Her şeyin birbiriyle bağlantılı olduğu bir dünyada yaşıyoruz. Günümüzde bu durum, bildiğimiz bilgisayarlardan çok daha fazlasını içeriyor ve buna bağlı olarak siber güvenlik riski günden güne artıyor.
Her geçen gün daha çok evde mobil telefonlar, fitness bileklikleri, televizyonlar, webcamler gibi daha bir çok “akıllı” cihaz kendisine yer ediniyor bu durum siber güvenlik riskini de gündeme getiriyor. Onları “akıllı” yapan ise WiFi ile İnternet’e bağlanmaları ve veri alıp gönderebilmeleri. Bu devasa ve büyümeye devam eden, birbirine bağlı cihazlar, “Nesnelerin İnterneti”ni (IoT – “Internet of Things”) oluşturuyor. Evimizde bu tür bağlantılı cihazlar bulundurmanın en büyük avantajı ise bize sağladıkları kolaylıklar; onları uzaktan akıllı telefonlarımızla kontrol edebiliyoruz.
Akıllı cihazlar ve siber güvenlik ilişkisi
Ne yazık ki, akıllı cihazların güvenliği sağlanmadığı sürece başkaları (siber suçlular da dahil) onların kontrolünü ele geçirebilir. Çok kısa bir süre öncesine kadar bunlar bilim kurgu filmlerinde görülebilecek şeyler gibiydi. Fakat 2016’nın sonlarında birçok haber kaynağının bildirdiği üzere siber suçlular kapalı devre kameralar ve yazıcılar gibi internet bağlantılı ev cihazlarını kullanarak bir DNS servis sağlayıcına başarıyla saldırdı ve dolaylı olarak Twitter, Spotify, AirBnB ve Reddit gibi popüler web sitelerine erişimi etkiledi. Bugün artık bilindiği üzere söz konusu saldırı, en azından kısmen, Nesnelerin İnternet’i cihazlarından oluşan bir botnet kullanılarak gerçekleştirildi. Saldırganlar savunmasız cihazlara Mirai adlı zararlı yazılımla sızmıştı. Kaynak kodu açık bir şekilde yayınlandığı için de bugün artık birçok Mirai botnetinin varlığı söz konusu.
Saldırganların cihazlara sızmak için kullandığı yöntemin çok basit olduğu ve cihazlarını varsayılan ayarlarla piyasaya sunan üreticiler ile bu ayarları değiştirmeden kullanmaya başlayan tüketiciler gibi
insan hatalarından faydalandıkları görülüyor. Saldırganlar, yönlendiriciler (router), IP kameraları ve dijital video kayıt sistemleri de dahil olmak üzere, internete bağlı cihazlara erişim sağlamak için varsayılan kullanıcı adı ve şifreleri kullanıyor. Zararlı kod cihaza yazıldıktan sonra botnetlerinin bir parçası haline geliyor. Her DDoS saldırısında olduğu gibi, saldırganlar ele geçirilmiş cihazları kullanarak kurbanlarının web sitesine yoğun bir şekilde trafik yaratıyor ve böylece sitenin normal bir şekilde faaliyet göstermesini engelliyorlar. Zararlı bir kodun bir IoT cihazına yazılabilmesi için cihazda yeterli depolama alanı bulunması gerekiyor. Bu sebeple, örneğin kahve makineleri gibi bazı cihazlar bu amaca hizmet edemese de, kötüye kullanılabilecek ve kullanılmış birçok cihaz bulunuyor.
Bağlantılı cihazların bir saldırıya araç olarak kullanılmasına ilk defa şahit olmuyoruz. Son yıllarda bebek monitörleri ve webcamler, zayıf noktaları sebebiyle suçluların erişerek kötü amaçlar için kullanabileceği cihazlar olarak çeşitli haberlere konu oldu. IoT cihazlarının cazip birer hedef olmasının sebebi, suçluların rahatlıkla kötüye kullanabileceği, varsayılan kullanıcı adı ve şifreler kullanıyor olmaları. Birçoğu için donanım yazılımı güncellemeleri bulunmuyor ve genellikle 7/24 internete bağlılar.
10 yıl içinde her cihazın kablosuz bağlantı özelliği olacak
Büyük tüketici elektroniği fuarı CES’de bu sene görülebildiği gibi, önümüzdeki on yıl içerisinde, fonksiyonel eşyalardan gereksiz olanlarına kadar neredeyse her şeyin bir yazılımı ve kablosuz bağlantı özelliği olacak. Dünyanın buna hazırlıklı olması gerekiyor.
- Öncelikle cihazlar konusunda, bireylerin, kuruluşların ve üreticilerin zararlı yazılımların ve diğer saldırı çeşitlerinin oluşturduğu güvenlik tehditlerini anlaması ve güvenlik konusunu en baştan ele alarak temel korunma önlemlerini, cihazlar internete bağlanmadan almaları gerekiyor.
- İkinci olarak, yarının suç mahallinin Nesneleri İnternet’i olacağına tüm dünyanın hazırlanması gerekiyor. Geçtiğimiz günlerde bir cinayet vakasının çözülmesine yardım etmesi amacıyla Amazon’dan bir Echo Dot cihazının topladığı verilerin talep edilmesi (Amazon işbirliğini reddetti), bağlantılı cihazların cezai soruşturmalarda oynadığı rolün giderek büyüdüğünü gösteriyor. Bu tarz, sesle aktif hale gelen yazılımlar CES’te de sergilendi. Cihazın yakınlarında gerçekleşen diyalogları potansiyel olarak kaydetme yeteneğini unutmamak gerekiyor. Erişim için kullandığınız kullanıcı adı ve şifre gibi detaylarınız güçlü değilse, sizi başka kimlerin dinlediğini bilemezsiniz.
- Bu sistemlerin bütünlüğü giderek daha kritik hale gelecek. Bazı geliştiriciler halihazırda ses kayıtlarına ekleme yapabilen veya onları değiştirebilen, bir nevi “ses için Photoshop” olarak tanımlanabilecek yazılımlar üzerinde çalışıyor. Görüldüğü üzere, siber güvenlik dünyasında hareketsiz kalmak için zaman yok.
Bağlantılı cihazların, dünyayı daha mutlu, sağlıklı ve üretken kılabilecek birçok faydalı, etkileyici ve eğlenceli tarafları var. Ancak, korumasız bir şekilde kullanılırlarsa, bizi niyetleri pek de iyi olmayan başkaları karşısında savunmasız bırakabilirler. Buna izin vermemeliyiz.
Evlerinde IoT cihazları kullananlara verilebilecek en iyi tavsiye, başkaları tarafından uzaktan erişimi engellemek için tüm cihazların varsayılan şifrelerini benzersiz ve karmaşık şifrelerle değiştirmeleri. Buna evinizin ağına giriş sağlayan “router”, yani yönlendiricinin şifresi de dahildir. Bazılarımızın eğilimi, bu tür bir haberi okuduktan sonra tüm cihazların internet bağlantısını iptal etmek olabilir fakat günümüzün bağlantılı dünyasında bu pek gerçekçi olmayacaktır. Ancak yine de akıllı cihazların özelliklerini incelemek ve ihtiyacınız olmayan fonksiyonları devre dışı bırakmak her zaman iyi bir fikirdir. En nihayetinde iyi şifreler seçmek ve onları iyi saklamak, siber suçluları cihazlarınızdan uzak tutmakta önemli bir rol oynar.
Tabii ki bu konuda bağlantılı cihaz üreticilerine ve güvenlik sektörüne de bir rol düşüyor. Güçlü bir korumanın ve yama yönetiminin en baştan tasarlandığından emin olmak için işbirliği gerekiyor. Bir ürün piyasaya çıktıktan sonra artık çok geçtir. Bunun yanında IoT cihazları için güvenlik standartları oluşturmak konusunda hükümetlere de rol düşüyor. Çocuk oyuncaklarından mobilyaya kadar birçok gündelik eşyanın fiziksel olarak güvenli olduğunu gösteren onay damgaları görmeye alıştığımız bir dünyada yaşıyoruz. Gelecekte aynı şeyin dijital objelere de yayılması gerekecektir.