Modern dünyada her geçen gün her şey bir networke bağlı hale gelmekte. Bir zamanlar sadece mekanik cihazlar olan parkmetreler bile artık bir networke bağlı.
IT güvenlik araştırmacıları için bir networke bağlı olan her şey hatta park metreler bile araştırılma potansiyeline sahip hedeflerdir. Güvenlik araştırmacısı Joe Grand yeni nesil akıllı park metrelere özel bir ilgi duymakta. Park metrelerin güvenlik sorunları hakkında pek çok farklı yaklaşım geliştirmiş ve bu sistemi herkes için daha iyi ve güvenilir hale getirmek istiyor.
Grand henüz parkmetrelerin ne tür bir güvenlik riskine maruz kalabileceği konusunda tüm detayları içeren bir açıklamada bulunmamış olsa da yaz aylarında düzenlenecek olan yıllık olağan Black Hat güvenlik konferansında konu hakkında bir oturum vermeyi planlıyor.
Internet üzerinden yayınlanan canlı bir Webcast ön oturumunda Grand parkmetrelerin niçin güvenlik bakış açısından giderek önem kazandıklarını ve niye bu konuya önem verilmesi gerektiği açıkladı.
Grand “Niye park metreler? Çünkü yazılım, donanım, network, bağlanırlık kısaca her şeyin bir kombinasyonundan oluşuyorlar ve tüm dünyada kullanılan fiziksel gerçekliği olan bir uygulama,” diyor. “Sorgusuz sualsiz güvenilen bir şey. İçine para attığınız, önüne aracınızı park ettiğiniz ve arkanıza bakmadan yürüyüp gittiğiniz yerden yükselen koca bir metal kutu sonuçta.”
Grand, park metre kullanıcılarının çoğunun park metrelerin bir güvenlik açığı yaşanması durumunda yaratabileceği finansal riskleri ve sosyal etkileri hiç hesap etmediklerini belirtiyor.
2003 yılında San Francisco’daki 23.000 adet mekanik park metre 35 milyon dolar maliyetle yeni akıllı park metreler ile değiştirildi. Grand, A.B.D.’nin diğer bir sürü şehrinde ve dünyanın pek çok farklı ülkesinde yeni nesil akıllı park metrelere geçildiğini belirtiyor. Bu yeni park metreler akıllı kart yeterliliklerine sahipler ve bazıları da kredi kartı kabul ettiği gibi görüntülü ekranlara sahip ve genellikle network ile birbirlerine ve bir sisteme bağlılar.
Güvenlik bakış açısından park metrelerin incelenmeye değer birkaç özeliği mevcut. Dolar değerlerinin yüklü olduğu kartların kullanıldığı akıllı kart park metrelerde bu kartların sıfırlanma ve tekrar doldurulma potansiyeli mevcut. Bazı park metreler de kredi kartı kabul ediyor ve bir saldırgan için bu cihazlar kullanılarak bireylerin cihazda depolanabilecek kişisel bilgilerine erişmek olası.
Bazı şehirlerde kullanılan park metreler kablosuz bir networke bağlı iken bazılarında ise kızılötesi bir kablosuz cihaz kullanılarak park metreye erişim sağlanıyor. Grand potansiyel olarak park metrelerin ücretsiz park imkanı verecek şekilde sıfırlanabileceğine veya geçerli bir parkın süresi sıfırlanarak geçersiz hale getirilebileceğine işaret ediyor.
Akıllı park metrelerin çoğunlukla bir LCD ekranları da mevcut oluyor. Grand bu ekranın bir hacker tarafından illegal bir mesajı iletmek veya yaymak için de kullanılabileceğini belirtiyor.
Black Hat sunumları geçmişte sağlayıcı incelemelerine sıklıkla konu olmuş ve bazı sunumlar henüz gerçekleştirilemeden sağlayıcı firmalar tarafından bloke edilmişlerdi. 2008 yılında Black Hat’in hemen ardından düzenlenen Defon konferansı sırasında Boston metrosu/ Massachusetts Bay Transportation Authority’de (Massachusetts Rıhtım Ulaşım Otoritesi -MBTA) yaşanan ücretlendirme sistemi problemleri ile ilgili yapılacak sunumlar bloke edilmişlerdi. 2005 yılında ise Cisco ekipmanlarında bulunan bir açığı ortaya çıkartan bir sunumu gösterimden kaldırtmaya çalışmıştı.
Grand “Park metreler pek umurunuzda olmasa bile, benim yapacağım oturumda standart donanım hack etme süreçlerini işleyeceğimiz ve burada bir donanıma sızmanın mantalitesini öğreneceğinizi göz ardı etmemelisiniz. Benim de sunumumda asıl istediğim insanların bu konuda bir şeyler öğrenerek buradan ayrılması,” diyor.
Grand, yapacağı sunumun amacının insanlara nasıl ücretsiz park yeri sağlayabileceklerini veya yasaları nasıl çiğneyebileceklerini göstermek olmadığının altını çiziyor.
Grand “Bizim amacımız tamamen eğitimsel bir yaklaşımda bulunmak,” diyor. “İnsanları nasıl eğitebileceğimiz ve şirketlere zarar vermemelerini nasıl sağlarız işte bizim uğraşımız bu. Bu sistemlerin tasarımcılarını ve uygulayıcılarını eğitmemiz gerekiyor ki yaşanan veya yaşanabilecek sorunlardan haberdar olsunlar. Eğer ben bu konuda Black Hat’te bir konferans sunabiliyorsam sizi temin ederim ki dışarıda bir yerlerde bu sorunu zaten bilen ve bundan çıkar sağlayan pek çok kişi mevcuttur. Dolayısıyla amaç insanları suça teşvik etmek değil böyle bir sorunun varlığını tasarımcılara göstermektir.”