31 Ağu, 2021

Nesnelerin İnterneti

Günümüzde, interneti birçok şey için kullanıyoruz. Bu, eğlenceden işe, alışverişe ve aradaki her şeye kadar uzanır. Modern ev eşyalarımızın tümü IoT teknolojisi sayesinde web üzerinden birbirleriyle iletişim kurabilir. Ancak bu aynı zamanda belirli riskleri de beraberinde getiriyor.

IoT, fiziksel nesnelerin birbirleriyle veya daha büyük sistemlerle haberleşmesini ve bağlantıda olmasını sağlayan iletişim ağıdır.

IoT UYGULAMA ALANLARI

• Akıllı ev aletleri (süpürge, buzdolabı, fırın, klima vb.),
• Akıllı şehir uygulamaları (trafik sistemleri, araç park uygulamaları vb.),
• Sensör Teknolojileri,
• Veri analiz uygulamaları vb.

IOT GÜVENLİĞİ NEDEN ÖNEMLİ?

Hayatımızın dört bir yanını sarmaya başlayan IoT teknolojileri ağlar üzerinden cihazlar ile iletişim kurdukları için, kişisel verilerimizin korunması vb. durumların daha da zorlaşacağı apaçık ortada. Tahmin etmek için kahin olmamıza gerek yok diye düşünüyoruz. Dolayısı ile ‘Siber Güvenlik’ alanında çalışma yapan insanlara ihtiyacın daha da çok artacağı söz konusudur. Aslına bakarsanız bizim düşüncemiz 90’lı yılların başlarında teknolojinin nasıl başındaysak şu anda IoT teknolojileri için aynı durumda diyebiliriz. Neden diye sorarsanız ; IoT teknolojileri de günümüz teknolojisini düşününce hantal kaldığını söyleyebiliriz. Bu demek değil ki böyle kalacak. Aslında günümüz teknoloji seviyesine çok daha hızla entegre olacağını düşünmekteyiz. Bir diğer hususta ‘Siber Güvenlik’ alanında çalışma yürütenler için; IoT teknolojileri, DİKEY alan olarak görmekteyiz.

Hadi gelin şimdi, IoT teknolojisi mimarisine, doğabilecek güvenlik zafiyetlerinin nasıl doğduğuna ve nasıl önlem alabiliriz kısmına.

IOT HABERLEŞME MİMARİSİ

IoT cihazları ağ ile iletişim kurarken Cloud sistemlerine genel olarak ihtiyaç duymaz fakat yapılan geliştirmelerde ihtiyaç olmayacağı anlamına gelmez. En yaygın olarak iç mimarilerinde kullanılan teknoloji MQTT, Coap teknolojileri kullanılmaktadır. MQTT altında bir ‘web soket’ sistemi de bulunmaktadır. Bu haberleşme sisteminin yaygın olarak tercih edilmesinin yegâne sebebi şudur; http üzerinden bir istek yollamaya çalıştığınızda sistem bunu algılamaya çalışacak bana mı geldi diye yayın yapmaya başlayacak ve eşleşmeye çalışacak belki saniyeler kadar gecikme yaşansa da işlem gerçekleşecektir. Fakat MQTT sürekli uygulamaya bağlı olduğu için böyle bir gecikme söz konusu olmayacaktır.

Aşağıdaki şekilde; IoT teknolojilerinin ‘MQTT Broker (rooter olabilir)’ ile bağlantı şekilleri yansıtılmıştır.

IOT GÜVENLİK ZAFİYET ÖRNEKLERİ

1. Man In The Middle (MITM) ortadaki adam saldırısı siber güvenliğin klişelerinden olabilir. Ama maalesef her yerde karşımıza çıkabilecek temel sorunlardan bir tanesidir. Dolayısı ile IoT cihazlarında da ortadaki adam saldırısı yöntemi ile , gelen istek ve dönen cevaplar manipüle edilebilmektedir.

MITM ATAK IoT CİHAZLARINDA NASIL OLUR?

En basit hali ile anlatmak gerekirse;

Yukarıda ki şekilde görüldüğü üzere ‘Attacker’, ‘Client A’ makinesine diyor ki: ‘Ben IoT rooter’ım güven bana mesajını yolla.’ sonra ‘IoT rooter’ makinesine diyor ki: ‘Ben Client A sana mesajım bu, geri dönüşünü bekliyorum diyor. Ve böylece gelen giden mesajları ele geçirmiş oluyor ‘Attacker’.

MITM saldırıları iki yolla önlenebilir veya tespit edilebilir: kimlik doğrulama ve müdahale algılama. İşin özeti yanlış ya da eksik yapılan konfigürasyon hatalarından kaynaklanmaktadır. Kimlik doğrulaması vb. yöntemler yapılmadığı takdirde başka bir kullanıcının cookie, oturum id’si, token değeri vb. ele geçirilen bilgiler ile IoT cihazlarına erişim elde edilebilir.

2. DDoS Saldırıları, internete bağlı bir hostun hizmetlerini geçici veya süresiz olarak aksatarak, bir makinenin veya ağ kaynaklarının asıl kullanıcılar tarafından ulaşılamamasını hedefleyen bir saldırı türüdür.

DDOS IoT CİHAZLARINDA NASIL OLUR?

Aşağıdaki şekilde görebileceğiniz üzere Botnet ağları kullanarak DDos koruması olmayan IoT cihazlarında hizmet kesintisi söz konusu olabilmektedir.

Bu örnekler yazdıkça bitmez. Dolayısı ile sizlerle Owasp’ın IoT güvenlik açıklarının ilk on (10) listesini paylaşıyoruz.

OWASP IOT – IOT GÜVENLİK AÇIKLARININ ILK 10 LİSTESİ
  • Zayıf, Tahmin Edilebilir veya Sabit Kodlu Şifreler
  • Güvenli Olmayan Ağ Hizmetleri
  • Güvensiz Ekosistem Ara yüzleri
  • Güvenli Güncelleme Mekanizmalarının Eksikliği
  • Güvenli Olmayan veya Eski Bileşenlerin Kullanımı

  • Yetersiz Gizlilik Koruması
  • Güvenli Olmayan Veri Aktarımı ve Depolama
  • Cihaz Yönetimi Eksikliği
  • Güvenli Olmayan Varsayılan Ayarlar

  • Cihaz Fiziksel Güvenlik Eksikliği

Sonuç:

IoT teknolojileri günden güne artarak her kesimden kurum ve kişiye ulaşacağını ön görmekteyiz. IoT teknolojilerinin gelişmesi ile kişisel verilerin güvenliği ve korunması için IoT teknolojilerinin güvenlik koridorlarının daha da geliştirilmesi ve önem verilmesinin gerekli olduğunu düşünüyoruz.

KVKK, ISO 27001, Bilgi ve İletişim Güvenliği Rehberi, ISO 27701, Bilgi Güvenliği, Siber Güvenlik ve Bilgi Teknolojileri konularında destek ve teklif almak için lütfen

İçerik Hakkında:
Sosyal Medyada Paylaş:
Facebook
Twitter
LinkedIn
Telegram