Evinizin Kapısında Bu Diafon Sisteminden Varsa Sandığınız Kadar Guvende Değilsiniz! Peki Neden?

23-08-2023, 09:20:51

#1
Misafir

Açık Profil bilgileri

Özel Mesaj Gönder

Misafir tarafından gönderilen tüm mesajları bul

Misafir'ı arkadaş olarak ekle
Kıdemli Siber Guvenlik Muhendisi Onur Oktay'ın değindiği ve kendisinin izniyle yer verdiğimiz bu onemli bilgileri okumanızda fayda var.
Kendisinin anlatımına dokunmadan aynı şekilde aktardık.
Onur Oktay'ın yaşadığı olayı ve tecrubesini kendi ağzından dinleyelim:
"Oncelikle bu olayın uretici firmayla alakası yok. Yani marka bağımsız duşunun. Olay tamamen EKSİK/HATALI yapılandırma. Coğu hack vakasında karşımıza cıkan turden.
Her şey bizim cok guvenli diye ovunduğumuz (guvenlik gorecelidir!) sokağımızda bizim sitenin yanındaki siteye hırsızların girmeye calışmasıyla başladı. Gece 22'de herkesin daha parkta, evinin onunde olduğu bir vakit hırsızlar girmeyi denemişler.
Binanın icine herkes gibi girmişler ama daire kapılarından girememişler, o ayrı bir konu. Burada apartmanlara, binalara ya da site iclerine nasıl rahatlıkla girebildiklerine odaklanacağız. Oncelikle bu tarz diafon sistemlerinin parolalarını sucular, kargocular herkes biliyor."

"Ben de bundan yola cıkarak sitenin WhatsApp grubundan herkesten onay alarak diafonun default parolasını değiştirmek gibi basit ama etkili bir onleme gitme kararı aldım. Hızlıca diafon sisteminin marka/model numarasıyla ufak bir search yaparak nasıl calıştığını keşfettim.
Olay o andan sonra değişti benim icin. Tamamen mesleki ic gudulerim devreye girdi ve yonetici parolası ile master key kod denen bir şeyi merak ederek kurcalamaya başladım. Farklı kombinasyonlar denedim ve master key kodun default olarak PAROLASIZ şekilde girilebildiğini gordum.
Yonetici parolası ile dairelerin numara ve tuş kombinlerini, dış kapı acma parolalarını değiştirebiliyordum. Master key kod ekranında ise tum bu değişimleri yapmam icin gerekli olan yonetici işlemleri parolasını girmem gerekiyordu. Ama parola istemiyordu.
Yani anlayacağınız dilden anlatayım, “admin yetkisindeydim”. O dakikadan sonra her turlu dairenin parolasını, zil calma tuş kombinasyonunu, dahası dış kapı parolasını kafama gore değiştirebilirdim. Ki oyle de yaptım, değiştirdim."

"Bizim sitede bunu yapınca fark ettim ki binaları yapan muteahhitlerin elektrik işlerini verdikleri adamların bu işleri bilmemesi yani tamamen EKSİK yapılandırmadan kaynaklanan bir guvenlik zafiyeti keşfetmiştim. Aynısını başka sitelerde denemeye başladım. Bingo! Hepsinde oluyordu.
Bolu ’da yani yaşadığım şehirde once kendi sokağımdan başlayarak, farklı sokaklar, mahalleler hatta kamu kurumlarında onume gelen diafon sistemini kurcalamaya başladım. Marka, model değişiyordu ama sonuc değişmiyordu. Parolaları istediğim gibi değiştirebiliyordum.
İşin kotusu; sadece daire, site vs. değil garaj kapılarını acan aynı sistemler vardı. Velhasıl kısa surede fark ettim ki koca şehirde hatta belki coğu şehirde aynı yapılandırma eksikliklerinden kaynaklanan guvenlik zafiyeti soz konusu.
Cozum ve guvenlik onlemi cok basit. Master key yani yonetici işlemlerinin yapıldığı ekrana girerken PAROLA istenmesi. Ha onu da gecmenin farklı yolları var tabii ki ama bu en azından cok basit değil. Tum bunlardan sonra gidip master tarafına yonetici parolası da atadım tabii. "
Kıdemli Siber Guvenlik Muhendisi Onur Oktay'ın tecrubesinden hareketle bu iceriği okuyan herkesin onlem almasını biz de tavsiye etmiş olalım. Kendisini Twitter'dan veya YouTube'dan takip edebilirsiniz.
Webtekno'yu Threads'de takip et, haberleri kacırma