सुरक्षा जाल: औद्योगिक उपयोग में पुराने और भूले हुए IoT डिवाइस। सात साल पुरानी भेद्यताएं अभी भी चालू हैं और पैच नहीं की गई हैं। सुरक्षा विशेषज्ञ थॉमस उहलेमैन, ईएसईटी की एक टिप्पणी।
इंटरनेट ऑफ थिंग्स (IoT) जर्मन उद्योग में लंबे समय से स्थापित है। स्टेटिस्टा सर्वेक्षण के अनुसार, सर्वेक्षण में शामिल सभी कंपनियों में से दो तिहाई पहले से ही उद्योग 4.0 अनुप्रयोगों का उपयोग कर रही हैं। लेकिन ऑपरेटर उपकरणों की आईटी सुरक्षा को इतनी गंभीरता से नहीं लेते हैं: सुरक्षा विशेषज्ञ थॉमस उहलेमैन के पास इस तथ्य के लिए कोई अन्य स्पष्टीकरण नहीं है कि हैकर्स सात साल या उससे अधिक समय से ज्ञात सुरक्षा अंतराल का फायदा उठाकर सफल रहे हैं। वास्तव में, IoT उपकरणों के लिए ESET की शीर्ष 10 भेद्यताएं सभी 2015-2012 से लीक हैं।
पैच न किया गया: IoT पर सदियों पुराना लीक
"इंटरनेट ऑफ थिंग्स कंपनियों को अकल्पनीय नई संभावनाएं प्रदान करता है। लेकिन यदि आप ज्ञात कमजोरियों को वर्षों तक पैच नहीं करते हैं, तो आप जितना चाहते हैं उससे अधिक खोने का जोखिम उठाते हैं," ईएसईटी जर्मनी के सुरक्षा विशेषज्ञ उहलेमैन कहते हैं। “उसके शीर्ष पर, फ्रिट्ज जैसे पुराने आईटी दिग्गज! फैक्स अभी भी उपयोग में हैं, संभवतः अप्रकाशित हैं। अकेले जर्मनी में, 3 लाख से अधिक अभी भी सक्रिय रूप से उपयोग किए जा रहे हैं।"
लेकिन उपकरणों की सुरक्षा अक्सर वांछित होने के लिए बहुत कुछ छोड़ देती है। उपयोगकर्ता नाम और पासवर्ड के संयोजन के माध्यम से उनकी पहुंच तक पहुंचा जा सकता है - आधुनिक बहु-कारक प्रमाणीकरण का कोई निशान नहीं है। यह वास्तव में चिंताजनक हो जाता है जब आप यहां सबसे खराब प्रमाणीकरणों में से कौन से मिलते हैं:
"दुनिया भर में हैकर हमलों की वर्तमान सफलताओं के साथ, शून्य विश्वास सुरक्षा दिन का क्रम होना चाहिए। यही कारण है कि प्रत्येक भेद्यता को अत्यावश्यकता के रूप में बंद किया जाना चाहिए, विशेष रूप से IoT उपकरणों में, "थॉमस उहलेमैन की सिफारिश करते हैं।
विशेष त्रुटि समूह
मूल रूप से, विशेषज्ञ चार गंभीर त्रुटि समूहों को देखते हैं जो इंटरनेट ऑफ थिंग्स के उपयोग को इतना समस्याग्रस्त बनाते हैं:
- IoT उपकरणों के डिजाइन में पहले से ही सुरक्षा मुद्दे
- मनुष्यों द्वारा गलत संचालन या स्थापना
- सुरक्षा और डेटा सुरक्षा कानून की दृष्टि से संदिग्ध ऐप्स का उपयोग
- अवांछित या अनजान डेटा डिवाइस से इंटरनेट पर स्थानांतरित होता है
