Миний ухаалаг нойрны маск хэрэглэгчдийн тархины долгионыг нээлттэй MQTT брокер руу дамжуулдаг

Тархины долгионы үйл ажиллагааг хянадаг ухаалаг нойрны маскууд нь EEG дохиог баталгаажуулаагүй, олон нийтэд нээлттэй MQTT брокеруудад дамжуулж, интернетэд байгаа хэн бүхэнд мэдрэлийн мэдрэлийн мэдрэмтгий мэдээллийг ил болгож байна. Энэ нь онолын эрсдэл биш бөгөөд энэ нь зүүдэг технологийн түүхэн дэх хамгийн нууц мэдээлэл алдагдсаны нэг болох хэрэглэгчийн IoT эрүүл мэндийн төхөөрөмжүүдийн баримтжуулсан загвар юм.

Таны нойрны маск тархины долгионыг цацахад яг юу болж байна вэ?

MQTT (Message Queuing Telemetry Transport) нь бага зурвасын өргөнтэй IoT орчинд зориулагдсан хөнгөн мессежийн протокол юм. Энэ нь нийтлэх/захиалах загвар дээр ажилладаг: төхөөрөмж нь брокер дээрх "сэдэв" рүү өгөгдлийг нийтэлдэг бөгөөд ямар ч захиалагч тухайн сэдвийг бодит цагт унших боломжтой. Архитектур нь үр ашигтай бөгөөд гоёмсог боловч брокер нь баталгаажуулалт шаарддаггүй тохиолдолд гамшигт аюултай.

Бясалгал, тунгалаг зүүдлэх, нойрыг оновчтой болгоход зориулагдсан төхөөрөмжүүд зэрэг хэрэглэгчийн түвшний хэд хэдэн ухаалаг нойрны маск нь дельта, тета, альфа, бета, гамма зурвасын тархины долгионы давтамжийг авахын тулд суулгасан EEG мэдрэгчийг ашигладаг. Энэ өгөгдлийг үүлэн брокерууд руу тасралтгүй дамжуулдаг. Эдгээр брокеруудыг нээлттэй орхисон тохиолдолд хэрэглэгчийн нэр, нууц үг, TLS байхгүй - брокерын хаягийг мэддэг эсвэл тааварласан хэн бүхэн энэ сэдэвт бүртгүүлж, өөр хүний ​​​​мэдрэлийн байдлын шууд мэдээг хүлээн авах боломжтой. Shodan болон MQTT Explorer зэрэг хэрэгслүүд нь эдгээр нээлттэй брокеруудыг олоход хялбар болгодог.

Өгөгдөл нь хийсвэр телеметр биш юм. Тархины долгионы хэв маяг нь нойрны эмгэг, түгшүүрийн түвшин, танин мэдэхүйн ачаалал, зарим судалгааны нөхцөлд сэтгэл хөдлөлийн байдлыг илтгэдэг. Энэ нь хүний бий болгодог хамгийн хувийн биометрийн өгөгдлүүдийн нэг юм.

Яагаад энэ эмзэг байдал Хэрэглэгчийн IoT төхөөрөмжүүдэд ийм өргөн тархсан бэ?

Үндсэн шалтгаан нь хөгжүүлэлтийн шахагдсан цаг хугацаа, зардлын хязгаарлалт, хэрэглэгчийн эрүүл мэндийн тоног төхөөрөмж үйлдвэрлэгчдэд зохицуулалт хийх дарамт байхгүйтэй холбоотой юм. Эдгээр компаниудын ихэнх нь аюулгүй байдлын архитектураас илүү онцлог шинж чанарыг хөгжүүлэх, зах зээлд гарах хугацааг чухалчилдаг. MQTT брокерууд нь хямд бөгөөд эргүүлэхэд хялбар байдаг бөгөөд хөгжүүлэлтийн явцад нээлттэй хандалтыг идэвхжүүлэх нь үйлдвэрлэлийн бүтээн байгуулалтад байнга үлддэг нийтлэг товчлол юм.

