לפני כשנה התפרסם בכמה אתרי חדשות בחו"ל סיפור עוכר שלווה: זוג צעיר מקליפורניה התקין בחדר של ילדם בין השלוש "בייבי מוניטור" - מערכת ניטור ואבטחה עם יכולות צילום ושליטה מרחוק דרך הטלפון החכם. המוצר מתוצרת חברת Foscam, יצרנית פופולרית של מצלמות אבטחה, נפרץ בידי האקר שצפה בילד בחדרו, כנראה במשך שעות ארוכות.
אם הסיפור היה נגמר כך, אולי כלל לא היינו שומעים על המקרה, אך הפורץ הגדיל והשתמש ברמקול המובנה כדי לדבר עם הילד פעמים רבות. באחד המקרים, ההורים נכנסו לחדר ושמעו את הפורץ אומר לילד "זהירות, מישהו בא!". הילד התלונן בעבר כי "מישהו מדבר אתו בטלפון", אך ההורים לא ידעו לפרש את התלונה. הסיפור הזה מעלה את השאלה: האם כשאתם קונים מצלמת אבטחה לבית אתם למעשה עלולים לסכן את הביטחון האישי שלכם?
ישראל חווה גאות ברכישה של מצלמות אבטחה אלחוטיות לשימושים ביתיים כחלק ממגמה בינלאומית. מוצרים מסוג זה ניתן לרכוש באתרי מסחר סיניים כמו עלי־אקספרס או ברשתות חשמל ומחשבים. גם חברות הטלקום פועלות בתחום, ובישראל בזק משווקת מוצר שליטה מרחוק ל"בית חכם" תחת המיתוג BHome.
מחירי המצלמות מתחילים בכמה עשרות שקלים באתרים סיניים, דרך מצלמות ממותגות באזור של 200–400 שקל ועד מצלמות בעלות יכולות מקדמות ב-700 שקל ויותר. בזק מוכרת את המוצר שלה במודל של חכירה ותשלום של 24.90 שקל לחודש. על פי נתוני בזק, החברה מכרה עשרות אלפי יחידות. כל המוצרים מגיעים עם אפליקציה סלולרית נלווית, שמאפשרת לצפות בנעשה בבית מרחוק, להסיט את המצלמה, להאזין לנוכחים ואף לדבר עמם. כמו כן, לרוב המצלמות יש יכולת הקלטה על גבי כרטיס זיכרון.
על פי גוגל טרנדס, בחודש החולף זינק בחדות מספר החיפושים אחר "מצלמת אבטחה" לעומת שלוש השנים האחרונות. הביקושים למצלמות מזנקים גם נקודתית, בעת אירועי ביטחון וטרור.
אמיר מודן, סמנכ"ל השיווק של רשת האלקטרוניקה באג, אמר כי "עד לא מזמן, כמה שנים אחורה, המצלמות היו מסובכות להתקנה. רוב הרוכשים היו עסקים קטנים, שהיו הולכים למתקין מצלמות, והוא היה גובה מהם 2,000–4,000 שקל. המחירים ירדו בהרבה מאז, ועכשיו הם מתחילים אצלנו ב–280 שקל למצלמה מחברת Yi (חברה בת של שיאומי; א"ז). עברנו ממכירה של כמה עשרות מצלמות אבטחה בחודש רק לפני שנה, ליותר מ–1,000 בחודש כיום, ולעתים גם 2,000. גם ההתקנה הפכה לפשוטה, אין סיכוי לא להצליח, לא צריך להגדיר שום דבר".
מודן הוסיף כי "המוצר העיקרי שלנו הוא המצלמה של Yi, שכן החברה בחרה בישראל כאחד השווקים הראשונים שלה מחוץ לסין. בניגוד למצלמות אחרות, שמקבלות אולי עדכון תוכנה אחד לאורך חיי המצלמה, Yi מוציאים עדכון כמעט שבועי עם פיצ'רים מגניבים כמו זיהוי בכי של תינוק, התרעה על תנועה בחלק מסוים של התמונה ושילוב של כמה מצלמות במקביל".
