התקפת מניעת שירות מבוזרת (DDoS) שהשפיעה קשות על הגישה לאינטרנט עבור תושבי אינטרנט רבים בארה"ב, התגלתה מופעלת בחלקה על ידי רשת בוט המכוונת למכשירי "האינטרנט של הדברים" לא מוגנים. עבור אפל, הגילוי מצדיק גישת גן מוקף חומה שנויה במחלוקת ל-IoT המתבטאת בפרוטוקול HomeKit.
כפי שפורט אתמול, האקרים לא ידועיםלכוון את הכוונתon Dyn, חברת ניהול אינטרנט המספקת שירותי DNS לגופי אינטרנט גדולים רבים.
סדרה של התקפות חוזרות ונשנות גרמו לאתרי אינטרנט לרבותהגבול, Imgur ו-Reddit, כמו גם שירותים כמו HBO Now ו-PayPal, כדי לראות האטות וזמני השבתה ממושכים. גלי המשך שיחקו הרסהניו יורק טיימס, CNN, Netflix, Twitter ו-PlayStation Network, בין רבים אחרים.
למרות ש-Dyn לא הצליח בתחילה לאתר מקור, מידע שפורסם לאחר מכן על ידי חברת מחקרי האבטחה Flashpoint חשף את ההתקפות הממוקדותכרוך במתחשל התוכנה הזדונית Mirai, מדווח בריאן קרבס. לקרבס יש ניסיון ממקור ראשון עם מיראי, שכן התוכנה הזדונית נפרסה במתקפת DDoS שהפילה את אתר האינטרנט שלו,KrebsOnSecurity, בספטמבר.
מיראי מחפשת באינטרנט מכשירי IoT המוגדרים עם שילובי ברירת מחדל של שם משתמש וסיסמה של מנהל מערכת, אומר קרבס. לאחר גילוי, התוכנה הזדונית חודרת ומשתמשת בחומרה מוגנת בצורה גרועה כדי לאפשר התקפת DDoS על ישות מקוונת, במקרה הזה Dyn.
שיטות אבטחה לקויות אינן דבר חדש. משתמשי קצה לא יזומים או עצלנים השאירו במשך עשרות שנים את הגדרות ברירת המחדל של היצרן ללא שינוי בנתבים, במדפסות ברשת ובוקטורי פריצה פוטנציאליים אחרים. אבל זה שונה.
מכשירי DVR ומצלמות IP כמו אלה שיוצרו על ידי החברה הסינית XiongMai Technologies מכילים פגיעות אבטחה חמורה והם אחראים במידה רבה לאירוח הבוטנט.
לפי קרבס, מכשירי DVR ומצלמות IP מתוצרת החברה הסינית XiongMai Technologies, כמו גם גאדג'טים מחוברים אחרים המציפים כיום את השוק, מכילים פגיעות אבטחה חמורה והם אחראים במידה רבה לאירוח הבוטנט. כפי שהוא מסביר, ניתן להגיע לחלק מהמכשירים הללו דרך Telnet ו-SSH גם לאחר שמשתמש משנה את שם המשתמש והסיסמה המוגדרים כברירת מחדל.
"הבעיה עם המכשירים הספציפיים האלה היא שמשתמש אינו יכול לשנות את הסיסמה הזו באופן סביר", אמר זאק וויקהולם, מפתח מחקר ב-Flashpoint. "הסיסמה מקודדת לתוך הקושחה, והכלים הדרושים להשביתה אינם קיימים. גרוע מכך, ממשק האינטרנט אינו מודע לכך שהאישורים הללו בכלל קיימים".
כדי למנוע מתקפת Mirai נוספת, או תקיפה דומה הרותמת חומרת IoT, מכשירים פוגעניים עשויים לדרוש ריקול, אומר קרבס. בקיצור, ניתוק מוצר מושפע מהחשמל הוא פסק זמן יעיל.
לעומת זאת, של אפלHomeKitכולל הצפנה מקצה לקצה מובנית, מוגנתשבב אלחוטיסטנדרטים, ערפול גישה מרחוק ואמצעי אבטחה אחרים שנועדו לסכל פריצות. מיותר לציין שזה יהיה קשה יחסית להפוך מכשיר HomeKit MFi לזומבי DDoS.
