Haftanın Bilgi Güvenliği Haberleri : Konferans Kazası — 22 Kasım 2020

Bu haftanın “bana göre” farklı olarak nitelendirdiğim Siber Güvenlik haberlerini ve gelişmelerini sizler için derledim. -39-

Keyifli okumalar ..

Süpürgem Şifremi Çaldı

Haziran ayında, ortamdaki konuşmaların, odada bulunan bir lambada oluşturduğu titreşimleri hassas bir kamera ile takip ederek, bu titreşimleri tekrar ses sinyallerine dönüştürmenin mümkün olduğunu ispatlayan haberi yayınlamıştık. “The Light is Watching You” demiştik.

Aradan aylar geçmedi ki, benzer bir yöntem daha keşfedildi. Bu yöntemde casusluk yapan bir lamba değil bu aralar alışveriş sitelerinde oldukça popüler olan Akıllı Robot Süpürgeler. Hem de akla hayale gelmedik bir yöntemle.

Yönteme geçmeden önce bu tip robot cihazlarda yer alan lazer sisteminden bahsetmek lazım. Öyle ya bu cihazların evin içinde dolaşıp köşe bucak temizlik yapması için engelleri görebilme yeteneğine ihtiyacı var. Bu göz lazer teknolojisi ile sağlanıyor. Cihaz gönderdiği lazer ışığının cisimlere çarpıp geri dönmesinden önündeki engeli tanımlayıp kendine buna göre bir rota çiziyor. Bunu sağlayan mekanizmaya “Lidar Sensor” deniyor.

Yapılan müdahaleler ile piyasada satın alınabilecek bir Akıllı Temizlik Robotuna (Xiaomi Roborock) ortamda bulunan nesnelerde oluşan titreşimleri dinleme ve bunları siber saldırganların sistemlerine aktarma özelliği eklenmiş. Yapılan test ile evde telekonferans ile konuşan bir kişinin ses dalgalarının evdeki çöp kutusunda meydana getirdiği titreşimler, temizlik robotunun lazer Lidar sensorü ile alınmış ve ters işlemle bu titreşimlerden tekrar sesler oluşturulmuş.

Maryland Üniversitesi ve Singapur Üniversitesi ortak projesi olarak yapılan bu çalışmanın çok fazla detayı bulunuyor. Kapsamlı akademik çalışmayı aşağıdaki videodan takip edebilirsiniz :

Neyse ki şimdilik evdeki süpürgenizden korkmanıza gerek yok diyelim, bu şekilde çalınan bir bilgi henüz bulunmuyor. Ancak teknoloji geliştikçe ve teknoloji kullanımımız arttıkça mahremiyetimizin ne şekilde tehlikeye gireceğini gösteren örnekleri sizlere sunmaya devam edeceğiz. Önceleri Siri, dün bir lamba, bugün bir süpürge gittikçe etrafımızdaki çember daralıyor.

Habere bu linkten ulaşabilirsiniz.

Konferans Kazası

Takım elbiseli, kravatlı, arkalarında temsil ettikleri ülkelerin bayrakları olan devlet görevlilerinin ciddi konferansına, siyah tişörtüyle bağlanmış el sallayan birini görseniz ne düşünürsünüz? Bayrak önlerinde oturanlar Avrupa Savunma Bakanları, siyah tişörtlünün gazeteci Daniel Verlaan, toplantının ise Avrupa Birliği savunma konularının görüşüldüğü güvenli bir konferans olduğunu söylersek çoğunuz konferansın hacklendiğini düşüneceksiniz.

Ancak videonun tamamını izlediğinizde pek öyle olmadığını anlıyorsunuz. Bir hackerdan ziyade sevimli tavırları ile bir gazeteci, şaşırmış bir şekilde kendini konferansın ortasında buluveriyor. Şaşkınlıktan yapabildiği tek şey el sallamak oluyor. Karşısındaki Avrupa Birliği güvenlik otoritesi Josep Borrell kendisini “Gizli bir konferans dalmış olduğunu biliyor musun?” şeklinde uyarıyor. Ancak siyah tişörtlü, böldüğü için özür diliyor, Hollandalı bir gazeteci olduğunu belirtip, hemen ayrılacak olduğunu söylüyor. Josep Borrell bunun bir suç olduğunu ve polis gelmeden bir an önce kapatmasını söylüyor.

