İstanbul merkezli hacker’larla gerçekleştirdiğim ilk meet up etkinliğinde Nesnelerin İnterneti (Internet of Things) konusunu ele aldık. Değerlendirmemiz, ağırlıklı olarak güvenlik üzerineydi. Ele aldığımız tema, hayatımızı kolaylaştıracak birçok yenilik sunacağımıza inandığımız IoT’nin aynı zamanda hayatımızı nasıl kabusa çevirebileceği üzerindeydi. Genel değerlendirmede, hayatımızı ‘güzelleştirecek’ yeniliklerin sonuçları oldukça korkutucu risklerle beraber geldiğini söyleyebiliriz.
IoT ve Drone’ları konu alan meet up’ın ilk yazısında ve diğerlerinde, bana bilgi sağlayan kaynakların isimlerini belli firmalarda çalıştıkları için vermeyeceğim. Geleneksel kaynaklardan bağımsız kalarak hazırlayacağım haberlerde, her biri siber güvenliğin belli dallarında ve çeşitli teknoloji alanlarında uzman olan bu kişilerin görüşlerini kullanacağım.
Kahve makinesiyle başlayan yeniçağ
Apple Watch ile son günlerde tekrar aklımızda yer edine IoT, ilk olarak 1991 yılında Cambridge Üniversitesi’nde ortaya çıkmış bir kavram. Akademisyenler, çalıştıkları esnada yerlerinden kalkıp durmayı kesmek için kahve makinesinin doluluğunu oturdukları yerden kontrol edebilecekleri bir sistem geliştirmek istiyor. Bu aşamada başlayan çalışmalarla kahve makinesini yerel ağa bağlayarak kontrol etmeyi başarıyorlar.
Aradan geçen 20 yılı aşkın süreden sonra Iot’nin bize sunduğu gelecek akıllı arabalar, akıllı evler ve akıllı şebekeler vaat ediyor. Kısaca bir aklımızdan geçirdiğimizde her bir başlık bireysel ve toplumsal hayatı önemli ölçüde kalkındıracak yenilikler içeriyor. Akıllı asistanların kontrol ettiği otomobiller bir oturma, toplantı hatta yemek odasına dönecekken; akıllı evler vücut diliniz veya sesinizle her türlü işlemi yerine getirebilecek eşyalarla dolacak. Akıllı şebekeler ise kullanmadığınız enerjiyi depolayacak, böylece müthiş bir enerji tasarrufu sağlanacak.
Ancak madalyonun ‘güvenlik’ diye bağıran öteki yüzünde bambaşka bir tablo söz konusu.
Buzdolabım hack’lenirse…
Iot ile hayatımız nasıl olacağını anlamak için akıllı ev konseptini ele alabiliriz. Buzdolabınız, termostat, kombi, alarm saati, televizyon gibi eşyalarınızı içeren ‘ev ağınız’ akıllı saatinizle bağlantılı olacak. Buzdolabınız, yumurta azaldığı zaman sadece dijtal ekranı üzerinden değil, akıllı saatinize bildirim yaparak sizi uyaracak ve sipariş verecek. Bu durumda ev ağınızın kendi içinde bir kapalı kutu halinde olması, yani internete açık olmaması gerekiyor. Aksi takdirde, başınıza gelebilecekler bugün bilgisayarınızın hack’lenmesinden çok daha beter olabilir.
ABD’li bilim-kurgu bilim yazarı Philip K. Dick’in 1970’li yıllarda demiş olduğu bir söz, başınıza gelebileceklerin kısa bir özeti: “Telefonumu dinliyorlar yerine ‘telefon beni dinliyor’ dediğiniz bir gün gelecek.”
Daha iyi bir örnek için, akıllı TV’leri örnek alalım. Modeminizden çıkan Ethernet kablosu ile internete bağlayacağınız televizyon, sınırları dışına çıkmamanız gereken ‘ev ağını’ ateşe atabilir. Bugün bile yapılan casusluk yöntemleri kapsamında, kötü amaçlı yazılımla ele geçirilen TV ekran görüntüsü alabilir ve sizi dinleyebilir. İnternet üzerinden yapılabilecek bir saldırı, kolaylıkla fiziksel olarak da yapılabilir. Evinize gelen bir kişi cihazlarınızdan birine takacağı USB bellek ile casus yazılımı tüm ev ağına bulaştırabilir.
Tek bir cihazı etkileyecek olan virüs, diğer ev eşyalarıyla bağlantılı olacağı için tüm ağınızı ele geçirecektir. Fiziksel olmayan saldırılarda, interneti dağıtan modeme donanım yazılımı yüklenmesi, evinizden içten ele geçirilmesi anlamına geliyor. Bu durumda, kahve makinesi sesli komut verseniz bile kahvenizi hazırlamayabilir, buzdolabı 10 yerine 100 yumurta sipariş edebilir veya hacker siz uyurken ev sıcaklığını 40 dereceye çıkarabilir.
Hacker’ların bana verdiği bilgiler arasında, bazı elektronik üreticilerinin bilerek tüketiciyi dinlediği yönünde. Akıllı TV’ler, kaydettikleri sesleri firmanın Ar-Ge merkezine gönderiyor. Bu durum, Facebook’un geçtiğimiz yıl özür dilediği psikolojik deney gibi kullanıcılardan habersiz bilgi toplayarak karakter analizi yapabilmesine benziyor. Amaç, tüketici profilini en doğru şekilde çıkarmak ve ürünleri en doğru pazarlama yöntemleriyle sunmak denilebilir.
Risk evle sınırlı değil
Akıllı evinizin işgal edilmesini sağlayacak saldırılar temel olarak üç koldan gelebilir: USB, Wi-Fi ve Ethernet kablosu. Her üç şekilde bir cihazın ele geçirilmesi, kötü niyetli kişilerin çok ciddi tehditler doğurmasına ‘kapı açabilir.’
Risk tehdidi, akıllı evinizdeki her eşyanın akıllı telefonunuzla bağlantılı olmasıyla doğrudan artıyor. Akıllı telefonunuza sızılması, evdeki eşyalarınızın yanı sıra, kapı kilidinizin kontol edilmesini de sağlayabilir.
Akıllı telefonunuzla bağlantılı olan otomobil bilgisayarınız, yine aynı şekilde ele geçirilebilir. Pencereden giren esintinin eşliğinde telefonla konuşurken otomobilinizi ele geçiren hacker tarafından uçurumdan aşağı atılabilirsiniz.
Bireysel senaryolarda oldukça endişe verici olan tehditler, toplumsal boyutta fazlasıyla korkutucu bir hale gelebilir. Nükleer santraldeki bir kahve makinesinin ele geçirilmesiyle santralin bilgisayar ağına girilmesi, facialara neden olabilir.
Maalesef yüz milyonları geleneksel silahlarla öldürmek isteyen zihniyetin var olduğu dünyamızda, nükleer santralleri silah haline çevirmek isteyenlerin olacağını söylemek zor değil.
Güvenliği nasıl sağlayacağız?
‘Yeraltı internet’ üzerinden organize olan küresel siber suç sektörünün ne kadar geliştiği, 1 milyar doları bulan büyük banka vurgunuyla çok iyi anlaşıldı. IoT ise oturduğu yerden hacker’lara büyük miktarda para kazandıran sektörün en çok ilgi göstereceği yeniliklerden biri olacak.
Gartner verilerine göre, 2015’te internete bağlı cihaz sayısı 4,9 milyara ulaşacak. Bu sayı, 2020’de 13 milyarı aşacak. Bu da binlerce hacker’ın 10 ömrüne yetemeyecek kadar potansiyel hedef demek.
Yeraltındaki internette gezinen siber suçlular yeteneklerini sürekli geliştirirken, yeni teknolojilere sızma kabiliyetlerini önleyenler white hacker’lar ve güvenlik uzmanları olacak. En önemli faktör ise bireysel bilinçlilik.
Konuştuğum hacker’lar akıllı evlerin korunması için nihai çözümün, cihazların fiziksel olarak ayrı tutulması olarak belirtiyor. Kısaca, internete bağlı olmamanız gerekiyor.
Anti-virüsler veya güçlü şifreler güvenliğinizi sağlasa da, farkında olmadığınız her dakika aslında izleniyor olabilirsiniz. Hem de yasal olarak.
