arabalar
Modern bir arabayı, sürekli olarak arıza teşhis verilerini üreticinin veya bayinin sunucularına aktaran, tekerlekli bir bilgisayar olarak düşünmek en doğru yaklaşımdır. Bir araçta; GPS, hız göstergeleri ve eller serbest konuşma için mikrofonlardan dış kameralara, pedal basıncı, lastik basıncı, motor sıcaklığı ve daha fazlasını ölçen ve ilk bakışta göze çarpmayan ancak son derece aktif olan düzinelerce sensör bulunur. Bu veriler üreticiye gerçek zamanlı olarak aktarılmasa bile, aracın dahili belleğine kaydedilir ve sürücünün yolculukları, alışkanlıkları ve çevresiyle ilgili çok sayıda bilgiyi ortaya çıkarabilir. Otomobil üreticilerinin ticari amaçla nasıl veri topladıklarını ve bu verileri kime sattıklarını daha önce ayrıntılı olarak incelemiştik (Spoiler uyarısı: sigorta şirketleri telemetri verilerinin en büyük alıcılarıdır), ancak bugün kolluk kuvvetleri ve istihbarat teşkilatlarının bu altın madeninden nasıl yararlandıklarına bakacağız.
Dijital kanıt
Dünyanın dört bir yanındaki emniyet teşkilatları, araçlarda depolanan verilerin muazzam değerinin farkına varmıştır. Bir araba veya sahibinin bir suçla bağlantılı olabileceği düşünülüyorsa, soruşturmacılar sadece parmak izi veya DNA kontrolü yapmakla kalmazlar. Car Intelligence (CARINT) teknolojisi, araçtaki tüm bilgisayarları kapsamlı bir şekilde tarayarak aşağıdaki vb. verileri elde etmelerini sağlar:
- GPS tabanlı yolculuk geçmişi
- Arama kayıtları, medya oynatıcı etkinliği ve sesli komutlar
- Eşleştirilmiş cihazların listesi ve senkronize edilmiş kişi listeleri
- Sürüş istatistikleri: Kilometre, motor performans modları ve diğer teknik parametreler
Bu verilerin delil olarak kullanıldığı ve mazeretleri çürüttüğü sayısız örnek bulunmaktadır. ABD’deki bir ceza davasında, kaydedilmiş bir sesli komut, şüphelinin çalıntı bir aracın direksiyonunda olduğunu kanıtlayan kesin delil olmuştur.
Kendi SIM kartlarına sahip ve üreticiyle doğrudan bağlantısı olan akıllı araçların yaygınlaşmasıyla birlikte, kolluk kuvvetlerinin artık araca fiziksel olarak erişmesine gerek kalmadı. GPS konum geçmişi gibi önemli veriler, doğrudan üreticinin sunucularından alınabilir. Ayrıca, ABD Senatosu tarafından yürütülen bir soruşturma, ankete katılan 14 otomobil üreticisinden dokuzunun bu verileri arama izni olmaksızın paylaştığını ortaya çıkardı.
Ateros, Berla, TA9/Rayzone ve Toka gibi önde gelen araç istihbarat yazılımı tedarikçileri, çözümlerini yalnızca devlet kurumlarına ve kolluk kuvvetlerine satmaktadır; bu nedenle de kamuoyunun dikkatinden büyük ölçüde uzak kalmışlardır.
Kapsamlı izleme
İlgili kişileri takip etmek için, araçtan elde edilen veriler diğer kaynaklardan gelen bilgilerle karşılaştırılır. Medyada yer alan haberlere göre, bu kategorideki amiral gemisi ürünler; aracın SIM kartından, Bluetooth iletişim kayıtlarından, sokak seviyesindeki CCTV görüntülerinden ve veri simsarları tarafından sağlanan ticari bilgilerden elde edilen verileri toplamaktadır. Bu karma veri kümesi, bir hedefin hareketlerinin ve temaslarının kapsamlı bir şekilde haritalandırılmasını kolaylaştırır. Gazeteciler, bazı şirketlerin bir aracın mikrofonlarını ve kameralarını uzaktan ve gizlice etkinleştirme özelliğini pazarladıklarını ve bu sayede konuşmaların gerçek zamanlı olarak dinlenebilmesini sağladıklarını ortaya çıkardılar. Ancak uzmanlar, farklı sistemler arasında teknik uygulamaların çeşitliliği nedeniyle, aracın kendisini hacklemenin hâlâ zor bir iş olduğunu ve bu konuda kesin bir başarı garantisi bulunmadığını belirtmektedirler. Çoğu zaman, aynı sonuca ulaşmak için diğer, daha erişilebilir veri kümelerini birbiriyle ilişkilendirmek daha kolaydır.
Fabrikada yüklenen casus yazılımlar
Kameraların, mikrofonların ve diğer sensörlerin gizlice etkinleştirilmesi gibi özellikler, teorik olarak bir siber saldırının sonucu değil, aracın standart işlevlerinin bir parçası olabilir. Bu tür vakalara ilişkin kamuya açık herhangi bir kanıt bulamamış olsak da Çin menşeli araçların birçok ülkede giderek daha sıkı denetimlere tabi tutulduğu bilinen bir gerçektir. Örneğin, İsrail askeri tesislerine girişleri yasaklandı; multimedya sistemi sökülmesi şartıyla tek bir Chery modeli hariç. İngiltere ve Polonya’da da benzer yasaklar bulunmaktadır; ayrıca, İngiltere Savunma Bakanlığı çalışanlarına iş telefonlarını Çin malı araçlara bağlamamaları talimatı verilmiştir. Almanya’da Çin menşeli araçların güvenlik analizleri, BfV ve ZITiS adlı uzman kurumlar tarafından gerçekleştirilmiştir, ancak bu analizlerin sonuçları hâlâ gizli tutulmaktadır.