ג'ונגל ושמו IoT
העובדה שטכנולוגיה שהיתה יקרה ושימשה בעיקר עסקים נהפכת לזולה וזמינה למשתמשי קצה, היא דבר חיובי בעיקרו. לדוגמה, מצלמות רשת עזרו לא פעם לתפוס גנבים ומטפלים שמתעללים בקשישים. אך במקרים מסוימים, מצלמת האבטחה יכולה להפוך גם לאיום אבטחה. למעשה, כל מכשיר מחובר לרשת שאנחנו מכניסים לבית: מסך טלוויזיה, מצלמה, נורה חכמה ועוד - יכול להפך לאיום עבורנו, בלי שאפילו נדע זאת.
כיצד מצלמת האבטחה ושאר האמצעיים החכמים מקטגוריית ה"אינטרנט של הדברים" (IoT) יכולים לסכן אותנו? בכמה דרכים. האתר Insecam.com הוא למעשה מנוע חיפוש גדול למצלמות רשת בכל העולם ומכל הדגמים. אלה מצלמות שאנשים התקינו בבתיהם, בלי לטרוח להגן עליהן אפילו בסיסמה פשוטה.
אפשר להיכנס לאתר ולמצוא שם פיצוצייה בתל אביב, חצר אחורית בראש פינה וסלון של בית פרטי בפתח תקוה - הכל בשידור חי ובאיכות טובה. במהלך הכתבה אף מצאנו מצלמה פעילה בכיתת מדעים של בית ספר בפתח תקוה, שהגישה אליה היתה פתוחה דרך האתר. הגישה למצלמה נחסמה לאחר שיידענו את הנהלת בית הספר בדבר. מנוע חיפוש אחר בשם shodan.io חופר עמוק יותר באינטרנט של הדברים, וממפה כל רכיב שמחובר לרשת.
בסרטון שפורסם באתר הטכנולוגי MotherBoard מייסד האתר מראה כיצד ניתן בגלישה פשוטה, בלי ידע בתכנות, להגיע למערכת של בית חכם בארה"ב - ומכיוון שהלקוח לא טרח לשים סיסמה למערכת, איך אפשר להרים ולהוריד את התריסים בביתו, לכבות את האורות וכדומה. עם זאת, גם אם שמתם סיסמה למצלמה או לבקר של הבית החכם, זה לא מבטיח הגנה של 100%, שכן האקרים יודעים לפרוץ ולעקוף סיסמאות.
שני חוקרי אבטחה, אנדרו טיראני וקן מונרו, הוכיחו אפשרות של תסריט מפחיד אחר: הם השתלטו מרחוק על בקר של טרמוסט ביתי, ודרשו כופר: תשלום תמורת החזרת הטרמוסטט לפעולה. ניתן לדמיין, לדוגמה, איך האקרים מהסוג הלא מוסרי יכולים לבצע מתקפה כזאת באמצע סערה בעיר ניו יורק. האקר "לבן" (האקרים שמיידעים חברות ואנשים על פרצות אבטחה, במקום לנצל אותן) הראה כיצד הוא משתלט על "מנעול חכם" לדלת, ומצליח לגרום לו להיפתח. היצירתיות של התוקפים בעולם הסייבר היא רבה, ואפשר רק לדמיין מה הם יכולים לעשות עם גישה למכשירים שמחוברים לאינטרנט. האקרים יכולים לפרוץ למצלמות רשת כדי לאגור תמונות עירום או וידאו של יחסי מין - ולמכור אותם לאתרי פורנו או לסחוט את המצולמים. תיתכן גם פריצה למצלמות רשת לטובת איסוף מידע על מתחרים במסגרת ריגול עסקי.
תסריט סייבר אחר הוא שמצלמת הרשת שלכם - או הטלוויזיה החכמה, או המדפסת שמחוברת לרשת וכן הלאה - תגויס, ותשמש במתקפות סייבר אחרות. זה בדיוק מה שקרה ב-21 באוקטובר עם מתקפה המכונה Mirai. ההאקרים, שהיו חובבנים, "גייסו" מבעוד מועד מספר גדול של מכשירים המחוברים לאינטרנט. כנראה מדובר בכמיליון וחצי מצלמות רשת, טלוויזיות חכמות וממירים מקליטים, שאליהם הם פרצו בקלות באמצעות שימוש בסיסמאות ברירת המחדל שעמן מגיעים המכשירים מהמפעל. הלקוחות לא ידעו דבר על כך שהמצלמה בביתם "גויסה" ומחכה ליום פקודה. רשת שקטה מסוג זה מכונה Botnet.
