לילה אחד לפני כ-20 שנה, בזמן גלישה באינטרנט ב-Gateway 2000 של משפחתי, Netscape Navigator האט עד זחילה. העכבר הפסיק להגיב. אפילו Ctrl-Alt-Delete לא עשה כלום.
תוכן
- בעיית הטבעת
- רינג, ויריביו, חייבים להתמקד באבטחה
- סביר להניח שהפריצות יהפכו לחמורות יותר
ואז, אזהרת Windows צצה. זה נראה... לא נכון. רגע לאחר מכן, המסך התרוקן, מגש התקליטורים נפתח, ותיבת צ'אט הופיעה.
סרטונים מומלצים
הייתי מבוהל, אבל ידעתי מה קורה. פרצו לי.
דרך תיבת הצ'אט, ההאקר שלי הסביר מה קרה. נפלתי קורבן לסוס טרויאני, שנתן להאקר לגשת למחשב שלי ולשלוט בו. הדרך היחידה לתקן את הנזק הייתה לאתחל מחדש את הכונן הקשיח של המחשב האישי.
קָשׁוּר
- SimpliSafe מציעה כעת ניטור ביתי חי עם מצלמת אבטחה פנימית אלחוטית חכמה אזעקה חדשה
- Roku נמצאת כעת בעסקי אבטחת הבית
- במהלך ניקוי האביב, אל תשכח את אבטחת הבית החכם
הטרויאני שהדביק אותי, משנה 7, הייתה דוגמה מוקדמת לתוכנות זדוניות שתוכנתו על ידי מישהו המכונה "איש מאפיה." מעולם לא למדתי את זהות ההאקר ששלח לי את Sub7, אבל היוצר של הטרויאני עובד כעת כמומחה אבטחה. יצרתי איתו קשר כדי לברר מדוע מישהו ירצה לפרוץ באקראי לחייו של זר, תופעה שהפכה נפוצה באופן מטריד במצלמות הבית החכם של ימינו.
בעיית הטבעת
לרינג לא היה המזל הטוב ביותר, ללא ספק. עם כל ה פריצות אחרונות בחדשות המאוחרות, זה לא אמור להיות הלם שאנשים מודאגים. האקרים תקפו את המצלמות של רינג בהמוניהם, מה שהוביל סיפורים מצמררים של האקרים שמריגלים אחר קורבנותיהם ואפילו מתגרים בהם.
אבל למה? מה מרוויחים האקרים מחטטנות במצלמות בית חכם? זו שאלה שקשה לשאול ולענות עליה, במיוחד כאשר ההאקרים נתפסים או מוצאים רק לעתים נדירות.
זה הוביל אותי לרחרח תשובה מה"מאפיה" עצמו, שמכונה גם גרגורי האניס.
האניס מכוון כעת את כישוריו לאבטחת אינטרנט מקצועית. כיום הוא קצין הטכנולוגיה הראשי של Viperline Solutions, חברת פתרונות אבטחת IT של אלבמה. שאלתי אותו למה האקרים רוצים לפרוץ למצלמות אבטחה. התשובה שלו הייתה פשוטה, אם כי לא מנחמת במיוחד. לעתים קרובות, זה רק בשביל הכיף.
אני חושב שכרגע אנשים עושים את זה בשביל בעיטות וצחקוקים.
הטרויאני של האניס, Sub7, יכול להתחבר למצלמת האינטרנט המחוברת של הקורבן. זה יכול לצפות בווידאו בזמן אמת או להאזין דרך מיקרופון. Sub7 שגשג בסוף שנות ה-90 ותחילת שנות ה-2000, כאשר לרוב בעלי המחשבים לא הייתה התקנת אנטי-וירוס מתאימה. הקורבנות שלו היו מטרות קלות, אבל אלה שמשתמשים ב-Sub7 עשו זאת לעתים קרובות רק כדי להתעלל או להפחיד קורבנות.
"אני חושב שכרגע, אנשים עושים את זה בשביל בעיטות וצחקוקים, והם רק מכוונים לסולו. הם לא הופכים את זה לסוג של עסקה גדולה, או אפילו מכוונים למישהו", אמר האניס.
לא נראה שהמצלמות של רינג נפגעו על ידי פריצה משוכללת לשרתים של חברת האם אמזון. במקום זאת, נתוני התחברות הושגו ככל הנראה על ידי בחינת אישורים שנפרצו ממקורות אחרים, ניחוש סיסמאות או באמצעות הנדסה חברתית. אימות דו-גורמי יכול לעצור את הפריצות הללו, אבל, כמו בעלי מחשבים בסוף שנות ה-90, לאנשים שבבעלותם מצלמות בית חכם לרוב אין אבטחה בראש.
כשנשאל על ה האקר שניגש למצלמת רינג כדי לדבר עם ילדה קטנה, האניס לא התרשמה. "הסתכלתי על זה, זה נראה כאילו יש כמה סרטונים ביוטיוב על אנשים, אני לא רוצה להגיד האקרים, נכון? אני רוצה להגיד דינג-דונג, פושעים, או מי שזה לא יהיה, לגשת לחדר של ילד קטן".
רינג, ויריביו, חייבים להתמקד באבטחה
האניס חושב שרינג צריך לעשות יותר כדי למנוע מהאקרים לגשת למצלמות. "אני חושב שהם אמרו שיש להם אימות רב-גורמי. אני לא יודע למה אנשים לא מפעילים את זה. [רינג] היה צריך להפעיל אותו כברירת מחדל, כמו כשאתה יוצר את החשבון שלך."
צלצול בסופו של דבר מומלץ למשתמשים להפעיל אימות דו-גורמי, אבל רק אחרי שפריצות הגיעו לחדשות. עכשיו, עם החדש שלו מרכז שליטה, רינג שמה דגש על הגדרות פרטיות ואבטחה בלוח המחוונים הראשי של האפליקציה. נכון לעכשיו, אימות דו-שלבי הוא אפשרות ביטול במהלך הגדרות חשבונות חדשות, אך בקרוב, זו תהיה אפשרות ביטול גם במהלך הגדרות מכשירים חדשים גם בחשבונות קיימים.
הוגשו תביעות בקליפורניה על ידי תובעים הטוענים לכישלונו של רינג להציע אמצעי אבטחה בסיסיים למניעת פריצות אלו. באחד המקרים, זוג אוים ב"סיום" אלא אם כן שילמו להאקר 50 ביטקוין (כ-436,000 דולר).
לאחר שפיתחה את Sub7, וכעת כמנהלת פרויקטים אחרים הקשורים לאבטחה, האניס מרגישה שהבעיות של רינג נובעות מהיעדר מיקוד בתכנות תכונות אבטחה שמתמודדות עם תרחישים בעייתיים.
"אני בטוח ב-100% שכשהם הולכים לפתח את המוצרים האלה ומה לא, הם לא עושים את זה. הם לא חושבים על כל מה אם", אמר האניס. "ובגלל זה יהיו לנו את הבעיות האלה, ועדיין יהיו לנו את הבעיות האלה. עד שיש משהו שאוכף את זה, או אחריות כלשהי, זה לא משנה".
האקרים יכולים בקלות להתפשר על גאדג'טים בעלי פיתוח אבטחה לקוי, ולכן באחריותן של החברות להעמיד אותם בראש סדר העדיפויות מההתחלה, ולא מאוחר יותר. כפי שציין האניס, רינג יכלה להימנע מבעיות אם הוצע אימות דו-שלבי במהלך תהליך ההגדרה הראשוני.
סביר להניח שהפריצות יהפכו לחמורות יותר
בעוד שכמה אירועים בודדים כללו פעילויות פליליות כמו איומים או ניסיונות סחיטה, אלו נדירים. ההתקפות ההמוניות המתרחשות באמצעות מיילים, הודעות טקסט ומדיה חברתית לא הגיעו למצלמות. עדיין.
לא ראיתי שמישהו באמת נשדד כי יש פעמים לדעת מתי הוא בבית. זה חייב להגיע לשם.
"לא ראיתי כל כך הרבה זדון. לא ראיתי שמישהו באמת נשדד כי יש מקרים שבהם יודעים מתי הוא בבית", אמר האניס. עם זאת, הוא חושב "זה בטוח יגיע לשם."
האזהרה שלו מפוכחת, ובסבירות גבוהה, נכונה. האקרים ינסו למצוא דרכים חדשות ולפתח כלים לגישה מרחוק למצלמות ללא ידיעת הבעלים.
זו בדיוק האבולוציה שמוצגת על ידי סוסים טרויאנים ותוכנות זדוניות אחרות. דוגמאות מוקדמות, כמו Sub7 של האניס, עלולות להיות זדוניות, אך לעתים קרובות היו יותר מטרד מאשר בעיה רצינית. אולם האיום התפתח במהירות. האקרים החלו לדחוף את הגבולות של מה שסוסים טרויאנים קיימים יכולים לעשות, ואז יצרו תוכנות זדוניות חדשות והשתמשו בטכניקות חדשות לפריסתה. רק עשור מפריד בין סוסים טרויאניים מוקדמים כמו Sub7 לבין השימוש בנשק בתוכנות זדוניות שהפיל תוכנית הגרעין של איראן.
זה תלוי ברינג, ובחברות אחרות שמוכרות מצלמות אבטחה חכמות, להבטיח שאמצעי הגנה נאותים קיימים. מחינוך משתמשים, ועד שליחת תזכורות קבועות להגדרת אימות דו-גורמי, או אפילו מתן לאנשים היסטוריה של המכשירים המחוברים לחשבון, שיטות אלו מטפחות מודעות שתועיל כל אחד. אחרת, בעלים צפויים ליפול קורבן להאקרים.
המלצות עורכים
- ממשלת ארה"ב תשיק תוכנית אבטחת סייבר חדשה למכשירי בית חכם ב-2024
- Wyze Cam Floodlight Pro היא מצלמת חיצונית מובחרת עם טונות של תכונות AI
- המצלמה הפנימית החדשה של רינג כוללת תריס פרטיות מובנה
- גוגל משתפת פעולה עם ADT כדי להשיק מערכת אבטחה חדשה לבית חכם
- Arlo מרחיבה את תמיכת סוף החיים עבור מצלמות ופעמוני דלת מדור קודם