אנחנו קרבים לסוף עידן ה-Firewall [דעה]

תחום האינטרנט של הדברים צפוי לחסל את אחד ממנגנוני האבטחה הנפוצים והפופולארים בעולם הדיגיטלי. החברה שתמצא את הפתרון שיחליף אותו עשויה להפוך לדבר החם הבא

התרמוסטט של Nest. צילום: אתר החברה

התרמוסטט של Nest. צילום: אתר החברה

מאת אסף שלי, יזם טכנולוגי, ממציא ומומחה Cyber IoT.

כשהאינטרנט רק התחיל צ’ק פוינט ייבאו מהצבא פתרון מהפכני שמגן על מחשבים מפני תוקפים באינטרנט. זאת היתה ההתחלה של הפיירוול. מאז ישראל הפכה למעצמת סייבר עולמית. פיירוול הוא פתרון מצויין. קונים קופסה, מחברים אותה בין האינטרנט לבין הרשת הפנימית, וזהו, אנחנו מוגנים.

לארגונים גדולים יש שרשרת של קופסאות כאלה וכל אחת מטפלת באיום מסויים. היום כל נתב ביתי מגיע עם פיירוול מובנה בתוכו. מודל חכם וטוב שעובד מצויין, אלא שאז הגיע IoT ושינה את כל כללי המשחק.
ברוכים הבאים לדור הבא של האינטרנט: Internet of Things, או בקיצור IoT. עד היום רוב התוכן והמידע שבאינטרנט נוצר על ידי אנשים, למשל טקסט, תמונות, וידאו, אודיו, שירים, ותוכנות. החל מעכשיו מכשירים מתחילים לשמור מידע באינטרנט. הכוונה היא לא למצלמה שמעלה לענן תמונות של אנשים, אלא לחישן שדוגם את מהירות הרוח ושולח את המידע באופן עצמאי לענן. לדוגמא, חברות כמו Waze אוספות מידע GPS באופן קבוע והוא לא מידע שהוכנס על ידי בני אדם למחשב. התעשיה חוזה עשרות אלפי מיליארדים של מכשירים כאלה בעשור הקרוב. היום IoT הוא שם חדש יחסית ולא לכולם ברור איך להתמודד איתו אבל בעוד שני עשורים אף אחד לא יזכור שהוא היה קיים. פעם היו טלוויזיות שחור-לבן ואז כולם התחילו לקנות טלויזיות צבעוניות. אני לא מכיר מישהו היום שהולך למוכר ואומר “אני רוצה לקנות טלויזיה צבעונית”. קוראים לזה היום טלויזיה וזהו. היום יש אינטרנט עם תוכן של גולשים ואינטרנט עם תוכן של מכשירים. בעוד עשר – עשרים שנה יקראו לזה פשוט אינטרנט.

האינטרנט החדש

בבית החכם יש נתב מרכזי שבתוכו יש פיירוול והוא מקשר בין המכשירים החכמים. הבעיה היא שעולם ה- IoT הוא עולם של כולם. עולם שבו כל אחד ממציא מכשיר ומוכר אותו ולכן המודל של נתב אחד שמכיר את כל המכשירים בבית פשוט לא עובד. ועכשיו לבעיה הכואבת. תארו לעצמכם מכונית עם רדיו אינטרנטי שמקושר לאינטרנט וגם למערכות הרכב. פורצים לרדיו ואפשר לשלוט על הבלמים. תארו לעצמכם פלאג קטן שקיבלתם מחברת הביטוח שמוצא בעיות ברכב לפני שהוא נתקע בצד הכביש. פורצים לפלאג ושולטים בבלמים. התסריטים האלה כבר לא דמיוניים, סימנטק מדברים על זה. פיירוול על מערכת הבידור לא מגן מפני הפלאג שמקושר ישירות לאינטרנט.

