NESNELERİN İNTERNETİ GÜVENLİĞİ

NESNELERİN İNTERNETİ GÜVENLİĞİ

Sinara Labs | www.sinaralabs.com | @Sinaralabs

NESNELERİN İNTERNETİ GÜVENLİĞİ (SECURITY OF

INTERNET OF THINGS)

http://www.sinaralabs.com/

https://twitter.com/sinaralabs







NESNELERİN iNTERNETİ

Yazı Hakkında 4

Nesnelerin İnterneti (Internet of Things) 5

Nesnelerin İnterneti Cihazları Sistem Güvenlik Açığı 9

Nesnelerin interneti Güvenlik Farkındalığı 10

Nesnelerin İnterneti için Güvenlik Önlemleri 11

Sonuç 12





Yazı Hakkında Bu yazı Ozan UÇAR tarafından hazırlanmıştır. Yazı, günümüzde sık sık adını duyduğumuz nesnelerin interneti olgusunu, nesneler arasında oluşturduğu ağ ve iletişimin nasıl yapılandırıldığını somut örnekleriyle anlatılarak, bu cihazların kendi arasında haberleştiği ve birbirine bağlanarak bilgi paylaşımı yaptığı gerçeği üzerinde durmuştur. Bu yeni teknolojinin hayatımıza getirdiği yeniliklerle beraber riskler getirdiği, siber saldırganların yeni hedefi haline geldiğini belirtmiştir. Bu saldırılardan korunma yönteminin en etkili yolunu da insan faktörüne dayandırarak, eğitim ve farkındalık kazanmanın risklere karşı en etkili yöntem olduğunun altını çizmiştir.





Nesnelerin İnterneti (Internet of Things) Son yıllarda giderek büyüyen ve yayılan nesnelerin interneti1 olgusu, günlük yaşantımıza birçok yenilik katmış ve katmaya da devam edecektir. Otomotiv sektöründen beyaz eşya sektörüne, uçaklardan, çeşitli bilgisayar sistemlerine kadar, nesnelerin interneti her geçen gün hayatımıza girmeye devam etmektedir. The World Ecomomic Forum’da (2015) 2 ise 2020 yılında nesnelerin interneti cihazlarına bağlanan nesnelerin sayısının 50,1 milyon olacağı ön görülmüştür. 2017’ de bu sayının 28,4 milyonu bulacağı, 2018’de 34,8 milyon olacağı ve 2019’da ise 42,1 milyona ulaşacağı tahmin edilmiştir.

1 Nesnelerin interneti, fiziksel nesnelerin internet'e bağlanmasıyla oluşturulan bir ağdır. Nesnelerin interneti’nin amacı, bu nesnelerin birbirleriyle iletişim kurmalarını ve birbirleriyle bilgi alışverişinde bulunmalarını sağlamaktır. Nesnelerin interneti’nde iletişim yöntemi, bilgi işlem cihazlarında ve gömülü sensör sistemlerinde mevcut olup, endüstriyel makineler arasındaki iletişim, akıllı enerji şebekeleri, akıllı evler ve bina otomasyonu, araçtan araca iletişim ve giyilebilir teknolojiler bilgisayar gibi cihazların sistemlerde kullanılmaktadır. 2 World ekonomik forum son zamanlarda gelişen ve gelişmeye devam eden nesnelerin interneti cihazlarının

boyutunu hakkında bazı alanları sıralamıştır. Bunlar: ● İmplantlar ve giyilebilir ürünleri de içeren, daha fazla nesneden daha fazla veri ve izlenim elde

etmemizi sağlayan ve çevrelerindeki ortamı etkileyen sensörler ve aktuatörler. ● Kullanıcılar ve cihazlar arasında veri akışını artıran, her yerde hesaplama yapabilen ve internete

kolayca bağlanabilen nesneler. ● Mikroskobik ölçekte her zamankinden daha karmaşık cihazlar üretmemizi sağlayan nanoteknoloji ve

nanomalzemeler, . ● Yapay zekalar, ● sanal gerçeklik, ● Her türlü dijital işlemi güvenli, doğrulanabilir ve potansiyel olarak otomatik hale getiren Blockchain

teknolojisi. Detaylı bilgi için bakınız: https://www.weforum.org/agenda/2015/11/is-this-future-of-the-internet-of-things/?utm_content=buffer10b03&utm_medium=social&utm_source=twitter.com&utm_campaign=buffer





