Gelişmiş biyonik protezler için kullanılan deneysel bulut altyapısını inceleyen Kaspersky Lab uzmanları üçüncü kişilerin kişisel verilere ve diğer bilgilere erişip değiştirmesini, bu verileri çalmasını ve hatta silmesini sağlayan bilindik güvenlik sorunları tespit etti. Engelli bireylere yardımcı olmak için biyonik kol ve el protezleri geliştiren Rusya merkezli yüksek teknoloji girişimi Motorica tarafından paylaşılan bulgular bu alandaki güvenlik sorunlarını ortaya koydu.
Nesnelerin İnterneti artık yalnızca internet bağlantılı akıllı saatler veya akıllı evlerden değil; gelişmiş, karmaşık ve giderek daha da otomatik hale gelen ekosistemlerden meydana geliyor. Bunlara sağlık sektöründe kullanılan siber teknolojiler de dahil. Bu teknolojiler gelecekte, yalnızca destek için kullanılan cihazlardan tüketicilerin sıradan insan vücudunun becerilerini sibernetik yöntemlerle geliştirmek amacıyla; yaygın bir şekilde kullanacağı ürünlere dönüşebilir. Bu nedenle, saldırganların kullanabileceği potansiyel güvenlik risklerinin araştırılarak en aza indirilmesi, mevcut ürünlerdeki güvenlik sorunlarının giderilmesi ve altyapıların desteklenmesi önem kazanıyor.
Motorica ile iş birliği yapan Kaspersky Lab ICS CERT araştırmacıları; Rusya merkezli bu girişim tarafından geliştirilen dijital protez el için kullanılan test yazılımı çözümü üzerinde bir siber güvenlik değerlendirmesi yaptı. Uzaktan erişilebilen bir bulut sistemi olan çözüm; tüm kayıtlı biyomekanik cihazların durumunu izleyebilen bir arayüzden oluşuyor. Çözüm ayrıca diğer geliştiricilere, akıllı tekerlekli sandalyeler, yapay el ve ayaklar gibi cihazların teknik durum analizleri için mevcut bir araç seti sunuyor.
Yazılım üzerinde yapılan ilk araştırmada çok sayıda güvenlik sorunu tespit edildi. Bunlar arasında güvenli olmayan http bağlantılar; hatalı hesap işlemleri ve yetersiz giriş doğrulama gibi sorunlar yer alıyordu. Protez el kullanımdayken bulut sistemine veriler gönderiyor. Güvenlik açıkları nedeniyle saldırganlar şunları yapabiliyor:
- Bağlı tüm hesaplar hakkında bulutta tutulan bilgilere erişim (tüm protez cihazlar ve bunların yöneticileri için kullanıcı adları ve parolalar açık olarak görülebiliyor).
- Bu bilgileri değiştirmek, silmek veya yeni bilgi eklemek.
- Kendi normal ve ayrıcalıklı kullanıcılarını eklemek veya silmek (yönetici haklarıyla).
Kaspersky Lab ICS CERT Güvenlik Araştırmacısı Vladimir Dashcenko; “Motorica güvenilir ve sosyal sorumluluk sahibi bir yüksek teknoloji şirketi olarak fiziksel engellere sahip kişilerin karşılaştığı zorlukları çözmeye odaklanıyor. Şirket büyümeye hazırlanırken biz de doğru güvenlik önlemlerinin alınıp alınmadığını kontrol ederek onlara yardımcı olmak istedik. Yaptığımız analizlerin sonuçları, güvenlik önlemlerinin yeni teknolojilere en başından itibaren eklenmesi gerektiğini bize hatırlattı. Diğer bağlantılı gelişmiş cihaz geliştiricilerinin de cihaz ve sistem güvenliği sorunlarını anlayıp çözmek ve bu cihazların güvenliğini gelişim sürecinin ana parçalarından biri haline getirmek için siber güvenlik sektörüyle iş birliği yapmasını umuyoruz.” dedi.
Motorica CEO’su Ilya Chekh, “Yeni teknolojileri biyonik yardım cihazlarında bize yeni bir dünyanın kapılarını açıyor. Bu tür teknolojileri geliştirenlerin siber güvenlik çözümü markalarıyla iş birliği yapması artık kritik önem taşır hale geldi. Böylece insan bedenine yönelik teorik saldırıların bile imkansız olmasını sağlayabiliriz.” dedi.
Bu cihazların güvenli olmasını isteyen şirketlere şunları tavsiye ediyoruz:
- İlgili web tabanlı IoT teknolojileri için OWASP IoT Project gibi endüstri uzmanları tarafından sağlanan tehdit modellerini ve açık sınıflarını kontrol edin.
- Uygun kullanım döngülerine göre güvenli yazılım geliştirme çalışmaları yapın. Mevcut yazılım güvenliği çalışmalarını değerlendirmek için OWASP OpenSAMM gibi sistematik yaklaşımlardan yararlanın.
- İlgili tehditler ve açıklar hakkında bilgi almak ve vakalara zamanında uygun bir şekilde müdahale etmek için prosedürler belirleyin.
- İşletim sistemlerini, uygulamaları, cihaz yazılımlarını ve güvenlik çözümlerini düzenli bir şekilde güncelleyin.
- Ağ saldırılarını tespit edip önlemek için kurumsal ağ ve OT ağında, ağ trafiğini analiz etmek için tasarlanan siber güvenlik çözümleri kullanın.
- Saldırıları, cihazlardaki arızaları ve hasarları erken tespit amacıyla IoT cihazlarının davranışlarındaki değişimleri ortaya çıkaran makine öğrenimi anormallik tespiti (MLAD) teknolojisine sahip bir koruma çözümü kullanın.