אינטרנט הדברים המדאיגים: המהפכה הבאה ממש לא מאובטחת
החזון שלפיו כל מכשיר יחובר לרשת, מהמקרר ועד לרובה, הולך והופך למציאות - אבל בדרך יוצר בעיות אבטחה חמורות. התחרות העזה בענף גורמת ליצרניות לפתח מוצרים מהר ולהתעלם מההאקרים, שנהנים מהיעדר התקנים בתחום
תינוקות ישנים, כיתות בבתי ספר, קופות בחנויות, חדרים בבנקים, חממות מריחואנה — אלה רק חלק מהדברים שאפשר למצוא במנוע החיפוש Shodan. האתר השנוי במחלוקת, שמגדיר עצמו כ"מנוע חיפוש לאינטרנט הדברים", השיק לאחרונה קטגוריה חדשה: תיעוד המגיע בזמן אמת ממצלמות אבטחה שמחוברות לרשת, ולמרבה האירוניה אינן מאובטחות בעצמן.
- כולם מדברים על סייבר, אף אחד לא מבין בסייבר
- מי יעצור את הטריק שמאחורי הקליק: ההונאות בעולם הפרסום המקוון
- ב-LG מתכוונים להתמקד בתחום הרכב ואינטרנט הדברים
התוכנה של Shodan מחפשת מצלמות כאלה המתבססות על התקן הנפוץ להזרמת וידיאו ברשת (המכונה פורט 554), ומתברר שלא חסרות כאלה. עד כה איתר מנוע החיפוש יותר מ־1,100 מצלמות, כולל כתובות ה־IP שלהן, והחמור מכל: מיקומה המשוער של המצלמה החכמה. לא ברשת, בעולם האמיתי. האתר מספק שירותי מיקום כאלה גם עבור שלל מכשירים חכמים אחרים, ביתיים ותעשייתיים.
ב־Shodan טוענים שהם רק מבקשים לאפשר למשתמשים לגלות אילו ממכשיריהם מחוברים לרשת וללמוד על אינטרנט הדברים, וכן מציעים לעסקים דו"חות המנתחים היכן מותקנים מוצריהם. ואולם, האפשרויות שמנוע החיפוש הזה מצביע עליהן מפחידות. האקר מוכשר מספיק יוכל להיעזר במידע שהוא מספק על מצלמת הרשת כדי להתחבר גם למחשב, לסמארטפון ולמכשירים אחרים, שלא לדבר על הגעה פיזית לבית. חוקרים מתריעים שפרצות כאלה נפוצות לא רק בבתים פרטיים, אלא גם בארגונים.
מותו של רובוט
פרשת המצלמות החשופות היא רק דוגמה אחת למגמה שהופכת במהירות מבעיה תיאורטית לאיום רציני בהרבה. הרעיון מרחיק הלכת של אינטרנט הדברים, שלפיו כל מוצר פיזי יחובר לרשת, הוליד ענף שסובל מבעיות אבטחה חמורות. וככל שהענף הזה מאיץ, מתגלים עוד ועוד מקרים מטרידים.
באוגוסט האחרון, למשל, התגלתה פרצה במקרר חכם מתוצרת סמסונג שמאפשרת לגנוב את פרטי ההתחברות לג'ימייל של בעל המקרר. בכנס האבטחה הנחשב DEF CON הדגימו חוקרים כיצד הם מנצלים ליקוי בשימוש שעושה המקרר בתקן האבטחה הנפוץ SSL, וכן בעובדה שהוא נעזר בלוח השנה בג'ימייל כדי להזכיר למי שפותח אותו לקנות מוצרים נחוצים. במקרה קודם באותה שנה נחשף כי סמסונג אינה מצפינה דגימות קול של משתמשי הטלוויזיות החכמות שלה, ואלה עלולות להגיע לאוזניים הלא נכונות. בשני המקרים הגיבה סמסונג כי היא מטפלת בנושא ומתייחסת לנושא האבטחה ברצינות.
ואלה עוד המקרים החמורים פחות. סטודנטים באוניברסיטה באלבמה הדגימו בסתיו עד כמה קוצבי לב, איברים ביוניים ומשאבות אינסולין חשופים לסיכונים כשהם נשלטים מרחוק. בתוך כמה שעות בלבד פרצו הסטודנטים למערכת מתקדמת בשם iStan, שמדמה על רובוט את השימוש בהתקנים כאלה לצורכי לימוד, ו"הרגו" את הרובוט האומלל. כשדיק צ'ייני, סגן נשיא ארה"ב לשעבר, דרש שלא יתקינו בקוצב הלב שלו יכולות אלחוטיות כדי למנוע התנקשות, הוא לא חשש לחינם.
