rssyoutubefg

כנראה שהמפורסמים לא לוקחים את עניין אבטחת המידע שלהם ברצינות, מה שמאפשר שוב להאקרים להדליף את תמונות העירום שלהם לרשת.

אתר הרכילות TMZ מדווח כי עשרות תמונות אישיות ואינטימיות של אן הת'אווי, מיילי סיירוס, קריסטן סטיוארט, טייגר וודס ועוד, דלפו והופצו ברחבי הרשת, ורבים משתפים אותם ברשתות חברתיות כמו Reddit, Twitter ואיך לא, בוואטסאפ.

האירוע מגיע מספר חודשים לאחר הדליפה האחרונה של תמונות של אמה ווטסון ברשת Reddit.

הפעם מאחורי דליפת התמונות האינטימיות עומד האקר לא מזוהה או קבוצה של האקרים שהצליחו לגשת אל חשבונות Apple iCloud של המפורסמים וגנבו תמונות וסרטוני וידאו פרטיים.

באותה שיטה השתמשו בדליפת תמונות הסלבס ב-2014, שבה האקרים אנונימיים הציפו את האינטרנט עם תצלומים פרטיים של סלבריטאים גדולים, ביניהם ג'ניפר לורנס, קים קרדשיאן, קייט אפטון וקירסטן דאנסט.

ב-2014 אפל הגיבה בהתחייבות להגביר את האבטחה על חשבונות ה-iCloud, ובאשר להאקר המדליף, הוא נתפס ונשלח לכלא.

מיילי סיירוס, אן הת'אווי, אמנדה סייפריד, דמי לובאטו, לוסי הייל, קייט הדסון, רוז מקגוואן, רוסריו דוסון, סוקי ווטרהאוס ואליסון ברי הם הקורבנות האחרונים שמתווספים לרשימה ארוכה של מפורסמים שנפגעו מהתופעה.

התמונות שהודלפו פורסמו באתר Celeb Jihad, ועורכי הדין של הסלבריטאים מדווחים כי הם פועלים באופן פעיל כדי להוריד את התמונות מהרשת, אבל בינתיים התמונות משוכפלות ומופצות ברחבי האינטרנט.

האקרים ב-2014 השתמשו בשיטות שונות של פישינג כדי להונות סלבריטאים לתוך הזנת אישורים בחשבון ה-iCloud שלהם, מה שאפשר להם לגשת לתמונות פרטיות וקטעי וידאו של יותר מ -300 קורבנות.

עדיין לא ברור כיצד התוקפים הצליחו הפעם לפרוץ לחשבונות ה-iCloud של הסלבס. אבל מה שבטוח שהם צריכים להיות יותר זהירים.

איך תשמרו על התמונות הפרטיות שלכם?

אם אתם מחפשים את הדרך הטובה ביותר לשמור את התמונות שלכם מחוץ לאינטרנט, הפתרון הפשוט ביותר לכך הוא – אל תצלמו אותן. אבל אם אתם בכל זאת מחליטים לעשות זאת, יש כמה צעדים שניתן לבצע כדי למזער את הסיכון:

  • אין שירות, בין אם זה Google, אפל או מיקרוסופט, שאי פעם מבקש את הסיסמה שלכם או כל מידע אישי רגיש אחר באמצעות דוא"ל.
  • במידה ואתם מקבלים מייל שדורש פעולה בחשבון, מומלץ להיכנס אליו דרך האתר ולא דרך לינק מדוא"ל.
  • זה תמיד רעיון טוב לעדכן באופן קבוע את הסיסמאות ושאלות האבטחה שלכם.
  • בקביעת הסיסמה חשוב שלא להשתמש בשמות של בני משפחה, חיות מחמד, תאריכי לידה וכו' – זו בדיוק השיטה בה נפרצים בדר"כ חשבונות של סלבים.
  • אפשרו אימות דו-שלבי בחשבונות שלכם ובחרו תמיד סיסמה חזקה ושונה עבור כל חשבון. אם אינכם מצליחים ליצור ולזכור סיסמאות שונות עבור כל אתר, תוכל להשתמש במנהל סיסמאות טוב.
  • אל תלחצו על קישורים או קבצים מצורפים חשודים בדוא"ל שקיבלתם.
  • אם יש ספק, פנו לשולח כדי לוודא שאכן הוא שלח אליכם את הדוא"ל.
  • לעולם אל תספקו את המידע האישי או הפיננסי שלכם באמצעות דוא"ל.

פעם כל מה שהטלוויזיה שלנו אפשרה לנו זה לצפות בערוצי טלוויזיה "רגילים", אז זהו שכבר לא. כיום, אנחנו מחליפים את הטלוויזיות המיושנות בטלוויזיות "חכמות", בהן ניתן לצפות בסטרימינג (צפייה ישירה) של קטעי וידאו ושמע, לשחק משחקים, לגלוש באינטרנט ולהוריד אפליקציות – כל זאת הודות לחיבור שלהן לאינטרנט.

ההתקדמות הטכנולוגית הזו היא חלק ממגמה רחבה יותר בה מכשירי החשמל שלנו בבית ועצמים אחרים מחוברים לרשת האינטרנט, מה שיוצר כמות הולכת וגדלה של התקני אינטרנט-של-הדברים (Internet of Things, IoT).

אין ספק שהמגמה הזאת הופכת את החיים שלנו להרבה יותר קלים ונותנת לנו אפשרויות אינסופיות, אבל עם זאת, החיבור לאינטרנט של הטלוויזיות החכמות ומצב האבטחה הבעייתי במרחב ה-IoT באופן כללי פותח פרצה לאינספור איומים על הפרטיות שלנו ואבטחת המכשירים.

מחקרים מראים שקיים מגוון רחב של מתקפות נגד טלוויזיות חכמות ושאותן מתקפות הן אפשריות ופרקטיות. ברוב המקרים אין צורך בגישה פיזית למכשיר או באינטראקציה עם המשתמש. בנוסף, הוכח מספר פעמים כי ברגע שבו פורצים לטלוויזיה החכמה, מכשיר זה יכול לשמש כ"מקפצה" למתקפות המופנות כלפי מכשירים אחרים באותה הרשת, מה שעשוי לפגוע במידע האישי של המשתמש המאוחסן על מכשירים הרבה יותר "מעניינים", כמו מחשבים אישיים, טאבלטים וסמארטפונים.

ייתכן שמישהו צופה בכם 

בטוח שאתם נהנים מצפייה בטלוויזיה החכמה שלכם, אך אנו מאמינים שאתם לא רוצים שהיא תצפה בכם בחזרה. למעשה, זה בדיוק מה שהטלוויזיות האלה יכולות לעשות – "לצפות בצופים שלהן".

בשנת 2013 חוקרים הוכיחו שבאמצעות ניצול פרצות אבטחה אפשר להדליק מרחוק את המצלמה והמיקרופון המובנים בדגמים מסוימים של טלוויזיות של סמסונג. בנוסף לכך שהפכו את הטלוויזיה למכשיר שרואה ושומע הכול, הם יכלו להשתלט על אפליקציות מובנות של רשתות חברתיות, לפרסם נתונים בשמם של המשתמשים ולגשת לקבצים שלהם. חוקר אחר הדגים מתקפה המאפשרת לו להחדיר סיפורי חדשות מזויפים לדפדפן של טלוויזיה חכמה.

גם נוזקות יכולות למצוא את דרכן לטלוויזיות שלכם ולגרום להן לעבוד באיטיות. בכיוון ההתקפה הזה, שהוכח גם הוא כפרקטי, התוקפים יכלו ליצור אפליקציה לגיטימית ולאחר מכן לשחרר עדכון שיהפוך אותה לנוזקה. העדכון ירד באופן אוטומטי לטלוויזיות חכמות המצוידות במיקרופון.

בשנת 2014 התגלתה פרצה בתקן של טלוויזיות אינטראקטיביות הידוע בשם "HbbTV". החוקרים גילו כי ניתן להטמין את קוד התקיפה הזה בשידורים זדוניים וכך לפגוע באלפי טלוויזיות חכמות במכה אחת, מה שיאפשר לתוקפים לפרוץ לטלוויזיה ולמכשירים אחרים ברשת, לגנוב סיסמאות גישה, להציג פרסומות לא-רצויות ואפילו לנטר את התעבורה ברשתות אלחוטיות לא-מאובטחות. בנוסף, התגלה כי אין צורך בתכסיסי פריצה מיוחדים בשימוש בצורת תקיפה זו.

בעיות אחרות בתקן HbbTV העלו אותו לכותרות פעם נוספת ב-2017. חוקר אבטחה הציג טכניקה בה הוא שלח אות אלחוטי זדוני כדי לפרוץ לטלוויזיות עם חיבור לאינטרנט. לאחר שהחוקר השתלט על הטלוויזיה, ניתן היה להשתמש בה למגוון עצום של פעולות זדוניות, ביניהן ריגול אחר המשתמש באמצעות המיקרופון והמצלמה של הטלוויזיה ושיטוט בתוך הרשת המקומית. על פי הערכות, 9 מתוך 10 טלוויזיות חכמות שנמכרו בשנים האחרונות היו חשופות לפריצה זו. כמו בדוגמה הקודמת, גם כאן המשתמש לא היה מגלה סימנים חיצוניים לכך שמתרחש משהו חריג.

בפברואר 2018, עמותת Consumer Reports האמריקאית שחררה תוצאות של מבחני פריצה לטלוויזיות המחוברות לאינטרנט מחמישה מותגים שונים, כל אחת מהן משתמשת בפלטפורמת טלוויזיה חכמה אחרת. "האקרים יכולים להשתלט על מיליוני טלוויזיות חכמות באמצעות ניצול פרצות אבטחה פשוטות", אמר הארגון. נמצא כי המכשירים היו חשופים לפריצות לא-מתוחכמות שיאפשרו לתוקף להחליף ערוצים, להעלות את עוצמת השמע לרמה מחרישת אוזניים, להתקין אפליקציות חדשות ולנתק את המכשיר מהרשת האלחוטית – כל זה, כמובן, מרחוק.

בנוסף, הסקירה גילתה שמשתמשים מחויבים להסכים לכך שייאסף מידע מפורט מאוד אודות הרגלי הצפייה שלהם, אלא אם כן הם מוכנים לוותר על הפיצ'רים החכמים של הטלוויזיה החדשה שלהם. במשך השנים נחשפו כמה יצרנים שהיו מעורבים באיסוף של נתונים אודות הרגלי הצפייה של צרכנים וסחרו בהם ללא הסכמה.

היי מישהו שומע אותי

חששות בנוגע להשלכותיהן של הטלוויזיות החכמות על הפרטיות עלו גם בשנת 2015, כשפונקציית "זיהוי הקול" של סמסונג, שמטרתה להקל על המשתמש באמצעות מתן פקודות קוליות לטלוויזיה, הוצגה לקהל הרחב. החברה הזהירה את לקוחותיה המשתמשים בזיהוי הקולי בטלוויזיות החכמות שלהן ששיחות פרטיות יהוו חלק מהמידע הנאסף ומשותף עם גופים אחרים. בנוסף, לא בכל המקרים המידע שנאסף באופן לגיטימי הועבר באופן מוצפן, מה שעלול לאפשר לפורצים לצותת לשיחות פרטיות.

כאמור, הדיון בנושא הזה עוד לא הסתיים, עם הזמן נוצרים איומים נוספים על הפרטיות והאבטחה בזמן שאנשים רבים ממשיכים לרכוש טלוויזיות חכמות בקצב הולך וגובר. על פי אחת התחזיות, עד סוף 2018 יהיו יותר מ-750 מיליון טלוויזיות חכמות.

טלוויזיות חכמות מאפשרות לנו להשתמש בהן למטרות הקשורות בדרך כלל למחשבים. למעשה, זו בדיוק התכלית של הטלוויזיות האלה – "מחשבים" המחוברים לאינטרנט, בדומה לטלפונים ניידים. אין ספק שאם נחשוב עליהם כעל מחשבים ונתייחס אליהם ככאלה מצבנו ישתפר.

לאחרונה השקנו את ESET Smart TV Security מוצר חדש להגנה על טלווזיות חכמות עם מערכת הפעלה Android TV. המוצר החדש מגן מפני מפני וירוסים ונוזקות, מספק הגנה מרבית מפני נוזקות כופר הנועלות את מסך הטלוויזיה, סורק התקנים חיצוניים המתחברים לטלוויזיה ומנגנון אנטי פישינג להגנה מפני ניסיונות לגניבת מידע אישי רגיש. האפליקציה זמינה להורדה בחנות האפליקציות הרשמית Google Play, וניתן להוריד אותה רק ממכשירי טלוויזיה חכמים. 

מכירים את זה שאתם כבר לא יכולים להתאפק ומתים לדעת מה קורה בפרק הבא? חוסר הסבלנות שלנו יכול לעיתים להוביל לדברים פחות נעימים. הנוזקה Submelius תקפה עד כה עשרות אלפי גולשים ישראלים באתרי סטרימינג (צפייה ישירה) באמצעות התקנה של תוסף לדפדפן כרום כתנאי לצפות בסרטים או בסדרות

במהלך הימים האחרונים זיהנו עליה יוצאת דופן בכמות הזיהויים של נוזקה בשם JS/Chromex.Submelius אצל משתמשים שלנו בישראל ובעולם. מדובר ב25% מכלל הזיהויים בישראל בשבוע האחרון, שהן עשרות אלפי התקפות שנחסמו במהלך השבוע האחרון אצל גולשים בישראל. מה שאומר שאם המחשב שלכם לא מוגן, סביר להניח שנדבקתם. בעולם מגיעה הנוזקה ל 15% מהזיהויים, מה שמצביע על מיליוני התקפות שנחסמות מידי שבוע ברחבי העולם.

submelius 1

אחוז הזיהויים של הנוזקה בישראל מתוך כלל הזיהויים בשבוע האחרון. מתוך האתר www.virusradar.com

אז איך זה עובד בעצם?
בזכות שיתוף פעולה שלנו עם קאמילו גוטיירז אמאייה, מנהל המחקר של ESET באמריקה הלטינית, קיבלנו הצצה לאופן שבה תוקפת הנוזקה את הגולשים ברחבי העולם וגם בישראל (כמובן שהשפה מותאמת לשפת הדפדפן במקרה של ההדגמה בספרדית).
הבאנו לכם דוגמא לדרך שבה הנוזקה תוקפת באתר פופולרי לצפייה בסטרימינג. ברגע שילחץ הגולש על הכפתור שכביכול מפעיל את הסרט, נפתח חלון נוסף בדפדפן:

submelius 2

מתוך www.welivesecurity.com/la-es

לטובת הקוראים שלא התנסו בצפייה באתרי צפייה ישירה, ההתנהגות של פתיחת חלון נוסף בהפעלת הסרט אינה יוצאת דופן ואפילו צפויה ו"נורמלית", כאשר נפתחים חלונות שונים עם התראות בסגנון "viruses have been detected" או פרסומות בסגנון "work from home and earn money".
אבל במקרה הזה הדפדפן אינו מפנה לדף נוסף עם פרסומת כפי שקורה בדרך כלל, אלא מוביל לאתר שבו מתבקש הגולש לאפשר הודעה שלא תיעלם או תיסגר בשום צורה עד שהגולש לוחץ "OK".

submelius 3

מתוך www.welivesecurity.com/la-es

ההפניה שקורית באותו הרגע ברקע מבקשת מהגולש להוריד ולהתקין תוסף לכרום שמגיע מחנות האפליקציות הרשמית של גוגל, דבר שיוריד את החשדות של מרבית הגולשים.

כך ייראה הדפדפן לפני התקנת התוסף:

submelius 4

 

 מתוך www.welivesecurity.com/la-es

אם יאשר הגולש את ההתקנה, יופיע רווח ריק במקום שלפני כן הופיע הסמל של תפריט ההגדרות של כרום. אם הגולש ילחץ עליו, הוא יופנה לתוסף נוסף בחנות האפליקציות של גוגל. ניתן לראות שיש רק 3 המלצות על התוסף, שכנראה נכתבו ע"י התוקפים דרך פרופילים מזויפים.

submelius 5

מתוך www.welivesecurity.com/la-es

מה קורה למי שבכל זאת מתקין את התוסף?
בשלב זה, הסרט או הסדרה בסטרימינג יופעלו, ומבחינת הגולש הכול תקין ואפשר להכין פופקורן - אבל בינתיים ברקע הדפדפן שלו הודבק. אם נתבונן בהרשאות שיש לתוסף שהותקן, נראה שהוא יכול לקרוא ולשנות מידע באתרים שבהם מבקר הגולש. ההרשאה משאירה פרצה לתוקפים שמאפשרת להם לשתול קוד זדוני בכל אתר שנפתח בכרום.

submelius 6

מתוך www.welivesecurity.com/la-es

כך ניתן יהיה לראות שבזמן הגלישה באינטרנט ייפתחו לפתע חלונות עם מידע על המערכת, שאישור או סגירה שלהם יוביל לאתרים נוספים בהם יוכלו התוקפים לבחור בקוד הזדוני או פרסומות שיתקפו את הגולש. התוצאה היא "לופ" אינסופי שבו נפתחים עוד ועוד חלונות עם פרסומות, התקפות כופר או גניבת פרטי אשראי.

מה ניתן לעשות אם כבר הורדתי את התוסף?
אם התוסף כבר מותקן אצלכם חשוב להסיר אותו מידית מהדפדפן כרום.
כדי לעשות זאת, ניתן לפתוח חלון חדש ולהקליד בשורת הכתובת של כרום את הפקודה:
chrome://extensions
בתפריט זה ניתן יהיה למצוא את התוסף הזדוני ולהסיר אותו.
כדי להיות בטוחים שהמחשב שלכם לא הותקף ע"י נוזקה נוספת כמו כופר או סוס טרויאני שגונב פרטי אשראי, חשוב גם לסרוק את המחשב באמצעות מוצר אבטחה שאתם סומכים עליו.
עבור גולשים שלא מותקן להם פתרון אבטחה של ESET, ניתן להשתמש בכלי החינמי ESET Online Scanner שעובד ישירות מהדפדפן ויזהה את הנוזקה .

submelius 7

כך נצפתה המתקפה בחודש האחרון בישראל. מתוך האתר www.virusradar.com

ניתן לראות שהאיום Submelius ממשיך לתקוף מספר רב של גולשים בישראל גם ברגעים אלה. בישראל ישנם משתמשים רבים הצופים בתכנים בצפייה ישירה ולכן חשוב להקפיד על עירנות ברשת ולהיזהר באתרי סטרימינג, טורנטים ושיתוף קבצים, במיוחד כאשר הם מבקשים התקנה של תוסף לדפדפן.

האיומים במרחב הקיברנטי נמצאים בעליה מתמדת מידי שנה, כאשר אנחנו הופכים לתלויים יותר ויותר בשירותים מקוונים ומתחברים עם עוד ועוד מכשירים שונים לאינטרנט, גם הנזקים שנגרמים מהתקפות ונוזקות הופכים לגדולים יותר.
אמנם בכל שנה מתגלים איומים חדשים לגמרי, אבל רבים מהם מסתמכים על התקפות ותיקות או משכללים אותן, ואת חלק מהטרנדים בתחום ניתן לצפות על פי ניסיון העבר.

נוזקות הכופר ממשיכות לשלוט
לפני עשור כאשר נדבקנו בוירוס או נוזקה, המשמעות היתה בדרך כלל סרגל כלים מציק, פרסומות קופצות, והאטה בגלישה. לפני 5 שנים כאשר נדבקנו המשמעות היתה גניבה של פרטי כרטיס האשראי שלנו או פרטי הכניסה למייל ולרשתות חברתיות.
הדבקה בוירוס כיום אומרת בדרך כלל הצפנה של המידע האישי והקריטי שלנו, ודרישה לתשלום כופר. זו תוצאה של תהליך שנמשך כבר כ 3 שנים, שהגיע לשיאו במהלך 2016.

2017 1

אחוז של נוזקות כופר מתוך כלל הנוזקות, רבעון ראשון 2016, מקור: InfoSec institute

כיום ידוע לנו על קרוב ל 200 משפחות של תוכנות כופר, כאשר לכל משפחה אלפי ווריאנטים, מה שהופך את נוזקות הכופר לסוג הנוזקות שתופס את הנתח הגדול ביותר בתחום. תהליך שהחל במהלך 2016 וכנראה יתחזק במהלך 2017 הוא מכירה של קוד ליצירת נוזקות כופר בצורה די נרחבת ברחבי ה"דארקנט", כאשר ניתן כבר לראות נוזקות חדשות שפותחו בהתבסס על קוד קיים.

2017 2

 מתוך פורום למכירת נוזקות ב"דארקנט"

אם זה לא היה מספיק, צצו מספר חוקרי אבטחה בשנה החולפת, ששיחררו קוד ליצירת תוכנות כופר בתור proof of concept בטענה שהמטרה שלהם היא לחזק את חברות אבטחת המידע. בפועל צצו בחודשים האחרונים עשרות גרסאות של תוכנות כופר שמבוססות על הקוד שפורסם.
בשורה התחתונה שוק הנוזקות ימשיך להישלט ע"י נוזקות הכופר במהלך 2017, כאשר נוזקות אחרות לגניבת מידע יידחקו הצידה או ישמשו רק בהתקפות ממוקדות.

Ransomware as a service

טרנד נוסף שהחל להתפתח במהלך 2016 הוא נוזקות כופר בתור שירות אוטומטי עבור עבריינים. בהשראת התחום של software as a service שמשתלט על תעשיית התוכנות ושירותי המחשוב, לקחו חלק ממשפחות הפשע המאורגן שמפתחות את נוזקות הכופר את השירות שהן נותנות לעבריינים שמפיצים אותן לשלב הבא.

למרות שכבר קיים קוד פתוח וקוד למכירה של נוזקות כופר, בדרך כלל נדרש העבריין להצטרף למספר שירותים על מנת לייצר מהן כסף. השיטה של ransomware as a service שמיושמת לדוגמא עם נוזקת הכופר Cerber מאפשרת לעבריינים עם ידע טכני בסיסי ביותר להפוך למפיצים שלה, כאשר הם מספקים שירות של יצירת ווריאנטים חדשים, בדיקה שלהם מול מנועים של חברות אנטי וירוס, הקמה והגדרה של שרת התקיפה, והפצה של הנוזקה דרך ספאם, אתרים נגועים או לינקים. העבודה מול משפחת הפשע אפילו אינה דורשת השקעה מראש, אלא תשלום ישיר עבור כל קורבן ששילם את הכופר. החלוקה היא של 40% ליוצרי הנוזקה, ו- 60% למפיץ שלה.

2017 3

מתוך ממשק הניהול של Cerber, ניתן להגדיר הכל אוטומטית, כולל את סכום הכופר

השימוש של משפחות הפשע במספר רב של "שותפים" או "משווקים" מוריד את החשיפה שלהן מול רשויות החוק מצד אחד, ומצד שני מגביר את כמות ה Variants של כל נוזקת כופר בצורה אקספוננציאלית. כך נראה עליה משמעותית נוספת בתחום נוזקות הכופר במהלך 2017.

עליה דרמטית במספר הנוזקות לאנדרואיד
עם ממוצע של מיליון וחצי הפעלות ביום, אנדרואיד היא כבר מזמן מערכת ההפעלה השולטת בשוק הסמארטפונים והטאבלטים, כאשר כבר לפני שנה גוגל הצהירה על קרוב למיליארד וחצי מכשירי אנדרואיד פעילים.

2017 4

השליטה של אנדרואיד בשוק המובייל הולכת ומתבססת, מקור: Statista

פעמים רבות גם הגיעו נוזקות לחנות האפליקציות הרשמית של גוגל. כאשר כל מפתח יכול לשלם סכום חד פעמי של 25$ כדי לפתוח חשבון חדש ולהעלות אפליקציה תוך 24 שעות, גם הסינון של גוגל (נקרא Bouncer) שמשתפר כל הזמן, מפספס מידי פעם נוזקות בתוך ים האפליקציות שמועלות מידי יום. כך מתקיימות אלפי אפליקציות מזויפות ומתחזות שעולות לחנות בשמות משתנים עשרות פעמים ביום.
שיטה נוספת בה משתמשים כותבי הנוזקות היא העלאה של אפליקציה "נקיה" ל Google Play, ולאחר מכן עדכון של האפליקציה שלא דרך החנות הרשמית.
במהלך שנת 2017 נראה כנראה התפוצצות של נוזקות לאנדרואיד, שעל פי סקרים שנערכו לאחרונה בישראל כבר עוקפת את Windows במספר ההתקנים המחוברים לאינטרנט.

Ransomware of things
בהמשך לטרנד שעליו כתבתי בתחזיות שלי ל 2016, מכשירי ה Internet Of Things (IOT) משמשים כבר להתקפות מניעת שירות (DDOS) בצורה נרחבת, כרגע במיוחד באמצעות הנוזקה Mirai, שהצליחו להפיל באמצעותה את חברת Dyn, ספקית DNS מהגדולות בארה"ב, וכתוצאה מכך להפיל שירותים של אתרים גדולים כמו טוויטר, Netflix ו- Amazon.

בניגוד לפרסומים המוקדמים של חברת Dyn, ההתקפה לא בוצעה ע"י מיליוני מכשירים אלא "רק" על ידי כ 100,000 מכשירים נגועים.
כיום אם נחבר מכשיר IOT לאינטרנט עם הגדרות ברירת מחדל וכאשר הוא אינו מוגן ע"י חומת אש, ייקח כ 30 שניות בממוצע עד שיותקף ויתווסף לרשת Botnet שמשמשת להתקפות DDOS.
לפני פחות משבועיים פורסמה פרשה של התקפת DDOS על מערכות חימום חכמות לבתים, ששיתקה את החימום בשני בלוקים של מגורים בפינלנד, מקום שבו מערכת חימום שאינה פעילה בחורף יכולה לגרום אפילו למוות.

פרסום בטוויטר מהשבוע האחרון מראה טלוויזיה של LG שאינה ניתנת לתפעול לאחר הדבקה בתוכנת כופר שיועדה לסמארטפונים מבוססי אנדרואיד. עם המעבר של הרבה מהטלוויזיות החכמות למערכת ההפעלה של אנדרואיד, כנראה שגם נראה התקפות של כופר על טלוויזיות מחוברות לאינטרנט. הדבר פחות ישים על מכשירים "טיפשים" כמו מצלמות, שאינם כוללים דיסק קשיח, ולכן באתחול פשוט של המכשיר תימחק גם תוכנת הכופר.

2017 5

ב-2017 כנראה שנתחיל לראות "נעילה" או אפילו הצפנה בפועל של טלוויזיות חכמות ושל חלק מהתקני ה-IOT, והיעילות בהתקפות יכולה גם להוביל לדרישות כופר תמורת הפסקת התקפות DDoSS על שירותים חיוניים, דבר שיכול לקרוץ לא רק לחובבנים שעוסקים בתחום, אלא גם לעבריינים מקצועיים יותר.

התקפות על רכבים חכמים

רכבים חכמים מתחילים גם הם להפוך למוצר נפוץ בשוק הרכב, ועם הפופולריות שלהם מגיעות כמובן גם ההתקפות.
התקפות עם שלט אוניברסלי "חכם" הן נפוצות מאוד בעולם וגם בישראל בשנים האחרונות, ועם המעבר להנעת רכבים ללא מפתח, חוסכות לגנבים עבודה עם מפתח גנבים או עם כבל ההנעה.
ככל שימשיך המעבר של יצרניות הרכב להנעה ללא מפתח, כך יגברו השנה התקפות אלחוטיות על רכבים.
כאשר אנו מדברים על רכבים חכמים אוטונומיים, שמסוגלים לנהוג בעצמם, הסכנה הופכת למוחשית הרבה יותר. כך הודגמה "חטיפה" של ג'יפ במהלך נסיעה על כביש מהיר לפני כחצי שנה.
כנראה שלא נראה הרבה התקפות כאלה מיושמות במהלך 2017, אבל ככל ששוק הרכב יכניס יותר ויותר רכבים אוטונומיים לייצור, כך גם נראה התקפות שישתלטו על ההיגוי של הרכב, ונוכל כנראה לראות בקרוב התקפות על נהגים תוך כדי נהיגה, ואפילו דרישות כופר תמורת ה"זכות" לקבל בחזרה את השליטה ברכב.

לסיכום
בשנה הקרובה נראה סוגים רבים יותר של נוזקות כופר והתקפות שונות שמשלבות דרישה לתשלום, כמו גם התקפות על מכשירים חכמים שמחוברים לאינטרנט.
חשוב לזכור שכל מכשיר שאנחנו מחברים לאינטרנט חשוף להתקפה, כאשר בדרך כלל ההתקפות הן אוטומטיות, שמירה על עירנות ועל כללי אבטחה בסיסיים תגן עלינו ממרבית ההתקפות.

 

 

רבות דובר על "הבית החכם", הכוונה היא למכשירים המחוברים לרשת ואמורים להקל על חיי היומיום שלנו. בין אם להדליק לנו את הדוד, לווסת את הטמפרטורה בחדר, לצלם את מה שמתרחש בבית והשיא כמובן הן העוזרות הקוליות שמאפשרות לנו באמצעות פקודות קול לשלוט על כל הבית שלנו.

העוזרות הקוליות הן אחד הטרנדים החמים בעולם כיום. למרות שהן כלל לא נמכרות בישראל ויש להזמין או לרכוש אותן בחו"ל, הערכה היא שבישראל יש בין 15 ל-20 אלף רמקולים חכמים. בארה"ב למשל 46% משתמשים בעוזרות הקוליות, כך על פי סקר של מכון פיו בשנה שעברה. עד כה ההערכות הן שנמכרו בארה"ב כ-40 מיליון עוזרות קוליות, כך שבכל בית אב שלישי תוכלו למצוא עוזרת קולית.

מכשירים "חכמים" או כפי שהם נקראים בסלנג הטכנולוגי IoT (האינטרנט של הדברים) הם המצאה מדהימה שהופכת את חיי היומיום הדיגיטליים לקלים יותר, אך כמה הם מאובטחים מבחינת שמירה על הפרטיות שלנו?

במטרה לבדוק האם אפשר ליצור בית חכם ובטוח, צוות המחקר של  ESET, בחן חלק ממכשירי ה-IoT הפופולריים בשוק היום במטרה לדמות בית חכם בסיסי המחקה את המכשירים המקוונים אותם נמצא ככל הנראה במשק בית טיפוסי.

הרבה בעיות יכולות לצוץ בעת שיוצרים מרחב מחיה מקוון. אחד האתגרים העומדים בפני כל הבתים החכמים, אפילו הבסיסיים שבהם, הוא החיבור בין מכשירים של יצרנים שונים כך שייצרו חוויה הרמונית ואחידה, או לפחות דומה לכך ככל האפשר.

צוות החוקרים רכש מספר מכשירי IoT הנחשבים להכרחיים עבור כל אדם המעוניין ליצור בביתו בית חכם. בנוסף, נרכשה עוזרת קולית (מכשיר המקבל פקודות קוליות ומסוגל לשלוט ברבים מהמכשירים המחוברים לאינטרנט; למעשה, לרוב הבית חכם, אם כי פחות בישראל, יתחיל במכשיר כזה ורק לאחר מכן ישפר את הפונקציונליות שלו באמצעות מכשירי IoT נוספים).

האם אתם יודעים אילו נתונים הבית החכם אוסף עליכם?

השיקול העיקרי להתקנת בית חכם הוא שבית כזה לא יפגע בפרטיות שלנו ויאסוף עלינו פרטים שהוא לא צריך לאסוף וכמובן שלא ישתמש בהם לצרכים שאנחנו לא מודעים אליהם.

לכל יצרן חייבת להיות מדיניות פרטיות או מסמך דומה המסביר כיצד הנתונים שנאספים על ידי מכשיר או באמצעות השירותים שבהם אתה משתמש נאספים ומשומשים. חלק מהמדינויות מעורפלות וקשות לקריאה ובמקרים מסוימים קשות לאיתור, בעוד שמקרים אחרים ניתן לראות מאמץ יוצא דופן של חברות כדי להפוך אותם קריאים ומובנים.

הדאגה העיקרית של צוות המחקר הייתה שהמכשירים בבית עשויים לאסוף מידע פרטי. כמובן, שלא ניתן להימנע מזה ורוב המכשירים והשירותים צריכים לאסוף פרטים אישיים בסיסיים. עם זאת, למרבה הדאגה, החוקרים גילו שחברות רבות משתמשות בביטוי "but not limited to" שמשמעותו היא שהחברה עשויה לאסוף יותר נתונים מאלו שצוינו במדיניות הפרטיות שהמשתמש הסכים לה.

צוות החוקרים בדק 12 מכשירים של שבע יצרניות, ביניהם מוצר אחד שלא נכלל בדוח הסופי מכיוון שהתגלו בו פרצות משמעותיות. כחברת אבטחה, אנחנו מחויבים לחשיפה אחראית ושיתוף הפעולה המאפיין את תעשיית אבטחת המידע, ולכן מסרנו הודעה לחברה הנ"ל יחד עם פרטים ספציפיים אודות חסרונותיו של המכשיר, והפרטים לא יתפרסמו עד שהיצרן יפתור את הבעיות האלו.

בין המכשירים שנבדקו, העוזרת קולית של אמזון Amazon Echo – Alexa, מצלמות אבטחה של D-Link, רמקול חכם של Sonos, משקל חכם של Nokia, חיבור חכם של TP Link, המאפשר באמצעות חיבור תקע למכשיר החשמל לשלוט במכשיר מרחוק באמצעות הסמארטפון ועוד.

האם יש חשש לפרטיות שלכם? כן.

החששות החשובים ביותר עולים מכיוון העוזרות הקוליות - במקרה הזה Alexa של אמזון. שירות שפועל כצינור לכל שאר המכשירים ולאחר מכן מאחסן את האינטראקציות איתם, יוצר באופן פוטנציאלי הזדמנות פז עבור פושעי הסייבר. לא המוצר ולא של השירותים של אמזון הם אלה שמוטלים בספק, אבל האקר חכם שמנסה לדלות נתונים אישיים כדי לגנוב את הזהות שלכם יכול ליצור התקפת פישינג ממוקדת כדי לקבל גישה לחשבונות האמזון.

כל אחד מהמכשירים שנבדקו הוביל לבעיות פרטיות מסוימות, תפקידן של העוזרות הקוליות הוא זה שגרם למרבית החששות. זה נובע, בין היתר, מהחשש משיתוף-יתר של הנתונים ע"י שירותים מסחריים, הגנה מעטה מדי על המידע האישי המאוחסן, והאפשרות ליירוט התעבורה הדיגיטלית ע"י פושעי סייבר או נוכלים אחרים.

Alexa – "את יכולה להיות מאובטחת?" זה תלוי.

אם אתם מחליטים לנצל את העוזרות הקוליות בבית החכם, וודאו שאתם מגדירים כמה פרמטרים חשובים.

  • הגדירו קוד PIN בעת רכישה באמצעות קול, לרוב עדיף בכלל לא לבצע רכישות באמצעות זיהוי קולי.
  • אמנו את Alexa על מנת שתכיר את הקול שלכם ואז הגבילו את הפונקציונליות רק להנחיות המוכרות.
  • כאשר אינכם זקוק לעוזרת האישית, כבו את המכשיר, או לפחות סגרו את המיקרופון.

האם אפשר ליצור בית חכם ובטוח?

התשובה היא... יכול להיות. אף מכשיר או תוכנה לא יכולים להיות בטוחים או חסינים מפני פרצות באופן מוחלט. עם זאת, ניתן לקבל מושג בנוגע לתרבות האבטחה של החברה על פי התנהגותה של החברה לאחר שמתגלות פרצות במוצריה. בחלק מהמכשירים שנבדקו היו פרצות אבטחה שנפתרו במהרה באמצעות עדכון תוכנה/קושחה. אם לא מטפלים בפרצות באופן מידי (או שלא מטפלים בהן בכלל), התגובה הראויה לכך תהיה בחירת מכשיר מיצרן אחר. עם זאת, באמצעות שיקול דעת סביר ונקיטת אמצעי זהירות, ניתן ליצור בית חכם בסיסי.

יש לתת את האפשרות לאיסוף נתונים (בנוגע לבית, סגנון החיים, הבריאות ואף הרגלי הגלישה) לגורם יחיד רק לאחר ששוקלים בכובד ראש את ההשלכות האפשריות של החלטה זו ולאחר שקוראים את מדיניות הפרטיות של כל מוצר כזה – כמובן שבמידה ואין כזאת זה אמור להדליק אצלנו נורה אדומה.

ניתן למצוא סקירה מלאה של המכשירים שנבדקו, יחד עם סקירה טכנית של המוצרים, במאמר הבא: IoT ופרטיות כחלק מהתכנון של בית החכם.

eset logo footer© כל הזכויות שמורות לקומסקיור בע"מ 2004-2018, נציגת ESET בישראל. סימנים מסחריים אשר בשימוש באתר זה הינם סימנים מסחריים או
מותגים רשומים של ESET spol. s r.o. או ESET, LLC. כל השמות והמתוגים האחרים הם סימנים מסחריים רשומים של החברות הרשומות

עוצב ונבנה על-ידי פרומו - אסטרטגיה שיווקית ופרסום