Sızdıran akvaryum

Mayıs 2, 2018
Kurumsal

Konu Nesnelerin İnterneti olduğunda, güvenlik hâlâ olması gereken noktada değil. Bağlantılı aygıtlarının da çoğu pek bilinmiyor. Ayrıca, Nesnelerin İnterneti’ne yönelik tehditlerin kullanıcıları deyim yerindeyse savunmasız yakalamak gibi kötü bir huyu var. Bugünkü gündemimizde zararsız gibi görünen başka bir mekanizmayı ele alacağız.

İç mekanda ileri teknoloji

Kısa süre önce, ABD’de bir kumarhanenin lobisine “akıllı” akvaryum kuruldu. Balıkların beslenme programının yanı sıra tuz ve sıcaklık düzeyleri de otomatik düzenleniyordu. Su aşırı ısınır ya da aşırı soğursa termostat kullanıcıyı çevrimiçi uyarabiliyordu.

Bu aygıt, belli ki yabancıların kurcalamaması için, bir VPN ardına saklanmıştı. Ancak bu yeterli olmadı ve masum görünüşlü termostat yerel ağdaki diğer devrelere giden bir arka kapı oluşturdu.

İnternet casusu

Sonra anlaşıldı ki bu ikiyüzlü akvaryum Norveç’te bir yerlere 10 GB veri göndermişti. İnternet güvenlik personeli yüzsüz korsanların hangi bilgileri ele geçirdiğini tespit etmeye çalıştı. Sorunun cevabı kumarhanedeki yüksek bahisçilerin veri tabanıydı. Açık kaynaklar içerikteki bilginin tam olarak ne olduğunu ortaya koymasa da, ister sadece isimler, isterse, daha kötüsü, irtibat bilgileri ve hatta kredi kartı numaraları olsun, kuruluşun itibarının gördüğü zararın haddi hesabı yoktu. Kumarhanenin adı açıklanmasa da olay bu sızıntının mağdurlarına bildirilmek zorunda kalındı.

Erken uyarılan erken önlem alır

İsmi verilmeyen bu kumarhane gibi, müşterilerini riske atmak istemeyen firmaların bu kuralları akıldan çıkarmaması gerekir:

  • Sadece uç aygıtların korunması yeterli değildir. Sistemlere izinsiz girenler saldırı zemini olarak herhangi bir aygıtı kullanabilir, bu nedenle sunuculara ve ağ geçitlerine de güvenlik çözümleri kurulmalıdır. En iyisi, bilinmeyen portlar veya gizli protokoller aracılığıyla içeri sızmaya çalışan dış dünyayla temasın tamamen kesilmesidir.
  • Önemli işlerinde internete ihtiyacı olmayan hiçbir ekipmana İnternet erişimi sağlamayın.
  • Nesnelerin İnterneti aygıtlarının tamamını çok dikkatli yapılandırın; çünkü henüz bunlara güvenlik çözümleri kurmanın bir yolu yok.
  • Düzenli penetrasyon testleri yapın. Bu kontroller yardımıyla, büyük sorunlara yol açabilecek nispeten gizli boşluklar dahil, güvenlik kusurlarını düzeltilebilir bir aşamada tespit edebilirsiniz.