IoT cihazları neredeyse hayatın her alanında yer bulmaya başladı. Ev temizliğinden spor ekipmanlarına kadar kullandığımız tüketici elektroniği cihazları günlük rutinlerimizde bize eşlik ederken, karmaşık IoT altyapıları fabrikalar ve şehirler, teletıp, ulaşım, lojistik gibi sektörlerde farklı amaçlarla aktif olarak kullanılıyor. Cihazların sayısı ve çeşitliliği, IoT’nin siber suçlular tarafından cazip olabilecek çok çeşitli verileri işlemesi anlamına geliyor. Kaspersky güvenlik elçisi Vladimir Dashchenko, IoT güvenliği ve bununla ilgili zorluklar hakkında kafa yoruyor.
‘IoT partisi’nin ilk kez 1990 yılında Amerikalı bilgisayar bilimcisi John Romkey’in tost makinesini internete bağlamasıyla başladığına inanılıyor. O zamandan beri IoT kavramı gelişti ve yerleşik Wi-Fi ve 4G/5G ağlarına bağlanabilen cihazlar daha küçük, güçlü ve ucuza üretilebilir hale geldi. Ancak 2016’da ilk büyük siber olay meydana geldiğinde, IoT partisini korkunç bir akşamdan kalma baş ağrısı izledi.
Mirai, IoT siber güvenliğinde geri dönüşü olmayan bir noktayı işaretledi
O tarihte Mirai kötü amaçlı yazılımı, akıllı kameralar, yönlendiriciler, akıllı buzdolapları gibi yüzbinlerce internete bağlı cihazı ele geçirdi. Bunlar neredeyse bir milyon cihazdan oluşan bir bot ağının kölesi haline geldi (not: botnet, bilgisayar sahiplerinin izni veya bilgisi olmadan internette otomatikleştirilmiş görevleri gerçekleştirmek için kasıtlı olarak kötü amaçlı yazılım bulaşmış bilgisayarlardan oluşan ağlara deniyor). Bu cihazlar tek başına pek zararlı olmasa da, bir saldırgan bu cihazlardan binlercesine sahip olduğunda oluşan kalabalık önemli bir tehdit haline geliyor.
Büyük hizmet şirketleri ve web siteleri Mirai saldırısının kurbanı oldu. Örneğin bir DDoS saldırısıyla Deutsche Telekom’un altyapısını devre dışı bıraktı, DynDNS (Etki Alanı Adı Sistemi) sunucularına yönelik başka bir DDoS saldırısıyla büyük İnternet platformlarının ve hizmetlerinin Avrupa ve Kuzey Amerika’daki çok sayıda kullanıcı tarafından erişilememesine yol açtı. AirBnb, Amazon, BBC, GitHub, Netflix, Visa ve diğer pek çok şirket bu durumdan doğrudan etkilendi.
Mirai’nin bulaşma vektörü oldukça basitti; yayılmak için basit varsayılan kimlik bilgilerinden veya cihazlara uzaktan erişime izin veren bir dizi güvenlik açığından besleniyordu. Ardından kötü amaçlı yazılım cihaza indirilip çalıştırılıyor, bu da uzaktaki saldırganın cihazı istediği gibi kullanmasına izin veriyordu. Düşük düzeyde IoT siber güvenliğiyle birleşen bu basit yaklaşım, saldırganların etkili saldırılar gerçekleştirmesine olanak sağladı. Bu olayın ardından bir sonraki IoT siber güvenlik açığı dalgasına hazırlanmaları gerektiğini fark eden yalnızca siber güvenlik şirketleri değildi. Özel şirketler ve hükümetler de bunun farkına vardı.
Günümüzde IoT siber güvenlik endişeleri ve geldiği nokta
Tam ölçekli bir saldırının başlangıç noktası olan küçük bir cihaz
“Ocean’s Eleven” filminde Daniel Ocean’ın ekibi, kumarhanenin güvenlik kameralarında bir videoyu taklit ederek büyük bir soyguna yol açmayı başardı. Bu sadece bir yönetmenin fantezisi değil. Birkaç yıl önce, gözetim veya güvenlik sisteminin bir parçası olarak ev kullanımı veya küçük ve orta ölçekli işletmeler için tasarlanmış bir akıllı kamera üzerinde güvenlik araştırması yaptık. Bulut mimarisinde bulunan güvenlik açıklarından bazılarını kameralarla birleştirerek, filmde gördüğünüz numaranın aynısını yapmayı başardık. Video akışını değiştirdik, başka bir kameradan tamamen farklı çekimler gösterdik. Görüntüleri önceden kaydedilmiş bir videoyla da değiştirebiliyorduk.
Bu örnek, IoT altyapısı uygun şekilde kurulmaz ve güvenli hale getirilmezse tüketiciler ve işletmeler için neden olabileceği devasa güvenlik risklerini canlı bir şekilde ortaya koyuyor. Başlangıçta küçücük bir cihaz, herhangi bir ölçekteki siber saldırı için giriş noktası olabilir. Bir önceki örnekte olduğu gibi saldırgan aynı kamerayı kullanan farklı senaryolardan da yararlanmış olabilir. Örneğin bir satıcının tüm bulutunu ve çalışan tüm akıllı kameralarını ele geçirebilir.
Güvenlik açığı düzeltmeleri ve otomatik güncellemeler
Diğer bir siber güvenlik endişesi, güvenlik açığı düzeltmeleri olarak karşımıza çıkıyor. IoT cihazlarının üreticileri ürünlerini piyasaya sürerken o kadar acele ediyorlar ki, güvenliği ikincil bir konu olarak arka plana atıyorlar. Geliştirme sürecinde cihaza yönelik güvenlik tehditleri dikkate alınmazken, lansmandan sonra herhangi bir güvenlik güncellemesi yapılmayabiliyor.
Yine de tüm güvenlik açıkları bağımsız beyaz şapkalı güvenlik araştırmacıları tarafından bildirilmiş ve satıcılar tarafından yama uygulanmış olsa bile, birçok IoT cihazında hala otomatik güncelleme mekanizmaları mevcut değil. Ortalama IoT kullanıcıları otomatik güncellemeleri alamayıp yeni güvenlik açıklarıyla yamaları kendileri takip etmek zorunda kalınca bu durum gerektiğinden daha fazla risk oluşturuyor. Kişisel sistemler bir yana, kurumsal siber güvenlik söz konusu olduğunda bile çok az insan bunu yapıyor. Kaspersky’deki deneyimimize göre, siber olayların meydana gelmesinin en önemli nedenlerinden birini güncelliğini yitirmiş cihazlar oluşturuyor. Bu aynı zamanda potansiyel saldırganların daha geniş bir saldırı yüzeyine sahip olması için gereken kapıyı da açık tutuyor. Yazılım ve işletim sistemi geliştiricileri otomatik güncellemelerle, çeşitli bildirimlerle bu sorunu çözmeye çalışıyor.
Ev ofisler ve akıllı evler: Uzaktan çalışmanın zorlukları
Bu konuda dikkate alınması gereken bir diğer endişe de uzaktan çalışmanın yaygınlaşması olarak karşımıza çıkıyor. Ev ofisin güvenliği akıllı ev sistemleri ile doğrudan bağlantılı bir konu. IoT cihazları birçok kullanıcının evden çalışmasına yardımcı olurken, bu ağlar genellikle güvenlikten yoksun olabiliyor. Kişi evindeki sıcaklığı, nemi, kameraları ve diğer unsurları kontrol etmek için birkaç IoT cihazı kullandığında, bu cihazlar genellikle çok çeşitli kullanıcı verilerini toplayan, işleyen ve analiz eden bir tür ekosistem oluşturuyor. Kurumsal siber güvenlik açısından, özellikle saldırı modelleme ve kayıp tahmini açısından, bu işveren için büyük bir sorun haline gelebiliyor. Şirket altyapısı bir çalışanın akıllı evi aracılığıyla dahi tehlikeye girebiliyor. Öte yandan akıllı ev sahipleri de siber saldırının kurbanı olabiliyor.
ICS CERT faaliyetlerimizin bir parçası olarak Kasperksy, akıllı ev güvenliğini, ekibimizden birine ait bir akıllı saatin haklanması da dahil olmak üzere, kontrollü yöntemlerle titizlikle test etti. Belirli bir güvenlik açığından yararlanarak dünyanın pek çok yerinde akıllı cihazlar için bir merkez görevi gören ev yönlendiricilerine erişebildik. Hatta komutlarımızdan herhangi birini çalıştırabilen, parola korumalı bir PHP kodu dahi oluşturmayı başardık.
Meslektaşımıza “dostça” bir e-posta ve SMS göndererek yönlendiricinin yazılımını güncellemesini rica ettikten sonra, evdeki herhangi bir cihazı kontrol edebildik. Varlığımızı belli etmek için yalnızca çalar saatindeki melodiyi rahatlatıcı bir davul ve bas melodisiyle değiştirmekle yetindik ama herhangi bir gerçek saldırgan çalar saati bozmaktan ve kişisel erişim için yönlendiriciyi ağ geçidi olarak kullanmaktan daha fazlasını yapabilir. Kişisel verilerine, banka bilgilerine veya çok daha fazlasına erişebilir.
Amacımız, insanların evlerinde kullandıkları ve yönettikleri “akıllı” cihazların bütünlüğünü test etmekti. Burada sadece bir ampulün ışığını azaltmaktan veya su ısıtıcısını açmaktan bahsetmiyoruz. Bu yolla davetsiz misafirler bebek monitörleri ve videolu kapı zillerinden mekandaki pencere ve kapı gibi hayati güvenlik unsurlarına kadar her şeye erişilebilir. Bu da kullanışlı bir teknolojiyi korku filmi unsuruna çevirmek için yeterli.
Ortada bir sürü tehdit varken IoT güvenli olabilir mi?
Elbette IoT’nin önünde zorluklar var. Bunlar artan tehdit ortamı ve karmaşayla yakından bağlantılı. Dünya genelinde yapılan araştırmalar, 2022’de ortalama bir evin yaklaşık 17 bağlı cihaza ve akıllı ev aletine erişimi olduğunu gösteriyor. Bu zorluklar arasında kaba kuvvete, IoT kötü amaçlı yazılımlarına ve fidye yazılımlarına, veri gizliliği endişelerine, güvensiz arayüzlere ve diğerlerine yol açan varsayılan parolaları listelemek mümkün.
Nesnelerin İnterneti, beklediğimizden çok daha hızlı bir şekilde gerçeğe dönüştü. Elbette bunun getirdiği çok büyük bir değer var. Günlük rutinlerimiz çok daha keyifli ve rahat hale geliyor, tekrar eden işlere daha az zaman harcıyoruz, daha verimli kararlar alıyoruz, yeni alışkanlıklar ve “yaşam senaryoları” yaratıyoruz. Ancak bu büyülü yeni gerçekliğe ışık hızında uyum sağlamalıyız. Çünkü IoT, tehdit manzarasındaki değişimin baş döndürücü hızını belirliyor. Ortaya çıkan siber tehditler, Nesnelerin İnternetinin ideal dünyasını bir tıklamayla yok etmeye hazır.
İyi haber şu ki, şu anda çok iyi bir zamandayız. Küçücük cihazlardan korkunç bir siber çılgınlık fışkırmadan kendimizi Akıllı/IoT geleceğine hazırlamak için gerçekten şansımız var.