Teknolojik Ürünler Siber Güvenlik Açıkları Barındırıyor
Her yıl akıllı saat, web kamerası ve sesli asistanlar gibi teknolojik ürünlerin ve cihazların kullanımı önemli ölçüde artıyor. Counterpoint tarafından yapılan bir araştırmaya göre 2020’nin ilk yarısında akıllı saatlerin satışında yüzde 20 artış yaşandı.
Bu tür teknolojik gelişmeler göz ardı edilemeyecek faydalar sağlasa da perdenin arka tarafında büyük tehditler içeriyor. Pazara çıkan teknolojik ürünlerin çoğu yeni olduğu için yapılarında siber güvenlik açıkları bulunuyor. Bu yüzden siber saldırganların bu zafiyetleri istismar etmesi pek de şaşırtıcı olmuyor.
Web Kamerasının Ele Geçirildiğini Anlamanın Yolları
Tüm dünyayı etkileyen COVID-19 salgınıyla birlikte video konferans hizmetlerinin, dolayısıyla web kameralarının da kullanımı önemli derecede arttı. BBC teknoloji editörlerinden Chris Baraniuk tarafından kaleme alınan yazıda web kameralarına yönelik ilginin ne kadar fazla olduğu ele alınıyor. Dolayısıyla web kameraları dark web’de gezinen siber suçlular tarafından öncelikli bir hedef oluyor. Web kamerasının hala kullanıcının denetiminde olduğuna birkaç kolay yöntemle emin olmak mümkün.
1. Web kamerasının ışığı alakasız zamanlarda açılıyor mu? (h3)
Cihazların büyük çoğunluğunda web kameralarının yanında küçük bir led ışık yer alıyor. Web konferansları ya da toplantıları gibi durumlarda web kamerası açıldığı zaman ışık da kendiliğinden yanmaya başlar. Ancak özellikle kullanıcı kamerayı kullanmadığı zaman ışık yanıyorsa başka birisinin uzaktan kamerayı kontrol ettiği anlamını taşıyabilir. Bu yüzden kullanıcının kamerayı kullanmadığı zaman ışığın yanıp yanmadığına dikkat etmesi gerekiyor.
Öte yandan arkada çalışan uygulamalardan birisi de kamerayı size sormadan çalıştırıyor olabilir. Bu yüzden kullanıcıların bu uygulamalara bakması ve çalışan uygulamaların izinlerini kontrol etmesi de yararlı olur.
Tarayıcılara yüklenen eklentiler de kullanıcıların bilgisi dışında kamerayı açabilir. Eğer belirli bir tarayıcı çalıştırıldığında kamera sürekli çalışıyorsa, bu tarayıcıya yüklenen bir eklentinin kamerayı açtığı anlamına gelebilir. Hangisi olduğunu anlamak için kullanıcılar tüm eklentileri kapatıp sonrasında sırayla tek tek açarak kontrol edebilir.
2.Bilgisayarda web kamerasıyla çekilmiş video dosyaları oluşturuluyor mu?
Eğer siber saldırganlar gelişmiş yazılımlarla web kamerasını ele geçirmiş olursa kamerayla kaydedilen görüntüleri bilgisayara kaydetmiş olabilirler. Bu yüzden bilgisayar içinde kullanıcının video ve fotoğraf dosyalarını taraması ve kendisinin kaydetmediği görüntülere bakması, web kamerasının siber saldırganlar tarafından ele geçirilip geçirilmediğini anlamanın en kolay yollarından birisi olarak öne çıkıyor. Müşteri kayıtları hassas veriler arasında yer aldığı için, çekilmiş olan ekran görüntüleri için özellikle dikkatli olmak gerekiyor.
3.Güvenlik ayarları değişmiş olabilir mi?
Kötü amaçlı yazılımlar, web kamerasının kontrolünü daha kolay bir şekilde ele geçirmek için güvenlik ayarlarında değişiklik yapabilir. Kullanıcılar web kamerasının uygulaması üzerinden güvenlik ayarlarına bakarak detaylı bilgilere ulaşabilir. Örneğin Windows 10’da uygulamaların web kamerasını kullanmasını engelleme özelliği yer alıyor. Veri ihlallerine karşı daha dikkatli olmak için kullanıcı her zaman uygulamalar aracılığıyla web kamerasına erişimi engelleyebilir. Güvenlik ayarları düşük seviyede tutulduğu takdirde ihlaller gerçekleşebilir ve kullanıcılar büyük zarar görebilir.
4.Anti virüs programları şüpheli bir uygulama bulabilir
Kullanıcılar, yüklü olması tavsiye edilen anti virüs programlarıyla manuel bir tarama yaparak cihazlarında kötü amaçlı bir yazılım olup olmadığını veya şüpheli hareketlerin gerçekleşip gerçekleşmediğini öğrenebilir. Ek olarak anti virüs raporunun detaylarına bakarak web kamerasının açığa çıkıp çıkmadığını da görebilir ve anti virüs programının şüpheli tüm içerikleri kaldırdığından emin olabilir.
Dikkat! Kötü amaçlı siber saldırgan mesaj gönderdiğinde ne yapmanız gerekiyor?
Bilgisayara sızan hackerlar, cihaza bir mesaj göndererek web kamerasından elde edilen görüntülerle şantaj yapabiliyor ve kullanıcılarına taleplerini ileten mesajlar gönderebiliyor. Bu mesajlara bir phishing (oltalama) gibi yaklaşmak gerekiyor. Bu mesajların neredeyse tamamı siber saldırganın yaptığıyla veya eriştiği dosyalarla ilgili yalan bilgiler içeriyor. Dolayısıyla web kamerası görüntülerini görmeden kullanıcıların bu bağlantıya tıklamamaları çok önemli.
Web kameralarının güvenliği sadece COVID-19’la ortaya çıkan bir durum değil. Web kamerasını bantla kapatmak veya özel bir web kamerası kapağı kullanmak bireysel kullanıcılar için alışıldık bir durum. Ancak kurumlarda kullanılan kameralar 7/24 açık kalıyor.
Etik bir hacker olan Avishai Efrat, az bir gayretle 15.000’den fazla potansiyel olarak erişebileceği kamera bulduğunu söylüyor. Bu noktada bağımsız güvenlik araştırmacılarından alınacak hizmetlerle bu boşlukları tespit etmek ve kapatmak mümkün. Kameraya sızmanın yanı sıra donanım, yazılım ve ağ kontrollerinde uzman olan araştırmacılar, kameranın ve farklı IoT cihazların güvenliğini sağlayabilir.
Akıllı Saatlerin Siber Güvenliği Aşılabiliyor
Akıllı telefonlarla eşleyerek kullanılan ve son birkaç yılda gittikçe popülerleşen akıllı saatler, büyük veri kayıplarına geçit verebiliyor. 2019’da yapılan birçok araştırma, ebeveynlerin çocuklarını takip edebilmek için satın aldığı saatlerde önemli açıklar keşfetti. Smartgeekwrist.com sitesi çocuklar için geliştirilmiş olan 11 akıllı saati bağlantıdaki blog içeriğinde kıyaslıyor ve güvenlik konusuna dikkat çekiyor.
Aynı yılın sonlarına doğru akıllı saatlerin bağlandığı bulut ortamlarında keşfedilen açıklar, milyonlarca hücresel bağlantı özelliğine sahip akıllı saati hedef alabilecek çok büyük bir tehlikeyi işaret etti.
Akıllı saatler, akıllı cihazlara Bluetooth üzerinden bağlanıyor. Bluetooth bağlantılar da zafiyet riskini beraberinde getiriyor. Norveçli Tüketici Konseyi’nin (Norwegian Consumer Council) çocukların kullandığı saatler üzerinde yaptığı araştırma, söz konusu saatlerin kolayca ele geçirilebileceğini açığa çıkarttı. Olası sorunların arasında hackerların çocukları saatlerdeki mikrofonlar üzerinden dinleyebilmesi, bina içinde veya dışında olduğu bilgisini elde edebilmesi, arkadaşlarıyla veya tek başına oynadığını bilebilmesi gibi birçok senaryo yer alıyor.