Henüz twitter’da izlemenin mümkün olduğu diyaloğu silinmeden izlemenizi öneririm :

Böyle bir vakanın yaşanmasının sebebi ise Hollandalı Savunma Bakanı Ank Bijleveld. Kendisi karantinada olan ve toplantıya evden bağlanan bakan, sosyal medyada bir resim paylaşıyor. Resimde toplantının giriş adresi ve altı haneli giriş şifresinin ilk beş hanesi okunabiliyor. Gazeteci de birkaç deneme sonucunda kendini toplantıda buluyor.

Toplantı güvenlik gerekçesi ile iptal ediliyor, Hollandalı Savunma Bakanı Ank Bijleveld paylaşımını kaldırıyor. Olay kapanıyor. Toplantıya bağlanan gazeteci görüntü ve sesini kapatıp toplantıya katılsa ve konuşulanları kaydetse sonradan da yayınlasa bu olayın ciddi sıkıntı meydana getireceği aşikar. Ancak bu haliyle bile toplantı güvenliği konusundaki tartışmalar için bir örnek daha kayıtlara geçmiş oluyor. Belki uçtan uca güvenli bir toplantı organize etmiş olabilirsiniz, ancak güvenli bir toplantı için sadece uçtan uca güvenliğin yeterli olmadığının bir kanıtını daha görmüş oluyoruz.

Konu ile ilgili yazıya bu linkten ulaşabilirsiniz.

Trump Hesabı hacklendi mi hacklenmedi mi?

Kısa bir süre önce neredeyse tüm medya kanallarında bir haber yayınlandı. Habere göre Victor Gevers adıında bir araştırmacı Trump’ın twitter şifresini tahmin etmiş ve şifrenin Trump’ın seçim sloganının ilk harflerinin sonuna 2020 ve bir ünlem eklenerek oluştuğunu (MAGA2020!), kendisinin de bu şifre ile Trump’ın hesabına girebildiğini iddia etmişti. İddia insanlara çok gerçekçi gelmiş olmalı ki, Trump’ın popüleritesiyle birlikte haber çok hızlı bir şekilde yayılmıştı.

Haberde yerine oturmamış bazı noktalar vardı. Trump gibi muazzam takipçisi olan, ulusal güvenlik riski bulunan hesapları işleten kurumsal iletişim ekipleri olmalıydı, bu tür hesapların çift faktör doğrulaması olmalıydı, bu kadar ciddi bir iddianın ispatı olacak bir delile sahip olmamız gerekiyordu.

Araştırmacı Victor Gevers’in sunduğu tek delil aşağıdaki Trump profilini değiştirebildiğini gösteren ekran çıktısının gerçek olduğu çok inandırıcı gelmedi. Pekala kolaylıkla üretilebilecek bir çıktı olarak not edildi.

İddiaların gerçeklik payını anlamak için Hollanda polis teşkilatı harekete geçip Victor Gevers’i sorgulamaya başladı. Delilerin değerlendiriliyor olmasına rağmen, henüz iddianın gerçeklik payına ait bir kanı oluşmadı. Diğer yandan Victor Gevers elinde başka deliller olduğunu söylemeye devam ediyor. Aslında Trump’un hesabını hacklemediğini sadece şifresini bulduğunu söylüyor. Biz de garip bir hale gelen konuyu takip ediyoruz.

Haberin detayına buradan ulaşabilirsiniz.

Güncel siber güvenlik haberlerinden haberdar olmak için bilgiguvende.com’u takip etmenizi öneriyor, fiziksel ve siber saldırılardan uzak, güzel ve güvenli bir hafta geçirmenizi diliyorum.