"संभावित सुरक्षा लीक के अलावा, कई औद्योगिक IoT डिवाइस समय के साथ खतरनाक हो जाते हैं। क्योंकि उनका सेवा जीवन वर्षों या दशकों के लिए डिज़ाइन किया गया है - और दुर्भाग्य से सुरक्षा के मामले में बहुत कुछ होता है। इस संबंध में, प्रत्येक कंपनी को ध्यान से सोचना चाहिए कि क्या और कैसे इन उपकरणों को सक्रिय नेटवर्क में इंटरनेट से जोड़ा जाए, ”आईटी विशेषज्ञ कहते हैं। इसका उनका पसंदीदा उदाहरण व्यापक रूप से उपयोग किया जाने वाला वेब कैमरा है। हालांकि इसका उपयोग बड़े पैमाने पर उत्पादक कार्यों में नहीं किया जाता है, यह लंबी सेवा जीवन वाले उपकरणों का प्रतीक है। कई अभी भी कंपनी से लाइव वीडियो इंटरनेट पर प्रसारित करते हैं - शायद इसके बारे में भूल भी गए। इस पर क्लिक करने से आप अक्सर कैम्स के एडमिन इंटरफेस पर पहुंच जाते हैं। यहां तक कि अगर आप लॉग इन नहीं करना चाहते हैं, तो हमलावर बहुमूल्य जानकारी सीखता है, जैसे कि सार्वजनिक आईपी पता या क्या और किस नेटवर्क सेगमेंट में कैमरा स्थित है।
भूले हुए उपकरण एक सुरक्षा जोखिम हैं
संक्षेप में: भूले हुए या गैर-सूचीबद्ध डिवाइस एक बड़ा सुरक्षा जोखिम पैदा करते हैं। संयोग से, ऐसा बहुत बार होता है जब परियोजनाओं को रद्द कर दिया जाता है या कंपनियों को बेच दिया जाता है। तब यह उपकरण पृष्ठभूमि में चला जाता है और केवल बाद में एक सुरक्षा बम बन जाता है।
IoT उपकरणों के साथ व्यवहार करते समय कंपनियों को इस पर विचार करना चाहिए:
- इन्वेंट्री सॉफ़्टवेयर का उपयोग करें
- नेटवर्क सेगमेंट का प्रयोग करें
- सुरक्षित पहुंच का प्रयोग करें
- सेंसर, एक्चुएटर्स और जैसे सर्वर और पीसी के समान ही महत्वपूर्ण हैं
- अपडेट करें, अपडेट करें, अपडेट करें
- डिजाइन में सुरक्षा
- अतिरिक्त सुरक्षा सॉफ़्टवेयर का उपयोग करें
सुरक्षा ब्लॉग में, विशेषज्ञ यह भी बताता है कि अभी भी कौन से खतरे छिपे हुए हैं, किन कंपनियों को इसके बारे में पता होना चाहिए और वे अपनी मदद कैसे कर सकते हैं।
ESET.com पर अधिक
ईएसईटी के बारे में ESET एक यूरोपीय कंपनी है जिसका मुख्यालय ब्रातिस्लावा (स्लोवाकिया) में है। 1987 से, ईएसईटी पुरस्कार विजेता सुरक्षा सॉफ्टवेयर विकसित कर रहा है जिसने पहले ही 100 मिलियन से अधिक उपयोगकर्ताओं को सुरक्षित तकनीकों का आनंद लेने में मदद की है। सुरक्षा उत्पादों के व्यापक पोर्टफोलियो में सभी प्रमुख प्लेटफॉर्म शामिल हैं और दुनिया भर में व्यवसायों और उपभोक्ताओं को प्रदर्शन और सक्रिय सुरक्षा के बीच सही संतुलन प्रदान करता है। जेना, सैन डिएगो, सिंगापुर और ब्यूनस आयर्स में 180 से अधिक देशों और कार्यालयों में कंपनी का वैश्विक बिक्री नेटवर्क है। अधिक जानकारी के लिए www.eset.de पर जाएं या हमें LinkedIn, Facebook और Twitter पर फ़ॉलो करें।