Uç Nokta Güvenliği, Donanım / Çip Düzeyinde Güvenlik
Senatör, Hükümeti Az Bilinen Üretici Sıfırlama Kodlarını Kamuoyuna Anlatmaya Çağırdı
Chris Riotta (@chrisriotta) •
14 Mart 2024
Üst düzey bir ABD senatörü, Pekin'in Çin'de üretilen ve Amerikan halkı tarafından kullanılan ticari elektronik kasalara izinsiz erişim sağlayabileceğine dair endişelerini dile getiriyor.
Ayrıca bakınız: Fidye Yazılımı Savunmasında Uç Nokta Mükemmelliğiyle Yönelme
Senatör Ron Wyden, D-Ore., Çarşamba günü Ulusal Karşı İstihbarat ve Güvenlik Merkezi müdürüne “ABD hükümetinin güvenlik standartlarını karşılamayan ticari kasa kilitlerinin oluşturduğu karşı istihbarat riskleri hakkında” bir mektup gönderdi.
Mektupta, “Piyasada satılan pek çok kasanın, yalnızca üretici tarafından belirlenen ve yalnızca üretici tarafından bilinen özel kodlar kullanılarak da açılabilen elektronik kilitler içerdiği” belirtiliyor. Ayrıca, üretici sıfırlama kodlarının varlığının “tüketicilere belirgin bir şekilde duyurulmadığını” da söylüyor.
Senatör, “Bu arka kapı kodları, ABD şirketlerinin kasalarda sakladığı ticari sırlar ve diğer fikri mülkiyet hakları gibi hassas bilgileri çalmak için yabancı düşmanlar tarafından kullanılabilir” diye uyardı.
Wyden ayrıca ABD hükümetinin, üretici sıfırlama kodlarının oluşturduğu güvenlik açıkları hakkında “halkı karanlıkta tutmayı tercih ettiğini” ve sıfırlama kodlarından herhangi bir şekilde söz edilmesini, onaylanmış kilitler için hükümet standartlarının dışında bırakarak “kamuoyunun bu kodların varlığından haberdar olmasını engellemeyi tercih ettiğini” söyledi. “
Elektronik kasa üreticileri, acil erişim ve bakım amacıyla fabrika sıfırlama kodlarını bulundurur ve teknisyenlerin veya sahiplerin, bir arıza veya şifrenin unutulması durumunda kasanın kilitleme mekanizmasını sıfırlamasına olanak tanır.
Uzmanlar, Bilgi Güvenliği Medya Grubu'na küresel ticari elektronik kasa pazarının ağırlıklı olarak üç büyük şirket tarafından kontrol edildiğini söyledi: Çin'den SecuRam Systems, ABD'den Sargent ve Greenleaf ve İsviçre'den Dormakaba. Güvenlik firması NetRise'ın CEO'su Tom Pace'e göre SecuRam Sistemleri, ABD'de satılan en popüler elektronik kilit ve kasalardan biridir.
Pace, “Çin hükümetinin bu kodlara uygun gördüğü şekilde erişim sağlaması hiç de zor değil” dedi. SecuRam'ın Çin merkezli olmayan diğer üreticiler için de kilit ve parça ürettiğini söyledi. “ABD merkezli bir üreticiden bir ürün satın alıyor olsanız bile, içinde Çin üretimi bileşenler bulunabilir.”
Wyden'in mektubunda, SecuRam'ın “elbette Çin yasalarına uymak zorunda olduğu” belirtiliyor; bu yasa, ÇHC merkezli şirketlerin veri paylaşımı taleplerine uymasını ve yabancı gözetim operasyonlarına yardımcı olmasını zorunlu kılıyor. Wyden, NCSC'yi ABD kuruluşları için kamuya açık eğitim kaynaklarını güncellemeye ve kasa kilitlerini hükümetin güvenlik standartlarına uygun şekilde yükseltmeye yönelik öneriler eklemeye çağırdı.
SecuRam medya isteklerine yanıt verecek durumda görünmüyordu. Pazarlama için belirlenmiş bir e-posta adresine gönderilen talebe hemen yanıt vermedi.
Siber güvenlik firması GuidePoint Security'nin kıdemli güvenlik danışmanı Christopher Warner, “İnsanlar kasa kilitlerinde yerleşik arka kapı kodlarının bulunmasının yaygın olduğunun farkında olmayabilir” dedi.
Warner, kuruluşların potansiyel arka kapı erişimi açısından kullanımdaki tüm ticari kasaları test etmesi ve “tüm kasalar üzerinde bir değerlendirme yapması ve gelecekteki kasalar için politikaları, standartları ve prosedürleri güncellemesi” gerektiğini söyledi.