מדוע "האינטרנט של הדברים" מדיר שינה מעיניהם של מדענים

דמיינו לעצמכם חדר שמסוגל לכבות את האורות כאשר דייריו הולכים לישון. מגהץ ששולח הודעת אזהרה לסלולרי שלכם כאשר הוא נותר דלוק בבית ריק. מכונת קפה שמכינה קפה טרי ברגע שאתם קמים מהמיטה. "בתים חכמים" מסוג זה הופכים עם הזמן לנפוצים יותר בשוק, כאשר יותר ויותר דירות חדשות מצוידות מראש באביזרים וחומרים המסוגלים לתקשר מידע דיגיטלי. פריצת דרך זו בחיבוריות למכשירים יומיומיים – המכונה על-ידי חוקרים "האינטרנט של הדברים" (Internet of Things, או IoT) – טומנת בחובה פוטנציאל לשפר את חיינו ולהפכם לבטוחים יותר ונוחים יותר, על-ידי ניבוי הצרכים האנושיים שלנו.

אולם, על-פי מחקר חדש, הסיכונים המלווים את עולם ה-IoT צריכים להדיר שינה מעינינו. מפרסום זה, שיצא ממעבדתו של פרופ' עדי שמיר ממכון ויצמן למדע – מומחה בעל שם עולמי בתחום ההצפנה – עולה כי פגם אחד בטכנולוגיה של האינטרנט האלחוטי מקל על פצחָנים (האקרים) להדביק טכנולוגיה ביתית בווירוסים. זאת, על ידי שימוש בשדרי רדיו לא חוקיים, שמאפשרים להם לפרוץ מכשירים ביתיים.

על המאמר חתומים גם אייל רונן, דוקטורנט במעבדתו של פרופ' שמיר, אחי-אור ויינגרטן, סטודנט לתואר שני במכון ויצמן וקולין או'פלין, מועמד למסלול דוקטורט מאוניברסיטת דלהאוסי בהאליפקס, קנדה.

לדברי החוקרים, "האינטרנט של הדברים" הופך מדי יום למטרה קורצת יותר להאקרים, משום שמכשירים בעלי חיבור ל-IoT כוללים אמצעי אבטחה ברמה נמוכה, אשר מותירה "דלת אחורית" פתוחה לרשתות המידע הענפות המשפיעות על החברה האנושית כולה. מכשירים המחוברים לרשת יכולים להיפרץ בקלות, ובכך לאפשר לפושעי סייבר גישה נוחה למאגרי מידע. כך, האקרים יכולים לגנוב מידע חיוני ואף להשבית ערים שלמות באמצעות הפלת רשת החשמל שלהן.

המחקר זכה לכותרות ברחבי העולם – בין השאר בניו יורק טיימס - הן עקב השלכותיו הדרמטיות והן משום מעמדו של פרופ' שמיר, השותף לכתיבת המאמר. פרופ' שמיר, חבר בסגל המחלקה למדעי המחשב ומתמטיקה שימושית במכון ויצמן, הוא זוכה פרס טיורינג ומחקריו בתחום ההצפנה מהווים את אבני היסוד של שיטות אבטחת המידע הנפוצות ביותר בעולם - באינטרנט ובמסחר המקוון. אך בעוד השיטות שפיתח פרופ' שמיר הפכו את שיתוף המידע ברשת לבטוח יותר – הוא שותף בהמצאת שיטת ההצפנה RSA וכן פיתוחים נוספים – הרי שהאירועים האחרונים מוכיחים כי "האינטרנט של הדברים" מציג אתגרים חדשים. לדוגמה, מתקפת הסייבר שהצליחה לאחרונה לשתק את שרתי טוויטר ואמזון בוצעה בידי האקרים שניצלו לרעה את תקן האבטחה הלוקה-בחסר של מכשירי IoT מן השורה הראשונה.

