Nesnelerin İnternetiyle (IoT) Birbirine Bağlı Ürünler Yaşamı Kolaylaştırırken Vahim Güvenlik Sorunlarına Yol Açıyor

Şunu bir düşünün: Indiana Üniversitesindeki veri güvenliği araştırmacıları, Crock-Pot marka internet bağlantılı yavaş pişiricinin bilgisayar korsanlığına karşı savunmasız yanlarını bulmaya çalışıyorlar. Hem bu cihazın hem de bu cihazın bağlı olduğu Wi-Fi modemi paylaşan diğer cihazların kontrolünü kolayca ele geçiriyorlar. Ancak, bir saldırganın pişiriciyi uzaktan ateşe verebileceğine dair bir risk bulamıyorlar. Bu iyi haber.

Şimdi de kötü haber: İnternete bağlanabilme özelliği, küçük mutfak aletleri, ev eğlence sistemleri ve çocuk oyuncakları dahil, tüketicilerin sandığından çok daha fazla cihazda bulunuyor. Tüketiciler, enerji tüketimini optimize etmek ve yaşamlarını kolaylaştırmak için, Nesnelerin İnterneti (IoT) aracılığıyla veri üreten, toplayan ve paylaşan geveze bir robot sürüsünü benimsemiş durumda.

Artık bu durum öyle bir noktaya geldi ki; ürün satın alanlar veri ürettiklerini, bu verilere kimin erişebildiğini, bunun gizlilik, güvenlik ve hatta fiziksel güvenlik için ne anlama geldiğini bilemez halde. Bu durumun dışında kalmak da gün geçtikçe zorlaşıyor.

Indiana Üniversitesinin Bilgi İşlem, Bilgisayar ve Mühendislikte Güvenlik ve Gizlilik (SPICE)  Merkezindeki araştırmacılar ve Indiana, Bloomington’da bulunan IoT Araştırma Merkezi uyarılar vermeye başladı bile.

IoT Araştırma Merkezi, IoT House adlı, kullanıcı odaklı ve gerçek hayat şartlarında faaliyet gösteren bir laboratuvar kurdu. Ulusal Bilim Vakfının beş yıllık hibesiyle finanse edilen bu laboratuvar kelimenin tam anlamıyla, IoT bağlantılı cihazlarla dolu bir ev: duman alarmları, termostatlar, aydınlatma sistemleri, oyuncaklar, aletler ve daha neler neler var.

IoT House’un proje müdürü Joshua Streiff, “Üniversiteden, tipik bir evi taklit etmek için, savunma mekanizmalarının çoğunun azaltıldığı bir ağ talep ettik,” diyor. Yakındaki akademik kullanıcıları, tipik bir banliyö evinde kullanılan ardına kadar açık İnternet trafiğine maruz bırakmamak için bu ortam, üniversitenin ağından dikkatli bir şekilde ayrı tutuluyor. Araştırmacılar, ürün güvenliğinde boşluklar keşfettiklerinde, elde ettikleri bulguları sektöre ve akademiye sunuyorlar.

Streiff, CloudPet adı verilen, tek boynuzlu at şeklindeki renkli dolgu oyuncağı alıyor. Bu oyuncak, peluş bedenine yerleştirilmiş düşük enerjili Bluetooth (BLE) modülüyle, çocukların sesli mesaj yollayıp alabilmesine olanak tanıyor. Oyuncak, aynı zamanda veriyi, bir bulut sunucusuna bağlayan mobil bir uygulamayla eşleştiriliyor. Dışarıdan tatlı gözükse de aslında sinsi bir cihaz.

“Araştırmacılar, yıllarca CloudPet tek boynuzlu ata yönelik uyarı yaptılar. Aslında hiçbir güvenlik önlemi olmadan tasarlanmış bir oyuncak.”—Joshua Streiff, Proje Müdürü, IoT House

Streiff, şöyle diyor: “Araştırmacılar, yıllarca CloudPet oyuncağına yönelik uyarılarda bulundular. Aslında hiçbir güvenlik önlemi olmadan tasarlanan bir oyuncak. Mozilla, nihayet Amazon’u ve eBay’i oyuncağı piyasadan çekmek konusunda ikna etti. Ardından marka, faaliyetlerine son verdi; ama oyuncak hala mağazalarda. İmalatçıların bunun gibi IoT cihazlarını satmaya ara verdikleri oluyor ancak bu ürünleri piyasadan asla toplatmıyorlar.”

