מי רוצה לצותת לוויכוח בין המקרר לשואב האבק? - TechNation - TheMarker
 

אתם מחוברים לאתר דרך IP ארגוני, להתחברות דרך המינוי האישי

טרם ביצעת אימות לכתובת הדוא"ל שלך. לאימות כתובת הדואל שלך  לחצו כאן

תיק מניות

רשימת קריאה

רשימת הקריאה מאפשרת לך לשמור כתבות ולקרוא אותן במועד מאוחר יותר באתר,במובייל או באפליקציה.

לחיצה על כפתור "שמור", בתחילת הכתבה תוסיף את הכתבה לרשימת הקריאה שלך.
לחיצה על "הסר" תסיר את הכתבה מרשימת הקריאה.

לרשימת הקריאה המלאה לחצו כאן

מי רוצה לצותת לוויכוח בין המקרר לשואב האבק?

לפני שאנו מלמדים את המכשירים לדבר זה עם זה ולדווח לנו דרך הרשת על מצבם, עלינו לדאוג שאיש לא יעקוב אחרי התשדורות וינצל לרעה את המידע שעובר ביניהם ■ "יהיה חמור מאוד אם הטכנולוגיה תתקדם, אבל האבטחה תישאר מאחור"

תגובות

בנובמבר האחרון התפוצצה פרשיית Vtech, שגילתה להורים רבים כי לא תמיד כדאי לתת לילדים לשחק עם טאבלטים ייעודיים לילדים. לקראת סוף אותו חודש, שאל עיתונאי את החברה איך יכול להיות שהנתונים של 6.3 מיליון הורים וילדים שהשתמשו בשירותיה נמצאים בידיו של האקר. חברת האלקטרוניקה מהונג קונג הופתעה מהשאלה, והתחילה לבדוק איך זה קרה.

הנתונים שנגנבו כללו תאריכי ימי הולדת של ילדים, כתובות וסיסמאות מייל, ואפילו תמונות שהעלו הילדים. בתום החקירה התברר כי החברה בקושי איבטחה את בסיס הנתונים שלה. איך דבר כזה קורה? ההורים קנו לילדים שלהם טאבלט ייעודי, שדרש הרשמה למאגר של Vtech. ההורים הניחו שניתן לסמוך על החברה ונרשמו, המידע נשלח לענן - כלומר, אל מאגר הנתונים של החברה - וההאקר, ללא מאמץ גדול במיוחד, השיג את המידע.

מקרה ידוע יותר הוא הפריצה לרשתות של סוני פלייסטיישן ומיקרוסופט אקס בוקס - זמן לא רב לאחר שפרצו למערכת המחשבים של סוני, לכאורה בגלל הקשר בין הסרט "ראיון סוף" לעובדה ששליט צפון קוריאה, קים ג'ונג און, לא אהב את העובדה שלועגים לו. במקרה הזה היה גם חשש שנגנבו פרטי התשלום של המשתמשים - מה שיכול היה להוביל לגניבה המונית של כספים מחשבונותיהם. לדוגמאות האלה אפשר להוסיף את הפריצה למאגר של ענקית הקמעונות טארגט, לרשת המלונות הילטון ולרשתות אופנה ברחבי העולם.

כל מה שצריך לדעת על קריירה בהייטק
כנסו למתחם

ניתן להאשים את הלקוחות ולבקש מהם שיהיו זהירים יותר, אבל הבקשה הזאת לא ריאלית כשעידן המזומן מתקרב לסיומו, והשימוש בכרטיסי אשראי או ברכישות מקוונות נהפך לשגרה. כל המקרים האלה מוכיחים שהמערכות פשוט לא מאובטחות מספיק, וכמעט כל מידע שמועלה לענן - נמצא בסכנה. בעידן שבו אנו מחברים עוד ועוד מכשירים לרשת, ששולחים בתורם את המידע לאותו ענן, סביר להניח שניתן לגלות עלינו כמעט הכל.

