“Dijital sistemleri korumak için alınan önlemler sistemlerin hack’lenmesini önleyemez. Hack’lenemez denilebilecek bir sistem mevcut değil.” dedi.
NASA’yı ve birçok uçak sistemini hackleyen ve “uçak hackeri” olarak adlandırılan Siber Güvenlik Uzmanı Chris Roberts, Digital Age Summit’te soruları cevapladı.
NASA’yı neden hack’lediği sorusunu, “Canım sıkılıyordu” diye cevaplayan Roberts, herhangi dev bir yapının siber açıklarını bulmaktan keyif aldığını söyledi.
NASA’nın sistemindeki iletişim protokollerinin iyileştirilmesi gerektiğini fark ettiğini anlatan Roberts, “Uydu ve kara arasındaki sistemlerin iletişim güvenliğinin iyi bir şekilde şifrelenmediğini tespit ettik. NASA’nın Uluslarası Uzay İstasyonu’nun giriş kontrollerini aşarak sisteme erişim sağlayabildik.” ifadelerini kullandı.
Roberts, küresel ulaşım ağı, deniz yolu ağı ve diğer otoritelerin siber güvenlik konusuna ciddiyetle yaklaşmaları gerektiğini belirterek, sistemde “iyi hacker’ler” tarafından bulunan açıkların yardım alarak giderilmesi gerektiğini söyledi.
“Hack aktivitelerimde yapmaya çalıştığım sistemin daha güvenli bir hale getirilmesini sağlamak”
Roberts, havacılıkta önemli siber güvenlik açıkları olduğunu ifade ederek şöyle konuştu:
“Her uçak bir motor sistemine sahip. Bu sistemler piyasada hizmet veren firmalar tarafından sağlanıyor. Uçak kime ait olursa olsun, uçağa dair veriler hizmet sağlayıcı firmanın kontrolünde. Uçağa dair iletişimin sağlandığı bu sistemler hack’lenebilir.
Yeni uçakların her kanadında 10 binden fazla sensör bulunuyor. Bu sensörlerin de özel yazılımları var. Benim hack aktivitelerimde yapmaya çalıştığım, yapıların ve uçakların sahip olduğu her sistemin güvenilirliğini test etmek ve sistemin daha güvenli bir hale getirilmesini sağlamak.”
“Kendi başlarına çözemeyeceklerinin farkına vardılar”
Roberts, hava ulaşımıyla ilgili teknolojileri ilgi çekici bulduğunu belirterek, “Biz hava ve kara ulaşım sistemleriyle ile ilgili çeşitli araştırmalar yaptık. 2013 yılından bu yana hava ulaşımıyla ilgili yaptığımız araştırmalarımız sonucunda tespit ettiğimiz problemleri bu alanda hizmet veren şirketlerle paylaşmak istedik. Fakat onlar bizi dinlemedi. Onlar sistemlerinin mükemmel bir şekilde işlediğini ve bir problem olmadığını söylediler. Daha sonra ortadaki riskin farkına varan bazı gruplar bizi dinlemeye karar verdi.” bilgilerini verdi.
Roberts, uçakların yer kontrol ve uçuş kontrol sistemlerinin kesinlikle hack’lenebilir sistemler olduğunu söyledi.
Geçen hafta Uluslararası Hava Taşımacılığı Birliği’nin (IATA) Barcelona’da düzenlediği ulaşım güvenliği konferansına katıldığını anlatan Roberts, konferansta, havacılık sektöründe kullanılan yazılımların güvenlik problemlerini dile getirdiğini aktardı.
Roberts, “Görüşlerimi dinlediler ve tespit ettiğim sorunları kendi başlarına çözemeyeceklerinin farkına vardılar.” dedi.
“Gemiler de hack’lenebilir”
Roberts, gemi taşımacılığının da hava taşımacılığına benzer bir biçimde hack’lenebilir yapıda olduğunu kaydetti.
Bu sistemlerin daha iyi bir şekilde korunması gerektiğini anlatan Roberts, şunları kaydetti:
“Her geminin, uçaklarda olduğu gibi bir firmaya ait yazılım sistemi vardır. Bu yazılım sistemleri merkezleriyle devamlı iletişim halindedir. Bu noktada bu iletişim ağı hack’lenerek gemiye farklı komutlar verilebilir. Gemiler de hack’lenebilir.
Gemilerin iletişim ağlarına girerek sistemlerine sızılabilir ve güvenlik açığı olan gemileri batırılabilir. Buna karşılık hiç kimse de bir önlem alamaz.”
“Hack’lenemez denilebilecek bir sistem mevcut değil”
Siyah, gri, beyaz şapkalı hacker sınıflandırmasına katılmadığını söyleyen Roberts, “İki seçenek var, ya hacker’siniz ya da suçlusunuz. Hack’lemenin amacı sistemin işleyişini anlamak ve sistemin açıklarının nasıl kapatılacağına dair sistemi yönetenlere yardımcı olmak. Bunun haricinde sisteme girip zarar vermek gibi yapacağınız tüm işlemler suçtur ve siz hacker değil bir suçlusunuzdur.” değerlendirmesinde bulundu.
“Hack’lenmeyecek bir sistem yok.” diyen Roberts, insanların tasarladığı dijital içeriklerin hatalar barındırdığını söyledi.
Roberts, “Örneğin yaşadığımız yerleri korumak için kapılar ve duvarlar yapıyoruz. Bunlar bizi korumaya yetiyor mu? Tabii ki hayır. Bunlar ilkel önlemler. Benzer şekilde dijital sistemleri korumak için alınan önlemler de sistemlerin hack’lenmesini önleyemez. Hack’lenemez denilebilecek bir sistem mevcut değil.” yorumunu yaptı.
IOS daha güvenli, Android daha özgür
Bir hacker ve siber güvenlik uzmanı olarak, IOS işletim sistemini kullanmayı tercih ettiğini ifade eden Roberts, şöyle konuştu:
“Android platformu yapısı itibarıyla IOS’a göre daha açık bir sistem. Açık kodlu platformlar kullanıcıya daha fazla özgürlük sunması bakımından mükemmel. Fakat bu özgürlük alanına karşılık IOS’un kapalı yapısı, kullanıcıların zararlı uygulamalarla sistemin güvenliğini riske atmasını engelliyor.
IOS kullanıcılara daha güvenli bir ortam sunarken, android daha özgür fakat risk içeren bir ekosistem sunuyor. Eğer veri güvenliğini önemsiyorsanız, IOS diğer platformlara göre daha mantıklı bir seçim olur.”
Chris Roberts, çalışmalarını harici disk üzerine kurulmuş bir sistem üzerinden yaptığı bilgisini vererek, “İşim bittiğinde diski çıkarıyorum. Bu disk sayesinde herhangi bir ülkede, herhangi bir bilgisayar aracılığıyla güvenilir bir şekilde bilgisayar kullanabiliyorum.” dedi.