Nakatomi’deki siber güvenlik hataları

Die Hard serisinin ilk filmini siber güvenlik açısından inceliyoruz.

Birçok aile, Noel tatillerini birlikte en sevdikleri filmleri izleyerek geçirir. Her yıl aynı filmleri izlemek zamanla bir Noel ve Yeni Yıl geleneği haline gelir. Bazı insanlar Noel komedilerini sever, bazıları melodramları tercih eder. Bana gelince, benim en sevdiğim Noel filmi Die Hard. Ne de olsa John McClane’nin teröristlerle mücadelesinin %60’ı Noel arifesinde geçiyor; üstelik bu aksiyon klasiğini Noel tatiliyle ilişkilendiren tek kişi ben değilim.

Evet, Live Free or Die Hard’da (diğer adıyla Die Hard 4.0’da) gerçekten kritik altyapı siber güvenliğine odaklanan bir senaryo var (ve buna zamanı gelince değineceğiz) ama yakından bakarsanız ilk filmde de hem iyi hem de şok edici derecede kötü siber güvenlik örnekleri görebilirsiniz.

Sonuçta Nakatomi Corporation; Tokyo tabanlı sunucularla senkronize olan bir ana bilgisayar, kasada bilgisayarlı bir kilit, hatta lobide dokunmatik ekranlı bir bilgi terminali gibi zamanının en son teknolojilerini kullanıyor (burada 1988’den bahsettiğimizi unutmayın).

Nakatomi Plaza’daki fiziksel güvenlik

Güvenlik sorunları daha filmin en başından ortaya çıkıyor. Kahramanımız John McClane binaya giriyor ve güvenlik görevlisine yalnızca görmeye geldiği karısının adını veriyor. Kendi adını hiç söylemiyor; herhangi bir kimlik de göstermiyor. Üstelik karısının adını vermek de içeri alınması için yeterli olmamalı, çünkü evlilikleri sallantıda olduğu için karısı iş yerinde kızlık soyadını kullanmaya geri dönmüş.

Dikkatsiz koruma, davetsiz misafirlerin girişini zorlaştırmak yerine, bilgi terminalini ve asansörleri işaret ediyor. Yani, temelde herkes binaya girebiliyor. Dahası, olaylar ilerledikçe binada sürekli kötü hizmetçi saldırılarına açık, parola korumalı olmayan bilgisayarlar görüyoruz.

Mühendislik sistemlerine erişim

Kısa süre sonra suçlular binaya giriyor; Noel arifesinde sadece iki kişi olan güvenlik görevlilerini öldürüp binanın kontrolünü ele geçiriyorlar. Doğal olarak, Nakatomi Plaza’daki tüm mühendislik sistemleri, girişin hemen yanındaki güvenlik odasında bulunan tek bir bilgisayardan kontrol ediliyor.

Teröristler arasındaki tek hacker olan Theo, birkaç tuşa dokununca birden asansörler ve yürüyen merdivenler duruyor ve garaj kapanıyor. Oda boş olmasına rağmen bilgisayar zaten açık ve yetkisiz erişime karşı hiçbir koruması yok; ekranı bile kilitli değil! Bir şirket çalışanının (özellikle de güvenlik departmanından bir çalışanın) ekranı kilitlemeden bırakması kabul edilebilir gibi değil.

Ağ güvenliği

Teröristlerin Nakatomi Trading’in başkanından talep ettiği ilk şey, şirketin ana bilgisayarının şifresi. Kötülerin bazı bilgilerin peşinde olduğunu düşünen Takagi, şirketin güvenlik uygulamaları hakkında ilginç bir haber salıyor: Tokyo’da sabah olduğunda, saldırganların erişebildiği tüm verilerin değiştirileceğini ve şantaj girişimlerinin boşa çıkacağını söylüyor. Bundan iki sonuç çıkarabiliriz:

  1. Nakatomi’nin Tokyo’daki bilgi sistemleri, kimin neye ne zaman eriştiğini takip ediyor. Oldukça iyi uygulanan bir güvenlik sistemine sahipler. (Tabii ki, Bay Takagi blöf de yapıyor olabilir.)
  2. Dahası, Takagi’nin saat dilimleri hakkında hiçbir fikri yok. Los Angeles’ta daha yeni hava karardı (davetsiz misafirler gün batımında binaya giriyorlar ve söz konusu konuşma sırasında pencereden karanlık olduğunu görebiliyoruz). Dolayısıyla Tokyo’da o sırada saat en erken ertesi gün sabah 10:30 olmalı.

Nakatomi’de iş istasyonu güvenliği

Gangsterler tam olarak terörist olmadıklarını ve bilgiye değil, kasaya erişmekle ilgilendiklerini açıklıyorlar. Takagi kodu vermeyi reddediyor, kötü adamlara şanslarını Tokyo’da denemelerini öneriyor ve bu uğurda ölüyor.

Cinayeti bir yana bırakırsak işin ilginç kısmı şu: Takagi’nin iş istasyonunun yakından çekilmiş bir görüntüsü, (açıkça Berkeley Software Distribution‘ın kurgusal bir soyundan gelen) işletim sistemi Nakatomi Socrates BSD 9.2’nin Ultra-Gate Key ve Daily Cypher olmak üzere iki parola gerektirdiğini ortaya koyuyor.

İsimlerinden de anlaşılacağı gibi bu parolaların biri statik, diğeri ise günlük olarak değişiyor. Burada, en azından 1988 standartlarına göre, iki faktörlü kimlik doğrulamanın parlak bir örneğini görüyoruz.

