Bu Güvenlik Açığı Bir IoT Cihazını Kötü Bir Casusa Dönüştürebilir

Yayınlanan: 2021-06-24

IoT'nin hayatımız üzerinde dikkate değer bir etkisi oldu. Artık hayatımızı çok daha kolay ve rahat hale getirebilecek bir ağ üzerinden bağlı cihazlarımız var. Akıllı telefonlardan akıllı saatlere, internetle çalışan kapı zillerine, kapı alarmlarına, güvenlik kameralarına, hoparlörlere, kapı kilitlerine, ışıklara, ampullere ve bebek telsizlerine kadar liste sonsuzdur. Ancak bu nimetle ortalıkta bir bela belirir ve yani kötü niyetli kişiler bu cihazlara girebilir ve hemen harekete geçilmezse hayatımızı alt üst edebilirler. Ancak, bilgisayar korsanları ne zaman IoT cihazlarını besleyebilir? Cevap, bir güvenlik açığını fark ettiklerinde veya biz kullanıcılar olarak sağlıklı güvenlik alışkanlıkları uygulamadığımızda ortaya çıkar.

Blogun ilerleyen bölümlerinde bir kullanıcının güvenlik alışkanlıklarına gireceğiz, ancak önce bir güvenlik açığının bir bilgisayar korsanını IoT cihazınıza ve ardından kişisel veya profesyonel yaşamınıza nasıl yönlendirebileceğini tartışalım. Son zamanlarda, bir güvenlik açığı IoT cihazlarını vurdu. Bu güvenlik açığı, IoT ses ve video yayınlarınıza erişim sağlayabilir ve bir casusluk aracına dönüşebilir.

Bu Güvenlik Açığı Neyle İlgilidir? Güvenlik Kusurunun Ağırlığı Ne Kadar Ciddi?

Nozomi Networks Lab ve DHS'deki araştırmacılara göre, güvenlik açığı kötü niyetli saldırganların bir IoT cihazını kurcalamasına izin verebilir. Ev güvenlik kamerası, bebek monitörü veya akıllı kapı zili gibi belirli bir IoT cihazını kolayca bir casusluk aracına dönüştürebilirler. Bu güvenlik açığı nedeniyle, önemli verileri çalabilir veya video akışlarında casusluk yapabilirler. Saldırgan, yukarıda belirtilen kanallar aracılığıyla kişinin kişisel hayatına girmenin yanı sıra, müşteriler, çalışanlar ve hatta üretim teknikleri ile ilgili veriler gibi önemli iş verilerini bile çalabilir. Güvenlik açığı gerçekten çok ciddi. Öyle ki, Ortak Güvenlik Açığı Puanlama Sistemi (CVSS) bunu önem ölçeğinde 9,1/10 olarak değerlendiriyor.

Bu Güvenlik Kusurları Nasıl Ortaya Çıktı?

Güvenlik
Kaynak: onetech

Kusur, önde gelen IoT cihazları tedarikçilerinden biri olan ThroughTek adlı bir şirket tarafından üretilen bir yazılım bileşeninde (P2P SDK) keşfedilen bir tedarik zinciri hatasıdır. P2P'nin SDK'sı, internet üzerinden ses/video akışlarına uzaktan erişim sağlar. SDK, akıllı sensörlerde, bebek ve evcil hayvan izleme kameraları gibi güvenlik kameralarında, kapı zillerinde vb. bulunur ve izleyicinin ses/video akışlarına erişmesine yardımcı olur. Kusur, P2P'nin 3.1.5 veya önceki sürümlerini etkiler. Nozomi'nin gösterdiği gibi, SDK'nın eski sürümleri, veri paketlerinin aktarım sırasında ele geçirilmesine izin verir. Bir bilgisayar korsanı, bu paketleri eksiksiz ses veya video akışlarına dönüştürebilir.

Tek'in Savunması sayesinde

ThroughTek, 2020'nin ortalarında piyasaya sürülen 3.3 sürümünde bu hatayı giderdi. Sorun şu ki, pek çok cihaz hala eski yapıyı çalıştırıyor. İkinci olarak, ThroughTek'e göre, bir saldırı gerçekleştirmek için olası bir saldırganın ağ dinleyicisi araçları, ağ güvenliği ve şifreleme algoritması hakkında kapsamlı bilgiye sahip olması gerekir.