הרשת הזאת הופעלה כולה ברגע אחד, וכוונה נגד שרתים של חברה בשם Dyn - ספקית מרכזית עבור חברות גדולות אחרות כמו טוויטר, נטפליקס ו-Airbnb. המתקפה היתה הגדולה מסוגה אי פעם, ויצרה עומס של מאות ג'יגות על שרתי Dyn. ההתקפה הצליחה להפיל חלק מהאתרים הללו לזמן רב בחלקים נרחבים של העולם.
קשה מאד להגן על מוצרים באינטרנט של הדברים. מרדכי גורי, המדען הראשי של חברת הסייבר מורפיסק, כינה את התחום "ג'ונג'ל", והסביר כי "ה-IoT מורכב ממגוון גדול של יצרנים, עם מגוון ערכות שבבים, ארכיטקטורות ומעגלים חשמליים, ויש גם מגוון של מערכות הפעלה. לבסוף, עדכוני תוכנה ותיקוני באגים תכופים שאנו מכירים ממערכות הפעלה מודרניות לא ממש קיימים בעולם האינטרנט של הדברים". כלומר, הביזור של האמצעים והפלטפורמות והיעדר הסטנדרט הקבוע לא מאפשרים ליצור אנטי־וירוס או תוכנת הגנה למוצרי IoT, וממילא לא בטוח שיש דרך להתקין תוכנה כזו על הרכיב.
מומחה אבטחה: קיים כשל שוק בתחום
מדו"ח של חברת אבטחת המידע Zscaler התברר כי חלק גדול מהמוצרים החכמים הפופולריים ביותר בעולם - כמו מצלמות חכמות של חברת Foscam ו-Axis וטלוויזיות חכמות של חברת Haier - משתמשים בתקשורת נתונים לא מוצפנת, מה שמאפשר האזנה לתעבורה ואף מניפולציה שלה. בהרבה מקרים, מצלמות כאלה נמכרות בשווקים שונים תחת מותגים שונים - אבל מתחת למדבקה על האריזה נמצאת אותה פרצת אבטחה.
מדוע היצרניות לא טורחות להגן על המכשירים החכמים? חוקר האבטחה הבכיר, ברוס שנייר, חקר את השאלה הזאת והגיע למסקנה שתחום המכשירים החכמים נמצא "בכשל שוק": ראשית, היצרניות נמצאות בתחרות על המחיר, ולכן לא יכולות או רוצות להשקיע באבטחה. שנית, כשיש מתקפה כמו Mirai, היא לא מפריעה לא ליצרנית ולא לצרכן. מי שנפגע הוא בכלל מישהו אחר, אז למה שהצרכן ישלם יותר?
שנייר קרא להתערבות ממשלתית של ממש - לאסור על שיווק מוצרים שאינם בטוחים מספיק, בדיוק כמו שמונעים שיווק צעצועים מסוכנים לילדים. לדבריו, "אם אנחנו רוצים לאבטח את העולם החכם - המחובר, הממוחשב, החדש - אנחנו זקוקים למעורבות ממשלתית באינטרנט של הדברים וכללי רגולציה למה שנהפך לטכנולוגיה מאיימת ומסוכנת לחיי אדם. נכון להיום, הביטחון של האינטרנט תלוי במיליוני רכיבים עם קישוריות אינטרנטית, שנמכרים על ידי חברות שלא שמעתם עליהן מעולם, ושאבטחת מידע חשובה להם כקליפת השום. כמו בזיהום אוויר, הפתרון היחיד הוא רגולציה. הממשלה צריכה לחייב יצרני מוצרי IoT בסטנדרטים מינימליים של בטיחות, גם אם ללקוחות לא אכפת".
גם המחלקה לביטחון המולדת בארה"ב הבינה את גודל האיום שנוצר, והוציאה בשבוע שעבר הנחיה חדשה לכל היצרניות בענף תחת הכותרת "עקרונות אסטרטגיים לאבטחת האינטרנט של הדברים". המסמך מבהיר כי זאת אחריות של היצרניות לדאוג לאבטחת המוצר, כחלק מהאחריות הכללית שלהן, וכי הן חשופות לתביעות משפטיות בעניין.
