“Akıllı” asma kilit satın almak neden kötü bir fikir?

Mayıs 16, 2019

Son zamanlarda YouTube’daki LockPickingLawyer kanalının videolarını izlemeye başladım. Özellikle daha önce hiç anahtarsız kilit açmaya çalışmadıysanız bu kanalın videolarından çok şey öğrenebilirsiniz. Ama bunların arasından bir konu beni daha çok etkiledi: “Akıllı” asma kilitler fiziksel güvenlik konusunda son derece başarısız.

Uyarı: Metnin tamamında ironiyi belirtmek için tırnak işaretlerini kullanmak biraz abartılı görünebileceğinden öyle yapmayacağım. Akıllı kelimesini her kullandığımda “akıllı” demek istediğimi unutmayın. Ayrıca kilit kelimesi de bazı yerlerde “kilit” anlamına gelebilir.

Bir akıllı telefon uygulaması ya da NFC (yakın alan iletişimi) kartıyla açılacak şekilde tasarlanan eGeeTouch akıllı bavul kilidiyle başlayalım. Herkesin 3D yazıcıda kolaylıkla yazdırabileceği bir TSA ana anahtarı tüm bavul kilitlerini açabileceği için bu kilitlerinin tamamen işe yaramaz olduğunu şimdilik göz ardı edelim. Ancak bu küçük asma kilit işleri daha da kötüleştiriyor. O kadar kötü tasarlanmış ki bir çakı, hatta plastik bir kartla bile kolayca parçalarına ayrılıp açılabiliyor.

Aynı şey bu Pavlit parmak izli asma kilit için de geçerli. Plastik ön paneli bir tornavida ya da çakı yardımıyla çıkardığınızda kilidi açan düğmeyi göreceksiniz. Bu arada bu asma kilidin, çok önemli bir güvenlik açığı daha var: Maymuncuk kullanarak da açılabiliyor.

Bir başka örnek de TurboLock TL-400KBL akıllı bisiklet kilidi. Bu asma kilit, Bluetooth ile bağlanan bir akıllı telefon uygulamasıyla ya da tuş takımını kullanarak PIN kodunun girilmesiyle açılıyor. Fiziksel güvenlik uzmanı olmasanız bile bu asma kilidin zayıf noktasını tahmin edebilirsiniz: Plastikten üretildiği için büyük olasılıkla kolayca kırılabilir ya da yakılabilir. Ancak bu kilidi açmak için böyle tahrip edici işlemlere de gerek yok bir tornavida yardımıyla kolayca sökebilirsiniz. Bu işlem, plastik bir oyuncağı parçalarına ayırmak kadar kolayca sökülebiliyor.

Uervoton parmak izli asma kilide de bir göz atalım. Bu kilidin, oldukça sağlam görünen metal bir gövdesi var. Bir çakı ya da tornavidayla açılamayacağını düşünüyorsunuz, değil mi? Maalesef ki tasarımı berbat: Kilit yüzeyindeki vidaları sökmek çok kolay. Vidaları söktükten sonra da kilit parçalarına ayrılıyor.

Son olarak BoxLock kilidini inceleyelim. Akıllı kilitler arasında en makul görünen örnek bu. Asma kilit, barkodlarla çalışıyor. Kilidi, teslimat paketi üzerine basılı bir barkodla açılacak şekilde programlayabilirsiniz. İlk bakışta oldukça sağlam görünen bu kilit, görünüşünün hakkını veremiyor. Kilitliyken bile bir tornavida yardımıyla parçalarına ayırabilirsiniz.

LockPickingLawyer kanalında daha birçok akıllı kilitle ilgili inceleme videoları bulunuyor. Ancak kilitlerin neredeyse tamamında aynı sorun var: Bu kilitler, tüketiciye yönelik elektronik cihazlar olarak tasarlanmış ve bu tasarımları yüzünden en basit fiziksel saldırılar karşısında bile savunmasız kalıyorlar.

Geleneksel kilitler ise çok daha farklı bir tasarıma sahip. Öncelikle gövdeleri, tek parça katı metalden üretiliyor. İkinci olarak vidaları genellikle gizli ve kilit açıkken ulaşabileceğiniz en az bir vida bulunuyor. Üçüncüsü ise iyi asma kilitlerin kilit açma mekanizmalarında maymuncukla açılmayı önleyen bilyalı rulmanlar var. Elbette daha birçok güvenlik özelliği var. Burada yalnızca temel konuları ele aldık, çok pahalı olmayan kilitlerde de bile bu kural geçerli. Bu Yale asma kilidi de iyi bir örnek:

Maalesef, akıllı kilit üreticileri bu tasarım özelliklerine dikkat etmeyerek müşterilerini en basit saldırılar karşısında bile savunmasız bırakıyor. Bu nedenle bir akıllı kilit satın almadan önce iki kere düşünün. İki kat daha fazla para ödeyip karşılığında daha az güvenliğe sahip olabilirsiniz. Güvenliğinizi sağlamak istemeseydiniz zaten kilit satın almazdınız, değil mi?