האם מצלמות אבטחה מאבטחות אתכם באמת?
מירי אופיר, דירקטור מחקר ופיתוח בצ'ק פוינט, מזהירה: ״תקיפות סייבר על מצלמות אבטחה הן אחת הדרכים המועדפות על תוקפי סייבר לחדירה לרשת הארגונית״ . מיוחד
מירי אופיר | צילום: ניקי וסטפהל
מצלמות אבטחה נמצאות כיום במרחב הציבורי, בכל ארגון, על גבי מכוניות ונכנסות גם לבתים הפרטיים. שוק מצלמות האבטחה נאמד בלמעלה מחמישים מיליארד דולר בשנת 2021, וצומח בקצב מהיר. בכל יום מותקנות מאות אלפי מצלמות אבטחה ברחבי העולם. שוק המצלמות נשלט על ידי מספר יצרניות גדולות, ועוד כמה שחקניות משנה.
גם מבחינה טכנולוגית המוצרים מתפתחים בקצב מרשים עם סאקלה רחבה של יכולות. בקצה העליון נמצאות מצלמות המצויידות בחיישנים חכמים ובתוכנות מתקדמות המציעים תכונות כמו ראיית לילה, זיהוי מרחק, חום ותנועה. בקצה השני נמצאות מצלמות ביתיות אשר מנוהלות דרך אפליקציות בטלפון.
חדירה לרשת הארגונית
תקיפות סייבר על מצלמות אבטחה הן אחת הדרכים המועדפות על תוקפי סייבר לחדירה לרשת הארגונית, בשל היותן קלות לפריצה ומשרתות נתיב תקיפה יעיל באופן יחסי. במאמר זה נסקור את סיכוני אבטחת הסייבר של מצלמות האבטחה, וננסה להבין כיצד אפשר לצמצם אותם.
לפני מספר שבועות ביקרתי במתחם בטחוני במרכז הארץ לצורך פגישת עבודה, המתחם היה מאובטח ומרושת במצלמות, נדרשתי להיכנס עם ליווי. מהיכרות, רשת המחשבים והשרתים היא רשת מסווגת ומנותקת, אולם תהיתי מה באשר לרשת המצלמות המשרדית.
האם אותן הנחיות תקפות גם לגבי מצלמות האבטחה. כל המצלמות האיכותיות כיום, מצוידות ביכולות עיבוד תמונה וקול, מערכות ההקלטה מציעות יכולות של פענוח טקסט וזיהוי פנים, מידע ממצלמות מועלה לענן אם לצורך טלמטריות או על מנת ליהנות מיכולות אנליטיקה המסופקות על ידי שירותי AI.
עוד לפני הסכנה של תקיפות סייבר, שימוש במצלמות אבטחה מערב נושאים של פרטיות. המידע הרגיש שעובר דרך המצלמה, חושף את המפעילים לסוגיות רבות הקשורות לנושא הפרטיות, ומעלה חששות כבדים באשר ליכולות של גופים זרים לצפות או להקשיב למידע.
בארצות הברית, יצאה הנחיה האוסרת על שימוש במצלמות אבטחה של כמה חברות נקובות, כולן בבעלות הממשלה הסינית, בכל האתרים השייכים לסוכנויות פדרליות. ההנחיה מתייחסת לציודי תקשורת ומצלמות, ודורשת פירוק והחלפה של ציוד קיים. (1). קולות דומים נשמעים כעת גם במספר מדינות באירופה, מתוך הבנה שכל מצלמה היא למעשה סוכן פעיל או סוכן רדום, שיכול להתעורר ביום פקודה.
תקיפות סייבר דרך מצלמות הן כאמור אחת הדרכים הנפוצות להיכנס לרשת. תוקפים מבינים שמצלמות ומכשירי הקלטה מכילים מידע רגיש, ובוחרים לתקוף אותם או דרכם להיכנס לתוך הרשת.
למה כל כך קל לתקוף מצלמות אבטחה?
מצלמות, לרוב, מחוברות מצד אחד לרשת הארגונית, ומצד שני לרשת האינטרנט. המצלמה מצלמת ומעבירה כמויות עצומות של נתונים למערכות הקלטה שיושבות בתוך בארגון או בענן. מערכות הניהול יכולות להיות פנימיות בתוך הארגון, או אונליין באתר היצרן.
מכשירי ההקלטה (NVR) מעבדים את סרטוני הוידאו, ומעבירים אותם לגיבוי ושמירה בשרתי האחסון הארגוניים (NAS) לתקופות משתנות על פי המדיניות הארגונית. שרתים אלו מנוהלים לרוב תחת ה- Domain Controller הארגוני.
ישנה המלצה כללית שהיא תמיד נכונה לבצע הפרדת רשתות עבור מכשירי IoT או לפחות לממש micro-segmentation בתוך הרשת.
