Akıllı evler, elektronik aletlerin yeni fakat çok yönlü bir kategorisidir. Web arayüzü olan su ısıtıcılar, uzaktan kapatılabilen ütüler ve akıllı aydınlatma kontrol sistemleri: bunların tüm hayatımızı kolaylaştırmak için tasarlanmıştır. Peki ama bu ürünler güvenli mi? Nesnelerin interneti (IoT) cihazları, sundukları kolaylığın yanında yeni güvenlik ve gizlilik risklerini de beraberinde getirir. Herhangi bir akıllı cihazda güvenlik açığı vakası yaşanmadan geçen tek bir hafta bile yok denebilir. Tek bir “akıllı ampul” bile ev ağına sızmak için kullanılabiliyorken, daha ciddi ekipmanlarla neler yapılabileceğini siz hayal edin.
Ev güvenlik sistemlerinin temel unsurlarından birisi de internete bağlı güvenlik kamerasıdır. Dadı kameraları, görüntülü diyafon sistemleri ve profesyonel güvenlik sistemlerine yönelik sofistike, motorlu kameralar gibi birçok kamera türü vardır.
Adından da anlaşılacağı üzere IP kameralar sürekli olarak internete bağlıdır ya da düzenli aralıklarla bağlanır. Bu kameralarla elde edilen görüntüler ise genellikle satıcının kendisine ait olan, özelleştirilmiş hizmet üzerinden alınabilir. Bu hizmete giriş yaptığınızda, dünyanın neresinde olursanız olun kameranın video akışına erişim sağlayabilirsiniz. Kullanışlı olmasının yanı sıra, buna alternatif ürünler (örneğin yalnızca yerel bir ağdan erişebileceğiniz kameralar) potansiyel müşterilerin ilgisini çekmez.
Fakat bu da birçok soruyu beraberinde getirmektedir. Örneğin siber saldırganlar oturum açma bilgilerinizi çalarsa ne olur? Bulut video kamera sistemleri ne kadar güvenli? Saldırganlar, hesabınızı ele geçirmeden kamera görüntülerine erişim sağlayabilir mi? Ne de olsa işler kötüye gittiğinde, evinizin fotoğraf ve videoları da dahil olmak üzere son derece hassas veriler yanlış kişilerin eline geçebilir.
Bozulan sözler
Anker, kendi IP kamerası serisini Eufy markası altında piyasaya sürdüğünde tüm bu korkulara oldukça aşinaydı. 2011’de kurulan Anker, elektronik sektöründe yeni değil. Akıllı telefon ve dizüstü bilgisayarlara yönelik şarj aleti ve aksesuar üretimiyle sektöre giriş yapan şirket, her türlü zevk ve ihtiyaca hitap edecek taşınabilir elektronik cihazlardan oluşan kapsamlı bir portföy yarattı. Görüntülü diyafon sistemleri ve güvenlik kameraları da buna dahil.
Eufy’nin web sitesinde yer alan reklamda kamera geliştiriciler, maksimum güvenlik sunulacağını ve bulut sistemi kullanılmayacağını garanti ediyor: Tüm veriler güvenli ve yerel bir depolama alanında tutuluyor. Uzaktan video kamera fonksiyonu tamamen devre dışı bırakılabiliyor fakat evinizin içinde olan biteni görmek isterseniz de, kameranız video akışını şifreliyor ve akıllı telefonunuzdaki uygulamaya gönderiyor. Bu uygulama, görüntülerin deşifre edilebileceği tek yer. Buna “uçtan uca şifreleme” adı veriliyor. Yani satıcı da dahil hiç kimse verilere erişemiyor.
Ayrıca, algılama sistemi doğrudan cihazda çalışıyor. Her kamerada bulunan entegre yapay zeka, şirketin sunucularına herhangi bir şey göndermeksizin görüntüyü analiz ediyor, karedeki kişileri tespit ediyor, hatta tanıyor; örneğin ev sahibini ve kiracıyı yabancılardan ayırt edebiliyor. Bu sayede, bilinmeyen bir kişi kadraja girdiğinde kameranın kullanıcısı bilgilendiriliyor.
Mahremiyetiniz güvence altında. Fakat kullanıcılar, yakın zamanda ufak bir sürprizle karşılaştı: Eufy kameralar, arka planda biraz farklı çalışıyor. Britanyalı güvenlik uzmanı Paul Moore, 23 Kasım’da attığı bir tweet’te bir videoya yer vererek, Eufy’yi, verileri buluta iletme seçeneği kapalıyken bile bunu yapmakla suçladı.
