شهرهاي هوشمند در مقابل حمله‌هاي ساده آسيب‌پذير هستند

پيشرفت‌ استفاده از فناوري در شهرها، امري اجتناب‌ناپذير است و امروزه با سرعت بيشتري نسبت به گذشته در حال وقوع است. البته در ايران بيشتر كلان‌شهرها به‌كندي، از چنين روندي پيروي مي‌كنند و ردي از اين پديده‌ در شهرهاي كوچك‌تر ديده نمي‌شود. معمولا بهره‌گيري از فناوري‌هاي پيشرفته در شهرها، ميلياردها دلار هزينه در پي دارد كه بدون‌شك بايد موجب آسايش بيشتر شهروندان شود. مهم‌ نيست كه از چراغ‌هاي هوشمند داراي دوربين متصل به شبكه در چهارراه‌ها صحبت مي‌كنيم يا درباره‌ي حسگرهاي خورشيدي براي تشخيص آتش‌سوزي؛ همه‌ي آن‌ها بايد در جهت راحتي بيشتر انسان‌ها مورد استفاده قرار گيرند.

اما تمامي فناوري‌هاي پيشرفته و جديد، ريسك‌هاي جدي و غيرقابل اجتنابي نيز دارند. شهرهايي كه زيرساخت‌هاي متصل به شبكه دارند، هميشه در معرض حمله‌ي هكرها قرار خواهند گرفت. اين مسئله‌ در زندگي روزمره متخصصان نيز ديده مي‌شود و با افزايش تعداد دستگاه‌هاي متصل به اينترنت، سطح امنيت پايين‌تر مي‌‌آيد. وجود چنين خطر‌هايي پيرامون شهرهاي بزرگ موجب نگراني‌هاي بسيار بزرگ‌تري مي‌شود؛ زيرا به‌جاي يك متخصص يا خانواده، ميليون‌ها نفر از شهروندان در معرض آسيب قرار مي‌گيرند.

محققان امنيتي از دو مؤسسه IBM و Threatcare موفق به كشف ۱۷ آسيب‌پذيري جديد در فناوري‌هاي به‌‌كار رفته در چندين شهر گوناگون شدند. هكرها به كمك آسيب‌پذيري‌هاي موجود مي‌توانستند اقدام به ارسال پيام‌هاي هشدار غيرواقعي نمايند درحالي ‌كه هيچ خطري شهروندان را تهديد نمي‌كرده است. جنيفر سَوِيج، محقق امنيتي فعال در Threatcare و دنيل كرولي، سرپرست تيم تحقيقاتي در شاخه‌ي X-Force RED شركت IBM هستند كه تازه‌ترين يافته‌هاي خود پيرامون امنيت شهرهاي هوشمند را در كنفرانس هكرهاي كلاه سياه لاس‌وگاس بيان كردند. آن دو اذعان دارند كه شركت‌هاي سازنده در جريان جزئيات اشكال‌هاي امنيتي قرار دارند. همچنين شركت‌ها نيز مي‌گويند پچ‌هايي براي رفع اشكال عرضه كردند اما مشخص نيست كه مسئولان شهري اقدام به نصب آن‌ها كرده‌‌اند يا خير. بدون‌شك آسيب‌پذيري‌هاي بيشتري نيز وجود دارد كه تاكنون كشف نشده‌اند؛ مواردي كه هكرها بسيار سرسختانه به‌دنبال آن‌ها هستند.

بسياري از آسيب‌پذيري‌هاي كشف شده توسط اين دو محقق، به‌راحتي قابل كشف و استفاده هستند. به لطف استفاده از رمزهاي‌ عبور پيش‌فرض، تمام سيستم قابل كنترل خواهد بود و به دليل دسترسي همگان به شبكه مورد انديشه متخصصين، يافتن رخنه‌هاي امنيتي كار چندان دشواري به‌انديشه متخصصين نمي‌رسد. كرولي اظهار ‌مي‌دارد كه چنين راه‌هاي نفوذي بدون داشتن اطلاعات قبلي، قابل دسترسي هستند. اشكال اصلي دسترسي تمام دستگاه‌ها به اينترنت و امكان سوءاستفاده الكترونيك از آن‌ها است.

سه سيستم هوشمند شهري به‌كار رفته در آزمايش مذكور شامل Libelium ،Echelon و Battelle مي‌شود. سيستم‌هاي گفته شده به ترتيب براي تشخيص سيل در آرژانتين، كنترل روشنايي در فرانسه و پايش ترافيك در ماساچوست استفاده مي‌شود. Echelon آسيب‌پذيري‌هاي يافت‌شده را تأييد كرده است و خبر از اطلاع‌رساني به مشتريان خود براي نصب به‌روزرساني‌هاي ضروري مي‌دهد. سخنگوي ‌Battelle نيز ادعا دارد كه اقدام به بازطراحي رابط متخصصي خود كرده است تا اشكالات سيستم برطرف شود. Libelium نيز اقدام به ارائه به‌روزرساني امنيتي براي مشتريان خود كرده است اما از اظهار انديشه متخصصين بيشتر پيرامون اين مسئله خودداري مي‌كند.