ואם כבר מדברים על התנקשויות, גם תעשיית הנשק החכם המתפתחת אינה חסינה. רובים ואקדחים הנשלטים באמצעות הסמארטפון או השעון החכם תופסים תאוצה בשנים האחרונות, לצד פיתוחים כמו כוונות ממוחשבות ומדויקות במיוחד. בכנס ההאקרים Black Hat הודגמה פריצה לכוונת כזאת, שהתבססה על ליבת לינוקס ואפשרה להאקר לירות לאן שיחפוץ. לחלופין, הוא יכול פשוט לחדור למערכות של מכוניות חכמות ואפילו רגילות: חוקרים כבר הצליחו להגיע למחשב המנוע של כלי רכב מתוצרת חברות דוגמת ג'נרל מוטורס וג'יפ.
Hello Barbie? עלולה לאפשר להאקרים לשוחח עם הילדים צילום: צילום מסך
והבעיות האלה מגיעות גם למחוזות מוזרים במיוחד. קחו למשל את Hello Barbie, הדור החדש של הבובה המפורסמת. היא מחוברת לרשת, כמובן, כדי לחקור בעזרת תוכנת אינטליגנציה מלאכותית את המשפטים שהילדים אומרים לבובה ולשפר את תגובותיה. אלא שבתחילת החודש שעבר גילו חוקרי חברת BlueBox כי הברבי המחוברת ניתנת לפריצה בדרכים שונות, ואף עלולה לאפשר להאקר לשוחח עם הילדים. מאטל ו־ToyTalk, היצרניות, מיהרו לטפל ברוב הבעיות. במקרה אחר, שנחשף עוד לפני שנתיים, הצליחו חוקרים לפרוץ לאסלה חכמה, להוריד ולהעלות את הקרש ולהתיז מים מהבידה לכל עבר. האסלות האלה עדיין אינן פופולריות ברחבי העולם, פרט ליפן. אפשר להבין למה.
כל מוצר אחרת
אז אם כל כך הרבה מקרים מעידים על בעיות האבטחה של אינטרנט הדברים, איך זה שאף אחד לא פותר אותן? "בחלק מהמקרים מדובר בחוסר מודעות או הבנה, אבל הבעיה העיקרית היא קצב השוק", אומר ל"כלכליסט" דודו מימרן, המנהל הטכנולוגי של מעבדות דויטשה טלקום באוניברסיטת בן־גוריון. "אינטרנט הדברים הוא עולם תחרותי מאוד, ולספק למוצר חדש אבטחה ברמה גבוהה יכול להכפיל ואף לשלש את זמן הפיתוח".
מומחה האבטחה דודו מימרן: "הבעיה העיקרית היא קצב השוק. לספק אבטחה ברמה גבוהה צילום: אוראל כהן
המצב הזה מציב אתגר בפני הרגולטורים ברחבי העולם, כמו רשות הסחר האמריקאית (FTCׂ) שחוקרת באופן שוטף תלונות על אבטחה לקויה במוצרי טכנולוגיה. "המסר שאנחנו מעבירים הוא שחברות אינן יכולות לרוץ לשוק על חשבון ההגנה על המשתמש", אמרה לארס טכניקה מנישה מיטאל מחטיבת הפרטיות של הרשות. ואולם, לפי שעה ב־FTC רק בוחנים מוצרים שיצאו לשוק, ולא מונעים מראש את מכירתם אם אינם עומדים בתקנים הנדרשים. בעיקר כי פשוט אין תקנים כאלה.
בעוד סמארטפונים למשל עובדים באופן דומה זה לזה, כך שקל יחסית ליצור עבורם תקני אבטחה אחידים ומערכות אבטחה יעילות, באינטרנט הדברים המצב שונה לחלוטין. "אין מכנה משותף טכנולוגי בין מקרר חכם שמחובר לאינטרנט לבין ציוד רפואי או תעשייתי מתקדם שעושה זאת", אומר מימרן. "התוצאה היא שכמעט בלתי אפשרי לקבוע סטנדרט. האיומים שונים וכך גם הפתרונות".
מבחינת המשתמש הביתי, הפתרון הזמין ביותר כרגע הוא להשתמש בפיירוול שמותקן בנתב הרשת הביתית, וליצור קשר עם ספקית תשתית הרשת כשמתקינים מוצרי אינטרנט הדברים. זה לא יחסום האקר מומחה, אבל יעניק שכבת הגנה בסיסית. חברות כמו סיסקו או PKI מפתחות מערכות מתקדמות יותר, המתבססות על אבטחת השבבים עצמם, אך בשל עלותן הגבוהה הן מיועדות בעיקר ללקוחות ארגוניים. "הפתרונות בעתיד יהיו מגוונים יותר, מתוכנות אנטי־וירוס ייעודיות ועד זיהוי אותות שמעידים על בעיה במכשירים", מעריך מימרן באופטימיות זהירה. "יש גל של חידושים בתחום הזה".