מימוש הדרישה הזאת, מקשה מאד על מנהלי רשתות וכרוך בעלויות גבוהות הן בשלב ההקמה והן בשלב התפעול. מתוך בחירה או פשרה, נגלה שהמצלמות לרוב מחוברות כאמור לרשת המרכזית, בארגונים קטנים זוהי הרשת היחידה, לעיתים החיבור הוא אלחוטי.
מצלמות אבטחה, כמרבית מכשירי IoT מותקנות עם קושחה שמסופקת על ידי היצרן, וככל תוכנה אחרת יש בה חולשות אבטחה. חולשות תוכנה מקורן בדרך כלל בבאגים או בהנדסת תוכנה לקויה, והתיקון להן דורש תמיד עדכון קוד.
יצרנים של מכשירי IoT יודעים לייצר תוכנה שעונה על הפונקציונליות הנדרשת מהמכשיר, אבל מומחי אבטחה לרוב הם לא. במקרים רבים הם מעדיפים לספק תוכנות רזות תוך דילוג על עקרונות חשובים של כתיבת תוכנה מאובטחת.
אצלנו למשל בחברת צ'ק פוינט, מיושמת מדינויות של Security by Design. כל אנשי התוכנה נדרשים לעבור הכשרה שנתית של כתיבת קוד מאובטח. בהמשך עבור כל רכיב תוכנה פנימי או חיצוני, אנחנו נדרשים לעבור תהליך קפדני של Security Review, אשר מסתיים בבדיקות חדירות למוצר.
המוצר לא ישוחרר לפני תיקון של כל הממצאים שהתגלו, ובהמשך אם מתגלות חולשות תוכנה ברכיבי צד שלישי שבהם השתמשנו, צוות הפיתוח של המוצר אחראי לשחרר עדכון תוכנה בתוך SLA קפדני. אנו מתגאים בהיותנו מובילים בשחרור מהיר של עדכוני אבטחה, זוהי דרישה קפדנית שכל צוותי הפיתוח בצ'ק פוינט מחוייבים אליה.
מה קורה בגזרת ה-IoT?
יצרנים וספקי תוכנה רבים לא מתעדפים מימוש דרישות אבטחה במוצרים שלהם. עולם אבטחת המידע נתפס כמורכב ומסובך, והיצרנים מעדיפים להתמקד בשיפור והרחבת יכולות פונקציונליות של המוצר שלהם ולא להתעסק בהוספת שכבות אבטחה למוצר שלהם.
לעיתים אנו מוצאים מוצרים חסרי יכולות אבטחה בסיסיות, כמו ניהול משתמשים וסיסמאות ותקשורת מוצפנת, שלא לדבר על בדיקת חדירות וסגירת חולשות תוכנה, אלו לרוב לא קיימים. כמו בכל פיתוח תוכנה, יצרנים משתמשים בחבילות קוד פתוח וברכיבי צד שלישי נפוצים, וחושפים את המכשירים לבעיות ידועות שמגיעות מאותן חבילות תוכנה.
שימוש בקוד פתוח הוא יתרון עצום למפתחים, אך עשוי לדרוש עדכונים תכופים בכל עת שמתפרסמת חולשת תוכנה. למרבה הצער, יצרני IoT, לא בהכרח מקפידים על שחרור תיקוני אבטחה, גם כאן המודעות לא גבוהה, והדרישה מצד המשתמשים לא חזקה מספיק.
יתרה מזאת, אותם יצרנים, צדיקים בסדום, שלוקחים אחריות ומוציאים עדכונים תקופתיים, מגלים שהמשתמשים שלהם לא טורחים לעדכן את המוצרים.
הסיבות לכך רבות, בראשן, מאמץ תפעולי גדול הנדרש לתחזוקת מערכות מבוזרות, עדכון קושחה למכשיר IoT הוא במקרים רבים מסובך יותר מאשר עדכון תוכנה למחשב, יש עדיין מכשירים שיכולים לקבל עדכונים רק דרך התקני USB, לעיתים אנו מוצאים שהמכשירים מותקנים במקומות שאינם נגישים בקלות.
למשל מצלמות שמותקנות על גבי גדרות או על עמודים גבוהים מאד, או מרוחקים מרחק של מאות קילומטרים מצוות הניהול. בנוסף, עדכוני תוכנה לעיתים דורשים אתחול למכשירים, וישנם מכשירי IoT שבהם כל השבתה היא בעייתית או רגישה מאד.
בנוסף, קיים החשש מעדכון זדוני, כאשר ידועים מקרים רבים של ניצול לרעה של מנגנוני עדכון התוכנה על ידי תוקפים, כמו למשל התקיפה המפורסמת על SolrWinds מלפני שנה. התוצאה היא, שבמרבית המקרים, המכשירים רצים עם גרסת התוכנה המקורית, למשך שנים.
