Nesnelerin interneti (Internet of Things IoT)

 


Nesnelerin İnterneti (Internet of Things — IoT)

Iot, fiziksel nesnelerin birbirleriyle veya daha büyük sistemlerle haberleşmesini ve bağlantıda olmasını sağlayan iletişim ağıdır.

Uygulama Alanları

  • Akıllı ev aletleri (süpürge,buzdolabı,fırın,klima v.b)
  • Akıllı şehir uygulamaları(trafik sistemleri, araç park uygulamaları v.b)
  • Sensör Teknolojileri
  • Veri analiz uygulamaları v.b

Iot Güvenliği Neden Önemli ?

Hayatımızın dört(4) bir yanını sarmaya başlayan IoT teknolojileri ağlar üzerinden cihazlar ile iletişim kurdukları için, kişisel verilerimizin korunması v.b durumların daha da zorlaşacağı apaçık ortada. Tahmin etmek için kahin olmamıza gerek yok diye düşünüyorum. =) Dolayısı ile ‘Siber Güvenlik’ alanında çalışma yapan insanlara ihtiyacın daha da çok artacağı söz konusudur. Aslına bakarsanız benim düşüncem 90’lı yılların başlarında  teknolojinin nasıl başındaysak şuanda IoT teknolojileri  hemen hemen aynı durumda. Neden diye sorarsanız çünkü;  IoT teknolojileri de günümüz teknolojisini düşününce hantal kaldığını söyleyebilirim. Bu demek değil ki böyle kalacak. Aslında günümüz teknoloji seviyesine çok daha hızla entegre olucağını düşünmekteyim. Bir diğer hususta ‘Siber Güvenlik’ alanıyla çalışma yürütenler için; IoT teknolojileri  DİKEY alan olarak görmekteyim. Hadi gelin şimdi, IoT teknolojisi mimarisine ve doğabilecek güvenlik zaafiyetlerinin nasıl doğduguna ve nasıl önlem alabilirize.

 

IoT Haberleşme Mimarisi

IoT cihazları ağ ile iletişim kurarken

Cloud sistemlerine genel olarak ihtiyaç duymaz tabiki yapılan geliştirmelerde ihiyaç olmayacağı anlamına gelmez.. En yaygın olarak iç mimarilerinde kullanılan teknoloji MQTT, Coap teknolojileri kullanılmaktadır. MQTT altında bir ‘web soket’ sistemi de bulunmaktadır. Bu haberleşme sisteminin yaygın olarak kullanılmasının tercih edilmesinin yegane sebebi şudur; eğer http ile bir istek yollamaya çalıştığınızda sistem bunu algılamaya çalışacak bana mı geldi diye yayın yapmaya başlayacak ve eşleşmeye çalışacak belki saniyeler kadar gecikme yaşansa da işlem olacaktır. Fakat MQTT sürekli uygulamaya bağlı olduğu için böyle bir gecikme söz konusu olmayacaktır. Amacım sizi teknik detaylara boğmak değil en basit hali ile anlatmaya çalışmak. =)

 

IoT Güvenlik Zafiyetleri ?

Bu şekilde; IoT teknolojilerinin ‘MQTT Broker(rooter olabilir)’ ile bağlantı şekilleri yansıtılmıştır.

  1. Man In The Middle (MITM) ortadaki adam saldırısı siber güvenliğin klişelerinden olabilir. Ama maalesef her yerde karşımıza çıkabilecek temel sorunlardan bir tanesidir. Dolayısı ile  IoT cihazlarında da araya girme yöntemi ile ,ortadaki adam saldırısında mesajlar dinlenebilir.
Peki MITM atak nasıl gerçekleşebilir ?

 

Şimdi ilkokul çocuğuna anlatır gibi anlatıyorum. En basit hali ile anlatmak gerekirse;

Yukarıda ki şekilde görüldüğü üzere ‘Attacker’, ‘Client A’ makinesine diyor ki : ‘Ben I0T rooter’ım güven bana mesajını yolla =) .’ sonra ‘IoT rooter’ makinesine diyor ki : ‘ Ben Client A sana mesajım bu geri dönüşünü bekliyorum diyor . =) ve böylece gelen giden mesajları ele geçirmiş oluyor ‘Attacker’.

 

Peki Bundan Nasıl Korunuruz?

MITM saldırıları iki yolla önlenebilir veya tespit edilebilir: kimlik doğrulama ve müdahale algılama. İşin özeti yanlış yada eksik yapılan konfigürasyon hatalarından kaynaklanmaktadır. Kimlik doğrulaması vesaire yapılmadığı takdirde başka bir kullanıcının  bir tane bilinen bilgisi ile IoT cihazlarına erişim elde edilebilir.

2. DDoS Saldırıları, internete bağlı bir hostun hizmetlerini geçici veya süresiz olarak aksatarak, bir makinenin veya ağ kaynaklarının asıl kullanıcılar tarafından ulaşılamamasını hedefleyen bir saldırı türüdür.

Peki Nasıl Korunuruz ?

Düzenli güvenlik izlemesi şarttır ve diğer tehditlerde olduğu gibi aşağıdakilere dikkat etmelisiniz;

  • Erişim Kontrolü
  • Kimlik Doğrulama
  • Şifreleme

OWASP IoT – IoT Güvenlik Açıklarının Ilk 10 Listesi

1. Zayıf, Tahmin Edilebilir veya Sabit Kodlu Şifreler

2. Güvenli Olmayan Ağ Hizmetleri

3. Güvensiz Ekosistem Arayüzleri

4. Güvenli Güncelleme Mekanizmalarının Eksikliği

5. Güvenli Olmayan veya Eski Bileşenlerin Kullanımı

6. Yetersiz Gizlilik Koruması

7. Güvenli Olmayan Veri Aktarımı ve Depolama

8. Cihaz Yönetimi Eksikliği

9. Güvenli Olmayan Varsayılan Ayarlar

10. Cihaz Fiziksel Güvenlik Eksikliği

Yazan: Alperen T. Ugurlu

İletişim: https://www.linkedin.com/in/alperen-u-7b57b7178/

About The Author

Reply