Nesnelerin İnterneti, Siber Silah Olarak Kullanılabilir- Igor Lukic – Hacker
by 0
Çok güvenli bir ağınız olabilir ancak tek bir cihaz bile güvenlik ağınızı tehlikeye atabilir. Düşünün; CEO’nun ofisinde bir televizyon var ve bu televizyon hack edilebilir. Tüm ağınız bir anda güvenli olmaktan çıkar.
Locard Siber Güvenlik Zirvesi’nde, Enigmasec’ten Hacker Igor Lukic ile “Nesnelerin Interneti(IoT)”nin siber silah olarak kullanılması üzerine yararlı bir söyleşi yaptık.
Kendinizden ve Locard’tan bahsedebilir misiniz?
Kanarya Adaları’nda Enigmasec isimli küçük bir güvenlik şirketinin sahibiyim. Müşterilerimize penetrasyon testlerinin, denetim ve sistemlerinin güvenliğini sağlamak üzere hizmet veriyoruz. Çocukken bilgisayar korsanlığı işine başladım. Her zaman teknoloji, güvenlik konularınıve hack etmeyi sevdim, sonra İspanya’da Hacron markasıyla konferanslar yapmaya başladık. İstanbul’da konuşmacı olarak bazı konferanslara katıldım. Bu konferanslarda Musa Savaş ve Nurhan Demirel’le tanıştım ve siber güvenlik konusuna küresel bir bakış getirmek üzere Locard markasını oluşturduk. Ana fikir; küresel güvenlik konferansı yapmaktı ve merkez olarak İstanbul’u seçtik ve konferansları her yıl İstanbul’da düzenleyeceğiz.
Bu ilk Locard Siber Güvenlik Zirve’siydi, sizce nasıl geçti?
Gayet iyi gitti. Farklı yerli ve yabancı konuşmacılar vardı ve seyirci de ilgiliydi.
Bana bir hackerın hayatını anlatabilir misiniz? Aktif olarak bu işi yapıyorsunuz ancak kendinizi gizlemiyorsunuz.
Ben bir hackerım ve teknolojiyi seviyorum ama yeraltı dünyasında yerim yok! Aslında hackerlar ve siber suçlular ayrı kategorilerdir. Bunu ayırt etmek zorundayız. Zarar vermek isteyenler siber suçlulardır.
“Nesnelerin İnterneti” siber silah olarak nasıl kullanılıyor?
İçlerinde ne olduğunu bilmek önemli. Bu aletlerin saldırı için kullanılabileceği insanların akıllarına gelmiyor. Kullanışlı olduğunu, arabada, evde, vücutlarında yardımcı olduğunu düşünüyorlar. Akıllı veri, hayatı kolaylaştırır ama yanlış ellerde manipüle edildiği zaman tehlikeli olabilir. Ağlar, şifreler ve mahremiyet saldırıya uğrayabilir ve veri de satılabilir.
Akıllı telefon kullanırken de aynı tehdit yok mu? Birçok özel bilgimizi paylaşıyoruz.
Evet, ama sorun şu ki hiç kimse akıllı TV’den ya da akıllı buzdolabından şüphe duymuyor. Buzdolabınız saldırıya uğrasa haberiniz olmaz. Bu daha büyük bir tehlike.
Akıllı telefonların daha kontrollü olduğunu, sağlayıcıların da tehlikenin daha farkında olduğunu mu söylüyorsunuz? Bu nesnelerin interneti için geçerli değil mi?
Evet, internetin başladığı döneme benziyor. Hiç bir güvenlik yoktu çünkü tehdit yoktu. Teknoloji de ilk başta böyle değildi.
İyi bilinen bir markayı alsak da bu risk geçerli mi?
Evet, tabii ki. Buradaki sıkıntı içindeki farklı üreticilerden gelen bileşenler. İyi bilinen bir markadan ürün aldığınızda onunla birlikte gelen on tane farklı üreticiden gelen parçayı da almış oluyorsunuz ve neyi aldığınızdan haberiniz olmuyor.
Gerçekten bilinen bir markadan ürün alırken güvenliğin problem olacağına inanmak zor geliyor.
Markaya bağlı tabii ama burada problem içindeki ürünler zaten. Son ürün basit olmalı. Mesela; tüketici, spor için akıllı bir bileklik kullanıyor ve çalışıyor, sorun yok. Genelde bu yaklaşım problemli ve bazı güvenlik sorunları içeriyor. Özellikle üreticiler ürünleri piyasaya sürmek için acele ediyorlar ki daha fazla satabilsinler. Güvenlik, süreci yavaşlatıyor ve iş dünyasında yavaş olmak, ölüm demek. Başkası daha hızlı olacağı için bir yarış var ve bunu genellikle atlıyorlar. Problem çıktığında çaresine bakarız yaklaşımı geçerli.
O zaman bu bir kalite problemi değil mi?
Kaliteli olmak zordur. Güvenlik pahalıdır. İyi elemanlar alacaksınız, yüksek maaşlar ödeyeceksiniz ve genellikle üreticiler bunu atlıyorlar.
Anladığım kadarıyla IoT’de bir güvenlik zaafı var. Startup’lara bu konuda çalışmalarını önerir misiniz?
Aslında hayır. Buradaki boşluk iç malzemelerin güvenliğini sağlamakla ilgili yani güncel süreçlere bir adım eklemek lazım. Güvenlik şirketleri bu tarz ürünler için servis geliştirmeli. Mesela dün telefonumdaki Whatsapp güvenliğim için endişe ederken; şimdi bir sürü cihaz için de endişelenmeliyim çünkü daha fazlası geliyor. Çok güvenli bir ağınız olabilir ancak tek bir cihaz bile güvenlik ağınızı tehlikeye atabilir. Düşünün; CEO’nun ofisinde bir televizyon var ve bu televizyon hack edilebilir. Tüm ağınız bir anda güvenli olmaktan çıkar.
Bir tüketici neye dikkat etmeli?
Türkiye’de söylendiği gibi “inşallah” demeliler! Gerçekten böyle. Size bugün sihirli bir ilaç verebilirim ama yarın bu geçerli olmayacaktır. Bu büyük bir problemdir. Güvenlik bitmeyen bir süreçtir. Şirketlerin stratejiye ihtiyacı var. Farklı seviyeleri düşünmeliler, öncelikle fiziksel güvenlik, ağlar, program ve çekirdek güvenliği gibi.
Son tüketiciler?
Bir tüketici için de aynı kavram geçerlidir. Son tüketiciler biraz daha bilgili olmalı ve biraz sorumluluk taşımalılar. Kullanıcılar kılavuzları bile okumuyorlar.
Bugün zaten insanlar çok fazla bilgiyle yükleniyorlar ve siz de kullandığımız cihazların riskleri hakkında da düşünmemiz gerektiğini söylüyorsunuz!
Hayat zor!
Bir şey satın alırken güvenli olduğundan emin olmak için ne yapabilirim?
Bu iyi bir soru. Benim önerim analiz etmeniz gerektiğine dair. Bu bir taktik, bir yaklaşım bana göre. Tipik bir tüketici olarak ilk yapmanız gereken: düşünmek “gerçek bir tehdit nedir?”. Örneğin kaç kalori yaktığınızı bilmek gerçek bir tehdit midir? Neden bir hacker bunu bilmek istesin? Geniş bir perspektiften bakmak gerekir. Bir GPS izleme sistemi varsa, yerinizi ve ne yaptığınızı öğrenebilir. Yani, tehdidi analiz etmek ve kabul ya da reddetme kararı vermek gerekir.
O zaman kullanmamalıyım.
Amerika Birleşik Devletleri Başkanı olduğunuzu ve bu tip bir teknoloji kullandığınızı düşünün, o zaman bu bir tehdittir. Tipik bir tüketici için bu daha düşük bir risktir. Benim açımdan o kadar da önemli değil.
Gerçek tehdidin iletişim ve otomobil olduğundan bahsettiniz.
Burada marka ve kalite kritik konumdadır. Tesla’yı örnek alalım. Arabanın yüksek teknoloji içereceğini bilen Tesla, birinci günden itibaren tüm araçlarının aynı anda güncellenebileceği bir sistem kurdu. Diğer üreticiler bunu göremedi. Tüketiciler, güvenlik riski söz konusu olduğunda, araçlarını servise götürene kadar tehlike altındalar. Bu sadece teknoloji konusu değil, aynı zamanda bir güvenlik yaklaşımı. Tehlikeyi analiz etmeniz gerekiyor.
Sunumunuzda vahşi bir balina ile beyaz köpekbalığı arasındaki mücadelenin örneğini verdiniz. Burada ana fikir saldırının yöntemini bilmekti. Bunu açıklar mısınız?
Tabii ki. İç malzemelerin siber silah olarak kullanıldığını söyledim. Bu doğrudan “Gelişmiş Kalıcı Tehdit (APT-advanced persistent threat)” ile bağlantılıdır. Birisi kurbana bir siber saldırı yapmayı hedeflediğinde kullanılan bir yöntemdir. Örneğin, size saldırmak istiyorum ve spor yapmayı sevdiğinizi biliyorum ve bir bileklik taşıyorsunuz, ben de onu silah olarak kullanıyorum. Bu hedeflenmiş bir saldırıdır. APT, şirketler, büyük markalar, insanlar ve hükümetlere saldırmak için kullanılır. Sponsorlu saldırganlar, doğrudan hedeflenen kişinin zarar görmesini isterler.
National Geographic’te bir belgeselde gördüğüm vahşi bir balina ile beyaz köpekbalığı arasında bir mücadelenin örneğini verdim. Kavga ederlerken balina köpekbalığı ile yüz yüze savaşmıyor. Düşmanını analiz edip en çok zarar verebileceği pozisyonu arıyor. Beyaz köpekbalığına belinden saldırıp onu döndürürseniz hareket edemiyor, transa giriyor ve kimyasallar beynine zarar veriyor. En ufak bir çizik dahi almadan balina sadece üstüne oturup ölmesini bekliyor. Bu, sessiz ama hedefe odaklı, taktiksel bir saldırıdır. Bir kere vurdunuz mu geri dönüşü yok. Bugünlerde güvenlik konusunda da benzer bir yaklaşımı kullanıyoruz.
Startup’lara siber güvenlik sektöründe ne tavsiye edersiniz?
Toplum için ürünlerin içinde gelen dâhili malzemeler ciddi bir tehdit oluşturuyor. Birisi tehdidi kontrol etmeye yardımcı olacak bir araç bulursa insanlar bunu kesinlikle satın alacaktır.
Ürünün güvenli olduğunu ölçen bir uygulama gibi bir şey mi?
Bunun için kullanılacak uygulamalar bugün de var ancak 100% güvenli sonuç vermiyorlar. Bugün sadece kısmi çözümler var. Önemli olan bütüncül bir çözüm üretmek.
Çok teşekkürler.
Benim için zevkti.