Çalışan bir şehir video gözetim sisteminin Kaspersky Lab tarafından yapılan incelemesi, insanları suçlular ve teröristlerden korumak için tasarlanmış ağların sistem yapılandırma açıklarından faydalanan üçüncü şahıslarca kötüye kullanılabileceğini ortaya koydu.
Polis departmanları ve kamu kuruluşlarının, paha biçilmez suç istihbaratı sağlayan güvenlik kameralarıyla şehir sokaklarını izlediği sır değildir. Ancak Kaspersky Lab araştırmacısı Vasilios Hioureas ve Exigent Systems Inc.’den meslektaşı Thomas Kinsey tarafından gerçekleştirilen araştırmanın sonuçlarına göre bu sistemler zarar vermek için de kullanılabiliyor.
Araştırmalarının bir parçası olarak bir şehrin video gözetim sistemini incelediler. Gözetim kameraları, düğümlerin birbirine bağlı olduğu ve verilerin bir düğümden kontrol merkezine giden yolu üzerinde veriler (bu durumda video beslemeleri) için bir basamak olarak işlev gördüğü bir tür ağ olan ızgara ağ üzerinden bağlanmışlardır. Bir Wi-Fi sıcak noktası veya kablolu bağlantısı yerine kullanılan bu düğümler, bu gibi ağlarda verileri basitçe en yakın düğüme iletir ve bu şekilde komut merkezine kadar iletimini sağlar. Bir saldırgan ağ içinde tek bir düğüme bağlanırsa, üzerinden iletilen verileri değiştirebilir.
Izgara ağ tabanlı video gözetim sistemleri genel olarak, şehir çapında çoklu sıcak noktalar ya da millerce kabloya ihtiyaç duyan gözetim sistemlerine alternatif olarak uygun maliyetli bir çözümdür. Ancak bu ağların güvenliği büyük ölçüde bütün bir ağın kurulumuna bağlıdır.
Araştırmacıların incelediği kamera ağında hiç şifre kullanılmamıştır. Şehirde kullanılanlara benzer ekipmanlar satın alan Kaspersky Lab araştırmacıları, yeterli şifreleme aracının sağlandığını ancak doğru olarak kullanılmadığını gördü. Sonuç olarak açık metin verileri ağ üzerinden gönderilir ve bağlanan her gözlemcinin kullanımına açık olur.
Araştırmacılar, ağda kullanılan yazılımdan kendi sürümlerini oluşturmanın, ağın üzerinde hareket eden verileri değiştirmek için yeterli olacağını hemen anladılar. Ağ ve yazılımı laboratuar ortamında tekrar oluşturduktan sonra herhangi bir düğümden gelen video beslemelerini yakalama ve örneğin kameraların çektiği gerçek videoları sahteleriyle değiştirmek gibi becerilere sahip oldular.
Araştırmacılar bulgularını, geçen yaz şehirdeki gözetim ağını kuran şirketle paylaştılar. O günden beri zayıf noktaları bulunan ağda gerekli değişiklikler yapıldı.
Kaspersky Lab Zararlı Yazılım Analisti ve bu araştırmanın yazarlarından biri olan Vasilios Hioureas şunları söylemiştir: “Bu araştırmayı, siber güvenliğin fiziksel sistemleri, özellikle de video gözetim gibi kritik kamusal sistemleri etkilediğini göstermek için üstlendik. Akıllı bir şehir oluştururken, sadece yeni teknolojilerin sağlayacağı konfor, enerji ve maliyet faydalarını değil, aynı zamanda siber güvenlik konularını da düşünmek son derece önemlidir. Her ne kadar bu araştırmanın bulguları geçtiğimiz Ağustos ayında sunulmuş olsa da bu bulguların, ızgara ağ tabanlı gözetim sistemleri uygulamayı planlayan veya halihazırda uygulamış olan yetkililer için halen kullanışlı olduğuna inanmak için nedenlerimiz bulunuyor.”