#KLMWC
Akıllı ev geliştiricilerinin görmenizi istediği hayatı bir hayal edin: İşteki yoğun gününüz sona ermiş ve eve girmek üzeresiniz. Kapınız yüz ve iris tanıması gerçekleştirdiği an otomatik olarak açılıyor. Ev çoktan ısınmış ve koridordaki ışık açık, hafif bir müzik çalıyor ve elektrikli su ısıtıcısı tam o anda kendi kendine kapanıyor. Böylece siz eve adımınızı atar atmaz kaynamış suyunuz hazır.
Akşam yemeğinizi yediniz ve koltukta dinlenirken akıllı telefonunuzu kullanarak ışıkları hafif kısıyorsunuz ve televizyonu açıyorsunuz. Akıllı bir evde yaşamak her şeyi daha pratik hale getirir. Bütün o küçük günlük işler ya otomatikleştirilir ya da telefonunuz tarafından kontrol edilir.
Fakat gerçekleşme ihtimali en az bu senaryo kadar yüksek olan başka bir senaryo daha var. Kapıya yaklaşıyorsunuz ama açılmıyor. Yüzünüzü ve irisinizi unutmuş. Bunun olabileceğini biliyordunuz bu yüzden eski dostunuz çelik anahtarınızı yanınıza almışsınız. Kapıyı açıyorsunuz ve aşırı derecede karanlık olan eve giriyorsunuz. Ev aşırı soğuk çünkü ısıtma sistemi 2 saat önceye programlandığı halde çalışmamış.
Birkaç saniye sonra akıllı alarm sanki eve zorla girilmiş gibi yüksek sesle çalmaya başlıyor. Alarm sisteminin akıllı telefonunuzu algılayıp kendini kapatması gerekiyordu! En azından bir şeyler doğru çalışıyor gibi gözüküyor: TV çoktan açık ama o da tavandaki akıllı kameradan sizin gözüktüğünüz gerçek zamanlı yayını gösteriyor. Ve itfaiye araçlarının yaklaşan sirenlerini duyuyorsunuz. Ne oldu böyle? Akıllı eviniz hacklendi.
Eğer birisi evdeki bütün cihazları kontrol eden akıllı merkezi (smart hub) hacklerse bu senaryo yaşanabilir. 2018 Mobile World Congress’de, Kaspersky Lab’den Vladimir Daschenko bunu yapmanın o kadar da zor olmadığını gösterdi.
Peki nedir bu akıllı merkez?
Akıllı merkez, akıllı evinizin sinir sistemi ve beynidir. Bu merkez, genellikle küçük bir kutudur. Bazılarında dokunmatik ekran bulunur, bazılarında bulunmaz. Akıllı merkez, özel protokoller kullanarak evdeki bütün akıllı cihazlar ile karşılıklı iletişim kurarak bilgi sağlar veya komutları yerine getirir.
Eğer akıllı merkezde ekran bulunmuyorsa akıllı cihazlarınızı programlamak için kullanabileceğiniz sisteme ait bir mobil uygulama veya web tabanlı hizmet veya ikisi birden bulunur. Evdeki bütün aletleri senkronize etmek ve hepsini aynı anda kontrol edebilmek için akıllı merkez gerekir. Bu merkez, kullanıcı için epey pratiktir ama aynı zamanda bir kötü yanı bulunur; akıllı evi hacklemek isteyen birinin tek bir şeyi hacklemesi yeterlidir: Akıllı merkez.
Akıllı merkez nasıl hacklenebilir?
Belirli bir firmanın (burda adını vermeyeceğiz) ürettiği akıllı merkezlerin kodlarında önemli bir açık bulunmamaktadır. Fakat sistemlerdeki mevcut birkaç mantıksal hata, uzmanlarımızın kullanıcının Wi-Fi ağına bile erişim sağlamadan uzaktan bir şekilde hacklemesine yetti.