איך תוקף מנצל חולשת תוכנה?
תוקף ינסה למצוא מצלמות נפוצות עם חולשות ידועות, כל חולשה שפורסמה הופכת להיות כלי תקיפה זמין בעבור תוקפי סייבר. חולשות מתגלות לאחר שנעשה בהן שימוש על ידי תוקפים, נגרם נזק, ודבר התקיפה מתפרסם. או במקרה הטוב, חוקרי חולשות מצליחים לזהות את החולשה במעבדה כחלק מעבודת מחקר.
חוקרים מאפשרים ליצרן פרק זמן של 90 ימים להוציא עדכון תוכנה, בטרם יפרסמו את המידע על החולשה. זהו פרק זמן קצר שבו היצרן נדרש לעצור את תכניות העבודה שלו, ולהוציא עדכון מהיר לפני שהחולשה תפורסם.
כאשר חולשה מתפרסמת, היא תקבל ניקוד בהתאם לחומרה שלה, עד כמה היא עלולה לגרום לנזק במידה ותוקף ימצא את הדרך לנצל אותה. חולשות בשימוש, מתפרסמות לעיתים ביחד עם דרך הפעולה של תוקף לנצל אותן.
החולשות החמורות ביותר מתייחסות ליכולת הרצת קוד מרחוק, בשפה המקצועית RCE: Remote Code Execution. חולשה כזו, כאשר תוקף ינצל אותה, תאפשר לו שליטה מלאה על המכשיר. הוא יוכל לגנוב מידע, להריץ כופרה, להתקין כורי מטבעות דיגיטליים על המכשיר, או לשתול בוט שיאפשר לו לעשות כל דבר שירצה בהמשך.
במקרים של תקיפה על מכשיר שמחובר לרשת הארגונית, תוקף חכם יוכל להגיע לכל מחשב ברשת ולהריץ עליו פקודות מרחוק. קמפיינים כאלו הפכו להיות מתוחכמים יותר ויותר, התוקפים מוצאים דלת כניסה לארגון, ולעיתים שוהים חודשים ארוכים מבלי להתגלות עד שמחליטים להכות בקרבן.
תקיפות מסוג אלו פורסמו לאחרונה בהקשרים של תקיפות בין מדינות, וגם במחקרים של מעבדות סייבר, לדוגמא - R4IoT, ZuoRAT. כאשר שם של יצרן נקשר בתקיפת סייבר, הדבר עלול לגרום לנזק תדמיתי גדול עבורו.
בחודש אפריל האחרון משרד המשפטים האמריקאי ביחד עם גורמים אירופיים הצליח לשים את ידו על שירות רוסי בשם RSOCKS שנתן גישה למחשבים אבל בעיקר מכשירי IoT רבים לתוקפים, בצורה של גישה למכשיר כשירות.
שיטת ההדבקה היתה פשוטה יחסית, הם סרקו מכשירים שמחוברים לרשת וניסו להיכנס אליהם עם סיסמא המוגדרת כברירת מחדל או באמצעות התקפת ניסיונות גישה כוחניים (Brute force). באופן זה הם הצליחו להקים "צבא" של כ- 350 אלף מכשירים שנדבקו בבוט, ומכרו גישה יומית למכשירים בסכומים שנעו בין עשרות דולרים למאות דולרים.
גורמי אכיפת החוק נמצאים בקרב מתמיד מול תוקפי סייבר, הם נוחלים אי אלו הצלחות, אבל כל מהלך כזה לוקח זמן ובינתיים ארגונים ואנשים רבים נפגעים.
רגולציה
לאור התקיפות הרבות והבנת האיומים של מכשירי IoT, גם הרגולציה סביבם הכוללת דרישות להגנות סייבר הולכת ומתקדמת. ארגוני התקינה הגדולים ETSI, CISA, NIST, הוציאו מסמכים שמנחים את יצרני המכשירים לממש הגנות בתוך המכשירים כנגד תקיפות סייבר.
המפרטים דורשים מיצרנים לממש את כל העקרונות הבסיסיים כמו ניהול משתמשים, הרשאות, הצפנת מידע ושימוש בתקשורת מוצפנת, ניהול חולשות, ופרסום עדכוני אבטחה. סוכנות CISA הוציאה לאחרונה מסמך ובו היא דורשת מהסוכנויות הפדרליות הכפופות לה, לבחון שיקולי אבטחת מידע בעת רכישת התקני IoT.
והיא שוקדת כעת על הקמת מערכת דיווח במסגרתה כל ארגון שנחשף לתקיפת סייבר יידרש לדווח על התקיפה. ארגונים דואגים להדק כעת את כל מעגלי האבטחה, מחשבים, שרתים, ומכשירי IoT. עוד בתחום התקינה והרגולציה, מכון UL האמריקאי פרסם תוכנית דירוג אבטחה למכשירי IoT כאשר בדירוג הגבוה ביותר היצרנים נדרשים לתת מענה מצוין לטיפול בחולשות תוכנה, ידועות ושאינן.
