Dünya genelinde 1 milyardan fazla güvenlik kamerası bulunuyor. Peki bu kameralara erişimin ele geçirilmesi durumunda şirket sırlarını korumak mümkün olabilecek mi?

Siber suçlulardan oluşan bir grup Verkada tarafından üretilen, internete bağlı yaklaşık 150 bin güvenlik kamerasını ele geçirdiğinde bu erişim onlara üretim tesisleri, hastaneler, okullar, polis departmanları ve hapishaneler dahil olmak üzere pek çok kuruluşa ait canlı ve arşivlenmiş video yayınlarına erişim sağladı.

Kulağa korkutucu geliyor değil mi? Neyse ki(!) olayın arkasındaki isimlerden biri olan hacktivist Tillie Kottmann, durumu bu tip modern gözetim platformlarının güvenlik açıklarını ortaya çıkarmaya yardımcı olmak istediklerini belirterek ileride doğabilecek zararları azaltmış oldu.

Konuyla ilgili SC Media’da yayınlanan “Camera tricks: Privacy concerns raised after massive surveillance cam breach” başlıklı bir yazı durumun ciddiyetini ortay koyan pek çok yorumla dolu. Örneğin Cybereason Baş Güvenlik Sorumlusu Sam Curry, dünya çapında 1 milyardan fazla güvenlik kamerası kullanıldığını, ancak bu güvenlik kameralarının güvenliğinin nasıl sağlanacağına pek de dikkat edilmediğine işaret ediyor.

Konuya dair çok sayıda uzman, neredeyse tamamı internete bağlanıp veri aktaran bu kameraların ele geçirilmesinin yalnızca fiziksel güvenlik tehditlerine neden olmayacağını, aynı zamanda fikri mülkiyet hırsızlığı ve gizlilik ihlallerine yol açacağını ifade ediyor.

Güvenlik kameralarında yeni seviye: Yüz tanıma

Güvenlik kameraları ortaya çıkalı aslında uzunca bir zaman oldu. Her teknolojik ürün gibi onlar da yenilendi ve günün gerekliliklerine uygun olarak yeni teknolojilerle donatıldı. İlk çıktıkları zaman sabir bir alanı, o da ancak siyah beyaz gösterebilen bu kameralar, bugün sensörleriyle hareket olan yere yüzünü dönebilen, yüzlerce metre mesafeden insan gözünün rengini dahi tespit edebilen güçlü birer güvenlik yardımcısına dönüştü.

Tesla’nın planları çalınabilir miydi?

Verkada örneğiyle ilgili ilginç bir örnek de Tesla. Bloomberg’de de yayınlanan görüntüler Şangay’daki Tesla deposunda montaj hattında çalışan işçileri içeriyordu. Tesla, daha sonra görüntülerin kendisiyle ilgili olduğunu kabul etmekle birlikte Henan eyaletindeki bir tedarikçinin üretim tesisine ait olduğunu açıkladı. Tesla’nın açıklamasını takiben Kottman ise Tesla fabrikalarında ve depolarında kurulu 222 kameraya erişimleri olduğunu açıkladı.

Bu tür durumlar kameraların bir güvenlik yardımcısıyken hırsızlık aracına dönüşebileceğini gösteriyor. Özellikle endüstriyel casusluk gibi değeri hiç azalmayacak örnekler konuyu daha önemli hale getiriyor. Seattle Eyaleti eski CISO’su ve CI Security Kurucu Ortağı Mike Hamilton, videoların kapıların nasıl açıldığı gibi bilgileri de gözlediği durumlarda bunun operasyonel güvenlikte değişiklik yapmaya neden olabileceğine dikkat çekiyor. Diğer yandan kameraların hapishanelerde de kullanılıyor olması filmleri aratmayacak kaçırma ya da isyan olaylarını tetikleyebilir. Hastanede ya da karakolda geçmesi durumunda ise kişisel mahremiyetin sınırlarını zorlayan durumlarla karşı karşıya kalınabilir.

Dünyada en fazla güvenlik kamerasının bulunduğu ülke Çin. Ancak kişi başına düşen kamera sayısında ABD az farkla önde bulunuyor. Temmuz 2020 itibariyle Çin’in 4 milyon nüfuslu Taiyuan şehrinde kişi başı 120 kamera düşerken, ilk 15’teki tek Çin dışı şehir olan Londra’da bu sayı yaklaşık 70. Türkiye’den İstanbul’un 109 bin kamerayla 42. Sıradan girdiği listede şehrimizdeki kişi başına güvenlik kamerası sayısı 7,18.

Kameralar merkez sunuculara kapıyı aralıyor olabilir

Kısa süre önce Verkada tarafından yapılan bir açıklamaya da yer verilen yazıda, şirketin müşterinin talebi üzerine kameralarda toplu bakım yaparken saldırganlar yetkilendirme sistemini atlamalarını sağlayan bazı kimlik bilgilerini ele geçirmeyi başarmış.

Bunun yanında bir diğer sorun ise siber saldırganların bazı kameralarda root erişimi elde ederek cihazlarda kendi kodlarını ve komutlarını çalıştırabilmeleri olarak ifade ediliyor. Root erişimi zaten yerleşik olarak bulunduğu için herhangi bir ek hack’leme gerektirmiyor.

Kameralarla ilgili güvenlik risklerini azaltmak iki faktörlü doğrulama gibi sanal ortamda uygulanabilecek önlemler dışında doğrudan kamera üreticilerinin de sorumluluk alması gereken bir konu olarak ifade ediliyor.