האם הטלפון/המחשב הנייד/מצלמת האבטחה הביתית שלך מרגלת אחריך עבור ממשלת סין?
תוכן
- גישה הוליסטית לוקה בחסר
- מחיר מניע את האוטובוס
אנחנו כנראה.
האם אכפת לך?
כן... אבל גם, כמה ברירה יש לכולנו?
סרטונים מומלצים
האינטרנט של הדברים אבטחת מכשירים (IoT) - במיוחד במערכות מצלמות אבטחה ביתיות כמו Wyze, Aqara ו-Ring - הייתה נושא חם לאחרונה. המכשירים הוכחו שוב ושוב ככאלה דולף ו חסר ביטחון במקרה הטוב, ללא אימות דו-גורמי או הצפנה. זה איפשר מספר רב של תקריות שבהן האקרים השיגו שליטה על חייהם הדיגיטליים של אנשים ואיימו עליהם.
קָשׁוּר
- משאבות אינסולין נזכרו בפגיעות; חששות שהועלו בגלל פריצות IoT רפואיות
- סקר BlackBerry: צרכנים אינם סומכים על מכשירים מחוברים כדי לשמור על אבטחת הנתונים
גישה הוליסטית לוקה בחסר
אבל בעיה רחבה יותר היא הצפייה הפסיבית שעלולה להתרחש. רבים מהמכשירים מורכבים בסין, תוך שימוש בחלקים סיניים. גם אם החברות אינן סיניות במפורש, הדבר מהווה איום. עד כדי כך שמשרד הפנים האמריקני בסוף ינואר הנהיג איסור על מל"טים מתוצרת סינית וחלקי מזל"ט בגלל חשש שהטכנולוגיה עשויה לשלוח מידע בחזרה לממשלת סין.
"באופן כללי, מכשירי IoT מכילים רכיבים רבים של צד שלישי וערימות תקשורת שונות, המספקות דרכים רבות לגורמים זדוניים לפרוץ אליהם." אמרה נטלי תשובה, מנכ"לית ומייסדת שותפה של סטרנום, חברת אבטחת סייבר ישראלית שעובדת על קישוריות מאובטחת למכשירי IoT, במייל לדיגיטל טרנדים.
זה משתנה, במידת מה, אמר תשובה. פגיעויות נפוצות במערכות IoT כמו מסדי נתונים של Elasticsearch שנותרו פתוחות לגישה ללא אישורים הן בעייתיות, אמרה. זה מדגיש את הצורך בהצפנה מקצה לקצה.
"חברות נוקטות בצעדים כדי לשפר את האבטחה של המכשירים שלהן, אבל הן חסרות גישה הוליסטית שמכסה את כל היבטי האבטחה של המכשירים שלהם, ומשאיר פתח לתוקפים לנצל אותם", תשובה כתבתי. "עם מיליארדי מכשירי IoT שמגיעים לשוק עכשיו ובמהלך השנים הקרובות, זה קריטי שכל מכשיר יהיה מוטבע עם אבטחה."
מחיר מניע את האוטובוס
הבעיה, אמר ג'ימי ג'ונס, מומחה לאבטחת סייבר בתקשורת ב-Positive Technologies, היא שלחברות האלה הכי אכפת להיות ראשונות לשוק, וזה אומר קיצוץ בעלויות. "הכל מונע מנקודת המחיר. אנשים לא רוצים לשלם את הדולר הנוסף הזה", אמר ג'ונס ל-Digital Trends. "אז הם [החברות] בסופו של דבר משתמשים בתוכנות של צד שלישי ובחלקים של צד שלישי. הבעיה היא שהרבה מהמכשירים אכן מגיעים מסין".
"קשה לדעת מה זדוני ומה פשוט לא כשיר", אמר רון גולה, לשעבר האקר כובע לבן של המינהל לביטחון לאומי ומשקיע בהווה בסטארטאפים בתחום אבטחת סייבר. "בוא נניח שיש כמה חברות שיש להן אבטחה מושלמת במכשירים שלהן, אבל הן עדיין מבוססות בסין", אמר. "כל הנתונים שהם אוספים, הממשלה הסינית יכולה לבקש גישה אליהם. או שאולי זה אפילו השתמע גישה, והם לא צריכים לספר לנו על זה."
אחרי מי סין מרגלת אם כן, אם היא אכן מרגלת? "במילה אחת, בעקיפין, כנראה כולם," אמר ג'ונס. "אבל זה לא בהכרח סיבה לדאגה; זה מצב אמון".
כל כך הרבה מהחיים שלנו מיוצרים כעת בסין. איפה אנחנו מותחים את הגבול לגבי המוצרים שאנחנו מוכנים לקבל משם, שאל ג'ונס. "זה מכונית? האם זה מזל"ט? האם זו נורה? האם זו מערכת הסקה מרכזית?" ג'ונס אמר, והצביע על שני סיפורים, האחד על מתקפת DDOS בפינלנד שסגרה את א מערכת ההסקה המרכזית של העיר, עוד אחר על נורות חכמות דליפת אישורי Wi-Fi.
"ראינו את זה עם Huawei", אמר ג'ונס, בהתייחסו לענקית ייצור הטלפונים הסינית שהייתה יעד לזעם רב מצד ממשל טראמפ. "החברות הללו, או חברות האחזקה שלהן, כולן בבעלות האיגודים המקצועיים. המפלגה הקומוניסטית הסינית היא בעצם ראש האיגודים המקצועיים, אז באמת, כולם נמצאים במרחק שני צעדים בלבד מלהיות בבעלות ממשלת סין".
"חייבת להיות נקודה שבה אמון צריך לקבל עדיפות", אמר ג'ונס. "או, האם אנחנו יוצרים מעצמת-על חדשה כדי לייצר את הדברים שלנו, ואז בעוד 10 שנים אנחנו מחליטים שאנחנו גם לא סומכים עליהם?"
לדרוש שהכל ייעשה כאן בארה"ב זה לא ממש ריאלי, אמר גולה. "מכשירי האייפון שלנו בנויים בסין", אמר. "כמו רוב הנתבים של סיסקו ורובם מחשבים ניידים." ובכנות, הוא אמר, זה לא מה שחשוב כאן. התרופה הטובה ביותר כרגע היא רק לחנך את הציבור.
"כשהנתונים שלך נמצאים בענן, אתה מקווה שהם מוגנים, אבל הם כפופים בכנות לחוקים בכל מקום שבו הם מתארחים", אמר. ואז יש שאלה היכן מאוחסנים הנתונים שמועברים דרך המכשירים האלה. "מקור הנתונים, והיכן הם מאוחסנים ולמי יש גישה זה עניין גדול."
"אני לא רוצה לראות מדבקות של 'תוצרת סין'", אמר גולה. "רציתי לראות מדבקות 'נתונים מתארחים בסין'."
המלצות עורכים
- עזוב את האינטרנט של הדברים. הנה מה שבאמת מייצג IoT
- קבוצות צרכנים קוראים לקמעונאים במטרה לאבטחת IoT טובה יותר