Sorun şu ki bu tür oyuncaklar çocuğun konumunu izlemek için kullanılabilir veya bilgisayar korsanları cihaza sahte mesajlar yollayabilir. Streiff, “Kötü bir niyetim olsa, mahalleye gidip çocuğun nerede yaşadığını elimle koymuş gibi bulabilirim,” diyor. “Oyuncağın BLE modülünü bulabilirim ve sesli mesajlar yollayarak çocuğu anne veya babası olduğuma inandırıp dışarıya gelmesine ikna edebilirim.”

Aralık ayında Washington Post, bebek monitörü olarak kullandıkları Nest Cam adlı cihaz üzerinden müstehcen ifadeler ve tehditler yollayan bir bilgisayar korsanını yakalayan çiftle ilgili bir haber yaptı. IoT House’da çalışan doktora adayı Behnood Momenzadeh durumu şöyle açıklıyor: “Nest, bilgisayar korsanının eline geçmemişti. Bilgisayar korsanının eline geçen şey, insanların e-posta adresleriydi; ve korsanlar bu sayede onların Nest hesabına ulaşıp, izinleri değiştirmişler. Yani, teknolojilerin birleşimi bu aileyi riske atmış oldu.”

Fisher-Price markasının Akıllı Oyuncak Ayısı bu konuyla ilgili ibretlik başka bir ders sunuyor. Oyuncak, “konuşmak, dinlemek ve öğrenmek” için tasarlanmış. Ayıcığın burnuna monte edilmiş ve her zaman açık ama kayıtta olmayan bir video kamera bulunuyor. “Tasarımcılar, kimsenin oyuncağı açıp içine bakmayacağını varsaydığı için oyuncak ayı risk taşıyor,” diyor Streiff.

Ayı, aslında içinde bir Android tablet barındırıyor. Streiff, “İçindeki cihaz, video çekmek ve e-posta yollamak gibi bir tabletin yapabildiği her şeyi yapabiliyor,” diyor. Üzerinde donanım veri kapısı var. Kablosuz bir klavye kullanarak, bu tabletle iletişime geçebilirsiniz. Cihaza gerçek bir saldırı yapmak için ayıcığı açıp içine bakmam gerekiyor. Üç dakika sonra, dünyanın neresinde olursam olayım, oyuncak ayının kontrolü artık bende oluyor.”

Arka kapıdan sızmalar, görünürde güvenli olan sitelerde de olabiliyor. Güvenlik görevlileri, geçtiğimiz yıl bir kumarhanenin ağından, yüksek bahis oynayan kişilerin listesini çalan siber suçluların karıştığı bir veri hırsızlığından haberdar oldular. Hırsızlar kumarhanenin ağına, lobide bulunan akvaryumun IoT bağlantılı termostatındaki güvenlik açığını kullanarak erişim sağlamışlar. Esasen hiçbir evde, bir kumarhanedeki kadar profesyonel veri güvenliği sistemi bulunmuyor.

Yavaş pişiriciyi tekrar düşünün, Belkin markasının ürettiği bu ürün, Belkin’in kablosuz IoT bağlantı teknolojisi olan Wemo ile donatılmış. Streiff’a göre sorun şurada: Sistemin dahili tasarımı, yavaş pişiriciyi kuran kişinin aynı zamanda ağdaki her şeye sahip olması gerektiğini varsayıyor. Ürünün yazılımı, bağlanacak başka uyumlu kablosuz araçlar bulmak; ve kurucuya, ürüne bağlı cihazlara da tam kumanda ve erişim vermek üzere tasarlanmış. Ek olarak, bu kumanda uzaktan erişim için ayarlanabilir ve dünyanın herhangi bir yerinden kumandaya olanak sağlar.

Streiff, “Crock-Pot’u telefondan kumanda etmek havalı olabilir. Ancak bu, kendine özel şifresi olmayan her şeyi kontrol edebileceğim anlamına geliyor. Crock-Pot’a girebilen herkes bunu yapabilir,” diyor ve ekliyor: “Termostat ve buzdolabı iletişim kurabiliyorsa, evdeki toplam enerji kullanımı büyük oranda iyileştirilebilir. Sorun şu ki, bilgisayar korsanları, Crock-Pot gibi aletler aracılığıyla, evinize adım dahi atmadan elektrik faturanızı kasten artırabilir.”

Tasarımcılar, bir özellik için bir diğerini feda ederler. Mühendisler, tüketicilerin güvende olmasını ve onların güvenliğini korumak isterken, pazarlamacılar yalnızca insanların cihazın tadını çıkarmasını istiyor. Güvenlik ve kullanım kolaylığı arasında bir seçim yapıyorlar. Pazarlamacılar, her nasıl ki çok amaçlı bir televizyon kumandasının üç kumandadan daha iyi olduğuna inanıyorlarsa; aynı sebeple her bir imalatçının ürettiği bir cihazın, başka imalatçıların cihazlarına da bağlanabilmesini istiyorlar. Streiff, “Kullanıcılar da hepsine hükmedecek tek bir uygulama kullanmak istiyor,” diyor.

Video kamerası olan cihazlar, araştırmacıları özellikle endişelendiriyor. Ancak, bilhassa Amazon’un Echo cihazı ve onun rakipleri gibi, gittikçe popüler hale gelen, sesle harekete geçen etkileşimli hoparlörler başta olmak üzere, ses kayıt cihazlarıyla ilgili benzer endişeler bulunuyor. “Akıllı hoparlörlerin” özel konuşmaları kaydettiğini ve bu kayıtları başka insanlara gönderdiğini bildiren pek çok haber çıktı. (“Ürkütücü akıllı hoparlör hikayeleri” Reddit gibi mesaj panolarında artık içerik oluşturuyor.)

IoT ev cihazları, bu tür zayıf noktalardan arındırılarak tasarlanabilir mi? Ve bu arada, tüketiciler sorunları önlemek için ne yapabilir?

SPICE araştırma ekibinin birkaç önerisi var. Bunların ilki, varsayılan şifreleri değiştirmek. Cihazlara yönelik saldırıların çoğu, kötü şöhretli Mirai gibi robot yazılımlarla başlar. Bu yazılımlar, interneti tarayarak belirli cihazları bulmaya çalışır; ve sonra bu cihazlara sorgu göndererek, sahipleri tarafından varsayılan şifrelerinin değiştirilip değiştirilmediğini kontrol eder. Elbette robot yazılımın sahibi bu varsayılan şifreleri biliyordur. Şifre değiştirilmemişse, bilgisayar korsanı o cihazı hemen ele geçirir.

IoT House ekibi, daha gelişmiş bir sistem geliştiriyor ve test ediyor. Bu sistem, IoT cihazlarından gelen uygun iletişim taslağını çıkarmak üzere, İmalatçı Kullanım Tanımlama Özelliklerini (MUDS) kullanıyor. Eğer IoT cihazı, beklenen aralığın dışında iletişim kurmaya başlarsa, sistem iletişimi kesiyor ve cihaz sahibini uyarıyor. Bu şekilde, bilinen bir bulut sunucusuyla iletişim kurması gereken oyuncak ayı, Doğu Avrupa’daki bilinmeyen bir sunucuyla iletişim kurarsa, sistem evi ve cihaz sahiplerini koruyor. Bu sistem, beklentileri belirleme sorumluluğunu imalatçılara yüklüyor.

Sektör, yeni risk azaltma standartları geliştirirken, kullanıcılara da kendilerini bu konuda eğitmek düşüyor: Satın almadan ve kurmadan önce, IoT cihazını araştırmak. Google’da kısa bir arama yaparak, cihazla ilgili bilinen sorunlar kolayca bulunabilir. Cihazla ilgili bilinen bir sorun yoksa ancak şirket daha önce güvenlik sorunları yaşadıysa, bu da ortaya çıkacaktır. Buna bir örnek, güvenli ve şifreli iletişim kullanmayan şirketlere karşı kullanan şirketler olabilir.

Her iki durumda kullanıcılar, cihaz kullanımını azaltmayı ciddi ciddi düşünmelidir. Aileler, kameralı oyuncakları evin yalnızca belirli odalarında mı kullanmalı? Kamerayı kullanmadıkları zaman ışık geçirmez bantla kapatmalılar mı? Oyuncaklar genellikle kapalı mı olmalı?

Nihayetinde tüketiciler, hayatlarına dahil ettikleri cihazlarla ilgili daha fazla endişe duymaya başlayana kadar, imalatçıların tarafında büyük bir değişim olmayacak gibi görünüyor. Çoğu insan, siber saldırıların hedefi olacağını aklının ucundan geçirmiyor: “Bana bir şey olmaz” ön yargısı, eleştirel düşünceyi engelliyor. Asıl soru şu: Sizinle ilgili bilgi toplamak için para ödemeye kim razı olur? Streiff, “Pek çok kişi,” diyor. “Şirketler, daha nasıl kullanılabildiğini veya kullanılacağını bilmeden, kişilerle ilgili en ufak bilgi kırıntısını, niteliğine bile bakmadan depoluyorlar.”