En yeni Nesnelerin İnterneti (IoT) ürünleri arasında rastgele bir seçim yapan Kaspersky Lab araştırmacıları, bağlantılı evler için ciddi tehditler keşfetti. Bunlar arasında ev sahibinin Wi-Fi şifresini teşhir eden bir kahve makinesi, kötü niyetli bir üçüncü tarafın kontrol edebildiği bir bebek videosu monitörü ve bir mıknatısla yönetilebilen ve bir akıllı telefonla kontrol edilebilen bir ev güvenlik sistemi yer alıyor.
2014 yılında Kaspersky Lab’ın güvenlik uzmanı David Jacoby, oturma odasına bir göz attı ve sahip olduğu cihazların siber saldırıya ne kadar açık olduğunu araştırmaya karar verdi. Cihazların neredeyse tamamının saldırıya açık olduğunu keşfetti. Bunun ardından 2015 yılında Kaspersky Lab zararlı yazılım önleme uzmanlarından oluşan bir ekip, bu deneyi küçük bir farkla tekrarladı: David’in araştırması çoğunlukla ağa bağlı sunucular, yönlendiriciler ve Akıllı TV’ler üzerine yoğunlaşırken, bu son araştırma, akıllı ev piyasasında mevcut olan çeşitli bağlantılı cihazlara odaklandı.
Deney için seçilen cihazlar aşağıdaki şekildeydi: video akışı için bir USB donanım kilidi, akıllı telefonla kontrol edilen bir IP kamerası, akıllı telefonla kontrol edilen bir kahve makinesi ve akıllı telefonla kontrol edilen bir ev güvenlik sistemi. Araştırma, bu cihazların neredeyse tamamının zayıf noktalar içerdiğini keşfetti.
Deneyde yer alan bir bebek monitörü kamerası, kameranın sahibiyle aynı ağı kullanan bir bilgisayar korsanının kameraya bağlanmasına, buradan videoyu izlemesine ve kamera üzerinde ses dosyası çalıştırmasına izin verdi. Aynı satıcıdan alınan diğer kameralar da bilgisayar korsanlarının cihaz sahiplerinin şifrelerini toplamasına imkan verdi ve deney, aynı ağ üzerindeki bir bilgisayar korsanının kameradan kök parolayı almasının ve kameranın bellenimini kötü niyetle değiştirmesinin mümkün olduğunu gösterdi.
Uygulamalar tarafından kontrol edilen kahve makineleri söz konusu olduğunda ise, bir saldırganın kurban ile aynı ağ üzerinde olmasına bile gerek yok. Deney sırasında incelenen kahve makinesi, bir saldırganın kahve makinesinin sahibinin bütün Wi-Fi ağı parolasını bulması için yeterli şifresiz bilgiyi gönderiyordu.
Akıllı telefonla kontrol edilen ev güvenlik sistemine bakıldığında ise, Kaspersky Lab araştırmacıları sistemin yazılımının sadece küçük sorunlarının olduğunu ve bir siber saldırıya dayanabilecek kadar güvenli olduğunu gördü. Buna karşılık zayıf nokta, sistem tarafından kullanılan sensörlerden birinde bulundu.
Bir kapı ya da pencere açıldığı zaman alarmı harekete geçirmek için tasarlanan temas sensörü, kapıya ya da pencereye monte edilen bir mıknatıs tarafından yayılan manyetik bir alanın tespit edilmesiyle çalışır. Kapı ya da pencere açıldığı zaman, manyetik alan kaybolur, bu da sensörün sisteme alarm mesajları göndermesine neden olur. Ancak manyetik alan yerinde durursa, hiçbir alarm gönderilmez.