דוד פלדמן - מנכ"ל חברת CYBONET, שמספקת פתרונות מניעת ספאם עבור ספקיות אינטרנט - הסביר כי "כל מה שמייצר דאטה יכול להיות חלק מרשת המתקפה, גם המקרר החכם. אם מצלמת אבטחה יודעת לשדר תמונה, היא גם יכולה לשמש האקרים לשליחת ספאם". לדבריו, גם לספקיות האינטרנט צריך להיות אכפת מאיום הסייבר שמציב הבית החכם: "גם הלקוח וגם ספקית האינטרנט עלולים להפוך לכתובת IP שמסומנת כמזוהמת, ושיסננו אותה בכל מיני כלי אבטחה". פלדמן מוסיף כי עבור הספקיות, מתקפות כאלה הן כאב ראש וכאב בכיס - שכן מתקפות ספאם ו-DDoS יוצרות כמות גדולה של תקשורת נתונים, ולכן יוצרות להן עלויות מיותרות.
בענן או בראוטר?
אז איך מגינים על מהפכת הבית החכם, שנמצאת רק בראשיתה? מומחי האבטחה חלוקים ביניהם. הגישה הראשונה היא שמאחר שלא ניתן בהכרח לשים תוכנת אבטחה ברכיב עצמו, "השומר" צריך לעמוד בראוטר הביתי - זה שדרכו עוברת כל התעבורה של הבית.
שאול לוי, המדען הראשי של ענקית האבטחה Avast־AVG מסביר: "אנחנו כבר יודעים להגן על הצרכן ב-PC, במק ובסמארטפון - אבל בעתיד יהיו לנו בבית מחשבים מסוגים שונים, בגלל מהפכת ה-IoT. הכל עובר דרך הראוטר, ולכן החלטנו שצריך להתמודד עם הזירה הזאת. הוצאנו מוצר תוכנה בשם Chime עבור ראוטרים, שיכפה את כל בדיקות האבטחה כבר בנתב. אנחנו אומרים לכל יצרניות הנתבים - קחו מאתנו את התוכנה". נכון להיום הפתרון של AVG מוטמע בראוטר של יצרנית ראוטרים יקרים יחסית בשם Amped Wireless, אך לוי מקווה להכריז על שותפויות נוספות בקרוב. הוא הוסיף כי החברה מתכננת לשחרר בקרוב את Chime כקוד פתוח, כך שיצרניות יוכלו להשתמש בו ללא עלות, ולשפר את המוצר.
AVG אינה לבד במרוץ. חברה ישראלית בשם Labs־Dojo, שפיתחה נתב־משנה חכם לבית, נרכשה באחרונה על ידי חברת האבטחה הבריטית Bullguard. כמו כן, חברת אבטחת המידע הפינית Secure־F מקדמת ראוטר חכם עם הגנה על בתים חכמים, תחת השם Sense; חברת אבטחת המידע הצ'כית Bitdefender מפתחת רכיב אבטחה פיזי לעולם ה–IoT הביתי, בנוסף לנתב; והסטארט־אפ Luma, שמפתח ראוטר מתקדם, הכולל יכולת אבטחה לבית החכם, גייס כסף ממשקיעים כבדי משקל כמו אמזון וקרן אקסל. וזאת רק רשימה חלקית.
הגישה השנייה לאבטחת האינטרנט של הדברים מקודמת על ידי נבחרת נכבדת של מומחים, שטוענים כי הראוטר דווקא ייהפך ליותר טיפש בעתיד, וכי כל ההגנה תתרחש דווקא בענן. רועי דגן, המייסד והמנכ"ל של חברת סייבר ישראלית צעירה בשם Securithings, מסביר: "הדור הישן של IoT אלה מכשירים שהצרכן רוכש, הם מתחברים עם כתובת IP לרשת וזהו בעצם. הדור השני של המוצרים מחוברים כבר בדרך כלל לאיזשהו ענן ולספק שירותים, לרוב במודל תשלום חודשי. כשאתה קונה מצלמת רשת מעלי־אקספרס, אין לך הסכם מול החברה. לעומת זאת, כשאתה קונה אמצעי כלשהו מספקית מוכרת ובתשלום חודשי, החוזה בין הצדדים הוא קצת יותר ברור ומחייב. אנחנו חושבים שעם התפתחות המודעות לסכנות, אנשים ירצו לקנות מוצרי IoT מספק שהם סומכים עליו. זה כמו שאתה משתמש בג'ימייל כי אתה סומך על גוגל, אבל לא תסכים לקבל שירות רגיש כזה מכל ספק קיקיוני".
החברה של דגן מוכרת את המוצר לספקי השירות: "אנחנו יושבים בענן ובודקים פרמטרים רבים - מאיפה הלקוח מתחבר למצלמה, באיזו שעה, איזו פעולה הוא עושה וכדומה. למשל, אם עכשיו אוגוסט ו–30 מעלות בחוץ, אז הלקוח לא אמור להדליק את המזגן על חימום, ואם הוא עושה זאת אולי זה כתוצאה מפריצה למכשיר. המערכת שלנו עושה למידה אוטומטית ואנליזה, ומייצרת דירוג של רמת סיכון לכל פעולה".
מנהל אבטחת המידע של בזק, חיים מילר, הרצה באחרונה בכנס פועלים־טק, ותמך גם הוא בגישת הענן: "האינטרנט של הדברים מצריך מערכת הגנה דינמית בענן, שלומדת את הרשת, מבינה, מנטרת ומגיבה לווירוסים. ברגע שמוצר כמו שקע חכם נרשם לרשת, אנחנו לומדים אותו ורושמים את דפוס ההתנהגות שלו במשך שבוע. כשמסתיימת תקופת הלמידה, אם קורה משהו חריג יש לנו שתי אפשרויות: או שנתריע בפני הלקוח או שנחסום את הגישה החריגה, לפי בחירת הלקוח".
תחום ה-IoT נחשב על ידי רבים לאיום סייבר משמעותי - גם למשתמש הבודד וגם לארגונים. המחלקה לביטחון המולדת בארה"ב הזהירה לפני כשבועיים כי הצמיחה במוצרים מחוברים לרשת הופכת אותם לתשתיות קריטיות, ויוצרת מגוון הזדמנויות לגורמים מזיקים. "תהליכים שהיו ידניים בעבר, ולכן חסינים ממתקפות סייבר, הופכים להיות פגיעים", נכתב בהודעה שפירסמה המחלקה. הקריאה של חוקרים כמו שנייר ומומחי המחלקה לביטחון המולדת בארה"ב צריכה להישמע גם אצל גורמי רגולציה ותקינה בישראל - השב"כ, רשות הסייבר הלאומית, משרד התקשורת ואף מכון התקנים. כדאי לחשוב בהקדם על יצירת רגולציה וסטנדרטים לתחום, גם אם הדבר יגרום לעליית מחירי המוצרים, מכיוון שההתקפות על עולם האינטרנט של הדברים צפויות רק לגבור ולהפוך למתוחכמות יותר ויותר.
"לא מומלץ להסתובב ערומים ליד המצלמה"
איך בכל זאת מגינים על הבית החכם? איך תדעו שהמצלמה שרכשתם לטובת הגברת הביטחון האישי שלכם לא פועלת נגדם?
ראשית, הכי חשוב: לשים סיסמה חזקה למצלמת האבטחה או לכל רכיב חכם אחר שרכשתם. אין להסתפק בסיסמת ברירת המחדל שמגיעה עם המכשיר - אלה סיסמאות שזולגות תמיד לרשת, ולהשתמש בהן שקול ללא לשים סיסמה בכלל. מומחי האבטחה אף ממליצים להשתמש בסיסמה שונה מזאת שמשמשת את הראוטר הביתי.
שנית, חשוב לבחור ספק אמין ומוכר. "גדולים וטובים נפרצים כל יום", מסביר אמיר מודן, סמנכ"ל השיווק של באג, "אבל אם אתה בוחר בספקית שגם דואגת לעדכוני תוכנה שוטפים, היא כנראה תדאג לסגור פרצות אבטחה כשהן מתגלות. בחלק מהמצלמות אפשר גם לכוון שעות שבהן המצלמה לא מקליטה, כך שאפשר למשל להגדיר שהמצלמה לא תקליט בשעות הלילה כשהמשתמשים בבית. בכל מקרה, אני ממליץ לא להתסובב ערום ליד המצלמה ולא לשים מצלמה במקלחת".
כשקונים מצלמת אבטחה מחברת תקשורת (בזק משווקת מוצר כזה), המוצר יקר יותר מבחנות או באתר סחר מקוון. עם זאת, ספקית השירות בדרך כלל מחויבת לבקרת מוצר ולאבטחת מידע יותר מספק סיני לא מוכר. בנוסף, יש לה כלים לבדוק את התנהגות המצלמה ברשת.
עוד ב-TheMarker
דרמה בשוק הסלולר: סלקום מבקשת לפרק את גולן טלקום
חברת הטכנולוגיה הצומחת בישראל: מג'יסטו, המפתחת תוכנת עריכה אוטומטית