Kıdemli Siber Güvenlik Mühendisi Onur Oktay’ın değindiği ve kendisinin izniyle yer verdiğimiz bu önemli bilgileri okumanızda fayda var.
Kendisinin anlatımına dokunmadan aynı şekilde aktardık.
Onur Oktay’ın yaşadığı olayı ve tecrübesini kendi ağzından dinleyelim:
“Öncelikle bu olayın üretici firmayla alakası yok. Yani marka bağımsız düşünün. Olay tamamen EKSİK/HATALI yapılandırma. Çoğu hack vakasında karşımıza çıkan türden.
Her şey bizim çok güvenli diye övündüğümüz (güvenlik görecelidir!) sokağımızda bizim sitenin yanındaki siteye hırsızların girmeye çalışmasıyla başladı. Gece 22’de herkesin daha parkta, evinin önünde olduğu bir vakit hırsızlar girmeyi denemişler.
Binanın içine herkes gibi girmişler ama daire kapılarından girememişler, o ayrı bir konu. Burada apartmanlara, binalara ya da site içlerine nasıl rahatlıkla girebildiklerine odaklanacağız. Öncelikle bu tarz diafon sistemlerinin parolalarını sucular, kargocular herkes biliyor.”
“Ben de bundan yola çıkarak sitenin WhatsApp grubundan herkesten onay alarak diafonun default parolasını değiştirmek gibi basit ama etkili bir önleme gitme kararı aldım. Hızlıca diafon sisteminin marka/model numarasıyla ufak bir search yaparak nasıl çalıştığını keşfettim.
Olay o andan sonra değişti benim için. Tamamen mesleki iç güdülerim devreye girdi ve yönetici parolası ile master key kod denen bir şeyi merak ederek kurcalamaya başladım. Farklı kombinasyonlar denedim ve master key kodun default olarak PAROLASIZ şekilde girilebildiğini gördüm.
Yönetici parolası ile dairelerin numara ve tuş kombinlerini, dış kapı açma parolalarını değiştirebiliyordum. Master key kod ekranında ise tüm bu değişimleri yapmam için gerekli olan yönetici işlemleri parolasını girmem gerekiyordu. Ama parola istemiyordu. 🙂
Yani anlayacağınız dilden anlatayım, “admin yetkisindeydim”. O dakikadan sonra her türlü dairenin parolasını, zil çalma tuş kombinasyonunu, dahası dış kapı parolasını kafama göre değiştirebilirdim. Ki öyle de yaptım, değiştirdim.”
“Bizim sitede bunu yapınca fark ettim ki binaları yapan müteahhitlerin elektrik işlerini verdikleri adamların bu işleri bilmemesi yani tamamen EKSİK yapılandırmadan kaynaklanan bir güvenlik zafiyeti keşfetmiştim. Aynısını başka sitelerde denemeye başladım. Bingo! Hepsinde oluyordu.
Bolu’da yani yaşadığım şehirde önce kendi sokağımdan başlayarak, farklı sokaklar, mahalleler hatta kamu kurumlarında önüme gelen diafon sistemini kurcalamaya başladım. Marka, model değişiyordu ama sonuç değişmiyordu. Parolaları istediğim gibi değiştirebiliyordum.
İşin kötüsü; sadece daire, site vs. değil garaj kapılarını açan aynı sistemler vardı. Velhasıl kısa sürede fark ettim ki koca şehirde hatta belki çoğu şehirde aynı yapılandırma eksikliklerinden kaynaklanan güvenlik zafiyeti söz konusu.
Çözüm ve güvenlik önlemi çok basit. Master key yani yönetici işlemlerinin yapıldığı ekrana girerken PAROLA istenmesi. Ha onu da geçmenin farklı yolları var tabii ki ama bu en azından çok basit değil. Tüm bunlardan sonra gidip master tarafına yönetici parolası da atadım tabii. :)”
Kıdemli Siber Güvenlik Mühendisi Onur Oktay’ın tecrübesinden hareketle bu içeriği okuyan herkesin önlem almasını biz de tavsiye etmiş olalım. Kendisini Twitter’dan veya YouTube’dan takip edebilirsiniz.
