<
יום ראשון , נובמבר 19 2017
מבזקים
דף הבית > נושאים בכותרות > אבטחה ו-Cyber > עמדות מידע ומצלמות אבטחה: רכיבי הערים החכמות שחושפים אתכם למתקפות סייבר

עמדות מידע ומצלמות אבטחה: רכיבי הערים החכמות שחושפים אתכם למתקפות סייבר

חוקרי מעבדת קספרסקי בחנו מגוון עמדות מידע וממשקים דיגיטליים הפועלים בערים חכמות למטרות שונות – החל מתשלום עבור שירותים ועד למערכות בידור – וגילו כי רבות מהן מכילות נקודות תורפה אשר יכולות לחשוף נתונים אישיים של משתמשים ולשמש לצרכי ריגול או להפצת קוד זדוני. מלבד עמדות מידע, המומחים חקרו גם מצלמות מהירות הפועלות בערים ואת התשתית שלהן. כתוצאה מכך, הם חשפו כי משתמשים זדוניים יכולים לגשת בקלות למצלמות אלה ולעשות שימוש בנתונים הנאספים בהן.

ticket-terminals-in-a-movie-theaterערים מודרניות הן סביבות מורכבות המכילות מאות מרכיבים שונים ובכלל זה רכיבים דיגיטליים. אומנם מטרתם היא להפוך את חיי האזרחים לנוחים ובטוחים יותר, אך הם יכולים גם להוות איום מסוים על בטיחות התושבים והנתונים אישיים שלהם – כפי שמוצג בממצאי המחקר שביצעו מומחי מעבדת קספרסקי.

עמדות המשמשות להדפסת כרטיסים באולמות קולנוע, עמדות להשכרת אופניים, עמדות מידע בארגונים ממשלתיים, עמדות להזמנת טיסות ומידע בשדות תעופה ומערכות בידור במוניות, יכולות להגיע במגוון צורות, אבל מבפנים כולן דומות – כל עמדה שכזו מבוססת Windows או Android. ההבדל המרכזי בהשוואה למכשירים רגילים הוא תוכנה מיוחדת הפועלת "במצב מסוף" ומשמשת כממשק המשתמש. תוכנה זו מעניקה למשתמש גישה קלה למאפיינים מסוימים של המסוף, ובמקביל מגבילה את הגישה למאפיינים אחרים של מערכת ההפעלה של המכשיר, כולל הפעלת דפדפן ומקלדת וירטואלית. גישה לאפשרויות אלה יכולה לספק לתוקף מספר אפשרויות לפגיעה במערכת, ממש כאילו הוא נמצא מול מחשב אישי. המחקר הראה כי כמעט כל מסופי המידע הציבוריים מכילים לפחות חולשת אבטחה אחת שמאפשרת לתוקף לגשת למאפיינים מוסתרים של מערכת ההפעלה.

במקרה מסוים אחד, ממשק המשתמש של המסוף הכיל קישור לרשת. התוקף רק נדרש ללחוץ עליו כדי להפעיל את הדפדפן – ולאחר מכן דרך ממשק העזרה הרגיל – להפעיל את המקלדת הווירטואלית. במקרה אחר בעמדת שירות ממשלתית דיגיטלית התרחיש  דרש מהמשתמש לגעת בכפתור "הדפס". לאחר מכן, נפתחת למשך מספר שניות תיבת דו שיח רגילה של הדפסה בדפדפן, ואם התוקף לוחץ על כפתור ה-"שינוי" במאפייני ההדפסה מספיק מהר, הוא יגיע לאזור העזרה. משם, הוא יכול לפתוח את לוח הבקרה ולהפעיל מקלדת מסך. כתוצאה מכך, התוקף מקבל את הכלים הנדרשים להזנת מידע – מקלדת וירטואלית וסמן עכבר – והוא יכול להשתמש במחשב למטרותיו, כמו: הפעלת קוד זדוני; קבלת מידע על קבצים שהודפסו; קבלת סיסמא לניהול המכשיר וכו'. אלו הן רק דוגמאות נבחרות מכלל נקודות התורפה שגילו חוקרי מעבדת קספרסקי.

"חלק מהמסופים הציבוריים שחקרנו הכילו מידע חשוב מאוד, כגון מידע אישי של המשתמש, כמו מספרי כרטיס אשראי או פרטי קשר מאומתים (כגון מספר טלפון נייד). רבים ממסופים אלה מחוברים זה לזה ולרשתות אחרות. עבור תוקף המסופים מהווים מישור מצוין להתקפות מסוגים שונים – החל מחוליגניזם פשוט ועד לחדירה מתוחכמת לרשת של בעלי המסוף. יותר מכך, אנו מאמינים כי עמדות מידע ציבוריות תהפוכנה בעתיד לחלק מהותי יותר מתשתית העיר החכמה מאחר והן מהוות דרך נmethodology-for-analyzing-the-security-of-public-terminalsוחה לתקשר עם השירותים השונים. אך לפני שזה קורה, ספקים חייבים לוודא כי לא ניתן יהיה לסכן את המסופים באמצעות נקודות התורפה שגילינו", אמר דניס מקרושין, מומחה אבטחה, מעבדת קספרסקי.

חלק נוסף מהמחקר התמקד במצלמות מהירות בערים. באמצעות מנוע החיפוש Shodan, חוקרים הצליחו לזהות מספר כתובות IP השייכות למכשירים בעלי גישה פתוחה מהרשת: לא נעשה בהם שימוש באף סיסמא וכל אחד יכול לראות את הצילומים שנאספו ועוד. החוקרים גילו כי חלק מהכלים ששימשו כדי לשלוט במצלמות אלה היו זמינים לכל אחד ברשת.

"בערים מסוימות, מערכות של מצלמות מהירות עוקבות אחר מסלולים מסוימים בכביש הראשי – מאפיין שאפשר לכבות בקלות. אם התוקף צריך לכבות את המערכת במיקום מסוים לזמן מסוים, הוא יוכל לעשות זאת. מאחר ומצלמות אלה יכולות לשמש, ולעיתים משמשות, למטרות אבטחה ואכיפת חוק, קל לדמיין כיצד נקודות תורפה אלו יכולות לעזור לעבריינים בפשעים כגון גניבת רכב. לכן, חשוב מאוד לשמור על רשתות אלו מוגנות, לפחות מפני גישה ישירה לרשת", אמר ולדימיר דשצ'נקו, מומחה אבטחה, מעבדת קספרסקי.

פרטים נוספים אודות המחקר ועצות להגנה מפני מערכות ה-IT של ערים חכמות ניתן למצוא ב-https://securelist.com/analysis/publications/76060/fooling-the-smart-city/

הדוח זמין גם באתר Securingsmartcities.org – יוזמה ללא מטרות רווח שמטרתה לפתור בעיות אבטחת סייבר כיום ובעתיד בערים חכמות, באמצעות שיתוף פעולה בין חברות, ממשלות, גופי מדיה, ויוזמות נוספות ללא מטרות רווח ברחבי העולם.

אודות מערכת ITNEWS מאיר עשת

מנהל/עורך אתר ITNEWS. בוגר כלכלה ומנה"ס באונ' בן גוריון ו- MBA בירושליים. בעבר: כהן כיועץ כלכלי מטעם המדינה בהולנד ובהודו. היה סמנכ"ל שיווק בברדר, משנה למנכ"ל בסטארטאפ TVNGO, מנהל IT מגזין של גלובס בשנתיים האחרונות.