Arjantin ve Fransa, 2022 FIFA Erkekler Dünya Kupası finali için Doha’da karşı karşıya gelmeye hazırlanırken, stadyum personeli ve turnuva organizatörlerinin kafasında muhtemelen Lionel Messi’nin mi yoksa Kylian Mbappe’nin mi en çok gol atan oyuncu unvanını alacağından daha fazlası var. Güvenlik uzmanları, etkinliğin hem FIFA hem de ev sahibi Katar için geniş bir siber saldırı yüzeyini temsil ettiğini söylüyor ve turnuvanın büyük finali öncesinde, her köşeden gelen siber tehditler çok net ve mevcut durumda.
FIFA’ya göre 2022 sonunda olmak tarihteki en çok izlenen turnuva ve ardından dünya çapında tam anlamıyla milyarlarca kişi. Sahadaki rakamlar da etkileyici: Finalin oynanacağı Stadyum Lusail, Katar’ın en büyük stadyumu ve 88.966 seyirci kapasitesine sahip. Dünya Kupası için bilet satışları, Katar nüfusunun neredeyse yarısına denk gelen, benzeri görülmemiş bir 1,2 milyon ziyaretçi için 3 milyonu aştı.
Bu, yalnızca finansal olarak motive olmuş tehdit aktörleri ve bilgisayar korsanları için değil, aynı zamanda istedikleri zaman istihbarat toplama ağının arkasına topu alamayan ulus devlet grupları için de sulu bir hedef.
Akıllı Stadyumlar ve Dijital Saha
Riskler birkaç farklı yerden geliyor: en bilineni hayranlara ve ziyaretçilere yönelik sosyal mühendislik çabaları. Daha az bilinen şey, Katar’ın sekiz Dünya Kupası sahasını tek bir bağlantılı dijital alana bağlayarak akıllı stadyum konseptine sıkı bir şekilde eğildiği gerçeğidir.
Örneğin, Johnson Controls’un OpenBlue dijital platformu ile Microsoft Azure arasındaki bir ortaklık, bir güvenlik veya güvenlik sorununun ne zaman etkileme potansiyeline sahip olduğunu belirlemek için uç cihazlardan ve sistemlerden veri toplayarak, fiziksel güvenlik ve operasyonlara yapay zeka tabanlı bir yaklaşım sağladı. taraftarlar ve oyuncular veya kalabalığın boyutu ve hava değişikliklerinin enerji verimliliğini ve oyun koşullarını nasıl etkileyebileceği.
Her stadyumda ayrıca komuta merkezi uzmanlarından oluşan bir ekibe güvenlik, konfor ve sürdürülebilirlik hakkında canlı bilgi sağlayan etkileşimli bir dijital model olan 3D dijital ikiz bulunur.
Yakın tarihli bir ZeroFox, “Büyük spor etkinliklerinin giderek daha fazla dijitalleşmesiyle birlikte, tehdit aktörlerinin saldırı yüzeyi de arttı.” Dünya Kupası tehditleri hakkında rapor kayıt edilmiş. “Katar, Dünya Kupası için özel olarak sekiz adet son teknoloji ‘akıllı stadyum’ inşa etti; bu, gelişmiş tehdit aktörlerinin, operasyonel teknoloji ve Nesnelerin İnterneti (IoT) dahil olmak üzere birbirine bağlı stadyum sistemlerindeki güvenlik açıklarından yararlanarak neredeyse kesinlikle ağları tehlikeye atmayı hedefleyeceği anlamına geliyor. ) cihazlar.”
Bu, 2018’de Pyeongchang’daki Kış Oyunlarında nişan alan (büyük ölçüde başarısız olan) Olimpik Muhrip tehdidi sırasında hizmet reddi saldırıları veya kesinti olasılığını artırıyor.
Türünün ilk örneği olan bu ayak izinin hangi özel siber savunmalara sahip olduğu bilinmemekle birlikte Katar, Mart ayındaki bir zirve için siber güvenlik uzmanlarından oluşan bir ekip getirdi ve güvenlik duruşunu geliştirmek için Interpol’ün Stadia Projesi ile yakın işbirliği içinde çalışıyor. . Şimdiye kadar, çok iyi – ama henüz bitmedi.