תערוכת טכנולוגייה של מקררים מתקדמים. אדם מציץ למקרר
רויטרס

"האתגר בקישור לרשת הוא גדול"

גילוי המידע הוא דבר אחד. אחר כך, צריך לשאול מה עושים עם המידע, ואם המכשירים החדשניים שנמצאים בבית לא יחליטו למרוד בבעלים שלהם ולעשות ככל העולה רוחם. כשמדובר בשואב אבק רובוטי, הסכנה היא בעיקר חוסר נעימות, אבל כשמדובר במכונית הנוסעת ללא נהג - מדובר בסכנת חיים של ממש.

עושה רושם שחברות רבות אינן מוטרדות מספיק מהבעיה, וחובבי הטכנולוגיה נלהבים לעתים מהפיתוחים שעשויים לשנות את העתיד, ופחות מבעיית האבטחה שאינה בשלה מספיק.

"האתגר שבקישור מוצרים לאינטרנט הוא גדול", אומר 
קולין אנגל, מנכ"ל איירובוט, המייצרת שואבי אבק רובוטיים לשימוש ביתי, ועד לאחרונה גם רובוטים לשימוש כוחות הביטחון. "רמת התחכום של הרשתות האלה והקישוריות שיש כיום עדיין חסרה חלק מהיכולות שהיית רוצה שיהיו בהן". לדבריו, מי שבונה מוצרים רובוטיים עם קישוריות, צריך להבין את הסיכונים הכרוכים בכך.

פיתוחי האי-רובוט, שואב האבק החדש
בלומברג

אבל גם שואב האבק הרובוטי שאתם השקתם, מחובר לאינטרנט וניתן לשלוט בו באמצעות הסמארטפון.

אנגל: "השקנו את האיירובוט 980, שהוא רובוט מקושר הבונה מפות של הבית, כדי שהוא יוכל להבין אילו אזורים הוא ניקה ואילו לא. אבל בשלב זה, המפות האלה לא עוזבות את הרובוט. למעשה, תיכננו את החומרה בתוך הרובוט כדי שהוא לא יוכל להעביר את התמונות ואת מערכות הניווט. אז גם אם האקרים מתוחכמים יחפשו דרכים להשיג את המידע מהרובוט, אני בטוח שהתכנות של הרומבה לא יאפשר לנתונים שהמערכת אוספת לצאת ממנה".

לדברי אנגל, הרובוט אינו שולח נתונים לענן - ובכך מעניק למשתמשים חוויה בטוחה יותר. "אתה יכול לכבות ולהדליק את הרובוט באמצעות הסמארטפון, אז גם אם מישהו יחדור למערכת, הוא יוכל רק לכבות ולהדליק את הרובוט", הוסיף.

זה לא דומה ל–LG, למשל, ששואב האבק החכם שלה יכול לשלוח תמונות לסמארטפון?

"אני לא יכול להגיב על תכונות של מתחרים, או אם זה בטוח או לא, אבל הם ללא ספק מאפשרים ליותר מידע לצאת מהרובוט. שמענו על חברות כמו Vtech, שהיו להן בעיות אבטחה, הן איבדו שליטה על מידע ששידרו המוצרים שלהם ולא התאמצו בכלל כדי לאבטח את המוצרים שלהן. אפילו חברות כמו נסט של גוגל משדרות המון מידע ובאופן מאובטח יחסית, אבל הוא עלול לדלוף".

רובוט של אינטל
רויטרס

"אי אפשר לסמוך על על אבטחת המידע"

אנגל זהיר יחסית בדבריו, אבל מומחי אבטחת סייבר אחרים מזהירים מקטסטרופה של ממש.

דייויד קליידרמרצ'ר, סמנכ"ל אבטחה בבלקברי, מטיל ספק ביכולת של הלקוחות להאמין לחברות ולטענות שלהן בנוגע לאבטחת המידע. "כל הספקיות טוענות שהמערכות שלהן עמידות להאקרים, אבל אנחנו רואים שזה לא נכון", הוא אומר.

בלקברי מוכרת לרוב הישראלים כיצרנית סמארטפונים שזכו לפופולריות רבה עד שהגיע האייפון, אבל מאז עוסקת החברה רבות בתוכנה ובאבטחה, ומפתחת מערכות הפעלה שבהן משתמשות חברות רבות. לדברי קליידרמרצ'ר, יש שני דברים חשובים שצריך לעשות: טיפול טכנולוגי וטיפול "של מדיניות", כהגדרתו.