מה אפשר לעשות?
יש מספר דרכים למזער את סיכוני הסייבר שמגיעים ממכשירי IoT. ניתן לחלק את המכשירים לכמה קטגוריות, ולכל קטגוריה יש רמת סיכון שונה. בראש הרשימה נמצאים מכשירים "בעלי עיניים ואזניים" כמו מצלמות או מכשירים שניצול לרעה על ידי תוקף יכול להביא לבעיית בטיחות כמו מעליות ורחפנים. באותה קגטוריה הייתי מוסיפה נתבים בהיותם שער כניסה לארגון.
הפרקטיקות המקובלות מציעות להתחיל את התהליך ברכישת מכשירים מחברה מוכרת ואמינה, לתכנן את ההטמעה בצורה קפדנית, כולל ניטור שוטף, זיהוי חריגויות, וגיבוש נוהל עדכון למכשירים אלו. מערך הסייבר הלאומי הוציא לאחרונה עדכון למסמך שנקרא "דרכי פעולה מומלצות צמצום סיכוני סייבר ממצלמות אבטחה".
המסמך מכיל המלצות חשובות שכדאי ליישם, בנוסף, ניתן גם להטמיע מערכות ניטור שיודעות לזהות איומי סייבר על מכשירי IoT. פרקטיקות האלו יעילות במידת מה, אולם לא הרמטיות מספיק, ודורשות מאמץ גדול ממנהלי הרשתות. בארגון ממוצע יש כיום כמאות ואף אלפי מכשירי IoT מדגמים שונים, כולל טלויזיות חכמות, מדפסות, נתבים, מצלמות, מעליות, שערי כניסה, חיישנים ועוד.
בבית ממוצע יש כתשעה מכשירי IoT שונים. המרדף אחרי התקנת עדכונים הוא אינסופי, ולא מספיק מותאם למכשירי IoT בשל כל הסיבות שציינו.
ליצרנים יש אחריות להגנת סייבר
הגישה החדשנית יותר מציבה דרישה ליצרנים להטמיע הגנות סייבר בתוך המוצרים עצמם. משתמשים צריכים לדרוש מהיצרנים לתת מענה טוב יותר לתקיפות סייבר על המוצרים שלהם, ולבחון כל מוצר היטב לפני שהם מחברים אותו לרשת הארגונית או לבית שלהם.
כפי שציינו הרגולציה מתפתחת ותורמת להבנה של היצרנים שהם לא יכולים להתעלם מדרישות סייבר. יחד עם זאת, אני טוענת שהשינוי חייב להיות מגובה בדרישה חזקה מהשטח של לקוחות שמתעקשים לרכוש רק מוצרים של יצרנים שמכבדים את הצורך שלהם בפרטיות ובהגנה על הנכסים החשובים שלהם.
הם צריכים לבחור יצרנים שמוכנים להשקיע בהגנות בתוך המוצר, ולא מגלגלים את האחריות על המשתמשים, באופן שבו הם נדרשים להשקיע בהקמה של תשתיות נוספות ומערכות הגנה חיצוניות, תוך דרישה לניטור מתמיד על ידי מנהלי הרשתות.
למעשה, ניטור הוא פיתרון לא טוב. זיהוי ההתקפה לאחר שכבר נעשתה, הוא מאוחר מדי. צ'ק פוינט מובילה מתודולוגיה של הגנת סייבר על ידי חסימת ההתקפה, ולא ניטור.
יצרן של מכשיר IoT יכול לקבל מאיתנו חבילת תוכנה קטנה להטמעה בתוך המכשיר, זהו למעשה Nano-Agent חכם שיודע לזהות התנהגות של תוקף ומונע כל ניסיון תקיפה בזמן אמת. בתהליך אינטגרציה עם היצרן אנו מקשיחים את המוצר, ויודעים לזהות בזמן ריצה חריגה מהפעילות המותרת של המכשיר, ולחסום אותה. באופן זה, גם אם יש בתוכנה חולשות אבטחה ידועות או שאינן ידועות, התוקף לא יוכל לנצל אותן.
לאחרונה חברת Provision-ISR הישראלית השיקה קו מצלמות ומכשירי הקלטה שמגיעים כולם עם ההגנות המתקדמות של צ'ק פוינט. זוהי למעשה חברת המצלמות היחידה כיום שמציגה פתרון שחוסם תקיפות zero-day, ומספק רשת ביטחון עד לפריסת עדכוני התוכנה. ההגנות המתקדמות נותנות שקט נפשי למנהלי רשתות שתוקף לא יוכל לחדור לרשת דרך המצלמה.
