Yazılar

Kolumuzdaki güvenlik açığı: Akıllı saatler

kolumuzdaki-guvenlik-acigi-akilli-saatlerSon yapılan araştırmalara göre akıllı saatler ortalamanın üzerinde güvenlik zayıflıklarına sahip. Güvensiz kimlik doğrulama, şifreleme ve gizlilik sıkıntıları, çeşitli yazılımsal güvenlik açıkları bu yeni pazarı tehdit ediyor.

Durum öylesi bir hal almış ki şu an için önerilen şey güçlü bir kimlik doğrulama sistemi gelinceye kadar akıllı saatlere araba veya evimizi bağlamamamız yönünde. Diğer yandan tek tehdit evimiz veya arabamız değil. Akıllı saatler yavaş yavaş kurumsal ağlara da bağlanıyor ve bu bambaşka tehditlerin önünü açacak.

Akıllı saatler şimdiden yaşamımızın bir parçası olmaya başladı. Gelecekte kullanımı artacak bu cihazlar yeni tehditleri de hayatımıza katıyor. Akıllı saatlere dair açıklık kategorilerinden bazıları;

Yetersiz kimlik doğrulama ve yetkilendirme: Mobil telefonlarla eşleştirilen akıllı saatlerin hiçbirini iki aşamalı şifre gibi bir önleme sahip değil. Aynı zamanda 3-5 başarısız denemeden sonra hesabı kitlemiyorlar. Bunun anlamı brute force yoluyla basit şifrelere ulaşılabilecek olması.

Şifreleme ile ilgili yetersizlikler: Şifreli iletişim bir akıllı saat için belki en temel özellik. Ürünlerin neredeyse tamamı SSL/TLS şifreleme kullanıyor. Bunların %40’ının ise bulut bağlantısı var ve POODLE saldırısına karşı savunmasız. SSLv2 gibi zayıf cipherlar aktif ve kullanılabiliyor.

Güvensiz arabirimler: Akıllı saatlerin %30’u bulut tabanlı bir web arabirime sahip. Bunların tümü brute force saldırılarına karşı savunmasız durumda. Aynı zamanda mobil uygulamaları da brute force saldırılarından muzdarip. Kullanıcı adı bilinmiyorsa, şifre sıfırlama aşamasında kullanıcı adını belirlemekte mümkün durumda.

Güvensiz yazılım ve donanım: Akıllı saatlerin %70’i firmware güncellemeleri, firmware dosyalarının transferi sırasındaki şifreleme konusunda açıklar içeriyor.

Gizlilik sıkıntıları: Tüm akıllı saatler isim, adres, doğum tarihi, kilo, cinsiyet, kalp atış hızı ve diğer sağlık bilgilerini toplayıp üreticiye iletiyor.

Göz ardı edilen tehlike: BIOS

goz-ardi-edilen-tehlike-biosEndüstri yoğun şekilde işletim sistemleri, browserlar, yazılımlar, gömülü sistemlere dair açıklar ve dahasıyla uğraşırken göz ardı edilen BIOS çok ciddi tehditlere gebe.

Milyonlarca BIOS teknik bilgi gerektirmeksizin hacklenebilir şekilde kullanılmaya devam ediyor. BIOS’lar saldırmak için ideal bir hedef. Yapısı gereği yüksek haklarla, kalıcı ve gizli erişim sağlamak için kullanılabiliyor. Üstelik neredeyse kimse de BIOS’ları yamamıyor.

LightEater adı verilen zararlı yazılım ile şimdiye kadar Gigabyte, Acer, MSI, HP, Asus gibi üreticilere ait BIOS’lar istismar edilerek GPG özel şifreleme anahtarı çalınabildi. Üstelik bu saldırıyı uygulamak için saldırganın iki dakikadan az süre için bilgisayarınıza erişimi olması yeterli. Sadece veri ele geçirmek için sızmak değil. Aynı zamanda LightEater sahip olduğu kernel driver ile CPU ve flash chip’e komutlar göndererek sistemin kapanarak bir daha açılmamasını da sağlayabiliyor.

LightEater kişisel, kamu, ticari, askeri gibi her türlü alanı doğrudan ilgilendiren bir problem. Diğer alanlara odaklanırken unutulan BIOS güncellemelerinin IT ekipleri tarafından takip edilerek yapılması önemini her geçen gün arttırıyor.