"מהצד הטכנולוגי, אנחנו חייבים לשפר את תכנון האבטחה מההתחלה", הוא אומר. "הסיבה לכך שאנשים צריכים להאמין שבלקברי טובה בזה, היא קודם כל כי אנחנו עושים את זה הרבה זמן. כבר יותר מעשר שנים אנחנו מייצרים מכשירים שנחשבים לתו תקן בכל מה שקשור לאבטחה. הסיבה השנייה היא שאנחנו בוחנים את הבעיה מקצה לקצה - ובכל מה שקשור לאינטרנט של הדברים (IOT), אנחנו מרכיבים את התוכנה המאובטחת בתוך המכשיר, ושומרים על האבטחה של הרשת גם בקצה האחורי שלה".

מה שאתה בעצם אומר זה שהמודל של סיסמה שאנחנו מזינים, כבר לא מעודכן?

קליידרמרצ'ר: "זאת בעיה ספציפית מאוד. יש בעיות חמורות הרבה יותר בתחום האבטחה. למשל, אבטחה מתוקשרת, שמירה על המידע, שמירה על שיתוף מידע באינטרנט. חיבור מאובטח בפרוטוקול SSL אינו מספיק. פרוטוקול SSL מאבטח את המידע רק מנקודה א' לנקודה ב'. אבל מישהו מקבל את המידע - ומה הוא עושה אתו? מעביר אותו לגוף שלישי, ומי יודע מה עוד?"

אי־פי

אבטחה בפרוטוקול SSL היא האבטחה שבה משתמשות חברות רבות כדי להגן על המידע הנשלח למערכות שלהן, או לענן, כדי לבצע רכישות, למשל. לטענת קליידרמרצ'ר, אי אפשר לסמוך על השמירה של המידע בידי החברות, בעיקר בהתחשב בעובדה שהוא מועבר כל הזמן.

לדבריו, "דבר נוסף שחשוב לשאול הוא איך אתה יודע שאני דובר אמת? אני טוען שאבטחת ה–IOT שלי טובה. למה שתאמין לי? השאלה היא איך צופה בלתי תלוי ייתן אמון בספקים. יש לדעתי שלוש דרכים להשגת אמון: הראשונה הוא מוניטין. אם עשיתי עבודת אבטחה טובה בעבר, זה לא מבטיח שאעשה זאת שוב, אבל יש לכך סיכוי טוב יותר מאשר מצב שבו התגלו אצלי פרצות בעבר. אתה היית סומך שוב על סוני, למשל? זה לא הפתרון היחיד, אבל מוניטין מסייע בכך הרבה.

"הדבר השני שאפשר לעשות הוא להסביר לאנשים מה אתה עושה בנוגע לאבטחה - באילו טכניקות אתה משתמש, איך זה עובד - ואז אתה מספק כמה שיותר פרטים ועובדות, אבל לפחות המשתמשים יכולים לקרוא את המידע הטכני, ולקבל תחושה אם אתה יודע על מה אתה מדבר".

אתה חושב שאנשים באמת יקראו את זה?

"זאת הבעיה. אנשים שיכולים להשתמש במידע הזה, חייבים להיות בעלי ידע טכני. אני יכול לכתוב מה שאני רוצה - אבל לא כל אחד יכול לצרוך את המידע. זאת בעיה, אבל המידע עוזר. נוסף על כך, הדבר השלישי והכי חשוב - והוא חסר כמעט לחלוטין כיום בעולם - הוא שאתה רוצה שיטה שבה במוצרים שטוענים שיש להם יכולות אבטחה, ולא משנה מאיזה סוג - בין אם זה סיסמה או יכולות הצפנה מתוחכמות - תהיה דרך לאכוף את האבטחה. צריך ארגון עצמאי שייקח את המוצר, יבחן את יכולות האבטחה שלו, ויעריך אם המוצר זכאי לתו תקן. צריך ארגון חיצוני, שיגיד אם החברה עשתה עבודה טובה באבטחה - ולא החברה בעצמה שתצהיר על עצמה שהיא בטוחה. אז אתה לא צריך לסמוך עלי. יהיה לך ארגון חיצוני, אמין ובעל ידע להערכת אבטחה".