Akıllı saatler, birçok hassas veriye aynı anda sürekli erişim sağladığı için saldırıya müsait bir konumda yer alıyor. Bu yüzden akıllı saat kullanıcıların bir an bile güvenliği elden bırakmaması ve akıllı saatin seçiminden kullanımına kadar her aşamada dikkatli adım atması gerekiyor. Böylece birçok kötü amaçlı güvenlik açıklarından kaçınmak mümkün.
Sesli Asistanlarda Açıklar Bulunuyor
Akıllı telefonlarda bir standart haline gelen sesli asistanlar, kullanıcının sadece konuşmasıyla birçok işi yapabiliyor. Ancak siber saldırganlar, sesli asistanları ele geçirerek kullanıcıların işlerini yapmak için seslendirdiği bilgileri ele geçirebiliyor. Arama yapmak için sesli bir şekilde okunan numaraların, isimlerin veya adreslerin kötü niyetli hackerlar tarafından öğrenilmesi çok da zor değil.
Araştırma şirketi Canalys’in raporuna göre sadece 2017’de 56 milyon sesli asistan cihazı satıldı. Bu istatistik, sesli asistanların hayatımızda çok önemli bir yer kapladığını gösteriyor. Bu durum, Microsoft’un Nisan 2019’da yayınladığı Voice raporuna göre kullanıcıların yüzde 80’inin sesli asistanlardan memnun olduğunu belirtmesiyle daha da güçleniyor. Ancak yüzde 41’i de güvenlik ve gizlilik açısından endişeli olduklarını dile getiriyor. Rapor için görüşlerini paylaşanların yüzde 52’si kişisel bilgilerin veya verilerin güvenliğinden emin olmadığını söylüyor.
Sesli asistan teknolojisi işleten firmaların ve asistanları kendi sistemlerine entegre eden geliştiricilerin dijital ortamlarını mutlaka konunun uzmanı olan araştırmacılara ödül avcılığı (bug bounty) programları aracılığıyla test ettirmesi siber saldırılar karşısında risklerini keşfetmesinin en etkin yolu. Hackerlar ile eşdeğer becerilere sahip çok yetenekli ve doğrudan sonuç elde etmeye odaklı bağımsız araştırmacılar ile hizmet veren platformları kullanarak sistemleri sürekli test ettirmek etkili ve uygun maliyetli bir çözüm.
Siber Güvenlik Açıklarınızı Hackerlardan Önce Siz Keşfedin
Yeni teknolojiler önemli faydalar sağlıyor olsa da siber saldırganlar tarafından istismar edilmeye çok açıklar. Bu yüzden hem bireysel hem de kurumsal kullanıcıların tetikte olması gerekiyor. Güncel sorunlar, modern çözümler ve farklı bakış açıları gerektiriyor. Bu noktada en güncel çözüm olarak kullanıcıları siber saldırılara karşı korumak için yaratıcı ve yüksek becerilere sahip araştırmacılar öne çıkıyor.
BugBounter olarak platforma dahil olan yüzlerce güvenlik araştırmacısı ile kurumların güvenlik açıklarını keşfetme ihtiyacını karşılıyor ve iletilen raporların doğrulama hizmetini hızlı ve güvenilir bir şekilde veriyoruz. Platformumuza kaydolup çalışma koşullarını kabul eden ve sözleşme imzalayan yüzlerce siber güvenlik uzmanı güvenlik açıklarını belirlenen sınırlamalar çerçevesinde buluyor ve bu açıkları BugBounter üzerinden raporluyor. Raporların kalite kontrol, doğrulama ve derecelendirme süreçleri platform üzerinde gerçekleştirildikten sonra şirkete sadece doğrulanan açıklar iletiliyor. Böylece sızma testlerinde sıklıkla ortaya çıkan “false-pozitif” ve “false-negatif” gibi verimsizliklerin de önüne geçilmiş oluyor.