Geçmişte de IoT Güvenlik Açıkları ve Hack Saldırıları Örneklerimiz Oldu

saldırı saldırıları
Kaynak: hornetsecurity
  • 2016'nın Mirai Botnet veya Dyn Saldırısı - Bu, Netflix, Reddit, Twitter ve CNN dahil olmak üzere internetin önemli bölümlerinin çökmesine neden olan servis sağlayıcı Dyn'e yapılan en büyük DDoS saldırısıydı.
  • FBI'ın son bulgularına göre, güvenliği sonradan düşünülen Smart TV üreticileri var ve güvenli olmayan bir TV, bir bilgisayar korsanı tarafından yalnızca kanallarınızı veya ses düzeyinizi kontrol etmek için değil, hatta sizi takip etmek için de kullanabilir.
  • San Antonio'daki Texas Üniversitesi'nden bir araştırmacı, bilgisayar korsanlarının diğer IoT cihazlarına bulaşmak için kızılötesi özellikli akıllı ampulleri kullanabileceğini iddia ediyor.
  • Araştırmacılar, ünlü bir akıllı sürgüde, saldırganların evlere girmesine ve hatta kapıların kilidini açmasına izin verebilecek böcekleri ortaya çıkardı.

Üzerinde Düşünülecek Bir Şey

2025 yılına kadar 21 milyardan fazla IoT cihazı olacağı tahmin ediliyor. Bu, dünya nüfusunun neredeyse 3 katı. Yukarıdaki araştırma hem geliştiriciler hem de kullanıcılar için ufuk açıcıdır, dikkat edilmezse sadece kaç kullanıcının siber saldırıların kurbanı olacağını merak edebiliriz.

Korkmana Gerek Yok! Zamanında Bir Dikiş Bir IoT Saldırısından Kaçınmaya Yardımcı Olabilir

Geliştiriciler üzerine düşeni yaparken, kusurları düzeltirken ve bu tür saldırılara karşı koyarken, bir kullanıcı olarak siz ne yapabilirsiniz? Numara! Teknik konuları boşaltmak veya sizi korkutmak niyetinde değiliz, bu tür IoT saldırılarından/ güvenlik açıklarından kaçınmak ve IoT cihazlarınızı korumak için atabileceğiniz çok basit adımlar var.

  1. Kaspersky'ye göre, kuruluşların neredeyse %86'sı eski yazılımlara sahip. Bu nedenle, özellikle hayatı IoT cihazlarına bağlı bir şirketseniz, IoT cihazlarınızı güncel tutun.
  2. Bir IoT cihazı (akıllı ampul, akıllı kapı zili, kamera, hoparlör, akıllı TV veya başka bir şey) satın almadan önce araştırmanızı yapın. Cihazın yakın zamanda bir güvenlik açığı sorunuyla karşılaşıp karşılaşmadığını kontrol edin
  3. DDoS saldırılarına karşı koyabilecek bir VPN kullanın. IoT cihazınızın dizüstü bilgisayarınıza bağlı olması ve onu genel Wi-Fi üzerinde kullanıyorsanız, Systweak VPN gibi bir VPN'e gidebilirsiniz. Halka açık bir Wi-Fi kullanırken sizi ortadaki adam saldırılarına, DDoS saldırılarına veya kötü amaçlı yazılım bulaşmalarına karşı koruyabilir.

Systweak VPN'i Şimdi İndirin

indirmek

Systweak VPN'de Tam İncelemeyi Okuyun

  1. Kullanılmadığı zaman IoT cihazınızın fişini tamamen çekin. Cihazınız internet bağlantısı kesildiğinde basittir, bir bilgisayar korsanının istismar edecek bir hedefi olmaz
  2. UPnP'yi (Evrensel Tak ve Çalıştır) devre dışı bırakın. Gadget'ların diğer ağ cihazlarını keşfetmesine yardımcı olmayı amaçlayan bilgisayar korsanları, bu özelliği kullanarak cihazınıza girebilir. En iyi bahsiniz? Bu özelliği tamamen devre dışı bırakın
  3. Wi-Fi ağları, cihaz hesapları ve hatta bağlı cihazlar için güçlü şifreler kullanın. Mümkünse bir şifre yöneticisi kullanın. Niye ya? Çünkü bu günlerde şifre yöneticileri her seferinde güçlü şifreler oluşturmanıza izin veriyor. Örneğin LastPass'i ele alalım, rastgele, uzun ve aşılması zor şifreler oluşturmanıza izin veren yerleşik bir şifre yöneticisine sahiptir.
  4. Uygulamaların gizlilik politikasını okumadıysanız, belki şimdi bunu yapmanın zamanı gelmiştir. En azından ne paylaşmanız istendiği hakkında bir fikriniz olacak

Sonunda

Yakın gelecek, IoT cihazlarını selamlıyor. Bu gücün daha erişilebilir hale gelmesiyle, daha uyanık ve daha bilgili olmamız gerekiyor. Bu blog, bunu yapmanın ardından küçük bir adım. IoT'yi bizim kadar seviyoruz ve onu daha güvenli hale getirmek için çalışmak istiyoruz, yorumlar bölümünde IoT cihazlarını daha güvenli ve daha eğlenceli hale getirmenin yol ve yöntemlerini bize bildirin. Hatta yakın zamanda bir IoT cihazında karşılaştığınız diğer güvenlik kusurlarını da giderebilirsiniz.