CCTV Sistemleri Güvenliği
Günümüzde yaygın olarak kullanılan CCTV güvelik sistemleri kullanılmaya başlandığı tarihten bugüne kadar teknoloji ile birlikte ivmelenerek bugün kullandığımız haliyle internet ortamından ulaşılabilir ve kontrol edilebilir hale geldi. Bir ip adresi üzerinden hizmet veren bu tip cihazlar, ip kamerası olarak da adlandırılmakta. Bu kavramlardan biraz bahsetmek gerekirse;
CCTV, kameralar aracılığıyla alınan görüntünün belirli bir konuma iletildiği sisteme verilen isimdir. CCTV’nin açılımı, “Kapalı Devre Televizyon” anlamına gelen “Close Circuit Television”dur.
IP Kamera ise gerekli noktaların güvenliği gibi farklı amaçlarla uzaktan izlemek ve kayıt altına almak için internet veya network bağlantınızdan faydalanarak gerek kablolu gerek kablosuz olarak kullanılabilmeye imkân sunan kamera teknolojisidir.
DVR ismini Digital Video Recorder’ın baş harflerinden alan ve kameralardan alınan görüntülerin kayıt edilmesi amacıyla kullanılan bir cihazdır. Bu cihazlar içlerinde bulunan yazılımlar sayesinde gelen görüntüyü işleyerek belirli formatlarda kayıt edebilir, yeniden oynatabilir ve bunun gibi çeşitli birçok özelliği kullanıcıya sunar.
NVR ise ip kameralar için geliştirilen bir kayıt ortamı yaratır. Günümüzde NVR’ın yaptığı görevi yerine getirebilen DVR’lar da bulunuyor ancak ip kameralar düşünülerek hazırlanan NVR cihazlar birçok farklı spesifik özellik sunuyor. Ayrıca NVR cihazlar eviniz veya iş yerinizde kameralarla sağlamak istediğiniz güvenliğin kaydını tutar. Herhangi bir tarihe dönmek istediğinizde, belirttiğiniz süre boyunca yapılan kayıtları izleme imkânınız olur.
Bugünlerde gündemden düşmeyen IoT cihazlarda ki güvenlik zafiyetleri gibi konuların yanı sıra aslında internete bağlantısı olan tüm cihazların ortak sorunu olan güvenlik, kamera sistemleri içinde tehlike arz ediyor. İş yerlerimizden kişisel hayatımıza hatta yatak odalarımıza kadar güvenliğimiz için soktuğumuz bu cihazlar, sizce o kadar da güvenli mi?
Güvenlik kameralarımızdan gelen verileri kayıt etmek için paket sistem dahilinde satılan ya da ayrı olarakta satın alabileceğimiz DVR ve NVR gibi kayıt cihazları görevleri dahilinde bulunan kayıt alma, geri oynatma gibi işlemleri yapabilmek için sizin de tahmin edebileceğiniz gibi bir yazılıma yani işletim sistemine ihtiyaç duyuyor. Bu gibi cihazların yazılımını sağlayan 4 büyük firma olduğu gibi istendiği taktirde marka sahibi şirketler açık kaynak olarak sunulan bu yazılımları kendilerine göre uyarlayarak kendi kayıt cihazlarıyla birlikte piyasaya sürebiliyor.
Analog verinin dijitalle dataya dönüştürülmesini sağlayan bu yazılımlar çok basit bir yapıya sahip olmakla kalmıyor. Ne yazık ki güvenlik namına da çok fazla bir şey söylemek mümkün değil. Her yazılım firmasının kendi ile özdeşleşmiş spesifik port numaraları ve tersine mühendislik ile rahatça ulaşabilen default login bilgileri içerdiğini de unutmamak gerekiyor. Bu portların Xmye yazılımını kullanan kayıt cihazlarında 34567, Topsview kayıt cihazlarında 34600, NVSIP kayıt cihazlarında 9101 ve N_EYE kayıt cihazlarında ise 5000 olduğu bilinmekte. Aslında değiştirilebilir olan bu portlar kurulum yapan firmalar tarafından genelde default halleriyle bırakılarak tehlikeye kapı aralıyor. Son kullanıcının genelde bilgi sahibi olmadığı bir alanda, kurulumu yapan yetkili kişilerinde ihmalleriyle birlikte ufak bir araştırma ile ulaşabilecek bu default portlar insanların evlerine güvenlik amacıyla taktığı bu cihazları hem bir siber silah haline getiriyor hem de özel hayatlarını farkında olmadan kötü niyetli kullanıcıların gözleri önüne seriyor.
