Akıllı cihazlar bir süredir evlerimizde kendine yer buluyor. Akıllı telefonunuzu kullanarak evinizdeki cihazları kontrol etmek büyük kolaylık olabilir ancak daha önce bugüne kadar hacklenmiş pek çok cihaz rapor edilmiş durumda. Mantığa aykırı olarak, bizi güvende tutması ve hayatımızı kolaylaştırması için edindiğimiz araçlar bizi tehlikeye sokabilir.
Rakamlar da bu trendi somutlaştırıyor: Teknoloji araştırma ve danışmanlık şirketi Gartner'a göre akıllı cihazların sayısı 2019 yılında 14.2 milyar iken 2022 yılına kadar 25 milyara ulaşacak. Bütün bu cihazlar IoT (Internet of Things / Nesnelerin İnterneti) dediğimiz devasa bir ağın parçası olacak.
Ampullerden termostatlara; kapı zillerinden bulaşık makinelerine ve hatta ön kapı kilit sistemine kadar her şey artık internete bağlı akıllı cihazlar olarak tasarlanabiliyor. Yavaş yavaş tüm cihazların potansiyel olarak birbirlerine bağlanabileceği bir geleceğe geçiş yaparken bu değişimin avantajlarını benimsemeye ve aynı zamanda riskleriyle yüzleşmeye hazırlıklı olmalıyız.
‘Standart’ bilgisayar korsanlığının aksine, IoT cihazlarının hackerlar (siber saldırganlar) tarafından hacklenmesi (ele geçirilmesi) fiziksel hasara neden olabilir hatta bazen hayatımızı tehdit edebilir, korsanlar kişisel verilerimizi ele geçirebilir.
Tek bir ampul, hackerların Wi-Fi bilgilerine tam erişimine neden olabilir
LimitedResults adını kullanan bir hackerın, Wi-Fi bağlantılı akıllı ışıklar üreten bir şirket olan LIFX'ten bir ampulü nasıl hacklemeyi başardığını inceleyelim. Hacker, çaldığı diğer verilerin yanı sıra ampul sahibinin Wi-Fi giriş bilgilerini ve şifresini bir saatten kısa bir sürede elde etmeyi başardı.
LIFX’ın ürettiği ampul, bir akıllı telefon uygulaması aracılığıyla kontrol edilebiliyordu ve hacker’ın söylediğine göre, o sırada ampulün içinde bulunan zayıf (veya tamamen işlevsiz) güvenlik önlemleri, onun bu cihaza erişmesini mümkün kıldı.
Hacker, Amazon'dan bu ampullerden birini satın alıp onu açmak ve ana çipine erişmek için bir el testeresi kullanmış. Ardından ampulün çipini, bir USB bağlantı noktası kullanılarak ampulün donanımına erişim izin veren başka bir çipe bağlamış.
Wi-Fi kullanıcısı ve parolası, ampulün belleğinde düz metin olarak saklanan kullanıcı bilgilerini çalan hacker ayrıca şifreleme anahtarını da çıkarmayı başarmış. Ayrıca cihazın hiçbir güvenlik önlemi almadığını da keşfetmiş yani herkes bu cihazı kontrol edip hafızasına veri yazabiliyordu.
LIFX bu güvenlik açıkları hakkında bilgilendirildi ve bunları düzelttiklerini iddia etti.
İşler çok daha kötüye gidebilir
Yukarıda bahsettiğimiz olay, bir saldırganın neler yapabileceğinin sadece bir örneğidir ancak işler çok daha ciddi olabilir.
Tarihin en kötü IoT saldırılarından biri, 2016 yılının Ekim ayında, dünyanın DNS altyapısının çoğunu kontrol eden Dyn şirketinin Mirai botnet tarafından saldırıya uğramasıyla gerçekleşti. Botnet ne demektir? Botnetler birçok yazılım ajan programından oluşur ve her yazılım ajan programı uzaktan kontrol edilir. Botnetler hacker tarafından ele geçirilen yüzlerce bilgisayarlardan oluşur ve belli bir hedefe saldırmak için kullanılır. Bu saldırı sonrası Twitter, Guardian, Netflix, Reddit, ve CNN gibi birçok şirketin web sitesi karardı.
Mirai, genellikle bilgisayarlardan oluşan diğer botnetlerden farklıydı. Mirai, bilgisayarlar yerine çoğunlukla dijital kameralar ve DVR oynatıcılar gibi IoT cihazlarından oluşuyordu.
Bu saldırı nasıl mı çalıştı? Bir bilgisayara Mirai bulaştıktan sonra, o bilgisayar savunmasız IoT cihazları için internette sürekli tarama yaptı; oturum açmak için varsayılan kullanıcı adlarını ve şifreleri kullanılan cihazlara bu kötü amaçlı yazılım bulaştı. Bu, zincir halinde yayıldı; Ekim 2016 saldırısında 100 bin cihazın etkilendiği tahmin ediliyor.
Çocuk oyuncakları üzerinden saldırı
Şubat 2017'de Spiral Toys tarafından üretilen akıllı oyuncakların hacklenmesiyle çocukların ses kayıtları ve kişisel bilgilerinin ifşa olmasına sebep olan rahatsız edici bir olay yaşandı. 800 binden fazla kullanıcının güvenliği ihlal edildi. Elde edilen veriler bu kullanıcıların e-posta adreslerini ve şifreleri içeriyordu. Sızan bilgiler, herhangi bir şifre gerektirmeden herkesin kolayca erişebileceği internet üzerindeki forumlarda veri tabanı olarak paylaşıldı.
2019'un başında ise bir ev sahibi, akıllı kameralarının ve termostatının saldırıya uğradığını bildirdi. Bebeğinin odasına yaklaştığında, birisinin çocukla derin bir sesle konuştuğunu duydu; karısı da termostatın 32.2 °C’ye çıkarıldığını fark etti. Tam oğlunu oturma odasına getirirken, akıllı kamera otomatik olarak açıldı ve biri onlara küfür etmeye başladı. Bu cihazların tümü, şu anda Google'a ait olan Nest markası tarafından üretilmişti. Şirket, sistemlerinin hacklenmediğini söyledi ve müşterileri ‘başka web sitelerinde ihlallere maruz kalan güvenliği ihlal edilmiş şifreler’ kullanmakla suçladı.
Bir Black Mirror bölümünde gibi hissetmeye başladınız mı?
Konu güvenlik olduğunda IoT şirketleri daha iyisini yapabilir
Bu örneklerden sonra çoğunuzun aklına şu soru gelmiş olmalı: Peki bu akıllı ürünlerin güvenlik mekanizmaları hiç yok mu?
Tanınmış üreticilerin birçok aygıtında zaten yerleşik güvenlik önlemleri bulunur ancak bunların size tam koruma sağlayıp sağlayamayacaklarından asla emin olamazsınız. Ayrıca, daha az popüler markalar ve start-up'lar tarafından üretilen cihazlar, teknik bilgiden yoksun olabilir veya güvenliğe ayrılan bütçeleri sınırlı kalabilir.
Üreticilerin önlem alması gerektiği esastır ancak maalesef birçok IoT cihazı güvenlik önlemleri düşünülerek üretilmiyor. Ürün tamamlandığında ve piyasaya sürülmeye hazır olduğunda güvenlik önlemlerini düşünmeye başlamak yerine ürün tasarımının ilk aşamalarından itibaren güvenlik sorunlarının ele alınması gerekiyor.
IoT şirketlerinin sağlam güvenlik temelleri olması için ürünlerinin geliştirilmesine güvenli kodlama standartları ve sızma testi uygulamalarını dahil etmesi gerekir. Dahası, yazılım güvenlik yamalarının satıcılar tarafından sürekli olarak sağlanması ve uygulanması gerekir.
Ne yazık ki, çoğu IoT üreticisi, önce kâr sonra güvenlik zihniyetiyle çalışıyor, maliyetleri ve pazarlama süresini mümkün olduğunca azaltmaya odaklanıyor. Bu nedenle, akıllı ev cihazlarınızı seçerken biraz şüpheci davranmak uzun vadede sizin için faydalı olacaktır.
Akıllı evinizi nasıl korursunuz?
“Bu durumda ne yapmalıyız, akıllı evlerin konforundan uzak mı duralım?” diyorsanız cevabımız “Hayır, yeter ki gerekli önlemleri alın” demek olur. İstatistikler, yepyeni akıllı ev cihazınızı kurduktan sonra saldırıya uğramanızın beş dakikadan daha kısa sürebileceğini gösteriyor.
İşte mümkün olduğunca güvende kalmak için yapabilecekleriniz:
1. Akıllı ev cihazı satın almadan önce araştırmanızı yapın.
Yatırım yapmayı planladığınız cihazın özellikle güvenlik açısından iyi bir seçim olup olmadığını belirlemek zor olabilir. Akıllı ev cihazları için araştırma yaparken olasılıklar sonsuz görünebilir ve nereden başlayacağınızı bilemezsiniz.
Ama karşınıza çıkan ilk şeyi satın almadığınızdan emin olun. İncelemelere bakın, şirketin herhangi bir güvenlik olayına karışıp karışmadığını bulmaya çalışın ve bu olaylara nasıl tepki verdiklerini inceleyin.
Mutlaka bu soruların peşine düşün:
2. IoT cihazlarınızın varsayılan kullanıcı adını ve şifresini değiştirin.
Tahminlere göre IoT cihaz sahiplerinin yüzde 15’i varsayılan kullanıcı isimleri ve şifrelerini değiştirmiyor.
Bu kullanım kılavuzunda listelenen aynı parolaya sahip oldukları için milyonlarca aygıtın saldırıya açık olacağı anlamına geliyor. Botnet oluşturmak isteyen hackerlar, çok sık kullanılan parolaları bir liste halinde sırayla art arda deneyerek bir kaba kuvvet saldırısı yaparak IoT cihazlarına girmeyi ve ele geçirmeyi deniyor.
Bu tür bir saldırının parçası olmayı önlemek için kimlik bilgilerinizi değiştirdiğinizden emin olun, güvenli şifreleri tercih edin.
3. Eğer varsa, akıllı merkezinizi (hub) güvende tutun
Bazı kullanıcılar, tüm akıllı ev cihazlarını kontrol etmek için merkezi bir nokta olan akıllı panelleri tercih edebiliyor. Ancak akıllı bir panelin hacklenmesi, bu panele bağlı tüm cihazlara erişebileceği anlamına gelir. Sonrasında bu hacker hem verilerinizi çalabilir hem de cihazlarınıza veya size doğrudan zarar verebilir. Bu yöntemi tercih ediyorsanız, merkezi güvende tutmanız çok önemli.
4. Güvenlik güncellemelerini akıllı ev cihazlarınıza hemen yükleyin
İdeal olarak, yazılım yamaları IoT satıcıları tarafından otomatik olarak yüklenmelidir. Ancak, cihazlarınızı kendiniz güncellemeniz gerekiyorsa, bu işlemi ertelemeyin. Eski yazılımlarda olabilecek açıklar cihazlarınızı saldırılara açık hale getirebilir.
5. Cihazlarınız izin veriyorsa biyometrik ya da iki aşamalı doğrulama kullanın
İki aşamalı ve biyometrik kimlik doğrulama yöntemleri, ekstra güvenlik katmanları sağlayan güvenilir seçeneklerdir. İhmal etmeyin.
6. Kablosuz (Wi-Fi) ağınızın güvenliğini sağlayın
Kablosuz ağınız, akıllı evinizdeki davetsiz misafirlere açılan kapı olabilir. Buna hem Wi-Fi erişim şifrenizi hem de yönetim paneli giriş bilgilerinizi değiştirerek başlayabilirsiniz.
İnternete bağlı her cihaz, sisteminizde olası bir güvenlik açığını temsil eder. Saldırganlar hiçbir fırsatta cihazlarınıza ve verilerinize müdahale etme şansını kaçırmayacaktır. Bu nedenle hem IoT üreticileri hem de tüketiciler için siber güvenlik tehditlerinden haberdar olmak ve ellerinden gelenin en iyisini yapmak kritik önem taşıyor.
Kaynak: https://heimdalsecurity.com/blog/smart-home-vulnerable-hacking/
dijitalguvenlikplatformu.aksigorta.com.tr online deneyiminizi geliştirerek sizlere daha iyi hizmet sunabilmek için çerez kullanır. Sitemizi ziyaret ederek çerez kullanımına onay vermiş kabul edilirsiniz. Çerezler hakkında daha detaylı bilgi almak ve çerez tercihlerinizi nasıl değiştirebileceğinizi öğrenmek için AKSİGORTA Gizlilik Sözleşmesi'ni inceleyebilirsiniz.
TAMAM