Uç Nokta Güvenliği, Yönetişim ve Risk Yönetimi, Nesnelerin İnterneti Güvenliği
Araştırmacı Lennert Wouters, Cihaz Hackleme Yarışmalarının ve İşbirliğinin Faydalarını Anlatıyor
Athira Nair •
4 Aralık 2024
Lennert Wouters, Elon Musk’a ait uydu internet hizmeti Starlink’te büyük bir güvenlik açığını ortaya çıkardığında teknoloji dünyasında büyük ses getirdi. Yörüngede 6.600’den fazla uydusu bulunan Starlink, ileri teknolojisiyle ünlüdür. Ancak en iyi sistemlerin bile güvenlik açıkları olabilir.
Ayrıca bakınız: MDR Yönetici Raporu
Wouters, 25 dolarlık özel yapım bir mod çipi kullanarak 2022’de bir Starlink antenini hackledi. Aracı, kısıtlı alanlara erişim sağlamak için sistemin güvenliğini geçici olarak atlayarak bir hata ekleme saldırısı gerçekleştirdi.
Wouters, kusurdan yararlanmak yerine Starlink’i bilgilendirdi. Şirket onu hata ödül programıyla ödüllendirdi ve güvenlik güncellemeleri yayınladı. Wouters için bu keşif, donanım güvenliği konusunda uzmanlaşma tutkusunun bir uzantısıydı.
Belçika’daki KU Leuven Üniversitesi’nden araştırmacı Wouters, “Güvenliğe olan ilgim çalışmalarım sırasında başladı, ancak konuyla ilgili çok fazla akademik ders yoktu” dedi. Wouters, son sekiz yılını yerleşik güvenlik üzerinde çalışarak, günlük cihazların ve ticari ürünlerin güvenlik açıklarını analiz ederek geçirdi. “Konferans görüşmeleri ve öncülerden öğrendiklerim sayesinde donanım güvenliğine odaklanmayı geliştirdim” dedi.
Wouters, otomotiv güvenliği konusundaki yüksek lisans tezi için Tesla, Toyota ve Hyundai modelleri de dahil olmak üzere araçların kilidini açmanın yollarını araştırarak işe başladı. En son, e-scooter’lar, kameralar ve Mi Bantları da dahil olmak üzere Xiaomi cihazlarını analiz etmek için Amsterdam’da Hardwear.io tarafından düzenlenen bir donanım hackleme yarışması olan HardPwn hata ödül programına katıldı.
“Bu etkinlikler başkalarından öğrenmeme, yeni teknikleri denememe ve bunları araştırmamda uygulamama olanak tanıyor. Ayrıca HardPwn gibi etkinliklerde arkadaşım olan inanılmaz insanlarla tanıştım” dedi.
Genişleyen Bir Araştırma Alanı
Donanım güvenliğinin geçmişi 1970’lere kadar uzanıyor, ancak Wouters hâlâ yapılacak çok şey olduğunu ve hata ödül programlarının cihazların güvenliğini sağlamak için hayati önem taşıdığını söyledi. “Hata ödül programları, cihazların geleceğe hazır olmasına yardımcı oluyor. Yanlış gidebilecek her şeyin ters gideceğini varsayıyorsunuz. Bu olaylar ve hata ödül programları, şirketlere kötü niyetli birinin neler başarabileceğini gösteriyor. Bu bilgi, ürünleri güçlendirmek için çok değerlidir” dedi.
Donanım güvenliği alanı, otomotiv sistemlerinden Bluetooth korsanlığına ve kablosuz teknolojiye kadar geniş bir cihaz yelpazesini kapsar. Wouters, Hardwear.io’daki gibi bayrağı ele geçirme yarışmalarının, katılımcıları hızla öğrenmeye ve yeni becerileri uygulamaya iten zorluklar sunduğunu belirtti.
“Xiaomi cihazları benim için yeni, bu yüzden onlara dalmak heyecan verici” dedi.
Çinli tüketici elektroniği ve akıllı ev cihazları üreticisi Xiaomi, Xiaomi Hata Ödül Programı politikası uyarınca birden fazla IoT ürün kategorisindeki güvenlik açığı raporları için nakit ödüller ve etkinliğe özel bonuslar verdi.
“Bu, Xiaomi ürünlerinin güvenliğini ve istikrarını güçlendirmemize yardımcı olan ve sonuçta kullanıcılarımıza fayda sağlayan HardPwn araştırmacılarına bir teşekkür göstergesidir. HardPwn gibi etkinlikler, OEM’ler ve güvenlik topluluğu arasında derinlemesine teknik tartışmalar için paha biçilmez bir platform sağlıyor” dedi. Kuan Song, Xiaomi Grubunun bilgi güvenliği direktörü. “Gömülü güvenlik konusundaki iç çabalarımızı tamamlayan, potansiyel güvenlik kör noktalarını belirlememize ve gidermemize yardımcı olma konusunda dış topluluğun oynadığı önemli rolün farkındayız.”
Hacking etkinlikleri topluluğu ve işbirliğini teşvik ederek yeniliği teşvik eder. Wouters, bu etkinliklerin güvenlik sektöründeki, özellikle uygun fiyatlı cihaz analiz araçlarına yönelik iş fırsatlarını öne çıkardığına inanıyor.
Düzenlemenin Etkisi
Donanım güvenliği ortamı, üreticilerin siber güvenlik standartlarını karşılayan ürünler tasarlamasını ve sürdürmesini, risk değerlendirmeleri yapmasını, bir ürünün yaşam döngüsü boyunca güvenlik önlemleri almasını ve en az beş yıl boyunca güncellemeler sağlamasını gerektiren AB Siber Dayanıklılık Yasası ile değişiyor. Şirketler aynı zamanda iç kontrollerden üçüncü taraf denetimlerine kadar uzanan uygunluk değerlendirmelerine de uymak zorundadır. Yetkililer uyumlu olmayan ürünleri geri çağırabilir.
Wouters bunu hem bir meydan okuma hem de bir fırsat olarak görüyor. “Uygun fiyatlı güvenlik analiz araçları yoğun talep görüyor. Çeşitli fiyat aralıklarında etkili ürünler için bir pazar var” dedi.
Araştırmacılar için bir diğer zorluk da ürünlerdeki güvenlik açıklarını bildirmektir. Wouters, tutumlar değişse de bazı şirketlerin bulguları yayınlamak için araştırmacılara dava açtığını belirtti.
“Cevaplar farklılık gösteriyor. Bazı şirketler açık ve duyarlı, bazıları ise hiç müdahale etmiyor. Ancak birçok işletme araştırmadan ders alıyor ve güvenliklerini geliştiriyor” dedi.
Güvenli cihazlara olan talep arttıkça araştırmacıların ve işletmelerin etki yaratma fırsatları da artıyor. Araştırmacılar, geliştiriciler ve işletmeler arasındaki işbirliği, gelişen cihaz güvenliği sorunlarının üstesinden gelmek için çok önemlidir. Birlikte çalışarak bilgiyi paylaşabileceklerini, güvenlik açıklarını tespit edebileceklerini ve sağlam güvenlik çözümleri geliştirebileceklerini söyledi. Bu çaba, yeni teknolojilerin potansiyel tehditlere karşı daha iyi korunmasını, kullanıcıların ve verilerin korunmasını sağlar.