Kasaya erişim

Kasayı yedi kilit koruyor. Birincisi bilgisayarlı, beşi mekanik, sonuncusu ise elektromanyetik. Hacker Theo’ya inanacak olursak ilk kilidin kodunu kırmak için yarım saate, ardından mekanik olanları delmek için iki ila iki buçuk saate ihtiyaç olacak. Bu noktada da devreleri yerel olarak kesilemeyen yedinci kilit otomatik olarak devreye girecek.

Bu son derece şüpheli durumu bir kenara bırakarak (fizik bilgilerim eskimiş olabilir ama genelde elektrik kablolarla sağlanır, kablolar da her zaman kesilebilir), bir sonraki göze batan kusura geçelim: Kasa güvenlik sistemi, bir kilidi etkinleştirmek için sinyal gönderebiliyorsa neden izinsiz giriş teşebbüsünü polise bildiremiyor? Ya da en azından bir alarm çalamıyor? Kötü niyetli kişiler elbette telefon hatlarını kesmiş olabilir, ancak yangın alarmı 911’e bir sinyal iletmeyi başaracaktır.

Bunu göz ardı edersek, Theo’nun kodu nasıl kırdığını izlemek oldukça ilginç. Açıklanamaz bir şekilde, denediği ilk bilgisayarda, yatırım grubu başkanının askerlik hizmeti hakkındaki bilgileri bile içeren (isimsiz) kişisel dosyasına erişim kazanıyor. 1988’de bildiğimiz haliyle internetin olmadığını, dolayısıyla bilgilerin Nakatomi’nin dahili ağında, paylaşılan bir klasörde saklandığını unutmayın.

Dosyadaki bilgilere göre, bu isimsiz asker 1940 yılında (gerçek bir Japon uçak gemisi olan) Akagi’de görev yapmış ve Pearl Harbor saldırısı da dahil olmak üzere çeşitli askeri operasyonlarda yer almış. Bu tür bilgiler neden kurumsal bir ağda herkese açık şekilde saklansın ki? Tuhaf. Özellikle de bu uçak gemisinin kasanın şifresi için bir ipucu görevi gördüğünü düşünürsek!

Aynı bilgisayar adeta yardım edercesine Akagi’yi Kızıl Kale olarak İngilizce’ye çeviriyor. Tesadüfe bakın ki parola da buymuş! Belki Theo hem bir sürü işi önden yaptı hem de şansı yaver gitti, ancak teoride bile böyle bir süreç çok hızlı. Bunu yarım saat içinde yapabileceğini önceden nasıl bildiği de belli değil.

Burada senaryo yazarları Daily Cypher’ı, yani düzenli olarak değiştirilen ve dolayısıyla daha ilginç olan ikinci şifreyi unutmuş olmalı. Kilit bu ikinci şifre olmadan açılıyor.

Sosyal mühendislik

Suçlular zaman zaman güvenlik görevlileri, itfaiye ve polis üzerinde sosyal mühendislik teknikleri kullanıyor. Siber güvenlik açısından baktığımızda 911 çağrısı özel dikkat gerektiriyor. McClane yangın alarmını tetikliyor, ancak davetsiz misafirler kurtarma servisini önceden arayıp kendilerini güvenlik görevlisi olarak tanıtarak alarmı iptal ediyorlar.

Bir süre sonra, 911 bilgisayar ekranında Nakatomi Plaza hakkında telefon numaraları ve muhtemelen yangın alarmını iptal etmek için bir kodu da içeren bilgiler beliriyor. Saldırganlar yangınla mücadele ekibini geri çağırabildiklerine göre bu kodu bir yerden almış olmalılar. Güvenlik görevlilerinin çoktan öldüğünü düşünürsek kod bir yere yazılmış ve (geri çağırmanın çabukluğuna bakılırsa) yakın bir yerde saklanmış olmalı. Bu önerilen bir uygulama değil.

Pratik çıkarımlar

  • Noel Arifesinde bile içeri yabancıların girmesine izin vermeyin. Özellikle de bina değerli bilgiler içeren bilgisayarlarla doluysa…
  • Çalışanlara periyodik olarak bilgisayarlarını kilitlemelerini hatırlatın. Daha da iyisi, sistemleri kısa bir süre sonra otomatik olarak kilitlenecek şekilde ayarlayın. Bir siber güvenlik farkındalığı eğitimine katılmak da çok iyi bir fikir.
  • Parola ipuçları içeren belgeleri paylaşmayın veya bunları paylaşılan konumlarda saklamayın.
  • Çok değerli verilere erişmek için rastgele oluşturulmuş, tahmin edilmesi zor parolalar kullanın.
  • Parolaları (ve alarm iptal kodlarını) kağıda alınmış notlarda değil, güvenli bir şekilde saklayın.

Dipnot

Başlangıçta serideki her iki Noel filmini de inceleyecektik, ancak Die Hard 2’yi yeniden izledikten sonra filmin gerçekten havaalanı bilgi altyapısı mimarisindeki temel bir başarısızlıkla ilgili olduğu sonucuna vardık. Filmde, teröristler yakındaki bir kilisenin altından geçen boru hatlarını kazıyor ve kontrol kulesi dahil tüm hava limanı sistemlerinin kontrolünü ele geçiriyor. 1990’da, bu sistemlerden bazıları bilgisayarlı bile değildi. Ne yazık ki, filmdeki karakterler ayrıntılı bir film içi açıklama yapmak yerine ölmekle meşgul oldukları için bunun ayrıntılarına inebilmek mümkün olmadı.

İpuçları

Ev güvenliğinin sağlanması

Güvenlik şirketleri, evinizi hırsızlık, yangın ve diğer olaylardan korumak için başta kameralar olmak üzere çeşitli akıllı teknolojiler sunuyor. Peki ya bu güvenlik sistemlerinin kendilerini davetsiz misafirlerden korumak? Bu boşluğu biz dolduruyoruz.