İlk haftasında 4 milyon kopya satarak rekor kıran Watch Dogs, oyuncuyu içine çeken oynanışı (gameplay) ve son derece sıra dışı konsepti sayesinde video oyunları sektörüne ilk sıralardan giriş yaptı. Tüm oyun mekaniği, oyuncunun amaçlarına ulaşması için ATM’ler, köprüler, trafik ışıkları, güvenlik kameraları gibi akıllı şehir cihazlarının hacklenmesine dayalıdır. Ubisoft geliştiricileri, oyuncuların yalnızca gerçek hayatta kullanılan hack yöntemlerini kullanmalarını sağlayarak senaryolarının gerçekçi olmasını hedeflemiştir. İşte bu nedenle oyun senaryosunu değerlendirmek ve oyunun hack yöntemleri ile ilgili kısmını düzenlemek için Kaspersy Lab uzmanlarına başvurdular. Oyun çıktıktan sonra birçok oyuncu, oyundaki hack yöntemlerinin gerçek hayattaki karşılıkları ve gerçekten bu tür hilelerinin olup olmadığını sormaya başladı. Biz de Facebook sayfamıza gelen soruları topladık ve Kaspersky Lab güvenlik uzmanı Igor Soumenkov’dan Watch Dogs oyununda yer alan hack yöntemleri hakkındaki gerçekleri anlatmasını istedik.
Oyundaki kurgu gerçek hayata ne kadar benziyor?
Oyunda yer alan hack yöntemlerinin bazıları gerçek hayata çok benzese de bu tabii ki bir oyun ve simülasyondur. Watch Dogs oyunu size hack yöntemlerini öğretmez. Yalnızca güçlü bir hack aracının nasıl çalıştığını gösterir.
Oyunda kullanılan ve gerçek hayatta karşılaşabileceğimiz hack yöntemlerinden bazıları şunlardır:
- Müdahale (Android’deki Parolaların ve Wi-Fi Paketlerinin İzlenmesi),
- ATM/POS hackleme (Metin mesajı ile kontrol edilen ATM kötü amaçlı yazılımı ATM’den nakit para verilmesini sağlar),
- Arabaların hacklenmesi (Charlie Miller ve Chris Valasek bunu gerçekleştirdi);
- Şehri (trafik ışıklarını/elektrik kesintilerini) kontrol etme (New York trafik ışık sistemi HACKLENDİ Mİ?)
Gerçek hayatta karşılaşabileceğiniz #Watchdogs hack yöntemlerinin listesini buradan görebilirsiniz
Tweet
Yalnızca bir cep telefonu kullanarak bu cihazların hepsini ele geçirmek mümkün mü?
Tabii ki gerçek hayatta hacklemek suçlu açısından çok daha fazla çaba gerektirir. Yalnızca akıllı telefonunuza dokunarak, kullanıma hazır güvenlik açıklarından yararlanamazsınız.
Mesela ATM saldırılarında suçlular çıkarılabilir bir USB cihazına açıklardan yararlanan bir program ve kötü amaçlı bir yazılım yükler. USB cihazı ATM’ye bağlandıktan sonra güvenlik açığı saldırganların üst düzey sistem ayrıcalıkları kazanmasını ve kötü amaçlı yazılımı başlatmalarını sağlar. Bu kötü amaçlı yazılım ATM’nin işletim sistemini kontrol eden bir arka kapı olabilir. ATM etkili bir şekilde ele geçirildikten sonra geriye yalnızca ATM’den para çekmek kalır. ATM’nin banknotları saçmasını sağlayan bu son aşamada akıllı telefonlar kullanılmaz.
Sizce siber suçlular bu oyunu büyük bir şehri hacklemek ve kontrol etmek gibi fikirleri için kullanamaz mı?
Bu oyunun, insanlara modern şehirlerdeki işletim sistemlerinin güvenliği hakkında düşünmesi için bir fırsat olacağını umuyoruz. Bu tür durumlarda güvenlik konusu ciddi bir şekilde ele alınmalıdır. Bu oyun, işletim sistemlerinin suistimal edilmesi durumunda neler olabileceğini gösteren ilginç bir simülasyondur.
Gerçek hayatta yaşanan ve çok korkutucu olduğunu düşündüğünüz bir güvenlik olayı söyleyebilir misiniz?