מירי אופיר, דירקטור מחקר ופיתוח בצ'ק פוינט, מזהירה: ״תקיפות סייבר על מצלמות אבטחה הן אחת הדרכים המועדפות על תוקפי סייבר לחדירה לרשת הארגונית״ . מיוחד
מירי אופיר | צילום: ניקי וסטפהל
מצלמות אבטחה נמצאות כיום במרחב הציבורי, בכל ארגון, על גבי מכוניות ונכנסות גם לבתים הפרטיים. שוק מצלמות האבטחה נאמד בלמעלה מחמישים מיליארד דולר בשנת 2021, וצומח בקצב מהיר. בכל יום מותקנות מאות אלפי מצלמות אבטחה ברחבי העולם. שוק המצלמות נשלט על ידי מספר יצרניות גדולות, ועוד כמה שחקניות משנה.
גם מבחינה טכנולוגית המוצרים מתפתחים בקצב מרשים עם סאקלה רחבה של יכולות. בקצה העליון נמצאות מצלמות המצויידות בחיישנים חכמים ובתוכנות מתקדמות המציעים תכונות כמו ראיית לילה, זיהוי מרחק, חום ותנועה. בקצה השני נמצאות מצלמות ביתיות אשר מנוהלות דרך אפליקציות בטלפון.
חדירה לרשת הארגונית
תקיפות סייבר על מצלמות אבטחה הן אחת הדרכים המועדפות על תוקפי סייבר לחדירה לרשת הארגונית, בשל היותן קלות לפריצה ומשרתות נתיב תקיפה יעיל באופן יחסי. במאמר זה נסקור את סיכוני אבטחת הסייבר של מצלמות האבטחה, וננסה להבין כיצד אפשר לצמצם אותם.
לפני מספר שבועות ביקרתי במתחם בטחוני במרכז הארץ לצורך פגישת עבודה, המתחם היה מאובטח ומרושת במצלמות, נדרשתי להיכנס עם ליווי. מהיכרות, רשת המחשבים והשרתים היא רשת מסווגת ומנותקת, אולם תהיתי מה באשר לרשת המצלמות המשרדית.
האם אותן הנחיות תקפות גם לגבי מצלמות האבטחה. כל המצלמות האיכותיות כיום, מצוידות ביכולות עיבוד תמונה וקול, מערכות ההקלטה מציעות יכולות של פענוח טקסט וזיהוי פנים, מידע ממצלמות מועלה לענן אם לצורך טלמטריות או על מנת ליהנות מיכולות אנליטיקה המסופקות על ידי שירותי AI.
עוד לפני הסכנה של תקיפות סייבר, שימוש במצלמות אבטחה מערב נושאים של פרטיות. המידע הרגיש שעובר דרך המצלמה, חושף את המפעילים לסוגיות רבות הקשורות לנושא הפרטיות, ומעלה חששות כבדים באשר ליכולות של גופים זרים לצפות או להקשיב למידע.
בארצות הברית, יצאה הנחיה האוסרת על שימוש במצלמות אבטחה של כמה חברות נקובות, כולן בבעלות הממשלה הסינית, בכל האתרים השייכים לסוכנויות פדרליות. ההנחיה מתייחסת לציודי תקשורת ומצלמות, ודורשת פירוק והחלפה של ציוד קיים. (1). קולות דומים נשמעים כעת גם במספר מדינות באירופה, מתוך הבנה שכל מצלמה היא למעשה סוכן פעיל או סוכן רדום, שיכול להתעורר ביום פקודה.
תקיפות סייבר דרך מצלמות הן כאמור אחת הדרכים הנפוצות להיכנס לרשת. תוקפים מבינים שמצלמות ומכשירי הקלטה מכילים מידע רגיש, ובוחרים לתקוף אותם או דרכם להיכנס לתוך הרשת.
למה כל כך קל לתקוף מצלמות אבטחה?
מצלמות, לרוב, מחוברות מצד אחד לרשת הארגונית, ומצד שני לרשת האינטרנט. המצלמה מצלמת ומעבירה כמויות עצומות של נתונים למערכות הקלטה שיושבות בתוך בארגון או בענן. מערכות הניהול יכולות להיות פנימיות בתוך הארגון, או אונליין באתר היצרן.
מכשירי ההקלטה (NVR) מעבדים את סרטוני הוידאו, ומעבירים אותם לגיבוי ושמירה בשרתי האחסון הארגוניים (NAS) לתקופות משתנות על פי המדיניות הארגונית. שרתים אלו מנוהלים לרוב תחת ה- Domain Controller הארגוני.
ישנה המלצה כללית שהיא תמיד נכונה לבצע הפרדת רשתות עבור מכשירי IoT או לפחות לממש micro-segmentation בתוך הרשת.
