Blockchain

דרכים שבהן שיפור הפרטיות של Blockchain יכול לבנות אמון במערכות אקולוגיות של IoT

לפני 7 חודשים
חדשות Ethereum של ביטקוין

כשאנחנו מדברים על האינטרנט של הדברים (מערכות אקולוגיות של IoT), אנחנו מתכוונים לרשת עצומה של גאדג'טים והתקנים שונים שמצ'טים זה עם זה. דמיין את המקרר החכם שלך שולח הודעה לסמארטפון כדי לומר לך שנגמר לך החלב או שהתרמוסטט החכם שלך מכוון את טמפרטורת החדר בהתאם להעדפותיך. נשמע עתידני, נכון?

אבל הנה הקאץ': המכשירים האלה, מתקדמים ככל שהם נשמעים, אינם חזקים או בעלי תושייה כמו המחשבים שבהם אנו משתמשים מדי יום. הם כמו שליחים זעירים עם אנרגיה מוגבלת, תמיד בדרכים.

מדוע מכשירי IoT שונים מהמחשב הרגיל שלך

  • משאבים מוגבלים: בניגוד לשרתים או למחשבים הגדולים והחזקים שאנו רגילים אליהם, למכשירי IoT יש לעתים קרובות רק מעט זיכרון וכוח עיבוד.
  • ערוצי תקשורת שונים: במקום הערוצים המאובטחים יותר שהמחשבים שלנו משתמשים בהם, התקני IoT מתקשרים לעתים קרובות בערוצים אלחוטיים פחות מאובטחים, כמו ZigBee או LoRa. תחשוב על זה כמו לבחור מנעול אופניים דק במקום חסון.
  • שפה ופונקציות ייחודיות: כל מכשיר IoT הוא כמו אדם ייחודי. יש להם את הפונקציות שלהם, והם מתקשרים בדרכים שלהם. זה כמו שיש אנשים רבים ממדינות שונות, כל אחד מדבר בשפה שלו, מנסה לנהל שיחה. זה מקשה על יצירת פרוטוקול אבטחה אחד המתאים לכולם.

מדוע זו בעיה?

ובכן, בגלל האתגרים הייחודיים הללו, מכשירי IoT יכולים להיות מטרות קלות להתקפות סייבר. זה קצת כמו עיר. ככל שהעיר גדולה יותר, כך יש יותר הזדמנויות למשהו להשתבש. ובדיוק כמו בעיר גדולה עם הרבה סוגים שונים של אנשים, מכשירי IoT מחברות שונות צריכים למצוא דרכים לדבר אחד עם השני. לפעמים, זה דורש מתווך, צד שלישי מהימן, שיעזור להם להבין אחד את השני.

יתר על כן, מכיוון שמכשירים אלה מוגבלים בכוחם, הם אינם מצוידים באותה מידה כדי להגן מפני איומי סייבר מתוחכמים. זה כמו לשלוח מישהו עם קלע כדי להדוף צבא מודרני.

פירוק נקודות התורפה

ניתן לפצל פגיעות IoT לשתי קטגוריות עיקריות

  • פגיעויות ספציפיות ל-IoT: בעיות כמו התקפות ניקוז הסוללה, אתגרים עם סטנדרטיזציה או בעיות אמון שייכות לכאן. תחשוב עליהם כעל בעיות שרק המכשירים האלה מתמודדים עם.
  • פגיעויות נפוצות: אלו בעיות שהועברו בירושה מעולם האינטרנט הגדול. הבעיות האופייניות להתמודדות עם רוב המכשירים המקוונים.

הבנת איומי אבטחה ב-IoT

כשצוללים לעולם אבטחת הסייבר, במיוחד בתחום ה-IoT (האינטרנט של הדברים), מקובל לשמוע על שלישיית ה-CIA. זה לא מתייחס לסוכנות סודית אלא מייצג סודיות, יושרה וזמינות. אלו שלושה עקרונות העומדים בבסיס רוב אבטחת הסייבר.

