Evinizde/apartmanızda/sitenizde bu diafonlardan varsa kendinizi yüzde yüz bir biçimde inançta hissediyor olabilirsiniz lakin bu sistemlerin eksik/hatalı bir yapılanması var.

Kıdemli Siber Güvenlik Mühendisi Onur Oktay’ın değindiği ve kendisinin müsaadesiyle yer verdiğimiz bu değerli bilgileri okumanızda yarar var.

Kendisinin anlatımına dokunmadan birebir formda aktardık.

Onur Oktay’ın yaşadığı olayı ve deneyimini kendi ağzından dinleyelim:

“Öncelikle bu olayın üretici firmayla alakası yok. Yani marka bağımsız düşünün. Olay büsbütün EKSİK/HATALI yapılandırma. Birçok hack olayında karşımıza çıkan cinsten.

Her şey bizim çok inançlı diye övündüğümüz (güvenlik görecelidir!) sokağımızda bizim sitenin yanındaki siteye hırsızların girmeye çalışmasıyla başladı. Gece 22’de herkesin daha parkta, meskeninin önünde olduğu bir vakit hırsızlar girmeyi denemişler.

Binanın içine herkes üzere girmişler fakat daire kapılarından girememişler, o farklı bir mevzu. Burada apartmanlara, binalara ya da site içlerine nasıl rahatlıkla girebildiklerine odaklanacağız. Öncelikle bu stil diafon sistemlerinin parolalarını sucular, kargocular herkes biliyor.”

“Ben de bundan yola çıkarak sitenin WhatsApp kümesinden herkesten onay alarak diafonun default parolasını değiştirmek gibi kolay lakin tesirli bir tedbire gitme kararı aldım. Süratlice diafon sisteminin marka/model numarasıyla ufak bir search yaparak nasıl çalıştığını keşfettim.

Olay o andan sonra değişti benim için. Büsbütün mesleki iç güdülerim devreye girdi ve yönetici parolası ile master key kod denen bir şeyi merak ederek kurcalamaya başladım. Farklı kombinasyonlar denedim ve master key kodun default olarak PAROLASIZ formda girilebildiğini gördüm.

Yönetici parolası ile dairelerin numara ve tuş kombinlerini, dış kapı açma parolalarını değiştirebiliyordum. Master key kod ekranında ise tüm bu değişimleri yapmam için gerekli olan yönetici süreçleri parolasını girmem gerekiyordu. Ancak parola istemiyordu. 🙂

Yani anlayacağınız lisandan anlatayım, “admin yetkisindeydim”. O dakikadan sonra her türlü dairenin parolasını, zil çalma tuş kombinasyonunu, dahası dış kapı parolasını başıma nazaran değiştirebilirdim. Ki o denli de yaptım, değiştirdim.”

“Bizim sitede bunu yapınca fark ettim ki binaları yapan müteahhitlerin elektrik işlerini verdikleri adamların bu işleri bilmemesi yani büsbütün EKSİK yapılandırmadan kaynaklanan bir güvenlik zafiyeti keşfetmiştim. Birebirini öteki sitelerde denemeye başladım. Bingo! Hepsinde oluyordu.

Bolu’da yani yaşadığım kentte evvel kendi sokağımdan başlayarak, farklı sokaklar, mahalleler hatta kamu kurumlarında önüme gelen diafon sistemini kurcalamaya başladım. Marka, model değişiyordu fakat sonuç değişmiyordu. Parolaları istediğim üzere değiştirebiliyordum.

İşin berbatı; yalnızca daire, site vs. değil garaj kapılarını açan tıpkı sistemler vardı. Kısacası kısa müddette fark ettim ki koca kentte hatta tahminen birçok kentte tıpkı yapılandırma eksikliklerinden kaynaklanan güvenlik zafiyeti kelam konusu.

Çözüm ve güvenlik tedbiri çok kolay. Master key yani yönetici süreçlerinin yapıldığı ekrana girerken PAROLA istenmesi. Ha onu da geçmenin farklı yolları var doğal ki ancak bu en azından çok kolay değil. Tüm bunlardan sonra gidip master tarafına yönetici parolası da atadım olağan. :)”

Kıdemli Siber Güvenlik Mühendisi Onur Oktay’ın deneyiminden hareketle bu içeriği okuyan herkesin tedbir almasını biz de tavsiye etmiş olalım. Kendisini Twitter’dan veya YouTube’dan takip edebilirsiniz.

What is your reaction?

0
Excited
0
Happy
0
In Love
0
Not Sure
0
Silly

Cevap bırakın

E-posta adresiniz yayınlanmayacak. Gerekli alanlar * ile işaretlenmişlerdir