פרצת האבטחה שלא חשבתם עליה
יותר ויותר מצלמות חכמות וחיישנים חכמים אחרים מסייעים לניהול יעיל ובטוח של המרחב הציבורי. ניתוח או אנליטיקה של הווידאו המצולם משמשים לעיתים תכופות להפעלת תרחישים אוטומטיים שמוטב שלא ייפלו בידיים זדוניות
21 באוקטובר 2016 היה היום שבו גולשים רבים ברחבי העולם נחשפו לראשונה בעצמם לתוצאותיה של מתקפת סייבר מאורגנת. היה זה היום שבו שרתי חברת Dyn, ספקית כתובות אינטרנט מרכזית בארצות הברית, ספגו מתקפת Denial of Service אינטנסיבית, שמנעה במהלך רוב שעות היום את הגישה אל הרשתות טוויטר, נטפליקס, ספוטיפיי ונוספות.
אף שזהות התוקף טרם נקבעה בוודאות, האופן שבו בוצעה המתקפה ברור לגמרי. מתקפת Denial of Service משמעותה יצירת עומסים מדומים על שרתים ורכיבי תקשורת, באופן המונע מהם לתת שירות ללקוחותיהם האמיתיים. כך למשל, שרת ה-DNS של Dyn היה עסוק במענה לפניות הסרק שהיוו למעשה את המתקפה ולא יכול היה למלא את תפקידו ולהפנות את משתמשי טוויטר לשרתי הרשת החברתית.
.jpg "(צילום: shutterstock, אמיר לוי)")
מתקפות מסוג זה אינן תופעה חדשה. החידוש במקרה זה היה שהתוקפים זיהו וניצלו פרצות אבטחה מהותיות לא במחשבים, אלא במכשירים המחוברים לאינטרנט כגון מצלמות אבטחה, מכשירי הקלטה (DVR), מוניטורים לתינוקות וכיוצא באלה. תוכנת נוזקה שחדרה לעשרות מיליוני מכשירים שכאלה בכל רחבי העולם, אפשרה לגורם זדוני לעשות בהם שימוש ככל העולה על רוחו.
בשנה האחרונה התעצמה החשיפה למתקפות סייבר זדוניות הקשורות לריגול מדיני ותעשייתי, מתקפות על ארגונים מסחריים, תקיפות של מתקני אנרגיה ותשתיות ומתקפות כופרה. בסוף שנת 2016, חוקרי סייבר באקדמיה, בחברות אבטחה ובחברות ייעוץ שונות, צפו כי מתקפות סייבר עלולות להכפיל את מספרן השנה.
לפי מעבדות F-Secure, במחצית הראשונה של השנה נרשמה עלייה כוללת של 223% בתנועה למלכודות הדבש שלה בהשוואה למחצית השנייה אשתקד. על פי חוקרי F-Secure, במחצית השנייה של 2016 חמשת מקורות פעילות הסייבר העיקריים היו רוסיה, הולנד, ארצות הברית, סין וגרמניה. בשנת 2017, רוסיה שוב הופיעה במקום הראשון כמקור של מתקפות סייבר, עם 44% מכלל התעבורה בתחום. שנייה הגיעה ארה"ב עם כ-15% מכלל התנועה, ואחריהן הולנד עם 7%, בלגיה וגרמניה עם 6% כל אחת, וסין עם 5%. עשר המדינות המובילות כמקור של מתקפות היוו 87% מכלל התנועה שזוהתה למתקפות סייבר.
עולם ה-IoT מתפתח במהירות רבה ומתרחב לכיוון שבו הכל יהיה קשור להכל: המקרר לסופרמרקט, הרכב למוסך, מדי בדיקה שונים על גבי גוף האדם יהיו קשורים לרופא ולקופת החולים ועוד כהנה וכהנה חיבורים שהדמיון האנושי טרם חשב עליהם. הדבר אומר שיותר ויותר רכיבים, שאיננו רגילים לחשוב עליהם כעל רכיבי תקשורת, מתחברים לרשת ולאינטרנט. לצד המשמעויות המסעירות העולות מכך, מבינים יצרנים וארגונים בתחום שחובה עליהם לתת את הדעת על אתגרי האבטחה החדשים: לשמור על האיזון הנכון בין פתיחות מרבית הדרושה לחיבור בין כל הרכיבים לבין פיתוח אמצעי אבטחה שימנעו פגיעה באותם מכשירים, שעד לאחרונה היו מנותקים מעולם האינטרנט.
אם ננתח לדוגמה את הסיכונים החלים על מצלמת אבטחה שאינה מוגנת כיאות, ניתן לראות כי הם משתרעים על סקאלה רחבה. החל באפשרות של גורם זר לצפות בשידור חי במתרחש בבית או, אולי חמור מכך, במשרד ממשלתי או מפעל בטחוני; דרך היכולת של אותו גורם למנוע מהמשתמש הלגיטימי גישה למצלמה או "לזייף" חומרים מוקלטים; ועד התסריט שבו הוא עושה שימוש במצלמה המותקנת בארגון על מנת להגיע לשרתי הנתונים שלו או לתקוף צד שלישי כלשהו.
הסיכון איננו תיאורטי. משרדי ממשלה וארגונים מסחריים ,שספגו פגיעות אינם ששים מן הסתם לדווח על כך באופן פומבי, אולם אירועים הקשורים במערכות מצלמות או בקרי כניסה הופכים נפוצים יותר ויותר. כך למשל, גורמי ממשל בארה"ב וגורמים שונים באירופה ובאסיה, אשר חשדו שמצלמות מתוצרת סין משדרות סרטי ווידיאו ממקומות שמורים לממשלת סין, הסירו את המצלמות ואסרו על הכנסתן למקומות שמורים. דוגמה נוספת נוגעת לגילויים תכופים של נקודות תורפה במצלמות, שהקושחה (firmware) שלהן מבוססת על קוד פתוח, והן פגיעות לחדירה על ידי גורמים בלתי מורשים.
חשיבות הנושא מתעצמת במיוחד לאור המגמה הברורה של ריבוי המצלמות במרחב הציבורי. יותר ויותר מצלמות חכמות וחיישנים חכמים אחרים מסייעים לניהול יעיל ובטוח של המרחב הציבורי. ניתוח או אנליטיקה של הווידאו המצולם משמשים לעיתים תכופות להפעלת תרחישים אוטומטיים שמוטב שלא ייפלו בידיים זדוניות – פעילות רמזורים, תפעול של רכב אוטונומי, אבטחת גבולות וכו'.
בצד אחריותן של היצרניות וספקיות השירות השונות, גם אנו כצרכנים מחויבים לכלול נושא זה במכלול השיקולים שלנו בבואנו לרכוש מוצר כזה או אחר לביתנו או לבית העסק. עלינו לבדוק במידת יכולתנו את רמת האבטחה של המוצר, את רמת הביטחון והאמון שלנו ביצרן וכמובן– לדרוש. כמו בכל ענף אחר, דרישה ברורה של הצרכן למערכות מוגנות ובטוחות לשימוש תביא להיערכות אופטימלית מצד היצרנים.
דורית גוטרמן הינה CTO בתחום הבטיחות וביטחון וממארגני כנס "מערכות ווידיאו – היערכות קיברנטית" שיתקיים ביום שני, 4.9, בבית לדיקו – נציגת בוש בישראל
לפנייה לכתב/ת 