Düşük maliyetli izleme
Bir aracı, hatta binlerce aracı takip etmek için mutlaka araç içi sistemlere sızmak ya da geniş plaka okuma ağlarına bağlanmak gerekmez. Yakın zamanda yapılan bir bilimsel araştırma, standart lastik basıncı izleme sistemlerinin (TPMS) etkili bir izleme için yeterli veri sağladığını ortaya koydu. Bu sensörlerden gelen veriler, herhangi bir şifreleme yapılmaksızın telsiz yoluyla iletilir ve belirli bir aracı kolayca tanımlamayı sağlayan benzersiz bir kimlik numarası içerir. Bu, sadece aracın hareketini doğrulamaktan öteye geçerek, sürücünün kilosunu tahmin etmek veya yalnız seyahat edip etmediğini belirlemek için bile kullanılabilir. Bu, bir arabanın kameralarına uzaktan erişmek kadar etkileyici gelmeyebilir, ancak çok az bir maddi yatırım gerektirir ve internet bağlantısı olmayan nispeten eski araçlarda bile çalışır.
Araç takibi konusunda neler yapabilirsiniz?
Bir kişiyi arabası aracılığıyla takip etmek şüphesiz bir gizlilik riski oluşturmakla birlikte, bu tehdidi azaltmak için bir denge kurmak zordur: Alınabilecek birçok önlem karmaşıktır, büyük ölçüde etkisizdir ve aynı zamanda modern bir aracın kullanışlılığını, güvenliğini ve rahatlığını da azaltmaktadır. Dolayısıyla, atılacak her adım kişisel risk profilinizle karşılaştırılarak değerlendirilmelidir.
Veri sızıntısı riskini azaltmak için, üreticinin uygulamasındaki, aracın bilgi-eğlence sistemindeki ve bağlı akıllı telefonunuzdaki gizlilik ayarlarını kontrol edin. İnternete bağlı bir araç; yolculuklar, konum, sürüş tarzı, aracın durumu ve bileşenlerinin çalışmasıyla ilgili bilgiler vb. verileri buluta aktarabilir. Bu verilerin bir kısmı navigasyon, arıza teşhisi ve servis hizmetleri için gereklidir, ancak tüm izinler zorunlu değildir. Ayarlarınızı kontrol edin ve ihtiyacınız olan işlevlerle ilgili olmayan verilerin iletilmesini devre dışı bırakın.
Mikrofona, kameraya, kişilere, mesajlara ve konum bilgilerine erişim izinleri konusunda dikkatli olun. Araca yalnızca kendi cihazlarınızı bağlayın ve başkalarının telefonlarını veya tanımadığınız Bluetooth cihazlarını sisteme kaydetmeyin. Akıllı telefonunuzu senkronize ederken, telefonunuzdaki tüm verilere tam erişim izni vermek yerine, yalnızca ihtiyacınız olan özellikleri (örneğin aramalar, müzik ve navigasyon) seçin.
Aracınızın kilidini açmayı, elektronik kontrol ünitelerini yeniden programlamayı veya özellikleri genişletmek, gücü artırmak ya da aracın çalışmasına başka şekillerde müdahale etmek amacıyla resmi olmayan yazılımlar yüklemeyi teklif eden teknisyenlerin hizmetlerinden yararlanmayın. Bu tür yazılımlar üretici tarafından test edilmemiştir: öngörülemez davranışlar sergileyebilir, verilerinizi toplayıp kötü niyetli kişilere iletebilir, güvenlik özelliklerini devre dışı bırakabilir veya direksiyon, fren veya motor çalışması dahil olmak üzere kritik araç sistemlerini etkileyebilir.
Yeni bir araba seçerken, bayiye sadece NCAP güvenlik testlerindeki yıldız sayısını, motor gücünü veya yakıt tüketimini değil, aynı zamanda araçta kullanılan siber güvenlik teknolojilerini de sorun. KasperskyOS’u temel alan Kaspersky Automotive Secure Gateway gibi çözümler, yeni otomobillerde siber tehditlere karşı gerekli korumayı sağlayacaktır.
İnternete bağlı otomobiller başka hangi tehditleri barındırıyor? Daha fazlasını öğrenmek için aşağıdaki yazılarımıza göz atabilirsiniz:
- Hacklenen otoyol: Bağlantılı araçlara yönelik siber tehditler
- Bluetooth kullanarak araba hackleme
- Tekerlekli botnetler: Toplu olarak hacklenen araç kameraları
- Milyonlarca Kia otomobil nasıl takip edilebilir?
- Geçen yaz nasıl araba kullandığını biliyorum
- Tekerlekli casuslar: Otomobil üreticileri bilgileri nasıl topluyor ve sonrasında nasıl yeniden satıyor
İpuçları