Kameralar ve kayıt cihazları üzerinde yapılmak istenen işlemler için alt yapıyı sağlayan Component object model modüllerinden OCX’in de 1993 yılında yazıldığını ve günümüze kadar gelmesine rağmen güvenlik anlamında ilerleme gösterememesi de cabası. Peki bu kadarla ile bitti mi? Tabi ki de hayır. Son kullanıcılar, yani evlerinde, iş yerlerinde ki güvenliklerini önemseyerek bu tip cihazlardan medet uman bizler cihazlarımızı uzaktan izlemek istediğimiz zamanalar da kullandığımız login bilgilerini çok zayıf ve kolayca tahmin edilebilir olarak seçiyoruz. Kullanıcılardan ziyade bu durumda cihazı kullanıcıya ulaştıran toptancı ve satıcıların bu gibi durumlar ile ilgili son kullanıcıyı bilgilendirmemesi, son kullanıcı tarafında ise buna dikkat edilmiyor olması da özel hayatın gizliliğinin ihlal edilmesi için kötü niyetli kullanıcılara zemin hazırlıyor. Kullanıcıların %70’i admin kullanıcı adını kullanırken, 1234, admin ise en çok kullanılan parola durumunda. Hatta birçok cihazda parola kullanılmıyor bile. Sadece username bilgisi ile giriş yapılabilen bu cihazlar üzerinde kayıtlı tutulan ve real-time akan tüm veriyi login olabilen herkese veriyor.
Hollywood’da bir dönem büyük skallara neden olan CCTV hacking, günümüzde güvenlik amaçlı kullanılan bu cihazlarında artması ile birlikte kötü niyetli kullanıcılar sadece yukarıda saydığımız yöntemler ile değil aksine daha farklı yöntemler geliştirmeye başladı. Brute-force, sql injection gibi uygulama katmanında da zafiyetler bulundurabilen 6 büyük firma uzun zamandır yapılan baskılara rağmen bir önlem almadı. Yakın tarihte ve bugünlerde adından sıkça bahsedilen MIRAI botnet içeriğinde de yine yukarıda bahsettiğimiz zafiyetlerden kaynaklı ele geçirelen cihazlar büyük trafik oluştururak Avrupa genelinde internet kesintilerine neden oldu.
Nmap, netcad gibi yazılımlar ile birlikte yukarıda belirtiğimiz spesifik portlara tarama yapıldığı taktirde ağda yada ip üzerinde hizmet veren bir kamera sistemi olup olmadığı konusunda bilgi toplayabiliriz.
Tarama işlemi sonrası elimizde olan dataya ocx kütüphanesi ile bir bruteforce işlemi başlatıyoruz. İşlem başladıktan sonra kendisine önceden belirlediğimiz wordlistler yardımı ile deneme yanılma yöntemiyle kontrol ettikten sonra true değer döndüren cihazları sisteme kayıt ederek bir sonra ki adıma geçiyoruz. Yataklarımıza kadar soktuğumuz bu cihazlar üzerinden birinin bizim özel hayatımıza suç niteliğinde ortak olması göz ardı edilemez bir durum.
Yukarıda örneğini gördüğümüz script uzaktan kontrolünü sağladığımız ip kamera sistemlerinin aslında özel hayatımızı ne kadar kolay ihlal edebileceğinin bir kanıtı gibi. Bu kod parçacığı ile cihaz çeşitli yöntemlerle kontrolünü ele geçirdiğimiz kayıt cihazı üzerinden kayıtları oynatmamıza yarıyor. Cihaza ulaşan kötü niyetli kullanıcılar sadece bununla sınırlı kalmayarak aşağıda açıklamaları ile yer alan bir çok işlemi kolaylık yapabiliyor. Bunlardan kısaca bahsetmek gerekirse;
Bu kod parçacığı tetiklendiği taktirde ise eski kayıtlara ulaşılabilmesine, bu kayıtların download edilebilmesine ve sistem üzerinden indirmeden izlenebilmesine olanak sağlıyor.
PTZ kontrolü, lokasyon bilgileri gibi işlemlerin yanı sıra bir çok işlem ocx kütüphanesi ile birlikte gelen fonksiyonlar ile kontrol edilebilir hale geliyor. Kullanıcılar evlerine taktırdıkları kameraların güvenliklerini sağladığını düşünse de aslında durum görüldüğü gibi hiçte böyle değil. Bugün Türkiye’de sadece 1 günlük kısa bir taramayla 1000’e yakın ev ve iş yeri kamerası bu yöntemler ile izlenebiliyor, kayıt edilebiliyor ve istendiği taktirde cihaz üzerinde kayıtlı bulunan veriler silinebiliyor. Üzerine bir çok senaryo yazabileceğimiz bu güvenlik açığı sayesinde özel hayatımızın güvenliği için tedarik ettiğimiz bu cihazlar tam aksine bizi tehdit ediyor.
Yukarıda AR-GE amaçlı yürütülen bir proje kapsamında yazılmış bir program görüyoruz. Bu program üzerinden dünya çapında yüz binlerce ip kamerayı izleyebilir, eski kayıtlara ulaşabilir, bu kayıtları silebilir, ip adresiniz baz alınarak çevrenizde ki kameralara ulaşabilir, kamera kanalları arasında gezebilir, izlediğiniz kameranın ip adresi üzerinden lokasyon bilgisine ulaşabilirsiniz.