האם קיים באינטרנט של הדברים (IoT) איום סייבר מידי?
מאת:
אילן סגלמן, 2.3.16, 08:00
האם פלטפורמות האינטרנט של הדברים הן הנשק המועדף על האקרים וכותבי תוכנות זדוניות מסחריות?
הרשת גועשת לאחרונה במאמרים המזהירים מפני איומי סייבר מתגברים בתחום האינטרנט של הדברים (
IoT). האינטרנט של הדברים מייצר אינסוף סיפורים מפחידים המבוססים על העובדה, שההתקנים הללו אינם מאובטחים. בין היתר, פורסמו סיפורים רבים המתמקדים במצלמות, חיישנים לתינוקות וצעצועים לילדים, ולאחרונה המכוניות הפכו לנושא החם. כידוע, בחודש יולי האחרון הצליחו חוקרים לפרוץ לג'י.פי.אס.
חברת המחקר גארטנר מעריכה, שמספר ה"דברים" המחוברים הגיע ל- 5 מיליארד יחידות ב-2015, מספר שעתיד לגדול ב- 30% ב-2016 ל- 6.4 מיליארד, ועד 2020 ל- 21 מיליארד. בכל יום יותר ויותר טכנולוגיה משולבת בחיינו. התקנים של האינטרנט של הדברים מחברים את כל מה שנמצא סביבנו ודוגמאות שימוש חדשות ומעניינות מופיעות כל הזמן.
עם זאת, מומחי חברת אבטחת המידע
Sophos קובעים, שפלטפורמות האינטרנט של הדברים הן
עדיין לא הנשק המועדף על האקרים וכותבי תוכנות זדוניות מסחריות. מסתבר ש
בזמן הקרוב לא נראה דוגמאות נפוצות לכך, שתוקפים משתמשים במכשירי אינטרנט של הדברים כדי להריץ קוד שרירותי.
הסיבה לכך היא, שההתקנים של האינטרנט של הדברים נחשבים מאובטחים יחסית, מכיוון שהם אינם התקני מחשוב למטרות כלליות עם אותה חבילה רחבה של ממשקים, שיש לנו על המחשבים השולחניים או על המכשירים הניידים.
יחד עם זאת, מציינים מומחי החברה, שצפוי שנראה מחקר מעמיק יותר בנושא והוכחות לכך, שקוד, שאינו שייך לספק כלשהוא, אכן יכול להיות מותקן על התקני האינטרנט של הדברים, בעיקר בשל תהליכי ולידציה לא מספקים של יצרני ההתקנים (בין היתר בשל מחסור בחתימת קוד, ניצול אדם בתווך
MitM-class exploitations ועוד).
בנוסף, ניתן לצפות לעלייה בקצירת נתונים או בהתקפות דליפת נתונים על התקני האינטרנט של הדברים. התקפות אלו תבאנה לחשיפת המידע, שיש להתקנים גישה אליו, למשל וידאו, אודיו, קבצים מאוחסנים, מידע על אישורי התחברות לשירותי ענן וכד'.
ככל שמכשירי האינטרנט של הדברים יתפתחו ביכולת שלהם לתקשר עם סביבתם, כלומר ככל שהם יהפכו ל"רובוטיים" יותר, למשל כמו שואב האבק הרובוטי רומבה, שנשלט על ידי אפליקציה, כך סדרה של חששות אבטחה
תתחיל להיווצר סביב התחום.
ניתן להעריך, שסדרת החששות סביב האינטרנט של הדברים תהיה דומה מאוד לזו שנוצרה סביב מערכות ה-
SCADA / ICS והתעשייה צריכה להתעדכן בקווים המנחים, שנוסחו ע"י המכון הלאומי לתקנים וטכנולוגיה (
NIST) וע"י המרכז הלאומי להתמודדות עם מתקפות סייבר
(ICS CERT) ואחרים.
מאת:
אילן סגלמן, מרץ 2016.
סמנכ"ל מכירות ופיתוח עסקי ב-
Power Communications ומנהל פעילות
Sophos לאבטחה בענן בישראל.