מימוש הדרישה הזאת, מקשה מאד על מנהלי רשתות וכרוך בעלויות גבוהות הן בשלב ההקמה והן בשלב התפעול. מתוך בחירה או פשרה, נגלה שהמצלמות לרוב מחוברות כאמור לרשת המרכזית, בארגונים קטנים זוהי הרשת היחידה, לעיתים החיבור הוא אלחוטי.
מצלמות אבטחה, כמרבית מכשירי IoT מותקנות עם קושחה שמסופקת על ידי היצרן, וככל תוכנה אחרת יש בה חולשות אבטחה. חולשות תוכנה מקורן בדרך כלל בבאגים או בהנדסת תוכנה לקויה, והתיקון להן דורש תמיד עדכון קוד.
יצרנים של מכשירי IoT יודעים לייצר תוכנה שעונה על הפונקציונליות הנדרשת מהמכשיר, אבל מומחי אבטחה לרוב הם לא. במקרים רבים הם מעדיפים לספק תוכנות רזות תוך דילוג על עקרונות חשובים של כתיבת תוכנה מאובטחת.
אצלנו למשל בחברת צ'ק פוינט, מיושמת מדינויות של Security by Design. כל אנשי התוכנה נדרשים לעבור הכשרה שנתית של כתיבת קוד מאובטח. בהמשך עבור כל רכיב תוכנה פנימי או חיצוני, אנחנו נדרשים לעבור תהליך קפדני של Security Review, אשר מסתיים בבדיקות חדירות למוצר.
המוצר לא ישוחרר לפני תיקון של כל הממצאים שהתגלו, ובהמשך אם מתגלות חולשות תוכנה ברכיבי צד שלישי שבהם השתמשנו, צוות הפיתוח של המוצר אחראי לשחרר עדכון תוכנה בתוך SLA קפדני. אנו מתגאים בהיותנו מובילים בשחרור מהיר של עדכוני אבטחה, זוהי דרישה קפדנית שכל צוותי הפיתוח בצ'ק פוינט מחוייבים אליה.
מה קורה בגזרת ה-IoT?
יצרנים וספקי תוכנה רבים לא מתעדפים מימוש דרישות אבטחה במוצרים שלהם. עולם אבטחת המידע נתפס כמורכב ומסובך, והיצרנים מעדיפים להתמקד בשיפור והרחבת יכולות פונקציונליות של המוצר שלהם ולא להתעסק בהוספת שכבות אבטחה למוצר שלהם.
לעיתים אנו מוצאים מוצרים חסרי יכולות אבטחה בסיסיות, כמו ניהול משתמשים וסיסמאות ותקשורת מוצפנת, שלא לדבר על בדיקת חדירות וסגירת חולשות תוכנה, אלו לרוב לא קיימים. כמו בכל פיתוח תוכנה, יצרנים משתמשים בחבילות קוד פתוח וברכיבי צד שלישי נפוצים, וחושפים את המכשירים לבעיות ידועות שמגיעות מאותן חבילות תוכנה.
שימוש בקוד פתוח הוא יתרון עצום למפתחים, אך עשוי לדרוש עדכונים תכופים בכל עת שמתפרסמת חולשת תוכנה. למרבה הצער, יצרני IoT, לא בהכרח מקפידים על שחרור תיקוני אבטחה, גם כאן המודעות לא גבוהה, והדרישה מצד המשתמשים לא חזקה מספיק.
יתרה מזאת, אותם יצרנים, צדיקים בסדום, שלוקחים אחריות ומוציאים עדכונים תקופתיים, מגלים שהמשתמשים שלהם לא טורחים לעדכן את המוצרים.
הסיבות לכך רבות, בראשן, מאמץ תפעולי גדול הנדרש לתחזוקת מערכות מבוזרות, עדכון קושחה למכשיר IoT הוא במקרים רבים מסובך יותר מאשר עדכון תוכנה למחשב, יש עדיין מכשירים שיכולים לקבל עדכונים רק דרך התקני USB, לעיתים אנו מוצאים שהמכשירים מותקנים במקומות שאינם נגישים בקלות.
למשל מצלמות שמותקנות על גבי גדרות או על עמודים גבוהים מאד, או מרוחקים מרחק של מאות קילומטרים מצוות הניהול. בנוסף, עדכוני תוכנה לעיתים דורשים אתחול למכשירים, וישנם מכשירי IoT שבהם כל השבתה היא בעייתית או רגישה מאד.
בנוסף, קיים החשש מעדכון זדוני, כאשר ידועים מקרים רבים של ניצול לרעה של מנגנוני עדכון התוכנה על ידי תוקפים, כמו למשל התקיפה המפורסמת על SolrWinds מלפני שנה. התוצאה היא, שבמרבית המקרים, המכשירים רצים עם גרסת התוכנה המקורית, למשך שנים.