הראשון, סודיות, נוגע להבטיח שהנתונים הפרטיים שלך יישארו בדיוק זה: פרטיים. תחשוב על זה כמו יומן שאתה מנהל מתחת למיטה שלך. רק לך (ואולי כמה מהימנים) אמור להיות המפתח. בעולם הדיגיטלי, זה מתורגם למידע אישי, תמונות או אפילו צ'אט שאתה מנהל עם חבר במכשיר חכם.

יושרה, לעומת זאת, היא להבטיח שכל מה שכתבת ביומן ההוא יישאר כפי שהשארת אותו. המשמעות היא שהנתונים שלך, בין אם הם הודעה, סרטון או מסמך, אינם משתנים על ידי מישהו אחר ללא ידיעתך.

לבסוף, יש זמינות. עיקרון זה דומה לכך שהיומן שלך תמיד יהיה זמין כשאתה רוצה לרשום את המחשבות שלך. בתחום הדיגיטלי, זה יכול להיות גישה לאתר בעת הצורך או אחזור הגדרות הבית החכם שלך מהענן.

עם העקרונות האלה בחשבון, בואו נעמיק יותר באיומים העומדים בפני IoT. כשזה מגיע ל-IoT, המכשירים היומיומיים שלנו, כמו מקררים, תרמוסטטים ואפילו מכוניות, מחוברים זה לזה. ולמרות שהקישוריות הזו מביאה נוחות, היא גם מביאה לנקודות תורפה ייחודיות.

איום נפוץ הוא מתקפת מניעת שירות (DoS). דמיינו את זה: אתם בהופעה, ואתם מנסים לעבור דרך דלת, אבל קבוצת קונדסים ממשיכה לחסום את הדרך, לא נותנת לאף אחד לעבור. זה מה ש-DoS עושה לרשתות. זה מציף אותם בבקשות מזויפות כך שמשתמשים אמיתיים כמוך וכמוני לא יכולים להיכנס. גרסה מאיימת יותר היא ה-Distributed DoS (DDoS) שבה לא רק קבוצה אחת חוסמת את הדלת אלא מספר קבוצות שחוסמות מספר דלתות בו זמנית .

איום ערמומי נוסף הוא מתקפת ה-Man-in-the-Middle (MiTM). זה דומה למישהו שמאזין בסתר לשיחת הטלפון שלך, ולפעמים אפילו מעמיד פנים שהוא האדם שאתה חושב שאתה מדבר איתו. במרחב הדיגיטלי, התוקפים הללו מעבירים בסתר ואף עשויים לשנות את התקשורת בין שני צדדים.

אז יש לנו תוכנות זדוניות, המקבילה הדיגיטלית של וירוס הצטננות, אבל לעתים קרובות עם כוונות מזיקות יותר. אלו תוכנות שנועדו לחדור ולפעמים להזיק למכשירים שלנו. ככל שהעולם שלנו מתמלא ביותר מכשירים חכמים, הסיכון להדבקות בתוכנות זדוניות גדל.

אבל הנה השער הכסוף: ככל שהאיומים הללו נשמעים רבים, מומחים ברחבי העולם פועלים ללא לאות כדי להילחם בהם. הם משתמשים בטכניקות מתקדמות, כמו בינה מלאכותית, כדי לזהות ולנטרל את ההתקפות הללו. הם גם משכללים את האופן שבו המכשירים שלנו מתקשרים, ומבטיחים שהם יכולים לזהות ולבטוח זה בזה באמת. לכן, בעוד שלעידן הדיגיטלי יש אתגרים שלו, אנחנו לא מנווטים אותם בעיניים מכוסות.

פרטיות 

מלבד איומי האבטחה שהוזכרו לעיל, מכשירי ה-IoT והנתונים שהם מטפלים בהם עומדים בפני סיכונים הקשורים לפרטיות, כולל רחרוח נתונים, חשיפת נתונים אנונימיים (דה-אנונימיזציה), והסקת מסקנות על סמך הנתונים הללו (התקפות היסק). התקפות אלו מכוונות בעיקר לסודיות של נתונים, ללא קשר אם הם מאוחסנים או מועברים. סעיף זה בוחן את איומי הפרטיות הללו בפירוט.

