Akıllı Ev Cihazlarını Siber Saldırılardan Korumak

Akıllı hoparlörler, otonom elektrikli süpürgeler ve diğer her türlü akıllı ev cihazı gün geçtikçe daha da uygun fiyatlı hale gelirken ev ağları da artık bu tür onlarca aleti barındırabilecek kapasiteye ulaşmış halde. Bu durum bir yandan, pratik ve teknolojik ilerleme sağlarken evde bağlı cihaz sayısının artması cihaz sahipleri açısından daha büyük riskleri de beraberinde getiriyor. Akıllı süpürge veya akvaryum gibi güçlü olmayan bağlantıya sahip cihazları hack’leyen bir saldırgan, aynı ağa bağlı herhangi bir bilgisayardan veya akıllı telefondan gizli verileri çalabiliyor…

Endişeler ve tehlikeler

Bir teknolojik kullanım trendi halini alan IoT, doğası gereği internete bağlı cihazlar demek. Bu kapsamdaki endişeler son derece ileri boyutlarda. Çünkü IoT cihazları evinizde ya da otomobilinizde ne dediğinizden ne yaptığınıza kadar uzanan birçok kişisel veriye işaret ediyor. Şimdiye kadar karşılaşılan bazı gerçekler ise güvenlik açısından önemli sorunların söz konusu olduğuna işaret ediyor.

IoT cihazlarına yönelik siber saldırılar dendiğinde akla ilk gelenlerden biri 2016 yılı sonunda ortaya çıktı. Siber korsanlar çok sayıda IoT cihazını ele geçirdi ve Twitter, PayPal, AirBnb, Reddit gibi çeşitli platformlara DDoS saldırısı gerçekleştirdiler. IoT cihazlarının kontrolünün ele geçirilmesi konusu ise dramatikti; Mirai adı verilen botnet’i kullandılar, söz konusu kötü amaçlı yazılım fabrika ayarlarındaki ‘admin’, ‘12345’ gibi fabrika ayarlarındaki şifreleri dictionary attack (sözlük saldırısı) denen yöntemle buldu ve cihazların kontrolünü ele geçirdi. Brezilya’dan Karadağ’a, Tacikistan’dan Vietnam’a kadar 164 ülkedeki 50 bine yakın IoT cihazının ele geçirildiği kaydedildi.

Son beş yılda, IoT (nesnelerin interneti) ile ilgili siber tehditlerin sayısında 70(!) kat artış yaşandı ve artmaya da devam ediyor. Akıllı cihazların siber suçlular için kolay hedefler olduğu düşünüldüğünde bu artış hiç de şaşırtıcı değil. Öyle ki, yakın tarihte yayınlanan bir rapora göre, IoT aletlerinin %76’sı şifrelenmemiş kanallar üzerinden iletişim kuruyor. Ayrıca geçen yıl bir siber güvenlik şirketi, milyonlarca IoT cihazının internet ile iletişim kurmak için kullandığı bir TCP/IP kütüphanesinde, bazıları kritik olan 19 sıfır gün (zero-day) güvenlik açığı keşfetti.

Sorunun diğer bir yönü de, bazı satıcıların aygıt yazılım güncellemeleri konusunda oldukça az sorumluluk aldığı henüz genç olan ve hızla büyüyen bağlı cihaz endüstrisinde karşımıza çıkıyor. Daha sorumluluk sahibi satıcılar bile ürünlerini güncellemeyi erkenden bırakma eğiliminde ve bu durum, örneğin akıllı cihazları siber saldırıya uğramaya yatkın hale getiriyor.

Yapılan bir araştırma, IoT cihazlarına sahip kişilerin %89’unun güvenlik konusunda endişeleri olduğunu gösteriyor. Cihaz sahiplerinin en çok endişe duyduğu konular ise şöyle sıralanıyor:

• Siber saldırıya uğramış bir cihazın tüm ev ağını etkilemesi,
• Siber suçluların bir aygıtı kilitlemesi ve karşılığında fidye talep etmesi,
• Saldırganların bir kamera veya mikrofon aracılığıyla kendilerini gözetlemesi,
• Cihazın arızalanması ve kullanılamaz hale gelmesi.

Ne yazık ki, endişelerinde haklılar. Peki akıllı evler nasıl daha güvenli hale getirilir?

Akıllı evi korumak

Siber korsanların IoT cihazlarına erişmesini önlemenin en iyi yolu, ev yönlendiricisine, yani internet ile bağlı aygıtların arasına bir koruma yüklemektir. Yönlendirici düzeyindeki koruma, tehditlerin ev ağına girmeden önce durdurulmasını sağlar.

Uzmanlar, güvenliği zayıf veya saldırı altındaki bir sistemin, aynı zamanda ağdaki herkes için tehdit oluşturduğuna dikkat çekiyor. Belirledikleri akıllı cihazları zamanla daha iyi analiz eden siber saldırganlar, güvenlik derecelerine göre IP adreslerini işaretliyor. Dahası, saldırıya uygun olarak işaretlenen IP adresleri darknet karaborsalarında satılıyor.

Tehditleri ‘minimize’ edebilecek önlemler şu şekilde sıralanıyor:

• Satın almadan önce IoT cihazının güvenlik özellikleri ile ilgili araştırma yapın.
• Kullanımda olan IoT cihazlarınızın denetimini yapın.
• Varsayılan olarak yüklü kimlik bilgilerini (kullanıcı adı, şifre gibi) mutlaka değiştirin, sadece cihazlarınızın için değil internet ağınız için de belirli aralıklarla şifre güncellemeye önem verin.
• Kablosuz ağınızın şifresinin zorluk derecesinin yüksek düzeyde olmasına dikkat edin, tahmin edilebilir, basit (12345 gibi) şifrelerden kaçının. Güvenli parola stratejileri için kapsamlı ipuçlarına incelemek isterseniz buraya tıklayabilirsiniz.
• Eğer birçok özelliği bir arada sunan IoT cihazlarına sahipseniz kullanılmayacak olan fonksiyon ve hizmetleri kapalı tutun.
• Mümkün olan yerlerde Secure Shell (SSH) kullanın. SSH, sunucuların uzaktan yönetimini mümkün kılan kriptografik ağ protokolüdür.
• IoT cihazlarındaki varsayılan olarak gelen gizlilik ve güvenlik ayarlarını ihtiyaçlarınızı baz alarak düzenleyin.
• İhtiyaç olmadığı zamanlarda IoT cihazlarına uzaktan erişimi kapalı tutun. Koruma altına alın.
• Mümkün olan noktalarda kablosuz ağ yerine kablolu ağ kullanın.
• Güncellemelere önem verin, üreticinin web sayfasını belirli aralıklarla ziyaret ederek yayınlanan güncellemeleri cihazınıza yükleyin.