camTVbulbrouterDVRlockechothermodefault credentials → botnetMirai pattern, still works

אבטחת IoT

11 דקות קריאהבִּטָחוֹן

מכשירי האינטרנט של הדברים נשלחים עם סיסמאות ברירת מחדל, לעולם לא מקבלים עדכוני קושחה, ונשארים ברשתות במשך שנים לאחר שהיצרן מפסיק לדאוג. יחד, המאפיינים הללו יצרו את צבאות הבוטנט הגדולים ביותר שהאינטרנט ראה אי פעם - מיראי, מוזי וממשיכיהם. הסיפור של אבטחת ה-IoT הוא הסיפור של איך קנה מידה ואבטחה לא הצליחו למצוא זה את זה.

גוף המאמר המלא מסופק באנגלית להלן.

IoT (האינטרנט של הדברים) אבטחה מכסה את ההגנה על התקנים המחוברים לרשת שאינם מחשבים ניידים, טלפונים או שרתים מסורתיים - מצלמות, נתבים, רמקולים חכמים, תרמוסטטים, פעמוני דלת, נורות, צגי תינוק, חיישנים תעשייתיים. הקטגוריה התפוצצה מכמה מאות מיליוני מכשירים ב-2015 ליותר מ-25 מיליארד ב-2026, ותנוחת האבטחה לא עמדה בקצב.

למה אבטחת ה-IoT גרועה במיוחד

ארבע סיבות מבניות:

  • XPLZ-$1XR margins1XPLZ-$200hin. מצלמת IP מתחרה במחיר; ליצרן אין תקציב להנדסת אבטחה או תמיכה ארוכת טווח.
  • אישורי ברירת מחדל. רוב המכשירים נשלחים עם admin/admin, admin/סיסמה, או ברירת מחדל מתועדת לפי ספק. משתמשים רבים לעולם אינם משנים אותם.
  • מנגנון עדכון חסר או שבור. למכשירים רבים אין עדכון אוטומטי; לחלקם יש עדכונים הדורשים הורדה והתקנה ידנית; לחלקם יש עדכונים שהיצרן מפסיק לשחרר לאחר 1–2 שנים.
  • מחוברים כברירת מחדל. מכשירי IoT רבים מגיעים לשירותי ענן ללא הנחיה, ומצריכים נתיבים נכנסים או חיבורים יוצאים מתמשכים שעוקפים את NAT.
XPLZ2In story Mirror 2016 רשת הבוט Mirai פגעה מאות אלפי מכשירי IoT - בעיקר DVR ומצלמות IP - והשתמשה בהם בהתקפות DDoS של הגדרת שיא נגד Krebs on Security, OVH וספק ה-DNS Dyn (שהוריד חצי מהאינטרנט הצרכני במשך שעות). telnet/SSH ביציאה 23/22, נסה רשימה קטנה של צמדי שם משתמש/סיסמה המוגדרים כברירת מחדל, התקן את הבוט אם מצליח. לא היו מעללים, לא אפס-ימים, לא טריקים חכמים. הפגיעות הייתה "המכשיר נשלח עם admin/admin ונמצא באינטרנט הציבורי". זה לבדו הספיק למאות אלפי זיהומים. קוד המקור של

Mirai הודלף לציבור בסוף 2016. עשרות נגזרות - Hajime, Persirai, Reaper, Mozi, IZ1H9 - בעקבותיו. אותו דפוס תקיפה עובד ב-2026; רק יעדי המכשיר ורשימות האישורים מתפתחים.

מחלקות הפגיעות העיקריות של IoT

  • אישורי ברירת מחדל או מקודדים קשיחים. עדיין הנפוץ ביותר.
    • XPLZ43Exposed ניהול ממשק אינטרנט בניהול ממשק אינטרנט 43Exposed43ExposX4. לוחות ניהול של Telnet, SSH, HTTP נגישים מכל מקום.
  • תוכנה מיושנת. הפצות לינוקס משובצות שנים עברו עדכוני אבטחה של ליבה.
  • חולשות זיכרון-שחיתות. ללא קוד משובץ ו-C מודרני משובץ C ו-C. כנריות בפלטפורמות מסוימות).
  • שירותי ענן לא מאובטחים. אפליקציות סלולריות שמדברות עם ענן הספקים דרך ממשקי API חסרי אימות, חושפות התקנים של משתמשים אחרים.
  • Physical attack surfaces. exposed serial, decripsed headers, JTAG אחסון.

בעיית מחזור החיים

A מצלמת אבטחה טיפוסית שאתם קונים ב-2026 כוללת:

  • 1–3 שנים של עדכוני קושחה מהיצרן (אם יש)
  • A-
  • A אורך חיים שימושי של 2XXPL7 לרשת שלכם ב-2XXPL7 כדי להתריע כאשר עדכונים stop

לאחר הפסקת העדכונים, המכשיר ממשיך לעבוד אך צובר נקודות תורפה שטרם תוקנו. למשתמש אין איתות שמשהו לא בסדר. המכשיר נפגע בשמחה וניתן להגיע אליו מהאינטרנט במשך שנים.

