מזונות חשובים
- ביום שני, 17 במאי בשעה 4:50 AM EDT, באג חשף עדכונים של מצלמות אבטחה של Eufy.
- בית חכם וגאדג'טים לאינטרנט של הדברים אינם נותנים עדיפות לאבטחה.
- חקיקה עשויה לאלץ ספקים להתייחס ברצינות לאבטחת המשתמשים שלהם.
בעלים של מצלמות אבטחה חכמות של Eufy התעוררו לסיוט בסגנון הוליוודי מוקדם יותר השבוע כאשר פרצה חשפה את המצלמות הביתיות שלהם לכל אחד באינטרנט. איך נוכל להיות מוגנים טוב יותר?
עדכון תוכנה גרם לפרצה, והיא תוקנה לאחר שעה. אבל במהלך הזמן הזה, קומץ משתמשי Eufy שמו לב שיש להם גישה לעדכוני מצלמות חיים של משתמשים אחרים, כמו גם וידאו מוקלט. ההפרה גם העניקה גישה מלאה לחשבון, כלומר כל אחד יכול היה להזיז ולהטות את המצלמות של זרים כדי להסתכל טוב על הבתים שלו. זה מדגיש את הבעיות הגלומות בכל הגאדג'טים לבית חכם.
"ככל שנכניס יותר טכנולוגיה לבית, פושעי סייבר יפנו יותר ויותר את תשומת לבם למערכות החדשות הללו", אמר בן דינקין, מייסד שותף ומנכ"ל Atlas Cybersecurity, ל-Lifewire בדוא"ל. "הבדיקה המוגברת הזו מצד פושעים תגרום בהכרח למספר הולך וגדל של התקפות, ושום חוק או תקנה לא יוכלו לעצור אותה. כדי לפתור את הבעיה הזו, עלינו למצוא דרכים חדשות וחדשניות גם לאבטחת מערכות וגם להרתיע מפעילות פלילית".
Insecure By Design
בהצהרה שמסרה ל-Lifewire על ידי יצרנית Eufy Anker, עדכון תוכנה גרם לבאג, שהשפיע על 712 משתמשים ותוקן תוך פחות משעתיים.
עם זאת, הבעיות הבסיסיות נותרו. מכשירי האינטרנט של הדברים, כפי שגאדג'טים לבית חכם אלה מסווגים, אינם מתוכננים להיות מאובטחים.
"נכון לעכשיו, מכשירי IoT לרוב אינם בנויים עם חזית אבטחה", אמר דן טירל מחברת בדיקות החדירה Cob alt.io ל-Lifewire באימייל. הבעיה היא שמעצבים וספקים מתעניינים יותר בתכונות מאשר באבטחה.
"שוק ה-IoT מתחדש כל הזמן עם חברות חדשות ומבוססות שמביאות מוצרים ופתרונות לשוק בקצב שובר צוואר", אומר דינקין. "משמעות הדבר היא שכדי שחברות יצליחו בתחום, עליהן לחדש במהירות ולנסות להקדים את המתחרים שלהן, מה שאומר, בהכרח, שהביטחון יטופל כשיקול משני, ולא כעיקרון הליבה של המוצר. זה מוביל לפגיעויות בכל מקום שניתן לנצל."
מעניין שאנשים שחיברו את מצלמות Eufy שלהם רק באמצעות ה-HomeKit Secure Video של אפל, לא הושפעו מהפרה זו, מה שמראה שגישה אבטחה ראשונה אפשרית.
תקנה
הפרות אלו לא ייפסקו עד שהאבטחה תהיה חשובה לפחות כמו תכונות, וזה לא יקרה עד שמישהו יכריח את ספקי הבית החכם לקחת זאת ברצינות. תשובה אחת היא רגולציה ממשלתית, כמו שיש לנו לשמירה על בטיחות המזון שלנו, וניוד טלפונים סלולריים באיחוד האירופי זול. הרגולציה תכפה תקני מינימום על ספקים ותעניש אותם על הפרות.
"רגולציה היא לא בהכרח כדור הכסף לוודא שמכשירי IoT מאובטחים", אומר טירל. "במקום זאת, עלינו להסתכל על הרגולציה כצעד בכיוון הנכון. הייתי מזהיר שעמידה בתקן רגולטורי אינו זהה לשמירה על אבטחה, אבל זה עדיף מכלום."
כדי לפתור את הבעיה, עלינו למצוא דרכים חדשות וחדשניות גם לאבטחת מערכות וגם להרתיע פעילות פלילית.
אחרים מתנגדים לחלוטין לרגולציה. פול אנגל, מייסד The Constitution Study, מסכם את הגישה הזו.
"הדבר האחרון שאנחנו צריכים זה יותר התערבות ממשלתית", אמר אנגל ל-Lifewire באימייל. "כמה תביעות משפטיות יקרות ותשלומי ביטוח יעשו יותר כדי לדחוף את החברות הללו לשפר את אבטחתן מאשר כל חקיקה יכולה."
בסופו של דבר, רוב ההגנות על הצרכן מגיעות מרגולציה ממשלתית. ובהתחשב במגמות היסטוריות, סביר להניח שהאיחוד האירופי יקדם את זה, אבל לארה ב יש כבר כמה חוקים שאפשר לבנות עליהם.
"נוכל להרחיב את הסטנדרטים שנקבעו בחוק 2020 לשיפור אבטחת הסייבר של האינטרנט של הדברים - שכרגע מכסה רק ציוד שנרכש על ידי סוכנויות ממשלתיות - למוצרים לעסקים ולצרכנות", אמר פול בישוף, תומך פרטיות בקומפאריטק, ל-Lifewire דרך אי - מייל. "זה כולל עדכוני קושחה ותוכנה מרוחקים ואוטומטיים, ניהול זהויות והצפנה."
ללא אבטחה טובה יותר, הדברים הולכים להחמיר.
Protect Yourself
הדרך הקלה ביותר להימנע מפרצות IoT היא לא להתקין מכשירי בית חכם. אבל אם אתה בהחלט צריך פעמון חכם או מצלמת אבטחה, יש אמצעי זהירות שאתה יכול לנקוט. ראשית, שקול מכשירים שאינם משתמשים באינטרנט.
"תוכל לבחור במצלמת אבטחה המאחסנת וידאו במכשיר מקומי במקום בשרת ענן", אומר בישוף. "[וגם] אתה יכול לנתב מכשירי IoT דרך VPN המותקן בנתב ה-Wi-Fi שלך, שמסתיר את כתובת ה-IP והמיקום האמיתיים שלך ומצפין נתונים במעבר."
ככל שנכניס יותר טכנולוגיה לבית, פושעי סייבר יפנו יותר ויותר את תשומת לבם למערכות החדשות האלה.
בסופו של דבר, הדבר החשוב ביותר הוא לזכור שאבטחת המכשירים שלך היא באחריותך.
"צרכנים צריכים לתרגל היגיינת סייבר טובה עם מכשירי ה-IoT שלהם", אומר טירל. "במידת האפשר, שנה שמות משתמש וסיסמאות ברירת מחדל.חבר רק את המכשירים הדרושים לאינטרנט. הבינו שתפקידכם כבעל המכשיר לעדכן תיקונים, ועשו זאת באופן קבוע. לבסוף, שמור רשת מקומית נפרדת בביתך עבור כל מכשירי ה-IoT כדי להפחית את ההשפעה של פריצה של אחד מהמכשירים האלה."