Oyunda gördüğünüz hack yöntemlerinin bir çoğu otomatik kontrol sistemlerinin ele geçirilmesiyle ilgili. Aslında bu bir kaç yıl önce başlayan yeni ve korkunç bir moda. Bu trend, endüstriyel kontrol sistemlerini hedef alan Stuxnet solucan yazılımının ortaya çıkmasıyla başladı. Bu solucan, bir bilgisayar programının gerçek hayatta nesneleri bozabileceğini gösterdi. Saldırganlar gerçekten fiziksel ekipmanların bozulmasına neden oldu. Oyunda da bunu görüyoruz. Bu ihtimal gittikçe daha gerçekçi hale geliyor.
Çevrimiçi bir oyunda siber saldırı olma ihtimali ne kadar yüksektir?
Bunun gerçekleşme riski var ve ciddiyeti de oynadığınız oyunun türüne ve hem oyun sırasında hem de günlük hayatınızda nasıl davrandığınıza bağlı. Mesela, 10 yıldan uzun bir süredir Truva Atları oyuncuların sanal karakterlerini çalabiliyor. Dijital hayatınızın farklı alanlarını hedef alan Truva Atları artık inanılmaz derecede esnek. Mesela Truva Atları kullanılarak Skype parolanız çalınabilir veya yalnızca oyun parolalarınızın hedef alındığı özel bir ayar kullanılabilir. Oyun parolaları çalındığında saldırganlar oyun hesaplarınızı hackleyerek ele geçirebilir.
Hatta saldırganlar oyuncuların yanı sıra oyun geliştiricilerini de hedef alabilir. Ancak bu sefer fikri mülkiyeti çalmak veya illegal çevrimiçi oyun sunucuları oluşturmak gibi farklı amaçlarla hareket ederler.
Oyundaki Decryption (Şifre Çözme) çok oyunculu modunda, farklı oyuncular birbirine yakınsa şifre çözme işlemi hızlanıyor. Bu mümkün olabilir mi? Daha önce farklı cihazların işlemci güçlerini paylaşma için kablosuz olarak eşleştiğini duymuştum! Bu nasıl yapılabilir?
Evet, bu bilgi doğru. Paylaşımlı kaynaklar kullanılırken bazı hesaplama prosesleri daha hızlı yürütülebilir. Parola saldırısı da bu tür bir iş yüküdür. Bir iş yükü aynı anda farklı cihazlar tarafından işlenmesi için dağıtılabilir. Piyasada bu işlemi yapabilen birçok yazılım mevcuttur. Ancak kablosuz ağa bağlı farklı cihazlar arasında görev paylaşımı yapılmasına yardımcı olan ayrı bir uygulama geliştirmek de mümkündür.
Sizce #Watch Dogs oyunundakine benzer bir “akıllı şehrin” hayata geçirilmesinin önündeki en büyük engel nedir?
Teknoloji alanındaki engeller o kadar önemli değildir. Ancak asıl sorun yönetimsel haklardan kaynaklanır. Watchdogs oyunundaki sanal Chicago şehri, trafik ışıkları, doğal gaz hatları, ATM makineleri, güvenlik kameraları ve baskül köprüler tek bir ağ ile birbirine bağlıdır. Bu da tüm altyapıdan tek bir kurumun sorumlu olduğu ve tek bir veri merkeziyle çalışıldığı anlamına gelir.
Gerçek hayatta tüm bu sistemler farklı kurumlar tarafından yönetilir. ATM makinelerini ele alacak olursak her bankanın ayrı bir ATM ağına sahip olduğunu görürüz. Yani gerçek hayatta karşılaşabileceğimiz en büyük zorluk bu ayrı işlerin ve kurumların aynı çatı altında ve aynı veri merkezinde toplanma sürecinde yaşanacaktır.
Diğer taraftan sistemlerin bir araya getirilmesi tek bir hata için daha büyük bedeller ödenmesine neden olur. Çünkü sistemin hacklenmesi daha ağır ve olumsuz sonuçlara yol açabilir. Ancak sistemin birbirine bağlı olması korunmasını da kolaylaştırır. “Saldırı yüzeyi” adını verdiğimiz kavrama göre ne kadar az şirket varsa o kadar az sunucu vardır ve saldırı yüzeyi de o kadar küçülür. Diğer bir deyişle güvenlik şirketi daha az kaynak harcayarak tek bir veri merkezini korur.
