Elektrikli arabanızı şarj etmek sandığınız kadar güvenli değil

Geçtiğimiz beş senede elektrikli arabalar, fütüristik ve kullanışsız oldukları algısından kurtulup hepimizin sahip olmak istediği araçlara dönüşerek inanılmaz bir gelişim gösterdi. Fiyatların düşmesiyle birlikte satılan elektrikli araba sayısı 2017’nin başında 2 milyona ulaştıve bu sayı artmaya devam ediyor. Elektrikli arabalar için gereken altyapı hızlı bir şekilde geliştirildikçe, mahallelerimizdeki şarj istasyonları da artık göze o kadar da garip gelmiyor.

Geçtiğimiz beş senede elektrikli arabalar, fütüristik ve kullanışsız oldukları algısından kurtulup hepimizin sahip olmak istediği araçlara dönüşerek inanılmaz bir gelişim gösterdi. Fiyatların düşmesiyle birlikte satılan elektrikli araba sayısı 2017’nin başında 2 milyona ulaştı ve bu sayı artmaya devam ediyor. Elektrikli arabalar için gereken altyapı hızlı bir şekilde geliştirildikçe, mahallelerimizdeki şarj istasyonları da artık göze o kadar da garip gelmiyor.

Neredeyse bütün hızlı gelişen ekonomik fırsatlarda olduğu gibi, üreticiler bu alanda da rekabete katılıp pazardan mümkün olan en fazla payı almaya çalışıyorlar, ancak sonrasında neler olacağını düşünmüyorlar. Elbette güvenlik konusundan bahsediyoruz. Burada söz konusu güvenlik, fiziksel güvenlik değil; elektrikli bir şarj aletinin size zarar verme ihtimali azdır. Bahsettiğimiz, siber güvenlik. Bu basit konseptin, yani para ödeyerek şarj etme işleminin kullanıldığı uygulamalarda kişisel bilgileriniz ve paranızın kutsallığına çok önem verilmiyor. Mathias Dalheimer 34. Kaos İletişim Kongresi‘ndeyaptığı, elektrikli arabaların altyapı zafiyetleri hakkındaki konuşmada bu sorunu dile getirdi.

Arabalar aslında nasıl şarj ediliyor

Elektrikli arabaların sayısı arttıkça, istasyon tedarikçilerinin para karşılığında kullanıcılara enerji sağladıkları şarj etme istasyonları da artıyor. Bu işlem için gömülü bir faturalandırma sistemine ihtiyaçları var. Arabanızı şarj etmeye başlamadan önce, şarj kimlik kartınızı kullanarak kendinizi tanıtmanız gerekiyor. Söz konusu kart, hesabınızla ilişkilendirilmiş özel bir yakın alan iletişimi (NFC) kartı.

Elektrikli araçlar normalde, bir uçtaki faturalandırma sistemleri ve diğer uçtaki şarj noktası arasındaki iletişimi düzenleyen Halka Açık Şarj Etme Protokolü (OCPP) sayesinde faturalandırılıyor. Şarj etme noktası, fatura sistemine sizi tanıması için bir istek gönderiyor. Fatura yönetimi bu isteği onaylıyor ve bunu şarj noktasına bildiriyor. İstasyon da aracınızı şarj etmeniz için çalışmaya başlıyor. Sonrasında, kullanılan elektrik miktarı ölçülüyor ve ay sonunda size fatura kesebilmesi için fatura yönetimi sistemine gönderiliyor.

Buraya kadar şaşırtıcı ya da yeni bir şey yok, değil mi? Daha yakından inceleme yapıp sorunların nerede başladığına bakalım.

Her yerden bir sorun çıkıyor

Dalheimer, sistemin farklı bileşenlerini irdelemiş ve bunların hepsinde bazı güvenlik sorunları olduğunu tespit etmiş. İlk sorun, kimlik kartları. Bunları üçüncü parti üreticiler sağlıyor ve (çok şaşıracaksınız ama!) kartların çoğu, bilgilerinizi güvenlik altına almıyor. Bunlar, kimliğinizi ya da içindeki herhangi başka bir bilgiyi şifrelemeyen, çok basit NFC kartları. Kartlarla alakalı sorunlar burada bitmiyor. Öncelikle, bu kartları programlamak oldukça basit. Mathias kendi kartını kopyalayıp bu kopya kartla başarılı bir şekilde şarj etme işlemini gerçekleştirerek bunu kanıtlamış. Konu hakkında bilgi sahibi olan birinin, çalışan bir hesap numarasına denk gelmeyi umarak bir çok kart kopyalaması çok kolay. (Mathias etik nedenleri gerekçe göstererek bunu denememiş.)

Faturalar ayda bir geldiği için, hesapları bu şekilde kullanılmış olsa bile araba sahiplerinin bir sonraki ayın faturası gelene kadar bunu fark etmesi mümkün değil.

Prosedürle ilgili bir diğer sıkıntı da şu: Çoğu istasyon OCPP protokolünün 2012 sürümünü, yani nispeten eski ve HTTP temelli sürümünü kullanıyor. (Hepimiz işlemler için şifreleme kullanmayan HTTP’nin nasıl sorunlara yol açacağını biliyoruz.) Mathias işlemi yayınlayarak ortadaki adam saldırılarının ne kadar kolayca yapılabileceğini ispat etti.

Dahası, Mathias’ın incelediği iki istasyonda da USB bağlantı noktaları bulunuyordu. Boş bir bellek aygıtı takıldığında kayıtlar ve yapılandırma bilgileri aygıta kopyalanıyor. Bu bilgileri kullanarak OCPP sunucusu için kullanıcı adını ve şifresini almak, ek olarak da önceki kullanıcıların giriş şifrelerini edinmek son derece kolay. Unutmayın ki, kullanıcıları taklit edebilmek için gereken bilgiler de bunlardan ibaret.

Daha da kötüsü şu: Bellekteki bilgiler değiştirilse ve sonradan bellek şarj noktasına geri takılırsa şarj etme noktası otomatik olarak bellekten güncelleniyor ve bellekteki bilgiler yeni yapılandırma ayarları olarak tanınıyor. Bu da bilgisayar korsanlarına bir çok fırsat kapısı aralıyor.

Özetleyecek olursak suçlular, kimlik kartı numaralarını toplayıp, bunları taklit edip, hesap sahiplerinin bizzat ödeyecekleri işlemleri gerçekleştirebiliyor, şarj isteklerini yapılandırıp şarj noktasını devre dışı bırakabiliyor ve istasyona yönetici girişiyle bağlanıp istedikleri her şeyi yapabiliyor. Tüm bunların sebebi ise, tedarikçilerin güvenlik konusunu umursamamayı tercih etmesi.

Xiaomi Mi Robot süpürge hacklendi

İnternet ve Nesneleri hikayesi şimdiye kadar talihsiz bir hikaye gibi görünse de ümitsizliğe kapılmaya gerek yok. Güvenlik araştırmacılar Dennis Giese ve Daniel Wegemer sonunda Xiaomi Mi Robot süpürgeyi hacklemeyi başardı ama araştırmaları, bu cihazın diğer akıllı nesnelere göre çok daha güvenli olduğunu ortaya çıkardı.

İpuçları