הוכרז בשנת 2014 לצד iOS 8, HomeKit הופיע לראשונה בתור אמסגרת מאובטחתשעליו יכולים יצרנים של מוצרי בית חכם לחבר תקשורת אביזרים. באופן ספציפי, המערכת משתמשת בתשתית iOS ו-iCloud כדי לסנכרן נתונים בצורה מאובטחת בין מכשירי מארח ואביזרים.
אפל מפרטת הגנות HomeKit במסמך אבטחה שפורסם באתר האינטרנט שלה (קישור ל-PDF), תוך ציון התלות של המערכת על צמדי מפתחות ציבוריים-פרטיים.
ראשית, צמדי מפתחות נוצרים במכשיר iOS ומוקצים לכל משתמש HomeKit. הזהות הייחודית של HomeKit מאוחסנת במחזיק מפתחות ומסונכרנת למכשירים אחרים באמצעות מחזיק מפתחות iCloud. אביזרים תואמים מייצרים זוג מפתחות משלהם לתקשורת עם מכשירי iOS מקושרים. חשוב לציין, אביזרים ייצרו צמדי מפתחות חדשים כאשר ישוחזרו להגדרות היצרן.
אפל משתמשת בפרוטוקול Secure Remote Password (3,072 סיביות) כדי ליצור חיבור בין מכשיר iOS לאביזר HomeKit באמצעות Wi-Fi או Bluetooth. בשימוש הראשון, המפתחות מוחלפים באמצעות הליך הכולל הזנת קוד בן 8 ספרות שסופק על ידי היצרן לאיפון או אייפד מארח. לבסוף, הנתונים שהוחלפו מוצפנים בזמן שהמערכת מאמתת את אישור ה-MFi של האביזר.
כאשר אייפון מתקשר עם אביזר HomeKit, שני המכשירים מאמתים זה את זה באמצעות המפתחות שהוחלפו, פרוטוקול Station-to-Station והצפנה לכל הפעלה. יתר על כן, אפל עיצבה בקפידה תכונת שלט רחוק בשם iCloud Remote המאפשרת למשתמשים לגשת לאביזרים שלהם כשהם לא בבית.
אביזרים התומכים בגישה מרחוק של iCloud מסופקים במהלך תהליך ההגדרה של האביזר. תהליך ההקצאה מתחיל עם הכניסה של המשתמש ל-iCloud. לאחר מכן, מכשיר ה-iOS מבקש מהאביזר לחתום על אתגר באמצעות מעבד Apple Authentication Coprocessor המובנה בכל אביזרי Built for HomeKit. האביזר יוצר גם מפתחות עקומה אליפטית prime256v1, והמפתח הציבורי נשלח למכשיר ה-iOS יחד עם האתגר החתום ותעודת X.509 של מעבד האימות.
המעבד המשנה של אפל הוא המפתח לרמת האבטחה הגבוהה של HomeKit, אם כי ההטמעה דחתה את השקת מוצרי צד שלישי בחודשים. יתרונות האבטחה היו ללא ספק שווים את ההמתנה.
בנוסף לאמור לעיל, אפל משלבת גם אמצעי הגנה על פרטיות המבטיחים שרק למשתמשים מאומתים תהיה גישה להגדרות אביזרים, כמו גם אמצעי פרטיות המגנים מפני שידור של נתונים מזהים משתמש או זיהוי ביתי.
בבסיסו, HomeKit הוא עמוד שדרה תקשורתי IoT מתוכנן היטב ומבוצע היטב. האביזרים עובדים רק עם מכשירים שהוגדרו כהלכה, קשה לחדור אליהם, משתלבים בצורה חלקה עם iPhone ועם iOS 10 ודור רביעי של Apple TV (שפועל כרכזת), כוללים הודעות ובקרות עשירות הנגישות דרך אפליקציית הבית הייעודית של אפל. והם לא יכולים לשדר מידע זבל ללא הבחנה לאינטרנט.
היתרונות של HomeKit עולים ליצרנים, בעיקר בשילוב המעבד המשנה של אפל, אבל המחיר ללא ספק פחות יקר מהיזכרות במוצר מוגמר שלא ניתן לתיקון.
