İran nükleer programının kilit isimlerinden Muhsin Fahrizade’ye yönelik suikastta yapay zekaya sahip bir silahın kullanıldığı iddia edilmiş ve bu durum dünya kamuoyunda geniş bir şekilde ele alınmıştı. Biz de konuyla ilgili yaptığımız haberde istihbarat örgütleri düzeyinde yapay zeka kullanımını uzmanlarla konuşmuş ve bu duruma Türkiye’nin nasıl hazırlanması gerektiğini ele almıştık.
Buzdolabınız çok da masum olmayabilir
Bu kez konuyu daha farklı bir açıdan ele alıyoruz… Fahrizade suikastında bir istihbarat örgütü, gözlemci elemanlar, havada İHA’lar ve yapay zeka vardı. Peki sadece internete bağlı bir nesne ile de böylesine vurucu bir etki mümkün olabilir mi?
Siber güvenlik alanında istihbarat ve devlet destekli siber aktiviteler konularında çalışmalar yapan Ersin Çahmutoğlu ile bu sorunun yanıtını konuşurken açıkçası biraz ürkmedik değil… Buzdolabınızın çok da masum olmayabileceğini nedenleriyle anlatacağız ama önce biraz ‘nesnelerin interneti’ kavramına genel olarak değinmek durumundayız.
Yapay zeka evlerimize de girdi
Çahmutoğlu, yapay zekanın yeni bir olgu olmadığını belirterek başlıyor konuşmasına ancak özellikle son birkaç yılda gelişen teknolojiyle birlikte bu kavramın birçok alanda oldukça etkili bir şekilde kullanımının söz konusu olduğunu vurguluyor.
Savunma sanayiinden akıllı ulaşım sistemlerine, eğitim araçlarından medikal cihazlara kadar neredeyse hayatımızın her alanındaki nesneler bir şekilde internete, daha geniş adıyla bir ‘ağa’ entegre olmuş durumda.
Operatif anlamda sahada etkin kullanılabilen yapay zekanın evlerimize de geldiğine dikkat çekiyor Çahmutoğlu. Hal böyle olunca nesnelerin ya da eşyaların interneti (Internet of Things - IoT) adı verilen cihazların birbirleriyle ve hatta insanla iletişimi sonucu siber uzayın boyutu da değişmeye başladı.
Sistem nasıl çalışıyor
Bu satırları okurken evinizdeki buzdolabı ya da fırın gözünüzün önüne geliyor ve yine de IoT kavramını tam olarak kafanızda oturtamıyorsanız daha somut bir örnek verelim. Mesela siz markete girdiğinizde telefonunuz ile buzdolabınız otomatik olarak iletişime geçiyor ve sahip olduğu sensörlerin yardımıyla yumurtanın kalmadığını algılayan dolabınız size ‘yumurta almayı unutma’ diye mesaj atıyor.
Ya da cep telefonunuzdan bir uçak bileti aldığınızı düşünün. Sabah erken uyanıp havalimanına gitmek üzere telefonunuzdan alarmınızı kurdunuz ve uykuya daldınız. Ancak gece yarısı güzergahınız üzerinde bir trafik kazası oldu. Arabanız ve cep telefonunuzun bunu ‘düşündüğünü’ hayal edin. Ve sonuç olarak alarmı sizin kurduğunuz saatten daha önceye alan, yani inisiyatif kullanan bir cep telefonu... Nesnelerin interneti konusu ne denli geniş, kolaylaştırıcı ama bir o kadar da korkutucu değil mi?
İnternet olan yerde risk hep vardır
Bu genel çerçevenin ardından gelelim asıl konumuza… Gerçekten de nesnelerin suikastı mümkün olabilir mi? Ersin Çahmutoğlu, IoT başta olmak üzere gelişmiş teknolojilerin insanoğlu için hem fırsat hem de tehlike olduğu görüşünde.
“IoT cihazların istismar edilmeleri son derece mümkün ve maalesef bu konuda hiçbir devlet tamamen güvende kalabilecek önlemleri alamıyor” diyen Çahmutoğlu, bu görüşünü teknolojik anlamda imkanlar geliştikçe aynı zamanda tehditler ve tehdit aktörlerinin de değiştiği gerçeğiyle destekliyor.
İsrailliler anbean izlendi
Kötü niyetli kişiler ya da hacker'ların bu imkanları kullanmanın yollarını aradığını kaydeden Ersin Çahmutoğlu, çeşitli örneklerle son dönemlerdeki gelişmeleri anlatıyor:
“İsrail'in Filistin'e yönelik saldırıları sürerken, Tel Aviv yönetimine karşı olan hacker grupları, yüzlerce İsrail vatandaşının evlerinde bulunan IoT kamera cihazlarına sızdılar. Böylece her birini 7/24 anlık olarak izleyebildiler. Bu görüntüleri de çevrim içi ortamda paylaştılar.
