תיק מניות

רשימת קריאה

רשימת הקריאה מאפשרת לך לשמור כתבות ולקרוא אותן במועד מאוחר יותר באתר,במובייל או באפליקציה.

לחיצה על כפתור "שמור", בתחילת הכתבה תוסיף את הכתבה לרשימת הקריאה שלך.
לחיצה על "הסר" תסיר את הכתבה מרשימת הקריאה.

לרשימת הקריאה המלאה לחצו כאן

תיזהרו, מישהו מציץ לכם

מתקפות סייבר מהתקופה האחרונה הוכיחו כי התקנת מצלמת אבטחה יכולה לגרור חדירה לפרטיות, השתלטות על הבית החכם ושימוש במכשיר להפצת ספאם

2תגובות
מצלמה
גד גניר

לפני כשנה התפרסם בכמה אתרי חדשות בחו"ל סיפור עוכר שלווה: זוג צעיר מקליפורניה התקין בחדר של ילדם בין השלוש "בייבי מוניטור" - מערכת ניטור ואבטחה עם יכולות צילום ושליטה מרחוק דרך הטלפון החכם. המוצר מתוצרת חברת Foscam, יצרנית פופולרית של מצלמות אבטחה, נפרץ בידי האקר שצפה בילד בחדרו, כנראה במשך שעות ארוכות.

אילו הסיפור היה נגמר כך, אולי כלל לא היינו שומעים על המקרה, אך הפורץ הגדיל והשתמש ברמקול המובנה כדי לדבר עם הילד פעמים רבות. באחד המקרים, ההורים נכנסו לחדר ושמעו את הפורץ אומר לילד "זהירות, מישהו בא!". הילד התלונן בעבר כי "מישהו מדבר אתו בטלפון", אך ההורים לא ידעו לפרש את התלונה. הסיפור הזה מעלה את השאלה: האם כשאתם קונים מצלמת אבטחה לבית אתם למעשה עלולים לסכן את הביטחון האישי שלכם?

ישראל חווה גאות ברכישה של מצלמות אבטחה אלחוטיות לשימושים ביתיים כחלק ממגמה בינלאומית. מוצרים מסוג זה ניתן לרכוש באתרי מסחר סיניים כגון עלי־אקספרס או ברשתות חשמל ומחשבים. גם חברות הטלקום פועלות בתחום, ובישראל בזק משווקת מוצר שליטה מרחוק ל"בית חכם" תחת המיתוג BHome.

מחירי המצלמות מתחילים בכמה עשרות שקלים באתרים סיניים, דרך מצלמות ממותגות באזור של 200–400 שקל ועד מצלמות בעלות יכולות מתקדמות ב-700 שקל ויותר. בזק מוכרת את המוצר שלה במודל של חכירה ותשלום חודשי של 24.90 שקל. על פי נתוני בזק, החברה מכרה עשרות אלפי יחידות. כל המוצרים מגיעים עם אפליקציה סלולרית נלווית, שמאפשרת לצפות בנעשה בבית מרחוק, להסיט את המצלמה, להאזין לנוכחים ואף לדבר עמם. כמו כן, לרוב המצלמות יש יכולת הקלטה על גבי כרטיס זיכרון.

מקרר
בלומברג

על פי גוגל טרנדס, בחודש החולף זינק בחדות מספר החיפושים אחר "מצלמת אבטחה" לעומת שלוש השנים האחרונות. הביקושים למצלמות מזנקים גם נקודתית, בעת אירועי ביטחון וטרור.

