Siber Güvenlik

Keskin nişancıları da vururlar: Sniper hacking!

Uzaktan kontrolle ateş edebilmek için silahlarla donatılmış insansız hava araçları zaten varken ve yapay zekalar bizim türümüzün yok olması halinde dünyanın daha iyi bir yer olacağına karar verebiliyorken, yeni robot derebeylerinin gelmekte olduklarını biliyoruz.

Bilgisayar destekli en son kabusumuz: bilgisayar ve Wi-Fi ile donatılmış keskin nişancı tüfekleri, hedef dışı ateş edebilecek ve hatta nişan alınan hedefin yerine başka bir hedefe ateş edebilecek şekilde ayarlanabiliyor.

İLGİLİ HABER >> UÇAKLAR HACKLENEBİLİR Mİ?

Bu istismarı keşfedenler ise, bir yıl boyunca 13 bin dolarlık bir çift TrackingPoint kendinden nişanlı tüfekle vakit geçiren ve bulgularını Black Hat hacker konferansında açıklayan güvenlik araştırmacıları Runa Sandvik ve Michael Auger.

Bu araştırmacılar, Wired için hazırladıkları bir demoda tüfeklerin yazılımlarındaki açıklıklardan faydalanabildiklerini ve Wi-Fi bağlantısı üzerinden silahı kullanabildiklerini gösterdiler.

Hazırladıkları videoda görüldüğüne göre; 13 bin dolarlık bilgisayar destekli, kendinden nişanlı, uzun menzilli keskin nişancı tüfeği sadece namlusu mükemmel bir şekilde hedefle aynı hizaya geldiğinde ateş edecek şekilde ayarlanmış. Bu amatör atıcılar için bile isabet garantisi veriyor.

İLGİLİ HABER >> İHA’LAR SİBER SİLAH DA TAŞIYABİLECEK

Sandvik ve Auger, TrackingPoint’in üç mobil uygulaması, yazılımı ve dürbünü konusunda tersine mühendislik yapmışlar. Değerlerini değiştirmek için tüfeğin içindeki bilgisayara doğrudan ve bu müdahaleleri silahın ekranında gözükmeyecek şekilde bağlanmanın bir yolunu bulmuşlar.

Ardından tüfeğe yanlış bilgi yüklemişler, kurşunun ağırlık değerini değiştirmişler ve dürbün ne zaman ateş edileceğine karar verirken, hedefi ıskalamış. Aslında hackerlar tüfeği bu şekilde kandırdıkları için, pratik olarak tam on ikiden vurmuş, ama nişan alınan hedefi değil de yanındaki hedefi vurmuş olmuş.

Dürbünlere yalan söylenebilir: Dürbünlere sadece gerçekte sahip olduklarından daha farklı ağırlığı olan bir kurşun kullandıkları söylenebileceği gibi, aynı zamanda takılı oldukları silahın tipi de farklı bir şekilde söylenerek aldatılabilirler.

İLGİLİ HABER >> JEEPLER HACKLENEBİLİYOR!

Sandvik’in CNN’e yaptığı açıklamaya göre en kötü durum senaryosu şu şekilde: “En kötü durum senaryosuna göre birileri, bizim de bulduğumuz bu açıklıkları istismar ederek birilerinin TrackingPoint silahlarında kalıcı değişiklikler yapabilir. Bu şu anlama geliyor; hiçbir kablosuz ağın kullanılmadığı kuş uçmaz kervan geçmez bir yerde de olabilirsiniz ama eğer ben silahınızda kalıcı değişiklikler yapmışsam silah sizin beklediğinizden çok farklı bir şekilde hareket edebilir ve hedefi hiç vuramayabilirsiniz.”

Araştırmacıların Wired’a anlattığına göre bunu, dürbünün hesaplamalarındaki değişkenleri – bunlar sadece kurşun ağırlığı değil rüzgar ve sıcaklık değerleri gibi rakamları da içeriyor- değiştirerek bulmuşlar. Sadece tüfeğin beklenmedik bir şekilde hedefi ıskalamasını sağlamakla kalmamışlar aynı zamanda dürbünün bilgisayarını kalıcı olarak etkisiz hale getirmişler, hatta silahın ateş etmesini tamamen önlemişler.