Günümüzde hacklemek için kullanılan donanımının çok küçük bir bütçe gerektirdiği ancak bir şehir altyapısının tamamını hacklemek için kullanılabileceği söyleniyor. Bu konuda ne düşünüyorsunuz?
“Şehir altyapısının tamamını hackleme” konusunda, daha önce söylediğim gibi şehir hayatının tamamını yönetmek için tek bir sistem kullanılmadığını unutmamak gerekir. Hız kameraları ağı, ATM ağı vb. gibi birbirinden bağımsız birçok altyapı vardır. Bu nedenle şehir altyapısının tamamını hacklemek imkansızdır. Donanım sorusuna gelecek olursak donanım, hack konusunda çoğunlukla ikinci planda kalır. Bir hacker 100 USD maliyetinde basit bir PC ile çalışabilir. İhtiyacınız olan tek şey ekran, klavye, işletim sistemi ve gerekli bilgiler ve araçlardır. Bu araçları hem ücretli hem de ücretsiz olarak kolaylıkla internetten indirebilir veya kendiniz oluşturabilirsiniz.
Hack için en iyi mobil cihaz hangisidir?
Hacklemek amacıyla kullanılabilecek bir akıllı telefon işletim sisteminin özel ayrıcalıklarına sahip olmalıdır. Bunun için kök erişim izni verilmiş (rooted) bir Android veya işletim sistemi kısıtlamaları kaldırılmış (jailbroken) bir iPhone kullanılabilir. Bu tür cihazlar hackerın hat kartının MAC adresini değiştirmesini ve ağın daha derin bir düzeyinde çalışmasını sağlar. Ancak burada önemli olan şey cihaz değil, hem Android hem de iOS için mevcut olan bazı uygulamalar ve özel araçlardır.
Gelecekte tek bir şirketin tüm şehri kontrol etmesi ve bir grup muhalifin de onların sistemine girmeye çalışması mümkün olabilir mi?
Tek bir şirketin tüm şehri kontrol etmesi bana pek olası gelmiyor. En azından böyle bir durum iş dünyasının çıkarlarıyla çatışır. Her kurum kendi alanının kontrolünü elinde tutmayı amaçlar ve tekellerin oluşmasını istemez. Bu nedenle gelecekte oyundaki gibi bir Chicago şehrinin olması gerçekçi değildir. Zaten her şeyin kontrolünü bir şirketin eline vermek sağlıklı rekabet kurallarına da aykırıdır. Dolayısıyla oyunun ana fikrinin gerçek hayatta uygulanabileceğini düşünmek için hiçbir neden yok.
Yavaş yavaş “akıllı şehirler” konseptine yaklaşmamıza rağmen bu gerçekleşse bile altyapı farklı sorumluluklara sahip farklı kurumlar tarafından yönetilir.
Tek oyuncuyla oynanan diğer oyunları hacklemeye çalışan oyuncular için ipucu verebilir misiniz?
Biz sadece oyun ve gerçek hayatta güvenlikle ilgili sorulardan sorumluyuz. Oyunun oynanışı ve ipuçlarıya ilgili sorularınızı Ubisoft’a sorabilirsiniz 🙂
70’lerin sonundaki “blue box” cihazları gibi fiziksel hackleme cihazları var mı?
Tabii ki! Hem de sayıları da oldukça fazla. Örneğin tablet boyutundaki “plug computer” cihazlarını veya eski telefon şarj aletlerini düşünün. Yalnızca elektrik prizine takılarak ağa bağlanan bu cihazların guru plug, dream plug vb. gibi birçok çeşidi vardır. Hepsi ağlar için güvenlik testleri yapmak amacıyla tasarlanan küçük fonksiyonel PC’lerdir. Örneğin “pawn plug” cihazı ağı otomatik olarak tarar, güvenlik açıklarını bulur ve raporlar hazırlar.
Bir PC’yi hacklemek ile bir klima veya trafik ışığını hacklemek arasında fark var mıdır?
Klima konusunda emin olmasam da trafik ışıkları, sürgülü kapılar ve baskül köprüler gibi cihazların tamamı bir şekilde ağa bağlıdır. Bilgisayarlara veya kontrolörlere bağlı olan bu cihazlar operatörler tarafından kontrol edilir. Bu durumda trafik ışığını hacklemek için operatörün PC’sini hacklemeniz gerekir. Bu, olabilecek en mantıklı yaklaşımdır ve Watch Dogs oyununda da uygulanmıştır. Bu yaklaşımın temeli operatörlerin veya yönetici kurumların bilgisayarlarını hacklemek üzerine kuruludur.
Oyundan silinen ilginç hack yöntemleri var mı? Varsa neden silindi?
Uzmanlık alanımız siber tehditleri durdurmak ve hiper bağlantıları/BT sistemlerini manipüle etmeye ve kötüye kullanmaya çalışan kişileri engellemektir. Bu nedenle oyundaki teorik siber senaryolar için hem teknik danışmanlık sağladık hem de tavsiyelerde bulunduk. Oyun içi mekaniği ve karakter/konu gelişimi konusunda yardımcı olduk. Senaryoyu inceledik ve nelerin doğru olduğu ve oynanışın ya da konu gelişiminin teknik anlamda daha özgün olması için nelerin ayarlanabileceği, düzenlenebileceği veya değiştirilebileceği konusunda öneriler sunduk.
Senaryodan hiçbir şey silmedik. Senaryo bize verildiğinde zaten içinde bazı hack yöntemleri yer alıyordu. Bunun üzerinde çalışarak bazı yöntemleri onayladık, bazılarını da düzelttik ancak hiçbir şeyi silmedik. Tabii ki Ubisoft’un adına konuşamayız.
Şu anda mevcut olan veya olası tüm siber tehditler hakkında profesyonel bilgi sahibi olmak nasıl bir his? Geceleri rahat uyuyabiliyor musunuz?
Evet, uyuyabiliyoruz. Hiçbir sorunumuz yok. Tabii ki hiçbir zaman tamamen güvenli sistemlerin olmayacağını biliyoruz. Hacklemek; zaman, bütçe ve istekle ilgili bir konu. Her zaman güvenlik açıkları olacaktır. PC’lerin, yönlendiricilerin, şirket ağlarının, Wi-Fi ağlarının, hatta televizyonların bile güvenliğinden tamamen emin olamayız Ancak hacklendiğimiz zaman veya hacklendiğimiz duygusuna kapıldığımızda nasıl davranacağımızı biliyoruz. Bu da kendimize daha çok güvenmemizi sağlıyor.
Oyunda gösterildiği gibi “kişi aramayı” kolaylaştıran bir veritabanı var mı? Ya da böyle bir veritabanı önümüzdeki on yıl içinde oluşturulabilir mi?
Bu amaçla kullanılan birçok veritabanı var. Zaten sizin de bildiğiniz Facebook, LinkedIn ve Vkontakte bu veritabanlarına örnek olarak verilebilir. Ancak bir kişinin veritabanındaki ilişkilerini ortaya çıkartmak için belirli teknolojilerin kullanılması gerekir.
Bunu başarmak için gizli serviste çalışmanıza gerek yok. Açık verileri analiz eden açık kaynak kodlu istihbarat şirketleri var. Bu şirketler sosyal ağlarda sanal hesaplar oluşturarak kişilere arkadaşlık isteği gönderiyor veya kendileriyle arkadaş olmaya teşvik ediyor. Eklenen her kişinin arkadaşlarının profillerine de erişebileceğiniz için sosyal ağlarda mevcut tüm profillere erişim sağlayabilirsiniz. Hatta binlerce bağlantıya sahip olan bir sürü arkadaşınız olduğunda tüm sosyal ağ popülasyonuna ulaşabilirsiniz.
Yani bir ağdaki herhangi bir kişiyi bulmak için yalnızca birkaç arkadaşınız olması yeterlidir. Bundan sonra yapmanız gereken keşfettiğiniz bilgilerle gerçek hayatın bağlantısını kurabilmektir. Bunun için coğrafi konum, yüz tanımlama, ses tanımlama vb. gibi herkesin erişebileceği birçok yöntem kullanılabilir. Bu yöntemlerin hepsi birlikte kullanıldığında son derece etkili sonuçlar elde edebilirsiniz: Gereksiz bilgilerden kurtularak istediğiniz kişiyi bulabilir ve onu profilinden tanımlayabilirsiniz.