Siber Uzay'ın Haber Platformu

H4cktimes Youtube Kanalı

Ulusal acil durum uyarıları saldırı potansiyeli taşıyor

0

3 Ekim 2018 tarihinde ABD‘de 255 milyon cep telefonu “Başkanlık Uyarısı” olarak adlandırılan bir acil durum mesajı aldı. Mesajın içeriği ise şu şekildeydi:
Bu, Ulusal Kablosuz Acil Durum Uyarı Sisteminin testidir. Hiçbir eyleme gerek yoktur.

Bu, Amerika Birleşik Devletleri‘nde herhangi bir felaket yaşanırsa mümkün olduğu kadar çok sayıda insanı uyarmanın bir yolu olarak düşünülen ve birkaç ABD devlet kurumu tarafından geliştirilen yeni bir ulusal alarm sistemi için yapılan ilk denemeydi.

Şimdi ise, Colorado Boulder Üniversitesi‘ndeki araştırmacılar tarafından yapılan yeni bir çalışma, bu uyarılara kırmızı bayrak çıkararak bir tehlike olduğunu belirtiyor, yani Amerika Birleşik Devletleri Başkanı tarafından yetkilendirilen bu acil durum uyarılarının teorik olarak sahte hale getirilebileceğini söylüyorlar.

CU Mühendislik Fakültesi Bilgisayar Bilimleri(CS), Elektrik, Bilgisayar ve Enerji Mühendisliği Bölümü(ECEE) ve Teknoloji, Siber Güvenlik ve Politika(TCP) programından fakülteleri de içeren bir ekip, hackerların bu mesajları taklit edebileceği bir backdoor (arka kapı) olduğunu, insanları kandırarak onları spor salonlarına veya acil durum toplanma noktalarına gönderebilecek sahte mesajlar iletilebileceğini keşfetti.

Sonuçları ABD Hükumeti yetkililerine daha önceden bildirmiş olan araştırmacılar, çalışmalarının amacının gelecekte böyle bir saldırıyı önlemek ve devlet kurumlarıyla çalışmak olduğunu söylüyorlar.

Çalışmanın ortak yazarlarından ve ECEE’de yardımcı doçent olarak çalışan Eric Wustrow, Bu olayın, halkın bu sorunu düzeltmek amacıyla telefon şirketlerini ve standart kurumları teşvik ederek farkındalık kazandırması gereken bir durum olduğunu düşünüyoruz.”. “Bu arada, insanlar telefonlarında gördükleri acil durum uyarılarına güvenmelidirler. dedi.

Araştırmacılar, elde ettikleri sonuçları Güney Kore Seul‘deki Mobil Sistemler, Uygulamalar ve Servisler Uluslararası Konferansı’nda (MobiSys) yayımladılar ve en iyi çalışma ödülünü kazandılar.

Yanlış Alarm

Wustrow, kendisi ve meslektaşları olan Sangtae Ha ve Dirk Grunwald ile birlikte projeyi sürdürmeye karar verdiklerini çünkü bu olayın bir gerçek hayat senaryosu olduğunu söyledi.

Ocak 2018‘de, ilk başkanlık uyarı testlerinin başlamasından aylar önce, milyonlarca Hawaii‘li telefonlarında buna benzer ancak görünüşte orijinal olan bir mesaj aldı: Birileri devlete balistik füze saldısı başlattı“.

Bu olay elbetteki bir hataydı ancak CU Boulder ekibinin meraklarının artmasını sağladı: Acil durum mesajları ne kadar güvenliydi?

Cevap ise, en azından başkanlık tarafından onaylanan uyarılar için nereye baktığınıza bağlı.

Bilgisayar Bilimleri Bölümü’nde yardımcı doçent olan Sangtae Ha, Hükumetin acil durum mesajı uyarılarını baz istasyonlarına göndermesi oldukça güvenli bir şekilde işliyor. Ancak, baz istasyonları ve kullanıcılar arasında büyük güvenlik açıkları var dedi.

Sangtae Ha, hükumetin, başkanlık uyarılarının olabildiğince fazla telefona ulaşmasını istediği için, bu uyarıların yayımlanmasında geniş bir yaklaşım izlediğini ve istasyonların her cihaza ayrı ayrı kanallardan mesaj gönderdiğini söyledi.

Sahte Mesajlar

Ekip, bilgisayar korsanlarının karaborsadan elde ettikleri istasyon kuleleri ile bu zafiyetleri exploit edebileceğini keşfetti. İlk önce güvenli bir laboratuvarda çalışmalarını gerçekleştiren ekip, başkanlık uyarısı formatını taklit edebilen bir yazılım geliştirdi.

Sangtae, Bu mesajı yalnızca doğru kanalda yayımlamanız gerekiyor. Akıllı telefonlar zaten onları alacak ve görüntüleyecektir dedi. Ve ekip, bu tür mesajların, yüksek başarı oranına sahip olduğunu, ticari olarak temin edilebilen kablosuz vericileri kullanarak gönderilebileceğini ve kabaca CU Boulder bölgesi büyüklüğündeki bir bölgede yaşayan on binlerce insanın %90‘ını etkileyebileceğini söyledi.

Grunwald,Bu olay, kamu kurumlarının güvenliği için potansiyel olarak çok büyük bir tehdit oluşturuyor.

Ekip, bu tür bir saldırıyı engellemek için birkaç yol bulduğunu ve hangi mekanizmaların daha etkili olduğunu belirlemek için endüstri ve hükumet ortaklarıyla birlikte çalışıyor.

Ülkemizde ise benzer herhangi bir durum yaşanmadığı için potansiyel olarak bu kadar büyük bir tehlikeye karşı ne kadar önlem alındığı ise bilinmiyor. Örnek bir senaryo ile baktığımızda bir devlet kurumu yakınında sahte bir istasyon kulesi ile yapılabilecek bir acil durum mesajı yayını tüm binayı boşaltmaya yetecektir. Çalışanların tamamının sığınaklara ve acil toplanma noktalarına gönderilmesinin ne kadar büyük bir tehdit oluşturduğu ise ortada.

Yorum Bırak

Your email address will not be published.

This site uses Akismet to reduce spam. Learn how your comment data is processed.