אמיר מודן, סמנכ"ל השיווק של רשת האלקטרוניקה באג, אמר כי "עד לא מזמן, כמה שנים אחורה, המצלמות היו מסובכות להתקנה. רוב הרוכשים היו עסקים קטנים, שהיו הולכים למתקין מצלמות, והוא היה גובה מהם 2,000–4,000 שקל. המחירים ירדו בהרבה מאז, ועכשיו הם מתחילים אצלנו ב–280 שקל למצלמה מחברת Yi (חברה בת של שיאומי). עברנו ממכירה של כמה עשרות מצלמות אבטחה בחודש רק לפני שנה, ליותר מ–1,000 בחודש כיום, ולעתים גם 2,000. גם ההתקנה הפכה לפשוטה, אין סיכוי לא להצליח, לא צריך להגדיר שום דבר".

שיעור הטלוויזיות החכמות בארה"ב

מודן הוסיף כי "המוצר העיקרי שלנו הוא המצלמה של Yi, שכן החברה בחרה בישראל כאחד השווקים הראשונים שלה מחוץ לסין. בניגוד למצלמות אחרות, שמקבלות אולי עדכון תוכנה אחד לאורך חיי המצלמה, Yi מוציאים עדכון כמעט שבועי עם פיצ'רים מגניבים כמו זיהוי בכי של תינוק, התרעה על תנועה בחלק מסוים של התמונה ושילוב של כמה מצלמות במקביל".

ג'ונגל ושמו IoT

העובדה שטכנולוגיה שהיתה יקרה ושימשה בעיקר עסקים נהפכת לזולה וזמינה למשתמשי קצה, היא דבר חיובי בעיקרו. לדוגמה, מצלמות רשת עזרו לא פעם לתפוס גנבים ומטפלים שמתעללים בקשישים. אך במקרים מסוימים, מצלמת האבטחה יכולה להפוך גם לאיום אבטחה. למעשה, כל מכשיר מחובר לרשת שאנחנו מכניסים לבית: מסך טלוויזיה, מצלמה, נורה חכמה ועוד - יכול להפוך לאיום עבורנו, בלי שאפילו נדע זאת.

כיצד מצלמת האבטחה ושאר האמצעיים החכמים מקטגוריית ה"אינטרנט של הדברים" (IoT) יכולים לסכן אותנו? בכמה דרכים. האתר Insecam.com הוא למעשה מנוע חיפוש גדול למצלמות רשת בכל העולם ומכל הדגמים. אלו מצלמות שאנשים התקינו בבתיהם, בלי לטרוח להגן עליהן אפילו בסיסמה פשוטה.

שאול לוי
שאול לוי

אפשר להיכנס לאתר ולמצוא שם פיצוצייה בתל אביב, חצר אחורית בראש פינה וסלון של בית פרטי בפתח תקוה - הכל בשידור חי ובאיכות טובה. בעת העבודה על כתבה זו אף מצאנו מצלמה פעילה בכיתת מדעים של בית ספר בפתח תקוה, שהגישה אליה היתה פתוחה דרך האתר. הגישה למצלמה נחסמה לאחר שהודענו על כך להנהלת בית הספר. מנוע חיפוש אחר, בשם shodan.io, חופר עמוק יותר באינטרנט של הדברים, וממפה כל רכיב שמחובר לרשת.

בסרטון שפורסם באתר הטכנולוגי MotherBoard, מייסד האתר מראה כיצד ניתן בגלישה פשוטה, בלי ידע בתכנות, להגיע למערכת של בית חכם בארה"ב - ומכיוון שהלקוח לא טרח להוסיף סיסמה למערכת, איך אפשר להרים ולהוריד את התריסים בביתו, לכבות את האורות וכדומה. עם זאת, גם אם הוספתם סיסמה למצלמה או לבקר של הבית החכם, זה לא מבטיח הגנה של 100%, שכן האקרים יודעים לפרוץ ולעקוף סיסמאות.

