İnternet bağlantılı su ısıtıcısı, elektrik şebekesini çökertebilir mi?
ESET, akademisyenlerin incelediği bir karanlık felaket senaryosunu mercek altına aldı.
Görünen o ki cevap evet. Princeton Üniversitesi'nden akademisyenlerin yaptığı bir araştırmaya göre siber suçlular, internete bağlı ev cihazlarını bir botnete dönüştürebilir ve böylece büyük ölçekli kararmalara yol açabilecek şekilde elektrik şebekelerini çökertebilirler. Bilgi güvenliği kuruluşu ESET, çeşitli felaket senaryolarını inceleyen bu akademik çalışmayı mercek altına aldı.
Araştırmalar, özellikle akıllı ev sistemleri ya da mobil uygulamalar tarafından kontrol edilen ve yüksek oranda enerji tüketen akıllı fırınlar, su ısıtıcıları ve klimalar gibi internete bağlanabilen cihazlara odaklandı. Princeton Üniversitesi arademisyenleri herhangi bir cihazda yer alan belirli bir güvenlik açığını işaret etmemekle birlikte, bu cihazların korsanlar tarafından ele geçirildiği bir senaryoyu canlandırdılar. Bilgi güvenliği kuruluşu ESET, bu sıra dışı saldırı yöntemini inceledi.
Şebekenin kontrol sistemini ele geçirmeden saldırı yapabilme ihtimali
Bu fikrin kanıtı niteliğindeki saldırıların altında yatan olağandışı şeyler, tehdit aktörlerinin şebekenin yönetimsel kontrol ve veri toplama (SCADA) sistemlerini ele geçirmeden kesintiye neden olabilmesine dayanıyor. Ayrıca “MadIoT” (Manipulation of demand via IoT) adı verilen bu saldırılar, ağın doğrudan arz kısmını hedef almaktansa, talep tarafını hedef alıyor. Araştırmacılar MadIoT saldırılarının kaynaklarını, "dağıtılmış yapılarından ötürü şebeke operatörü tarafından tespit edilmesi ve bağlantısının kesilmesi çok zor" olarak yorumluyorlar. Dahası, saldırganlar şebekenin yönetimsel detayları hakkında bilgiye ihtiyaç duymayacağı için saldırılar kolayca tekrar edilebilir.
Saldırı simülasyonları yapıldı
Akademisyenler tarafından üç ana saldırı senaryosu ortaya atıldı: Birincisi, yüksek voltajlı internet bağlantılı cihazların güç gereksinimlerinde yaşanan ani artış veya düşüşler nedeniyle, çoğu zaman aynı anda açılıp kapanmak suretiyle frekans kararsızlığına sebep olan saldırılar şeklinde ortaya çıktı. Çalışmada "böyle bir saldırı için saldırganların hedeflenen coğrafi bölgede yer alan 90 bin klima veya 18 bin elektrikli su ısıtıcısına erişmeye ihtiyaç duyduğu" belirtildi.
İkincisi; tehdit aktörleri, güç talebini yeniden dağıtarak hat arızalarına neden olabilir: Bu da nihai olarak peşpeşe şebeke çökmeleriyle sonuçlanır. Bu, örnek olarak bir IP aralığındaki cihazların çalıştırılması ve başka bir IP aralığındaki cihazların kapatılmasıyla diğer alanlardaki talebin azaltılarak, bazı yerlerdeki talebin artırılması yoluyla yapılabilir. Gerçekleştirilecek bu türden bir saldırıda, “yaklaşık 210 bin klimanın ele geçirilmesi gerektiği“ belirtiliyor.
Üçüncü senaryoda ise talep eğrisi, elektrik pazarındaki bazı hizmetlerden faydalanmak amacıyla şebekenin işlem maliyetlerini artırmak üzere kontrol ediliyor. Bu durumda saldırı, altyapıya zarar vermekten ziyade, maddi amaçlar doğrultusunda gerçekleştiriliyor.
DDoS saldırılarına benziyor
MadIoT saldırıları, dağıtılmış hizmet reddi (DDoS) saldırılarıyla benzerlik gösteriyor. DDoS saldırılarında, bir botnete bağlanan cihazlar, web sitesi veya sunucu hizmetini kullanılamayacak duruma getirecek yoğunlukta trafik oluştururlar. DDoS saldırılarının aksine, MadIoT saldırılarının önemli farkı, ele geçirilen botların dünyanın her yerine dağılmasından ziyade, belirli bir alandaki bir güç sisteminin sınırları içinde yer alması gerektiğidir.
Akademisyenler bu çalışmayla neyi amaçlıyor?
İlgililere yönelik bir dizi tavsiye verebilmek hedefleyen akademisyenler amaçlarını; "Yaptığımız iş, IoT ve güç şebekeleriyle birlikte diğer ağlar arasındaki güvenlik açığı bağlantılarına ışık tutarak, hem sistem güvenliği hem de enerji mühendisliği topluluklarının dikkatini çekmek" olarak özetlemektedir.
Bu araştırma sayesinde şu konular da tekrar önem kazanıyor: Şebeke operatörleri, altyapılarının ani yük değişimlerine karşı dayanıklı olduğundan emin olmalı. IoT cihaz üreticileri ise güvenlik açıkları için ürünlerini titiz bir şekilde test ederek cihazlarının siber saldırılar için açık birer hedef olmamasını sağlamalıdırlar.