שורדים בעידן ה-IoT: מכונת הקפה, המוניטור לתינוק ומערכת האבטחה שמסכנים אתכם
מאת:
מערכת Telecom News, 23.;11.15, 21:30
בבחירת מוצרי IoT נחשפו איומים חמורים על הבית החכם: מכונת קפה החושפת את סיסמת ה-WiFi הביתית, מוניטור לתינוק המאפשר השתלטות ע"י גורם זדוני חיצוני ומערכת אבטחה הנשלטת בסמארטפון, שניתן לשטות בה ע"י מגנט.
ב-2014, בחן מומחה מעבדת קספרסקי
דיוויד ג'קובי את המוצרים בסלון הביתי שלו והחליט לחקור עד כמה המכשירים שבבעלותו חשופים למתקפת סייבר. הוא
גילה, שכמעט כולם היו פגיעים. בעקבות כך, חזר ב-2015 צוות של מומחי קוד זדוני של החברה על הניסוי עם הבדל קטן אחד: בעוד המחקר של
דיוויד התמקד בעיקר בשרתים המחוברים לרשת, נתבים וטלוויזיות חכמות, המחקר החדש התמקד במכשירים מקושרים שונים הזמינים בשוק הבית החכם.
המכשירים, שנבחרו לניסוי הם: התקן
USB להזרמת וידאו, מצלמת
IP הנשלטת ע"י סמארטפון, מכונת קפה הנשלטת ע"י מכשיר חכם ומערכת אבטחה ביתית הנשלטת ע"י הסמארטפון. החקירה חשפה,
שכמעט כל המכשירים האלה מכילים פרצות.
המוניטור לתינוק מאפשר לתוקף, שמשתמש באותה הרשת של המצלמה, להתחבר למצלמה, לצפות בווידיאו שלה ולהפעיל אודיו במצלמה עצמה. מצלמות אחרות מאותו הספק אפשרו להאקרים להשיג סיסמאות של הבעלים. המחקר הראה גם, שהאקר באותה הרשת יכול גם לשלוף את סיסמת הליבה מהמצלמה ולשנות באופן זדוני את תוכנת הליבה (
firmware).
במכונת הקפה, שנבדקה, שנשלטת ע"י אפליקציה, אפילו לא חייב התוקף להיות על אותה הרשת כמו הקורבן. מכונת הקפה, שנבחנה, שלחה מספיק מידע בלתי מוצפן. כך, שתוקף יכול לגלות את הסיסמא לרשת ה-
WiFi, שאליה היתה מחוברת מכונת הקפה.
כאשר בחנו מערכת אבטחה ביתית הנשלטת מהסמארטפון, גילו החוקים, שתוכנת המערכת הכילה בעיות שוליות והייתה מאובטחת מספיק כדי להתנגד למתקפת סייבר. אך עדיין נמצאה פרצה באחד מהחיישנים של המערכת.
חיישן המגע, שנועד להפעיל את האזעקה כאשר חלון או דלת נפתחים, עובד באמצעות זיהוי שדה מגנטי המשודר ע"י מגנט המותקן על הדלת או החלון. כאשר הדלת או החלון נפתחים -השדה המגנטי נעלם, וגורם לחיישן לשדר התראה למערכת. אם השדה המגנטי נותר במקומו, האזעקה לא תופעל.
במהלך בחינת מערכת האבטחה הביתית, הצליחו מומחי החברה באמצעות מגנט פשוט להחליף את השדה המגנטי של החלון. המשמעות היא, שהם יכולים לפתוח ולסגור את החלון ללא הפעלת אזעקה. הבעיה הגדולה עם פרצה זו היא, שלא אפשרי לתקן אותה באמצעות עדכון תוכנה. הבעיה היא בתכנון מערכת האבטחה עצמו. מה שמדאיג אף יותר הוא, שמכשירים מבוססי חיישנים של שדה מגנטי הם נפוצים, ומשמשים מספר מערכות אבטחה ביתיות הנמצאות בשוק.
ויקטור אליושין, חוקר בכיר במעבדת קספרסקי: "המחקר שלנו הראה, שספקים מתייחסים לסיכוני סייבר כאשר הם מפתחים מכשירי
IoT. עם זאת, כל מכשיר מקושר הנשלט ע"י אפליקציה כולל כמעט תמיד לפחות בעיית אבטחה אחת. עבריינים עלולים לנצל מספר מהבעיות האלו בבת אחת, ולכן חשוב, שספקים יתקנו את כל הבעיות, אפילו אלו שאינן קריטיות. פרצות אלו צריכות להיות מתוקנות לפני שהמוצר מגיע לשוק, מכיוון שעלול להיות קשה בהרבה לתקן בעיות כאשר מכשיר כבר נמכר לאלפי בתים".
כדי לסייע למשתמשים להגן על עצמם מפני סיכוני הפרצות במכשירי בתים חכמים, מומלץ לפעול עפ"י כללי האצבע הבאים:
- לפני רכישת כל מכשיר IoT, חפשו באינטרנט אחר חדשות לגבי פרצה במכשיר הספציפי. ה-IoT הוא נושא חם וחוקרים רבים עושים עבודה נהדרת במציאת בעיות אבטחה במוצרים מסוג זה: החל ממוניטורים לתינוקות ועד לרובים הנשלטים על ידי אפליקציות. ייתכן מאוד, שהמכשיר, שאתה עומד לרכוש, כבר נבדק ע"י חוקרי אבטחה ואפשר לגלות אם בעיות, שנמצאו במכשיר, כבר תוקנו.
- זה לא תמיד רעיון טוב לקנות את הגרסה העדכנית ביותר של מכשיר הקיימת בשוק. לצד תקלות רגילות הקיימות במוצרים חדשים, מכשירים, שהושקו לאחרונה, עלולים להכיל בעיות אבטחה, שעדיין לא התגלו ע"י חוקרים. העצה הטובה ביותר היא לרכוש מוצר, שכבר עבר מספר עדכוני תוכנה.
- כאשר בוחרים איזה חלק בחייכם עומד להפוך לחכם, יש לשקול את סיכוני האבטחה. אם בבית קיימים חפצים בעלי ערך, רצוי לשקול התקנת מערכת אבטחה מקצועית, שיכולה להשלים או להחליף את מערכת האזעקה הביתית, שנשלטת ע"י אפליקציה. אפשר גם להתקין מערכת קיימת בדרך כזו, שלכל פרצה אפשרית לא תהיה השפעה על פעילותה. כאשר בוחרים מכשיר, שאוסף מידע על החיים הפרטיים שלכם ושל משפחתכם, כגון מוניטור לתינוק, ייתכן ומוטב יהיה לבחור מודל RF פשוט הקיים בשוק, שמסוגל לשדר רק אודיו, ללא קישוריות לאינטרנט. אם הדבר לא מתאפשר, עקבו אחר העצה הראשונה – בחרו בחכמה.