בשנים האחרונות מצלמות אבטחה פרטיות הגיעו לכמעט כל בית. עם הורדת המחיר וכניסה מסיבית של חברות סיניות לשוק, המחירים ירדו בהתאם, ובישראל, כמו בשאר העולם, מצלמות אבטחה נרכשו בכמויות גדולות והותקנו בכל עסק ובבתים רבים.
אבל מצלמות אבטחה הן הכלי הכי קל לפריצה מבין מכשירי החשמל שיש לכם בבית. בדוח האינטרנט המסכם את שנת 2024 שהוציאה אתמול חברת בזק נטען כי מצלמות ביתיות נפרצות לפחות פי 100 יותר מכל מכשיר ביתי אחר. פרשת הפצת הסרטונים מחדר הכושר ביבנה אולי העלתה את הנושא לסדר היום, אבל זאת לא הפעם הראשונה.
כ-3 חודשים לאחר מתקפת 7.10, הזהיר מערך הסייבר הישראלי את הציבור בדיוק בנושא המצלמות, לאחר שכמה נפרצו על ידי האקרים פרו-פלסטינים. בהודעה של המערך נכתב כי מצלמות אלו חושפות ישירות את הנצפה בהן, וחלקן ניתן לתקוף בקלות באמצעות שימוש בסיסמאות ברירת מחדל, סיסמאות נפוצות, או באמצעות פגיעויות מוכרות במצלמות שלא תוקנו באמצעות התקנת עדכוני אבטחה. כל מצלמה כזו, בפרט כאלו הצופות לאזורים ציבוריים או למתקנים רגישים עלולה לשמש את האויב לאיסוף מודיעין.
"מצלמות אבטחה נחשבות כיעד מועדף על תוקפי סייבר בשל הקלות שבה אפשר לפרוץ למצלמות. בתעשיית הסייבר מצלמות נחשבות 'החוליה החלשה' באבטחה", מספרת מירי אופיר, דירקטורית מחקר ופיתוח IoT בצ'ק פוינט ל-mako. "המוטיבציה משתנה אבל השיטות דומות. לפעמים תוקף ינסה לפרוץ למצלמה כדי להשיג את 'המודיעין' – הוידאו המצולם, ולפעמים הוא ירצה לדלג מהמצלמה פנימה לתוך הארגון, כדי להגיע לנכסים המעניינים יותר.
"טכניקות הפריצה כוללות ניסיונות לגשת באמצעות סיסמאות חלשות או סיסמאות ברירת מחדל. הרבה יצרנים משתמשים בסיסמה ראשונית קבועה וממליצים להחליף אותה בזמן ההתקנה, אבל לא תמיד המתקין יעשה את זה. ישנם גם מתקיני מצלמות שמשתמשים בסיסמה אחידה עבור כלל הלקוחות שלהם כדי לאפשר תמיכה פשוטה מרחוק.
"בנוסף, הם מגדירים כתובת רשת קבועה למכשיר ההקלטה מאותה סיבה – לאפשר להם תמיכה נוחה מרחוק. אלו פרקטיקות שגויות שמנוצלות בקלות על ידי תוקפים. הסיסמאות דולפות ואפשר למצוא אותם בקלות במאגרים זמינים ברשת האפלה. בארגונים קטנים ייתכן מאוד שהרשת מוגדרת בצורה לא מקצועית. כך שכל מי שמתחבר לרשת האלחוטית, יכול בקלות להגיע גם למצלמות ולמכשירי ההקלטה", אומרת אופיר.
על כך נוספת בעיית עדכוני האבטחה: "חולשות אבטחה מתגלות כל הזמן, והיצרן נדרש לשחרר עדכוני תוכנה כדי לסגור את הפרצות. היצרנים לא משקיעים בעדכון התוכנה כי הם מעדיפים לפתח מוצרים חדשים, וגם לא טורחים לעדכן את המכשירים כאשר יש עדכון זמין", מזהירה אופיר. "פרצות האבטחה מאפשרות לתוקף לנצל אותן בקלות על ידי נוזקות שגם אותן ניתן למצוא די קלות ברשת. יש תוקפים שמוכרים שירות של גישה למצלמות פרוצות תמורת תשלום נמוך".
בצ'ק פוינט ממליצים "להשתמש במכשירים של חברות רציניות, לדרוש מהמתקין לאפשר לכם להגדיר סיסמה ייחודית עם שילוב של קוד חד-פעמי, שנשלח לטלפון איפה שניתן. בנוסף, לא לאפשר גישה מרחוק למצלמה, אלא רק דרך חשבון קלאוד של הספק, להתקין עדכוני אבטחה, ולנטר את המכשירים בצורה רציפה".
מיי ברוקס קמפלר, מומחית סייבר ואבטחת מידע ומנהלת הקהילה "בטוחים אונליין", מתייחסת גם היא לקלות שבה אפשר לפרוץ למצלמות: "קודם כל מבחינה חוקית, מותר לצלם במרחב הציבורי, אבל החוק דורש לשים שלטים שמצהירים שהאזור מצולם. מעבר לזה - מצלמות הן פריצות או לא פריצות בהתאם לסוג המצלמה והאבטחה ששמו עליה. לצערי במרבית המקרים אנשים לא שמים הגנות.
"צריך להחליף את הסיסמה הדיפולטיבית איתה הגיעה המצלמה/מערכת ההקלטות, בסיסמה אישית חזקה, וגם לבדוק את עדכוני האבטחה של המצלמות, ואם יש צורך לעדכן. ברמה האישית - לקחת בחשבון שהמרחב הציבורי מצולם. כל מה שאנחנו עושים במרחב הציבורי יכול למצוא את עצמו ברשת".
במערך הסייבר הלאומי מציעים, מלבד שני הטיפים הללו, גם להגביל את הגישה למצלמת האבטחה לכתובות ספציפיות מוכרות, או להשתמש בשירות כגון VPN עם הצפנה והזדהות חזקה מתאימה.