İnternete bağlı ‘şeylerin’ güvenlik trajedisi

Bir grup araştırmacının basit bir yöntemle Nesnelerin İnterneti cihazlarını ele geçirebilmesi, internet bağlantılı cihazların güvenliğine dair soru işaretlerine neden oldu.

Haber Özeti

Tam Sürüm

Otuz dakika. İsrail’deki Negev Ben-Gurion Üniversitesi’nden bir grup araştırmacının güvenlik kameralarını, bebek telsizlerini, kapı zillerini, termostatları ve diğer Nesnelerin İnterneti cihazlarını ele geçirmesi sadece otuz dakika sürdü. Üstelik herhangi özel bir hack tekniği kullanmadılar.

İhtiyacınız olan tek şey, internete bağlı bir web tarayıcısı ve hack’lemek istediğiniz cihazın marka ve modelini tarayıcıya yazmak için bir de parmak. Bu bilgileri Google arama çubuğuna yazınca, birkaç dakika içinde, hack’lemek istediğiniz cihazın üreticisinin varsayılan kullanıcı adı ve şifresini kullanarak o cihaza nasıl erişeceğinizi anlatan bir web sitesi ya da forum gönderisi bulursunuz.  Bir pedofil, hırsız, intikam peşinde koşan bir eski sevgili ya da sıradan bir röntgenci bu bilgileri kullanarak evinizdeki herhangi bir cihaza erişim sağlayabilir. Bir hükümet ya da suç örgütü de veri çalmak, gözetleme yapmak ya da küresel internet saldırıları düzenlemek için kullanıcı-parola kombinini kullanarak evinizdeki cihazları kontrol edebilir.

Negev Ben-Gurion Üniversitesi’nin yaptığı araştırmaya, üniversitenin Siber Güvenlik Araştırma Merkezi’ndeki çalışan Yossi Oren öncülük etti. Meslektaşlarıyla birlikte Oren, cihaza fiziksel erişiminiz olduğu zaman herhangi bir makinenin sabit kodlu şifresini öğrenmenin ne kadar kolay olduğunu gösteren çeşitli tersine mühendislik yöntemleri kullanarak 16 adet en yüksek ve en düşük kaliteli Nesnelerin İnterneti (IoT) cihazını inceledi.

Cihazların donanım kapasitelerini ele geçiren Oren ve ekibi, bir bebek telsizinden yüksek sesle müzik çalmayı, bir termostatı kapatmayı ve bir kamerayı açmayı başardı.

Oren ve ekibinin bu tür cihazları mutlaka kullanması gerekenler için bazı tavsiyeleri var:

  • Cihazları saygın satıcılardan alın. (Peki öyle bir satıcı var mı? Araştırma ekibi herhangi bir isim vermedi ancak en yüksek kaliteli donanımların bile güvenlik açıkları olduğunu biliyoruz.)
  • İçine kötü amaçlı yazılım yüklenmiş olabileceği için ikinci el cihazlar almayın.
  • En önemlisi; cihazın varsayılan şifresini değiştirin.

Bu tavsiyeler akıllara son derece basit bir soru getiriyor: Bütün bunlar basit bir kullanıcı deneyimi tasarımı değişikliğiyle çözülemez mi?  Milyonlarca cihazdaki temel güvenlik açığının sebebi insanların varsayılan kullanıcı adı ile şifreyi değiştirmemesiyse, şirketler müşterileri 16 karakterden (veya daha fazla) oluşan şifreler ya da kullanıcı adları oluşturmaya zorlayamaz mı? Akıllı cihazın kurulum sürecinin en başında çıkacak bir sayfa vasıtasıyla bu sorun hallolabilir. Varsayılan kullanıcı adı ve şifreyi değiştirmek, uzaktan yönetim için açık bırakılan ‘arkakapı’ ya da yetersiz güvenlik duvarı tasarımları gibi kötü güvenlik mimarilerini elbette ki çözmeyecek ancak daha basit güvenlik ihlallerini çözmeye yardımcı olacaktır. Şirketlerin de bu tür önlemler alma vakti geldi. Bizlerin de kullanıcılar olarak Ben-Gurion ekibinin tavsiyesini dikkate almamızda fayda var: “Bir cihazı internete bağlamanın faydaları ve risklerini dikkatlice değerlendirin.”

Kaynak: Fast Company

İsrail'deki Negev Ben-Gurion Üniversitesi'nden bir grup araştırmacı, basit bir araştırmayla Nesnelerin İnterneti cihazlarının varsayılan kullanıcı adı ve şifrelerini bulup cihazları uzaktan kontrol etmeyi başardı. Araştırmanın öncüsü Yossi Oren ve ekibi, cihazların donanım kapasitelerini ele geçirerek bir bebek telsizinden yüksek sesle müzik çaldı, bir termostatı kapattı ve bir kamerayı açtı. Araştırma, internet bağlantılı cihazların teşkil ettiği tehditlere dikkat çekiyor.

1 Yorum

Yorum yazmak için tıklayın

Günlük Bülten

Dünya Halleri sitesine eklenen içeriklerden günlük e-posta bültenimiz aracılığıyla haberdar olmak isterseniz aşağıdaki forma adresinizi yazmanız yeterli.

Arama