זה לא היה מטהר המים שלי שנפרץ ראשון. זה היה המקרר החכם שלי. בשעה 3:00 לפנות בוקר, לוח השנה המשפחתי על המסך נמחק והוחלף בהודעה באנגלית גרועה שדרשה 0.5 ביטקוין. מכונת הקרח החלה לזרוק קוביות על הרצפה. האורות הפנימיים הבהבו כמו אזעקה שקטה. הבית החכם שלי, חבילה של שירותים מחוברים, הפך למצב של ערובה במטבח שלי.

נדרשה שיחה מבוהלת ויקרה למומחה אבטחת סייבר כדי להחזיר לי את המכשירים. אבל השאלה האחרונה שלו גרמה לי צמרמורת עמוקה יותר מהקרח על הרצפה: "האם יש לך מטהר מים מחובר לאותה רשת?"

עשיתי זאת. ופתאום, הפחד הכי גדול שלי עבר ממים מלוכלכים לסוג אחר של רעל: חבלה דיגיטלית.

אנחנו מאבטחים את ה-Wi-Fi שלנו, מעדכנים את המחשבים הניידים שלנו, ונזהרים מאימיילים של פישינג. אבל אנחנו מחברים בקלות מכשיר לרשת שלנו שיש לו שליטה פיזית ישירה על משאב חיוני - המים שלנו - כאשר האבטחה לרוב אינה חזקה יותר מצעצוע של ילד. מטהר מים פרוץ אינו רק מכשיר מקולקל; זוהי הפרה ברמה האינטימית ביותר.

פגיעות ה"מקרר הדיגיטלי": משטח ההתקפה של מטהר האוויר שלכם

מומחה אבטחת הסייבר שלי שרטט את ההקבלות על לוח לבן. כמו המקרר שלי, מטהר המים ה"חכם" היוקרתי שלי הוא מחשב מחובר לרשת במעטפת פלסטיק. משטח התקיפה שלו רחב:

• פורטל אפליקציה/ענן חלש: הכניסה לשליטה בו או לצפייה בנתונים שלו מוגנת לעתים קרובות על ידי סיסמה פשוטה, לפעמים אפילו סיסמה ברירת מחדל.
• קושחה מיושנת ובלתי ניתנת לתיקון: רוב המטהרים הם "מתכלים ושכחו". ייתכן שהחברה לעולם לא תוציא עדכון אבטחה לאחר יום המשלוח.
• זרם נתונים קבוע: הוא מתקשר הביתה ללא הרף - שולח נתוני שימוש, סטטוס מסנן ומידע אבחון לשרת של היצרן. זוהי דליפת נתונים פוטנציאלית של הרגלי הבית שלך.
• שסתומי בקרה פיזיים: זהו החלק הכי מפחיד. יש בו סולנואידים ושסתומים שיכולים להפעיל ולכבות את זרימת המים, או ליזום שטיפה במערכת.

בידי גורם זדוני, זה לא סיכון תיאורטי. זוהי תוכנית אב לנזק.

התרחישים הבלתי נתפסים: ממטרד לסיוט

בואו נעבור מעבר ל"פרצת נתונים" המופשטת להתקפות מוחשיות וסבירות:

1. נעילת תוכנת כופר: התרחיש הסביר ביותר. ממשק המטהר שלך נעול על ידי תוכנת כופר. הודעה על המסך או באפליקציה שלך דורשת תשלום כדי לשחזר את התפקוד. אינך יכול לבדוק את מצב המסנן, להפעיל מחזור ניקוי, או במקרים קיצוניים, המערכת עלולה לסרב למזוג מים, מה שמור את ההידרציה שלך כבת ערובה.
2. הונאת "הונאת המסנן": האקר מקבל גישה לדיווחי המערכת. הוא מזייף התראה שכל המסנן וממברנת ה-RO כושלים בצורה קריטית, ודורש החלפה מיידית עם קישור לחנות מזויפת (או זדונית) המוכרת חלקים מזויפים במחיר מופקע. הוא מנצל את האמון שלך במכשיר כדי להונות אותך.
3. ונדליזם של בריקת המערכת: סקריפט או תוקף שולח פקודת קושחה פגומה, ומחסם לצמיתות את לוח הבקרה. המכונה נשארת כמשקולת נייר מתה ודולפת עד שתשלמו עבור החלפה מלאה של לוח האם.
4. החבלה הפיזית (המקרה הגרוע ביותר): תוקף עם גישה עמוקה יותר יכול, תיאורטית, להפעיל את שסתומי השטיפה והניקוז של המערכת באופן לא סדיר. זה עלול לגרום לפטיש מים - נחשול לחץ שיכול לפוצץ אביזרים ולגרום להצפה בתוך הארונות והקירות שלכם. זה לא מרעיל את המים; זה הופך את המכשיר לנשק כדי להרעיל את הבית שלכם.

פרוטוקול אבטחת המים הדיגיטלי בן 7 הנקודות שלך

אחרי התקרית עם המקרר שלי, יישמתי את הפרוטוקול הזה עבור כל מכשיר מחובר, במיוחד עבור מטהר האוויר שלי. כדאי גם לכם.

1. בידוד ברשת אורח: צור רשת Wi-Fi נפרדת (רוב הנתבים המודרניים יכולים לעשות זאת) באופן בלעדי עבור מכשירי ה-IoT שלך. מטהר האוויר, התאורה והמקרר שלך נמצאים כאן. המחשבים הניידים, הטלפונים ומכשירי העבודה שלך נשארים ברשת הראשית. פרצה ברשת האורחת נבנתה.
2. ביטול הגדרות ברירת המחדל: שנה את שם המשתמש והסיסמה המוגדרים כברירת מחדל עבור האפליקציה ופורטל האינטרנט של המטהר לסיסמה חזקה וייחודית. השתמש במנהל סיסמאות.
3. בדיקת הרשאות אפליקציה: באפליקציה לנייד של המטהר, דחו את כל ההרשאות שהוא לא ממש צריך כדי לתפקד (מיקום, אנשי קשר וכו'). הוא צריך Wi-Fi. הוא כן.לֹאצריך לדעת איפה אתה נמצא.
4. השבת גישה מרחוק במידת האפשר: האם האפליקציה מאפשרת לך לשלוט בה מכל מקום? אם אתה צריך אותה רק בבית, בדוק אם יש מצב "רשת מקומית בלבד".
5. בדוק אם יש "מתג השבתה פיזי של Wi-Fi": בחלק מהדגמים יש כפתור קטן להשבתת ה-Wi-Fi. אם אינך משתמש בתכונות חכמות מדי יום, כבה את ה-Wi-Fi לצמיתות. מטהר אוויר טיפש הוא מטהר אוויר בטוח. הגדירו תזכורות ידניות בלוח השנה להחלפות מסנן.
6. ניטור הרשת שלך: השתמש בכלי סריקת רשת פשוט (כמו Fing) כדי לראות אילו מכשירים מחוברים לרשת הביתית שלך. אם אתה רואה משהו שאינך מזהה, בדוק זאת.
7. שאלו את השאלה הקשה לפני הקנייה: כשאתם מחפשים מטהר "חכם", שלחו דוא"ל לתמיכה של החברה. שאלו: "מהי מדיניות גילוי הפגיעויות שלכם? באיזו תדירות אתם משחררים תיקוני אבטחה עבור המכשירים המחוברים שלכם?" תשובה לא נכונה היא התשובה שלכם.