35c3
Werner Schober, SEC Danışmanlık Şirketi’nde görev yapan bir araştırmacı ve aynı zamanda Avusturya Uygulamalı Bilimler Üniversitesi’nde bir öğrenci. Beşinci senesinde çoğumuzun aşina olduğu bir problemle karşılaştı: Tezi için bir konu seçmesi gerekiyordu.
Werner öncelikle, sınıf arkadaşlarının seçtiği konulardan bir etiket bulutu oluşturarak işe başladı. Tüm klasik BT kelimeleri bu bulutun içindeydi: bitcoin, GDPR, bulut vs. Ancak her nedense bu günlerde oldukça popüler bir konu olan Nesnelerin İnterneti (IoT), kelime bulutunda yoktu. Werner’in özellikle SEC Danışmanlık Şirketi’ndeki işi sayesinde kazandığı ve araştırmasında uygulayabileceği sızma testi deneyimi (ör. cihaz ve ağları ele geçirme, bunlardaki güvenlik açıklarını bulma) düşünülünce bu konunun, etiket bulutunda yer alması işten bile değildi.
Ancak IoT çok geniş bir kavramdı ve trafik ışıklarından kalp pili ve akıllı çaydanlıklara kadar hemen hemen her şeyi kapsıyordu. O yüzden odak noktasının daraltılması gerekliydi. IoT’nin en önemli kısmı olan altyapı konusu, yani yukarıda bahsedilen trafik ışıkları ve kalp pilleri, şimdiye kadar çok fazla araştırılmış ve artık konunun suyu çıkmıştı. Akıllı su ısıtıcılarını ve ampulleri içinde barındıran akıllı ev konusu da ayrıntılı bir şekilde araştırılmış ve artık üzerinde durulmaya değer önemli güvenlik açıkları kalmamıştı. Peki ya akıllı çim biçme makinenize DDos saldırısı gerçekleşirse? En fazla, bir günlüğüne çimleri kendiniz biçersiniz.
Werner detaylı olarak ele alınmamış (ancak hacker’lar yasak şeylere bayıldığından, bu konuda da bazı çalışmalar mevcut) ve güvenlik açıklarının ciddi sonuçlara sebebiyet verebileceği bir IoT alt kategorisinde karar kıldı: akıllı seks oyuncakları.
Werner bu alanda üç cihazı test etti. Bu cihazlardan ikisi Çin, biri de Alman yapımıydı. Tahmin edin hangisinde daha fazla güvenlik açığı bulundu? Spoiler’a dikkat: Alman yapımı cihazda daha çok güvenlik açığı vardı. Hem de ne açıklar! Werner, öyle ciddi güvenlik açıkları buldu ki Çin yapımı cihazları araştırmayı tamamen bıraktı ve tezini sadece Alman yapımı cihaza yoğunlaştırdı. Werner, bulgularını 35. Chaos Communication Kongresi’nde (35C3) sundu.
Alman yapımı cihaz Vibratissimo PantyBuster olarak biliniyor. Bu cihaz Android veya iOS işletim sistemli akıllı telefonlara Bluetooth üzerinden bağlanıyor ve yerel olarak veya uzaktan, başka bir akıllı telefondaki özel bir uygulama aracılığıyla kontrol ediliyor. Ancak uygulamanın özellikleri çok daha geniş kapsamlı ve temel olarak grup sohbetleri (!), fotoğraf galerileri (!!), arkadaş listeleri (!!!) ve diğer özelliklere sahip tam teşekküllü bir sosyal ağdan oluşuyor.
Yazılım: Diğer seks oyuncağı kullanıcılarını tanıma
Öncelikle yazılımın güvenlik açıklarıyla başlayalım. Vibratissimo web sitesinin kök dizininde bir .DS_Store dosyasının bulunduğu tespit edildi; bu dosya temel olarak, dosya simgelerini ve yerleşimlerini düzgün şekilde görüntülemek için macOS’nin bu dizinde oluşturduğu ekstra ayarların yanı sıra bu dizindeki tüm dosya ve klasörlerin listesinden oluşuyor. Werner bu dosyanın şifresini çözerek kök dizindeki tüm klasör ve dosyaların adlarını açığa çıkarmayı başardı.
Burada özellikle, veri tabanına erişim için şifresiz oturum açma bilgilerine sahip aynı isimli bir dosyayı içeren Config klasörü dikkat çekiyordu. Werner veri tabanına bağlanmak, oturum açma bilgilerini girmek ve tüm kullanıcı adları ve şifreleri (bu bilgiler de yine şifresiz saklanmış), sohbetler, görüntü ve videolar dahil olmak üzere Vibratissimo kullanıcılarının verilerine erişim sağlamak için bir arayüz bulmayı başarmıştı. Peki seks oyuncağı odaklı bir sosyal ağda ne tarz sohbet ve görüntülerle karşılaşabilirsiniz? Muhtemelen oldukça gizli niteliğe sahip şeyler bulursunuz.
Diğer bir problem: Uygulamada bir resim galerisi oluşturulduğunda bu galeriye bir kimlik de atanıyor. Bu galeriyi görüntülemek istediğinizde, uygulama bu kimliği içeren bir istem yolluyor. Werner, test etmek amacıyla iki kedi fotoğrafı içeren bir galeri oluşturdu, galeri için atanan kimliği elde etti ve sonra şunu düşündü: İstemdeki kimlikte çok küçük bir değişiklik yapılsa, mesela kimlik sayısından bir çıkarılarak yazılsa ne olur? Bunu yaptığında Werner, başka bir kullanıcının galerisine erişim sağladı ve bu galeride kedi fotoğrafları yoktu.
