Vikingler'i geçti!

Shodan, iyi ve kötü adamlar tarafından o anda internete bağlı bütün cihazları bulmak için kullanılan yeni bir araç: Trafik ışıklarını, enerji santrallerini hatta bebek monitörünüzü.

Marc Gilbert ağustos ayındaki 34. Yaş günü kutlamasından sonra bir yabancının korkutucu bir sürprizi ile karşı karşıya kaldı. Kutlamaların sona ermesinin ardından Houston'da yaşayan Gilbert, kızının odasından gelen tanımadığı bir ses duydu; biri, uyuyan iki yaşındaki kızına "Uyan, seni küçük şırfıntı" diye sesleniyordu. Gilbert hışımla odaya daldığında sesin bebek monitöründen geldiğini fark etti. Monitörü ele geçiren şahıs her kimse kamerayı da kontrol ediyordu. Gilbert anında monitörü fişten çekti ama bilgisayar korsanının kendisine "gerizekalı" lafını yapıştırmasını engelleyebilecek kadar hızlı değildi.

Shenzhen, Çin'den Foscam firmasının ürettiği monitör, kullanıcılarının dünyanın her yerinden internet vasıtasıyla ses ve görüntü takibi yapmasına imkan tanıyor. Aylar önce güvenlik araştırmacıları üründe saldırganların monitörü uzaktan ele geçirmesine ya da "admin" kullanıcı adını kullanarak veri akışına giriş yapmasına izin veren yazılım hataları keşfetmişti.

Foscam kısa bir süre önce sessiz sedasız bir düzeltme güncellemesi yayınlamış ama bunu kullanıcılarına duyurmamıştı. Gilbert, Foscam hesabını kontrol ettiğinde bilgisayar korsanının kendi kullanıcı adını (Root) buraya eklediğini, bu sayede istediği zaman sisteme girebildiğini gördü. Gilbert şimdi Foscam'a toplu tazminat davası açmaya hazırlanıyor. Diğer şikayetçileri "Shodan" adında bir arama motorundan faydalanarak bulabilir. Bu, muhtemelen sapık korsanın kendisini bulmak için kullandığı araç.

Shodan internette cihaz arayarak dolaşıyor ve bunların çoğu da yanıt vermeye programlanmış cihazlar. Bugüne dek bulduğu şeyler arasında otomobiller, bebek kalp monitörleri, ofis binası ısıtma kontrol sistemleri, su arıtım tesisleri, enerji santrali kontrol sistemleri, trafik ışıkları ve glukoz ölçerler var. Gilbert ailesinin kullandığı tipte bebek monitörü için arama yaptığınızda, 40 bin insanın daha aynı IP kamerasını kullandığını görüyorsunuz. Bunlar muhtemelen ürpertici korsanlar için kolay hedef. "Google Web sitelerini arıyor, ben cihaz arıyorum" diyor 2009 yılında Shodan'ı piyasaya süren, uzun boylu, keçi sakallı 29 yaşındaki programcı John Matherly. Ona bilgisayar oyunu System Shock'taki akıllı kötü bilgisayarın adını vermiş. "Diğer korsan ve ineklerin anlayacağı bir gönderme bu" diyor. Matherly, ilk başta Shodan'ın Cisco, Juniper ve Microsoft gibi ağ devleri tarafından, rakiplerinin ürünlerini bulmak için dünyayı taramakta kullanılacağını düşünmüş. Bunun yerine Shodan, internette olmaması gereken ya da hack edilmeye açık cihazları arayan güvenlik araştırmacıları, akademisyenler, güvenlik güçleri ve bilgisayar korsanları için hayati bir araç haline gelmiş.
İsveçli teknoloji şirketi Ericsson'un hazırladığı bir sektör raporuna göre 2020'ye dek 50 milyar cihaz "Şeyler İnterneti"ne ağlarla bağlanmış olacak. Bir tek Matherly'nin Shodan'ı, tarama sonuçlarını halka açık bir arama motorunda gösteriyor. "Arama motorumun korkutucu olduğu kanaatinde değilim" diyor Matherly, "Korkutucu olan İnternet'e bağlı enerji santrallerinin bulunması." Shodan, güvenliği düşük Web kameralarını bulmak için kullanılıyor. Bu cihazlar öylesine korunmasız ki başka insanların evlerine, güvenlik bürolarına, hastanelerin ameliyathanelerine, çocuk bakım merkezlerine ve uyuşturucu satış işlemlerine göz atmak için tarayıcınıza bir IP adresi yazmanız yetiyor.