Şekil 1. Nesnelerin İnterneti’nin Yıllara Göre değişimi

Yukarıdaki tabloda görüldüğü gibi nesnelerin internetinin kullanımı her geçen gün farklı bir alana yayılmış, bu yayılma zaman geçtikçe daha yoğun şekilde gerçekleşmektedir, Ancak artan otomasyon sistemleri ve dijitalleşme, yeni güvenlik zafiyetlerini ortaya çıkarmıştır. İnternete bağlı bu nesneler, çok önemli kişisel bilgileri depoladığı ve kullanıcılıların fiziksel çevrelerini önemli bir şekilde etkilediği için, doğal olarak kullanıcıların, nesnelerin interneti konusuna güvenip güvenmemeleri tartışma konusu olmuştur. Güvenlik konusunda dikkat edilmesi gereken unsurlardan biri, nesne ve bulut tabanlı uygulama veya altyapı arasındaki iletişimdir. Buluta veri göndermek, uygulamanın, nesnelerin interneti cihazlarının kullanılma biçimine tam olarak sahip olması anlamına gelir. Örneğin, akıllı su sayacı, belirli bir hane halkının boyutunu ve günlük etkinlik modelinin gösterebilir. 3 Ayrıca nesnelerin interneti cihazının etkin olduğu çeşitli araba modellerindeki gibi, birçok uçak ve jet

3 https://securityintelligence.com/innovative-new-solutions-for-securing-the-internet-of-things/





modelleri güvenlik açıklarıyla siber saldırılar sonucu kontrol dışı kalabilir veya ele geçirilebilir.4 Yukarıda bahsi geçen olasılıklar düşünüldüğünde, hayatımızı kolay hale getiren bu nesnelerin yanlış kişilerin eline geçmesi durumunda, kullanıcılar maddi ve manevi zarara uğrayabilir. Bu durum, aşağıdaki tabloda özetlenmiştir: Tablo1. Nesnelerin İnterneti Siber Saldırıları ile İlgili Örnek olaylar5

● CNN News’ın yaptığı habere göre Chrysler şirketi 1.4 milyon arabasını siber saldırı potansiyeli dolayısıyla geri çağırdı.

● Proofpoint’e göre (2014) 750.000 spam gönderilerek TV setleri ve bir buzdolabı ele geçirilmiştir.

● Symantec (2013), Linux için çalışan bazı cihazlarda solucan olduğunu iddia etmiştir.

● ABC News’in yatığı habere göre (ağustos 2013), bir siber saldırgan ailelerin bebeklerini izlemek için evlerine yerleştirdiği ‘bebek kamerası’ı ele geçirerek, 2 yaşındaki bir bebeği istismar edebilmiştir.

● Büyük oranda İnternet özellikli dijital video kaydediciler (DVR'ler), gözetim kameraları ve diğer İnternet tabanlı gömülü cihazlardan yönelik saldırılarda bulunan Mirai botneti ile, Saldırganlar çeşitli nesnelerin interneti cihazlarına karşı çok sayıda yüksek profilli, etkili DDoS saldırıları başlatmıştır. Bu yeni saldırı türü ilk olarak ağustos 2016’da ortaya çıkmasına karşın, kısa zamanda dünyanın birçok farklı bölgelerinde çok sayıda cihaza sızmayı başarmıştır. 6

Kaynak: Liwei Ren (2015), Nesnelerin interneti Security Problems Challenges and Solutions. Data Storage Security Summit. Santa Clara. CA Yukarıdaki tabloda görüldüğü üzere, özellikle son yıllarda hayatımıza giren nesnelerin interneti paradigmasının getirdiği yeniliklerle beraber, yeni nesil siber saldırı yöntemleri gelişmiş ve bu yeni teknoloji, saldırganların hedefi haline gelmiştir. Önemli bir araba şirketi olan Chrysler, 1.5 milyon arabasını güvenlik açığı nedeniyle geri çağırmıştır. 7 Akıllı ev aletleri de bu saldırılardan nasibini

4 Geleneksel kontrol yöntemlerini nesnelerin internetine uygulamaya çalışmak zor bir mücadeledir ve bu cihazların sahip

olduğu birçok kısıtlamaya çözüm getirmek önemli mühendislik yeteneği gerektirecektir. Nesnelerin interneti cihazları işletme gücü, bant genişliği doğal olarak sınırlı bağlantıya sahiptir. Ancak bu cihazlar neredeyse tam işlem kapasitesine sahip olup, görevleri için yeterli belleğe sahiptirler. Bu, insan faktörüyle çok az etkileşimde olduğu anlamına gelir: Kendi kararlarını kendileri belirler. Her geçen gün nesnelerin interneti sayısının artmasını göz önünde bulundurulursa, yazılım geliştiricileri ve sağlayıcıları, ilk tasarım ve uygulama sürecinin bir parçası olarak yeterli güvenlik önlemlerini içerdiğinden emin olmaya çalışmaktadırlar. 5 Liwei Ren (2015), Nesnelerin interneti Security Problems Challenges and Solutions. Data Storage Security Summit. Santa

Clara. CA 6 https://www.arbornetworks.com/blog/asert/mirai-iot-botnet-description-ddos-attack-mitigation/ 7 Günümüzde birçok önemli marka, araçlarını nesnelerin interneti cihazlarıyla donatmıştır. Bu durum, sürücülere kullanım

kolaylığı ve konfor sunsa da, beraberinde riskler getirmektedir. Çünkü, internete bağlı herhangi bir nesnede güvenlik açısından açık noktalar olduğu sürece, siber saldırganların hedefindedir. Açık noktalar olmasa dahi, siber saldırganlar yeni yöntemler geliştirip, bu yeni teknolojilere sızmayı çalışmaktadır. Bu bağlamda, kendi araçlarında, güvenlik kusuru bulan





almıştır. Bu bağlamda güvenlikte en etkili yöntemlerden olan birey farkındalığı, bu yeni teknolojinin beraberinde getirdiği yeni risklere karşı ön savunma oluşturarak birçok sorunun ortaya çıkmasını engelleyecektir. Yeni nesnelerin interneti cihazlarının ortaya çıkması ve bunların yaygın hale gelmesi ile güvenlik kaygısı da buna orantılı olarak artacaktır. Bu durumun birçok sebebi vardır, ancak burada en belirgin olan, nesnelerin interneti cihazlarının ağlara bağlanabilmesidir. Bu durum gerçek bir tehdit oluşturmaktadır. Fransa'da EURECOM’un ve Almanya'da Ruhr Üniversitesi’nin yaptığı yeni bir araştırma raporunda, nesnelerin interneti cihazlarının içerisinde gömülü olan aygıt yazılımlarının, çoklu güvenlik kusurlarına sahip olduğu saptanmıştır. 54 farklı satıcının 1.900'den fazla ürün yazılımı görüntüsünün analizini içeren araştırmada, ilgili nesnelerin interneti cihazlarının Web arayüzündeki zayıf noktalar analiz edilerek, ürünlerin dörtte birinden daha fazlasında -9,000'den fazla- risk olduğu ortaya çıkarılmıştır. 8 Her ne kadar gerçekleştirilen ölçümler çoğunlukla otomatik olarak ve nispeten az sayıda yazılım görüntüsü üzerinde gerçekleştirilse de, araştırmacılar, bu durumun diğer nesnelerin interneti cihazları arasında yaygın olmasının muhtemel olduğunu ve bu durumun tek bir satıcı veya küçük bir satıcı grubu ile sınırlı olmadığını iddia etmiştir. Keşfedilen güvenlik açıklarının birçoğu zaten açıklandığından, bazı kullanıcılar cihazlarında, mevcut olan üretici yazılımlarını güncellemedikleri için, kullanıcı güvenliği risk oranı, çok daha yüksektir. Yukarıdaki bilgiler dikkate alındığında yapılması gereken birkaç önemli adım vardır: ● Farkındalığı artırın: Şirketler ve bireysel kullanıcılar, yeni nesnelerin interneti cihazlarının tasarımında emniyetin kritik rolü olduğunu anlamaları gerekir. Güvenlik, nesnelerin interneti cihazının işlevselliği kadar önemlidir. ● Erişilebilir bir güvenlik tesis edin: Güvenliği erişilebilir hale getirin. Uzman olmayan/ bilgi sahibi olmayan bireyler, başlangıçtan itibaren güvenlik ve gizlilik konularını bütüncül bir şekilde ele alan, kullanımı kolay bir işleme gereksinim duymaktadır. ● Uzmanlara danışın: Güvenlik çözümleri, gerçek güvenlik uzmanlarından öğrenin. Günümüzdü, kritik öneme sahip sistemlere yerleştirilen milyarlarca İnternet bağlantılı cihaz bulunmaktadır. Olası güvenlik riskleri ve sonuçları, katlanarak artmıştır; çünkü internet bağlantısı olan herkes bu sistemleri tehlikeye atma potansiyeline sahiptir. Nesnelerin interneti cihazlarına yönelik mevcut tehditler, basit bulguların ötesindedir; çünkü saldırganlar, teknolojideki gelişmelerle birlikte yeni potansiyel keşfetmektedir.

Chrysler, acilen araçlarını geri çağırıp, açıkları gerekli yamalar vasıtasıyla kapatmıştır. Güvenlik kusuru olmasa da, araçlar, yeni saldırı yöntemleriyle ele geçirilebilmektedir. Bu sebeple temel düzeyde farkındalık eğitimi en iyi savunma yöntemidir. Bakınız: https://www.youtube.com/watch?v=MK0SrxBC1xs . 8 https://securityintelligence.com/innovative-new-solutions-for-securing-the-internet-of-things/





Nesnelerin İnterneti Cihazları Sistem Güvenlik Açığı Açık Web Uygulaması Güvenlik Projesi (OWASP) önemli gördüğü nesnelerin interneti güvenlik açıklarını listelemiştir. Listede, nesnelerin interneti ve ağa bağlı cihazlar için mevcut olan en kritik saldırı vektörleri arasında aşağıdakiler yer almaktadır:9

1. Güvensiz Web Arayüzleri 2. Yetersiz Kimlik Doğrulama / Yetkilendirme 3. Güvensiz Ağ Servisleri 4. Zayıf Şifreleme Kanallarının Kullanımı 5. Gizlilik Endişeleri 6. Güvensiz Bulut Ortamları 7. Güvensiz Mobil Ortamlar 8. Yetersiz Güvenlik Yapılandırması 9. Güvensiz Yazılım/İşletim Sistemi 10. Zayıf Fiziksel Güvenlik

Bu bağlamda Nesnelerin interneti Bilgi güvenliği, Bilgi Teknolojileri Güvenliği, Fiziksel Güvenlik ve Operasyonel Güvenlik gibi farklı alanlarla ilişkilendirilecektir.10

9 https://securityintelligence.com/innovative-new-solutions-for-securing-the-internet-of-things/ 10 Liwei Ren (2015), Nesnelerin interneti Security Problems Challenges and Solutions. Data Storage Security Summit. Santa

Clara. CA





Nesnelerin İnterneti Güvenlik Farkındalığı Yukarıda belirtildiği üzere, nesnelerin internetinin şekillenmeye başlaması, gelişmesi ve yayılması, güvenlik kaygısını da artırmıştır. Nesnelerin interneti, yapısı gereği yüksek oranda birbirine bağlı cihazlardan oluşmaktadır. Bu durum güvenlik açıklarının etkisini artırmakta ve bilgisayar korsanları için yeni saldırı vektörleri ortaya koymaktadır.11 Bilişim teknolojisi ve teknoloji uzmanları günlük yaşamlarımızda gün geçtikçe daha akıllı hale gelen öğelere bağlantı sağlamanın yeni yollarını bulmaya başladığı için, kullanıcıların, bu cihazların kullanımıyla ilgili olası sorunları tanımaları ve öğrenilen ortak güvenlik önlemlerini uygulamaya başlamaları önemlidir. Kişisel bilgisayarlar ve mobil cihazlarla olan etkileşimleri ile güvenlik duvarları da dâhil olmak üzere tipik (Bilgisayar Teknolojisi) BT çözümleri, tüm bu yeni ağ giriş noktalarını güvenceye almak için yeterli olmayacaktır. Kullanıcılar, yaygın olarak kullandıkları cihazların ve akıllı nesnelerinde kullandıkları algılayıcıların, bilinmeyen kaynaklardan ve kimlik avı iletilerinden gelen e-posta ekleri kadar potansiyel olarak tehlike arz ettiklerinin tamamen bilincinde değillerse, teknoloji tabanlı bilinen önlemler yeterli olmayacaktır. Ayrıca, bugüne kadar, nesnelerin interneti üreticileri cihaz düzeyinde verileri güvence altına almak amacıyla henüz ortak güvenlik standartları geliştirmemiştir. Şifreleme ve kimlik doğrulama, nesnelerin interneti varlıklarını savunmak için birden fazla üreticiden gelen cihazların birlikte çalışmasına ve güvenlik korumaları ile iletişim kurmasına olanak verecek yeni bir standardın parçası olmalıdır. Nesnelerin internetinin topluma yararlı bir şekilde geliştirilmesini sağlamak için, kullanıcılara güvenlik farkındalığı eğitimi verilmesi gerekir. Kişisel bilgisayarların ve mobil cihazların kullanımına uygulanan güvenlik ipuçlarının çoğu nesnelerin interneti nesnelerine de uygulanabilir.

11 http://resources.infosecinstitute.com/nesnelerin interneti-security-awareness/#gref





Nesnelerin İnterneti için Güvenlik Önlemleri Her şeyden önce, görünüşte zararsız olan nesnelerin yapabileceklerine odaklanılmalıdır: Saatler, otomobiller, buzdolapları, kan basıncı denetleyicileri artık yalnız objeler değildir; bunlar, evlerimize, iş ağlarımıza ve veritabanlarımıza giriş noktalarıdır. FBI’in web sitesinde belirtildiği gibi, nesnelerin interneti dünyamızı güvence altına almaya yardımcı olabilecek bazı pratik ipuçları vardır.

● Her şeyden önce, akıllı nesnelere bilgisayar cihazları gibi muamele etmek gerekmektedir. Bu nedenle, güçlü parolalar kullanmak, yönlendiriciler ve bağlantıları güvenli hale getirmek önemlidir.

● Mümkünse, kullanıcılar Nesnelerin interneti aygıtlarını ayrıştırmalı ve güvenlik duvarlarının ve filtrelerin kurulmasına ek olarak, bunları diğer ağlardan ayrıştırılmış özel bir ağa almalıdır.

● Nesnelerin interneti aygıtlarına erişimi engellemek için, kullanılmıyorsa yönlendiricilerdeki Evrensel Tak ve Çalıştır protokolünü (UPnP) devre dışı bırakılmalıdır.

● Ayrıca, kullanıcılar kendi ağlarına bağlanıp bağlanmadığının farkında olmalıdır. ● Güvenilir ve temiz bir geçmişe sahip saygın üreticilerin cihazlarını satın almak

güvende kalma olasılığını artıracaktır. ● Herhangi bir bilgisayarda olduğu gibi, yazılımın sık sık güncellenmesinden ve

nesnelerin interneti nesneleriyle ilişkili tüm uygulamaların da güncelleştirildiğinden emin olmak gerekir.

● Kullanıcılar, cihazlarının hangi veriyi topladıkları, kimlerle paylaştıkları ve bunları nasıl gönderdikleri / aldıklarını anlamalı ve öğrenmelidir.

● Verilerin saklandığı yeri anlamak ve hedef sistem ele geçirilirse ne yapacağınıza karar vermek, kurtarma planı oluşturmak önemlidir.

● Bir cihaz kullanımda değilse, kapatılmalı veya çevrimdışı duruma getirilmelidir.





Sonuç Nesnelerin interneti ile çalışan cihazların güçlü bir şekilde büyüdüğünü ve yayıldığını görmekteyiz. Nesnelerin interneti; bilgi paylaşımı, süreçleri analitik işlemleri düzene sokma becerisi olan her türlü fiziksel cihaz ve makinenin bulut özelliklerini ve ağ bulutunu içerebilmektedir. Nesnelerin interneti birçok sanayide, toplumun birçok alanında ve bazı tüketicilerin günlük görevlerinde yeni hizmetler veya işlevler kazandırmıştır. Nesnelerin interneti büyük vaatler sunmaktadır; ancak Nesnelerin interneti endüstrisi halen gelişmektedir. Bu bağlamda altyapısında yer alan aygıtlar için güvensiz sayılan uç noktaların bilinen ve bilinmeyen tehditlere karşı korunması; aygıtlara, protokollere ve iş akışlarına esnek bir güvenlik çerçevesinin yapılandırılması gerekmektedir. Günlük hayatımızda nesnelerin interneti kullanımının artması, ağın ve tüm nesnelerin interneti ekosisteminin herkes için güvenli olmasını sağlamasını beraberinde getirmektedir. Bu bağlamda, farkındalık ve doğru eğitim, tüm akıllı cihaz sahiplerinin muhtemelen en etkili savunma hattı olup, temel güvenlik tedbirlerinin nasıl uygulanması gerektiğini öğretmesi bakımından büyük önem taşımaktadır.





Sinara Labs Hakkında

Sinara Labs, yeni nesil oltalama saldırılarına karşı kendini geliştiren, güvenlik ürünlerini test eden ve kurum çalışanlarının bilgi güvenliği farkındalığını artıran bir güvenlik çözümüdür.

Sinara Labs ile çalışanlarınızın bilgi düzeyini ölçmek için yüzden fazla senaryo barındırmaktadır. Kurumların hassas verilerini ve kullanıcı yetkilerini ele geçirmek isteyen siber suçlulara karşı, IT yöneticileri için özel raporlar oluşturarak savunma sistemlerinin test edilmesini sağlayan Sinara Labs, hedef odaklı saldırılara karşı ciddi oranda başarı sağlar.

Sinara Labs ile birbirinden farklı onlarca senaryo kullanarak kurum çalışanlarınız için oltalama testleri gerçekleştirebilir, her departman için ayrı bir uygulama yapabilirsiniz. Yapılan her oltalama testi sonucu detaylı olarak raporlanarak zafiyetleriniz için aksiyon almanıza olanak sağlanır.

Sinara Labs sayesinde kimlik hırsızlığı, kişisel veri güvenliği ve hassas verilerin bulunduğu kritik sistemlere erişim gibi yüksek risk taşıyan noktalara gerçek senaryolar ile simülasyon testlerini yapabilir ve saldırılara karşı bilinç oluşturabilirsiniz.

Sinara Labs, 2015 yılında milli bir yazılım olarak üretilmiş ve bugüne kadar bankacılık, finans, enerji, telekom gibi kritik sektörlerde ve ülkemizin en önemli kurumlarında kullanılmaya başlanmıştır.

Daha fazla bilgi almak için [email protected] e-posta adresimiz ile iletişime geçebilirsiniz.



mailto:[email protected]

Technology

NESNELERİN İNTERNETİ GÜVENLİĞİ