הקדמה
בעוד שרוב המאמצים ברחבי העולם וכן ההתייחסות התקשורתית מופנים כלפי עולם אבטחת התוכנה, ישנו איום מתגבר הנמצא ברמת החומרה.
"כיום החומרה מהווה את החוליה החלשה בשרשרת האבטחה" כך נטען בכנס בנושא אבטחת מידע שנערך באוניברסיטת בר אילן.
בכנס צוין, כי הסכנה גדולה במיוחד. משום שלעיתים התקן בודד שאינו עומד בתקני אבטחת חומרה – מאפשר פריצה לכלל המערכת ולכל הרכיבים שבה, וכאשר אחד מן הרכיבים מחובר לרשת, נחשפים מערכות נוספות לפריצות מרחוק, מה שמגדיל את פוטנציאל הנזק לאין שיעור.
לדוגמה, רכבים המכילים צ'יפים המחוברים ביניהם ברשת פנימית וחלקם אף יכולים להתחבר לרשת חיצונית לצורך הורדת עדכוני תוכנה, פריצה לחומרה של רכב אחד חושפת רכבים נוספים רבים לפריצות מרחוק, העלולות להסתיים בתאונה קטלנית.
רכיבי חומרה כגון שרתים ונקודות קצה של עובדים בארגון דורשות אמצעי אבטחה משלהם על מנת להבטיח פעולות יומיומיות חלקות. איומים עשויים להגיע גם מתוך הארגון עצמו, מה שהופך את הניסוח והאכיפה של מדיניות אבטחת חומרה פנימית מוצקה לחשובה לא פחות מיצירת אסטרטגיית אבטחה חיצונית חזקה.
במאמר זה יפורטו הסיכונים והפתרונות הנגזרים מנושא אבטחת החומרה.
אבטחת חומרה – הגדרה, איומים והתנהלות נכונה.
חומרה – כל הרכיבים הפיזיים במחשב או בהתקן אלקטרוני אחר, כמו טלפון סלולרי. או ציוד סלולרי או ציוד תקשורת.
כלומר כל דבר חומרי שניתן לגעת בו, להבדיל מן המידע שהמחשב או ההתקן או המעבד מכילים ולהבדיל מן התוכנה שהינה אוסף הפקודות המספקות הוראות לחומרה.
- הבחנה זו בין חומרה לתוכנה מצטמצמת כאשר התוכנה צרובה ברכיב חומרה מסוים ואינה ניתנת לשינוי. תוכנה מסוג זה קרויה קושחה(Firmware) מהיותה 'קשיחה' כלומר לא ניתנת לשינוי בצורה פשוטה.
אבטחת חומרה – הגנה מפני פריצות ופגיעות הנערכות בעזרת רכיב פיזי, וכן הגנה על מערכות פיזיות מפני פגיעה.
ובהרחבה: אבטחת חומרה הינה תת-תחום באבטחת מידע המתמקדת בהגנה על כל ההתקנים הפיזיים, המכונות והציוד ההיקפי. הגנה זו יכולה להיות בצורה של אבטחה פיזית כגון שומרים, דלתות נעולות ומצלמות במעגל סגור. או בצורה של רכיב חומרה כמו התקן המספק פונקציות קריפטוגרפיות להגנה מפני פרצות אבטחה ומתוקפים או מכשיר שסורק נקודות קצה של עובדים.
במילים אחרות, אבטחת חומרה היא הגנה על מכשירים פיזיים מפני איומים שיאפשרו גישה לא מורשית למערכות ארגוניות. אבטחת חומרה כוללת הגנה באמצעות התקנים או פעולות פיזיות להבדיל מתוכנות אבטחה, כגון אנטי וירוס.
האיומים המרכזיים על החומרה הארגונית.
בכל ארגון כיום קיימים מספר רב של רכיבי חומרה. שרתים, כוננים קשיחים, כרטיסים גרפיים, כרטיסי רשת חוטיים ואלחוטיים, לוחות אם, שבבים והרשימה עוד ארוכה. ולכל אחד מהם – נקודות תורפה משלו, מרמת הרכיב ומעלה. מה שהופך את אבטחת החומרה לחשובה ומסובכת.
להלן מספר איומים עיקריים על החומרה הארגונית כיום.
- גישה מקומית לא מאובטחת – ארונות תקשורת לא נעולים, מחשבים הנשארים דלוקים. חברות, במיוחד קטנות יותר, עלולות להזניח את נקודות הגישה המקומיות הללו ולא להגן עליהן פיזית. מה שמשאיר את סביבת החומרה הארגונית חשופה לפעולות של אנשים שיכולים לגשת ולחבל במערכות החברה בקלות.
- סיסמאות ברירת מחדל – רוב המכשירים הארגוניים מגיעים עם 'סיסמת ברירת מחדל' שניתן וצריך לשנות. לעתים קרובות, סיסמת ברירת המחדל אף כתובה על המכשיר עצמו. הצוות אינו משנה את הסיסמאות האלו, וגם אם כן, לרוב הסיסמה החדשה תהא כתובה במקום בולט במשרד.
- קושחה מיושנת – עדכון קושחה אינו אינטואיטיבי או קל ביחס לעדכוני תוכנה, תדיר למצוא קושחה מיושנת הכוללת באגים ופגמי אבטחה.
- הצפנה בלתי מספקת – בעוד שמספר הולך וגדל של התקנים מקושר לרשת, לא כולם עושים זאת באמצעות פרוטוקולי ההצפנה הנכונים. מידע שאינו מוצפן כראוי, יכול להיות מפוענח בקלות על ידי תוקף.
- 'דלת אחורית' – דלת אחורית היא אמצעי כניסה נסתר המוגדר במהלך שלב הייצור של מכשיר ומאפשר לעקוף תהליכי אימות ולקבל גישה מלאה למכשיר. תוקפים יכולים לנצל אותם כדי להתקין תוכנות זדוניות.