Mobil Gizlilik Endişeleri
Ayrıca, Dünya Kupası için Katar’a giren 18 yaş ve üstü herkesin indirmesi gereken Ehteraz ve Hayya adlı bir çift mobil uygulama da dikkat çekiyor. Ehteraz bir COVID-19 izleme uygulamasıdır. Hayya ise Dünya Kupası maç biletleri için kullanılan ve stadyumlar arasında hareket etmek için Katar metro sistemine erişim sağlayan bir uygulamadır.
Sorun, Ehteraz’ın konumları ve diğer uygulama kullanıcılarına olan yakınlığı izleyebilmesi için kapsamlı bir gerekli izinler listesine sahip olmasıdır; cihazdan veri yakalayabilir, kullanıcının telefonundan otomatik olarak veri sızdırabilir, kilit ekranını devre dışı bırakabilir, telefondan arama yapabilir ve konum servislerine erişebilir.
Bu arada Hayya uygulaması, ZeroFox’a göre “bir telefondaki neredeyse tüm kişisel bilgilere” erişebiliyor ve bir telefon ile diğer ağlar arasındaki konum servislerinden ve ağ bağlantılarından yararlanabiliyor.
Her iki uygulama da potansiyel olarak siber suçlulara zenginlik sunar. “Tehdit aktörleri bir uygulamadan yararlanmaya çalıştıklarında nihai amaç, karlı olabilecek bilgileri (oturum açma kimlik bilgileri, kişisel olarak tanımlanabilir bilgiler, e-posta, kredi kartları vb.) ZeroFox’ta Dark Ops Collections kıdemli direktörü Adam Darrah, kimlik bilgilerini daha fazla istismar edin veya kullanın ve kurban hesaplarından para veya kripto çalıp çalamayacaklarını kontrol edin” diyor.
Ancak daha belirsiz riskler de söz konusudur; Kişisel verilere geniş bir erişim yelpazesi sunan uygulamalar, casusluk ve hayran kaosu yaratmak için mükemmel bir vektördür.
Darrah, “Bir ulus-devlet veya motive olmuş bir bilgisayar korsanlığı grubu sizi hedef aldığında, içeri girmenin bir yolunu bulacaktır” diyor. “Bütün uluslar, Dünya Kupası gibi bir olayı istihbarat toplamanın bir yolu olarak görüyor.”
Örneğin, COVID-19 kişi izleme uygulamasıyla ilgili olarak ZeroFox raporu, “Eleştirmenler, uygulamayı indirmenin Katar hükümetine bir kullanıcının telefonundaki ayrıcalıklı veya hassas içeriğe erişim sağlamasından korkuyor. Bu, özellikle kullanıcı bir Katar yasasını çiğniyorsa dikkate değerdir. Ayrıca, Katar makamlarının bir şirket telefonunda bulunan özel bilgilere erişmesine de izin verebilir.”
Firma, önlem olarak uygulamanın hassas bilgilere erişimi olan hiçbir telefona yüklenmemesini tavsiye etti.
Dünya Kupası’nda Yüz Tanıma
Dünya Kupası için tehdit ortamındaki bir başka kırışıklık, Katar’ın ziyaretçilere ve personele yönelik herhangi bir bedensel zarar tehdidine yanıt vermeye yardımcı olmak için ortaya koyduğu geniş yüz tanıma ayak izidir. Futbol (futbol) maçlarında tansiyonun yüksek olması meşhurdur, ancak sıradan bir holiganlığın ötesinde, bazı turnuva gözlemcileri bir ciddi fiziksel güvenlik olayı.
Böyle bir durumu önlemeye yardımcı olmak için ülke, Doha’daki sekiz stadyuma ve yollara ve ulaşım altyapısına yüz tanıma teknolojisine sahip 15.000’den fazla kamera yerleştirdi.
Fiziksel güvenliğin faydaları elbette sayısızdır. “Diyelim ki bir taraftar, stadyum girişinin yakınına şüpheli bir paket yerleştiriyor. Güvenlik personeli bu tehdide karşı uyarıldığında, personel şüphelinin adımlarını izlemek, bundan sonra nereye gittiklerini belirlemek ve muhtemelen kalabalıkta şüpheliyi seçmek için geçmişe dönük olarak yüz tanıma özelliğini kullanabilir. Gerekirse,” CyberLink’te iş geliştirmeden sorumlu başkan yardımcısı Terry Schulenberg, Dark Reading’e anlatıyor. “Teknoloji, bölgelerine kötü bir kişi girdiğinde bile personeli uyarabilir. Yüz tanıma, personele ihtiyaç duydukları bilgileri sağlayacaktır.”
Bununla birlikte, eleştirmenler, yüz tanıma söz konusu olduğunda eskimiş bir sorun olan gizlilik endişelerini dile getirdi. Ne de olsa, popülasyon taranmayı “kabul edemez”; Katar hükümeti veya gelişmiş kalıcı tehditler (APT’ler) tarafından gözetleme potansiyeli var; ve sistemin topladığı biyometrik verileri nasıl işlediği belli değil.
Schulenberg, “Kameralarda, iş istasyonlarında veya sunucularda yüz saklamamaları onlara fayda sağlar” diyor. Bunun yerine, bir öznenin yüzündeki yüzlerce vektörü (kaşlar arasındaki mesafe gibi) tanımlayan bir yazılım kullanabilirler, bunları şifreli bir dosyaya dönüştürebilir, bu dosyayı bir iş istasyonuna veya sunucuya gönderebilir ve değerlerini daha önce kaydedilenlerle karşılaştırabilirler. Kullanılıyorsa, bu daha hava geçirmez yüz tanıma modeli, güvenlik operatörlerinin kamera besleme verilerini daha hızlı ve güvenli bir şekilde işlemesine yardımcı olacaktır.”
Katar, katılımcıların yüzlerinin tam görüntülerini saklamıyorsa, Katar’ın kullandığı özel yazılıma erişim olmadan olası herhangi bir yüz tanıma verisi sızıntısının okunamayacağını vurguluyor.
Sosyal Mühendislik Tehditlerini Engellemek
Ve son olarak, tamamen tahmin edilebileceği gibi, veri toplamak ve masum hayranlardan para çalmak için Dünya Kupası temalı tuzaklar, kötü amaçlı mobil uygulamalar ve sahte biletleme web sitelerini kullanan kimlik avcıları ve dolandırıcılar etkinliğe çekildi. Aslında, Kaspersky bu hafta araştırmacılarının gördüklerini söyledi. sahte biletler, tanesi 4.000 dolara kadar satılıyor.
Group-IB’nin Dijital Riskten Korunma ekibi yakın zamanda, dünyanın en büyük spor etkinliğinden çıkar sağlamayı amaçlayan dolandırıcılar tarafından oluşturulan 16.000’den fazla dolandırıcılık alanı ve düzinelerce sahte sosyal medya hesabı, reklam ve mobil uygulama tespit ettiğini söyledi. Araştırmacılar ayrıca resmi FIFA Dünya Kupası 2022 hayran portallarında güvenliği ihlal edilmiş olabilecek 90’dan fazla hesabı ortaya çıkardı.
SlashNext CEO’su Patrick Harr, FIFA’nın ve Dünya Kupası’na ev sahipliği yapan herhangi bir ülkenin bu güzel oyunun meraklılarını toplum mühendisliğinden korumak için harekete geçebileceğini belirtiyor.
“FIFA, güvenlik programının marka kimliğine bürünme tanımlama, düzeltme ve yayından kaldırma hizmetini içermesini sağlayabilir” diyor. “Bu tür bir güvenlik kontrolü ile FIFA, milyonlarca taraftarını koruyabilir, böylece favori takımlarıyla ilgili haberleri takip ederken yanlışlıkla kötü niyetli içerikle etkileşime girmezler.”
Ironscales’in kurucusu ve CEO’su Eyal Benishti, FIFA’nın da farkındalık yaratmaya ve hayranlara yüksek sesle davul çalmaya odaklanması gerektiğini belirtiyor.
“QR kodlarının arkasındaki bağlantılara tıklamamaları, doğrulama veya doğrulama isteyen SMS mesajlarından uzak durmaları ve doğrudan yalnızca resmi FIFA alanına gitmeleri, etkileşimde bulunmaları ve bilet satın almaları söylenmeli” diyor. “Gelecekteki konuklara yönergeler, ne bekleyecekleri ve nelere dikkat etmeleri gerektiği konusunda net iletişim gönderin.”
Ayrıca Dünya Kupası çalışanlarının da hedef alındı turnuva boyunca, organizatörler için başka bir sorumluluk katmanı getiriyor.
“Katar’ın FIFA organizasyonu ve işletmeleri için, dahili çalışanlarınızın eğitimli olduğundan ve sahte e-postaların ve sahte destek taleplerinin hızla artacağının farkında olduğundan emin olmak gibi kontrol edebileceğiniz şeylere odaklanın” diyor. “Yerinde olmayan istekler alırlarsa, her zaman gönderenle telefonla veya alternatif iletişim yöntemiyle onaylayın. Ekstra dikkatli olun ve çalışanlarınız için uygun iletişim ve eğitimin yapıldığından emin olun.”
Öğrenilecek Siber Güvenlik Dersleri
Katar’ın Dünya Kupası ev sahipliği görevleri sona eriyor olabilir ve umarım deneyimi gölgeleyen büyük bir siber saldırı olmaz, ancak böylesine genişleyen bir çaba için iyi bir güvenlik uygulamak söz konusu olduğunda öğrenilmesi gereken dersler var.
İster altyapıya yönelik bir saldırı, mahremiyet endişeleri veya turnuvayı çevreleyen kimlik avı bolluğu olsun, şimdi gelecek yaz yapılacak 2023 FIFA Kadınlar Dünya Kupası gibi gelecekteki etkinlikler için risk azaltmayı düşünmenin zamanı geldi.
Araştırmacılar, her şey söylenip yapıldıktan sonra, ideal olarak tehdit istihbaratı ve bu kış etkinliğinden elde edilen verileri kullanarak bir değerlendirme yapmanın özellikle önemli olduğunu söylüyor – Katar’ın turnuva için devreye soktuğu öncü teknolojilerin birçoğunun dinleneceği düşünülürse. gelecek turnuvalar Örneğin, 2026 FIFA Erkekler Dünya Kupası’na ev sahipliği yapan ABD’deki stadyumlar, personel ve taraftar girişi, bilet doğrulama ve temassız ödemeler için halihazırda yüz tanıma araçlarını kullanıyor.
“Bir Dünya Kupası büyüklüğünde ve ölçeğinde bir etkinlik, milyonlarca ziyaretçinin milyonlarca potansiyel kurban olarak görülmesiyle, suç işlemeye yatkın olanlar için zengin seçimleri temsil ediyor.” Rob Fitzsimons, Telesoft Technologies’de saha uygulama mühendisi, yakın tarihli bir sütunda söyledi. “Misafirlerinin hem fiziksel hem de dijital olarak emniyetini ve güvenliğini sağlamak ev sahibi ülkenin sorumluluğundadır.”
“Aslında, turnuva öncesinde ve turnuva boyunca sürekli bir gerçek zamanlı tehdit istihbaratı akışı [provides] potansiyel tehditlerin daha iyi anlaşılmasını sağlar ve güvenlik uzmanlarının bunlara karşı daha iyi savunma yapmasını sağlar. Güvenlik açıklarının nerede olduğunu anlamak ve bunlara uygun şekilde müdahale etmek, mobil ağların daha iyi korunmasına ve hedefli saldırılara karşı korunmaya yardımcı olacaktır… ve bu ağlar arasındaki bilgi akışını izleyerek ve kontrol ederek, daha geniş çaplı saldırı olasılığını azaltmak mümkündür. “