נחשפו פרצות במערכות ערים חכמות

נחשפו פרצות במערכות ערים חכמות שבגינן פושעים עלולים לגרום פאניקה ציבורית ולשבש מערכות חיוניות.

מקצועני אבטחת סייבר מקבוצת X-Force Red של יבמ, בשיתוף חוקרים של Threatcare, חשפו שורת פרצות אבטחה במכשירים ובמערכות המשמשים ליישומי ערים חכמות. החוקרים התריעו מפני פאניקה ציבורית או אף שיבוש בעבודת מערכות חיוניות העלולים להיגרם על ידי מי שינצלו את הפרצות הללו. הפרצות הוצגו בכנסי Black Hat 2018 ו-DEF CON 26 שנערכו לפני ימים אחדים.

החוקרים דיווחו על 17 נקודות תורפה מובנות במערכות עצמן הקיימות ברכיבים אלה כבר ברגע ההתקנה הראשוני, מה שמכונה "פרצות יום אפס". שמונה מהפרצות שנחשפו מוגדרות כחמורות. התברר כבר בבדיקה הראשונית כי בעיות אבטחה שכיחות, דוגמת שימוש בסיסמת ברירת המחדל, מעקפים של תהליכי אימות זיהוי והזרקת קוד SQL זדוני, חושפים את הערים החכמות לאיומים ותיקים ומוכרים האמורים להיות מטופלים מראש בכל סביבה חכמה.

התראת שווא על מתקפת טילים בליסטיים בהוואי

ההחלטה להתמקד בבדיקת הגנת הסייבר של ערים חכמות נולדה בינואר השנה: במשך 38 דקות מתוחות, קיבלו תושבים בהוואי התראה במכשירי המובייל שלהם, לפיה "מתקפת טילים בליסטיים מאיימת על הוואי. חפשו מקלט מיידי. זה אינו תרגיל".

התראת השווא התגלתה בהמשך כטעות אנוש. חוקרי הענק הכחול בדקו ציוד בתחום התחבורה החכמה, מערכות ניהול מצבי חירום, וציוד הפועל בעולם האינטרנט של הדברים, IoT. התקשורת למערכות הללו וביניהן מתבצעת באמצעות Wi-Fi, רשתות סלולאריות מהדור הרביעי, ZigBee ופרוטוקולים אחרים.

נתונים הנאספים באמצעות החיישנים שלהם מוזנים לממשקים המציגים את התמונה העירונית בתחומים מגוונים: רמות המים במאגרים, מצב התנועה בכבישים, זיהום אוויר ממקורות תעשייתיים ועוד.

הבדיקות התמקדו במערכות מתוצרת Libelium המספקת חומרה לרשתות חיישנים אלחוטיות, Echelon, המתמחה בציוד IoT תעשייתי משובץ בבניינים וביישומים, ו-Battelle המפתחת טכנולוגיה לערים חכמות.

החוקרים עדכנו בטרם הפרסום את יצרני המערכות שדאגו להטליא ולסגור את הפרצות. לאחר שנחשפו הפגיעויות, בוצעו בדיקות נוספות במערכות המותקנות כבר בשטח. אלה, חשפו עשרות ומאות מערכות, החשופות למתקפות באינטרנט. כל שנדרש הוא להשתמש במנועי חיפוש זמינים, דוגמת Shodan ו- Censys. כך, נמצאה מדינה באירופה המשתמשת בציוד חשוף לפריצה למשימות איתור דליפות קרינה רדיו-אקטיבית, ואותרה עיר בארצות הברית המשתמשת באותו סוג של ציוד לניטור תנועה.

על פי החוקרים, "מדובר בעניין שאין להתייחס אליו בקלות ראש: האבטחה של מערכות חיישנים ושליטה חייבת להיות הדוקה הרבה יותר, באופן שימנע את הוצאתם לפועל של תסריטי אימה דיובילו לבהלה ציבורית".

"אתגר עצום בהיבט ניהול האבטחה"

תומר צוקר, מנהל קבוצת פתרונות האבטחה ביבמ ישראל, אמר לאנשים ומחשבים כי "מרכיבים טכנולוגיים רבים, בהם נעשה שימוש מחוץ לסביבות ה-IT של הארגונים, לא פותחו כששיקולי אבטחה היו חלק מהותי מהתכנון. זה מציב אתגר עצום בהיבט ניהול האבטחה. חיישנים חכמים ואמצעים מקושרים הפכו להיות מטרה למתקפות סייבר: תשתיות עירוניות חכמות, תשתיות קריטיות ומתקנים חיוניים נוספים. באחרונה עודכנו חוקי הגנת המידע בארצות הברית והם כוללים כיום דרישות ספציפיות מהיצרנים לאפשר ללקוחותיהם – ארגונים מסחריים וציבוריים – לבצע עדכוני תוכנה בהתקנים ובחיישנים, בנוסף לפרקטיקות כמו הגנה על סיסמאות ועוד".

הוא הוסיף כי "לגבי ערים חכמות, אנחנו ממליצים לרשויות לנקוט בצעדים הנדרשים כדי להבטיח את ההגנה על ההתקנים המחוברים, מחשש שיהיו חשופים לפגיעות העלולות להשבית את המערכות החיוניות".