به گفته خانم سويج، هكرها به‌كمك دسترسي به ابزارهاي كنترلي مي‌توانند موجب ايجاد ترس و وحشت در تمامي شهر شوند. به‌طور مثال پس از حمله هكرها به شهر دالاس در ايالت تگزاس توسط سيگنال‌هاي راديويي، آژيرهاي خطر مخصوص گردباد به صدا درآمدند. آن‌ها در تحقيق‌ خود متوجه شدند كه بسياري از دستگاه‌هاي مربوط به شهرهاي هوشمند در موتور جست‌وجوي Shodan قابل يافتن هستند. به‌كمك اين ابزار مي‌توان متوجه شد كه خريدار دستگاه‌ها، كدام سازمان بوده است يا اين‌ كه در كدام شهر نصب شدند و به چه منظوري مورد استفاده قرار مي‌گيرند. در موارد بسياري رمزعبور پيش‌فرض روي دستگاه‌ها وجود داشت و بهره‌‌بردن از آن‌ها به آساني امكان‌پذير بود. البته پژوهشگران به هيچ‌يك از زيرساخت‌هاي شهري واقعي براي آزمايش خود آسيبي وارد نكردند و هزاران دلار صرف خريداري نمونه‌هاي واقعي و جديد براي تحقيقات خود كردند.

شهرهاي هوشمند تحت حمله سايبري

شركت Battelle سرويسي به‌نام V2I Hub ارائه مي‌كند كه توسط سازمان كنترل بزرگراه‌ها مورد آزمايش قرار گرفته است اما گفته مي‌شود كه به‌صورت رسمي در جاده‌هاي عمومي استفاده نمي‌شود. اين سرويس اقدام به پايش ترافيك مي‌كند و مي‌تواند موقعيت‌ سيگنال خودروهاي متصل را نيز تشخيص دهد. هدف اصلي آن تشخيص تعداد خودروهاي موجود در سطح جاده و كمك به هدايت روان‌تر ترافيك است. اما اگر يك هكر به چنين ابزاري دسترسي داشته باشد مي‌تواند وضعيت ترافيك را بسيار دشوارتر از قبل كند.

كرولي و سويج توانستند در كار سيستم تشخيص سيل نيز اخلال ايجاد نمايند و بدون حتي يك قطره آب، هشدار مربوط به سيل را به‌صدا در بياورند. حسگرهاي شركت Libelium نقص‌هاي امنيتي بسيار جدي داشتند و امكان كنترل آن‌ها از طريق اينترنت وجود داشت. هكرها مي‌توانند در هنگام وقوع حادثه، اين سنسورها را غيرفعال نمايند تا هيچ‌گونه هشداري به شهروندان داده نشود. بدون‌شك چنين سيستم آسيب‌پذيري نبايد براي كارهاي بسيار مهم مورد استفاده قرار بگيرد. عواقب حمله سايبري به يك شهر هوشمند مي‌تواند ابعاد بسيار عظيمي داشته باشد و مسئولان يا شهروندان نيز بسيار ديرهنگام به وجود نقص پي خواهند برد.

پچ‌هاي امنيتي؛ تنها راه‌حل كنوني

‌با وجود تمام آسيب‌پذيري‌هاي گفته شده، نمي‌توان نقش مهم سيستم‌ها و حسگرهاي هوشمند را در بهبود وضعيت شهري انكار كرد. چنين ابزارهايي موجب مي‌شوند تا سرويس‌هاي ارائه شده به شهروندان بسيار بهينه‌تر عمل كنند. حسگرهاي تشخيص سيل مي‌توانند جان ميليون‌ها ساكن كلان‌شهرها را نجات دهند و سيستم كنترل خودكار روشنايي قادر است تا مصرف انرژي را به‌صورت چشمگيري كاهش دهد. اما وظيفه ناظران و مسئولان بسيار سنگين‌تر از گذشته شده است و بايد رسيدگي‌هاي سايبري لازم را براي به‌روز نگه‌داشتن سيستم‌هاي خود در سريع‌ترين زمان ممكن انجام دهند.

مايكل لي‌شروود، مدير فناوري و نوآوري شهر لاس‌وگاس، اعتقاد دارد كه امنيت در كنار ايمني عامل مهم‌ ديگري است كه امروزه براي سيستم‌هاي هوشمند كنترل شهري مطرح مي‌شود. وي ادعا دارد كه مسئولان اين شهر قبل از استفاده عمومي از فناوري‌هاي جديد هميشه به دنبال كشف آسيب‌پذيري‌هاي موجود در آن‌ها هستند. پيشنهاد او به ساير شهرها نيز اين است كه از روندي مشابه پيروي كنند تا شهر خود را در مقابل چنين حملاتي حفظ كنند. او مي‌گويد در آينده كلمه‌ي شهرهاي هوشمند به فراموشي سپرده خواهد شد و تمام فناوري‌هاي كنوني به‌عنوان زيرساخت‌هاي ضروري يك شهر شناخته مي‌شوند؛ اما هيچ‌گاه نياز به تأمين امنيت در شهرها از بين نخواهد رفت.

براي شروع، ناظران بايد گذرواژه‌ي سيستم‌هاي جديد نصب شده در شهرها را تغيير دهند. همچنين محدوديت‌هايي براي دسترسي به چنين ابزارهايي در انديشه متخصصين گرفته شود تا هركاربري نتواند از طريق اينترنت به آن‌ها نفوذ داشته باشد و به‌آساني نيز قابل مشاهده نباشند. وقتي هم نقص امنيتي در يك سيستم يافت مي‌شود، بهتر است مسئولان به‌جاي انكار، وجود آن‌ها را تأييد نمايند و در كمترين زمان ممكن نسبت به رفع آن‌ها اقدام كنند.