Yazılar

Yüzbinlerce Otel Odasına İz Bırakmadan Girmek Mümkün

Screen-Shot-2018-04-26-at-10.13.37-923x1030 Yüzbinlerce Otel Odasına İz Bırakmadan Girmek MümkünDünya üzerindeki milyonlarca elektronik kapı kilidi hacklenme tehlikesi ile karşı karşıya.

Elektronik kapı kilitlerinde en çok kullanılan yazılım Vision Software, kilit ise Assa Abloy olarak kabul edilebilir. Bu ürün yaklaşık 20 yaşında. Yaklaşık 12 yıllık bir çalışma sonucunda uzmanlar bu yazılımda güvenlik açığı keşfederek kapı kilitlerini izinsiz açmayı başardı.

Assa Abloy kilitleri Sheraton, Radisson, Hyatt, Intercontinental gibi dünya çapında ünlü çok sayıda otel zincirinde kullanılıyor. Kilitleri hackleyen uzmanlar kilitleri açmak için hem özel yazılım, hem de özel donanımlardan faydalanmış.

Kilitleri hacklemek için önceden kullanılmış ve artık aktif olmayan bir temassız oda giriş kartı yeterli olabiliyor. Bu kartla sadece otel odası değil, otelde kartla girilebilecek diğer bölümlere de izinsiz giriş yapılabiliyor. Bunlar arasında asansörle VIP katlarına izinsiz çıkmakta sayılabilir.

İsveçli üretici firma gerekli güvenlik yamalarını yayınladığını, otellerin 2 ay kadar önce bu yamaları yüklemeye başladığını duyurdu. Fakat henüz yeterince otel sistemlerine yamayı yüklemiş durumda değil.

Hacker çetesi bankadan 1.3 milyon euro çaldı

barclays-banka-kvm-cihaz-300x269 Hacker çetesi bankadan 1.3 milyon euro çaldıSekiz kişilik hacker çetesi Barclays Bankasından 1.3 milyon euroyu oldukça pratik bir yöntemle çaldı. Metropolitan Polis Merkezi yetkililerinin bildirdiğine göre içinde 3G router bulunan, KVM adında klavye, mouse, görüntü iletmeye yarayan cihazı Londranın kuzeyindeki bir Barclays şubesine yerleştirdiler.

Çete üyelerinin bu cihazları şubeye sokmak için IT ekibinden kişiler gibi davranarak sosyal mühendislik uyguladığı da belirtiliyor. Sonrasında 3G çalıştıran KVM cihazına uzaktan bağlanan çete üyeleri izinsiz transferleri gerçekleştiriyor.

Çetenin 1.3 milyon euronun yanı sıra hatırı sayılır miktarda kredi kartı, kişisel bilgiyi de ele geçirdiği biliniyor. Üstelik tüm bunlar milyonlarca dolar yatırılan firewall, IPS, antivirus sistemlerine sahip bankanın tüm güvenlik önlemlerini atlatacak 300 dolar değerinde bir donanım ile gerçekleştiriliyor.

Bu noktada tekrar akıllara gelen şey kurumların bilgi güvenliği yatırımlarını ürünlerden çok, penetrasyon testi süreçleri ve sosyal mühendislik gibi saldırılara karşı yapmaları gerektiği.