Aynı şekilde bu kameralar, 2016 Mirai saldırısı örneğinde olduğu gibi bir saldırı aracı olarak kullanılabilir. Dünyayı adeta alarm durumuna geçiren Mirai saldırısında BotNet olarak kullanılan kameralar hacker'ların işlerini oldukça kolaylaştırmıştı.
Mirai saldırısını hatırlamayanlar için kısa bir anımsatma yapalım… Ekim 2016’daki Mirai isimli bir zararlı yazılımı kullanan siber saldırganlar DDOS adı verilen saldırı yöntemini kullanarak ABD başta olmak üzere tüm dünyada internet ağını felç etmişti.
Bu saldırıda bilgisayarların yanında internet bağlantılı akıllı beyaz eşyalar gibi 'nesnelerin interneti' platformları da kullanıldı. Bu cihazlar kullanılarak yaratılan aşırı yoğun veri trafiğiyle birçok internet sitesi ve web hizmetinin altyapısı kilitlendi. Neticede, Twitter, Etsy, Netflix, Spotify, PayPal, Amazon gibi pek çok büyük web sitesi ve internet hizmetinin yanı sıra çok daha küçük web siteleri saatlerce erişilemez hale geldi.”
Metro ulaşımları ve kritik altyapılar açık hedef
Çahmutoğlu, metrolar başta olmak üzere şehirlerin altyapılarının da ağa bağlandıkları her an ciddi tehlike altında olduğu konusunda oldukça net bir yaklaşım sergiliyor.
Peki çerçeveyi biraz daha daraltalım ve metro yerine buzdolabı, elektrik santralleri yerine klima ile suikast mümkün mü sorusunu yöneltelim:
“IoT cihazlarında en kritik tehlike güvenlik ihlalleridir. Internet bağlantısı olan herhangi bir cihaza saldırgan ya da hacker, yetkisiz giriş yaparak veya ağdaki ya da cihazdaki güvenlik açıklarını kullanarak müdahale edebilir, kontrolünü ele geçirebilir. Bu tür müdahaleler yaşadığımız çağın en önemli siber tehditleri arasında.
Milyarlarca IoT cihazının günlük hayatımızda sıklıkla yer aldığını düşünürsek tehlike daha da ciddi boyutlara ulaşıyor. Kötü niyetli kişiler, özellikle bir hedef belirlediyse ve ona yönelik bir suikast planı yaptıysa, söz konusu cihazlar bu kimseler için bir araç olabiliyor. Bu tarz eylemler, yeni nesil suikast yöntemlerinden biri olarak karşımıza çıkıyor. Bunun için konvansiyonel anlamda bildiğimiz silahlara gerek yok. Evimizde kullandığımız IoT cihazları onlar için sıradan silahlardan daha etkili olabiliyor.
Klimanız üzerinden yangın çıkartılabilir
Eve yorgun bir şekilde geldiniz. Isıtma sistemini ideal bir dereceye ayarladınız ve uykuya daldınız. Ancak cihaza sızan kötü niyetli kişi ısıtma sisteminin kontrolünü ele geçirerek yangın çıkarabilir ve siz ne olduğunu dahi anlamadan hayatınızı kaybedebilirsiniz.
Biraz daha ileri gidelim ve kalp pili takan bir hasta düşünelim... İnternete bağlı olan kalp piline sızan kişi pille ilgili programlamayı değiştirebilir ve bu girişim hastanın hayatına mal olabilir. Görüldüğü üzere, özellikle hayatımızın doğrudan içinde olan IoT cihazları siber saldırıya uğramaları durumda insan hayatına mal olabiliyor. Bu tehlikenin gelecekte nasıl bir hal alacağı belirsiz. Siber tehdit aktörleri her fırsatı değerlendiriyor ve amaçlarına ulaşabilmek için mümkün olan bütün yolları kullanabildiğini unutmamak gerek.”
Karşı koymak mümkün mü?
Ersin Çahmutoğlu’nun anlattıkları doğal olarak ‘Karşı koymak mümkün değil mi?’ sorusunu akıllara getiriyor…
Üreticisinin dahi farkında olmadığı yazılımsal açıklar için kullanılan ‘zero day’ kavramına atıfta bulunuyor Çahmutoğlu ve “İster devlet kurumlarında ister sıradan insanların kullanımında olsun genel olarak bu tür sistemlerin mutlak güvenlik barındırmadığı bilinmeli. Kullandığımız tüm akıllı cihazları da bu bilinçle kullanmalıyız ve bunların da her zaman zafiyet barındırabileceğini, siber saldırganların da bu zafiyetleri istismar edip güvenliğimizi tehlikeye atabileceğinin farkında olmalıyız.”