נחשפה בעיית אבטחה ברשת IoT של חברת ChirpStack
מאת:
מערכת Telecom News, 15.10.20, 21:15
ניצול של בעיית אבטחה הזו מאפשר לתוקף לשתק את הרשת, תוך סכנת השבתת מערכות עירוניות חיוניות בערים חכמות, כמו ניהול תשתיות מים, רשת חשמל, תאורת רחובות, מיחזור, תחבורה, אספקת אנרגיה ובקרת איכות אוויר.
סייברארק חשפה הערב בעיית אבטחה
ברשת IoT של חברת
ChirpStack. ניצול של בעיית האבטחה הזו מאפשר לתוקף לשתק את הרשת, תוך סכנת השבתה של מערכות עירוניות חיוניות בערים חכמות, כמו הניהול של תשתיות המים, רשת החשמל, תאורת הרחובות, המיחזור, התחבורה, אספקת האנרגיה ובקרת איכות האוויר.
בחברה גילו, שכאשר תצורת האבטחה אינה מוגדרת כראוי, תוקף עלול להשיג גישה לאחת מנקודות הכניסה (
gateways) של הרשת, להשיג שליטה במערכות עירוניות חכמות ולהשבית אותן, מבלי שהקורבן ידע זאת.
הרשת, שמבוססת על פרוטוקול קוד פתוח בשם
LoRaWAN, מחברת באופן אלחוטי התקנים המופעלים באמצעות סוללה. מדובר בטכנולוגיה יחסית חדשה, שאושרה לשימוש
בישראל אך עדיין לא הושקה בקנה מידה משמעותי. בעולם, היא כבר נמצאת בשימוש בעיר קלגרי בקנדה וצפויה לשמש עוד ועוד ערים ותעשיות חכמות ומחוברות בעולם בעשורים הקרובים.
הפתרון של
LoRaWAN מציע לערים חכמות תקשורת נתונים בקצב נמוך, שמאפשרת העברת מידע לניטור ובקרת מידע מאובטחים של המערכות העירוניות. הפתרון כולל התקן אלחוטי המופעל באמצעות סוללה בעלת משך חיים ארוך של עד 10 שנים, שמגיעה גם לקומות מרתף וחללים תת-קרקעיים.
בנוסף, מציע הפתרון תקשורת למרחקים של עד 15 ק"מ, עלויות תפעול ותחזוקה נמוכות, תקשורת דו-כיוונית מאובטחת, יכולת לוקליזציה וניידות. על-פי הערכת האו"ם, עד 2050, 68% מאוכלוסיית העולם תגור באזור עירוני, מה שצפוי להגביר את הדרישה לטכנולוגיות מסוג זה.
עמנואל ואנונו, (בתמונה משמאל), חוקר אבטחת מידע במעבדות חברת סייברארק, שחשף את בעיית האבטחה: "כאשר מקימים סביבה של שרתים, חשוב להקפיד על כל שלבי ההתקנה ובמיוחד על הגדרת תצורת אבטחת של ה-
MQTT, החלק האחראי על תעבורת המידע ברשת.
על-פי מחקר של מעבדות מורפוס, תצורות שגויות של
MQTT נפוצות מאוד וב-70% מהמקרים, שנבדקו באתר
Shodan, כלל לא יושמו הרשאות האבטחה, מה שחשף את הרשת לתקיפה והשבתה".
בעקבות פניית סייברארק,
ChirpStack תיקנה את בעיית האבטחה ואת החלק הפגום בקוד.
הדו"ח המלא והמפורט -
כאן.