31 Ağu, 2021

[:tr]Nesnelerin İnterneti[:en]Internet Of Things (IOT)[:]

[:tr]Günümüzde, interneti birçok şey için kullanıyoruz. Bu, eğlenceden işe, alışverişe ve aradaki her şeye kadar uzanır. Modern ev eşyalarımızın tümü IoT teknolojisi sayesinde web üzerinden birbirleriyle iletişim kurabilir. Ancak bu aynı zamanda belirli riskleri de beraberinde getiriyor.

IoT, fiziksel nesnelerin birbirleriyle veya daha büyük sistemlerle haberleşmesini ve bağlantıda olmasını sağlayan iletişim ağıdır.

IoT UYGULAMA ALANLARI
• Akıllı ev aletleri (süpürge, buzdolabı, fırın, klima vb.),
• Akıllı şehir uygulamaları (trafik sistemleri, araç park uygulamaları vb.),
• Sensör Teknolojileri,
• Veri analiz uygulamaları vb.

IOT GÜVENLİĞİ NEDEN ÖNEMLİ ?
Hayatımızın dört bir yanını sarmaya başlayan IoT teknolojileri ağlar üzerinden cihazlar ile iletişim kurdukları için, kişisel verilerimizin korunması vb. durumların daha da zorlaşacağı apaçık ortada. Tahmin etmek için kahin olmamıza gerek yok diye düşünüyoruz. Dolayısı ile ‘Siber Güvenlik’ alanında çalışma yapan insanlara ihtiyacın daha da çok artacağı söz konusudur. Aslına bakarsanız bizim düşüncemiz 90’lı yılların başlarında teknolojinin nasıl başındaysak şu anda IoT teknolojileri için aynı durumda diyebiliriz. Neden diye sorarsanız ; IoT teknolojileri de günümüz teknolojisini düşününce hantal kaldığını söyleyebiliriz. Bu demek değil ki böyle kalacak. Aslında günümüz teknoloji seviyesine çok daha hızla entegre olacağını düşünmekteyiz. Bir diğer hususta ‘Siber Güvenlik’ alanında çalışma yürütenler için; IoT teknolojileri, DİKEY alan olarak görmekteyiz.

Hadi gelin şimdi, IoT teknolojisi mimarisine, doğabilecek güvenlik zafiyetlerinin nasıl doğduğuna ve nasıl önlem alabiliriz kısmına.

IOT HABERLEŞME MİMARİSİ

IoT cihazları ağ ile iletişim kurarken Cloud sistemlerine genel olarak ihtiyaç duymaz fakat yapılan geliştirmelerde ihtiyaç olmayacağı anlamına gelmez. En yaygın olarak iç mimarilerinde kullanılan teknoloji MQTT, Coap teknolojileri kullanılmaktadır. MQTT altında bir ‘web soket’ sistemi de bulunmaktadır. Bu haberleşme sisteminin yaygın olarak tercih edilmesinin yegâne sebebi şudur; http üzerinden bir istek yollamaya çalıştığınızda sistem bunu algılamaya çalışacak bana mı geldi diye yayın yapmaya başlayacak ve eşleşmeye çalışacak belki saniyeler kadar gecikme yaşansa da işlem gerçekleşecektir. Fakat MQTT sürekli uygulamaya bağlı olduğu için böyle bir gecikme söz konusu olmayacaktır.

Aşağıdaki şekilde; IoT teknolojilerinin ‘MQTT Broker (rooter olabilir)’ ile bağlantı şekilleri yansıtılmıştır.

IOT GÜVENLİK ZAFİYET ÖRNEKLERİ

1. Man In The Middle (MITM) ortadaki adam saldırısı siber güvenliğin klişelerinden olabilir. Ama maalesef her yerde karşımıza çıkabilecek temel sorunlardan bir tanesidir. Dolayısı ile IoT cihazlarında da ortadaki adam saldırısı yöntemi ile , gelen istek ve dönen cevaplar manipüle edilebilmektedir.

MITM ATAK IoT CİHAZLARINDA NASIL OLUR ?

En basit hali ile anlatmak gerekirse;

Yukarıda ki şekilde görüldüğü üzere ‘Attacker’, ‘Client A’ makinesine diyor ki: ‘Ben IoT rooter’ım güven bana mesajını yolla.’ sonra ‘IoT rooter’ makinesine diyor ki: ‘Ben Client A sana mesajım bu, geri dönüşünü bekliyorum diyor. Ve böylece gelen giden mesajları ele geçirmiş oluyor ‘Attacker’.

MITM saldırıları iki yolla önlenebilir veya tespit edilebilir: kimlik doğrulama ve müdahale algılama. İşin özeti yanlış ya da eksik yapılan konfigürasyon hatalarından kaynaklanmaktadır. Kimlik doğrulaması vb. yöntemler yapılmadığı takdirde başka bir kullanıcının cookie, oturum id’si, token değeri vb. ele geçirilen bilgiler ile IoT cihazlarına erişim elde edilebilir.

2. DDoS Saldırıları, internete bağlı bir hostun hizmetlerini geçici veya süresiz olarak aksatarak, bir makinenin veya ağ kaynaklarının asıl kullanıcılar tarafından ulaşılamamasını hedefleyen bir saldırı türüdür.

DDOS IoT CİHAZLARINDA NASIL OLUR ?

Aşağıdaki şekilde görebileceğiniz üzere Botnet ağları kullanarak DDos koruması olmayan IoT cihazlarında hizmet kesintisi söz konusu olabilmektedir.

Bu örnekler yazdıkça bitmez. Dolayısı ile sizlerle Owasp’ın IoT güvenlik açıklarının ilk on (10) listesini paylaşıyoruz.

