Nesnelerin İnterneti (IoT) kavramının güvenliği üzerinde yapılan birinci araştırmaların üzerinden yıllar geçti. IoT teknolojisinin kullanım alanı genişledikçe bu araştırmaların kıymeti de artıyor. Yeni eserler ve tahliller, yeni tehditlerin ortaya çıkmasına ve kullanıcı güvenliğinin riske atılmasına neden oluyor. Bir Kaspersky çalışanı meskenine kurduğu akıllı sistemin incelenmesi için şirketin araştırmacılarından yardım istedi. Bu maksatla, araştırmacılara akıllı konut sisteminin denetim aygıtına erişimini verdi. Denetim aygıtının seçilmesinin nedeni akıllı konut sistemindeki tüm süreçleri birbirine bağlaması ve gözetlemesiydi. Bu aygıta yapılacak başarılı bir atak, konut ekosisteminin tamamına erişilmesini sağlıyor. Bu da casusluktan fizikî sabotaja kadar birçok farklı gayeye hizmet edebiliyor.
Araştırmanın birinci bilgi toplama evresinde araştırmacılar birçok potansiyel taarruz vektörü keşfettiler. Konut otomasyon sistemlerinde sıkça kullanılan Z-Wave kablosuz bağlantı protokolü, idare panelinin web arayüzü ve bulut altyapısı üzerinden taarruz gerçekleştirilebiliyordu. Araştırmacılar taarruz için en tesirli formülün bulut altyapısını kullanmak olduğunu gördüler. Aygıta süreç talebi göndermekte kullanılan usuller incelendiğinde, yetki verme sürecinde açıklar olduğu ve bunun da uzaktan kod çalıştırma ihtimali verdiği sonucuna varıldı.
Bu teknikler kullanıldığında dışarıdan bir kişi Fibaro konut merkezlerinden buluta yüklenen tüm yedeklere erişip ziyanlı yazılım içeren yedekleri buluta yükleyebiliyordu. Akabinde bu yedekleri, sistemde hiçbir yetkileri olmamasına karşın istediği bir denetim aygıtına da indirebiliyordu.
Kaspersky araştırmacıları deneyi tamamlamak için denetim aygıtına bir test saldırısı düzenlediler. Bunun için başka olarak geliştirilmiş parola muhafazalı bir kod içeren özel bir yedek belge hazırlandı. Akabinde, aygıtın sahibine bulut üzerinden bir e-posta ve SMS göndererek denetim aygıtı yazılımının güncellenmesi gerektiğini söylediler. “Kurban” da talep üzerine ziyanlı yazılım içeren yedeği indirdi. Bu sayede araştırmacılar akıllı mesken denetim aygıtında harika kullanıcı haklarına sahip oldu ve temaslı tüm sistem üzerinde değişiklik yapma imkanına kavuştular. Araştırmacılar sisteme girmeyi başardıklarını göstermek için de alarm sesini değiştirdiler. Araştırmayı isteyen Kaspersky çalışanı sonraki sabah yüksek düzeyli davul sesiyle uyandı.
Kaspersky ICS CERT Güvenlik Araştırmacısı Pavel Cheremushkin, “Akıllı mesken denetim aygıtına erişen gerçek saldırganlar bizim üzere sırf alarm sesini değiştirerek latife yapmakla kalmazlar. İncelediğimiz aygıtın ana misyonlarından biri tüm “akıllı cihazları” entegre etmek ve mesken sahibinin bunların tümünü tek bir merkezden yönetmesini sağlamaktı. Yaptığımız değerlendirmenin en değerli detayı ise etkin olarak kullanılan bir sistemin amaç alınması oldu. Evvelden, araştırmaların birden fazla laboratuvar ortamlarında gerçekleşiyordu. Bu araştırma, IoT güvenliği konusunda farkındalık artsa da çözülmesi gereken sıkıntılar olduğunu gösteriyor. Daha da kıymetlisi, incelediğimiz bu aygıtlar seri bir halde üretiliyor ve birçok akıllı mesken ağında kullanılıyor. Sıkıntılara karşı gösterdiği sorumlu tutum nedeniyle Fibaro’ya teşekkür ediyoruz. Kendilerinin siber güvenlik konusuna odaklandıklarını biliyoruz. Arkadaşımızın meskeni artık araştırmadan öncesine kıyasla çok daha güvenli” dedi.
FIBARO CPO’su Krzysztof Banasiak, “IoT altyapısı birbiriyle uyumlu çalışan çok katmanlı ve karmaşık bir sistem gerektiriyor. Çok fazla uygulama ve altyapı çalışması yapılıyor. Kaspersky’e yaptığı araştırma ve gayreti için teşekkür ediyoruz. Bu araştırma, eserlerimizin ve hizmetlerimizin güvenliği üzerinde çalışmamıza yardımcı oldu. Birlikte potansiyel açıkları kapattık. FIBARO kullanıcılarına güncellemeleri kurmalarını ve e-postalarının FIBARO web sitesindeki duyurularla uyumlu olup olmadığını denetim etmelerini ehemmiyetle tavsiye ediyoruz. Yeni güncelleme sisteme yeni fonksiyonlar eklemesinin yanı sıra siber hatalıların özel dataları çalmasını da zorlaştırıyor” dedi.
