ভোক্তা IoT দুর্বলতা: যখন আন্তঃসংযোগ মানে ভাগ করা ঝুঁকি
ভোক্তা IoT দুর্বলতা: যখন আন্তঃসংযোগ মানে ভাগ করা ঝুঁকি
ভোক্তা IoT দুর্বলতা: যখন আন্তঃসংযোগ মানে ভাগ করা ঝুঁকি
- লেখক:
- জুলাই 5, 2023
অন্তর্দৃষ্টি হাইলাইট
ইন্টারনেট অফ থিংস (IoT) শিল্প উদ্ভাবন অব্যাহত রাখলেও, গ্রাহকরা ডিফল্ট ডিভাইস পাসওয়ার্ড আপডেট করতে অবহেলা করার কারণে এবং নির্মাতারা অ-পরীক্ষিত বৈশিষ্ট্যগুলি প্রবর্তন করার কারণে এটি উল্লেখযোগ্য সাইবার নিরাপত্তা সমস্যাগুলির সাথে ঝাঁপিয়ে পড়েছে। এই চ্যালেঞ্জগুলি জনসাধারণের দুর্বলতা প্রকাশের অভাব এবং কোম্পানিগুলির তাদের পরিচালনার জন্য একটি সুস্পষ্ট পরিকল্পনা না থাকার কারণে জটিল হয়েছে৷ যদিও ঝুঁকি ব্যবস্থাপনার কৌশল হিসাবে অ-প্রকাশ সংক্রান্ত চুক্তি, বাগ বাউন্টি প্রোগ্রাম এবং সমন্বিত দুর্বলতা প্রকাশ (CVD) এর কিছু ব্যবহার রয়েছে, তবে দুর্বলতা প্রকাশের নীতিগুলিকে শিল্প-ব্যাপী গ্রহণ কম রয়ে গেছে।
ভোক্তা IoT দুর্বলতার প্রসঙ্গ
যদিও হোম অ্যাসিস্ট্যান্ট এবং স্মার্ট সিকিউরিটি ক্যামেরার মতো ডিভাইসের সুবিধা রয়েছে, IoT শিল্পকে সাইবার নিরাপত্তার ক্ষেত্রে এখনও অনেক দূর যেতে হবে। ডিজাইন এবং অবকাঠামোগত অগ্রগতি সত্ত্বেও, এই ডিভাইসগুলি সাইবার আক্রমণের জন্য ঝুঁকিপূর্ণ থেকে যায়। এই সমস্যাটি আরও জটিল হয়েছে যে অনেক গ্রাহক তাদের ডিভাইসের অপারেটিং সিস্টেম আপগ্রেড করার জন্য সর্বোত্তম অনুশীলনগুলি জানেন না। IoT ম্যাগাজিন অনুসারে, সমস্ত IoT ডিভাইসের মালিকদের 15 শতাংশ ডিফল্ট পাসওয়ার্ড পরিবর্তন করেন না, যার অর্থ হ্যাকাররা শুধুমাত্র পাঁচটি ব্যবহারকারীর নাম এবং পাসওয়ার্ড সংমিশ্রণ সহ সমস্ত সম্পর্কিত ডিভাইসের 10 শতাংশ অ্যাক্সেস করতে পারে।
অন্যান্য নিরাপত্তা চ্যালেঞ্জগুলি কীভাবে এই ডিভাইসগুলি সেট আপ বা রক্ষণাবেক্ষণ করা হয় তার উপর ভিত্তি করে। যদি একটি মেশিন বা সফ্টওয়্যার অসুরক্ষিত থাকে-উদাহরণস্বরূপ, এটি নতুন নিরাপত্তা আপডেটের সাথে প্যাচ করা যাবে না বা শেষ-ব্যবহারকারীরা ডিফল্ট পাসওয়ার্ড পরিবর্তন করতে পারবেন না-এটি সহজেই একটি ভোক্তার হোম নেটওয়ার্ককে সাইবার আক্রমণে উন্মুক্ত করতে পারে। আরেকটি চ্যালেঞ্জ হল যখন একজন ডেভেলপার বন্ধ হয়ে যায়, এবং কেউ তাদের সফ্টওয়্যার বা প্ল্যাটফর্ম দখল করে না।
ইন্টারনেট অফ থিংস আক্রমণগুলি মেশিন বা অবকাঠামোর উপর নির্ভর করে পরিবর্তিত হয়। উদাহরণস্বরূপ, সফ্ট- বা ফার্মওয়্যার দুর্বলতা হ্যাকারদের বৈদ্যুতিক যানবাহনের (EVs) নিরাপত্তা ব্যবস্থাকে বাইপাস করার অনুমতি দিতে পারে। এদিকে, কিছু IoT নির্মাতারা প্রায়শই তাদের ডিভাইস বা ইন্টারফেসে পুঙ্খানুপুঙ্খভাবে পরীক্ষা না করেই নতুন বৈশিষ্ট্য যুক্ত করে। উদাহরণস্বরূপ, আপাতদৃষ্টিতে সহজ কিছু, যেমন একটি EV চার্জার, কম বা অতিরিক্ত চার্জে হ্যাক করা যেতে পারে, যার ফলে শারীরিক ক্ষতি হতে পারে।
বিঘ্নিত প্রভাব
IoT সিকিউরিটি ফাউন্ডেশন দ্বারা পরিচালিত 2020 সালের একটি সমীক্ষা অনুসারে, IoT নির্মাতারা যথেষ্ট কাজ করছে না এমন একটি ক্ষেত্র জনসাধারণের দুর্বলতা প্রকাশ প্রদান করছে। IoT-এর সাথে সংযুক্ত ডিভাইসগুলির নিরাপত্তার উন্নতি করার একটি মূল উপায় হল গবেষকদের দুর্বলতাগুলি সরাসরি নির্মাতাদের কাছে রিপোর্ট করা সহজ করে তোলে। একই সময়ে, কোম্পানিগুলিকে যোগাযোগ করতে হবে যে এই উদ্বেগগুলি চিহ্নিত হয়ে গেলে তারা কীভাবে প্রতিক্রিয়া জানাবে এবং সফ্টওয়্যার প্যাচ বা অন্যান্য সংশোধনের জন্য কোন সময়সীমা আশা করা যেতে পারে।
উদীয়মান সাইবার নিরাপত্তা হুমকি মোকাবেলা করার জন্য, কিছু ব্যবসা অ-প্রকাশ চুক্তির উপর নির্ভর করে। অন্যরা বাগ বাউন্টি দিয়ে গবেষকদের প্রলুব্ধ করে (যেমন, আবিষ্কৃত দুর্বলতার জন্য অর্থ প্রদান)। এছাড়াও বিশেষায়িত পরিষেবা রয়েছে যা ফার্মগুলি প্রকাশ এবং বাগ বাউন্টি প্রোগ্রামগুলি পরিচালনা করতে ধরে রাখতে পারে। ঝুঁকি ব্যবস্থাপনার আরেকটি কৌশল হল সমন্বিত দুর্বলতা প্রকাশ (CVD), যেখানে প্রযোজক এবং গবেষক একটি সমস্যা সমাধানের জন্য একসাথে কাজ করে এবং তারপরে ব্যবহারকারীদের সম্ভাব্য ক্ষতি কমাতে একই সাথে ফিক্স এবং দুর্বলতার প্রতিবেদন প্রকাশ করে।
দুর্ভাগ্যবশত, কিছু কোম্পানির প্রকাশ পরিচালনার জন্য কোন পরিকল্পনা নেই। যদিও দুর্বলতা প্রকাশের নীতি সহ সংস্থাগুলির সংখ্যা 13.3 সালে 2019 শতাংশে উন্নীত হয়েছে 9.7 সালে 2018 শতাংশ থেকে, শিল্প গ্রহণ সাধারণত কম (2022) থেকে যায়। সৌভাগ্যবশত, প্রকাশের নীতি বাধ্যতামূলক করে ক্রমবর্ধমান প্রবিধান রয়েছে। 2020 সালে, মার্কিন সরকার ইন্টারনেট অফ থিংস সাইবারসিকিউরিটি ইমপ্রুভমেন্ট অ্যাক্ট পাস করেছে, যাতে IoT প্রদানকারীদের ফেডারেল এজেন্সির কাছে বিক্রি করার আগে দুর্বল প্রকাশের নীতি থাকা প্রয়োজন।
ভোক্তা IoT দুর্বলতার প্রভাব
ভোক্তা IoT দুর্বলতার ব্যাপক প্রভাব অন্তর্ভুক্ত হতে পারে:
- সরকার IoT নির্মাতাদের ডিসক্লোজার নীতি এবং কঠোর ও স্বচ্ছ পরীক্ষার জন্য নিয়ন্ত্রণ করে।
- আরও প্রযুক্তি সংস্থাগুলি সাধারণ মানগুলির সাথে সম্মত হওয়ার জন্য অ্যাসোসিয়েশন গঠন করে এবং ইউনিফাইড সাইবারসিকিউরিটি প্রোটোকল তৈরি করে যা ডিভাইসগুলিকে আন্তঃচালনাযোগ্য এবং ক্রমবর্ধমান সুরক্ষিত করে তুলতে পারে।
- স্মার্টফোন এবং অন্যান্য ব্যক্তিগত ভোক্তা ডিভাইসগুলি সাইবার নিরাপত্তা বাড়ানোর জন্য উন্নত মাল্টি-ফ্যাক্টর প্রমাণীকরণ এবং বায়োমেট্রিক সনাক্তকরণ কার্যকর করে।
- ডিজিটাল হাইজ্যাকিং প্রতিরোধে বৈদ্যুতিক এবং স্বায়ত্তশাসিত যানবাহন সাইবার নিরাপত্তায় বর্ধিত বিনিয়োগ।
- আরও গোপনীয় আক্রমণ, যেখানে অপরাধীরা এনক্রিপ্ট না করা যোগাযোগ চ্যানেলগুলি দখল করে; এই অপরাধ প্রবণতার ফলে আরও বেশি গ্রাহক এনক্রিপ্টেড মেসেজিং অ্যাপ (EMAs) পছন্দ করতে পারে।
- সামাজিক প্রকৌশল আক্রমণের আরও ঘটনা যা দুর্বল পাসওয়ার্ড সুরক্ষার সুবিধা নেয়, বিশেষত পুরানো ডিভাইসগুলির ব্যবহারকারীদের মধ্যে।
মন্তব্য করার জন্য প্রশ্ন
- আপনি কিভাবে নিশ্চিত করবেন যে আপনার IoT ডিভাইসগুলি ভালভাবে সুরক্ষিত আছে?
- অন্য কোন উপায়ে গ্রাহকরা তাদের IoT ডিভাইসের নিরাপত্তা বাড়াতে পারে?
অন্তর্দৃষ্টি রেফারেন্স
এই অন্তর্দৃষ্টির জন্য নিম্নলিখিত জনপ্রিয় এবং প্রাতিষ্ঠানিক লিঙ্কগুলি উল্লেখ করা হয়েছে:
