היום הוא יום חגיגי בארץ האפשרויות הבלתי נגמרות, עם השבעתו של ג'ו ביידן לנשיא ה-46 של ארה"ב. נשות הסייבר החדשות אותן מינה ביידן בסוף השבוע האחרון לקצינות אבטחת המידע של הממשל לא לקחו סיכונים נוספים וקבעו שעם כניסתו לחדר הסגלגל, הוא ייאלץ לוותר על אחד החפצים האהובים עליו: הפלוטון שלו. הנשיא בן ה-78, ששומר על כושר ומקפיד לרכוב על אופניים חכמים שמאפשרים לו להתחרות ברוכבים אחרים, ייאלץ לפדל במקום אחר.

אם לא שמעתם עליהם, אופני פלוטון מצוידים במסך גדול שמציג למתאמן את המסלול ופרטים על האימון, לצד מצלמה ומיקרופון. כצפוי, מכשיר כזה דורש חיבור לאינטרנט, ובכך הופך לסיכון ביטחוני פוטנציאלי; ממש כמו המראה החכמה של לולולמון שמציגה למתאמנים את דמותם לצד מאמן שמדגים את התנועות, ויכולה להוות גם היא מטרה לפריצות. ראשי השירות החשאי בבית הלבן כבר הודו שיסירו את המצלמה והמיקרופון מהפלוטון של ביידן כדי לא לאפשר לגורמים זרים לצותת לנעשה בתוך הבית הלבן, אך סביר שהם יחסמו לחלוטין את החיבור לרשת האינטרנט, מה שיותיר את בני הזוג ביידן עם זוג אופניים יקר וחסר ערך.

סביר שגם אתכם מקיפים מוצרים כאלה; המראה החכמה של לולולמון ואפילו אלכסה של אמזון, למשל, הם דוגמה נוספת לכך. בעגה המקצועית הם נקראים "התקנים מקושרים", מאחר שמותקן בהם רכיב תקשורת שיודע ליצור קשר עם התקנים אחרים, דרך פרוטוקולים כמו בלוטות' ואפילו דרך חיבור לרשת הסלולרית. כיום מקיפים אותנו אינספור מכשירים כאלה: מצלמות אבטחה, חיישני חום שמפעילים את המזגן כשהבית חם מדי, מברשות שיניים חכמות שמדווחות לאפליקציה האם הצחצוח האחרון שלנו היה יסודי, ואפילו תאורת רחוב חכמה. מאחר שכולם מחוברים לרשת בדרך זו או אחרת, לכולם יש כתובת IP – ובאופן תיאורטי, ניתן לגשת לכל אחד מהם. גודל המכשירים, ולעתים הפשטות שלהם, לא מאפשרים להתקין על תוכנות אבטחה, וכך הם נשארים פרוצים בפני האקרים.


אז למה שהאקרים יפרצו להתקני IoT? המטרה הראשונה והברורה היא להשיג מידע אישי ואינטימי על הקורבנות. במקרה של ביידן, ברור מה הנזק שעלול להיגרם אם מישהו יוכל לצותת למתרחש בין כתלי הבית הלבן, אך גם למשתמש הביתי מדובר בסיכון לא מבוטל. כבר אירעו מקרים שבהם פורצים חדרו לבייבי מוניטור והשמיעו קולות מטרידים לתינוקות והוריהם, או השיגו גישה למצלמות אבטחה והציעו את הצילומים למכירה לכל המרבה במחיר. זוכרים את המקרה של הזמרת עדן בן זקן, שתועדה שלא בידיעתה בחנות בגדי ים?

המטרה השניה היא לחדור לארגונים. כבר קרה בעבר שתוקפים הצליחו להשיג גישה למידע רגיש דרך התקנים חכמים שלא היו מאובטחים, ולעתים גם לא מוכרים לארגון. סוכנות החלל האמריקנית, נאס"א, נפרצה בשל מכשיר Raspebrry Pi שהיה מחובר לרשת ללא אישור, ומיקרוסופט כבר חשפה שהאקרים רוסים משתמשים במצלמות חכמות ובמדפסות מקושרות ועוד כדי לפרוץ לחברות שונות. אגב, לא תמיד המטרות זדוניות: האקר הצליח להשתלט על 50 אלף מדפסות רשת ברחבי העולם, והדפיס דרכן מודעה שקוראת לאנשים להירשם לערוץ היוטיוב הפופולרי PewDiePie.

הסיבות לתקיפה הן כמובן רבות, אך סיבה נוספת ומדאיגה לא פחות היא גיוס מכשירים חכמים כחיילים בצבא של בוטנט. מדובר ברשת שמורכבת מאוסף מכשירים שהשתלטו עליהם במטרה לשגר מתקפות מניעת שירות מבוזרות (DDoS), או לצורך כריית מטבעות קריפטוגרפיים.


עבור המשתמש הביתי, האיום הגדול ביותר הוא על הפרטיות: רבים מהמכשירים החכמים, במיוחד הזולים שבהם, מגיעים ללא סיסמאות (או עם סיסמאות ברירת מחדל של היצרן). גם אז, יש לזכור שהמידע שהמכשיר אוסף נשמר, ועלול לדלוף בהמשך. מכיוון שמכשירים אלה "נטמעים" בסביבה הביתית שלנו, אנחנו שוכחים שהם שם ומתנהגים כרגיל, מדברים כרגיל ולמשל מסתובבים לידם בלבוש מינימלי, ולכן מומלץ שלא להכניס הביתה מכשירים כאלו אם יש בבית ילדים קטנים, ואם כן, אז להתקינם במקום בולט כדי שלא נשכח שהם שם.

אסף אמיר, ראש מחלקת מחקר בסנטינל וואן (צילום: SentinelOne)
אסף אמיר, ראש מחלקת מחקר בסנטינל וואן|צילום: SentinelOne

עבור עסקים, האתגר גדול יותר, שכן מערכות האבטחה המסורתיות ״עיוורות״ להתקנים כאלו. בתקופה שאחרי הסגר יש לצפות שעובדים רבים יביאו למשרדים שלל ציוד ביתי או כזה שרכשו כדי לעבוד מהבית (כמו מצלמות רשת, מיקרופונים ועוד). אביזרים אלו יחוברו לרשתות המשרדיות ועלולים לפתוח את הארגון לפריצה. קיימות טכנולוגיות ייעודיות שיודעות לאתר מכשירים כאלו ברשתות, לסווג אותם ולאכוף עליהם את מדיניות האבטחה של הארגון. לדוגמה, אם זוהה שהתקן כזה מדבר עם כתובת IP שמשוייכת לתוקפים, או מעביר כמויות גדולות של דאטה, או מתקשר בזמנים לא הגיוניים, הוא פשוט ינותק מהרשת ותיחסם האפשרות שלו לתקשר עם העולם החיצון. נראה, אם כן, שאנשי האבטחה של הבית הלבן לא מפריזים בהערכת הסיכון של הכנסת מכשיר כושר מקושר לליבו של הממשל, וכולנו יכולים ללמוד מהם.

הכותב הוא אסף אמיר, ראש מחלקת המחקר בחברת הסייבר SentinelOne