איך תוקף מנצל חולשת תוכנה?
תוקף ינסה למצוא מצלמות נפוצות עם חולשות ידועות, כל חולשה שפורסמה הופכת להיות כלי תקיפה זמין בעבור תוקפי סייבר. חולשות מתגלות לאחר שנעשה בהן שימוש על ידי תוקפים, נגרם נזק, ודבר התקיפה מתפרסם. או במקרה הטוב, חוקרי חולשות מצליחים לזהות את החולשה במעבדה כחלק מעבודת מחקר.
חוקרים מאפשרים ליצרן פרק זמן של 90 ימים להוציא עדכון תוכנה, בטרם יפרסמו את המידע על החולשה. זהו פרק זמן קצר שבו היצרן נדרש לעצור את תכניות העבודה שלו, ולהוציא עדכון מהיר לפני שהחולשה תפורסם.
כאשר חולשה מתפרסמת, היא תקבל ניקוד בהתאם לחומרה שלה, עד כמה היא עלולה לגרום לנזק במידה ותוקף ימצא את הדרך לנצל אותה. חולשות בשימוש, מתפרסמות לעיתים ביחד עם דרך הפעולה של תוקף לנצל אותן.
החולשות החמורות ביותר מתייחסות ליכולת הרצת קוד מרחוק, בשפה המקצועית RCE: Remote Code Execution. חולשה כזו, כאשר תוקף ינצל אותה, תאפשר לו שליטה מלאה על המכשיר. הוא יוכל לגנוב מידע, להריץ כופרה, להתקין כורי מטבעות דיגיטליים על המכשיר, או לשתול בוט שיאפשר לו לעשות כל דבר שירצה בהמשך.
במקרים של תקיפה על מכשיר שמחובר לרשת הארגונית, תוקף חכם יוכל להגיע לכל מחשב ברשת ולהריץ עליו פקודות מרחוק. קמפיינים כאלו הפכו להיות מתוחכמים יותר ויותר, התוקפים מוצאים דלת כניסה לארגון, ולעיתים שוהים חודשים ארוכים מבלי להתגלות עד שמחליטים להכות בקרבן.
תקיפות מסוג אלו פורסמו לאחרונה בהקשרים של תקיפות בין מדינות, וגם במחקרים של מעבדות סייבר, לדוגמא - R4IoT, ZuoRAT. כאשר שם של יצרן נקשר בתקיפת סייבר, הדבר עלול לגרום לנזק תדמיתי גדול עבורו.
בחודש אפריל האחרון משרד המשפטים האמריקאי ביחד עם גורמים אירופיים הצליח לשים את ידו על שירות רוסי בשם RSOCKS שנתן גישה למחשבים אבל בעיקר מכשירי IoT רבים לתוקפים, בצורה של גישה למכשיר כשירות.
שיטת ההדבקה היתה פשוטה יחסית, הם סרקו מכשירים שמחוברים לרשת וניסו להיכנס אליהם עם סיסמא המוגדרת כברירת מחדל או באמצעות התקפת ניסיונות גישה כוחניים (Brute force). באופן זה הם הצליחו להקים "צבא" של כ- 350 אלף מכשירים שנדבקו בבוט, ומכרו גישה יומית למכשירים בסכומים שנעו בין עשרות דולרים למאות דולרים.
גורמי אכיפת החוק נמצאים בקרב מתמיד מול תוקפי סייבר, הם נוחלים אי אלו הצלחות, אבל כל מהלך כזה לוקח זמן ובינתיים ארגונים ואנשים רבים נפגעים.
רגולציה
לאור התקיפות הרבות והבנת האיומים של מכשירי IoT, גם הרגולציה סביבם הכוללת דרישות להגנות סייבר הולכת ומתקדמת. ארגוני התקינה הגדולים ETSI, CISA, NIST, הוציאו מסמכים שמנחים את יצרני המכשירים לממש הגנות בתוך המכשירים כנגד תקיפות סייבר.
המפרטים דורשים מיצרנים לממש את כל העקרונות הבסיסיים כמו ניהול משתמשים, הרשאות, הצפנת מידע ושימוש בתקשורת מוצפנת, ניהול חולשות, ופרסום עדכוני אבטחה. סוכנות CISA הוציאה לאחרונה מסמך ובו היא דורשת מהסוכנויות הפדרליות הכפופות לה, לבחון שיקולי אבטחת מידע בעת רכישת התקני IoT.
והיא שוקדת כעת על הקמת מערכת דיווח במסגרתה כל ארגון שנחשף לתקיפת סייבר יידרש לדווח על התקיפה. ארגונים דואגים להדק כעת את כל מעגלי האבטחה, מחשבים, שרתים, ומכשירי IoT. עוד בתחום התקינה והרגולציה, מכון UL האמריקאי פרסם תוכנית דירוג אבטחה למכשירי IoT כאשר בדירוג הגבוה ביותר היצרנים נדרשים לתת מענה מצוין לטיפול בחולשות תוכנה, ידועות ושאינן.
