Gözetim sistemlerinin olabildiğince güvenli olmasını sağlamaktan kimin sorumlu olduğuna dair bir tartışmaya göz atıyoruz.
Çin yapımı gözetleme kameraları, bir BBC soruşturmasının birkaç marka testi sırasında cihazlardaki kusurları ortaya çıkardıktan sonra kendilerini bir tartışma noktasında buluyor.
Gözetleme ve web kamerası güvenlik açıkları yaygındır ve bunları blogumuzda birçok kez ele aldık. Bu hikayenin ilginç yanı, ulusal güvenlik ve altyapıya yönelik bir tür potansiyel tehdit olarak sunulması. BBC’ye yapılan yorumlardan sadece birinden:
“İtalyan İşini gençliğimizde hepimiz gördük, trafik ışığı sistemiyle tüm Torino’yu durdurursunuz. Eh, o zamanlar bu bir kurgu olabilirdi, şimdi olmazdı.”
Hepsi çok dramatik, ancak İtalyan İşi’nin gerçek hayatta oynandığını henüz görmedik. Buna rağmen, Hikvision adlı bir firma tarafından üretilen birçok cihaz Birleşik Krallık’taki birçok yerel meclis tarafından kullanılmaktadır. Hükümet binalarını izlemek için de kullanılırlar. Bir cihaz savunmasızsa, sorunun boyutunu anlamaya çalışmak kesinlikle değer. Bunu akılda tutarak, ne tür sayılardan bahsediyoruz?
BBC’ye göre, Big Brother Watch tarafından başlatılan geniş çaplı bir bilgi edinme özgürlüğü kampanyası bunu bulmaya çalıştı. Ağustos 2021 ile Ocak 2022 arasında çeşitli kamu kuruluşlarına en az 4.510 Bilgi Edinme Özgürlüğü talebi sunuldu. 1.289 yanıt geldi ve bunların 806’sı Hikvision veya BBC’nin bahsettiği başka bir marka olan Dahua kameralarının kullanıldığını doğruladı. 806 yerel belediyeden 227’si ve 15 polis gücü Hikvision’u kullanırken, 35 yerel belediye Dahua’yı kullanıyor.
Bu kesinlikle çok fazla kamera. Hangi risk keşfedildi?
BBC, uzmanlardan test koşulları altında bir Hikvision kamerayı denemelerini ve tehlikeye atmalarını istedi, ancak ayrıntılara ulaşmak zor. “Güvenlik duvarı olmayan ve çok az korumaya sahip bir test ağı”, bir yerel belediye veya Hükümet ağının doğru bir yansıması mı? 6 yıl öncesine dayanan güncellemeleri ve yamaları uygulamayan kuruluşlar için üreticinin hatalı olacağını varsaymak adil olur mu?
Bunu soruyorum, çünkü test edilen (altı yaşındaki) kamerayla ilgili sonuçlar 2017’den bir güvenlik açığı buldu. Test edenler, kusurun “Hikvision’ın kendi ürünlerine yerleştirdiği bir arka kapı” olduğunu ve yaklaşık 100.000 kameranın çevrimiçi olduğunu iddia ediyor. Bu soruna karşı “hala savunmasız”. Bu, birçok kuruluşun aslında cihazlarını güncelleyemediği anlamına gelir.
Kamerayı tehlikeye atan ve görsellere erişim sağlayan test uzmanları, artık onları kontrol eden yazılıma zorla girerek Dahua kameralarına erişip erişemeyeceklerini belirlediler. Bunu bir kez daha başardılar ve bu sefer kameranın mikrofonuna erişim sağladılar.
Her iki durumda da satıcılar, sorunlar ortaya çıktıktan kısa bir süre sonra bu güvenlik açıklarının her ikisini de yamaladıklarını iddia etti. Aslında Hikvision, soruşturmadan sorumlu olanlara açık bir mektup yayınladı. Okur:
Bu numaranın Haziran 2023’te bir güvenlik ihlalini veya kasıtlı bir arka kapıyı ortaya çıkardığını iddia etmek gülünç. Halihazırda evrensel olarak tanınan CVE standartlarına göre düzeltilmiş bir sorunu sansasyonel hale getirir. Ayrıca, bu test tipik bir ağda değil, güvenli olmayan bir ağda gerçekleştirilmiştir. Bu test, BBC’nin yürüttüğü sözde ‘test’te kameradan çok daha iyi savunulacak olan ‘bugün sokaklarımızı kaplayan kameralar’ın temsilcisi olarak nitelendirilemez.
Devam ediyor:
Hikvision’ın bu güvenlik açığıyla ilgili davranışı, uluslararası kabul görmüş tüm en iyi uygulama standartlarını takip etmiştir. Mart 2017’de güvenlik açığından haberdar edildiğinde, Hikvision bir haftadan kısa bir süre içinde güvenlik açığını düzeltti. Güvenlik açığı – ve Hikvision’ın yaması – ABD’de daha fazla incelemeye tabi tutuldu ve ABD Temsilciler Meclisi Küçük İşletmeler Komitesi’nin o zamanki Başkanı, halka açık bir duruşmada Hikvision’ın bu güvenlik açığı konusunda ABD İç Güvenlik Bakanlığı ile yaptığı çalışmanın herhangi bir yama yapılmamış ekipmandan kaynaklanan devam eden sorunlar, “hükümet veya DHS ile düzenli olarak ilişki kurmayan küçük işletmelerde” yatacaktır.
Daha da ileri giderek, ABD İç Güvenlik Bakanlığı Siber Güvenlik ve İletişim Dairesi Müsteşar Yardımcısı, sorunu çözmek için “şirketle birlikte çalıştıklarını” ve “standart uygulamanın izlendiğini” söyledi.
Sonuç olarak, bu biraz karışık ve muhtemelen yakında çözülmeyecek. Kendi cihazlarınız ister yepyeni ister birkaç yıllık olsun, sizden genellikle bir güncelleme yapmanızı isterler. İster güvenlik nedenleriyle eski cihazların çevrimdışı duruma getirilmesi gerektiğini, ister güvenliklerinden yalnızca kuruluşların sorumlu olduğunu düşünün, kesin olan bir şey var: Güncelleme düğmesine basar basmaz kendi cihazlarınızın güvende olduğundan çok daha emin olabilirsiniz. Muhtemelen yapabilirsin.
Malwarebytes EDR ve MDR, fidye yazılımının tüm kalıntılarını kaldırır ve yeniden virüs bulaşmanızı engeller. İşletmenizi korumaya nasıl yardımcı olabileceğimiz hakkında daha fazla bilgi edinmek ister misiniz? Aşağıdan ücretsiz bir deneme alın.
ŞİMDİ DENE