התשתית של מטרופולין מודרנית בנויה על מכשירי האינטרנט של הדברים: ממצלמות וידאו בכבישים ועד לתחנות כוח הידרואלקטריות גדולות ובתי חולים. האקרים מסוגלים להפוך כל מכשיר מחובר לבוט ואז להשתמש בו כדי לבצע התקפות DDoS.
המניעים יכולים להיות שונים מאוד: האקרים, למשל, יכולים לקבל תשלום על ידי הממשלה או התאגיד, ולפעמים הם סתם פושעים שרוצים ליהנות ולהרוויח כסף.
ברוסיה, הצבא מפחיד אותנו יותר ויותר עם התקפות סייבר אפשריות על "מתקני תשתית קריטיים" (דווקא כדי להגן מפני זה, לפחות פורמלית, אומץ החוק על האינטרנט הריבוני).
עם זאת, זה לא רק סיפור אימה. לפי קספרסקי, במחצית הראשונה של 2019, האקרים תקפו מכשירי אינטרנט של הדברים יותר מ-100 מיליון פעמים, לרוב תוך שימוש ברשתות הבוטים Mirai ו-Nyadrop. אגב, רוסיה נמצאת רק במקום הרביעי במספר ההתקפות מסוג זה (למרות הדימוי המבשר רעות של "האקרים רוסים" שיצרה העיתונות המערבית); שלוש הראשונות הן סין, ברזיל ואפילו מצרים. ארה"ב רק במקום החמישי.
אז האם אפשר להדוף התקפות כאלה בהצלחה? בואו נסתכל תחילה על כמה מקרים ידועים של התקפות כאלה כדי למצוא תשובה לשאלה כיצד לאבטח את המכשירים שלכם לפחות ברמה בסיסית.
סכר שדרות באומן
סכר באומן אווניו ממוקם בעיירה ריי ברוק (ניו יורק) עם אוכלוסייה של פחות מ-10 אלף איש - גובהו שישה מטרים בלבד, ורוחבו אינו עולה על חמישה. בשנת 2013, סוכנויות הביון האמריקאיות זיהו תוכנות זדוניות במערכת המידע של הסכר. ואז ההאקרים לא השתמשו בנתונים הגנובים כדי לשבש את פעולת המתקן (ככל הנראה בגלל שהסכר נותק מהאינטרנט במהלך עבודות התיקון).
שדרת באומן נחוצה כדי למנוע הצפה של אזורים ליד הנחל בזמן שיטפון. ולא יכולות להיות השלכות הרסניות מכישלון הסכר - במקרה הרע, מרתפי כמה מבנים לאורך הנחל היו מוצפים במים, אבל אי אפשר אפילו לקרוא לזה שיטפון.
ראש העיר פול רוזנברג הציע אז שהאקרים יכלו לבלבל את המבנה עם סכר גדול אחר עם אותו שם באורגון. הוא משמש להשקיית חוות רבות, שבהן כשלים יגרמו נזק חמור לתושבים המקומיים.
ייתכן שההאקרים פשוט התאמנו על סכר קטן כדי לשלב מאוחר יותר חדירה רצינית לתחנת כוח הידרואלקטרית גדולה או כל אלמנט אחר ברשת החשמל בארה"ב.
המתקפה על סכר שדרות באומן הוכרה כחלק מסדרת פריצות למערכות בנקאיות שביצעו בהצלחה שבעה האקרים איראנים במהלך שנה (התקפות DDoS). במהלך תקופה זו שובשה עבודתם של 46 מהמוסדות הפיננסיים הגדולים במדינה, וחשבונות הבנק של מאות אלפי לקוחות נחסמו.
האיראני חמיד פירוזי הואשם מאוחר יותר בשורה של התקפות האקרים על בנקים וסכר שדרת באומן. התברר שהוא השתמש בשיטת גוגל דורקינג כדי למצוא "חורים" בסכר (לימים העיתונות המקומית הפילה מטח האשמות נגד תאגיד גוגל). חמיד פיזורי לא היה בארצות הברית. מאחר שהסגרה מאיראן לארצות הברית לא קיימת, ההאקרים לא קיבלו עונשים של ממש.
2. רכבת תחתית חינם בסן פרנסיסקו
ב-25 בנובמבר 2016, כל מכונות מכירת כרטיסי התחבורה הציבורית של סן פרנסיסקו הציגו את ההודעה: "נפרצתם, כל הנתונים מוצפנים". כל המחשבים... Windows, אשר שייך לסוכנות התחבורה העירונית. התוכנה הזדונית HDDCryptor (תוכנה מצפינה שתוקפת את רשומת האתחול הראשית) Windows-מחשב) הגיע לבקר תחום ארגון.
HDDCryptor מצפין כוננים קשיחים מקומיים וקבצי רשת באמצעות מפתחות שנוצרו באקראי, ולאחר מכן משכתב את ה-MBR של הכוננים הקשיחים כדי למנוע ממערכות לאתחל כהלכה. ציוד, ככלל, נדבק עקב פעולות של עובדים שפותחים בטעות קובץ פיתוי במייל, ואז הווירוס מתפשט ברחבי הרשת.
התוקפים הציעו שהממשלה המקומית תיצור איתם קשר באמצעות דוא"ל לכתובת cryptom27@yandex.com (כן, Yandex). כדי להשיג את המפתח לפענוח כל הנתונים, הם דרשו 100 ביטקוין (באותה תקופה, כ-73 אלף דולר). ההאקרים גם הציעו לפענח מכונה אחת תמורת ביטקוין אחד כדי להוכיח שהשחזור אפשרי. אבל הממשלה התמודדה עם הנגיף בכוחות עצמה, אם כי זה לקח יותר מיום. במהלך שיקום המערכת כולה, הנסיעה במטרו הפכה לחינמית.
"פתחנו את הקרוסלות כאמצעי זהירות כדי למזער את ההשפעה של המתקפה הזו על הנוסעים", הסביר דובר העירייה פול רוז.
הפושעים גם טענו שהם קיבלו גישה ל-30 GB של מסמכים פנימיים מסוכנות התחבורה המטרופולינית של סן פרנסיסקו והבטיחו להדליף אותם באינטרנט אם הכופר לא ישולם תוך 24 שעות.
אגב, שנה קודם לכן, המרכז הרפואי הפרסביטריאני של הוליווד הותקף באותה מדינה. לאחר מכן שילמו להאקרים 17 דולר כדי להחזיר את הגישה למערכת המחשוב של בית החולים.
3. מערכת חירום של דאלאס
באפריל 2017, 23 צפירות חירום נשמעו בדאלאס בשעה 40:156 כדי להודיע לציבור על מצבי חירום. הם הצליחו לכבות אותם רק שעתיים לאחר מכן. במהלך הזמן הזה, שירות 911 קיבל אלפי שיחות אזעקה מתושבים מקומיים (כמה ימים לפני התקרית, שלוש סופות טורנדו חלשות עברו באזור דאלאס, והרסו כמה בתים).
מערכת הודעות חירום הותקנה בדאלאס בשנת 2007, עם סירנות שסופקו על ידי פדרל סיגנל. הרשויות לא פירטו כיצד המערכות פועלות, אך אמרו שהן השתמשו ב"טונים". אותות כאלה משודרים בדרך כלל דרך שירות מזג האוויר באמצעות Dual-Tone Multi-Frequency (DTMF) או Audio Frequency Shift Keying (AFSK). אלו הן פקודות מוצפנות אשר שודרו בתדר של 700 מגה-הרץ.
גורמים בעירייה הציעו כי התוקפים הקליטו אותות אודיו ששודרו במהלך בדיקת מערכת האזהרה ולאחר מכן השמיעו אותם (מתקפה חוזרת קלאסית). כדי לבצע זאת, האקרים היו צריכים רק לרכוש ציוד בדיקה לעבודה עם תדרי רדיו; ניתן לרכוש אותו ללא בעיות בחנויות מתמחות.
מומחים מחברת המחקר Bastille ציינו כי ביצוע תקיפה כזו מרמז על כך שהתוקפים למדו לעומק את פעולת מערכת ההודעות לשעת חירום בעיר, התדרים והקודים.
ראש עיריית דאלאס פרסם הודעה למחרת כי ההאקרים יימצאו וייענשו, וכי כל מערכות האזהרה בטקסס ימודרניות. עם זאת, האשמים מעולם לא נמצאו.
***
הרעיון של ערים חכמות מגיע עם סיכונים רציניים. אם מערכת הבקרה של מטרופולין תפרוץ, התוקפים יקבלו גישה מרחוק לשליטה במצבי תנועה ובאובייקטים עירוניים חשובים אסטרטגית.סיכונים כרוכים גם בגניבת מאגרי מידע, הכוללים לא רק מידע על כל תשתית העיר, אלא גם נתונים אישיים של תושבים. אסור לשכוח צריכת חשמל מוגזמת ועומס יתר ברשת – כל הטכנולוגיות קשורות לערוצי תקשורת וצמתים, כולל חשמל נצרך.
רמת החרדה של בעלי מכשירי IoT מתקרבת לאפס
בשנת 2017 ביצעה Trustlook מחקר על רמת המודעות של בעלי מכשירי IoT לגבי האבטחה שלהם. התברר ש-35% מהנשאלים לא משנים את סיסמת ברירת המחדל (המפעל) לפני שמתחילים להשתמש במכשיר. ויותר ממחצית מהמשתמשים כלל לא מתקינים תוכנת צד שלישי כדי להגן מפני התקפות האקרים. 80% מבעלי מכשירי ה-IoT מעולם לא שמעו על הבוטנט Mirai.
במקביל, עם התפתחות האינטרנט של הדברים, מספר מתקפות הסייבר רק יגדל. ובעוד חברות רוכשות מכשירים "חכמים", ושוכחות את כללי האבטחה הבסיסיים, פושעי סייבר זוכים ליותר ויותר הזדמנויות להרוויח ממשתמשים רשלניים. לדוגמה, הם משתמשים ברשתות של מכשירים נגועים כדי לבצע מתקפות DDoS או כשרתים פרוקסי.שרת לפעילויות זדוניות אחרות. ואת רוב האירועים הלא נעימים הללו ניתן למנוע על ידי ביצוע כללים פשוטים:
- שנה את סיסמת היצרן לפני שתתחיל להשתמש במכשיר
- התקן תוכנת אבטחת אינטרנט אמינה במחשבים, בטאבלטים ובסמארטפונים שלך.
- בצע את המחקר שלך לפני הרכישה. מכשירים הופכים לחכמים מכיוון שהם אוספים הרבה נתונים אישיים. עליך להיות מודע לאיזה סוג מידע ייאסף, כיצד הוא יאוחסן ויוגן, והאם הוא ישותף עם צדדים שלישיים.
- בדוק את אתר האינטרנט של יצרן המכשיר באופן קבוע לקבלת עדכוני קושחה
- אל תשכח לבדוק את יומן האירועים (בעיקר לנתח את כל השימוש ביציאת USB)
מקור: www.habr.com