מה אפשר לעשות?
יש מספר דרכים למזער את סיכוני הסייבר שמגיעים ממכשירי IoT. ניתן לחלק את המכשירים לכמה קטגוריות, ולכל קטגוריה יש רמת סיכון שונה. בראש הרשימה נמצאים מכשירים "בעלי עיניים ואזניים" כמו מצלמות או מכשירים שניצול לרעה על ידי תוקף יכול להביא לבעיית בטיחות כמו מעליות ורחפנים. באותה קגטוריה הייתי מוסיפה נתבים בהיותם שער כניסה לארגון.
הפרקטיקות המקובלות מציעות להתחיל את התהליך ברכישת מכשירים מחברה מוכרת ואמינה, לתכנן את ההטמעה בצורה קפדנית, כולל ניטור שוטף, זיהוי חריגויות, וגיבוש נוהל עדכון למכשירים אלו. מערך הסייבר הלאומי הוציא לאחרונה עדכון למסמך שנקרא "דרכי פעולה מומלצות צמצום סיכוני סייבר ממצלמות אבטחה".
המסמך מכיל המלצות חשובות שכדאי ליישם, בנוסף, ניתן גם להטמיע מערכות ניטור שיודעות לזהות איומי סייבר על מכשירי IoT. פרקטיקות האלו יעילות במידת מה, אולם לא הרמטיות מספיק, ודורשות מאמץ גדול ממנהלי הרשתות. בארגון ממוצע יש כיום כמאות ואף אלפי מכשירי IoT מדגמים שונים, כולל טלויזיות חכמות, מדפסות, נתבים, מצלמות, מעליות, שערי כניסה, חיישנים ועוד.
בבית ממוצע יש כתשעה מכשירי IoT שונים. המרדף אחרי התקנת עדכונים הוא אינסופי, ולא מספיק מותאם למכשירי IoT בשל כל הסיבות שציינו.
ליצרנים יש אחריות להגנת סייבר
הגישה החדשנית יותר מציבה דרישה ליצרנים להטמיע הגנות סייבר בתוך המוצרים עצמם. משתמשים צריכים לדרוש מהיצרנים לתת מענה טוב יותר לתקיפות סייבר על המוצרים שלהם, ולבחון כל מוצר היטב לפני שהם מחברים אותו לרשת הארגונית או לבית שלהם.
כפי שציינו הרגולציה מתפתחת ותורמת להבנה של היצרנים שהם לא יכולים להתעלם מדרישות סייבר. יחד עם זאת, אני טוענת שהשינוי חייב להיות מגובה בדרישה חזקה מהשטח של לקוחות שמתעקשים לרכוש רק מוצרים של יצרנים שמכבדים את הצורך שלהם בפרטיות ובהגנה על הנכסים החשובים שלהם.
הם צריכים לבחור יצרנים שמוכנים להשקיע בהגנות בתוך המוצר, ולא מגלגלים את האחריות על המשתמשים, באופן שבו הם נדרשים להשקיע בהקמה של תשתיות נוספות ומערכות הגנה חיצוניות, תוך דרישה לניטור מתמיד על ידי מנהלי הרשתות.
למעשה, ניטור הוא פיתרון לא טוב. זיהוי ההתקפה לאחר שכבר נעשתה, הוא מאוחר מדי. צ'ק פוינט מובילה מתודולוגיה של הגנת סייבר על ידי חסימת ההתקפה, ולא ניטור.
יצרן של מכשיר IoT יכול לקבל מאיתנו חבילת תוכנה קטנה להטמעה בתוך המכשיר, זהו למעשה Nano-Agent חכם שיודע לזהות התנהגות של תוקף ומונע כל ניסיון תקיפה בזמן אמת. בתהליך אינטגרציה עם היצרן אנו מקשיחים את המוצר, ויודעים לזהות בזמן ריצה חריגה מהפעילות המותרת של המכשיר, ולחסום אותה. באופן זה, גם אם יש בתוכנה חולשות אבטחה ידועות או שאינן ידועות, התוקף לא יוכל לנצל אותן.
לאחרונה חברת Provision-ISR הישראלית השיקה קו מצלמות ומכשירי הקלטה שמגיעים כולם עם ההגנות המתקדמות של צ'ק פוינט. זוהי למעשה חברת המצלמות היחידה כיום שמציגה פתרון שחוסם תקיפות zero-day, ומספק רשת ביטחון עד לפריסת עדכוני התוכנה. ההגנות המתקדמות נותנות שקט נפשי למנהלי רשתות שתוקף לא יוכל לחדור לרשת דרך המצלמה.