MiTM בהקשר פרטיות

מוצע שניתן לחלק את התקפות MiTM לשתי קטגוריות: Active MiTM Attacks (AMA) והתקפות MiTM Passive (PMA). התקפות MiTM פסיביות כוללות ניטור דיסקרטי של חילופי הנתונים בין מכשירים. ייתכן שהתקפות אלו לא יפגעו בנתונים, אך הן עלולות לפגוע בפרטיות. שקול מישהו עם יכולת לפקח בחשאי על מכשיר; הם יכולים לעשות זאת לתקופה ממושכת לפני שיגרמו להתקפה. בהתחשב בשכיחותן של מצלמות במכשירי IoT, החל מצעצועים ועד סמארטפונים וחפצים לבישים, ההשלכות הפוטנציאליות של התקפות פסיביות, כמו האזנה או רחרוח נתונים, הן משמעותיות. לעומת זאת, התקפות MiTM אקטיביות ממלאות תפקיד ישיר יותר, תוך שימוש בנתונים הנרכשים כדי לתקשר באופן מטעה עם משתמש או לגשת לפרופילי משתמש ללא רשות.

פרטיות נתונים ודאגותיה

בדומה למסגרת MiTM, ניתן לסווג איומי פרטיות נתונים גם ל-Active Data Privacy Attacks (ADPA) ו-Passive Data Privacy Attacks (PDPA). דאגות סביב פרטיות הנתונים נוגעות לנושאים כמו דליפת נתונים, שינויים לא מורשים בנתונים (שיבוש נתונים), גניבת זהות ותהליך חשיפת נתונים אנונימיים לכאורה (זיהוי מחדש). באופן ספציפי, התקפות זיהוי מחדש, המכונה לעתים התקפות מסקנות, סובבות סביב שיטות כמו דה-אנונימיזציה, איתור מיקומים וצבירת נתונים ממקורות שונים. מטרת הליבה של התקפות כאלה היא לאסוף נתונים ממקומות שונים כדי לחשוף את זהותו של אדם. הנתונים המאוגדים האלה עשויים לשמש כדי להתחזות לאדם היעד. התקפות שמשנות ישירות נתונים, כמו שיבוש נתונים, נופלות לקטגוריית ADPA, בעוד שהתקפות הקשורות לזיהוי מחדש או דליפת נתונים נחשבות ל-PDPA.

בלוקצ'יין כפתרון פוטנציאלי

בלוקצ'יין, המקובל בדרך כלל כ-BC, היא רשת עמידה המאופיינת בשקיפות שלה, סובלנות לתקלות ויכולת אימות וביקורת. לעתים קרובות מתוארים במונחים כמו מבוזר, עמית-לעמית (P2P), שקוף, חסר אמון ובלתי ניתן לשינוי, בלוקצ'יין בולט כחלופה אמינה בהשוואה לדגמי שרת-לקוח מרכזיים מסורתיים. תכונה בולטת בתוך הבלוקצ'יין היא "החוזה החכם", חוזה לביצוע עצמי שבו תנאי ההסכם או התנאים נכתבים בקוד. העיצוב המובנה של הבלוקצ'יין מבטיח שלמות ואותנטיות נתונים, ומציג הגנה חזקה מפני שיבוש נתונים במכשירי IoT.

מאמצים לחיזוק האבטחה

אסטרטגיות שונות מבוססות בלוקצ'יין הוצעו למגזרים מגוונים כמו שרשרות אספקה, ניהול זהות וגישה, ובמיוחד, IoT. עם זאת, חלק מהדגמים הקיימים אינם מצליחים לכבד את מגבלות הזמן ואינם מותאמים למכשירי IoT מוגבלים במשאבים. לעומת זאת, מחקרים מסוימים התמקדו בעיקר בשיפור זמן התגובה של מכשירי IoT, תוך התעלמות משיקולי אבטחה ופרטיות. מחקר של Machado ועמיתיו הציג ארכיטקטורת בלוקצ'יין המחולקת לשלושה מקטעים: IoT, Fog ו-Cloud. מבנה זה הדגיש ביסוס אמון בין מכשירי IoT תוך שימוש בפרוטוקולים המבוססים על שיטות הוכחה, מה שהוביל לשלמות הנתונים ולאמצעי אבטחה כגון ניהול מפתחות. עם זאת, מחקרים אלה לא התייחסו ישירות לדאגות הפרטיות של המשתמשים.

מחקר אחר בחן את המושג "DroneChain", שהתמקד בשלמות הנתונים עבור רחפנים על ידי אבטחת נתונים באמצעות בלוקצ'יין ציבורי. למרות ששיטה זו הבטיחה מערכת חזקה ואחראית, היא השתמשה בהוכחת עבודה (PoW), שאולי אינה אידיאלית עבור יישומי IoT בזמן אמת, במיוחד רחפנים. בנוסף, המודל חסר תכונות כדי להבטיח מקור נתונים ואבטחה כוללת למשתמשים.

Blockchain כמגן למכשירי IoT

ככל שהטכנולוגיה ממשיכה להתקדם, הרגישות של מערכות להתקפות, כגון התקפות מניעת שירות (DoS), עולה. עם ריבוי מכשירי IoT במחירים סבירים, התוקפים יכולים לשלוט במכשירים מרובים כדי להפעיל התקפות סייבר אדירות. רשת מוגדרת תוכנה (SDN), למרות שהיא מהפכנית, יכולה להיפגע באמצעות תוכנה זדונית, מה שהופך אותה לפגיעה להתקפות שונות. כמה חוקרים דוגלים בשימוש בבלוקצ'יין כדי להגן על מכשירי IoT מפני איומים אלה, תוך שהם מציינים את אופיו המבוזר והעמיד בפני חבלה. ובכל זאת, ראוי לציין שרבים מהפתרונות הללו נשארים תיאורטיים, חסרי יישום מעשי.

מחקרים נוספים נועדו לטפל בפגמי האבטחה במגזרים שונים באמצעות בלוקצ'יין. לדוגמה, כדי לנטרל מניפולציה אפשרית במערכת רשת חכמה, מחקר אחד הציע שימוש בהעברת נתונים קריפטוגרפיים בשילוב עם בלוקצ'יין. מחקר אחר דגל במערכת הוכחת מסירה באמצעות בלוקצ'יין, וייעל את התהליך הלוגיסטי. מערכת זו הוכיחה עמידה בפני התקפות נפוצות כמו MiTM ו-DoS, אך היו לה חסרונות בניהול זהות המשתמש ופרטיות הנתונים.

ארכיטקטורת ענן מבוזרת

בנוסף להתמודדות עם אתגרי אבטחה מוכרים כמו שלמות נתונים, MiTM ו-DoS, מספר מאמצי מחקר חקרו פתרונות רב-פנים. לדוגמה, עבודת מחקר של שארמה והצוות הציגו טכניקת בלוקצ'יין חסכונית, מאובטחת וזמינה תמיד לארכיטקטורת ענן מבוזרת, תוך שימת דגש על אבטחה והפחתת עיכובי שידור. עם זאת, היו תחומי פיקוח, כולל פרטיות נתונים וניהול מפתחות.

נושא חוזר במחקרים אלה הוא השימוש הנפוץ ב-PoW כמנגנון הקונצנזוס, שאולי אינו היעיל ביותר עבור יישומי IoT בזמן אמת בשל אופיו עתיר האנרגיה. יתר על כן, חלק ניכר מהפתרונות הללו התעלמו מהיבטים חיוניים כמו אנונימיות המשתמש ושלמות נתונים מקיפה.

אתגרים של יישום בלוקצ'יין ב-IoT

עיכוב ויעילות

בעוד שטכנולוגיית הבלוקצ'יין (BC) קיימת כבר למעלה מעשר שנים, היתרונות האמיתיים שלה נוצלו רק לאחרונה. יוזמות רבות מתבצעות לשילוב BC בתחומים כמו לוגיסטיקה, מזון, רשתות חכמות, VANET, 5G, שירותי בריאות וחישת המונים. עם זאת, הפתרונות הרווחים אינם מתייחסים לעיכוב המובנה של BC ואינם מתאימים למכשירי IoT עם משאבים מוגבלים. מנגנון הקונצנזוס השולט ב-BC הוא הוכחת עבודה (PoW). PoW, למרות השימוש הנרחב שלו, הוא איטי יחסית (מעבד רק שבע עסקאות בשנייה בניגוד לממוצע של Visa של אלפיים לשנייה) והוא עתיר אנרגיה.