Geçmişte Twitter'a danışmanlık yapan bir güvenlik araştırmacısı olan Dan Tentler, Shodan vasıtasıyla Web kameralarını bulan, bunlara erişim sağlayan ve ekran görüntüsü alan "Eagleeye" adında bir program geliştirdi. Bir milyona yakın saldırıya açık Web kamerasını belgeledi. Cylance'ın güvenlik araştırmacısı Billy Rios, yaygın kullanılan bir bina yazılım parçasında bir güvenlik açığı keşfettikten

sonra bir diğer araçla birlikte Shodan'ı kullanarak bankaların, apartman binalarının, kongre merkezlerinin ve hatta Google'ın Avustralya'daki merkezinin online güvenlik, ışık, ısıtma ve soğutma sistemlerinin bir bilgisayar korsanı tarafından ele geçirilebileceğini gördü. Rios, "Şu anda İnternet'te IP adresini doğru tahmin ettiğiniz takdirde binaların kontrolünü ele geçirebileceğiniz 2 bin tesis bulunuyor" diyor. Bu yılın ilk aylarında, İç Güvenlik Bakanlığı, bilgisayar korsanlarının söz konusu açıktan faydalanarak önce 2012'de aşırı derecede ısınmasını sağlayacak şekilde bir devlet tesisinin, sonra da 2013 başlarında New Jersey'deki bir imalat şirketinin enerji yönetim sistemine izinsiz giriş yaptığını açıkladı; korsanlar bu sistemlere sızmak için Shodan'ı kullandı.

Matherly İsviçre'de büyüdü, 17 yaşında liseyi bıraktı ve San Diego'daki uçuş görevlisi halasının yanında yaşamak üzere ABD'ye taşındı. İlk başta bir kitabevinde çalışarak hayatını kazanan Matherly, iki yıllık bir meslek yüksekokulunu bitirdikten sonra eğitimini Kaliforniya Üniversitesi'nde sürdürdü ve buradan biyoenformatik lisans derecesiyle mezun oldu. Üniversitenin süper bilgisayar merkezinde işe girdi ve merkezin protein veri tabanı projesinde çalıştı. Kısa sürelerle yeni kurulan bir şirkette programcı ve Union- Tribune'de Web tasarımcısı olarak görev aldıktan sonra Shodan'ı inşa etmeye başladı. O günden bu yana "freemium" modeli faturaları öderken Matherly de interneti daha fazla tarayabilmek için sitesine yeni kullanıcılar ekliyor. Ücretsiz bir arama size 10 sonuç veriyor. Yaklaşık 10 bin kullanıcı, 20 dolara kadar yükselen bir kereye mahsus nominal giriş ücretini ödediği için arama başına 10 bin sonuç görüyor. Tamamı sibergüvenlik şirketlerinden oluşan 10'u aşkın kurumsal kullanıcı ise Matherly'nin 1,5 milyar bağlı cihazı içeren veri tabanının tamamına erişim için her yıl beş haneli rakamlar ödüyor. Shodan tek kişilik bir operasyon ve bunu kullandığınızda da anlıyorsunuz.

Google'ın temiz arayüzünden yoksun. Aradığınızı bulabilmek için cihazın imzasının bir bölümünü bilmek zorundasınız. Sonuçlar, sıradan kullanıcının aşina olmadığı "İnternet Protokol" dilini içeriyor. Ama Shodan aynı zamanda bir üründeki güvenlik açığının etkilerini ortaya koymak için kullanılabilecek en tesirli yollardan biri: Aramadan sonra ekranın sol tarafında beliren bir liste, bu cihazların kaçının internette olduğunu ve hangi ülkede bulunduğunu gösteriyor.

Federal yetkililer, bilgisayar sistemlerine izinsiz girişi yasaklayan "Bilgisayar Sahtekarlık ve Suistimal Yasası" gereği Matherly'nin peşine düşmeyi tercih ettiği takdirde bu durum hayatını epey zorlaştırabilir. Mart ayında agresif bir savcı AT&T'nin internete koyduğu ve yanlışlıkla iPad müşterilerinin e-posta adreslerine yer verdiği bir siteye girdiği için Andrew Auernheimer'ı hapse tıktı. Matherly ise "Sunuculara girmeye çalışmıyorum ve korsanlık sayılabilecek herhangi bir şey yapmıyorum" diyor. Matherly'nin dava edilmek yerine cihaz üreticilerinin ürünlerini yapılandırırken yaptığı akıl almaz derecede aptalca hatalara ve tüketicilerin satın aldıkları ürünlerin güvenliğine karşı ilgisizliklerini ortaya koyduğu için ödüllendirilmesi lazım. İnternet' bağlanan her şeyin şifreyle korunması gerekirken pek çoğunda bu yok. Aynı şekilde bu cihazların önceden tanımlanmış kullanıcı adı ve şifreyle satılmaması lazım ama pek çoğu satılıyor.

Geçen yıl isimsiz bir kullanıcı sadece dört önceden tanımlanmış şifre kullanarak İnternet'e bağlı 400 bin cihazı ele geçirdi ve bunları Shodan'ınkine benzer bir veri seti inşa etmek için kullandı. "Herkes üst düzey suiistimallerden, sibersavaştan bahsediyor" diyor yasal sorunlardan kaçınmak için akıllıca bir hamleyle meçhul kalmayı tercih eden isimsiz operatör, "Ama önceden tanımlanmış dört basit şifre size dünya genelinde yüz binlerce tüketiciye ve on binlerce sınai cihaza erişim imkanı sağlayabiliyor." Matherly, Shodan'ın daha fazla şeffaflığa ve saldırıya açık sistemler satan şirketlerin kamuoyunda ayıplanmasına öncülük etmesini umuyor ama iyimser değil, "İsteseniz de istemeseniz de her şey internete bağlanıyor" diyor.