Kullanıcı, merkezi Web portalı üzerinden kontrol etmek için web arayüzünden merkeze senkronizasyon komutu yollar. Yakından incelediğimizde, yapılandırma dosyasının bir bütün olarak merkeze belirli bir seri numarası ile atandığını ve merkezin daha sonra bunu indirdiğini ve uygulamaya geçirdiğini görürüz. Dosya HTTP (şifrelenmemiş) kanalı üzerinden gönderilir fakat alıcıyı tanımlamak için kullanılan tek bilgi, merkezin seri numarasıdır.
Saldırgan hackleyeceği merkezin seri numarasını öğrenirse merkeze özel bir yapılandırma dosyası gönderebilir ve bu dosya ek bir iletişim gerçekleşmeden kabul edilir. Kulağa pek inandırıcı gelmese de çoğu kullanıcı seri numarasının akıllı evleri için ana anahtar olduğunun bilincinde değildir. Bu yüzden akıllı merkezleri hakkındaki görüşlerini kaygısız bir şekilde YouTube’da paylaşarak seri numaraları da dahil hacklenmesi için gereken bütün bilgileri göstermiş olur. İşin daha da kötüsü seri numaraları brute-force (kaba kuvvet) metodu ile de kırılabilir.
Bütün akıllı merkezlerin oturum bilgileri ve parolası kendi yapılandırma dosyası içinde mevcuttur. Oturum bilgileri doğrudan çıkarılabilir fakat neyse ki parolanın şifreli halde korunur. Fakat bu şifreleme zayıftır ve ne yazık ki herkese açık programlar tarafından nispeten hızlıca kırılabilir durumdadır. Buna ek olarak firmanın karmaşık parola oluşturma zorunluluğunu uygulamamasından dolayı güvenlik iyice zayıf duruma düşer ve böylece hackerlar için işler daha da kolaylaşır.
Bir hacker, oturum bilgileri ve parola ile akıllı merkez ve ona bağlı tüm cihazlar üzerinde tam kontrol sağlayabilir. Böylece akıllı ev kıyameti senaryosu, akıllı merkez kullanıcısı için acımasız bir gerçek haline dönüşür.
Akıllı ev kıyametinden nasıl kaçınırız?
Akıllı evler dünyamıza nispeten yeni girdi. Bu yüzden henüz yeterince detaylı şekilde incelenmediler ve bundan dolayı araştırmamızın ne yazık ki bir kez daha kanıtladığı üzere, savunmasız yönleri bulunuyor. (Birçok başka akıllı cihazın nasıl hacklendiğini gösterirken bunu daha önce de kanıtlamıştık.)
Bu durumda, üreticinin yaptığı birkaç mantıksal hata birleştiğinde akıllı ev sistemini hacklemek mümkün. Hatalara tekrar göz atalım: yapılandırma dosyasının şifrelenmemiş HTTP ile transferi, sadece seri numaraları yapılandırma güncellemeleri için kimlik doğrulama olarak kullanmak, kullanıcı adı ve parola bilgilerine erişimin kolay olması.
Akıllı hayatınızı nasıl koruyabilirsiniz? Özellikle bu akıllı merkezi kullanıyorsanız, cevap gayet basit:
- Akıllı merkez seri numaranızı kimseyle paylaşmayın. Bu sizin akıllı hayatınızın kilit anahtarı.
- İkinci el akıllı cihaz satın almayın. Yazılımları önceki sahipleri tarafından değiştirilmiş olabilir, bu da saldırganların işlerini koylaylaştırabilir.
Saldırganların yine de rastgele seri numaralara saldırı düzenleyerek akıllı merkezleri hackleyebileceğini unutmayın. Bu yüzden maalesef seri numaranızı paylaşmamak %100 koruma garanti edemez. Yapmanızı önerdiğimiz şey ise, akıllı merkezlerin güvenliği arttırılana – tam anlamıyla güncellenene kadar bekleyin. Bu yazımızda bahsettiğimiz firma şu an güncelleme üzerinde çalışıyor ve yakında yayınlayacak. Biz de bu yüzden firma ismi paylaşmıyoruz. Daha fazla detayı Securelist‘te bulabilirsiniz.
İpuçları