Ev güvenliği sistemi deneyi esnasında Kaspersky Lab uzmanları, pencere üzerindeki mıknatısın manyetik alanını değiştirmek için basit bir mıknatıs kullanabildi. Bu da alarmı harekete geçirmeden bir pencereyi açıp kapatabildikleri anlamına geliyordu. Bu zayıf noktayla ilgili büyük sorun, bunun bir yazılım güncellemesiyle giderilmesinin imkansız olması; sorun, ev güvenlik sisteminin kendisinin tasarımından kaynaklanıyor. Daha da endişe verici olan ise, manyetik alan sensörü tabanlı cihazların, piyasadaki pek çok ev güvenlik sistemi tarafından kullanılan yaygın bir sensör türü olması.
Kaspersky Lab Güvenlik Araştırmacısı Victor Alyushin, «Deneyimizin satıcıların IoT cihazlarını geliştirirken siber güvenliği göz önünde bulundurduğunu göstermesi bizi rahatlatıyor. Ancak bağlantılı ve bir uygulama tarafından kontrol edilen her cihazın en azından bir güvenlik sorunu olacağı neredeyse kesin. Suçlular, tek seferde bu sorunların pek çoğunu istismar edebiliyor, bu nedenle satıcıların kritik olmayanlar da dahil olmak üzere bütün sorunları çözmesi çok önemli. Bu zayıf noktalar, ürün henüz piyasaya girmeden çözülmeli çünkü bir cihaz binlerce ev sahibine satıldıktan sonra bir sorunu çözmek çok daha zor olabilir,» şeklinde konuştu.
Kullanıcıların yaşamlarını ve sevdiklerini saldırılara açık akıllı ev IoT cihazlarının risklerinden korumasına yardımcı olmak için, Kaspersky Lab uzmanları birkaç basit kurala uymalarını tavsiye ediyor:
- Herhangi bir IoT cihazını satın almadan önce, internette bu cihazın zayıf noktalarına ilişkin haberler olup olmadığını araştırın. IoT, çok sıcak bir gündem maddesi ve pek çok araştırmacı, bebek monitörlerinden uygulama kontrollü tüfeklere kadar bu tür ürünlerdeki güvenlik sorunlarını bulmak konusunda harika bir iş çıkarıyor. Satın alacağınız cihazın halihazırda güvenlik araştırmacıları tarafından incelenmiş olması gayet olası ve cihazda bulunan sorunların giderilip giderilmediğini anlamak mümkün.
- Piyasaya sürülen en yeni ürünleri satın almak her zaman iyi bir fikir değildir. Yeni ürünlerde bulunan standart hataların yanı sıra, yeni piyasaya sürülen cihazlar, güvenlik araştırmacılarının henüz keşfetmediği güvenlik sorunları içeriyor olabilir. Burada en iyi tavsiye, halihazırda birkaç yazılım güncellemesi geçirmiş ürünleri satın almaktır.
- Yaşamınızın hangi kısmını biraz daha akıllı hale getireceğinizi seçerken, güvenlik risklerini göz önünde bulundurun. Eğer evinizde maddi değeri olan pek çok eşya saklıyorsanız, uygulamayla kontrol edilen mevcut ev alarm sisteminizi değiştirebilen ya da tamamlayabilen profesyonel bir alarm sistemi seçmek ya da mevcut sistemi potansiyel zayıf noktaların çalışmasını etkilemeyecek şekilde ayarlamak muhtemelen iyi bir fikir olacaktır. Bir bebek monitörü gibi kişisel yaşamınız ve aile üyelerinizin yaşamları konusunda bilgi toplayacak bir araç seçerken, internet bağlantısı olmayan ve sadece bir ses sinyali iletebilen, piyasadaki basit bir RF modelini seçmek akıllıca olabilir. Bu seçenek mümkün değilse, ilk tavsiyemizi dinleyin ve akıllıca bir seçim yapın.
“IoT dünyasında hayatta kalmak: Akıllı Cihazları Kullanırken Bilgisayar Korsanlarından Nasıl Korunabilirsiniz?” makalesinin tamamını Securelist.com’da okuyun.
Son Yorumlar