Moore’un videosunda sorun detaylı bir şekilde gösteriliyor; Moore, bu durumu oldukça kolay tespit etmiş. Eufy görüntülü diyafon sistemlerinden birisini kuran Paul, cihazın web arayüzünde oturum açarak kaynak kodu tarayıcıda analiz ediyor ve kadrajda birinin göründüğü her durumda, kameranın satıcının sunucusuna bir fotoğraf gönderdiğini gösteriyor. Bu da Eufy’nin taahhütlerinden en az bir tanesinin (“bulut yok” taahhüdü) gerçek olmadığı anlamına geliyor.
Bu olaydan sonra Moore, veri korumayla ilgili çok daha ciddi sorunlar hakkında birkaç kez daha tweet attı. Görünüşe göre Eufy’nin “güvenilir” şifrelemesinde, tüm kullanıcılar için aynı sabit anahtar kullanılıyor. Daha da kötüsü bu anahtar, bizzat şirket tarafından GitHub‘da paylaşılan Eufy kodunda görünüyor. Sonrasında, teknoloji sitesi The Verge, Moore ve başka bir güvenlik uzmanına atıfta bulunarak en kötü senaryoyu doğruladı: Görünüşe göre internete erişimi olan herkes, sadece cihazın kendine ait adresine bağlanarak görüntü akışını izleyebiliyordu.
Belirsiz açıklama
Görüntülerin buluta yüklenmesine ilişkin ilk sorunla ilgili olarak tamamen mantıklı bir açıklama olduğunun söylenmesi gerekir. Teoride Eufy kameraları şöyle çalışıyor: Kamerayı evinize kuruyorsunuz ve akıllı telefonunuz üzerinden uygulamayı yapılandırıyorsunuz. Birisi Akıllı Arama düğmesine bastığında veya algılama sistemi kadraja birini algıladığında, akıllı telefonunuza fotoğraf içeren bir bildirim geliyor. Büyük olasılıkla bu bildirimleri göndermenin tek yolu bulut. Öyleyse Eufy neden bulut kullanılmayan bir deneyim vadetti? Güzel soru!
Peki ya video görüntülerine uzaktan erişim sağlanabilmesi? The Verge ve kaynakları, bu güvenlik açığından toplu şekilde faydalanılmasını önlemek için problemin tüm detaylarını paylaşmadı. Fakat yine de bazı sorunlar aşikar: Öncelikle, video görüntülerini iletmek için vadedilen şifreleme kullanılmıyor. Aslına bakarsanız görüntüler hiç şifrelenmiyor ve VLC gibi sıradan bir medya oynatıcı kullanılarak izlenebiliyor. İkinci olarak, belirli bir kameraya erişmek için o kameraya ait URL’yi, yani internetteki adresini bilmeniz gerekiyor. Fakat bu adresler tahmin edilebilir bir şekilde oluşturuluyor; doğrudan cihazın kutusunun üstünde yazan seri numarası ile o anın tarih ve saati kullanılıyor. Buna ek olarak (ekstra “güvenlik” için) dört haneli rastgele bir sayı kullanılıyor. Bu sayı da “kaba kuvvet” yaklaşımıyla kolayca çözülebiliyor. Kamera kullanıcısını, cihazın seri numarasını bilen bir saldırgana karşı koruyan tek şey, kameranın verileri internete sürekli olarak yüklememesi. Örneğin öncelikle kapı ziline basılarak etkinleştirilmesi gerekiyor. Bu sırada da yabancı birisinin bağlantı kurması mümkün hale geliyor.
Eufy’nin sahibi Anker’dan iddiaları doğrulaması ya da yalanlaması istendi, bu da işlerin daha çok karışmasına neden oldu. The Verge ve Ars Technica tarafından belirtildiği üzere geliştiriciler, herhangi bir güvenlik sorunu olduğunu kesin bir dille reddetti ve belirli problemler hakkındaki sorular karşısında da en az iki beyanda bulundu. Sonrasında ise bu beyanların gerçek olmadığı ortaya çıktı.
Birinci beyanda şirket, kameradan canlı görüntü izlemenin mümkün olmadığını “doğruladı” fakat The Verge’ün, kendisine ait Eufy kameralardan ikisini kullanarak yaptığı şey tam olarak buydu. İkinci beyanda ise şirket, görüntülü diyafonlardan alınan görüntülerin şirket sunucularına gönderildiğini fakat bunun amacının yalnızca akıllı telefonlara bildirim göndermek olduğunu, sonrasında ise söz konusu görüntülerin silindiğini kabul etti. Fakat bu da Moore tarafından basit bir test yapılarak yalanlandı: Moore, kişisel hesabından kameranın çektiği fotoğrafları görüntüledikten sonra, bu fotoğrafların URL’lerini kaydetti ve fotoğrafları telefonundan sildi. Fotoğraflar telefonundan silinmiş olmasına rağmen Moore, sadece kaydettiği URL’leri tarayıcının adres çubuğuna yazarak bu fotoğraflara erişmeyi başardı. Yukarıda sözü geçen diğer araştırmacı daha da ileri gitti: Video kamerayı tamamen sıfırladıktan, dolayısıyla da hesabında kayıtlı tüm videoları sildikten sonra, cihazı hesabına tekrar bağladı ve silinmiş olması gereken videoları gördü!
Genel olarak konuşmak gerekirse güvenlik sektöründe belirli etik standartlar değişime uğradı. Güvenlik açıklarıyla ilgili bilgilerin nasıl açıklanacağı ve satıcıların buna nasıl yanıt vermesi gerektiği konuları buna örnek verilebilir. Fakat Eufy olayında bu etik standartlar tamamen yok oldu: Araştırmacılar, şirkete sorunları düzeltme şansı vermek yerine güvenlik açıklarını doğrudan kamuyla paylaştı. Ardından şirket, gün gibi ortada olan bu sorunları inkar ederek yangına körükle gitmiş oldu. Eufy, bağımsız uzmanların iddialarını çürütmeye yönelik hiçbir teknik kanıt sunmazken, Moore’un suçlayıcı paylaşımlarından sonra fark ettiği tek değişiklik, önceden HTML’de şifresiz metin şeklinde gösterilen ve kamera karelerine giden bağlantıların, artık bulanık şekilde gösteriliyor olmasıydı. Yani bilgiler yine de Eufy sunucusuna gönderiliyor fakat bu işlem sadece izlemesi daha zor şekilde yapılıyordu.
Görünüşe göre satıcı, hiç kimsenin kontrol etmeyeceğini umarak web sitesindeki bir taahhüdünü daha bozmuştu. Ancak Eufy’nin bu eylemi kendi taahhütlerinin yanı sıra, AB’deki GDPR gibi, kullanıcı verilerinin korunmasına yönelik bölgesel kanunları da ihlal ediyor.
Koruma yöntemleri
Eufy vakası oldukça yeni. Ayrıca yetkisiz kişilerin, belirli veya rastgele bir kullanıcının IP kamerasından görüntü alabildiğinin kesin olarak kanıtlanması için başka araştırmalar da yapılması gerekiyor. Ancak, daha da ciddi güvenlik sorularına dair birtakım örnekler mevcut. Örneğin 2021’de, Çinli üretici Hikvision’ın IP kameralarının kritik bir güvenlik açığı içerdiği ve bu güvenlik açığı sayesinde saldırganların, cihazın kontrolünü tamamen ele geçirebileceği saptandı. Bu durumu düzeltmek için bir yama yayımlanmış olsa da, bir yıl sonra bile on binlerce kamera hâlâ güvenlik açığı içeriyor ve meraklı üçüncü taraflar bu kameralara erişebiliyordu. Ne yazık ki en kötü senaryoda, bu kameraların kullanıcıları söz konusu güvenlik açığının farkında bile olmayabiliyor.
Böylece sürekli sorulan sorular, bir kez daha karşımıza çıkmış oluyor: Bu kimin suçu ve ne yapılması gerekiyor? Ne yazık ki Nesnelerin İnterneti sektörü pek standartlaşmış bir sektör değil. En azından asgari güvenlik sağlayacak genel kabul görmüş normlar yok. Satıcılar, cihazlarını mevcut kaynaklarla ve kendi güvenlik nosyonlarıyla koruyor. Hangi satıcıya güveneceğine karar vermek de kullanıcıya kalıyor.
Ars Technica‘nın doğru şekilde belirttiği üzere, cihazınızda bir lens ve Wi-Fi özelliği varsa nihayetinde birisi bu üründe bir güvenlik açığı bulacaktır. İlginçtir ki tasarım bakımından benzer olan cihazlar (dizüstü bilgisayarlardaki ve akıllı telefonlardaki web kameraları) çok daha iyi korunuyor: Kamera kullanılıyorken bir gösterge ışığı yanıyor ve güvenlik çözümleri, uygulamaları izleyerek cihaza yetkisiz erişimi engelliyor.
IP güvenlik kameraları ise bazen 7/24 otonom şekilde çalışıyor. Ne yazık ki, cihaz güvenliğini değerlendirmeye yönelik genel kabul gören bir sistem geliştirilene kadar satıcıların “garantilerine” güvenmemeli, gizliliğinizi korumak için kendi önlemlerinizi almalısınız. Video kamera sistemi kullanıcılarına, cihazları hakkındaki güvenlik sorunlarıyla ilgili haberleri takip etmelerini, kamera ayarlarını dikkatle göden geçirmelerini, kullanmadıkları bulut özelliklerini devre dışı bırakmalarını ve güncellemeleri düzenli olarak yüklemelerini öneririz. Evinize video kamera sistemi kurmaya karar verirken de tüm riskleri değerlendirin zira izinsiz erişimden kaynaklanabilecek zararlar ciddi anlamda büyüktür.