נקודות תורפה קטנות, בעיות גדולות

מחקרו של פרופ' שמיר ניסה להדגים כיצד נקודות תורפה קטנות בפרוטוקולי IoT עשויות להוביל לבעיות גדולות. הוא וצוותו הוכיחו את היתכנות התיאוריה שלהם באמצעות מספר ניסויים, בהם הצליחו להדביק נורות "חכמות" – נורות בעלות יכולת מובנית לשדר ולשלוח נתונים – בתוכנת תולעת זדונית.

"גילינו כי בחלק מסוים של פרוטוקול בשם Zigbee Light Link – פרוטוקול IoT המשמש לנורות חכמות בבית – ישנה בעיה בקוד המאפשרת לגורמים חיצוניים להדביק את הנורות בתוכנות זדוניות", מספר אייל רונן. הוא הוסיף כי החוקרים יידעו את יצרני הנורות ואף הסכימו לדחות את פרסום ממצאיהם עד אשר פרצות אלו יתוקנו. "באמצעות ציוד פשוט שעולה מאות דולרים בודדים, הצלחנו לפרוץ באופן אלחוטי את מערכת השליטה של הנורות החכמות ולחטוף את כל מערך הנורות החכמות", הוא מספר.

החוקרים גם הדגימו כיצד השתלטות עוינת זו יכולה להתבצע מרחוק, מאמץ שהושג באמצעי התחמקות שכאילו נלקחו מהסרט "משימה בלתי אפשרית".

בתרחיש שכונה על-ידי הצוות "נהיגת-מלחמה", נסעו החוקרים ליד אחד המבנים במכון ויצמן בשעת לילה והצליחו לגרום לנורות - ממרחק של 70 מטר - לדלוק ולכבות לסירוגין. בתרחיש נוסף, שכונה "טיסת-מלחמה", הצוות השתמש בכלי טיס בלתי מאויש זעיר על-מנת לחטוף את רשת ה-IoT של בניין משרדים בבאר שבע – מבנה אשר, באופן אירוני, משמש את אחת מחברות אבטחת הסייבר המוכרות ביותר בישראל. במקרה זה, משדר רדיו מרחף הצליח להשתלט על הנורות ממרחק של 350 מטר, ובכך להדגים את מידת הפגיעות של מכשירים חכמים לפריצות חיצוניות.

מחקר זה חושף בזעיר אנפין את מידת הפגיעות של רשתות IoT ואת הפוטנציאל ההרסני של פגיעות זו. בעוד מיליארדי מכשירי IoT אמורים להיות מותקנים בשנים הקרובות ברחבי העולם – ובפרט בערים גדולות וצפופות – תולעת המוחדרת לנורה אחת עלולה להתפשט במהירות על-פני אזורים נרחבים במעין תגובת שרשרת גרעינית, במיוחד במקומות בהם מספר מכשירי ה-IoT בסביבה הנו גדול יחסית. על-ידי השתלטות על רשתות מסוג זה, עלולים פושעי סייבר להשתלט על רשת החשמל של ערים שלמות, להדליק ולכבות אורות כרצונם ואף לחדור דרכם לרשתות אינטרנט אלחוטי ולהפילן. הם עלולים להפיל אתרים מסוימים, לשבש את פעילותן של רשתות שלמות ואף לפגוע בתשתיות חיוניות. ההשלכות הן עצומות.

על-פי רונן, המחקר מגלה כשל שיטתי באופן שבו פרוטוקולים חדשים לאבטחת סייבר מיוצרים ומופצים. "פרוטוקול ZigBee תוכנן כחלק משיתוף פעולה בין מספר תאגידים ועבר סטנדרטיזציה כחלק מתהליך סגור שאינו דורש התייחסות של מומחים חיצוניים", הוא אומר. "בעתיד, יהיה צורך לפתח פרוטוקולי אבטחה בסביבה פתוחה יותר בכדי לאפשר לאנשי מקצוע להביע את דעתם ולסתום נקודות תורפה לפני שהמוצרים מגיעים לצרכנים".

האינטרנט של הדברים