שינוי תפיסה

הגיע הזמן לפתרון מסוג אחר. פתרון שהוא לא פיירוול ולא אנטיוירוס. אין ברירה, יש דור חדש של מכשירים שבנויים בטכנולוגיה חדשה. יקח קצת זמן כי כולם רגילים שאבטחה היא פיירוול. יש את האימרה הזאת: כשאתה פטיש – כל דבר הוא מסמר. הפטיש רואה בורג ואומר לעצמו “אני כבר מכיר את זה. זה מסמר” ודופק. מסתבר שזה גם נכון מהצד השני: כשאתה מסמר – אתה רגיל שדופקים עליך עם פטיש. נכון? מתרגלים.

הגיע הזמן לקריאת השכמה. בוקר טוב. פיירוול הוא פתרון מוכר ונוח, אבל הוא כבר לא מספיק. שמתם לב שהנתב הביתי שלכם מגן עליכם מפני האינטרנט אבל לא מפני מחשבים אחרים באותה הרשת? נקח לדוגמה כנס עם אלפי משתתפים. כולם מחוברים לרשת האלחוטית. כולם מוגנים מפני תוקף שנמצא באינטרנט אבל אף אחד לא מוגן מפני תוקף שנמצא בחדר ליד. דווקא האיש שבחדר ליד יודע שאני קיים. התוקף שבאינטרנט בכלל לא מכיר אותי אז הוא גם לא יחפש אותי. זה לא מטריד אף אחד, מכיוון שהתפיסה היא עדיין: “רצינו לקנות אבטחה, שילמנו, קיבלנו קופסה”.

בעולם של IoT כשאני עולה במעלית לקומה 20 הצמיד החכם שלי נחשף לאלפי מכשירים שמדברים איתו. אז נכון שאם הצמיד שלי יתקוף את המשרד בקומה 15 אפשר לתת התראה למנהל הרשת. הבעיה היא מה קורה אם משהו בקומה 15 תוקף את הצמיד שלי כשאני עולה במעלית. את זה אף אחד לא יספר לי ואני לעולם לא אדע.

פיירוולים הם לא הפתרון בעולם ה-IoT. עולם שבו מצפים לכ-50 טריליון מכשירים מקושרים. השאלה היא איך אפשר להגן על הבית הדיגיטלי, המשרד החכם, הרכב המקושר, העיר חכמה, וכד’. הייתי רוצה להגיד שיש עוד שנתיים עד שלוש שנים עד שלכולנו יהיו מוצרים חכמים אבל להאקרים מסתבר שאין סבלנות. זאת רק דוגמה אחת מלפני שנתיים. כולם מחכים לרעיון שיכול לפתור את הבעיה הזאת.

כתב אורח

אנחנו מארחים מפעם לפעם כותבים טכנולוגים אורחים, המפרסמים כתבות בתחומי התמחות שלהם. במידה ואתם מעוניינים לפרסם פוסט בשמכם, פנו אלינו באמצעות טופס יצירת קשר באתר.

הגב

17 תגובות על "אנחנו קרבים לסוף עידן ה-Firewall [דעה]"

avatar
Photo and Image Files
 
 
 
Audio and Video Files
 
 
 
Other File Types
 
 
 

* היי, אנחנו אוהבים תגובות!
תיקונים, תגובות קוטלות וכמובן תגובות מפרגנות - בכיף.
חופש הביטוי הוא ערך עליון, אבל לא נוכל להשלים עם תגובות שכוללות הסתה, הוצאת דיבה, תגובות שכוללות מידע המפר את תנאי השימוש של Geektime, תגובות שחורגות מהטעם הטוב ותגובות שהן בניגוד לדין. תגובות כאלו יימחקו מייד.

סידור לפי:   חדש | ישן | הכי מדורגים
ניר
Guest

דבר אחד לא קשור לשני. יש צורך באבטחת IoT ויש צורך באבטחה קלאסית. לא סותר.

רונן
Guest

גיבוב שטויות. “כתב אורח”? כנראה שזו הדרך להתחמק מאחריות על נפיחה. כדאי שתורידו את הכתבה… היא לא מוסיפה לרצינות האתר שלכם.

