Kahve makineniz veya bebek monitörünüz bile güvenlik tehdidi oluşturabilir

1447141963_Kaspersky_Internet_of_Things_fnl_notext_1En yeni Nesnelerin İnterneti (IoT) ürünleri arasında rastgele bir seçim yapan Kaspersky Lab araştırmacıları, bağlantılı evler için ciddi tehditler keşfetti. Bunlar arasında ev sahibinin Wi-Fi şifresini teşhir eden bir kahve makinesi, kötü niyetli bir üçüncü tarafın kontrol edebildiği bir bebek videosu monitörü ve bir mıknatısla yönetilebilen ve bir akıllı telefonla kontrol edilebilen bir ev güvenlik sistemi yer alıyor.

2014 yılında Kaspersky Lab’ın güvenlik uzmanı David Jacoby, oturma odasına bir göz attı ve sahip olduğu cihazların siber saldırıya ne kadar açık olduğunu araştırmaya karar verdi. Cihazların neredeyse tamamının saldırıya açık olduğunu keşfetti. Bunun ardından 2015 yılında Kaspersky Lab zararlı yazılım önleme uzmanlarından oluşan bir ekip, bu deneyi küçük bir farkla tekrarladı: David’in araştırması çoğunlukla ağa bağlı sunucular, yönlendiriciler ve Akıllı TV’ler üzerine yoğunlaşırken, bu son araştırma, akıllı ev piyasasında mevcut olan çeşitli bağlantılı cihazlara odaklandı.

Deney için seçilen cihazlar aşağıdaki şekildeydi: video akışı için bir USB donanım kilidi, akıllı telefonla kontrol edilen bir IP kamerası, akıllı telefonla kontrol edilen bir kahve makinesi ve akıllı telefonla kontrol edilen bir ev güvenlik sistemi. Araştırma, bu cihazların neredeyse tamamının zayıf noktalar içerdiğini keşfetti.

Deneyde yer alan bir bebek monitörü kamerası, kameranın sahibiyle aynı ağı kullanan bir bilgisayar korsanının kameraya bağlanmasına, buradan videoyu izlemesine ve kamera üzerinde ses dosyası çalıştırmasına izin verdi. Aynı satıcıdan alınan diğer kameralar da bilgisayar korsanlarının cihaz sahiplerinin şifrelerini toplamasına imkan verdi ve deney, aynı ağ üzerindeki bir bilgisayar korsanının kameradan kök parolayı almasının ve kameranın bellenimini kötü niyetle değiştirmesinin mümkün olduğunu gösterdi.

Uygulamalar tarafından kontrol edilen kahve makineleri söz konusu olduğunda ise, bir saldırganın kurban ile aynı ağ üzerinde olmasına bile gerek yok. Deney sırasında incelenen kahve makinesi, bir saldırganın kahve makinesinin sahibinin bütün Wi-Fi ağı parolasını bulması için yeterli şifresiz bilgiyi gönderiyordu.

Akıllı telefonla kontrol edilen ev güvenlik sistemine bakıldığında ise, Kaspersky Lab araştırmacıları sistemin yazılımının sadece küçük sorunlarının olduğunu ve bir siber saldırıya dayanabilecek kadar güvenli olduğunu gördü. Buna karşılık zayıf nokta, sistem tarafından kullanılan sensörlerden birinde bulundu.

Bir kapı ya da pencere açıldığı zaman alarmı harekete geçirmek için tasarlanan temas sensörü, kapıya ya da pencereye monte edilen bir mıknatıs tarafından yayılan manyetik bir alanın tespit edilmesiyle çalışır. Kapı ya da pencere açıldığı zaman, manyetik alan kaybolur, bu da sensörün sisteme alarm mesajları göndermesine neden olur. Ancak manyetik alan yerinde durursa, hiçbir alarm gönderilmez.

Ev güvenliği sistemi deneyi esnasında Kaspersky Lab uzmanları, pencere üzerindeki mıknatısın manyetik alanını değiştirmek için basit bir mıknatıs kullanabildi. Bu da alarmı harekete geçirmeden bir pencereyi açıp kapatabildikleri anlamına geliyordu. Bu zayıf noktayla ilgili büyük sorun, bunun bir yazılım güncellemesiyle giderilmesinin imkansız olması; sorun, ev güvenlik sisteminin kendisinin tasarımından kaynaklanıyor. Daha da endişe verici olan ise, manyetik alan sensörü tabanlı cihazların, piyasadaki pek çok ev güvenlik sistemi tarafından kullanılan yaygın bir sensör türü olması.

Kaspersky Lab Güvenlik Araştırmacısı Victor Alyushin, «Deneyimizin satıcıların IoT cihazlarını geliştirirken siber güvenliği göz önünde bulundurduğunu göstermesi bizi rahatlatıyor. Ancak bağlantılı ve bir uygulama tarafından kontrol edilen her cihazın en azından bir güvenlik sorunu olacağı neredeyse kesin. Suçlular, tek seferde bu sorunların pek çoğunu istismar edebiliyor, bu nedenle satıcıların kritik olmayanlar da dahil olmak üzere bütün sorunları çözmesi çok önemli. Bu zayıf noktalar, ürün henüz piyasaya girmeden çözülmeli çünkü bir cihaz binlerce ev sahibine satıldıktan sonra bir sorunu çözmek çok daha zor olabilir,» şeklinde konuştu.

Kullanıcıların yaşamlarını ve sevdiklerini saldırılara açık akıllı ev IoT cihazlarının risklerinden korumasına yardımcı olmak için, Kaspersky Lab uzmanları birkaç basit kurala uymalarını tavsiye ediyor:

1. Herhangi bir IoT cihazını satın almadan önce, internette bu cihazın zayıf noktalarına ilişkin haberler olup olmadığını araştırın. IoT, çok sıcak bir gündem maddesi ve pek çok araştırmacı, bebek monitörlerinden uygulama kontrollü tüfeklere kadar bu tür ürünlerdeki güvenlik sorunlarını bulmak konusunda harika bir iş çıkarıyor. Satın alacağınız cihazın halihazırda güvenlik araştırmacıları tarafından incelenmiş olması gayet olası ve cihazda bulunan sorunların giderilip giderilmediğini anlamak mümkün.

2. Piyasaya sürülen en yeni ürünleri satın almak her zaman iyi bir fikir değildir. Yeni ürünlerde bulunan standart hataların yanı sıra, yeni piyasaya sürülen cihazlar, güvenlik araştırmacılarının henüz keşfetmediği güvenlik sorunları içeriyor olabilir. Burada en iyi tavsiye, halihazırda birkaç yazılım güncellemesi geçirmiş ürünleri satın almaktır.

3. Yaşamınızın hangi kısmını biraz daha akıllı hale getireceğinizi seçerken, güvenlik risklerini göz önünde bulundurun. Eğer evinizde maddi değeri olan pek çok eşya saklıyorsanız, uygulamayla kontrol edilen mevcut ev alarm sisteminizi değiştirebilen ya da tamamlayabilen profesyonel bir alarm sistemi seçmek ya da mevcut sistemi potansiyel zayıf noktaların çalışmasını etkilemeyecek şekilde ayarlamak muhtemelen iyi bir fikir olacaktır. Bir bebek monitörü gibi kişisel yaşamınız ve aile üyelerinizin yaşamları konusunda bilgi toplayacak bir araç seçerken, internet bağlantısı olmayan ve sadece bir ses sinyali iletebilen, piyasadaki basit bir RF modelini seçmek akıllıca olabilir. Bu seçenek mümkün değilse, ilk tavsiyemizi dinleyin ve akıllıca bir seçim yapın.

Yayınlayan

Atif Unaldi

Setting up the BBS system enabling the communication of two persons over telephone lines when he was a student at the Physics Department at the Bosphorus University, Atıf Unaldı established the first Internet connection in Turkey. He achieved a “first of its kind” type project again in Turkey by making an Internet and information program at Radio D (Radio Club) named “Farenin Kuyrugu” (The Tail of the Mouse) between 1992-1994. In 1994, he prepared, presented and produced a nightly live show,”RadyoNet”, appearing five weekdays on Kanal D. This was the first program consisted of live computer pictures from beginning to end. Atıf Unaldı was the General Director of the first Internet server in Turkey, Anadolu.Net, between 1994-1996. Being the supervisor of the World Air Games I in 1996 and 1997, he registered the sportsmen into the games over the Internet and Intranet. In 1998, he also became the Internet supervisor of the Sabah Group, and worked as a consultant in the project to sell Sabah Kitapları (Sabah Books) over the Internet. In the same year, he continued to write at his column (Yeni Ufuklar-New Horizons) in the .Net magazine, which was a publication of the Milliyet Group. In 1999, he was appointed as the webmaster in Ihlas.Net, and he also designed and administered it. In the very same year, he wrote at a column in an IT magazine, Pcweek of the Sabah Group. In the meantime, founding a web-design company, Artmedya, Unaldı prepared an Internet magazine talk show program for BRT, GeceNet, which he presented with Romina Ozipekci. Later, continuing to write in his column in the magazine, Canteen of the Aksam Group, Atıf Unaldı gave web-design lectures in the Ceramic Department of the IU. Leaving his position in Canteen upon the establishment of the Interporbil Group, Unaldı has been a columnist in the economy magazine, EkoTimes. At the moment, Atıf Unaldı is the columnist in the Computerlife magazine. He has been also a columnist in Finansal Forum newspaper every Wednesday. Being the brand consultant of Buybye.com, Unaldi produced and presented a programme, TRON, in Technology Channel. As of December 2004, becoming the IT Director of Star Media Group, Unaldi carried out the editorship of STARTEK supplement of Star newspaper. Currently being the Internet Director of Kanal D and Star Tv, Unaldi also produces the Technorock programme in Rock Fm. Being one of the founders of the group called Sitebuilders supported by Microsoft, Unaldı has been organising conferences, seminars and panels concerning “Web-design”, “mobile Internet”, “e-trade” and “advertisement in the Internet” with the group. The group has been successfully providing the persons and organisations with its free educational studies. Published Books 2006 Netizen ( Internet Dictionary ) The contests he participated as a juryman: 2002 - Altın Örümcek Web Contest 2003 - Altın Örümcek Web Contest 2004 - Grafi2000 Flash Animation Contest 2004 - Altın Örümcek Web Contest 2005 - Altın Örümcek Web Contest 2006 - Web Marketing Assotion - Web Awards His published articles: The Structuring of the Internet in the Information Society of Turkey, Yeni Turkiye Dergisi (The New Turkey Magazine), March 1998 Web-design criteria, Yıldız Technical University Publication, 1994 Conferences, Seminars and Professional Activites: 1999 - Informing the sitebuilders and e-trade and web-design seminars in Microsoft headquarters (Istanbul) 1999 - Web-design, e-trade, Media Technologies seminars within Microsoft (Ankara, Istanbul, Izmir, Konya, Antalya) 2000 - e-trade seminars within Kosgeb (Ankara) 2000 - e-trade seminars in the Fatih University (Ankara) 2000 - The Bilgi University Internet seminars (Speakers: Microsoft Turkey General Director Sureyya Ciliv, Atıf Unaldı) 2000 - Within the framework of the IT 2000 activities, e-trade and web design seminars (Istanbul) 2003 - PRCI Turkiye (Istanbul) 2003 - Wireless Forum ( İstanbul) 2003 - ODTU ( Ankara ) 2003 - Mobiliz.biz ( İstanbul ) 2004 - PRCI ( İstanbul) The softwares he translated: 1996 - Windows Commander 2000 - Babylon Internet Dictionary 2002 - Sitepublisher Softwares: 1992 - The installation of two radio automation systems (Radyo Kulup and Radyo C) (1995) 1994 - The software of two computer programs (Crossword and Puzzle) which were played with the participation of the television audience at Kanal 6 television. 1996 - The Turkish version of a program called Windows Commander 1998 - A computer software enabling the automation of the TV advertisement department The organisations he is the member of: WSP (Web Standards Project) A global organisation Sitebuilders Microsoft ASP Guilt A world organisation Isoc (Internet Society) A world organisation Mobiliz.biz Mobile Advertising Platform CehTURK