İki Hollandalı araştırmacı, dünyanın elektrik şebekelerini, gaz boru hatlarını ve daha fazlasını çalıştıran yazılımı hackleyerek çok önemli bir başarıya imza attı. İkili, eylemlerinin şimdiye kadar gerçekleştirdikleri en kolay siber saldırı olduğunu belirtiyorlar. 

İki Hollandalıdan biri 2012’de yepyeni bir iPhone’u hackleyerek dünyanın en büyük hack yarışması olan Pwn2own’da 30 bin dolar kazanmıştı. Daan Keuper ve meslektaşı Thijs Alkemade daha sonra 2018’de bir otomobili hacklemişti.

İkili geçen yıl ayrıca video konferans yazılımlarını ve koronavirüs uygulamalarını hacklerken şimdi de dünyanın kritik altyapısını yönetmeye yardımcı olan yazılımı hedefleyerek yeni bir Pwn2Own şampiyonası kupasını ve 40 bin doları evlerine götürdü.

Keuper, “Endüstriyel kontrol sistemlerinde hala çok fazla kolay lokma var.” derken Alkemade, “Bu kesinlikle çalışması daha kolay bir ortam.” ifadesini kullandı.

Miami’de ödül töreni gerçekleştiği sırada ABD ve müttefikleri, Rus hackerların elektrik şebekesi, nükleer reaktörler, su sistemleri gibi altyapıyı hedeflemekte oldukları konusunda uyarıda bulundu.  Geçen hafta, bir grup Rus hacker Ukrayna elektrik şebekesini çökertmeye çalışırken yakalandı ve kritik endüstriyel sistemleri bozmayı amaçlayan başka bir bilgisayar korsanı grubu daha yakalandı. 

HACKERLARIN HEDEFİNDE ENDÜSTRİYEL KONTROL SİSTEMLERİ VAR

Pwn2own’da bahisler biraz daha düşük, ancak sistemler gerçek dünyadaki ile aynı. Miami’de hedeflerin hepsi kritik tesisleri işleten endüstriyel kontrol sistemleriydi. Hedef olarak sunulan hemen hemen her yazılım parçası hackerların elinden geçti. Sonuçta, sponsorların ödediği şey de tam olarak bu. Zira başarılı olan hackerlar kusurun giderilebilmesi için tüm ayrıntıları paylaşıyor. Ancak bu aynı zamanda kritik altyapı güvenliği için daha kırk fırın ekmek yenmesi gerektiğinin de bir işareti. 

Bu yıl ödül törenini gerçekleştiren Dustin Childs, “Endüstriyel kontrol sistemleri dünyasında gördüğümüz hataların (bug) çoğu, 10-15 yıl önce kurumsal yazılım dünyasında gördüğümüz hatalara benziyor.” diyor ve ekliyor: “Hala yapılması gereken çok iş var.”

Bu yılki yarışmada göze çarpan hedeflerden biri de hackerların kritik hedefleri yıkmak için girebilecekleri bir insan-makine arayüzü aracı olan Iconics Genesis64 oldu. Bunun gerçek anlamda bir tehdit olduğu herkesin malumu. Zira on yıl önce, Stuxnet olarak bilinen bir saldırı İran nükleer programını hedef almıştı. ABD ve İsrail için çalıştığına inanılan hackerlar, nükleer malzemeleri ayırmak için kullanılan gaz santrifüjlerinin içindeki programlanabilir mantık denetleyicilerini sabote etmişler, aynı zamanda cihazlara İranlı operatörlere her şeyin yolunda gittiğini söylemeleri talimatını vermişlerdi. 

GÜVENLİK DENETİMLERİNİ BAŞARIYLA ATLATTILAR

Miami’de, Iconics Genesis64 saldırganlara tam kontrol sağlamak için en az altı kez saldırıya uğradı. Mücadeleyi üstlenen takımlar toplam 75 bin dolar kazandı. Yarışmada tartışmasız en çok dikkat çekenler ise OPC UA adlı bir iletişim protokolünü hedef alan Keuper ve Alkemade oldu. Şirketleri Computest adı altında rekabet eden Keuper ve Alkemade, güvenilir uygulama denetimini başarıyla atlattı.  

Bu olduğunda, sahne tüm hafta süren yarışmanın en büyük alkışı ile sarsıldı ve sadece birkaç saniye içinde, takım 40 bin dolar kazandı. 

OPC UA’nın endüstriyel dünyanın her yerinde sistemler arasında bir bağlayıcı olarak kullanıldığını söyleyen Keuper, “Tipik endüstriyel ağların çok merkezi bir bileşeni ve normalde herhangi bir şeyi okumak veya değiştirmek için gereken kimlik doğrulamasını atlayabiliriz. İnsanlar bunu bu yüzden çok önemli ve ilginç buldular. Bulması sadece birkaç gün sürdü.” diyor.

2012’deki iPhone’nun hacklenmesi olayı ise üç hafta sürmüştü. Buna karşılık, OPC UA hacki, Keuper ve Alkemade’i günlük işlerinden uzaklaştıran bir yan projeydi. Ancak etkisi çok büyük oldu. Nitekim bir iPhone’u hacklemenin ve kritik altyapı yazılımlarına girmenin sonuçları arasında büyük farklılıklar var. Bir iPhone kolayca güncellenebilir ve her zaman yeni bir telefon bulunabilir.

Aksine, kritik altyapıda, bazı sistemleri yenilemek onlarca yıl sürebilir. Hatta bilinen bazı güvenlik kusurları hiç düzeltilemeyebilir. Operatörler genellikle güvenlik düzeltmeleri için teknolojilerini güncelleyemezler çünkü bir sistemi çevrimdışı duruma getirmek söz konusu değil. Bir fabrikayı bir elektrik düğmesi veya bir dizüstü bilgisayar gibi tekrar açıp kapatmak kolay değil.

Keuper, “Endüstriyel kontrol sistemlerinde oyun alanı tamamen farklı. Güvenliği farklı düşünmelisin. Farklı çözümlere ihtiyacınız var. Oyun değiştiricilere ihtiyacımız var.” diyor

Alkemade ise şu değerlendirmelerde bulunuyor: “Dünyayı biraz daha güvenli hale getirmek adına kamu yararı için araştırma yapıyorum.” diyor ve ekliyor: “İnsanların bizi dinlemesi için çok dikkat çeken şeyler yapıyoruz. Bu para ile ilgili bir mesele değil. Bu heyecanla ve neler yapabileceğimizi göstermekle ilgili bir şey.”

Bu arada, Pwn2Own yarışmaları kapsamında geçen yıl 2 milyon dolar verildi. Gelecek ay, hackerlar gösterinin 15. yıldönümünü kutlamak için Vancouver’da toplanacaklar.