Küresel IoT haritası: Shodan
Sunucular, yönlendiriciler (router) ve bilgisayarlar için geliştirilen bir arama motoru olarak sunulduktan sonra IoT tarama platformuna dönüşen Shodan, bugün ‘hacker’ların Google’ı olarak tanımlanıyor. Açılımı Sentient Hyper-Optimized Data Access Network olan Shodan, internete bağlı tüm akıllı cihazları tarayarak bulabilme özelliğine sahip.
Yani, siz hiç farkında olmasanız bile internete bağlı akıllı TV’nizin modelinden yer aldığı ağın bilgileri dünyanın dört bir yanındaki kişiler tarafından görülebilir. Shodan’ın çalışma prensibine karşı bir düzenleme bulunmadığı için IoT cihazlarına ait bilgilerin sunulması da tamamen yasal.
Güvenlik uzmanlarının henüz 2010 yılında alarm vermesini sağlayan Shodan, SCADA sistemleri dahil olmak üzere dünyanın dört bir yanındaki sayısız cihazı ve kullanıcısını hedef alabilecek hacker’lara çok kritik bilgi sunuyor. Geliştirilen Scanhub adlı yeni arama aracı da önemli bilgilere erişim yeteneğini artırıyor.
ICS-CERT (Sanayi Kontrol Sistemleri Siber Acil Müdahale Ekibi) tarafından 2010’da hazırlanan rapora göre, Shodan SCADA sistemlerindeki denetleme mekanizmalarını uzaktan kontrol etmek için başvurulacak ilk araçlardan biri.
ICS-CERT, oluşan risk karşısında tüm sistemlerin güvenlik duvarıyla korunması ve üçüncü partilerin denetimlerinin güçlendirilmesi gibi birçok önlem alınması gerektiğini belirtiyor.
IoT ile sadece büyük firmaları değil, milyarlarca bireyi hedef alabilecek saldırılara karşı gözümüzü sürekli açık tutmamız gerekiyor.
White hacker’lar, güvenlik konusunda bilgi alınması için Web Güvenlik Topluluğu’nu (OWASP) tavsiye ediyor. Yazılım tabanlı siber güvenlik konularını çok yakından takip eden OWASP, en ciddi tehditleri takip ediyor ve haklarında bilgi sunuyor.
Firmalar ne kadar güvenilir?
IoT’nin hayatımızda nasıl bir yer tutacağına dair ilk güçlü sinyalleri veren ürün, Apple Watch.
Saatin özelliklerinden bir tanesi, kullanıcısını saatlerce oturduğu takdirde ‘ayağa kalk’ diye uyarması. Sadece bu bilgi, artık tarayıcılardan değil, kalp atışlarımızdan bizi okumaya başlayacak firmaların ne yaptığımızdan tamamen haber olduğunu gösteren küçük bir örnek. Tek bir bilgi, günde ortalama kaç saat ofiste olduğumuzu, yediklerimizin kalp atışlarımızı nasıl değiştirdiğini, ne kadar yürüdüğümüzü ve spor yaptığımızı gösterecek.
Biraz daha detaylı bakarsak, günde işten eve veya her gün uğradığımız bir dükkandan kaç dakikada yürüdüğümüz, eve ne zaman vardığımız ve kolesterol ağırlığı bakımından nasıl bir yemek yediğimiz belli olacak.
Akıllı evlerimizde görev yapacak Google Nest ürünleri, yangın alarmından termostata kadar birçok bilgiyi toplayacak. Dahası, kullanacağımız güvenlik kameralarıyla evleri gözetleyecek.
Apple, 9 Mart’ta düzenlenen ve Apple Watch ile MacBook’un tanıtıldığı gecede ‘toplanan bilgilere bakmayacaklarına ve NSA ile paylaşılmayacağını’ doğrudan küresel pazarlama müdürü Phil Schiller’ın ağzından söyledi.
Schiller, iPhone ve Apple Watch ile geliştirilen ve astım, kanser, şeker hastalığı, kalp rahatsızlığı ve Parkinson ile mücadele kapsamında kullanılacak ResearchKit’in ‘kullanıcı mahremiyetini ihlal etmeyeceğini’ söyledi.
Google, Apple veya Facebook olsun, verilen vaatlere inanmak kolay değil. Ancak bu kullanıcıların hacker’lardan bağımsız düşünmesi gereken ayrı bir boyut. Kısaca, sarılmış durumdayız.