Bazı Kamera üreticileri bakım,tshoot, vb sebeplerle kameralar üzerinde internal system account’larını arka planda tutuyorlar. Bazı üreticiler bu durumu kullanıcıya soruyor bazıları default olarak bırakıyor .

Ancak unutulmaması gereken bir Verkada olayı da yakın geçmişte olmuştu .

Ne olmuştu peki ?
Bulut üzerinden güvenlik kamerası hizmeti veren Silicon vadisi start up firması Verkada güvenlik kameraları üzerinde hacker’lar tarafından bir açık bulundu ve birçok yeri etkileyen, aralarında Tesla üretim fabrikaları , deposu , Cloudflare ofisleri , Polis merkezleri , hatta Verkada ofisleri dahil 150.000 kamera etkilendi .

Hacker’ların bulduğu şey internal system account’una ait kullanıcı adı ve şifreydi .

Bloomberg’e konuşan Verkada yetkilisi yeni firmware ile tüm internal account’ların devre dışı bırakıldı belirtiliyor .
Verkada haber kaynağı :

https://lnkd.in/dtGUFrr2

Son zamanlarda #Tiandy IP kamerasında “ENABLE REMOTE SERVICE” opsiyonunu fark ettik . Bu aktif edilince cihazın güvenliğinin tehlikeye girebileceği ile ilgili uyarı da bulunuyor ancak kullanıcı dokümanlarında bu özellik ile ilgili herhangi birşey yazmıyor. Acaba bu özellik internal admin hesabı gibi bir özelliği mi aktive ediyor ? Tiandy Turkiye

Üreticilerden böyle bir özelliğin olmadığına dair , ya da herhangi bir arka kapı olmadığına dair taahhütname alınması gerekliliği , hatta bağımsız test kuruluşlarınca testler yapılarak belgelendirilmesi gerekliliği önem arz etmektedir . Nitekim 2019/12 sayılı Cumhurbaşkanlığı Bilgi ve iletişim güvenliği tedbirleri genelgesi de buna atıf yapıyor .
T.C. Cumhurbaşkanlığı Dijital Dönüşüm Ofisi

Bu gereksinimlerin tüm devlet ihalelerinde zorunlu olması , ülke genelinde satılan tüm cihazlar için de standart olması ülkemiz açısından önemlidir. Sertifikasyona sahip olmayan cihazların satışının yapılmasının engellenmesine kadar sıkı önlemler alınabilir.

Aksi takdirde Kapalı devre ağlar dışındaki internete açık olan tüm kameralar risk altında demektir. Shodan.io gibi iot search engine’lerle yapılan basit aramalarla tüm online cihazlar listelenebilmekte ve hedef haline gelebilmektedir .

Detaylı tavsiyelerle ilgili olarak bir sonraki yazıda devam edeceğiz .

TurkIOT,#TurkIoT