• Өгөгдмөлөөр баталгаажуулалт байхгүй: Олон MQTT брокерын тохиргоонууд нь нэргүй хандалтыг идэвхжүүлсэн тул хөгжүүлэгчид үүнийг санаатайгаар идэвхгүй болгохыг шаарддаг бөгөөд энэ нь байнга алгасдаг алхам юм.
• Тээврийн шифрлэлт байхгүй: Өгөгдлийг 8883 (TLS) портоос илүү 1883 (шифрлэгдээгүй) портоор дамжуулдаг бөгөөд энэ нь өгөгдлийн урсгалыг зөвхөн брокерийн захиалагчид төдийгүй сүлжээний дурын ажиглагч унших боломжтой гэсэн үг юм.
• Хавтгай сэдвийн шатлал: Төхөөрөмжүүд ихэвчлэн урьдчилан таамаглах боломжтой сэдвийн бүтцэд нийтэлдэг тул олон хэрэглэгчийн өгөгдлийг нэгэн зэрэг тоолох, бүртгүүлэхэд хялбар болгодог.
• Төхөөрөмжийн баталгаажуулалт байхгүй: Харилцан TLS эсвэл токен дээр суурилсан төхөөрөмжийн таниулбаргүй бол хууран мэхэлсэн төхөөрөмжүүд нь дамжуулалтад хуурамч өгөгдөл оруулах эсвэл хууль ёсны төхөөрөмжүүдийг бүхэлд нь дуурайж болно.
• Аудитын бүртгэл хийхгүй: Нээлттэй брокеруудад ихэвчлэн зөвшөөрөлгүй захиалгын үйл ажиллагааг илрүүлэх, сэрэмжлүүлэх механизм байдаггүй тул эрсдэл нь үйлдвэрлэгч болон хэрэглэгчдэд үл үзэгдэх болно.

"Өгөгдлийн дотно байдал нь энэ ангиллын зөрчлийг онцгой ноцтой болгож байна. Санхүүгийн өгөгдлийг өөрчлөх боломжтой. Мэдрэлийн мэдээлэл нь боломжгүй. Тархины долгион алдагдсан профайл нь хүний дотоод танин мэдэхүйн ландшафтыг байнгын, буцаашгүй илчлэх явдал юм."

Бизнес болон тэдний ажилчдад үзүүлэх бодит үр дагавар юу вэ?

Энэ нь зөвхөн хэрэглэгчийн нууцлалын асуудал биш юм. Ажилтнууд эрүүл мэндийн төхөөрөмжийг, тэр дундаа нойрыг оновчтой болгох зүүдэг төхөөрөмжийг байгууллагын эрүүл мэндийн хөтөлбөрийн нэг хэсэг болгон ашиглах нь нэмэгдэж байгаа бөгөөд зарим удирдлагууд ажлын цагаар EEG-д суурилсан фокусын хэрэгслийг ашигладаг. Хэрэв эдгээр төхөөрөмжийн тархины долгионы өгөгдөл нь нээлттэй брокерууд дээр хандах боломжтой бол энэ нь байгууллагын түвшний өртөлтийг бий болгоно.

Мэдрэлийн өгөгдлөөс олж авсан өрсөлдөөнт оюун ухаан нь өнөөдөр таамаг дэвшүүлсэн боловч шинжилгээний хэрэгслүүд боловсорч гүйцсэн тул маргааш үнэмшилгүй. Нэн даруй, хуулийн хариуцлага хүлээх нь чухал юм. Иллинойс, Техас зэрэг мужуудад GDPR, CCPA болон шинээр гарч ирж буй биометрийн өгөгдлийн тухай хуулиудын дагуу мэдрэлийн өгөгдөл нь эмзэг биометрийн мэдээлэлд нийцдэг. Ийм эмзэг төхөөрөмжтэй төхөөрөмжийг санал болгох эсвэл татаас олгодог бизнес нь төхөөрөмжийн загвар зохион бүтээхэд шууд оролцоогүй байсан ч ажилтны мэдээллийг задруулсан тохиолдолд зохицуулалтын хяналтад орж болзошгүй.

Эрүүл мэнд, хүний ​​нөөц эсвэл ажилчдын оролцооны хөтөлбөрүүдийг бий болгож буй компаниудын хувьд технологийн холбоо барих цэг бүрийн мэдээллийн аюулгүй байдлын төлөв байдлыг ойлгох нь ялгах биш харин үндсэн шаардлага болж байна.

Байгууллагууд IoT өгөгдөлд өртөх эрсдэлээс өөрсдийгөө хэрхэн хамгаалах вэ?

Энэ ангиллын эмзэг байдлаас хамгаалахын тулд техникийн хяналт болон зохион байгуулалтын процесс хоёуланг нь шаарддаг. Техникийн тал дээр биометрийн эмзэг өгөгдөлтэй ажилладаг аливаа IoT төхөөрөмжийг байгууллага нэвтрүүлэхээс өмнө үнэлэх ёстой: брокерын холболт нь баталгаажуулалт шаарддаг эсэхийг шалгах, TLS хэрэгжиж байгаа эсэхийг баталгаажуулах, борлуулагч аюулгүй байдлын мэдээллийг задруулах бодлогыг нийтэлсэн эсэхийг шалгах.

Үйл явцын тал дээр байгууллагууд ажилчдын ашигладаг хэрэгсэл, платформ, ялангуяа хувийн мэдээлэлд хүрдэг хэрэгслүүдийг төвлөрсөн байдлаар харуулах шаардлагатай. Энд л орчин үеийн бизнес эрхлэх үйл ажиллагааны нарийн төвөгтэй байдал нь эрсдлийг нэмэгдүүлдэг. Борлуулагчийн харилцаа, өгөгдөл боловсруулах гэрээ, аюулгүй байдлын үнэлгээг хянах нэгдсэн системгүй бол өртөлт нь салгагдсан олон арван хэрэгслийн багцад чимээгүйхэн хуримтлагддаг.

Энэ нарийн төвөгтэй байдлыг удирдахын тулд удирдлагын нэмэлт зардалгүйгээр үйл ажиллагааны харагдах байдлыг нэгтгэх платформыг шаарддаг бөгөөд энэ нь орчин үеийн бизнесийн үйлдлийн системүүдийн шийдвэрлэх зорилготой яг ийм асуудал юм.

Төхөөрөмж үйлдвэрлэгчид нээлттэй MQTT брокерын эмзэг байдлыг засахын тулд юу хийх ёстой вэ?

Хэдийгээр үрчлүүлэх явц удаашралтай байсан ч засч залруулах арга замыг сайн ойлгож байна. Үйлдвэрлэгчид MQTT брокерын бүх холболтод нэвтрэлт танилтыг мөрдүүлж, бүх өгөгдлийн суваг дээр TLS-ийг хэрэгжүүлж, төхөөрөмжийн тусгай итгэмжлэлийг тогтмол эргүүлж, хэрэглэгчдэд ямар өгөгдөл цуглуулж, хаана очиж, хэн хандах боломжтой талаар тодорхой, хүртээмжтэй баримт бичгээр хангах ёстой. Хариуцлагатай ил тод болгох хөтөлбөрүүд болон гуравдагч талын аюулгүй байдлын аудит нь биометрийн өгөгдөлтэй харьцдаг аливаа төхөөрөмжийн стандарт практик байх ёстой.

Зохицуулалтын хүрээ нь гүйцэж эхэлж байна. ЕХ-ны Кибер уян хатан байдлын тухай хууль болон IoT төхөөрөмжүүдэд зориулсан АНУ-ын Кибер Итгэлцлийн тэмдгийн хөтөлбөр нь үйлдвэрлэгчдэд яг эдгээр эмзэг байдлыг арилгахад чиглэсэн бүтцийн хөшүүргийг бий болгодог. Гэхдээ мэдээлэлтэй хэрэглэгчид болон аж ахуйн нэгжүүдийн зах зээлийн дарамт нь илүү хурдан хөшүүрэг юм.

Байнга асуудаг асуултууд

Миний ухаалаг нойрны маск нээлттэй MQTT брокер руу цацагдаж байгаа эсэхийг би хэлж чадах уу?

Та Wireshark гэх мэт сүлжээний хяналтын хэрэгслийг ашиглан өөрийн төхөөрөмжөөс дотоод сүлжээн дэх урсгалыг шалгах боломжтой. 8883 (TLS MQTT) биш 1883 (шифрлэгдээгүй MQTT) портын холболтыг хайж олоорой. Хэрэв таны төхөөрөмж 1883 порт дээрх гадаад IP-д холбогдсон бол таны өгөгдлийн урсгал шифрлэгдээгүй байх магадлалтай. Та мөн үйлдвэрлэгчтэй шууд холбогдож, тэдний MQTT брокерын тохиргоо болон баталгаажуулалтын баримт бичгийг асууж болно — тэдний хариултын чанар нь өөрөө мэдээлэл сайтай байдаг.

Тархины долгионы өгөгдөл нь биометрийн өгөгдөл гэж хуулиар хамгаалагдсан уу?

Өсөн нэмэгдэж буй эрх мэдлийн хүрээнд, тийм ээ. Жишээлбэл, Иллинойс мужийн Биометрийн мэдээллийн нууцлалын тухай хууль (BIPA) нь "мэдрэлийн" өгөгдлийг тодорхой тусгадаг. Техас, Вашингтон хоёр ижил төстэй дүрэмтэй. АНУ-ын холбооны түвшинд биометрийн нууцлалын тухай иж бүрэн хууль хараахан гараагүй байгаа ч FTC нь биометрийн мэдээллийг хууран мэхэлсэн компаниудын эсрэг арга хэмжээ авчээ. ЕХ-нд EEG өгөгдлийг GDPR-ийн дагуу эрүүл мэндийн мэдээлэлд тооцдог бөгөөд боловсруулахад хамгийн хязгаарлагдмал шаардлага тавьдаг.

Нэгдсэн платформ дээр бизнес эрхлэх нь IoT болон мэдээллийн аюулгүй байдлын эрсдлийг хэрхэн бууруулах вэ?

Хэсэгчилсэн бизнесийн хэрэгслүүд нь хуваагдмал өгөгдлийн засаглалыг бий болгодог. Үйл ажиллагаа, хүний ​​​​нөөц, борлуулагчийн удирдлага, харилцаа холбоо нь салангид олон арван платформ дээр ажиллах үед аюулгүй байдлын үнэлгээ нь нийцэхгүй бөгөөд хариуцлагын цоорхой үүсэх нь гарцаагүй. Бизнесийн нэгдсэн үйлдлийн систем нь бодлогын хэрэгжилт, ханган нийлүүлэгчийн үнэлгээ, үйл ажиллагааны хяналтад зориулсан нэг гадаргууг бий болгож, халдлагын гадаргууг багасгаж, дагаж мөрдөх, хяналт тавихад илт хялбар болгодог.

Илүү туранхай, аюулгүй, илүү нэгдсэн бизнесийн үйл ажиллагаа явуулах нь зөв суурийг тавихаас эхэлдэг. Mewayz — 138,000 гаруй хэрэглэгчдийн ашигладаг 207 модуль бүхий бизнесийн үйлдлийн систем нь сарын 19 доллараас эхлэн багийн ажлын урсгалаас эхлээд борлуулагчийн харилцаа хүртэл бизнесийн бүх хэмжүүрийг нэг дороос удирдах үйл ажиллагааны тодорхой байдлыг танд олгоно. Нарийн төвөгтэй байдал нь өртөлтийг бий болгохыг зогсоо. Өнөөдөр Mewayz ажлын талбараа эхлүүлээрэй.