אבי
Guest

אבטחה אבטחה אבטחה – בלבול מוח אחד גדול.
אז יחדרו לך למחשב…וווואווו נו ו?
כל הבולשיט הזה שנקרא אבטחה(בתחום המחשוב כמובן) הוא בולשיט אחד עצום שדבר אחד הוא עושה טוב, אפילו מצויין הייתי אומר וזה ימבה במבה של שקלים.
אז גנבו לי את מספר האשראי – מעניין לי את א*ך ימין.
אז פרצו לי לג׳ימייל – מעניין לי את א*ך שמאל.
ובואו נאמר שיש לי אתר ecomerce משהו בן זו*ה והפילו לי אותו – מעניין לי תז*ן שבין שני האשכ*ם.
עורך….פליס פליס פליס שחרר את ה comment שלי ואל תפסול.
איזה אח אתה..אח על מלא.

Asaf Shelly
Guest

תודה רבה על המשוב החם. מידע נוסף למתעניינים בקישור הבא: http://h30507.www3.hp.com/t5/Security-Products/HP-Study-Reveals-70-Percent-of-Internet-of-Things-Devices/ba-p/6556284#.VjEfKs5UDde , ובעיקר קובץ “HP_IoT_Research_Study.pdf”.
למשל מנגנון עדכון תוכנה שלא מוודא חתימה דיגיטלית. אין Firewall פנימי שיכול לוודא חוקיות של קובץ update.
קשה מאד לממש מערכת אבטחה על מכשיר כמו ארדואינו https://www.arduino.cc/en/Tutorial/Memory שהצפנה עליו לוקחת 12 שניות https://evothings.com/is-it-possible-to-secure-micro-controllers-used-within-iot/
אני זוכר שמישהו פעם אמר שחברות ישימו את כל המידע שלהן על שרתים
של חברה אחרת והדרך להגיע למסמכים תהיה תלויה בקישור יציב לאינטרנט. ואני זוכר
תגובות כמו “מי יעשה דבר הזוי שכזה”.
לדוגמה PC Magazine 2011 “I’m
not saying the cloud isn’t viable. I just think it’s risky, unreliable, and dumb for many uses”
http://www.pcmag.com/article2/0,2817,2385463,00.asp

אחד שיודע
Guest

הכתבה הזאת איבדה את האמינות כבר בכותרת: “IoT” ו-“cyber” במשפט אחד. חבל שלא תיבלת גם ב”big data”, “linix” ועוד מושגים מהברנז’ה.

Asaf Shelly
Guest

לנושא הרקע שלי כ- Cyber IoT, לפני כמה ימים נפגשתי עם מנכ”ל מכללת אבטחה שאני מרצה דרכה מידי פעם. הסברתי לו ש-20 שנה אני עוסק בתחום ה- Embedded ועד שהתחום מתחיל לקבל Traction, קוראים לו IoT.
התשובה שקיבלתי היתה שעד שסוף סוף ישראל תופסת מקום מרכזי באבטחת מידע באופן רשמי – קוראים לזה סייבר…
הכל עם קבלות http://www.google.com/patents/US20090044270

asd
Guest

בתור “ממציא” הייתי מצפה לפחות לפסקה אחת שתיתן כיוון לרעיון.
על האינטרנט של הדברים כולנו יודעים כבר. על הצורך להגן על מידע גם לא צריך להסביר (כאילו דה). מה נשאר? מה לא בסדר עם הקונספט של פיירוול היום (הכל הרי מחובר בסופו של דבר לאיזשהו נתב ושם נמצאת ההגנה) ואיך הולכים לפתור את זה.

את החלק המעניין ביותר לא כתבת ואנחנו נשארו עם כתבה דהוייה שמריחה כמו יח”צ אישי.

