Eski Router'ınız İnternetin Gözde Suç Mahalli Oluyor

Router'lar, dijital hayatımızın giriş kapısıdır. Dizüstü bilgisayarları, telefonları, kameraları, akıllı TV'leri, oyun konsollarını, bebek monitörlerini ve artık giderek artan internet bağlantılı ev aletlerini internete bağlarlar. Yine de onlara bir duvar kağıdı muamelesi yapılır. Wi-Fi çalışmaya başladığı an, çoğu kişi bir daha asla cihazın arayüzüne giriş yapmaz. İşte bu alışkanlık, devasa ve savunmasız bir hedef yarattı. Birçok ülkedeki güvenlik kurumları yıllardır eski ve güncellenmemiş router'ların botnet'lere dahil edildiği, casusluk için bir dayanak noktası olarak kullanıldığı veya trafiği yönlendirip veri çalmak için ele geçirildiği konusunda uyarıyor. ABD'de FBI, ev ve ofislerdeki ele geçirilmiş router'lar hakkında defalarca uyarı yayınladı. İngiltere'nin Ulusal Siber Güvenlik Merkezi de aynısını yaptı. Bu, yersiz bir panik değil. Bu, gözümüzün önünde duran, bilinen bir zafiyettir.

Kanıtlar oldukça net. 2018'de VPNFilter adlı zararlı yazılım, dünya çapında evlerde ve küçük işletmelerde kullanılan router'lar da dahil olmak üzere yüz binlerce ağ cihazına bulaştı. Cisco araştırmacıları bu saldırıyı karmaşık bir operasyonla ilişkilendirdi. FBI daha sonra, geniş çaplı engelleme çabaları sürerken insanlara etkilenen cihazları yeniden başlatmalarını tavsiye etti. Ancak yeniden başlatmak sadece geçici bir çözümdü. Asıl ders çok acıydı: gündelik internet donanımları, sessizce ve büyük ölçekte birer silaha dönüştürülmüştü. Bundan yıllar önce de Mirai botnet'i, güvenliği sağlanmamış internet bağlantılı cihazlar savunmasız bırakıldığında neler olabileceğini göstermişti. 2016'da ele geçirdiği devasa bir cihaz ordusunu kullanarak büyük online servislerin çökmesine neden olmuştu. Mirai, kameralardaki ve diğer cihazlardaki zayıf fabrika ayarı şifreleri kötüye kullanmasıyla ünlendi, ancak verdiği daha genel mesaj hala geçerli. Ucuz ve ihmal edilmiş internet donanımları, birer saldırı altyapısına dönüştürülebilir.

O zamandan beri sorun ortadan kalkmadı, aksine büyüdü. Saldırganların her zaman sıra dışı yöntemlere ihtiyacı olmuyor. Bazen cihaz sahiplerinin hiç değiştirmediği fabrika ayarı giriş bilgilerini kullanıyorlar. Bazen üreticilerin yıllar önce yamadığı ama kimsenin güncellemeyi kurmadığı eski yazılımlardaki bilinen açıkları kullanıyorlar. Bazen de ortada bir yama bile olmuyor, çünkü cihazın kullanım ömrü dolmuş ve üretici fiilen desteği kesmiş oluyor. İngiltere'deki tüketici grubu Which? ve Internet Society, temel ama rahatsız edici bir gerçeğe dikkat çekti: birçok internet bağlantılı cihaz, zayıf destek vaatleri, belirsiz güncelleme süreleri veya sıradan alıcıların nasıl kullanacağını hiç öğrenemediği güvenlik özellikleriyle satılıyor.

İşte piyasanın başarısız olduğu ve hem de fena halde başarısız olduğu nokta burası. Tüketicilere internette daha sorumlu olmaları söyleniyor ama onlara sorumluluğu gerçekçi kılmayan ürünler satılıyor. Router ayarları genellikle kullanışsız arayüzlerin arkasına gömülmüş durumda. Güvenlik güncellemeleri elle kurulum gerektirebiliyor. Destek sayfalarını bulmak zor. Kullanım ömrünün sonuna gelindiğine dair bildirimler ise belirsiz. Bazı internet sağlayıcıları, müşterilerin pek anlamadığı ve kolayca değiştiremeyeceği donanımlar veriyor. Bu, kelimenin tam anlamıyla bir kullanıcı hatası değil. Bu, sektörün bir tasarım tercihi. Sistem, ihmali varsayıyor ve sonra suçlular bundan faydalandığında şaşırmış gibi yapıyor.

Küçük işletmeler özellikle savunmasız durumda. Genellikle ucuz ve alışıldık oldukları için ev tipi veya eski ofis ağ ekipmanları kullanıyorlar. Özel bir IT personelleri olmayabiliyor. Yıllarca aynı router'ı kullanırken arkasında maaş kayıtlarını, müşteri verilerini ve ödeme bilgilerini saklayabiliyorlar. Bu cihaz ele geçirildiğinde, hasar sessizce yayılabilir. Suçlular trafiği izleyebilir, zararlı yazılım yerleştirebilir, cihazı bir botnet'e dahil edebilir veya daha değerli sistemlere sızmak için bir atlama taşı olarak kullanabilir. ABD Siber Güvenlik ve Altyapı Güvenliği Ajansı (CISA), router ve firewall gibi ağların sınırında yer alan ve genellikle yeterince izlenmeyen cihazların çekici hedefler olduğu konusunda defalarca uyarıda bulundu.

