BTC
$0.00
0.00%
Sıradan bir akşamın, daha sonra tüm dünyada tanınacak bir casusluk hikayesine dönüşeceğini hiç düşünmemiştim. Çok garip ama aynı zamanda çok basit bir hikaye, önce şirketin güvenlik görevlilerine, şimdi de size anlatmak zorunda kaldım.
Ayrıca, yazılımım kimlik doğrulamasından geçerek, robot süpürgeler gibi, tüm dünyadaki kripto cüzdanlarının anahtarlarına aniden erişim sağlasaydı ne olurdu, tahmin etmek zor değil. Verileri sadece görmekle kalmaz, tüm dünyadaki yabancılara ait yabancı fonları da yönetebilirdim. Ama size her şeyi sırayla anlatayım.
Odamda oturmuş, drone teknolojisi (LiDAR, binoküler görüş) ve video gözetleme işlevini birleştiren yeni DJI Romo robot süpürgemi kullanmayı öğrenmeye çalışıyordum. Basitçe söylemek gerekirse: temizlik yapmak yerine biraz oynamak istedim. Ve süpürgemi çalıştırdığımda, önümde başka bir cihazın verileri belirdi. Sonra bir tane daha, bir tane daha. Birkaç dakika sonra, dünyanın her yerinden 6700 robot görüyordum, her birinin seri numarası, IP adresi, pil durumu ve hatta oda haritası vardı. Yani, aynı anda binlerce yabancı evin ve onların kameralarının erişimine sahiptim.
Bir anda, Asya, Avrupa, Kuzey Amerika ve diğer yerlerdeki yüzlerce dairenin görünmez gözlemcisi oldum.
Bu robotları kasıtlı olarak hacklemedim, sadece benim kimlik doğrulama anahtarım DJI sunucusu tarafından evrensel anahtar olarak algılandı. Şimdi, bu sistemde robot süpürgeler yerine hesaplar ve kripto cüzdanlar olduğunu hayal edin, her biri farklı dijital para birimlerinde yüzlerce veya yüz binlerce dolar içeren!
Yüz milyonları bilinmeyen bir yere aktarmak için ne kadar az zaman gerektiğini düşündüğümde dehşete kapıldım – çünkü kötü niyetli kişiler ether, bitcoin veya diğer tokenleri hızla üçüncü taraf adreslerine aktarabilirdi. Ancak neyse ki bu sadece varsayımsal bir senaryoydu. Gerçekte ise, kripto para hesaplarının anahtarlarıyla değil, milyonlarca ev iç mekanı görüntüsü ve elektrikli süpürgelerin hareket yollarıyla karşılaştım.
Hemen uygulamamı kapattım, DJI'ye erişimimi geri verdim ve şirkete güvenlik açığı hakkında bir mektup yazdım. Neredeyse suçlu ilan edilecektim, ama aslında sadece cihazı kullanarak odayı temizlemeye çalışıyordum.
Ancak, görünüşe göre şirket bu dersi iyi öğrenmiş – çünkü özel veriler veya dijital varlıklar söz konusu olduğunda, tek bir hata hayal edebileceğinizden çok daha pahalıya mal olabilir!
Romo ile olan olaydan sonra, bu garip hikayeyi noktaladığımı düşünmüştüm. Evet, bu, drone teknolojisi ile video gözetleme işlevini birleştiren yeni robotum DJI Romo'yu kullanmayı öğrenmeye çalışırken, dünyanın dört bir yanındaki robotik cihazları hacklediğim o çok konuşulan hikaye. Ama asıl entrika daha sonra başladı, Chainalysis'ten tanıdığım bir analist beni aradı ve benim durumumun bir tesadüf olduğundan emin olup olmadığımı sordu. Daha önce San Francisco ve Las Vegas'ta dijital güvenlik konferanslarında tanışmıştık ve o konferanslarda phishing, hackleme yöntemleri ve teknikleri ve hacklenmiş kripto cüzdanları hakkında konuşmuştuk.
Bana, sistemlerinin garip bir aktivite kaydettiğini söyledi: birkaç bin kripto cüzdanına eşzamanlı erişim girişimleri, bunların tek bir ortak noktası vardı — merkezi kimlik doğrulamalı üçüncü taraf hizmetlerin kullanılması. Üstelik, doğrudan kırılmaya dair hiçbir görünür iz yoktu. Sadece kullanıcı ile sunucu arasındaki zayıf halka. Bu konuda bildiğim her şeyi ve 6700 cihazı kazara hacklediğim hikayeyi anlatmayı kabul ettim.
Çevrimdışı olarak buluştuk. Masada, işlem listeleri, zaman damgaları ve IP kümeleri bulunan bir dizüstü bilgisayar vardı. Rotaların bir kısmı, daha önce Lazarus Group ile bağlantılı olan altyapıya götürüyordu. Lazarus Group, kripto borsalarına ve DeFi projelerine saldırılarıyla tanınan bir gruptur. Doğrudan kanıt yoktu. Ancak tesadüfler çok ilginçti.
Romo'nun güvenlik açığının robot süpürgelerle değil, kripto cüzdanlarla ilgili olsaydı, senaryo felaket olurdu: sistem fonların hareketini kaydederdi. Ayrıca özel anahtarlar geri dönüşü olmayan bir şekilde kaybolurdu. Dikkat çekici olan, kullanıcıların borsaları, üreticileri ve yazılım geliştiricileri suçlayacaklarıydı. Ancak asıl neden, erişim mimarisindeki hatalardı.
Sonraki eylemlerimizi kamuoyuna açıklamadık. Bunun yerine, teknik sonuçları güvenlik ekibine ilettim ve birkaç gün içinde bir yama çıktı. Uzmanların, “evrensel anahtar” olarak adlandırılan fenomenin ortaya çıkmasını önlemek için bir sonraki güvenlik sistemini test ettiklerini bana mektupla bildirdiler.
Dijital dünyada suçlar nadiren hırsızlıkla başlar. Çoğu zaman, “tüm kilitler için çok iyi çalışan” tek bir kullanışlı çözümle başlar. Bazen ise her şey sıradan bir elektrikli süpürgenin kontrol cihazının açılmasıyla başlayabilir. Evet, kısa süre önce benim başıma da aynen böyle bir şey geldi.