אבל אם אני קונה מכונית פורד, שבה מותקנת מערכת ההפעלה שלכם, איך אני יכול לדעת שאני יכול לסמוך על פורד?

"אם אתה קונה מכונית של פורד, אתה יכול לסמוך על פורד אם יש להם מוניטין טוב. אבל בסופו של דבר, הטענות של היצרנים אינן מספיקות. אתה חייב גוף מקצועי שיגיד 'אני בחנתי את המוצר, אני לא משוחד, אין לי עניין במכירות, אני עצמאי, ואני יכול להגיד לך שהמכונית הזאת, הטלפון הזה או המוצר הזה מאובטחים'".

דגם של רכב אוטומטי
אי־פי

אתה מתכוון לסוכנות ממשלתית שתבחן אבטחת מוצרים?

"סוכנויות ממשלתיות עושות את זה. כיום, אם אתה רוצה למכור מערכת הצפנה מאובטחת לצבא הישראלי, הם לא יסמכו על מומחה אבטחה חיצוני שיגיד אם זה בטוח או לא. הם יעשו בחינה משל עצמם. גם ממשלת קנדה או NSA יעשו בחינות משלהם".

אבל הממשלות לא בודקות דברים עבור צרכני הקצה הפרטיים.

"אם הממשלה רוכשת מוצר שקשור לביטחון לאומי, הם יעשו בדיקה משלהם. ואולם זה מקרה מיוחד".

קליידרמרצ'ר מדבר על יוזמה של בלקברי יחד עם חברות רבות בתחום, לתקן אבטחה בתחום מוצרי הבריאות. כך לדבריו, ניתן לטפל בבעיית המדיניות שאותה הזכיר.

"ייסדנו תקן לאבטחת סייבר שמפותח על ידי קואליציה ללא מטרות רווח. אנחנו מכוונים כעת למערכות רפואיות - והמטרה הראשונה היא חיבור מוצרים רפואיים. מבהיל לחשוב מה יקרה למשאבות אינפוזיה, משאבות אינסולין או מכשירים אחרים שמחוברים לרשת אלחוטית. לפני שמחברים את המכשירים האלה, צריך לדעת שתהיה תמיכה עצמאית. אני מקווה שהתקן הרפואי יוכל להיות תקף לכל דבר - למכוניות, לתנורים וכל מכשיר אחר", הוא אומר. הוא סיפר כי בתקן החדש שותפות גם חברות ענק כמו אינטל ויבמ, וגם רגולטורים מרכזיים כמו מינהל המזון והתרופות בארה"ב (FDA). לטענתו, הוא ניסה בעת ביקורו בישראל לגייס גם את רשויות הבריאות בישראל, אך לא הצליח למצוא מי האחראי על התחום.

בלומברג

"אינטל מפתחת קוד שיחבר בין מכשירים"

ביקור בתערוכת CES שנערכה בתחילת ינואר בלאס וגאס, המחיש עד כמה עמוק הגיע תהליך הרובוטיקה - כשכמעט לכל פעולה בחיים ניתן למצוא כיום רובוט שיחליף את האדם - ואיך כל דבר מחובר כיום לאינטרנט - החל במקרר, דרך צמידי ספורט, מחשוב לביש ועוד. אחת החברות המובילות בתחום היא אינטל, שהציגה בתערוכה שלל פתרונות עתידיים, שסביר להניח שישנו בקרוב את חוויית השימוש של המשתמשים בכמעט כל המוצרים הטכנולוגיים שעוטפים אותנו.

לדברי רן סנדרוביץ', מנהל מרכזי הפיתוח של אינטל בישראל, "ההתפתחות של הבית החכם נמצאת מעט מאחור, אבל מה שמעכב אותו זה לא האבטחה, אלא היכולת של גורמים רבים להסכים על סטנדרטיזציה של תקשורת בין מכשירים, ולעשות את זה בצורה זולה וללא זכויות יוצרים".

אתה חושב שאנחנו מוכנים לכל הפיתוחים של הבית החכם מבחינת אבטחת סייבר?

סנדרוביץ': "ככל שמכשירים נהפכים למחוברים, הרשתות נהפכות למתוחכמות יותר, ובעיות האבטחה נהיות גדולות יותר ויותר. לכן, יש המון השקעה גם באינטל וגם באקו־סיסטם בנושא של אבטחה. אינטל קנתה לפני כחמש שנים את קבוצת מקאפי ב–7 מיליארד דולר, וזה תחום אדיר שבו אנחנו משקיעים. יש הרבה מאוד פיתוחים של IOT בעולם. אנחנו מוכרים טכנולוגיה ל–IOT ב–2 מיליארד דולר.

"אינטל משקיעה בבית החכם בסטנדרט שיש לו יותר מ–150 חברות. אנחנו מנסים ליצור קוד פתוח וחינמי, שכולם יוכלו לחבר אליו את המכשירים - וליצור שפה משותפת בין כל המכשירים, כך שמכשיר של אפל, מנורות של פיליפס וחיישנים של אינטל - לכולם תהיה שפה משותפת ויבינו זה את זה. שם נמצאת כיום הבעיה העיקרית של הפריצה של הבית החכם".

כשהוא נשאל אם לדעתו הצרכנים כיום מוגנים, משיב קליידרמרצ'ר בנחרצות: "לא. בכנות, לא".

בלומברג

דבריו מתחברים לאלה של סנדרוביץ', שטוען כי יש צורך לשפר את התקשורת בין המוצרים השונים של החברות - וכך לפתור חלק מבעיות האבטחה.

"אנחנו מתמקדים בפתרונות מקצה לקצה", אומר קליידרמרצ'ר. "לעתים אנו רואים חברות שונות שמייצרות חלק אחר, ואז משתמש הקצה צריך להתמודד עם הפתרונות השונים שלא אמורים להתממשק זה עם זה ולגרום לזה לעבוד. אם תבחן את QNX — מערכת ההפעלה שלנו למכוניות, אתה יכול לראות שהיא נוגעת בכל תחום. אנחנו לא מייצרים רק מערכת הפעלה. הרבה חברות מייצרות חלקים שונים, אנחנו מחפשים פתרון כולל".

"הצרכן חייב לדרוש תשובות מהיצרנים"

אחת הדוגמאות החמות ביותר בעניין היעדר האבטחה במכשירים הוא הניסוי שערך מגזין "וויירד", שבמסגרתו השתלטו האקרים על מכונית נוסעת. "לפני 50 שנה, הדבר היחיד שהיה חשוב מבחינה בטיחותית היה הנהג, הבלמים וההגה. אבל כיום יש מערכות שלומדות אותך ולומדות מה לעשות כשמכונית נכנסת לנתיב שלך. כיום אנשים יכולים לחדור אל מערכות למכוניות, ולכן קיימות מערכות כמו QNX, שאחראיות גם על בטיחות ואבטחת המכוניות", מסביר קליידרמרצ'ר.

"מכוניות אוטונומיות הן החזון הסופי, אבל יש כמה צעדים בדרך. בלקברי משקיעה הרבה גם במערכות אינפוטיינמנט (מערכות שליטה על מערכות בידור ברכב כמו רדיו וגם על מידע המוצג לנהג; י"פ). מדובר למעשה במחשבים חזקים, שעושים למידה חישובית ומנתחים את כל המידע המתקבל מהחיישנים. ואולם האינפוטיינמנט אינו חיוני לבטיחות".

מה שקרה בניסוי של "וויירד" לא יכול היה לקרות עם QNX?

"בנוגע לתוצאה הסופית, שבה אתה נמצא במכונית עכשיו ופורצים אליה האקרים, אנחנו מנסים להציע פתרון כולל, אבל יצרני הציוד המקוריים מוסיפים אפליקציות רבות משלהם. גם אם משתמשים ב–QNX, יש מערכות רבות אחרות במכונית שמתחברות לזה, אז השילוב בין המערכות לא מובטח. אנחנו לא מספקים את כל התוכנה במכונית. יש עשרות ספקי תוכנה אחרים ויש הרבה נקודות תורפה".

זו לא רק המכונית, אלא גם שואב האבק.

"צריך לא רק להעלות את רמה האבטחה, אלא גם את הקישוריות בין החברות. אם הייתי צרכן, הייתי הולך לפורד, ל–GM ולחברות אחרות, ושואל אותן איך אני יכול לדעת שהאקרים לא יפרצו למכוניות שלכם? איזה ביטחון הן יכולות לתת לי שזה לא יקרה?"

זה בכלל רעיון טוב לייצר מכוניות אוטונומיות כיום, כשאי אפשר להגן עליהן?

"התקווה היא שיצליחו לפתור את הבעיות האלה בעתיד. אנחנו משפרים את הטכנולוגיה והבטיחות, ומתקדמים גם בפיתוח טכנולוגי של המכוניות. התקווה היא שנצליח לעמוד בקצב. יהיה חמור מאוד אם הטכנולוגיה לפיתוח מכוניות אוטונומיות תתקדם, אבל טכנולוגיית האבטחה תישאר מאחור".

"אני לא יודע כמה פעמים פרצו כבר למערכות של סוני פלייסטיישן. אם תשאל אותם, הם יגידו שהם תיקנו את התקלות - אבל אתה היית מאמין להם? זאת הבעיה. לכן, אנחנו כצרכנים חייבים לדרוש תשובות מהיצרנים כדי שנהיה בטוחים שאי אפשר לפרוץ למערכות בתוך שתי דקות.

"לחברות אין כיום תשובה טובה לזה. הן אומרות מה שכולן אומרות - 'אנחנו באמת טובים בזה ואנחנו יודעים מה אנחנו עושים' - אבל התשובה שלהן צריכה להיות שהן שותפות בארגון עצמאי, כמו זה שהקמנו, שיכול לעבור מתחום הבריאות לתחבורה, שאתו ניתן לדבר והוא יכול להעריך את רמת האבטחה. הארגון צריך לנסות באמת לפרוץ למוצרים, והאבטחה אולי לא תהיה מושלמת, אבל רמת האבטחה תהיה טובה יותר מאשר אם לא היה קיים גוף עצמאי כזה".

אני מניח שחברות רבות לא אוהבות את מה שאתה אומר.

"הן לא אוהבות את זה שאני אומר להן שהן לא מוגנות מספיק, וגם לא את זה שהן צריכות להוציא עוד כסף. אם חברה מפתחת מוצר וצריכה לצאת לשוק כמה שיותר מוקדם, היא משקיעה גם ככה בבטיחות - אז למה שלא ישקיעו גם באבטחה?

"הדבר הראשון שהחברה תחשוב עליו זה שהיא תחמיץ את הדדליין להשקה, זה יעלה לה כסף והיא תגיע לשוק באיחור. לכן, אנחנו צריכים לשכנע אותן שככל שהן יתחילו בתהליך מוקדם יותר, זה לא יהיה יקר כל כך ולא יגזול הרבה כסף".

בינתיים, אף שהחברות הגדולות ממשיכות להתגאות ביכולות המתוחכמות שלהן, יש עוד הרבה סיבות לדאגה בנוגע לאבטחת המידע של לקוחות. "איירובוט היא פרנואידית במיוחד, והיא ממש לא סומכת על המצב הנוכחי בכל מה שקשור לאבטחת המידע", אומר אנגל. "אנחנו מאמינים שזה ישתפר, ואנחנו מתכוונים לנקוט צעדים נוספים כדי לאפשר להעביר עוד מידע לענן במשך הזמן, אבל זה צריך להיעשות באופן מתודי וזהיר".

בלומברג


תגובות

דלג על התגובות

בשליחת תגובה זו הנני מצהיר שאני מסכים/מסכימה עם תנאי השימוש של אתר TheMarker

סדר את התגובות

כתבות ראשיות באתר

כתבות שאולי פיספסתם

*#