מי שנכווה ברותחין: לקחים מפריצת סייבר לג'קוזי

בסרטון משעשע ביו-טיוב שפורסם לאחרונה, קן מורנו מומחה הסייבר הבריטי מ-Pen Test Partners מסביר ומדגים פריצה לאמבטיית ג'קוזי בעודו משכשך בתוכה. מתברר שיצרן אמבטיות מסוים החליט לאחרונה להתקין טכנולוגית IoT באמבטיות ג'קוזי על מנת לאפשר לבעלי הבתים ושוכני הספא המפונקים לחמם אותן מראש דרך אפליקציה ייעודית, דבר שאיפשר לפרוץ אליהן ולהפעיל פונקציות שונות.

אולי לא יקרה אסון אם פושע יפרוץ לג'קוזי ויתחיל להפעיל בו את הברזים או לחמם את המים מרחוק. הרעיון בכל הסיפור הוא להדגים כמה זה פשוט. כפי שפשוט לפרוץ לאמבט, כך פשוט לפרוץ להתקני IoT קריטיים לארגונים או להתקני IoT רפואיים, כפי שמעיד מורנו בסרטון.

אבטחת "האינטרנט של הדברים" (IoT) הפכה לנושא חם בשיח סביב אבטחת מידע, ולא בכדי. מתברר כי התקני IoT רבים אינם מתוכננים עם אבטחת מידע מספקת בתוכם ומהווים שער נוח ביותר לפושעי הסייבר על מנת לחדור דרכו לארגון ולבית.

כיום, רוב הארגונים עושים שימוש במוצרים המסתמכים על האינטרנט ונכנסים לקטגורית IoT. מערכות IoT יכולות להיות "חכמות", כגון בקרות כניסה ומצלמות ביטחון שיודעות לזהות אנשים, לזהות מיקומים, מצלמות שיחות ועידה שיודעות לספור משתתפים, תאורה אוטומטית לפי זיהוי שימוש, מערכות מיזוג אוויר ומערכות הצללה, והן יכולות להיות גם "טיפשות" כמו מדפסות, טלפונים וכד'.

אולם, כידוע, התחום הזה כלל לא שמור רק לארגון. הרבה מאד מכשירים ביתיים הפכו לאחרוני להתקני IoT, ככל שהיצרנים מעוניינים לאפשר שליטה מרחוק בהם. כיום, אתם יכולים באמצעות אפליקציות בטלפון הסלולארי שלכם להדליק את המזגן בבית כשאתם עדיין בדרך הביתה, להורות למכשיר סינון המים להתחיל להרתיח מים בעודכם צופים בסרט בסלון ולהורות לשואב האבק הרובוטי להתחיל לפעול בשעות מסוימות.

בעיית האבטחה בהתקני IoT אינה פשוטה

סיכוני אבטחת המידע של התקני ה-IoT מחולקים עדיין בטעות רק לפי המטרות של הפושעים – ארגונים ו/או צרכנים פרטיים. סוגית אבטחת המידע שלהם מורכבת יותר מכפי הנראה על פני השטח ומתחילה כבר בשלב הייצור.

ראשית, המערכות מורכבות מחומרה שעל פי רוב מגיעה ממקורות רבים, מקורות שבדרך כלל אין השגחה מלאה על מהלך ייצור הרכיבים שלהם. פעמים רבות היצרן של המערכת איננו יודע מה הוכנס בדיוק לחומרות שהוא רוכש לפני תהליך ההרכבה. כפי שניתן ללמוד מהפרצה החמורה שהתגלתה במערכות CCTV לפני שנתיים, בה הוכנסו מערכות ששידרו צילומים ממאות אלפי מצלמות CCTV, ממאות יצרני מצלמות שונים לכתובת מייל בסין.

שנית, מערכות ה-IoT הן סגורות או רזות מאוד במשאבי מחשוב. דבר המקשה מאוד להתקין על בהן פתרונות הגנה ייעודים.

לבסוף, קיים חוסר השקעה של היצרנים בפיתוח מוצר מאובטח. הרבה יצרנים מקצרים תהליכים (או לא מבצעים כלל), הנוגעים לפיתוח מערכות IoT בצורה מאובטחת מהיסוד. מערכת שיש בה פגמים מובנים תהיה כמובן מטרה קלה לחדירה ולמניפולציה.

כיצד להתמודד?

כל איש מכירות יודע לדקלם ללקוח פוטנציאלי את המנטרה "מה שאני מוכר בטוח", על זה אמרו חכמים "Talking is cheap". גופים ואנשים פרטיים המחזיקים בפתרונות IoT חייבים להיות ערים לעובדה כי פתרונות אלו, המקלים מאוד על חיי היום יום ועל חיי העובדים בארגון ומספקים יידע ותובנות חדשות להנהלות הארגונים, יכולים להפוך לאחת מבעיות האבטחה החמורות שלהם ולהעמיד בסיכון מידע רגיש וסודי.

על משתמשים פרטיים וארגונים לוודא כי פתרונות ה-IoT שהם מטמיעים מכילים רכיבים פנימיים מיצרנים מוכרים וכי היצרן לוקח אחריות על כלל רכיבי המערכת. יתרה מכך, יש לוודא כי הפתרונות שנרכשו פותחו כמאובטחים מהיסוד. דבר זה כמובן לא מבטיח הגנה מלאה, אבל מבטיח הגנה טובה יותר ולרוב יכולת לשפר את האבטחה בקלות רבה יותר. לבסוף, יש לוודא כי הפתרונות מותקנים מאחורי פתרונות אבטחה שיידעו לזהות יציאת מידע או כניסת מידע לא חוקית, לא רצויה או לא מאושרת.

כנוסח הפתגם הידוע – "מי שנכווה ברותחין, נזהר בצוננין" – אולם, לא צריך לחכות לכוויה ממי הג'קוזי, אם אפשר לנסות לצפות אותה מראש. הפתרון כמו ברוב המקרים באבטחת מידע נמצא במודעות ובהכנה מראש לתסריטי פריצה.

הכותב הוא סמנכ"ל מכירות ופיתוח עסקי ב-Power Communication, המפיצה את פתרונות Sophos בישראל