חישוב, טיפול בנתונים ואחסון

הפעלת BC דורשת משאבי חישוב משמעותיים, אנרגיה וזיכרון, במיוחד כאשר היא מפוזרת על פני רשת עמיתים ענקית. כפי שהודגש על ידי Song וחב', עד מאי 2018, גודל ספר החשבונות של הביטקוין עלה על 196 GB. אילוצים כאלה מעוררים חששות לגבי מדרגיות ומהירות עסקאות עבור מכשירי IoT. פתרון אפשרי אחד יכול להיות האצלת משימות החישוב שלהם לעננים מרכזיים או שרתי ערפל מבוזרים למחצה, אבל זה מביא עיכובים נוספים ברשת.

אחידות ותקינה

כמו כל הטכנולוגיות המתהוות, הסטנדרטיזציה של BC היא אתגר שעשוי לדרוש התאמות חקיקה. אבטחת סייבר נותרה אתגר אדיר, וזה אופטימי מדי לצפות לתקן אחד שיכול להפחית את כל הסיכונים של איומי סייבר נגד מכשירי IoT בעתיד הקרוב. עם זאת, תקן אבטחה יכול להבטיח שמכשירים עומדים במדדי אבטחה ופרטיות מקובלים מסוימים. כל מכשיר IoT צריך להכיל מגוון של תכונות אבטחה ופרטיות חיוניות.

דאגות ביטחוניות

למרות ש-BC מאופיינת בהיותה בלתי ניתנת לשינוי, נטולת אמון, מבוזרת ועמידה בפני שיבוש, האבטחה של מערך מבוסס בלוקצ'יין חזק רק כמו נקודת הכניסה שלו. במערכות הבנויות על BC ציבורי, כל אחד יכול לגשת ולבדוק את הנתונים. בעוד ש-blockchains פרטיים יכולים להיות תרופה לכך, הם מציגים אתגרים חדשים כמו הסתמכות על מתווך מהימן, ריכוזיות ובעיות חקיקה סביב בקרת גישה. ביסודו של דבר, פתרונות IoT מבוססי בלוקצ'יין חייבים לעמוד בקריטריוני אבטחה ופרטיות. אלה כוללים הבטחת אחסון נתונים בהתאמה לצרכי סודיות ויושרה; הבטחת העברת נתונים מאובטחת; הקלה על שיתוף נתונים שקוף, מאובטח ואחראי; שמירה על אותנטיות ואי-מחלוקת; הבטחת פלטפורמה המאפשרת חשיפה סלקטיבית של נתונים; ותמיד קבלת הסכמת שיתוף מפורשת מהגורמים המשתתפים.

סיכום

Blockchain, טכנולוגיה בעלת פוטנציאל והבטחה עצומים, הוכרזה ככלי טרנספורמטיבי עבור מגזרים שונים, כולל הנוף העצום והמתפתח של האינטרנט של הדברים (IoT). עם אופיו המבוזר, בלוקצ'יין יכול לספק אבטחה משופרת, שקיפות ועקיבות - תכונות נחשקות מאוד ביישומי IoT. עם זאת, כמו בכל היתוך טכנולוגי, השילוב של בלוקצ'יין עם IoT לא מגיע ללא אתגרים. מבעיות הקשורות למהירות, חישוב ואחסון, ועד לצורך הדוחק בסטנדרטיזציה וטיפול בנקודות תורפה, ישנם היבטים מרובים שדורשים תשומת לב. זה חיוני לבעלי עניין הן במערכות האקולוגיות של הבלוקצ'יין והן ב-IoT להתמודד עם אתגרים אלה בשיתוף פעולה וחדשני כדי לרתום באופן מלא את הפוטנציאל הסינרגטי של איחוד זה.

מקור: https://www.cryptopolitan.com/blockchain-can-build-trust-in-iot-ecosystems/