IoT Cihazlarında Güvenlik Açığı Sık Görülüyor

Nesnelerin interneti ile birlikte ortaya çıkan güvenlik açıkları, daha önce DigitalTalks’ta yer bulmuştu. Bu kez bir yaşanmış olumsuz bir örneği sizlere sunmak istiyoruz:

Bir IoT cihazı almadan önce, cihazın güvenliğini göz önünde bulundurmanın yanı sıra, mevcut IoT cihazları veya sistemlerinin güvenliğini olumsuz etkilemeyeceğinden de emin olun. Ne yazık ki yeni IoT oyuncağınız için aşağıdaki durumlarla karşılaşılmanız muhtemel:

  • Network güvenliğinizde delik oluşturması
  • Yeni kritik güvenlik açığı oluşturması
  • Çok geç yama yazan bir üreticinin ürünü olması
  • Yama uygulamanın zor olması

İşte size bir vaka:

Nisan 2014’te Cisco, iklimlendirme sektöründe üretici firma olan Trane adlı şirketi, internete bağlı çalışan ComfotLink II termostat ürün ailesindeki 3 kritik zafiyet ile ilgili uyardı. Bu termostatlar, büyük bir LCD ekrana ve BusyBox işletim sistemli bir bilgisayara sahipler ve kablosuz ağınıza doğrudan bağlanıyorlar. Bu özellikler sayesinde cihaz sadece evinizdeki sıcaklığı göstermekle kalmıyor, fotoğraflarınızı, yerel hava tahminlerini ve benzer bilgileri de gösterebiliyor.

Cisco araştırmacıları ComfortLink ürünlerinin, cihaza uzaktan erişim ve ağınızın geri kalanına da sıçrama imkanı verdiğini buldular. Trane bu konudaki açıklama taleplerine henüz yanıt vermiş değil.

Cisco’nun bulgusuna göre ComfortLink termostatlarının en büyük sorunu, cihazın üzerine kodlanmış olarak gelen şifreler. Fabrika ayarlarının değiştirilmediği bir cihazın üzerindeki hesaplar, sisteme SSH denilen kriptolu iletişim tünelleri üzerinden erişim sağlanmasını mümkün kılıyor.

Diğer iki bulgudan biri ise, saldırganların zafiyet taşıyan Trane cihazları üzerine kendi kötü niyetli yazılımını kurmasını mümkün kılıyor. Bu sayede saldırganlar, ağınız içinde kalıcı bir şekilde yer bulabiliyorlar.

Trane, en büyük açık olarak gösterilen ilk zafiyeti giderecek yamayı, ancak 26 Ocak 2016’da devreye aldı. Cisco’ya göre diğer iki zafiyet Mayıs 2015’teki güncelleme ile giderilmiş. Ancak o güncellemeye ilişkin açıklamada, kullanıcılara verilen herhangi bir bilgi yer almamış.

Peki tüm bunlar sıradan bir kullanıcı için ne demek?

Cisco’dan Craig Williams anlatıyor: “Tehdit oluşturan IoT cihazları, ağdaki diğer cihazlara sınırsız erişim imkanı yaratıyor. Üstelik kimse, bir tehdit varlığını anlayacak seviyede cihazlara işletim sistemi seviyesinde müdahale etme kabiliyetine sahip değil. Kimse sabah yataktan, “Bugün mutlaka termostatımın yazılım kodunu güncellemeliyim.” diyerek kalkmıyor. Bu tip cihazlar bir gün tehdit oluşturur duruma gelirse, muhtemelen değiştirilene kadar o şekilde kalıyorlar.”

Gizli hesaplar ve güvenli olmayan fabrika ayarları durumları, IoT cihazlarında sık rastlanan şeyler. Buna ek olarak zafiyet taşıyan cihazlara yama uygulanması, ortalama bir kullanıcı için zor ve karmaşık bir iş olabiliyor. Örneğin Trane’in cihazına yama uygulamak için, bilgisayarınıza takacağınız bir SD karta ihtiyacınız var.

Williams: “Ağında çok sayıda IoT cihazı bulunduran organizasyonlar için, o ölçekte güncelleme yapma imkanı bulunmayabilir. İşte bu tam bir kabus senaryosu olur. Tipik bir yazılım, 2 yıl süreyi doldurunca güncelleme alır. IoT cihazlarının ömrü ise ortalama olarak 10 yıl olarak düşünülüyor. Aradaki bu fark, güvenlik açığından ötürü güncelleme isteyen IoT cihazlarının sayısı arttıkça daha da büyük bir sorun teşkil edecek.” diyor.

Cisco’nun bulgularına dair verdiği bilgilere buradan erişebilirsiniz. Bu bilgiler içinde, sistem yöneticilerine ağdaki zafiyet barındıran sistemleri bulup güvenli hale getirme konusunda yardım eden Metasploit adlı yeni bir modüle erişim için link de mevcut.

Etiketler