הסכנות של התקפות האקרים על מכשירי IoT: סיפורים אמיתיים

התשתית של מטרופולין מודרנית בנויה על מכשירי האינטרנט של הדברים: ממצלמות וידאו בכבישים ועד לתחנות כוח הידרואלקטריות גדולות ובתי חולים. האקרים מסוגלים להפוך כל מכשיר מחובר לבוט ואז להשתמש בו כדי לבצע התקפות DDoS.

המניעים יכולים להיות שונים מאוד: האקרים, למשל, יכולים לקבל תשלום על ידי הממשלה או התאגיד, ולפעמים הם סתם פושעים שרוצים ליהנות ולהרוויח כסף.

ברוסיה, הצבא מפחיד אותנו יותר ויותר עם התקפות סייבר אפשריות על "מתקני תשתית קריטיים" (דווקא כדי להגן מפני זה, לפחות פורמלית, אומץ החוק על האינטרנט הריבוני).

עם זאת, זה לא רק סיפור אימה. לפי קספרסקי, במחצית הראשונה של 2019, האקרים תקפו מכשירי אינטרנט של הדברים יותר מ-100 מיליון פעמים, לרוב תוך שימוש ברשתות הבוטים Mirai ו-Nyadrop. אגב, רוסיה נמצאת רק במקום הרביעי במספר ההתקפות מסוג זה (למרות הדימוי המבשר רעות של "האקרים רוסים" שיצרה העיתונות המערבית); שלוש הראשונות הן סין, ברזיל ואפילו מצרים. ארה"ב רק במקום החמישי.

אז האם אפשר להדוף התקפות כאלה בהצלחה? בואו נסתכל תחילה על כמה מקרים ידועים של התקפות כאלה כדי למצוא תשובה לשאלה כיצד לאבטח את המכשירים שלכם לפחות ברמה בסיסית.

סכר שדרות באומן

סכר באומן אווניו ממוקם בעיירה ריי ברוק (ניו יורק) עם אוכלוסייה של פחות מ-10 אלף איש - גובהו שישה מטרים בלבד, ורוחבו אינו עולה על חמישה. בשנת 2013, סוכנויות הביון האמריקאיות זיהו תוכנות זדוניות במערכת המידע של הסכר. ואז ההאקרים לא השתמשו בנתונים הגנובים כדי לשבש את פעולת המתקן (ככל הנראה בגלל שהסכר נותק מהאינטרנט במהלך עבודות התיקון).

שדרת באומן נחוצה כדי למנוע הצפה של אזורים ליד הנחל בזמן שיטפון. ולא יכולות להיות השלכות הרסניות מכישלון הסכר - במקרה הרע, מרתפי כמה מבנים לאורך הנחל היו מוצפים במים, אבל אי אפשר אפילו לקרוא לזה שיטפון.

ראש העיר פול רוזנברג הציע אז שהאקרים יכלו לבלבל את המבנה עם סכר גדול אחר עם אותו שם באורגון. הוא משמש להשקיית חוות רבות, שבהן כשלים יגרמו נזק חמור לתושבים המקומיים.

ייתכן שההאקרים פשוט התאמנו על סכר קטן כדי לשלב מאוחר יותר חדירה רצינית לתחנת כוח הידרואלקטרית גדולה או כל אלמנט אחר ברשת החשמל בארה"ב.

המתקפה על סכר שדרות באומן הוכרה כחלק מסדרת פריצות למערכות בנקאיות שביצעו בהצלחה שבעה האקרים איראנים במהלך שנה (התקפות DDoS). במהלך תקופה זו שובשה עבודתם של 46 מהמוסדות הפיננסיים הגדולים במדינה, וחשבונות הבנק של מאות אלפי לקוחות נחסמו.

האיראני חמיד פירוזי הואשם מאוחר יותר בשורה של התקפות האקרים על בנקים וסכר שדרת באומן. התברר שהוא השתמש בשיטת גוגל דורקינג כדי למצוא "חורים" בסכר (לימים העיתונות המקומית הפילה מטח האשמות נגד תאגיד גוגל). חמיד פיזורי לא היה בארצות הברית. מאחר שהסגרה מאיראן לארצות הברית לא קיימת, ההאקרים לא קיבלו עונשים של ממש.

2. רכבת תחתית חינם בסן פרנסיסקו

ב-25 בנובמבר 2016 הופיעה הודעה בכל המסופים האלקטרוניים למכירת כרטיסי תחבורה ציבורית בסן פרנסיסקו: "נפרצו, כל הנתונים מוצפנים". כמו כן הותקפו כל מחשבי חלונות השייכים לסוכנות התחבורה העירונית. תוכנה זדונית HDDCryptor (מצפן התוקף את רשומת האתחול הראשית של מחשב Windows) הגיעה לבקר התחום של הארגון.

HDDCryptor מצפין כוננים קשיחים מקומיים וקבצי רשת באמצעות מפתחות שנוצרו באקראי, ולאחר מכן משכתב את ה-MBR של הכוננים הקשיחים כדי למנוע ממערכות לאתחל כהלכה. ציוד, ככלל, נדבק עקב פעולות של עובדים שפותחים בטעות קובץ פיתוי במייל, ואז הווירוס מתפשט ברחבי הרשת.

התוקפים הזמינו את השלטון המקומי לפנות אליהם בדואר [מוגן בדוא"ל] (כן, Yandex). עבור השגת המפתח לפענוח כל הנתונים, הם דרשו 100 ביטקוין (באותה עת כ-73 אלף דולר). ההאקרים גם הציעו לפענח מכונה אחת עבור ביטקוין אחד כדי להוכיח שהשחזור אפשרי. אבל הממשלה התמודדה עם הנגיף בעצמה, למרות שזה לקח יותר מיממה. בזמן שחזור המערכת כולה, הנסיעה במטרו הפכה בחינם.

"פתחנו את הקרוסלות כאמצעי זהירות כדי למזער את ההשפעה של המתקפה הזו על הנוסעים", הסביר דובר העירייה פול רוז.

הפושעים גם טענו שהם קיבלו גישה ל-30 GB של מסמכים פנימיים מסוכנות התחבורה המטרופולינית של סן פרנסיסקו והבטיחו להדליף אותם באינטרנט אם הכופר לא ישולם תוך 24 שעות.

אגב, שנה קודם לכן, המרכז הרפואי הפרסביטריאני של הוליווד הותקף באותה מדינה. לאחר מכן שילמו להאקרים 17 דולר כדי להחזיר את הגישה למערכת המחשוב של בית החולים.

3. מערכת חירום של דאלאס

באפריל 2017, 23 צפירות חירום נשמעו בדאלאס בשעה 40:156 כדי להודיע ​​לציבור על מצבי חירום. הם הצליחו לכבות אותם רק שעתיים לאחר מכן. במהלך הזמן הזה, שירות 911 קיבל אלפי שיחות אזעקה מתושבים מקומיים (כמה ימים לפני התקרית, שלוש סופות טורנדו חלשות עברו באזור דאלאס, והרסו כמה בתים).

מערכת הודעות חירום הותקנה בדאלאס בשנת 2007, עם סירנות שסופקו על ידי פדרל סיגנל. הרשויות לא פירטו כיצד המערכות פועלות, אך אמרו שהן השתמשו ב"טונים". אותות כאלה משודרים בדרך כלל דרך שירות מזג האוויר באמצעות Dual-Tone Multi-Frequency (DTMF) או Audio Frequency Shift Keying (AFSK). אלו הן פקודות מוצפנות אשר שודרו בתדר של 700 מגה-הרץ.

גורמים בעירייה הציעו כי התוקפים הקליטו אותות אודיו ששודרו במהלך בדיקת מערכת האזהרה ולאחר מכן השמיעו אותם (מתקפה חוזרת קלאסית). כדי לבצע זאת, האקרים היו צריכים רק לרכוש ציוד בדיקה לעבודה עם תדרי רדיו; ניתן לרכוש אותו ללא בעיות בחנויות מתמחות.

מומחים מחברת המחקר Bastille ציינו כי ביצוע תקיפה כזו מרמז על כך שהתוקפים למדו לעומק את פעולת מערכת ההודעות לשעת חירום בעיר, התדרים והקודים.

ראש עיריית דאלאס פרסם הודעה למחרת כי ההאקרים יימצאו וייענשו, וכי כל מערכות האזהרה בטקסס ימודרניות. עם זאת, האשמים מעולם לא נמצאו.

***
הרעיון של ערים חכמות מגיע עם סיכונים רציניים. אם מערכת הבקרה של מטרופולין תפרוץ, התוקפים יקבלו גישה מרחוק לשליטה במצבי תנועה ובאובייקטים עירוניים חשובים אסטרטגית.

סיכונים כרוכים גם בגניבת מאגרי מידע, הכוללים לא רק מידע על כל תשתית העיר, אלא גם נתונים אישיים של תושבים. אסור לשכוח צריכת חשמל מוגזמת ועומס יתר ברשת – כל הטכנולוגיות קשורות לערוצי תקשורת וצמתים, כולל חשמל נצרך.

רמת החרדה של בעלי מכשירי IoT מתקרבת לאפס

בשנת 2017 ביצעה Trustlook מחקר על רמת המודעות של בעלי מכשירי IoT לגבי האבטחה שלהם. התברר ש-35% מהנשאלים לא משנים את סיסמת ברירת המחדל (המפעל) לפני שמתחילים להשתמש במכשיר. ויותר ממחצית מהמשתמשים כלל לא מתקינים תוכנת צד שלישי כדי להגן מפני התקפות האקרים. 80% מבעלי מכשירי ה-IoT מעולם לא שמעו על הבוטנט Mirai.

יחד עם זאת, עם התפתחות האינטרנט של הדברים, מספר מתקפות הסייבר רק יגדל. ובעוד חברות רוכשות מכשירים "חכמים", שוכחות מכללי אבטחה בסיסיים, פושעי סייבר מקבלים יותר ויותר הזדמנויות להרוויח כסף ממשתמשים רשלניים. לדוגמה, הם משתמשים ברשתות של מכשירים נגועים כדי לבצע התקפות DDoS או כשרת פרוקסי לפעילויות זדוניות אחרות. ואת רוב התקריות הלא נעימות הללו ניתן למנוע אם תקפידו על כללים פשוטים:

• שנה את סיסמת היצרן לפני שתתחיל להשתמש במכשיר
• התקן תוכנת אבטחת אינטרנט אמינה במחשבים, בטאבלטים ובסמארטפונים שלך.
• בצע את המחקר שלך לפני הרכישה. מכשירים הופכים לחכמים מכיוון שהם אוספים הרבה נתונים אישיים. עליך להיות מודע לאיזה סוג מידע ייאסף, כיצד הוא יאוחסן ויוגן, והאם הוא ישותף עם צדדים שלישיים.
• בדוק את אתר האינטרנט של יצרן המכשיר באופן קבוע לקבלת עדכוני קושחה
• אל תשכח לבדוק את יומן האירועים (בעיקר לנתח את כל השימוש ביציאת USB)

מקור: www.habr.com