrysler, Tesla, Mitsubishi компанияларига тегишли ва бир қанча бошқа р усумдаги автомобилларга авторизацияланмаган кириш ҳуқуқини қўлга киритишди. Агар автомобилларни бузиш – унчалик қўрқинчли туюлмаса, у ҳолда тиббиёт соҳасидаги ишлар умуман ўзгача аҳволда. Юксак технологиялар тиббиёт ходимларига катта имкониятлар тақдим этади, телемедицинадан тортиб, то диагностика ва даволашнинг замонавий усулларигача. Бироқ бу ерда ҳам хавфсизлик масаласи ҳал қилинмаган. Тиббиёт техникасини ишлаб
чиқарувчи мутахассислар кўпинча ёвуз ниятлиларнинг аралашиш эҳтимолини эътибордан четда қолдирадилар. Ахборот хавфсизлигининг экспертлари телемедицинага оид сервислар ва техник воситаларни таҳлил қилиб, ҳавотирли хулосага келдилар – касал ва шифокор орасидаги боғланиш аксарият ҳолатларда заиф
ҳисобланади. Ушбу муаммони шифрлашни қўллаган ҳолда бартараф этса бўлади,
бироқ, телемедицина учун аллақачон заиф шифрланмаган протоколли асбоблардан фойдаланилмоқда. Сурункали оғир касалликлари бўлган одамлар эгнида олиб юрувчи қурилмалар уларнинг соғлиги учун алоҳида хавф туғдиради, булар инсулин помпалари ва кардиостимуляторлар. Заиф симсиз узаткичлар кардиостимуляторлар ва дефибрилляторларга топшириқ юбориши мумкин, қурилмаларнинг кўпчилиги эса 830 вольтгача бўлган токни генерация қила олиши мумкин. Кўпчилик давлатларда бундай қурилмаларнинг сифати учун тўғридан-тўғри жавоб берадиган мутасадди идоралар мавжуд эмас.

IOT-ҚУРИЛМАЛАРИНИНГ ҒАЙРИРАСМИЙЛИГИ

Кенгайиб бораётган “буюмлар интернети”га оид бўлган яна бир масала, бу фойдаланувчиларнинг ғайрирасмийлиги масаласидир. Гап шундаки, “ақлли” қурилмалар ўз эгалари тўғрисида анчагина миқдорда маълумот тўплайди. Қурилмалар эгалари ҳақида, уларнинг ишлаб чиқарувчилари ҳам айнан нимани билишлари устидан деярли назорат қилиб бўлмай қолди.

Ноқулай, бироқ оптимистик сценарийда ушбу маълумотлар реклама берувчиларга сотилиши мумкин. Аммо ушбу маълумотлар қонунбузарлар қўлига тушиб қолса вазият бошқа кўриниш олиши турган гап. Бундай қурилмалардан олинган маълумотлар фойдаланувчининг максимал даражадаги тўлиқ ва батафсил “портрети”ни шакллантириб бериши мумкин. Бугунги куннинг ўзида Shodan хизмати ёрдамида
анча кенг миқдордаги веб-камералардан видео томоша қилиш мумкин. Фойдаланувчилар аллақачон ушбу хизмат орқали банклар, коллеж ва мактабларни, полиция ходимларининг бузилган камераларидан трансляцияларни, хусусий уйлар ва
бэби-мониторлар “кузатуви”даги ухлаётган кўп сонли ёш болаларни томоша қилиш йўлларини аниқлаб топганлар.

Бундан ташқари, кўпчилик фойдаланувчилар бу вазият билан боғлиқ бўлган давлатнинг ўз фуқаролари устидан кузатиб юриш ҳолатларининг кўпайиб кетишидан ҳавотирдалар. Кўп давлатларнинг махсус хизматлари таҳмин қилинаётган қонунбузарларни асоссиз кузатувга олганликлари ва рақамли соҳадаги ваколатларидан ҳаддан ортиқ фойдаланганликлари сабабли танқид остида кўп қолмоқдалар. Бу борада уйларимиздаги “ақлли” қурилмаларимиз анчагина катта бўлган ҳажмдаги маълумотларни тақдим этмоқда. Мисол тариқасида АҚШнинг Арканзас штатида содир бўлган воқеани келтириб ўтамиз. Хонадон эгаси томонидан Amazon компаниясидан сотиб олинган ақлли колонка мудхиш қотилликнинг “гувоҳи”га айланди. Тергов олиб борувчилар ушбу қотилликни хонадон соҳиби содир этган деб ҳисобламоқдалар. Amazon Echo колонкаси овозли бошқарувга эга ва мувофиқ равишда уйда рўй бераётган барча нарсаларни эшитади ва ёзиб олади. Колонкадан ташқари
полиция ашёвий далил сифатида “ақлли уй”нинг бошқа қурилмаларидан ҳам фойдаланган: термостат, сигнализация тизими ва сув ўлчагичдан.

“Интернет буюмлар” билан боғлиқ муаммолар барчага маълум, бироқ уларнинг ечимини тезлик билан топишга ҳозирча имкон мавжуд эмас. Бунга қарамай, бу йўналишда силжишлар кузатилмоқда. Яқиндан бошлаб давлатлар ушбу мавзу билан жиддий шуғуллана бошладилар. Масалан, Россияда 2017 йилда индустриал интернетга оид норматив-ҳуқуқий базани яратиш бўйича ҳаракатлар бошлаб юборилди. Жумладан, ускуналар ва дастурий таъминот даражасида маълумотларни тўплаш инфратузилмасига талаблар ишлаб чиқилган ва маълумотларни тўплаш, ишлов бериш ва сақлаш тартиблари белгиланган. Америка ҳукумати ҳам борган сари IoT-қурилмаларига тегишли муаммолар билан кўпроқ шуғуллана бошлаган. Хусусан, АҚШнинг Ички хавфсизлики вазири ва Ички хавфсизлик департаменти ишлаб чиқарувчиларни қурилмаларни хавфсизликларини, юқорида келтириб ўтилган DNS-провайдерга уюштирилган DDoS-ҳужумдан сўнг максимал даражада таъминлашларига чақирдилар.