Dünyadaki en güvenli yer neresi diye düşününce aklınıza muhtemelen askeri sığınaklar veya ABD Başkanının gizlenme kasası geliyordur. Ancak bizim gibi sıradan insanlar için katı güvenlik önlemleri ile karşılaşacağımız yerler havaalanlarıdır. Bu alanlar teröristlerin ve suçluların dev Boinglerin ve Airbusların içine girip rahatça seyahat etmesini engellemek için silahlı güvenlik görevlileri, çoklu ekranlar ve kimlik kontrol noktaları ile 360 derece güvenlik tedbiri ile kuşatılmıştır. TSA veya diğer ülkelerdeki benzer güvenlik kurumlarının fiziksel güvenliğe bu kadar önem verirken siber güvenliği ihmal etmeleri ise oldukça şaşırtıcı.
Havaalanı güvenliği ve X-Ray cihazları konusunda araştırmalar yapmış olan Qualys araştırmacıları Billy Rios VE Terry McCorkle SAS 2014 konferansında bir prezantasyon sundular. Konuya vakıf olanlar bilir X-Ray cihazı kayan bir bant üzerinden geçen çantaları tarayan ve içeriklerini operatörünün önündeki ekranda değişik renklerde gösteren cihazlardır. Cihaz özel bir kullanım paneli ile bilgisayara pek de benzememektedir ancak esasında tipik bir Windows bilgisayara bağlı özelleştirilmiş bir tarayıcıdan ibarettir. Rios ve McCorkle online açık artırma ile bir adet Rapiscan 522B satın alıp bu cihazın yazılım bileşenleri üzerinde testler yaptılar. Bulguları güvenlik uzmanları için oldukça şok ediciydi. Öncelikle bilgisayarın Windows 98 ile çalıştığını fark ettiler. Yani tam olarak 15 yaşındaydı. Microsoft uzun zamandır bu işletim sistemi için destek vermeyi bıraktı. Win98 çalışan makinalarda ne kadar çok yamanmamış güvenlik açığı olduğunu düşünebiliyor musunuz? İlk olarak, bu işletim sistemine virüs bulaştırmak için yazılım konfigürasyonu üzerinde ekstra araştırma falan yapmaya da hiç gerek yoktu. Ağ portuna bağlanıp işletim sistemi ile konuşmak yeterli olacaktır. İkincisi, üzerinde çalışan özel güvenlik yazılımı çantalar vs. gibi fiziksel güvenlik konusuna daha çok odaklanmış bir yazılım. Bilgisayarın güvenliği ise kesinlikle öncelikleri arasında bulunmuyor. Operatör şifreler açık olarak saklanıyor ve kullanıcı adı veya diğer bilgileri bilmeden sisteme giriş yapmanın pek çok yolu mevcut. “Size bir hata olduğunu söylüyor ve ardından sisteme giriş yapmanıza izin veriyor” diyor Rios. Ancak en önemli bulgu üçüncüsü.
Sanal silahlar
Operatörün ekranındaki resim aslında bir bilgisayar simülasyonu çünkü aslında X-ray taramasında renkler olmuyor. Bilgisayarın burada yaptığı özel bir imaj işleme işi. Bu sayede operatör metal nesneleri veya içinde sıvı bulunan şeyleri kolaylıkla ayırt edebiliyor. Yazılımın içinde bunun gibi pek çok filtre var ancak yazılım bundan daha fazlasını yapıyor. Bugünlerde tehdit tespit seviyesi oldukça düşük (kimse çantasında uçağa silah getirmeye çalışmıyor) aşamada. Yöneticiler operatörleri uyanık tutmak için arada çantaların içine silah resimleri koyarak tatbikat yapıyorlar. Operatörün bir silah veya bıçak gördüğünde (sistemde böyle düzinelerce resim var) alarm tuşuna basması gerekiyor. Bu eğitim senaryosunda alarm gerçekten tetiklenmeyebilir ancak iç değerlendirme sistemi operatörün dikkatini kayıt altına alacaktır. Bu numara çok akıllıca ancak beraberinde soru işaretlerini de getiriyor. Çanta resminin üstüne nasıl bir “fotoşoplama” uygulanmış. Peki aynı şekilde iç veri tabanına doğal bir resim ekleyerek gerçek bir silahın ekranda görülmesi engellenebilir mi? İncelenen tarayıcıdaki eski ve güvenlik açıkları bulanan yazılım ile bu tür bir engelleme teorik olarak mümkün.
Endişelenmeyin
Hemen uçak biletinizi iptal etmeyin. Durum o kadar da vahim değil. Öncelikle havaalanı güvenlik alanındaki bilgisayarlar internetten izole edilmiştir. Elbette bu cihazları kendi üzerinden hack etmek de mümkündür ancak bunu yapabilmek için farazi bir saldırganın oldukça ekstra çaba harcaması gerekecektir. İkinci olarak X-Ray tarayıcılarının pek çok üreticisi var. Qualys araştırmacılarının test ettikleri cihaz bunlardan sadece (eski modelde olan) biri. Diğer cihazların daha güvenli olmasını ümit ediyoruz. Üçüncü olarak, havaalanı güvenliği metal detektörleri ve tarayıcılar gibi pek çok önlemden oluşan çok katmanlı bir yapıya sahiptir. Yani bir tarayıcıda hata olması halinde bile diğer tarayıcılar veya güvenlik önlemleri sırada beklemektedir. Ancak bu araştırmanın bize öğrettiği şey şu ki, ağ izolasyonu ve yönetimsel erişim kontrolü gibi geleneksel güvenlik önlemleri adanmış siber güvenlik katmanının yerini tutamaz.
TSA izleme noktaları konfigürasyonu konusunda, yolcuların yanında taşıyacağı poşetlerin boyutuna kadar detaylı standartlara sahip. Havaalanı sistemlerinin kritik altyapı olarak değerlendirilmesi ve BT güvenlik önlemlerinin detaylı tanımlarının bu standartlara mutlaka eklenmesi gerekiyor. Ancak bu şekilde uzun vadeli uçuş güvenliği sağlanabilir.
Not: Bu yazı Tenerife den Moskova’ya uçuş sırasında Airbus A330 içinde yazıldı. Tüm bu güvenlik açığı konularına rağmen uçmaktan korkmanıza gerek yok.