שני חוקרי אבטחה, אנדרו טיראני וקן מונרו, הוכיחו אפשרות של תסריט מפחיד אחר: הם השתלטו מרחוק על בקר של טרמוסטט ביתי, ודרשו כופר: תשלום תמורת החזרת הטרמוסטט לפעולה. ניתן לדמיין, לדוגמה, איך האקרים מהסוג הלא מוסרי יכולים לנצל סערה כדי לתקוף כך בית בעיר ניו יורק. האקר "לבן" (האקרים שמודיעים לחברות ואנשים על פרצות אבטחה, במקום לנצל אותן) הראה כיצד הוא משתלט על "מנעול חכם" לדלת, ומצליח לגרום לו להיפתח. היצירתיות של התוקפים בעולם הסייבר היא רבה, ואפשר רק לדמיין מה הם יכולים לעשות עם גישה למכשירים שמחוברים לאינטרנט. האקרים יכולים לפרוץ למצלמות רשת כדי לאגור תמונות עירום או וידאו של יחסי מין - ולמכור אותן לאתרי פורנו או לסחוט את המצולמים. תיתכן גם פריצה למצלמות רשת לטובת איסוף מידע על מתחרים במסגרת ריגול עסקי.

תסריט סייבר אחר הוא שמצלמת הרשת שלכם - או הטלוויזיה החכמה, או המדפסת שמחוברת לרשת וכן הלאה - תגויס, ותשמש במתקפות סייבר אחרות. זה בדיוק מה שקרה ב-21 באוקטובר במתקפה המכונה Mirai. ההאקרים, שהיו חובבנים, "גייסו" מבעוד מועד מספר גדול של מכשירים המחוברים לאינטרנט. כנראה מדובר בכמיליון וחצי מצלמות רשת, טלוויזיות חכמות וממירים מקליטים, שאליהם הם פרצו בקלות באמצעות שימוש בסיסמאות ברירת המחדל שעמן מגיעים המכשירים מהמפעל. הלקוחות לא ידעו דבר על כך שהמצלמה בביתם "גויסה" ומחכה ליום פקודה. רשת שקטה מסוג זה מכונה Botnet.

רועי דגן

הרשת הזאת הופעלה כולה ברגע אחד, וכוונה נגד שרתים של חברה בשם Dyn - ספקית מרכזית עבור חברות גדולות אחרות כגון טוויטר, נטפליקס ו-Airbnb. המתקפה היתה הגדולה מסוגה אי פעם, ויצרה עומס של מאות ג'יגות על שרתי Dyn. ההתקפה הצליחה להפיל חלק מהאתרים הללו לזמן רב בחלקים נרחבים של העולם.

קשה מאוד להגן על מוצרים באינטרנט של הדברים. מרדכי גורי, המדען הראשי של חברת הסייבר מורפיסק, כינה את התחום "ג'ונג'ל", והסביר כי "ה-IoT מורכב ממגוון גדול של יצרנים, עם מגוון ערכות שבבים, ארכיטקטורות ומעגלים חשמליים, ויש גם מגוון של מערכות הפעלה. לבסוף, עדכוני תוכנה ותיקוני באגים תכופים שאנו מכירים ממערכות הפעלה מודרניות לא ממש קיימים בעולם האינטרנט של הדברים". כלומר, הביזור של האמצעים והפלטפורמות והיעדר הסטנדרט הקבוע לא מאפשרים ליצור אנטי־וירוס או תוכנת הגנה למוצרי IoT, וממילא לא בטוח שיש דרך להתקין תוכנה כזו על הרכיב.

מומחה אבטחה: קיים כשל שוק בתחום

מצלמות האבטחה הנפוצות בישראל ומחירן

מדו"ח של חברת אבטחת המידע Zscaler התברר כי חלק גדול מהמוצרים החכמים הפופולריים ביותר בעולם - כמצלמות חכמות של חברת Foscam ו-Axis וטלוויזיות חכמות של חברת Haier - משתמשים בתקשורת נתונים לא מוצפנת, מה שמאפשר האזנה לתעבורה ואף מניפולציה שלה. במקרים רבים, מצלמות כאלו נמכרות בשווקים שונים תחת מותגים שונים - אבל מתחת למדבקה על האריזה נמצאת אותה פרצת אבטחה.

מדוע היצרניות אינן טורחות להגן על המכשירים החכמים? חוקר האבטחה הבכיר, ברוס שנייר, חקר את השאלה הזאת והגיע למסקנה שתחום המכשירים החכמים נמצא "בכשל שוק": ראשית, היצרניות נמצאות בתחרות על המחיר, ולכן לא יכולות או רוצות להשקיע באבטחה. שנית, כשיש מתקפה כמו Mirai, היא לא מפריעה לא ליצרנית ולא לצרכן. מי שנפגע הוא בכלל מישהו אחר, אז למה שהצרכן ישלם יותר?

שנייר קרא להתערבות ממשלתית של ממש - לאסור על שיווק מוצרים שאינם בטוחים מספיק, בדיוק כפי שמונעים שיווק צעצועים מסוכנים לילדים. לדבריו, "אם אנחנו רוצים לאבטח את העולם החכם - המחובר, הממוחשב, החדש - אנחנו זקוקים למעורבות ממשלתית באינטרנט של הדברים וכללי רגולציה למה שנהפך לטכנולוגיה מאיימת ומסוכנת לחיי אדם. נכון להיום, הביטחון של האינטרנט תלוי במיליוני רכיבים עם קישוריות אינטרנטיות, שנמכרים על ידי חברות שלא שמעתם עליהן מעולם, ושאבטחת מידע חשובה להן כקליפת השום. כמו בזיהום אוויר, הפתרון היחיד הוא רגולציה. הממשלה צריכה לחייב יצרני מוצרי IoT בסטנדרטים מינימליים של בטיחות, גם אם ללקוחות לא אכפת".

גם המחלקה לביטחון המולדת בארה"ב הבינה את גודל האיום שנוצר, והוציאה בשבוע שעבר הנחיה חדשה לכל היצרניות בענף תחת הכותרת "עקרונות אסטרטגיים לאבטחת האינטרנט של הדברים". המסמך מבהיר כי זאת אחריות של היצרניות לדאוג לאבטחת המוצר, כחלק מהאחריות הכללית שלהן, וכי הן חשופות לתביעות משפטיות בעניין.

מספר מצלמות האבטחה בארה"ב, במיליונים

דוד פלדמן - מנכ"ל חברת CYBONET, שמספקת פתרונות מניעת ספאם לספקיות אינטרנט - הסביר כי "כל מה שמייצר דאטה יכול להיות חלק מרשת המתקפה, גם המקרר החכם. אם מצלמת אבטחה יודעת לשדר תמונה, היא יכולה גם לשמש האקרים לשליחת ספאם". לדבריו, גם לספקיות האינטרנט צריך להיות אכפת מאיום הסייבר שמציב הבית החכם: "גם הלקוח וגם ספקית האינטרנט עלולים להפוך לכתובת IP שמסומנת כמזוהמת, ושיסננו אותה בכל מיני כלי אבטחה". פלדמן מוסיף כי עבור הספקיות, מתקפות כאלו הן כאב ראש וכאב בכיס - שכן מתקפות ספאם ו-DDoS יוצרות כמות גדולה של תקשורת נתונים, ולכן יוצרות להן עלויות מיותרות.

בענן או בראוטר?

אז איך מגינים על מהפכת הבית החכם, שנמצאת רק בראשיתה? מומחי האבטחה חלוקים ביניהם. הגישה הראשונה היא שמאחר שלא ניתן בהכרח להוסיף תוכנת אבטחה לרכיב עצמו, "השומר" צריך לעמוד בראוטר הביתי - זה שדרכו עוברת כל התעבורה של הבית.

שאול לוי, המדען הראשי של ענקית האבטחה Avast־AVG מסביר: "אנחנו כבר יודעים להגן על הצרכן ב-PC, במק ובסמארטפון - אבל בעתיד יהיו לנו בבית מחשבים מסוגים שונים, בגלל מהפכת ה-IoT. הכל עובר דרך הראוטר, ולכן החלטנו שצריך להתמודד עם הזירה הזאת. הוצאנו מוצר תוכנה בשם Chime עבור ראוטרים, שיכפה את כל בדיקות האבטחה כבר בנתב. אנחנו אומרים לכל יצרניות הנתבים - קחו מאתנו את התוכנה". נכון להיום הפתרון של AVG מוטמע בראוטר של יצרנית ראוטרים יקרים יחסית בשם Amped Wireless, אך לוי מקווה להכריז על שותפויות נוספות בקרוב. הוא הוסיף כי החברה מתכננת לשחרר בקרוב את Chime כקוד פתוח, כך שיצרניות יוכלו להשתמש בו ללא עלות, ולשפר את המוצר.

AVG אינה לבד במרוץ. חברה ישראלית ששמה Labs־Dojo, שפיתחה נתב־משנה חכם לבית, נרכשה באחרונה על ידי חברת האבטחה הבריטית Bullguard. כמו כן, חברת אבטחת המידע הפינית Secure־F מקדמת ראוטר חכם עם הגנה על בתים חכמים, תחת השם Sense; חברת אבטחת המידע הרומנית Bitdefender מפתחת רכיב אבטחה פיזי לעולם ה–IoT הביתי, בנוסף לנתב; והסטארט־אפ Luma, שמפתח ראוטר מתקדם, הכולל יכולת אבטחה לבית החכם, גייס כסף ממשקיעים כבדי משקל כגון אמזון וקרן אקסל. וזאת רק רשימה חלקית.

הגישה השנייה לאבטחת האינטרנט של הדברים מקודמת על ידי נבחרת נכבדה של מומחים, שטוענים כי הראוטר דווקא ייהפך ליותר טיפש בעתיד, וכי כל ההגנה תתרחש דווקא בענן. רועי דגן, המייסד והמנכ"ל של חברת סייבר ישראלית צעירה בשם Securithings, מסביר: "הדור הישן של IoT אלה מכשירים שהצרכן רוכש, הם מתחברים עם כתובת IP לרשת וזהו בעצם. הדור השני של המוצרים מחובר כבר בדרך כלל לאיזשהו ענן ולספק שירותים, לרוב במודל תשלום חודשי. כשאתה קונה מצלמת רשת מעלי־אקספרס, אין לך הסכם מול החברה. לעומת זאת, כשאתה קונה אמצעי כלשהו מספקית מוכרת ובתשלום חודשי, החוזה בין הצדדים הוא קצת יותר ברור ומחייב. אנחנו חושבים שעם התפתחות המודעות לסכנות, אנשים ירצו לקנות מוצרי IoT מספק שהם סומכים עליו. זה כמו שאתה משתמש בג'ימייל כי אתה סומך על גוגל, אבל לא תסכים לקבל שירות רגיש כזה מכל ספק קיקיוני".

החברה של דגן מוכרת את המוצר לספקי השירות: "אנחנו יושבים בענן ובודקים פרמטרים רבים - מאיפה הלקוח מתחבר למצלמה, באיזו שעה, איזו פעולה הוא עושה וכדומה. למשל, אם עכשיו אוגוסט ו–30 מעלות בחוץ, אז הלקוח לא אמור להדליק את המזגן על חימום, ואם הוא עושה זאת אולי זה כתוצאה מפריצה למכשיר. המערכת שלנו עושה למידה אוטומטית ואנליזה, ומייצרת דירוג של רמת סיכון לכל פעולה".

מנהל אבטחת המידע של בזק, חיים מילר, הרצה באחרונה בכנס פועלים־טק, ותמך גם הוא בגישת הענן: "האינטרנט של הדברים מצריך מערכת הגנה דינמית בענן, שלומדת את הרשת, מבינה, מנטרת ומגיבה לווירוסים. ברגע שמוצר כמו שקע חכם נרשם לרשת, אנחנו לומדים אותו ורושמים את דפוס ההתנהגות שלו במשך שבוע. כשמסתיימת תקופת הלמידה, אם קורה משהו חריג יש לנו שתי אפשרויות: או שנתריע בפני הלקוח או שנחסום את הגישה החריגה, לפי בחירת הלקוח".

תחום ה-IoT נחשב על ידי רבים לאיום סייבר משמעותי - גם למשתמש היחיד וגם לארגונים. המחלקה לביטחון המולדת בארה"ב הזהירה לפני כשבועיים כי הצמיחה במוצרים מחוברים לרשת הופכת אותם לתשתיות קריטיות, ויוצרת מגוון הזדמנויות לגורמים מזיקים. "תהליכים שהיו ידניים בעבר, ולכן חסינים ממתקפות סייבר, הופכים להיות פגיעים", נכתב בהודעה שפירסמה המחלקה. הקריאה של חוקרים כשנייר ומומחי המחלקה לביטחון המולדת בארה"ב צריכה להישמע גם אצל גורמי רגולציה ותקינה בישראל - השב"כ, רשות הסייבר הלאומית, משרד התקשורת ואף מכון התקנים. כדאי לחשוב בהקדם על יצירת רגולציה וסטנדרטים לתחום, גם אם הדבר יגרום לעליית מחירי המוצרים, מכיוון שההתקפות על עולם האינטרנט של הדברים צפויות רק לגבור ולהפוך למתוחכמות יותר ויותר.

"לא מומלץ להסתובב עירומים ליד המצלמה"

איך בכל זאת מגינים על הבית החכם? איך תדעו שהמצלמה שרכשתם להגברת הביטחון האישי שלכם לא פועלת נגדכם?

ראשית, הכי חשוב: להקפיד על הוספת סיסמה חזקה למצלמת האבטחה או לכל רכיב חכם אחר שרכשתם. אין להסתפק בסיסמת ברירת המחדל שמגיעה עם המכשיר - אלו סיסמאות שזולגות תמיד לרשת, ולהשתמש בהן שקול להפעלה בלי סיסמה כלל. מומחי האבטחה אף ממליצים להשתמש בסיסמה שונה מזאת שמשמשת את הראוטר הביתי.

שנית, חשוב לבחור ספק אמין ומוכר. "גדולים וטובים נפרצים כל יום", מסביר אמיר מודן, סמנכ"ל השיווק של באג, "אבל אם אתה בוחר בספקית שגם דואגת לעדכוני תוכנה שוטפים, היא כנראה תדאג לסגור פרצות אבטחה כשהן מתגלות. בחלק מהמצלמות אפשר גם לכוון שעות שבהן המצלמה לא מקליטה, כך שאפשר למשל להגדיר שהמצלמה לא תקליט בשעות הלילה כשהמשתמשים בבית. בכל מקרה, אני ממליץ לא להסתובב עירום ליד המצלמה ולא לשים מצלמה במקלחת".

כשקונים מצלמת אבטחה מחברת תקשורת (בזק משווקת מוצר כזה), המוצר יקר יותר מבחנות או באתר סחר מקוון. עם זאת, ספקית השירות בדרך כלל מחויבת לבקרת מוצר ולאבטחת מידע יותר מספק סיני לא מוכר. בנוסף, יש לה כלים לבדוק את התנהגות המצלמה ברשת.

הירשמו עכשיו: עשרת הסיפורים החמים של היום ישירות למייל
נא להזין כתובת מייל חוקית
ברצוני לקבל ניוזלטרים, מידע שיווקי והטבות



תגובות

דלג על התגובות

בשליחת תגובה זו הנני מצהיר שאני מסכים/מסכימה עם תנאי השימוש של אתר הארץ

סדר את התגובות

כתבות ראשיות באתר

כתבות שאולי פיספסתם