Black Hat’in açılış konuşması: Internete kapalı ağlar ‘sözde’ güvenli

Yerel ağlara ve internete bağlı olmayan bilgisayar ağlarının kullanımı yüksek güvenlik gereken savunma amaçlı durumlarda öneriliyor. Bu ağlar air-gap adı veriliyor.

16 Ekim’de Amsterdam’da düzenlenen Black Hat konferansında konuşan Adi Shamir’e göre, kötücül yazılım içeren bir yazıcı bile, air-gap teknolojisini kullanan ağlardaki bilgilere ulaşmak için kullanılabilir. Ağa uzun mesafeden yollanan bir lazer ışını sisteme veri aktarabilir, ve bir insansız hava aracına bağlı bir video kamera da arzulanan veri geri dönüşünü yakalayabilir. Shamir kapalı ağlardaki bu zayıflığı ‘’scangate’’ olarak niteliyor.

Shamir, İsrail’deki Weizmann Bilim Enstitüsü’nde uygulamalı matematik profesörü olarak çalışıyor. Kendisi ayrıca RSA şirketinin ortakları (RSA’in S’i) arasında. Shamir’in, air-gap teknolojisini kullanan kapalı ağlara ilişkin uyarısı basit: Ağa çok amaçlı yazıcı kurmayın, çünkü bu yazıcılarda bulunan tarayıcılar bilgi alma ve yollamada kullanılabilir.

 

Kapalı ağlar: Teoride iyi

Kapalı ağlar gizli bilginin sağlandığı sistemlerde, mesela istihbarat ve askeriyeye ait sistemlerde, ya da havacılık ve nükleer enerji sektörü gibi yüksek riskli alanlarda tercih ediliyor. Pratiklik açısından bakıldığında kullanımları zor. ‘’Kapalı ağlar kağıt üzerinde basit görünebilir, ancak uygulamada sürdürülebilmeleri zor.’’ Bu sözler kriptolog Bruce Sheneier’in kaleme aldığı blog yazısında yer alıyor. Sheneier şöyle devam ediyor:

‘’İşin gerçeği kimse internetten dosya almayan ve internete dosya yollayamayan bir bilgisayar istemiyor. İstenilen şey doğrudan internete bağlı olmayan, fakat güvenli bir biçimde dosya alışverişi yapabilen bir bilgisayar. Ancak, bilgi alışverişi her gerçekleştiğinde saldırı için de potensiyel oluşuyor.’’

Kapalı ağlarda güvenliği sağlamanın zorluğunu gösteren örnekler arasında, İran’ın Natanz nükleer santrifüj tesislerindeki kapalı ağa Stuxnet virüsünün sızması ile uranyum zenginleştirme çalışmalarını felce uğratması sayılabilir. Bu örnekte zararlı yazılım taşınabilir usb bellek ile tesise sokulmuştu. Bu nedenle sadece tek taraflı bir saldırı idi.

Black Hat’teki konuşmasında, Shamir kapalı ağlardan veri almak ve kapalı ağlara veri yollamak adına kötücül yazılımların kullanılıp kullanılamayacağını test etti. Test için Shamir, kendisine yardım eden kripto araştırmacıları Yuval Elovici ve Moti Guri ile birlikte, İsrail hükümetinin ‘’siber güvenlik şehri’’ olarak seçtiği Beersheba’da bir binayı hedef aldı. HP Officejet Pro 8500 aygıtını özellikle inceledikleri araştırmada, alete bir kilometre öteden mavi lazer ile sinyal yollandığında alette mevcut bulunan zararlı yazılımın tarayıcı yolu ile sinyalleri okuyabildiğini buldular.

Ayrıca araştırmada bu mesafenin, yüksek enerji kızılötesi ışınlar kullanıldığında beş kilometreye kadar çıkartılabileceğini buldular. Bu mesafeden saldırının kaynağını belirlemek neredeyse imkansız hale gelebilir.

 

Lazer sinyalleri veri gönderiyor

Lazer, mors koduna benzer bir şekilde, farklı aralıklarla sinyal yayarak mesaj gönderebiliyor. Sistem televizyon kumandalarında bulunan sistemle aynı. Kumandalarda da aletin gönderdiği kızılötesi ışınlar televizyon tarafından alınarak komutlara çeviriliyor.

Black Hat konferansında konuşan Shamir, ‘’lazer çalışırken beyaz bir çizgi, kapalı olduğundaysa siyah bir çizgi görülüyor’’ dedi. Shamir’e göre, lazerin açılıp kapanma paternlerini analiz ederek, kötücül yazılım sinyalleri verilere dönüştürebilir. Bu verilerden biri de, çok_gizli.pdf dosyasının kopyasını oluşturarak yollaması olabilir. Kod eklemesi ile kötücül yazılımın ek işlevler kazanması sağlanabilir.

İdeal olarak, saldırıda tarayıcının kapağının açık olması gerekiyor. Ancak Shamir’in bulguları tarayıcının bir kitabı tararken dahi lazer sinyallerini kenarlardan algılayabildiğini gösteriyor. Ayrıca kötücül yazılım taranan görüntülerdeki çeşitli paternleri tanıyıp, taranan görüntünün dijital imzasından bu paternleri silmeye ayarlanabilir.

 

İHA ile veri çalmak

Kapalı ağdan veri sızdırmak için tarayıcının ışığı çeşitli paternlerde ışıyabilir ve de saldırganlar bu ışımayı kaydedip veriye çevirebilirler. Işık kaynağı cılız olduğu için, Shamir’in bulgularına göre güvenli bir mesafeden, mesela bir kaç kilometreden kayıt yapmak mümkün olmuyor. Bu bulgu üzerine araştırmacılar belirlenen GPS koordinatlarında durabilen ve görüntü kaydedip, görüntü sabitlemesi yapabilen bir İHA edindiler. Araştırmacılar İHA’nın binanın yüz metre üzerinde durduğu durumlarda çözülebilir sinyaller elde edebildiler.

Her ne kadar bu saldırılar deneysel olsa da, kapalı ağlardan bilgi çalmak için ek kanal olarak kullanılabilirler. Shamir’e göre çok amaçlı yazıcılar kapalı ağların en zayıf noktası ve bu aletler kapalı ağlardan çıkartılmalı.

1 Yorum

  1. Pingback: Nükleer tesiste kripto para madenciliği - Dünya Halleri

Yorum Yaz

E-posta hesabınız yayımlanmayacak. Gerekli alanlar * ile işaretlenmişlerdir

*

This site uses Akismet to reduce spam. Learn how your comment data is processed.

%d blogcu bunu beğendi: