הן נמצאות בכל פינה: מעל המחסום בכניסה ליישוב, בתוך הלובי של הבניין, בחדר הילדים וכמעט בכל פינת רחוב. אף שהן שם כדי להקנות תחושת ביטחון, מצלמות האבטחה הפכו באחרונה לאחד היעדים המועדפים על גורמים עוינים: מאז פרוץ מבצע "שאגת הארי" בשבוע שעבר זיהה מערך הסייבר הלאומי יותר מ-40 מקרים של מצלמות אבטחה פרטיות או ציבוריות, שנפרצו על-ידי קבוצות איראניות וגורמים עוינים אחרים לצורך איסוף מידע.
מדובר בפריצות שעלולות להוות סיכון בטחוני לאומי, שכן בעזרת חלקן ניתן לאתר תזוזות של כוחות במרחב הציבורי, לעקוב אחר נפילות טילים ועוד. רק בשבוע שעבר דיווח ה"פייננשל טיימס" כי מן העבר השני של המתרס - המודיעין הישראלי ניצל הזדמנות דומה ולקראת חיסול חמינאי פרץ כמעט לכל מצלמות התנועה בטהרן.
במערך הסייבר זיהו בימים האחרונים מאמץ איראני ממוקד בנושא, ובעקבות זאת פועל המערך – בסיוע גופי ביטחון נוספים - לסכל, לאתר ולהתריע אישית בפני בעלי מצלמות כאלו – עסקים, רשויות מקומיות, ארגונים ציבוריים ואנשים פרטיים.
שיטת התקיפה העיקרית של המצלמות היא ניצול חולשות מובנות בתוכנת ההפעלה של המצלמות, או פשוט בהתחברות ישירה אליהן באמצעות סיסמת ברירת המחדל הגנרית שמגיעה מן המפעל. על פי הערכות, בישראל מותקנות מאות אלפי מצלמות כאלו, רובן הגדול פרוצות לחלוטין, או לפחות חשופות לניסיונות חדירה פשוטים יחסית.
לדברי דנה תורן, ראש אגף מבצעים במערך הסייבר הלאומי, "בעלי מצלמות אבטחה נדרשים לוודא שאין אליהן גישה ישירה מרשת האינטרנט, להחליף מיד סיסמאות ברירת מחדל, לעדכן גרסאות אבטחה ולהגביל את החשיפה שלהן לאזורים ציבוריים. בימים אלה, חיבור לא מאובטח הוא לא רק סיכון לפרטיות, אלא סיכון בטחוני, ודורש התנהלות טכנולוגית אחראית".
למה כל כך קל לפרוץ אותן?
הסיבה העיקרית היא עצלות. למרבה הצער, רוב המשתמשים - פרטיים ועסקיים כאחד – מחברים את המצלמה לחשמל מיד לאחר רכישתה, מוודאים שהם רואים תמונה בטלפון ומסתפקים בכך. יצרני המצלמות נענים לחולשה האנושית הזו, וכברירת מחדל משתמשים בטכנולוגיות כמו P2P (Peer-to-Peer) או UPnP, ש"עוקפות" את חומת האש של הנתב הביתי ופותחות "דלת אחורית" לעולם החיצון.
בנוסף, רבות מהמצלמות המותקנות במרחב הציבורי בישראל ובעסקים קטנים סובלות מ"הזנחה דיגיטלית": משתמשים רבים לא משנים את סיסמת ה-admin המגיעה מהמפעל, לא מעדכנים את תוכנת המצלמה, או מגדירים אותה כך, שכל מי שיודע את כתובת ה-IP של המכשיר יכול להגיע בקלות לדף ההתחברות שלו.
עבור כל האקר מתחיל, איתור מצלמה פרוצה הוא משימה של דקות. אתרים כמו Shodan, ממש סורקים את כל העולם וממפים מכשירים מחוברים. האקר יכול פשוט לחפש "ישראל" עם דגם של מצלמה מסוימת, ולקבל רשימה של אלפי כתובות IP חשופות.
קבוצות אחרות עושות שימוש בבוטים אוטומטיים, שמנסים אלפי קומבינציות של שמות משתמש וסיסמאות נפוצות עד שהם מצליחים "לנחש" ולהיכנס למערכת. בנוסף, בדגמי מצלמות רבים קיימות "דלתות אחוריות" שנוצרו על-ידי היצרן לצרכי שירות, או באגים ידועים בקוד, שמאפשרים לעקוף את הצורך בסיסמה.
אגב, ברגע שהאקר משתלט על מצלמה הוא יכול לא רק לצפות בתכנים שהיא מצלמת, אלא גם להשתמש בה כ"ראש גשר" כדי לחדור למחשבים אחרים ברשת שאליה היא מחוברת, ובמקרים מסויימים אפילו להשתיל צילומי וידאו מזוייפים בזמן אמת.
השוק הישראלי מוצף במותגים זולים, אך המומחים מבדילים בין שלוש קבוצות עיקריות. בראשונה, המחייבת זהירות גבוהה, נכללות מצלמות ללא מותג שנמכרות לרוב באתרים כמו "אלי-אקספרס", ומצלמות מתוצרת חברות סיניות כמו Hikvision ו-Dahua שנמצאות תחת הגבלות קשות בארה"ב ובבריטניה בשל חששות לפרצות אבטחה מובנות הקשורות לממשל הסיני.
בשנייה, המאפיינת בעיקר מצלמות ביתיות, נכללים מותגים מוכרים למכשירים ביתיים, כמו שיאומי, TP-Link , או Eufy, שמציעים אבטחה טובה יותר למשתמש הביתי, אך מתבססים על שירותי ענן.
בשלישית נכללות חברות כמו Axis השוודית, Hanwha Vision הקוריאנית או Bosch היקרות יותר, שמקפידות על הצפנה "מקצה לקצה" ועל עדכוני קושחה שוטפים.
איך תתגוננו?
הנה כמה צעדים פשוטים שניתן לבצע מיידית בכל מצלמה:
שינוי סיסמה: לא 123456, לא admin ולא שם המשפחה שלכם. השתמשו בסיסמה מורכבת וייחודית לכל מצלמה.
ביטול P2P ו-UPnP: אם אתם לא חייבים גישה מרחוק בלחיצת כפתור, בטלו את האופציות הללו בהגדרות המצלמה והנתב שלכם.
הפרדת רשתות (VLAN): בעסקים ובבתים חכמים מומלץ להגדיר שהמצלמות יהיו על רשת נפרדת מזו שבה נמצא המידע הרגיש שלכם.
אימות דו-שלבי (2FA): אם המצלמה מחוברת לאפליקציה, הפעילו תמיד אימות באמצעות קוד ל-SMS או לאפליקציית אימות.
ניתוק: אם אין במצלמה צורך כרגע – נתקו אותה מן הגישה לאינטרנט.
בדיקת עדכונים: בדקו אם קיימים עדכוני אבטחה של היצרן והטמיעו אותם.
בכל חשד ניתן לפנות למרכז 119 של מערך הסייבר הלאומי.