Asaf Shelly
Guest
מכיוון שלא מדובר במאמר אקדמי אני מרשה לעצמי להציג בעיה בלי פתרון. להיפך. אני לא רוצה לספר לכולם מה הדרך המסויימת שלדעתי צריכה לפתור את הבעיה אלא להציג את הבעיה בפני הקהילה ולראות מה חוזר. תחום IoT יקום או יפול על נושא אבטחה. זה התפקיד שלנו כמובילי קהילה להציג בפני כולם את הבעיה ולהקשיב. כסטארטאפיסט אני יכול לנסות לפתור את הבעיה בדרך שכרגע נראית הכי נכונה. התשובה היא בעצם שכרגע אין באמת פתרון מדף לבעיה הזאת וכדאי שנכיר בה כמה שיותר מהר כדי שיתחילו להגיע הפתרונות. מדברי החכמה של אינשטיין: “The formulation of the problem is often more essential than… Read more »
asd
Guest

תשמע, שיהיה ברור – אני לא מזלזל בידע שלך ובטוח שיש לך הרבה מה לתרום (וסליחה אם זה יצא ככה). אני רק מציין שבתור קורא, לא מצאתי שום דבר חדש במה שכתבת וזה הרגיש לי כמו בזבוז זמן עד שהגעתי לסוף.

אתה חתום על הכתבה הזאת – תן את הפיתרון שנראה לך נכון. אין פה ציפייה לאובייקטיביות. וגם ם אין פיתרון, אני בטוח שיש כיוונים שאפשר לסקור בפסקה או שניים.

עלה והצלח.

Asaf Shelly
Guest

הכל בסדר :)
המטרה שדיברתי עליה היא לפתוח את הנושא לדיון כדי שכולם יוכלו להמציא פתרונות. לא הייתי רוצה לצמצם את הדמיון לעקרונות שאני במקרה מכיר כרגע.

אורי
Guest

תודה על הכתבה, זה בהחלט גרם לי להרהר בעתיד אבטחת המידע נוכח האיומים החדשים.

לכל המשמיצים והמלעיזים שמגיבים כאן, תלמדו לפרגן לאחרים, לרטון ולכעוס כל הזמן גורם לקמטים בעור הפנים ולטחורים בצד השני :)

איתן
Guest

אני לא מסכים שהבעיה דחופה כל כך כי סה”כ הרוב המוחלט אם לא כל רכיב IoT פונה החוצה בלבד ויכול לחסום חיבורים נכנסים, ככה שאם נוצרה תקשורת אמינה לשרת המרוחק באינטרנט (SSLTLS) אז איפה הבעיה?

הבעיה די מצומצמת למוצרים שמוגדרים כקריטיים (ז”א שאסור שיהיו תלויים בחיבור לאינטרנט) ואז מחברים אותם גם לאינטרנט וגם לארגון…
קיימת אפשרות תיאורטית לתוקף להיכנס לשרתים של חברה חיצונית שמספקת שירות IoT קריטי, נניח חברת שמירה שאליה נשלחות תמונות ממצלמות אבטחה דרך האינטרנט, ודרך המצלמות להתחבר לרשת המשרדית.. אבל אז, אבוי, ה-FIREWALL המשרדי והמיושן הוא זה שמושיע :)

Asaf Shelly
Guest

הבעיה האמיתית היא שכמעט כל מוצרי IoT לא נמצאים מאחורי הגנה של ארגון. לדוגמה:
https://www.pentestpartners.com/blog/hacking-defcon-23s-iot-village-samsung-fridge/
והמקרה הזה הוא טוב כי למכשיר יש יכולת SSL. יש מוצרי IoT שהחומרה שלהם לא מאפשרת להם לבצע הצפנה ופענוח של SSL בפחות מדקה לבקשה.

NetForget
Guest

זה מה שיש לי להגיד…

Asaf Shelly
Guest

מי שמדבר ברמזים עונים לו ברמזים.
טבעי לגמרי. לכולם לוקח זמן.

Me.
Guest

כמי שגם מכיר את הכתב האורח, אכן גיבוב של שטויות במטרה ל…. (?)

Asaf Shelly
Guest

מאיפה אתה מכיר אותו?

wpDiscuz

תגיות לכתבה: