Hackerların casusluk ve sabotaj için 3 robotu nasıl hacklediklerini izleyin

Bilişim Haberleri

Yayınlama

7 sene

15 Eylül 2017

Bir İnternet sitesinde Andy Greenberg’ün yazdığı haber, hayatımızın her alanına doğrudan giriş yapmış robotları tekrar gözden geçirmemize neden oluyor.

Robotlar sadece bize yardımcı olmak için mi var, yoksa ciddi anlamda bizler için birer tehditler mi? Bu durum, kendi kendilerine karar alıp bir gün dünyayı ele geçirecekler tezinin çok daha ötesinde.

Keyifli okumalar.

Bilimkurgu belgesellerinin tümü, insanlığa, yardımcı ev robotlarının ve endüstriyel robotların Skynet tarzı isyan ettiği “o günden” korkmaları için eğitim verdi. Ancak, günümüz otomasyon çağında çok daha kısa vadeli bir tehlike gizli: Antropomorfik aygıtların kendi kendilerine düşünebilmesi değil; “gerçek bir insan” olan bilgisayar korsanlarının onları kontrol altına alacak olması.

Singapur’daki “Hack in the Box” güvenlik konferansından sonraki hafta, Arjantinli araştırmacılar Lucas Apa ve Cesar Cerrudo, üç popüler robota karşı geliştirdikleri hacker saldırısını yapmayı planladılar. Bu robotlardan ikisi Alpha2 ve NAO olarak bilinen insansı ev robotlarıyken; sonuncusu, Universal Robots tarafından satılan daha büyük ve endüstriyel odaklı robot kollarıydı. İkili bu robotları ses ve video dosyalarını uzaktaki casuslara sessizce aktaran gözetim aygıtlarına dönüştürerek, hem kritik güvenlik ayarları ile oynayıp hem de seçtikleri herhangi bir komutu göndererek hackleyebileceklerini göstermeyi planladılar.

Her iki araştırmacının da çalıştığı IOActive’de teknoloji ofisinin başı olan Cesar Cerrudo’nun da dediği gibi, “Hareket edebilirler, işitebilirler, görebilirler.” Cerrudo’nun öne sürdüğü şey şu: Robotların bu özellikleri, geleneksel bilgisayarlarda veya akıllı telefonlarda da olduğu gibi, bu robotları en azından casuslar ve sabotajcılar için yakın bir zamanda cazip hale getirecektir. “Bu şeylerden birini hacklerseniz, tehlike gerçekten de büyük.”

Robo Hacks

Gerçek ve fiziksel tehlike açısından, Cerrudo ve Apa’nın gerçekleştirdiği üç saldırının en ciddisi Universal Robots’un “işbirlikçi” robotlarını etkiledi. Bu çok eklemli kollar dört ayak kadar uzatılabilir, 10 kiloya kadar ağırlık kaldırabilir ve insanların yanında endüstriyel ortamlarda çalışabilirler. İki araştırmacı, robotların yazılımlarının hiçbir gerçek kimlik doğrulamasına sahip olmadığını keşfetti ve bir hacker’ın kötü niyetli güncellemeleri yüklemesini önlemek için yalnızca kolayca kırılabilen bir tutarlılık programı uygulanmış olduğunu gördü. Canlı bir video demosu, “arabellek taşması” adı verilen ortak bir güvenlik açığını, robot kolunun işletim sistemine yetkisiz erişim sağlamak ve robotun hızını, uyguladığı kuvveti ve kızılötesi algılayıcıları sayesinde yakındaki birini algıladığında verdiği tepkiyi sınırlayan “safety.conf” dosyasının üzerine yazmak için kullanabileceklerini ortaya koyuyordu.

Bu, sadece robotun kolunu aşırı genişleterek veya aşırı gererek kendine zarar vermesinin yanı sıra, çalışma esnasında yakınında olan insanlara da zarar verebileceği anlamına geliyordu. Apa’nın dediğine göre, “Bu robotlar gerçek kemik kırılmalarına neden olabilecek güçteler. Güvenlik önlemleri, robotların etraflarındaki insanları incitmesini önleyebilecek en mükemmel yoldur. Eğer saldırıya uğrarlarsa, sonuçları felaket olabilir.”

