אבטחת IOT (האינטרנט של הדברים) נמצאת במוקד העניין של רבים בימינו, בעקבות עלייה גדולה בכמות התקפות מניעת השירות המבוזרות (DDoS) על המכשירים המחוברים החדשים שלנו. עד כה, ראינו כבר מקליטי וידאו דיגיטליים ומצלמות וידאו שנפלו קורבן והפכו למעין רובוטים חסרי מוח המשרתים בצבא זדוני ומקוון. לאחר 20 שנה שבהן חברתי לתאגידים ולחברות כדי לפרוס חומות הגנה בתוך, מחוץ ומסביב להן, למדתי שישנם מספר דברים בסיסיים שאנחנו תמיד צריכים להתחשב בהם כשאנחנו יוצרים פתרונות IoT חדשים, במטרה להגן על ההמצאות והחברות שלנו.
הנה חמישה דברים שכדאי שתעשו ממש כעת על מנת לשמור על עצמכם ועל החברה שלכם מחוץ לרשימת האנשים והגופים שמכשיריהם נפרצו.
שנו את הגדרות ברירת המחדל
כל מערכת הפעלה, כל שרת של אפליקציה, כל מכשיר או ספרייה מגיעים עם מערכת הגדרות ברירות מחדל שתוכננו כדי להגן עליהם. הספקים המקוריים הם שיצרו את חשבון ברירת המחדל, ואז פרסמו אותו, כדי שתוכלו לבצע את ההתקנה בקלות ולהתחיל לעבוד עם המוצר. אולם, חשבונות ברירת המחדל הללו מעולם לא היו אמורים להישאר בשימוש – אתם צריכים לשנות את ההגדרות הללו.
בין אם מדובר בסיסמת ברירת המחדל של ראוטר ה-Wi-Fi שלכם, או בתוכן המוטען מראש על מכשיר הראספברי פי.אי (Raspberry Pi) שלכם, אתם פשוט חייבים לשנות את ברירות המחדל. לא לעשות זאת זה ממש כמו להשאיר דלת פתוחה להאקרים, ולהביך את עצמכם ואת הארגון שלכם.
סיגרו פורטים שאינם בשימוש
הצעד הבא בדרך לבניית מצבור בטחונות הוא לסגור פורטים שאינם בשימוש. לכל מכשיר יש מספר גדול של כניסות שיכולות לשמש לסוגי תקשורת שונים. בין אם מדובר באינטרנט, באימייל או בצ'ט, כולם עובדים על גבי פורטים שונים. למרבה המזל, ספקים של שירותי ענן ושל מודמים עוזרים לנו במשימה זו באמצעות חומות מגן ושלל פרופיליי אבטחה שבנויים בתוכם מראש. לאחר שאמרנו את זה, למפתחים שבינינו, מי שמאפשרים למכשירים חדשים לחזק את רשת ה-IOT, אין מי שמעניק הגנה דומה.
יש דרכים להגן על המכשירים שלכם גם באופן עצמאי | צילום: Fotolia
הדבר הפשוט ביותר שאתם יכולים לעשות כדי להגן על הפרויקט שלכם הוא לסגור את כל היציאות שהאפליקציה לא צריכה בהכרח. במרבית המקרים, יכולה להספיק התאמה של קובץ תצורה אחד. סגירה של הפורטים שאינם בשימוש היא הדרך הקלה ביותר להקשות על האקרים להיכנס לכם לתוך המכשיר מבלי שתדעו על כך.
אל תאחסנו מידע בתבנית טקסט רגילה
מרבית האפליקציות, בין אם מעולם ה-IOT ובין אם מהמובייל, צריכות לאחסן מידע בזיכרון המכשיר. אולי מדובר בפרופיל המשתמש, בסט של הגדרות מועדפות או במפתח אבטחה שנועד לשחזור קשרים, אבל בכל מקרה ישנו הפוטנציאל לשים משהו בזיכרון כך שניתן יהיה לנצלו בזדון. בעוד שאנו מקווים שהאקרים לעולם לא יוכלו לגשת אל תוך המכשיר שלכם, ה-IOT מעצם טבעו אומר שאנו שמים את המכשיר אי-שם בחוץ, נותנים לו להיות מנוהל על ידי אנשים שיכול להיות שאינם מודעים לכל הפגיעות הבטיחותיות האפשריות.