OWASP IOT – IOT GÜVENLİK AÇIKLARININ ILK 10 LİSTESİ

  • Zayıf, Tahmin Edilebilir veya Sabit Kodlu Şifreler
  • Güvenli Olmayan Ağ Hizmetleri
  • Güvensiz Ekosistem Ara yüzleri
  • Güvenli Güncelleme Mekanizmalarının Eksikliği
  • Güvenli Olmayan veya Eski Bileşenlerin Kullanımı

  • Yetersiz Gizlilik Koruması
  • Güvenli Olmayan Veri Aktarımı ve Depolama
  • Cihaz Yönetimi Eksikliği
  • Güvenli Olmayan Varsayılan Ayarlar

  • Cihaz Fiziksel Güvenlik Eksikliği

Sonuç:
IoT teknolojileri günden güne artarak her kesimden kurum ve kişiye ulaşacağını ön görmekteyiz. IoT teknolojilerinin gelişmesi ile kişisel verilerin güvenliği ve korunması için IoT teknolojilerinin güvenlik koridorlarının daha da geliştirilmesi ve önem verilmesinin gerekli olduğunu düşünüyoruz.

KVKK, ISO 27001, Bilgi ve İletişim Güvenliği Rehberi, ISO 27701, Bilgi Güvenliği, Siber Güvenlik ve Bilgi Teknolojileri konularında destek ve teklif almak için lütfen

[:en]Nowadays, we use the internet for many things. This ranges from entertainment to work, shopping and everything in between. All of our modern household goods can communicate with each other over the web, thanks to IoT technology. However, this also comes with certain risks.

IoT is a communication network that enables physical objects to communicate and be connected with each other or with larger systems.

IoT APPLICATION AREAS

• Smart home appliances (cleaner, refrigerator, oven, air conditioner, etc.),

• Smart city applications (traffic systems, parking applications, etc.),

• Sensor Technologies,

• Data analysis applications etc.

WHY IS IOT SECURITY IMPORTANT?

Since IoT technologies, which have started to surround all parts of our lives, communicate with devices over networks, protection of our personal data, etc. It is clear that the situation will become more difficult. We think we don’t need to be a prophet to guess. Therefore, the need for people working in the field of ‘Cyber ​​Security’ will increase even more. As a matter of fact, we can say that our thinking is in the same situation for IoT technologies as we were at the beginning of technology in the early 90s. If you ask why; Considering today’s technology, IoT technologies can be said to be cumbersome. That doesn’t mean it will stay that way. In fact, we think that it will integrate with today’s technology level much faster. On another issue, for those who work in the field of ‘Cyber ​​Security’; We see IoT technologies as a VERTICAL field.

Come on now, to the architecture of IoT technology, how security vulnerabilities that may arise and how we can take precautions.

IOT COMMUNICATION ARCHITECTURE

IoT devices do not generally need Cloud systems when communicating with the network, but it does not mean that there will be no need for developments. The technology most commonly used in interior architectures is MQTT and Coap technologies. There is also a ‘web socket’ system under MQTT. The only reason why this communication system is widely preferred is as follows; When you try to send a request over http, the system will try to detect it, start broadcasting to see if it has come to me, and try to match, although there may be a delay of seconds, the transaction will take place. However, there will be no such delay as MQTT is constantly dependent on the application.

As follows; The way IoT technologies are connected with ‘MQTT Broker (can be rooter)’ is reflected.

IOT SECURITY VULNERABILITY EXAMPLES

1. Man In The Middle (MITM) man-in-the-middle attack may be a cliché of cybersecurity. But unfortunately, it is one of the main problems that can be encountered everywhere. Therefore, incoming requests and responses can be manipulated with the man-in-the-middle attack method in IoT devices.

HOW DOES IT WORK ON ATAK IoT DEVICES?

To put it in its simplest form;

As seen in the figure above, ‘Attacker’ says to ‘Client A’ machine: ‘I am IoT rooter, send me your message.’ Then it says to ‘IoT rooter’ machine: ‘This is my message to Client A, waiting for your return. . And thus, ‘Attacker’ has captured incoming and outgoing messages.

MITM attacks can be prevented or detected in two ways: authentication and tamper detection. The summary of the work is due to incorrect or incomplete configuration errors. Authentication etc. If the methods are not done, another user’s cookie, session id, token value, etc. With the captured information, access to IoT devices can be obtained.

2. DDoS Attacks are a type of attack that aims to temporarily or indefinitely disrupt the services of an internet-connected host, so that a machine or network resources cannot be reached by the actual users.

HOW IS DDOS ON IOT DEVICES?

As you can see in the figure below, service interruptions may occur on IoT devices without DDos protection using botnet networks.

These examples do not end as you write. Therefore, we share with you the top ten (10) lists of Owasp’s IoT vulnerabilities.

OWASP IOT – TOP 10 LIST OF IOT Vulnerabilities

• Weak, Predictable, or Hard-coded Passwords

• Unsecured Network Services

• Insecure Ecosystem Interfaces

• Lack of Secure Update Mechanisms

• Use of Unsafe or Outdated Components

• Insufficient Privacy Protection

• Insecure Data Transfer and Storage

• Lack of Device Management

• Unsafe Default Settings

• Lack of Device Physical Security

Conclusion:
We foresee that IoT technologies will increase day by day and reach institutions and people from all walks of life. With the development of IoT technologies, we think that it is necessary to further develop and attach importance to the security corridors of IoT technologies for the security and protection of personal data.[:]

İçerik Hakkında:
Sosyal Medyada Paylaş:
Facebook
Twitter
LinkedIn
Telegram