IOActive araştırmacılarının üzerinde durduğu diğer iki robot; eğlence, eğitim ve Amazon Echo benzeri sesli etkileşim amaçlı daha küçük, dostça ve “refakatçi” robotlardı. Universal Robots kolunda olduğu gibi yalnızca tek bir dosyanın düzenlenmesinin ötesinde, her iki robota da onları kontrol etmek için yazılım yükleyebileceklerini gösterdiler.

Çinli şirket UBTech tarafından satılan Alpha2’nin, kod yazmayı kullanmayan Google’ın Android işletim sisteminin kötü niyetli yazılım yüklemesini engelleyen bir güvenlik önlemine sahip olduğunu anladılar. Alpha2, bağlantılarını şifrelemedi ve saldırganların kötü niyetli uygulamaları enjekte etmek için kullanabilecekleri saldırılara izin verdi. Japon firma Softbank tarafından satılan NAO robotunun da benzer açıkları vardı. IOActive araştırmacılar botun kodunun başlangıçta bir geliştirme sürümü olarak düşünüldüğünü; ancak, Softbank ve NAO tarafından kurulan Fransız girişim şirketi Aldebaran tarafından henüz tam olgunlaşmadan piyasaya sunulduğunu gösterdi.

Araştırmacılar aşağıdaki videoda, Alpha2’nin kontrol edilerek nasıl kötü bebek Chucky’e dönüştüğünü gösteriyorlar.

Gizlilik ihlali daha gerçekçi bir endişe sunuyor. Ev tipi robotlar mobil kameralar ve mikrofonlar taşıdığı için casuslar yalnızca veri akışını kesmekle kalmaz; hedefin evinin içerisinde hareket edebilir. Aşağıdaki videoda ise, araştırmacılar bir NAO robotu ele geçiriyor ve verdiği komutlar ile robotun kamerası aracılığı ile etrafı izleyebiliyor.

Ciddi Sonuçlar Söz Konusu

Önceki çalışmalar gösterdi ki Rethink Robots, Robotis ve Arsatec gibi şirketlerin sattığı robotlarda elliden fazla hacklenmeye hazır güvenlik zafiyeti söz konusu.

WIRED’e yapılan açıklamalar gösterdi ki hem UBTech hem de Softbank araştırmacıların bulgularını önemsemedi. Bir UBTech sözcüsü, “Tüm ilgili endişeler UBTECH tarafından tamamen ele alındı.” şeklindeki bir bildiri yazarken; Softbank sözcüsü, “Endişelenmemiz gereken herhangi bir sorun olduğunu düşünmüyoruz.” açıklamasında bulundu ve kullanıcıların robotlar ve bağlandıkları Wi-Fi ağları için güçlü bir şifre belirlediği sürece, güvende olduklarını eklediler. Bir Universal Robots sözcüsü de yaptığı açıklamada, “Ürünlerimizin spesifikasyonlarını ve standartlarını karşılarken, raporu dikkate aldık ve açıklanan olası kırılganlığı ve olası önlemleri yakından takip ettik.” dedi.

Bir önceki yıl, İtalya Politecnico Milano isimli bir başka araştırma ekibi, potansiyel olarak daha büyük ve daha tehlikeli bir endüstriyel robot kolunu ele geçirebileceklerini gösterdi. Apa ve Cerrudo ayrıca, zayıf yazılımının, analiz ettikleri Softbank tarafından satılan ve mağazalarda bir satış noktası aygıtı gibi davranan ev ve perakende bot olarak kullanılan daha büyük bir insansı robot olan NAO Pepper robotunda da kullanıldığına dikkat çekiyorlar.

Sonuç olarak, bilim kurguyu unutun. Robotlar, bilgisayar korsanlarını kötü kullanmaya teşvik edecek tüm açıklara sahip. Cerrudo, “Birkaç yıl içinde bu robotlar, aile hayatının ve iş dünyasının direkt içinde olacak. Hacklendiklerinde ise bu durum, gerçekten ciddi sonuçlar doğuracak.” diyor.

Kaynak: https://www.wired.com/story/watch-robot-hacks-spy-sabotage/ adresinden direkt çeviridir.

Senin reaksiyonun hangisi?