CNN, Sandvik’in anlattığı bu en kötü durum senaryosunu bazı potansiyel durumlarla tarif etmiş: Bir hacker, keskin nişancı bir polisin silahıyla birisini rehin almış olan bir suçluya ateş ederken ıskalamasını sağlayabilir, böylece polisi suçluyu değil de rehineyi vurmaya zorlayabilir.

Veya bir hacker basitçe tüfeğin kontrollerini kilitler ve onu kullanılamaz hale getirir.

Bu istismarlar, bazı açıklık zincirleriyle mümkün oluyor.

Birincisi; değiştirilemeyen öntanımlı Wi-fi ağı şifresi. Bu durum kapsama alanındaki herkesin silaha bağlanabilmesine olanak tanıyor.

Evet, doğru duydunuz: Aynı güvenlik açığı – değiştirilmemiş veya değiştirilemeyen öntanımlı şifreler – bebek izleme cihazlarını, modemleri ve ev yönelticilerini (router) hacklemeyi çok kolaylaştırıyor ve aynı zamanda ölümcül bir silahın ayarlarıyla oynamada ilk basamak olarak kullanılıyor.

İkinci açıklık ise tüfek her zaman için uzaktan talimatları dinliyor, sadece silahı tutan gerçek nişancıda olması gereken yönetici erişimini mümkün kılıyor.

Wired’ın açıkladığına göre bir davetsiz misafir, bu açıklıklardan faydalandıktan sonra silaha sanki bir sunucu gibi davranabilir ve hedefleme uygulamasındaki değişkenleri değiştirmek için API’ye (uygulama programlama arayüzü) erişebilir.

Wired için hazırlanan demoda Auger, ilk olarak değiştirilmemiş bir tüfekle nişan alıyor ve TrackingPoint tüfeğinin hedef mekanizmasının yardımıyla ilk denemesinde tam 12’den hedefi vurmayı başarıyor.

Ardından Sandvik, Wi-Fi üzerinden tüfeğe bilgisayarından erişim sağlıyor ve kurşunun .4 ounces olan ağırlığını saçma bir değer olan 72 pounda çıkarıyor. Runa’nın dediğine göre standartların çok ötesinde olan ama silahın ateş etmesine yine de engel olmayan bir balistik ağırlığı bu: “Kurşunun ağırlığını istediğiniz şekilde çok çılgın değerlerle de değiştirebilirsiniz, yine de kabul edecektir.”

Teşekkür edilmesi gereken önemli bir husus: araştırmacılar silahın hedefini kurcalarken, beklenmedik bir şekilde ateş etmesine neden olmuyorlar. Allah’tan TrackingPoint tüfekleri tetik elle çekilmediği müddetçe ateş etmiyor. Silahın üreticileri ile irtibata geçtiklerini söyleyen araştırmacılar, TrackingPoint ile temas kurduklarını belirtiyorlar.

Sandvik, şirketin “pozitif yaklaştığını” ve ortaya çıkardıkları bu konuları düzeltme konusunda ilgili olduklarını söylüyor.

HAFTALIK SİBER BÜLTEN RAPORUNA ABONE OLMAK İÇİN FORMU DOLDURUNUZ

[wysija_form id=”2″]

Hiç bir haberi kaçırmayın!

E-Bültenimiz ile gelişmelerden haberdar olun!

İstenmeyen posta göndermiyoruz! Daha fazla bilgi için gizlilik politikamızı okuyun.

İlgili Makaleler

Bir cevap yazın

E-posta hesabınız yayımlanmayacak. Gerekli alanlar * ile işaretlenmişlerdir

This site uses Akismet to reduce spam. Learn how your comment data is processed.

Başa dön tuşu
%d blogcu bunu beğendi: