Uç Nokta Güvenliği, Nesnelerin İnterneti Güvenliği
Kablosuz Vites Değiştirme Sistemi Tekrar Saldırılarına Karşı Savunmasız
Anviksha Daha Fazla (AnvikshaDevamı) •
21 Ağustos 2024
Bir bisiklet yolunda seyir halindeyken viteslerin aniden uyarı vermeden değiştiğini hayal edin. Güvenlik araştırmacıları, siber suçluların bunu gerçekleştirmek için yeni kablosuz kontrollü bisiklet vites sistemlerinden faydalanabileceğini ve kazalara ve yaralanmalara neden olabileceğini söylüyor.
Ayrıca bakınız: MDR Yönetici Raporu
Bisikletler analog ulaşımın son sınırı gibi görünebilir: dişliler, zincir ve bir vites değiştirici, kabloyla manuel vites değiştiricilere bağlanır. Ancak düşük enerjili kablosuz sistemlerin dijital hassasiyet ve bükülmüş çelik telin sunabileceğinden daha fazla veri izleme vaat ettiği bisikletin üst ucunda durum böyle değildir.
Sıklıkla olduğu gibi, üreticiler kablosuz bağlantının sunduğu avantajları düşünmekte hızlı davrandılar ve bilgisayar korsanlığı potansiyelini kavramakta yavaş davrandılar. Ancak Northeastern Üniversitesi ve Kaliforniya Üniversitesi’nden akademisyenler bu ayın başlarında Japon bisiklet parçaları devi Shimano tarafından yapılan iki kablosuz vites değiştirme sistemini inceleyen bir makale sundular.
Araştırmacılar, bilgisayar korsanlarının, bir tekrar saldırısı olarak bilinen şeyi gerçekleştirebileceğini buldular – bu durumda bir bilgisayar korsanı, bisiklet vites değiştiricilerinden vites değiştiriciye yerleştirilmiş alıcıya iletilen bir sinyali yakalayıp kaydediyor. Bilgisayar korsanları daha sonra sinyali yeniden iletiyor veya tekrar oynatıyor. Araştırmacılar, Shimano vites değiştiricisinin vites yükseltmesine veya düşürmesine neden olan bir sinyali kaydettiklerinde, sinyaldeki paketler zaman damgalı olmadığından, bunu istedikleri zaman geri oynatabileceklerini buldular.
Kablosuz vites sistemleri artık Olimpiyatlar ve Tour de France gibi etkinliklerde en iyi bisikletçiler ve bisiklet takımları tarafından kullanılıyor ve bu da tespit edilemeyen yarış hileleri konusunda endişelere yol açıyor. Bisiklet sporu, yüksek profilli doping skandalları ve bisikletlerin içine gizlenmiş motorları içeren daha yakın tarihli “motor dopingi” sorunu nedeniyle zaten pek de temiz olmayan bir üne sahip. Araştırmacılar, tekrar saldırılarının bir sürücüyü diğerinin pahasına güçlendirmek için nasıl kullanılabileceği konusunda fazla düşünmek zorunda kalmadılar. “Profesyonel yarışlarda, vites pozisyonunda herhangi bir istenmeyen değişiklik, sert sonuçlara yol açacak ve sporun bütünlüğünü etkileyecektir,” dediler.
Bir bisikletçinin sürüşünü sabote etmek için araştırmacılar yazılım tanımlı bir radyo, bir anten ve bir dizüstü bilgisayar kullandılar. Ekipmanları bir sırt çantasına kolayca sığabilir, yani hedeflenen bisikletten etkili menzil sınırı 10 metredir.
Çalışmanın ortak yazarı ve Northeastern doçenti Aanjhan Ranganathan, Information Security Media Group’a vites değiştirme sinyallerini şifrelemenin etkili bir savunma olmayacağını söyledi. “Bu bir ‘kayıt ve tekrar oynat’ saldırısıdır, yani herhangi bir iletişimi şifresini çözmemiz gerekmiyor, sadece kaydedip tekrar oynatıyoruz,” dedi. Yazarların incelediği Shimano sistemleri sahte sinyalleri önlemek için temel şifreleme kullanıyor, ancak bu, vites küçültme veya yükseltme sinyalinin toptan yeniden iletilmesine karşı bir koruma değil. “Vites değiştirici, bunun vites değiştiriciden kaynaklandığını düşünüyor,” dedi.
Araştırmacılar tarafından önerilen olası savunmalar arasında zaman damgalı paketler de yer alıyor. Ancak bunu yapmak kolay olmayacaktır, çünkü zaman damgaları “cihazlar arasında hassas senkronizasyon” gerektirir, dediler. Ayrı cihazların internet veya GPS sinyalleri gibi paylaşılan bir zaman kaynağına sahip olmaması durumunda bu bir zorluktur.
Shimano ayrıca, tekrar saldırısı olasılığını ortadan kaldırmayacak ancak en azından yürütülmesini zorlaştıracak bir önleyici tedbir olan yuvarlanan kodları da kullanabilir. Bir yuvarlanan kod güvenlik sistemi, gönderici ve alıcı tarafından bilinen bir algoritma tarafından üretilen tek seferlik bir sayısal kod gönderir.
Araştırmacılar, bir güvenlik yaması geliştirmek için işbirliği yapan Shimano ile iletişime geçti. Şirket, Wired’a güncellemenin şu ana kadar yalnızca profesyonel bisiklet takımları için kullanılabilir olduğunu ve bu ayın sonlarına doğru genel kullanıma sunulacağını bildirmesine rağmen yeni bir aygıt yazılımı güncellemesi duyurdu. Derginin söylediğine göre, müşterilerin yamayı nasıl dağıtacakları belli değil.
Mevcut bir sorunu çözen her teknolojik gelişme için yeni sorunlar da yaratılır. Eski sarmal kablo sistemi o kadar hassas olmayabilirdi, dedi Ranganathan, ancak “kablolu sistemlere saldırmak zordur.”