Akıllı evler ne kadar güvenli?
Güvenlik araştırmacıları, bir laptop ve Raspberry Pi kullanarak elektronik kapı şifrelerini kırmayı başardılar.
Akıllı evlerde güvenliğin gerçekten sağlanabilmesi için üreticilerin ekipmanlar üzerinde daha fazla çalışmaları gerekiyor.
Hırsızlar bu kez ne maymuncuk, ne de levye taşıyorlardı. Yalnızca bir laptop ve Raspberry Pi kullanarak kapı kilidini kablosuz olarak açtılar ve arkalarında hiçbir iz bırakmadan, kilit uygulaması bile kapının açıldığını anlamadan, birkaç dakika içinde eve girmeyi başardılar. Ucuz bir Hollywood filmi gibi görünen bu sahne aslında gerçek. Bahsi geçen hırsızlar gerçekte güvenlik araştırmacıları Tobias Zillner ve Florian Eichelberger. İkili. Deepsec güvenlik konferansı sırasında yaptıkları bir sunum ile Ev otomasyonu sektöründe hizmet veren Home Automation 1.2 sürümü akıllı ev kapı kilidini "kırabildiklerini" gösterdi. Biraz çaba ile (bkz. aşağıdaki çizim), kurulu sistemin ağında kendi cihazlarını tanıttılar ve ağdaki bileşenler de birer birer kendi kendine açıldı.
Bu saldırının başarılı olması bazılarına göre. Home Automation 1.2 sisteminin ZigBee standardını temel alması: ağdaki tüm cihazlar gizli bir anahtar koda sahip, fakat ek olarak bir de "yedek anahtar" diyebileceğimiz anahtar çifti var ki son çare olarak entegre edilmiş. Bu anahtar çifti, sisteme eklenen yeni cihazları ağın geri kalan bileşenlerine tanıtmak için kullanılıyor. Ağdaki asıl şifre bu genel anahtar içinde şifreleniyor ve eşleştirilecek yeni terminal cihazına gönderiliyor. Yani yedek anahtar konsepti. güvenlikteki açığın ta kendisi olabiliyor. Saldırganlar bu konseptteki açığı kullanarak gizli şifreyi bulabiliyor ve ZigBee ağına sızabiliyorlar.
Güvenli değil, basit
Bahsi geçen saldırı, tüm küçük akıllı ev sistemlerinde mevcut bir problemi gündeme getirdi. İster ZigBee. ister Z-Wave ya da Apple Home Kit olsun; saldırgan giriş iznini bir kez aldıktan sonra (temelde var olan ya da firmware hatasından kaynaklanan hatalar bile olsa) sınırsız yetkiye sahip oluyor; çünkü firmalar gerçek kullanıcı için olayları kolaylaştırma amacıyla ağ içinde güvenlik kontrollerini pek sıkı tutmuyor. Yani güvenlik duvarı, cihaz sertifikaları gibi teknik engeller mevcut değil.
Problemli standart yalnızca ZigBee değil elbette. 2014 yılında rakibi olan Z-Wavede de benzer bir açık olduğu ortaya çıkmıştı. Hatta bu hata sayesinde kapı kilitleri de açılabiliyordu. Apple HomeKit şu ana kadar böylesi bir sorunla karşılaşmadı fakat sistemin karmaşıklığı göz önünde tutulduğunda Apple'ın da güvenlik açıklarına sahip olabileceğini düşünmek yanlış olmaz. HomeKit'in popülerliğinin artmasının, tıpkı iOSta olduğu gibi. saldırganlara ve güvenlik araştırmacılarına davetiye çıkardığını söyleyebiliriz.
Uygulama ile saldırı
Ancak zayıf noktalar yalnızca akıllı ağ cihazları değil; neredeyse tüm akıllı ev sistemleri sadece kapalı devre LAN üzerinden değil, aynı zamanda internete de bağlanan arayüzleri var: çünkü akıllı ev kiti evsahibi evde olmadığında sıcaklığı denetim altında tutmak, kameraları kontrol etmek veya kapı kilidinin durumunu denetlemek gibi görevleri de otomatik olarak gerçekleştiriyor. Birçok akıllı ev sistemi yalnızca dışarıdan erişimi kolaylaştıracak şekilde tasarlanıyor.
Problem şu: erişim, kullanıcı adı ve şifre gibi basit bir erişim verisi ile korunuyor ki bunlar diğer her web hizmeti ile aynı sorunla karşı karşıya. Bu şifreleri kırmak artık neredeyse çocuk oyuncağı zira çoğu kimse aynı şifreyi birkaç web hizmetinde kullanıyor ve bunlar da (ulusal düzeyde bile) veri açıklarına sebep olabiliyor. Bu açıklar saldırganların akıllı bileşenlere erişimini kolaylaştırıyor.
Bulmak da pek zor değil. Shodan.io gibi özel arama motorları, kurbanları saldırganların ayağına kadar getiriyor. Eğer hacker sadece aydınlatma veya ısıtma sistemini ele geçirdiyse durum en fazla sinir bozucu bir hal alıyor. Ancak sisteme güvenlik kamerası ve kapı kilidi gibi önemli bileşenler entegre edilmişse, aklınıza gelen en kötü senaryo gerçekleşebiliyor.
Akıllı ev cihazları üreten firmalar, bilgisayar bileşenleri üretenlerle aynı yolun yolcusu: kullanıcıyı yalnızca en güncel tehditlere karşı koruyabiliyorlar ve en yeni güvenlik teknolojilerine güveniyorlar. Dolayısıyla "her bileşen sunucu ile güvenli bir AES128 kanalı üzerinden iletişim kurmaktadır" ya da "uygulamanın bulut iletişimi güvenli internet prosedürleri üzerinden gerçekleşmektedir" gibi klişe cümlelere bolca rastlıyoruz. Bu cümleler yanlış olmasa da yeni saldırıları tiplerine veya belirli açıklara karşı güvenliği tam anlamıyla garanti edemiyorlar.
Periyodik güvenlik güncelleştirmeleri
Akıllı ev bileşenlerini seçerken kullanıcıların dikkat etmeleri gereken en önemli noktalardan biri, ürünün uzun dönem desteğinin ne kadar iyi olduğu. Kabul edilebilir seviyede bir güvenlik ancak düzenli güncellemeler yapan ve açıkları güncel olarak takip eden firmalar tarafından sunulabiliyor. Yeni ürünler ne kadar heyecan verici olursa olsun, bunlarla birlikte kullandığınız uygulamayı kullanmak ne kadar eğlenceli olursa olsun: en büyük önceliğiniz düzenli olarak güncelleme yapmak. Potansiyel olarak riskli bileşenlerin başında kapı kilitleri ve alarm sistemleri geliyor. Akıllı ev kitinize dahil olan her bileşenin, kötüye kullanılma potansiyeli yüksek birer bilgisayar ve ağ terminali olduğunu unutmayın. Güncellemeleri çıkar çıkmaz kurun ve akıllı ev kitinizde kullanılan teknoloji ve cihazları medyada sürekli takip edin.
Güvenlik riskleri açısından: aslında paniğe kapılmak ya da akıllı ev sistemlerinden tümüyle uzaklaşmak doğru olmaz. Birkaç yıl içinde elektronik kapı şifrelerini kırmak, hırsızlar arasında normal kapı kilidi kırmaktan daha popüler hale gelecek. Bu gerçekleştiğinde ise hareket sensörleri, pencere ve cam sensörleri gibi diğer güvenlik bileşenlerinin de güvenlik yetenekleri zaten çoktan artmış olacak.
Daha güvenli bir akıllı ev için
-Cihazlarınızı düzenli olarak güncelleyin
Bağlı bileşenlerin firmware güncellemelerini mümkün olduğu kadar erken yapın. Güvenlik yamaları duyurulduğu anda saldırganlar bu açıklardan faydalanmak için otomatik araçlar geliştirerek harekete geçeceklerdir.
-Güçlü şifreler kullanın
Erişim verilerinizin güçlü şifrelerle korunduğundan emin olun. Akıllı bir ev ancak akıllı bir kullanıcı için akıllıdır. Bir şifreyi birden fazla web hizmeti için kullanmayın; her hizmet için ayrı şifreler kullanmaya çalışın.
-Kendinizi düzenli olarak güncelleyin
Kullanılan ürün ve teknolojileri sürekli takip edin. Kendi cihazlarınızla ilgili açıklar olduğunu öğrenirseniz zaman geçirmeden üreticileri ile iletişim kurun ve güncellemelerle ilgili bilgi alın.
Chip
Yorum Yaz