Bir polis telsizine güvenmenin ve kimsenin onu hacklemeyeceğini beklemenin mantıklı ve güvenli olmadığı sürekli olarak kanıtlanıyor
Kolluk kuvvetlerinin telsiz sistemleri ile ilgili haberleri okuduk, Black Hat üzerinden oturumlara katıldık ve bu saldırı sınıfının ardındaki motivasyonu merak ettik. Yıllar önce ve muhtemelen her zaman DEF CON’da, eğlencesine bile olsa bir şeyleri ele geçirmek öncelikti. Ancak ulus-devletlerin antenleri neredeyse kesin olarak bu haberi yakalayacak. Şimdiye kadar duymadığınız türden saldırıları yakında daha fazla duymayı bekleyebilirsiniz.
Kritik altyapılara saldırılar
Yıllar önce, kritik altyapılara yapılan saldırıların tek seferlik olup olmadığı ya da daha fazlasının olup olamayacağı bize sorulmuştu. Ardından herkes, özellikle de savaş zamanı operasyonlarında olduğu gibi ideolojik nedenleri olan saldırganlar için, tehdidin gerçek olduğunu anladı.
Fidye yazılımı bunun doğal bir uzantısıydı, ancak mümkün olduğu kadar uzun süre tespit edilmeden istihbarat toplamak isteyen milliyetçi saldırganlar için farklı bir soruyu gün ışığına çıkardı. Kolluk kuvvetleri ağında kimlerin yer aldığı sorusu.
Pek çok güvenilir iletişim ortamında kullanılan eski ağların, doğal afetlerde bile, tıpkı barajlar, su arıtma tesisleri ve benzerleri gibi yıllarca çalışması bekleniyor. Eski ağlar en çok dayanıklılıkla ilgilenir, ancak güvenliğe daha az önem verirler. Güvenlik konusu bir anda gündeme gelse bile, bu sistemlerin, özellikle de eski sistemlerin, güvenlik uygulaması anlamında iyi bir seviyede olduğu kesin değildir.
İsteksiz satıcılar
Konuşmacılardan biri, tescilli Tetra radyo sistemleri ekibinin, konuşmacıların çeşitli şekillerde kırdığı özel şifreleme dışında herhangi bir önlem alma konusundaki genel isteksizliğinden bahsetti. Avrupa Telekomünikasyon Standartları Enstitüsü (ETSI), belirsiz, tescilli şifrelemeye sahip olmanın, birden çok zayıf noktası olsa bile, bazı açık, geniş çapta incelenmiş bir algoritma kullanmaktan çok daha güvenli göründüğünü düşündü.
Ayrıca konuşmada, ulus-devletlerin daha önce ulusal güvenlik bağlamında Tetra tabanlı ekipmana büyük ilgi ve belki de erişim gösterdiğine dair kanıtlar sundular. Yani bu gerçekten yeni bir şey değil, sadece belirsiz bir durum.
Araştırmacıların ekipmana göz atmasının önündeki engellerden biri, donanım satıcılarının donanım ve yazılıma erişim konusundaki aşırı isteksizliğidir. Pek çok araştırmacının, sorunların varlığını kanıtlamak için büyük meblağlar harcayacak bütçesi yok, bu yüzden de harcamıyorlar. Bu yalnızca ulus devletlerin, yani en fazla çıkarı olanların, para harcamaya razı olacağı anlamına geliyor… ancak nedeninin durumu düzeltmek değil, istismar etmek olması da yüksek olasılık.
Ayrıca, gelecekte teknoloji ihracatının bir düşman tarafından kullanılabileceğine dair korkutucu olasılık ile birlikte, güvenliği daha da azaltabilecek ihracat kısıtlamaları nedeniyle en iyi şifrelemenin yaygın olarak kullanılacağı düşünülüyor (çünkü Tetra telsizleri tam olarak dünyanın her yerinde bir şekilde bulunuyor).
Black Hat’in rolü, sorunların çözülmesi için bu konularda çalışmak ve böylece hepimizin daha güvende olmasına yardım etmektir. Bir kara kutuya güvenmenin ve kimsenin onu hacklemeyeceğini beklemenin mantıklı ve güvenli olmadığı sürekli olarak kanıtlanıyor; kritik durumlarda desteklerine güvendiğimiz acil durum iletişim uzmanlarının fark etmeden kurban haline gelmemesini umuyoruz.