- האזנה – התקפות האזנה מתרחשות כאשר גורם לא מאושר ניגש לחומרה ולוכד את הנתונים שבה. לדוגמה, מכשיר חיצוני המותקן על כספומט וסורק כל כרטיס שהוכנס ואת הסיסמה שלו. סביבה ארגונית שלא מאובטחת כראוי, חשופה לאמצעי האזנה ה'מקשיבים' לכל הפעילות המקוונת המתרחשת בארגון.
- חומרה מזויפת – מכשירים שנבנו או שונו ללא אישור של יצרן הציוד המקורי, יכולים להיות מלאים בכוונה בדלתות אחוריות ופגיעוית אחרות אשר ינוצלו על ידי תוקפים כדי להפעיל פעולות לא מורשות ולאפשר גישה זדונית למערכות החברה.
שיטות וכללים להתנהלות נכונה
עבודה מרחוק הופכת נפוצה יותר כיום, כאשר חברות רבות ברחבי העולם עוברות לעבודה קבועה מהבית או למודלים של עבודה היברידית. מה שתורם לקושי בניטור נכסי החומרה של הארגון. עם זאת, שיטות העבודה המומלצות המפורטות כאן יכולות לעזור ליצור תוכנית אבטחת חומרה חזקה בארגון וגם ניתנות להבנה ולישום אצל האדם הפרטי.
- הכרת ספקי החומרה – כדי למזער את הסיכון שבעבודה עם חומרה פגיעה או מזויפת, צריך לבדוק ולהכיר את הספקים של הרכיבים הקיימים במערכת הארגונית. וכמו כן, לבדוק ולהכיר את אמצעי האבטחה שהם מיישמים.
- אבטחה פיזית – נעילה וניטור של חדרי שרתים. הגנה על תחנות עבודה של עובדים מפני התקפות מרוחקות על ידי הצבתן מאחורי חומת אש חומרה מוגדרת כהלכה. וכן ניתן לצמצם את הגניבה בפועל של מערכות משטחי המשרד על ידי נעילת חומרה לתחנות עבודה.
- הצפנה – ישום תהליכי הצפנה בכל מקום אפשרי, אפילו עבור מכשירים קטנים כגון מדיית אחסון חיצונית. גם כאשר מכשיר מוצפן נגנב, התוקף לא יוכל לקבל גישה אליו בקלות.
- צמצום משטח ההתקפה – צמצום למינימום את החומרה החשופה לתקיפה על ידי השבתה של כל חומרה או רכיבים שלא נחוצים. ניתוק או ביטול ממשקים אלחוטיים ויציאות רשת שאינם בשימוש.
- ניטור – פתרונות ניטור בזמן אמת מבוססי ענן מודיעים לצוותי אבטחה במקרה של פריצת חומרה ומאפשרים אמצעי תגובה מיידיים לאירועים.
- ביקורת – ביצוע בדיקה סדירה ויסודית של כל החומרה ושל כל היציאות והכניסות שבה וכן בדיקה של האמצעים להגן עליה, ניתן לשכור שירותים חיצוניים לביקורת אבטחה יסודית ולייעוץ.
לסיכום:
כל ארגון מודרני מסתמך על חומרה באותה מידה שהוא מסתמך על תוכנה. סמארטפונים, מחשבים אישיים ומחשבים ניידים, מתגים, שרתים והתקני רשת משמשים במרכזי נתונים וברשתות ארגוניות בכל הגדלים. בעבר, 'שכבת החומרה' הזו לא זכתה לתשומת הלב הראויה מבחינה ביטחונית. עם זאת, ככל שחברות מסתמכות יותר ויותר על טכנולוגיות בכל היבט של הפעילות היומיומית שלהן, אבטחת החומרה נעשית קריטית מכיוון ששכבת החומרה מלאה בפגיעויות הנשארות ללא תיקון במשך שנים רבות, ומהוות מטרה קלה לתוקפים. אבטחת חומרה הפכה לנקודת דיון חשובה בקרב ארגונים וספקים בכל ענפי התעשייה. וככל שהפוקוס מופנה לאבטחת החומרה, הדרך לזהות ולטפל באיומים באופן יזום הופכת לברורה יותר. במקום לשבת לאחור ולצפות שנכסי הארגון יגנו על עצמם מפני גורמים זדוניים, מן ההכרח ליישם את שיטות האבטחה המומלצות המפורטות למעלה.
שמואל למדן – פברואר 2022
נספח מקורות
אבטחת חומרה:
'חומרה בטוחה', ד"ר אסנת קרן, אוניברסיטת בר אילן https://engineering.biu.ac.il/node/9016
אינטל – https://www.intel.com/content/www/us/en/business/enterprise-computers/hardware-security.html
מייקרוסופט, Windows HS- https://docs.microsoft.com/en-us/windows/security/hardware
גלובס, סכנות הסייבר – https://www.globes.co.il/news/article.aspx?did=1001109063
ויקיפדיה Hardware security- https://en.wikipedia.org/wiki/Hardware_security
Outdated firmware – https://www.techadvisory.org/2020/08/outdated-firmware-an-overlooked-threat-2/
חשיבות אבטחת חומרה – https://www.arrow.com/en/research-and-events/articles/understanding-the-importance-of-hardware-security
אימות דו-שלבי ומפתח אבטחה:
אימות רב-שלבי – https://en.wikipedia.org/wiki/Multi-factor_authentication
יוביקו מפתחות אבטחה – https://www.yubico.co.il/
מפתח אבטחה גוגל – https://support.google.com/accounts/answer/6103523?hl=iw&co=GENIE.Platform%3DAndroid