כשאתם מאחסנים מידע אתם צריכים תמיד לבחור לקודד אותו, כך שמשתמש אחר, אפליקציה אחרת או האקר, לא עלינו, לא יוכלו להבין אותו. רק עצם העובדה שהמידע יהיה מנוסח בפורמט שלא ניתן להבינו מיידית היא צעד גדול בדרך לשמירה על האפליקציה שלכם מלהפוך למטרה קלה להאקרים.
ולגבי העסקים והיצרנים: לפני שאתם מחליטים לאחסן מידע רב אודות המשתמשים שלכם, שיקלו שוב – האם המידע הזה הוא בכלל בעל ערך? אפליקציות רבות הגדילו את הפרופיל שלהן כמטרות פוטנציאליות בכך שאחסנו את הדברים הללו, שהיה להם ערך בעיקר עבור אחרים. אם אתם לא באמת צריכים מידע של מיקום גיאוגרפי למשל, אל תאחסנו אותו.
הצפינו את רשימת הקשרים
במשך שנים אנו מצפינים מידע על מנת להגן עליו מפני צד שלישי חטטני. שיטות ההצפנה הללו הפכו לעמוד השדרה של האמון באינטרנט – אנו מרגישים בטוחים כשמספר כרטיס האשראי שלנו מועבר באופן בטוח, שרק החברים שלנו רואים את התמונות שלנו ושמקצוענים של ממש הם שסוקרים את הרשומות הרפואיות שלנו.
למרבה המזל, תהליך רכישת אמונו של צד שלישי מבוסס כבר היטב והוא קל לביצוע. בין אם אתם משתמשים ב-Geotrust, ב-Digicert או ב-Letsencrypt, אתם תמיד צריכים להשקיע את המאמץ והכסף הדרושים כדי להעניק לעצמכם, ולכל המשתמשים שלכם, ביטחון בכך שמידע שלהם לא יהיה חשוף לריגול.
הפכו את עדכוני המכשיר לנדרשים
המשימה האחרונה בניהול ההתקנים היא קריטית, למרות שהיא מאתגרת למדי לביצוע באופן עצמאי. המציאות שכולנו ניצבים מולה היא כזו שבה נקודות תורפה קריטיות באבטחת המכשירים ימשיכו להימצא. דרכים חדשות לניצול יתגלו ויהפכו את התוכנות שאנחנו נתלים בהן כיום למיושנות. כדי להתגבר על מציאות מתסכלת שכזו אנו זקוקים לכך שתהיה לנו יכולת לעדכן את התוכנה אפילו אחרי שהיא כבר הופצה והחלה לפעול במכשירים בשטח. יותר מתמיד, עידן ה-IOT מחייב שספריות ההצפנה שלנו, מערכות ההפעלה והפרוטוקולים יתעדכנו באופן תדיר לגרסה העדכנית והמאובטחת ביותר.
את זה אתם יכולים לעשות בעצמכם – למנף פלטפורמת IOT שמאפשרת את זה, או לרכוש מכשיר לניהול תוכנות. בכל מקרה, להישאר במעקב ולשמור על אקו-סיסטם בריא עבור המכשיר היא הדרך היחידה שאתם יכולים לנקוט כדי להגן באמצעותה על פתרון ה-IOT שלכם. אם אתם מעוניינים לעשות את זה לבד, אני ממליץ לכם להתחיל בכך שתשיגו מערכת הפעלה בסיסית שמתוכננת לעדכונים אוטומטיים. שימוש בטכנולוגיות כמו Ubuntu Automatic Security Updates, או Debian Unattended Upgrades יכול לפשט את המשימה – לוודא שיסודות הליבה שלכם נכונים.
בעוד שרבים חושבים שהפריצות האחרונות למכשירי IOT הן מתוחכמות ובלתי ניתנות לעצירה, המציאות היא שרוב התקיפות של ימינו יכולות להימנע באמצעות מספר קטן של פעולות בסיסיות וידועות היטב. אם תעכבו אחרי הטיפים שניתנו כאן, זה יעזור לכם לשמור על פתרון ה-IOT החדש שלכם, שלא ייפול כטרף קל לתוקפים זדוניים.
הכותב הינו סמנכ"ל טכנולוגיה בחברת ClearBlade.
|