Konunun bir de kamuoyunda daha fazla dikkat çekmesi gereken bir ulusal güvenlik boyutu var. Devlet destekli gruplar sadece dev savunma sanayii şirketlerini veya istihbarat teşkilatlarını hedef almıyor. Verimli ve ölçeklenebilir olduğu için genellikle internete açık sıradan donanımları da hedefliyorlar. Son yıllarda Batılı hükümetler, casusluk gruplarının büyük üreticilerin router, firewall ve VPN cihazlarını hedef aldığına dair ortak bildiriler yayınladı. Mesele, her eski router'ın aktif devlet gözetimi altında olduğu değil. Bunu iddia etmek sorumsuzluk olur. Mesele, bu cihazların stratejik hedefler olarak kabul edilmesidir, çünkü onları ele geçirmek gizlilik, kalıcılık ve erişim sunabilir. Sadece yüksek profilli kurumların önemli olduğunu düşünen herkes bu durumdan endişe duymalıdır.

Sonuçları ilk olarak sıradan insanları vuruyor. Ele geçirilmiş bir router bağlantıyı yavaşlatabilir, kötü niyetli DNS değişiklikleriyle kullanıcıları sahte web sitelerine yönlendirebilir, internet trafiğini açığa çıkarabilir veya akıllı ev cihazlarını istismara açık bırakabilir. Bir aile evinde bu, çocukların cihazlarının, iş bilgisayarlarının ve özel iletişimlerin hepsinin aynı zehirli ağ geçidini paylaşması anlamına gelebilir. Bir klinikte, dükkânda veya yerel bir ofiste ise gerçek iş kesintilerine ve maliyetli bir toparlanma sürecine yol açabilir. Siber güvenlik genellikle bulutta yaşanan soyut bir savaş gibi pazarlanır. Gerçekte ise her şey, televizyonun yanında duran modası geçmiş tek bir plastik kutuyla başlayabilir.

Çözümler var ve bunlar gizemli şeyler değil. İlki acımasızca basit: eski router'ları arızalandıktan sonra değil, bozulmadan önce değiştirin. Bir cihaz artık güvenlik güncellemesi almıyorsa, ona ucuz bir eşya değil, güvensiz bir internet altyapısı olarak bakılmalıdır. Alıcılar, güncelleme politikalarını net bir şekilde belirten üreticileri tercih etmelidir. İkincisi, varsayılan yönetici şifrelerini değiştirmek ve gerçekten ihtiyaç duyulmadıkça uzaktan yönetimi devre dışı bırakmaktır. Üçüncüsü ise, cihaz ister mağazadan alınmış olsun ister internet servis sağlayıcısından gelmiş olsun, yazılım güncellemelerini hemen kurmaktır. CISA ve NCSC gibi kurumlar ayrıca kullanılmayan özellikleri kapatmayı, güçlü Wi-Fi şifrelemesi kullanmayı ve güvenilir bir aktif tehdit olduğunda cihazları yeniden başlatmayı öneriyor. Ancak altta yatan zafiyet devam ettiği sürece tek başına yeniden başlatmak asla yeterli değildir.

Ancak kişisel çabalar yeterli değil. Düzenleyici kurumlar ve üreticiler, güvenliğin isteğe bağlı, lüks bir özellikmiş gibi davranmaktan vazgeçmeli. Nihayet bazı ilerlemeler görülüyor. İngiltere'nin Ürün Güvenliği ve Telekomünikasyon Altyapısı Yasası, internet bağlantılı ürünlerdeki güvensiz fabrika ayarı şifreleri ve diğer temel başarısızlıkları hedef alıyor. Avrupa Birliği'nin Siber Dayanıklılık Yasası ise güvenlik yükümlülüklerini üreticilere yıkmayı amaçlıyor. Bu adımlar önemli, çünkü mevcut model tepetaklak olmuş durumda. Tüketicilerin temel internet ekipmanlarını güvenle kullanabilmek için uzman seviyesinde bir dikkat göstermesi gerekmemeli.

Eski siber güvenlik efsanesi, tehlikenin tek bir dikkatsiz tıklamayla geldiğini söyler. Bazen bu doğrudur. Ancak daha rahatsız edici olan gerçek, riskin genellikle insanların güvenmeleri ve sonra unutmaları söylenen cihazların kendi yapısında gizli olmasıdır. Köşedeki router artık sıkıcı bir altyapı parçası değil. O artık çekişmeli bir alan. Ve biz ona bir güvenlik cihazı yerine bir ev aleti gibi davranmaya devam ettiğimiz her yıl, suçlulara kolay bir zafer daha hediye ediyoruz.