מה הרגולטורים עושים

תגובת המדיניות החלה:

  • EU Cyber Resilience Act (יעיל 2026)

    תגובת המדיניות החלה:

    • EU Cyber Resilience Act (יעיל 2026)XPLZ85 מחייב טיפול בדרישות אבטחה ומחויבות עדכון XPLZ85 באיחוד האירופי.
    • UK אבטחת מוצר ותשתית טלקומוניקציה Act (2022) אוסר על התקני ברירת מחדל ודורש תקופות תמיכה נחשפות. סיסמאות.
    • FCC's Cyber Trust Mark (ארה"ב, יוצא 2024–2026) — תיוג מרצון עבור מכשירים תואמים.

    ההשפעה על השוק היא איטית אך גלויה: יצרנים גדולים החלו מכשירי משלוח אקראיים (TP-Link אקראיים, סיסמאות ראשוניות) ולפחות הכריז על עדכון windows.

    מה אתה יכול לעשות כמשתמש

    • שנה את סיסמת ברירת המחדל. שלב ראשון עבור כל מכשיר.
    • השבת את החשיפה לאינטרנט של ממשקי ניהול. אם המצלמה לא צריכה להיות נגישה מבחוץ, אל תעביר את המצלמה קדימה אל 1ZPLZPLZXX9eg. הרשת. VLAN/SSID נפרד עבור התקני IoT, מבודד מהמחשבים הניידים והטלפונים שלך. רוב הנתבים לצרכנים תומכים כעת ברשתות אורחים; חלקם תומכים בפילוח VLAN מלא.
    • עדכן קושחה. בדוק מעת לעת; ספקים רבים אינם דוחפים אוטומטית.
    • עדיפו מכשירים עם התחייבויות עדכון מתועדות. מותגים המפרסמים ציר זמן תמיכה אמינים יותר מאלה שלא.
    • קנה מהספקים הגדולים כשאפשר. מצלמה מאובטחת כמעט מ-$7 ב-Eu או לפחות 4 $ צלצול של אמזון. מוצר. לא תמיד, אבל בממוצע.
    • החלף מכשירים נטושים. כאשר העדכונים מפסיקים, יש להפסיק את המכשיר, לא להמשיך לפעול.

שאלות נפוצות

האם מכשירי הבית החכם שלי מרגלים אחריי?
חלק, כן - בתכנון. רמקולים חכמים מאזינים למילים ערות ומשלוחים דגימות שמע לענן כאשר הם מופעלים. מצלמות חכמות עשויות להזרים וידאו לאחסון בענן. בקרות הפרטיות משתנות בהתאם לספק; אפל, אמזון וגוגל מפרסמות מדיניות פרטיות מפורטת אך היסטוריית היישום אינה אחידה. בדוק את הגדרות המכשיר ואת מדיניות הספק לפני הקנייה.
האם ניתן להשתמש במכשיר החכם שלי כדי לתקוף אתרים אחרים?
כן, אם מתפשרים. מכשיר IoT שנפגע מצטרף לרשת בוט המושכר עבור התקפות DDoS. לא תבחין בפעילות אלא אולי כאינטרנט איטי במהלך חלונות תקיפה. דפוס Mirai ממשיך לעבוד היום נגד מכשירים צרכניים רבים.
האם עלי לשים מכשירי IoT ברשת נפרדת?
כֵּן. נתבים רבים לצרכנים מציעים רשתות אורחים שמונעות ממכשירי IoT להגיע למכשירי ה-LAN האחרים שלך. כמה תומכים ב-VLAN נאותים או במקטעי IoT ייעודיים. פילוח רשת מגביל נזק אם מכשיר נפגע - הוא יכול לתקוף את האינטרנט אבל לא את המחשב הנייד שלך.
כמה זמן צריכים מכשירי IoT לקבל עדכוני אבטחה?
פרקטיקה טובה בתעשייה היא לפחות משך החיים הצפוי של המכשיר - 5+ שנים עבור מוצרים כמו מצלמות, 7+ עבור נתבים ומכשירים גדולים. רוב הספקים נופלים בהרבה. חפש התחייבות בכתב במפרט המוצר; היעדר התחייבות הוא דגל צהוב.
האם קושחה בקוד פתוח בטוחה יותר?
לִפְעָמִים. OpenWrt, Tasmota, Home Assistant ESPHome נותנים לך חלופות נתמכות לטווח ארוך עבור קטגוריות מכשירים מסוימות. האבטחה טובה בערך כמו המתחזקים במעלה הזרם - בדרך כלל טובה יותר מקושחה של ספקים נטושים, אבל לא קסם. רשימות חומרה תואמות מספרות אילו מכשירים תומכים בקושחה חלופית.
הסבר על אבטחת IoT: מדוע המצלמה החכמה שלך הצטרפה ל-Botnet