Ayrıca uygulama, cihazı uzaktan çalıştırmak için kullanıcıların başkalarıyla paylaşabileceği bir hızlı kontrol bağlantısı (uzak mesafe ilişkileri vb. şeyler için) oluşturmasına olanak sağlıyor. Bu bağlantıyı kullanırken herhangi bir doğrulama gerekmiyor; cihaz anında açılıyor. Bağlantı ayrıca kimlik de içeriyor. Peki sizce, bu kimlik numarasını bir eksilttiğinizde ne olur? Evet, tahmin ettiğiniz üzere başka bir kullanıcının cihazı anında açılır.
Dahası, telefonunuzdan giriş yaptığınızda, doğrulama esnasında uygulama, sunucuya içinde şifrelenmemiş kullanıcı adını ve parolasını açık metin şeklinde barındıran bir istem gönderiyor; yani ortak ağdaki herkes bu bilgileri çalabilir (Cihazda son teknoloji güvenlik kullanıldığı pek söylenemez). Yazılımda başka güvenlik açıkları da tespit edildi ama bunlar daha önce bahsedilenler kadar önemli değildi. Ancak cihazın diğer parçalarında, yani aktarım (cihaz iletişimi) ve donanım düzeylerinde, çok sayıda önemli sorun bulundu.
Arayüz: Rastgele yabancılarla bağlantı kurma
Daha önce de söylediğimiz gibi Vibratissimo PantyBuster, Bluetooth üzerinden bir akıllı telefona bağlanıyor. Daha detaylı açıklayacak olursak, cihaz beş eşleştirme tekniğinden – cihazlar arasında bağlantı kurmak için kullanılan geçiş anahtarı değişimi yöntemleri – birinin uygulanmasına izin veren Düşük Enerjili Bluetooth kullanıyor. Akıllı telefona girilecek geçiş anahtarı cihazın kendisi üzerinde yazılabilir, ekranda gösterilebilir veya önceden bilinebilir (mesela 0 veya 1234 olabilir). Ayrıca, cihazlar arasında geçiş anahtarı değişimi NFC kullanılarak gerçekleştirilebilir; bunların kullanılmaması durumunda değişim, hiç eşleştirme yapılmadan da gerçekleştirilebilir.
PantyBuster ürününde herhangi bir ekran yok ve NFC etkin değil; dolayısıyla bu seçenekleri atlayabiliriz. Kalan seçeneklerden ikisi biraz güvenli (biraz) denebilir, ancak cihazın üreticileri her şeyden önce kullanım kolaylığına odaklanarak temel ve güvenli olmayan bir yaklaşım seçmiş: eşleşmesiz. Yani birisi cihaz aktivasyon komutuna sahipse ve bunu gönderirse, belirli bir aralıktaki tüm PantyBuster cihazları ahenk içerisinde titreşecektir. Başka bir şekilde açıklayacak olursak uygulamayı etkinleştiren herhangi biri metroya binip komutu kullanarak, cihazıyla seyahat eden “şanslı” kullanıcılara tatlı bir sürpriz yapabilir.
Werner, civardaki Düşük Enerjili Bluetooth etkin cihazları tarayan, bunların seks oyuncağı olup olmadığını tespit eden ve eğer öyleyse bu cihazları tam güçte açabilen basit bir program yazdı. Eğer merak ediyorsanız, böyle bir eylem Avusturya yasalarında tecavüz olarak kabul edilmiyor ancak ülkenin ceza hukukunda “istenmeyen cinsel eylemler” ile ilgili bir madde mevcut. Belki başka ülkelerin yasalarında da böyle bir madde olabilir.
Donanım: Cihazın donanımı
Öncelikle cihazın ürün yazılımını güncelleme seçeneği yok. Başka bir deyişle, üretici güncelleme yapabilir ancak kullanıcı bu işlemi gerçekleştiremez. Werner’in araştırmasını öğrenen üretici firma kullanıcılara, cihazlarının güncellenmesi ve tekrar kendilerine teslim edilmesi için iade etme seçeneğini önerdi. Ancak muhtemelen hiç kimse, kullanılmış seks oyuncağını servise göndermek istemeyecektir.
İkinci olarak, cihaz açıldığı takdirde üretici firmanın hata ayıklama için kullandığı ve sonra kapamayı unuttuğu arayüzleri bulmak mümkün olacaktır. Bu arayüzler cihaz yazılımını ayıklamak ve analiz etmek için kullanılabilir.
IoT sorunları bitmek bilmiyor
Werner’in yarım saatlik konuşmasında çoğunlukla problemler üzerinde durulurken çözümlere çok az değinildi. Bunun en önemli sebebi ise çözümlerin mevcut olmaması. Elbette Werner üreticiyle iletişime geçmiş ve birlikte çalışarak uygulamadaki ve yeni cihazlardaki sorunların çoğunu çözmüşler. Ancak halihazırda satılmış cihazların donanım düzeyindeki problemleri için bir çözüm mevcut değil.
Şimdi bize de akıllı nesneler hakkında neredeyse her yazıda belirttiğimiz tavsiyeyi tekrarlamak düşüyor: Akıllı bir cihaz almadan önce, internetten o cihazla ilgili bilgi edinin. Cihazın akıllı özelliklerine, gerçekten ihtiyacınızın olup olmadığını çok dikkatli bir şekilde (en az on kez) değerlendirin. Belki de aynı cihazın internete bağlanmayan ve bir uygulama ile kontrol edilmeyen standart versiyonu da işinizi rahatça görecektir. Ayrıca bu çözüm daha ucuz ve kesinlikle daha güvenli olacaktır.
İpuçları