Kritik altyapıların çoğu 40 yıllık protokolü kullanıyor

Cep telefonlarının, modern internetin ve masaüstü bilgisayarlarının olmadığı günler çoktan geride kaldı. Ama eskilerden günümüze ulaşmayı başaran bazı teknolojiler de mevcut. Bu durum ise her zaman olumlu yorumlanmamalı.

Enerji santralleri, fabrikalar ve petrol sistemlerini kontrol eden programlanabilir kontrol cihazları, yani endüstriyel denetim sistemleri bunlardan biri. Bu sistemlerde en çok kullanılan seri iletişim protokolü bugün hâlâ Modbus. Modbus’un ortaya çıktığı 1979 yılında evde kullanılan en ileri teknoloji muhtemelen 8-bit Atari idi.

Bank Info Security adlı internet sitesinin haberine göre, bu bulgu, Massachusetts merkezli CyberX adlı şirketin bir araştırmasına dayanıyor. Şirket, endüstriyel denetim sistemleri (ICS) ve veri tabanlı kontrol ve gözetleme sistemleri (SCADA) için savunma geliştiriyor.

375 kurum üzerinde yapılan çalışmada kurumların sistemlerindeki zayıf noktalar ve zafiyetler araştırıldı.

CyberX daha önce anket temelli araştırmalar yapılsa da gerçek dünyaya dayalı ağ analizi içeren bu çalışmanın ilk kez yapıldığını vurguladı ve araştırma sürecinin zorlu geçtiğini belirtti.

Önemli altyapıları yöneten ICS ve SCADA sistemlerini güvence altına almak birçok hükümetin önceliği. Ukrayna’da 2015 ve 2016 yılında gerçekleşen siber saldırılar, korsanların elektrik santrallerine sızmasıyla geniş çaplı bir elektrik kesintisine sebep olmuştu. Uzmanlar bu tarz saldırıların, başka yerlerde de tekrarlanabileceğini ve bunun ciddi sonuçları olabileceğini uyarısında bulundu.

İlgili haber>> Ukrayna’daki elektrik kesintisi, siber ajanların işi mi?

Çalışma süresince, CyberX, söz konusu kurumların ağ trafiğini inceleyerek hangi cihazların ağa bağlı olduğunu araştırdı. Daha sonra derin paket muayenesi ve ağ trafiği analizini kullanarak kurumların %58’inin Modbus kullandığını gördü.

Bank Info Security’nin haberine göre, ICS/SCADA siber güvenliği alanında çalışan uzmanlardan Liron Benbenishti, Modbus’un sadeliği ve etkinliği sayesinde endüstriyel üretim alanında en çok kullanılan protokol olduğunu söyledi.

Öte yandan, uzmanlar Modbus TCP’de (Modbus’un TCP-IP takımı üzerinden işleyen versiyonu) çok sayıda güvenlik açığı ve zafiyet buldu. Elbette Modbus’un yaşını düşünürsek, bu çok da şaşırılacak bir durum değil. Modbus’un ortaya çıktığı dönem gereği, bu protokole herhangi bir güvenlik özelliği eklenmemişti. Benbenishti, bu açıkların saldırganlar tarafından istismar edilebileceğini söyledi.

CyberX’in araştırmasında kurumların yüzde 76’sının Windows’un eski versiyonlarını kullandığı ortaya çıktı. Microsoft ise güncellenmeyen sistemler için ücretsiz güvenlik sağlamıyor ve kullanıcıları güncelleme konusunda dikkatli olmaları için uyarıyor. Öte yandan şirket ve kurumların bilgi teknolojileri bütçesi gibi bazı konular güncelleme planlarını bazen arka plana atabiliyor.

Cyber X’e göre, Windows’un eski versiyonlarının kullanılması ICS için tehlike yaratıyor. CyberX, yaptığı araştırma sonucunda endişe verici birkaç noktadan daha bahsetti:

Kimlik Doğrulama: Söz konusu kurumların neredeyse yüzde 60’ı şifrelenmemiş kullanıcı girişi bilgileri kullanıyor ve bu bilgiler ağ içinde serbestçe gezebiliyor. CyberX’e göre saldırganların bu şifrelere ulaşması çok kolay.

Antivirüs: Kurumların neredeyse yarısı Windows işletim sisteminde antivirüs kullanmıyor. CyberX’e göre ICS sistem sağlayıcılarının antivirüs kullanımı durumunda garantiyi geçersiz sayması sebebiyle bu programlara rağbet olmuyor. Ayrıca kurumların yüzde 10’u kötü amaçlı yazılımların vermiş olduğu zayiattan habersiz. Bunların içinde WannaCry, NotPetya ve Conficker solucanı gibi neredeyse geniş çaplı etkileri olan saldırılar da var.

İlgili haber>> ‘Bad Rabbit’ Türkiye’yi de vurdu

Uzaktan erişim: Kurumların yüzde 80’inden fazlası RDP, VNC ve SSH gibi uzaktan erişim protokolü kullanıyor. Bunların istismarı durumunda, siber saldırganlar kurumların ağına sızabiliyor ve meşru sistemlere erişim sağlayabiliyor. CyberX’e göre “uzaktan erişim kullanımı herhangi bir yetkisiz ya da şüpheli erişimi tespit edebilmek için dikkatle izlenmeli.”

Hava Boşluğu: CyberX’e göre, hava boşluğu (air-gap), teoride iyi bir fikir olsa da pratik anlamda çok da işe yaramayan bir konsept. Hava boşluğu bariyeri “geçirgen” özelliğe sahip olduğu için saldırganlar elektrik santrallerindeki mühendislerin kimlik bilgilerini çalabiliyor ve onları kurumun ağının dışına çıkabiliyor.

Siber Bülten abone listesine kaydolmak için formu doldurunuz

Yazıyı PaylaşTweet about this on TwitterShare on Facebook1Share on LinkedIn14Share on Google+0Email this to someonePrint this page

Yorum Yaz

E-posta hesabınız yayımlanmayacak. Gerekli alanlar * ile işaretlenmişlerdir

*