Uç Nokta Güvenliği, Yönetişim ve Risk Yönetimi, Donanım / Çip Düzeyinde Güvenlik
Mühendis Dennis Giese, Robot Elektrikli Süpürgeleri Hackleme ve Hackathonlar Çalıştırma Konusunda Konuşuyor
Athira Nair •
1 Kasım 2024
Güvenlik araştırmacısı ve mühendisi Dennis Giese, ilk bilgisayarını 8 yaş civarında yedek parçalar kullanarak kurdu. Yıllar sonra ilk robot elektrikli süpürgesini hackledi. Giese yakın zamanda Amsterdam’da Hardwear.io’nun ev sahipliği yaptığı donanım hackathon’u HardPwn’da araştırmacı ve etik hacker olarak yolculuğunu anlattı.
Ayrıca bakınız: MDR Yönetici Raporu
Donanıma olan bu ilk hayranlığı, onu yıllar boyunca yaklaşık 70 robotla çalışmaya itti. Giese, “O zamanlar pek bir şey bilmiyordum, ancak deneme yanılma yoluyla bunu çözdüm ve birçok temel bilgi edindim” dedi.
Güvenlikle ilgili etkinliklerde düzenli konuşmacı olan Giese, artık donanım güvenliğinde öne çıkan bir isim. Son üç yıldır HardPwn’da gönüllü olarak çalışıyor.
“Ortalıkta çok fazla donanım hackathonu yok. HardPwn az sayıdaki ve en alakalı olanlardan biri” diye açıkladı. “Bu etkinliklerde araştırmacılar, hasar konusunda endişelenmeden pahalı, satıcı sponsorlu donanımlarla özgürce deney yapabilirler. Kendi donanımım olduğunda, onu kırmamak için daha dikkatli davranıyorum, bu da denediğim saldırı türlerini sınırlıyor.”
HardPwn’da katılımcılar Amazon, Google, Meta ve bu kez Xiaomi gibi şirketlerin gerçek cihazlarıyla çalışıyor. “Güvenlik standartlarını yükseltmek için bu tüketici elektroniklerindeki güvenlik açıklarını araştırıyoruz” dedi. “Bu düzeltmelerin doğrulanması, daha önce saldırıya uğramamış cihazlarda test yapılmasını gerektiriyor, bu da işi tipik yazılım testlerinden daha zorlu hale getiriyor. Bu süreç, sorunları belirlemek ve yeni çözümler geliştirmek için yaratıcılık gerektiriyor. Hackathon’lar yenilikçi araçlar oluşturma şansı sunuyor.”
Giese, akademik araştırmaların gerçek endüstri işbirliğiyle pratik uygulamalara dönüşebileceği Hardpwn gibi etkinliklerin benzersiz önemine dikkat çekti. “Üreticiler, teori ve pratik arasındaki boşluğu kapatan çözümler geliştirmeye aktif olarak katılıyorlar” dedi.
Robotik Güvenlik Açıklarını Ortaya Çıkarma
Dikkate değer keşiflerinden biri Ecovacs robot elektrikli süpürgelerindeki güvenlik açıklarıydı. Evde kullandığı Xiaomi elektrikli süpürge robotlarını analiz eden Dennis, kategoriyle ilgilenmeye başladı.
“2018’de tersine mühendislik için bir Ecovacs robot elektrikli süpürge aldım. Ancak donanımı pek iyi olmadığından onu depoya koydum. 2022’de Ecovacs’a geri döndüm ve X1 modelini hackledim.”
Güvenlik araştırmacısı arkadaşı Braelynn Luedtke ile birlikte çalışan Giese, ürün yazılımı üzerinde tersine mühendislik yaptı ve cihazın iletişim protokollerini inceledi. “Burada pek çok güvenlik açığı bulduk: bozuk TLS şifrelemesi, BLE (diğer adıyla BLE RCE) aracılığıyla komut enjeksiyonu ve canlı video özelliğinde PIN’in atlanmasına izin veren bozuk mantık. Canlı video bypass’ı için yine de bozuk TLS şifrelemesinden kimlik bilgilerini alarak veya kimlik bilgileri doldurarak hesaba erişmeniz gerekiyor” dedi Giese.
Giese’nin bulduğu güvenlik açıkları, bilgisayar korsanlarının bu cihazları Bluetooth ve Wi-Fi aracılığıyla kontrol etmesine, kameralara, mikrofonlara, Wi-Fi kimlik bilgilerine ve oda haritalarına erişmesine olanak tanıyabilir. Giese, “Isıtma veya aydınlatma gibi şeyleri kontrol eden akıllı ev cihazlarına sahip olanlar için basit şifrelerden kaçınmak çok önemli. Aksi takdirde birisi evinizin sistemlerini kontrol edebilir, cihaz verilerini alabilir ve hatta evinizin planını bile görüntüleyebilir” dedi.
Ecovacs başlangıçta güvenlik açıklarının yakınlık gerektirdiğini ve minimum kullanıcı riskini ima ettiğini iddia etse de, daha fazla inceleme, sorunları gideren ürün yazılımı güncellemelerine yol açtı.
Farkındalık Çağrısı
Çoğu insan için donanım güvenliği büyük bir endişe kaynağı değildir. Giese, ancak belirli kullanıcıların (politik olarak aktif veya yüksek riskli kişiler) maruz kalma durumlarını değerlendirmesi gerektiğini vurguladı.
“Sıradan kullanıcıların özellikle kamera ve mikrofon konusunda dikkatli olması ve bunların oturma odası veya yatak odası gibi özel alanlara yerleştirilmesini dikkatle düşünmesi gerekiyor” tavsiyesinde bulundu.
Bir IoT ekosisteminde birçok cihaz, birden fazla birim arasında iletişim kuran buluta bağlanır. Bu, bireysel veya sınırlı cihazlara yönelik potansiyel güvenlik açıkları içerse de, saldırganlar genellikle kusurları bir cihaza fiziksel olarak müdahale ederek ve ardından bulut erişimi aracılığıyla zayıf noktalardan yararlanarak keşfeder. Örneğin Ecovacs’ın ABD ve Avrupa’daki 28 milyon cihazı göz önüne alındığında, bu tür güvenlik açıklarının potansiyel etkisi geniş kapsamlı olabilir.
Donanım Güvenliğinde Büyüme
Bu cihazların güvenliğinin sağlanması hem donanımın hem de üzerinde çalışan yazılımın anlaşılmasını gerektirdiğinden donanım güvenliği uzmanlığına olan talep artıyor.
Giese, “Bir cihazın donanım yazılımını incelemek, geniş çapta ölçeklenebilecek sorunları ortaya çıkarabilir” dedi. Donanım güvenliğinde başarılı olmak için hem donanım hem de yazılımdaki güvenlik açıklarını kapsayan benzersiz bir beceri setine duyulan ihtiyacı vurguladı. “Birçok güvenlik uzmanı yazılımdan anlasa da çok azı uygulamalı donanım bilgisine sahiptir. Bir cihaza fiziksel erişim, satıcıların savunmasını zorlaştırır ve her iki alanda da beceri sahibi uzmanlara ihtiyaç yaratır” dedi. Bu uzmanlık nadirdir ve donanım güvenliğini son derece değerli ve iyi telafi edilen bir alan haline getirir. Giese’ye göre şirketler, donanım ve siber güvenlik alanlarında çift bilgiye sahip, deneyimli profesyonelleri giderek daha fazla arıyor.
Dennis, donanım güvenliği becerilerini geliştirmek isteyenler için küçükten başlamayı öneriyor.
“Bir geliştirme kartı üzerinde basit bir gömülü cihaz oluşturun ve onu internet üzerinden kontrol edin. Cihazın işlevselliğini anlamak için temel kurulumlarla başlayın, ardından güvenlik açıklarını belirlemeye geçin” dedi.
Pek çok siber güvenlik uzmanı uygulamalı donanım deneyimine sahip değildir, ancak siber güvenlik uzmanlığını eklemeden önce bilgisayar bilimi ve donanımı konusunda sağlam bir temel gereklidir. Giese, “Köşeleri kesmek donanım güvenliğinde gerçek yetkinliğe yol açmayacaktır” dedi.