IOT Güvenli midir ? – Gökhan Cansız

IOT Güvenli midir ? – Gökhan Cansız

Yazar – Gökhan Cansız

ATP Dijital Operasyon ve Proje Yönetimi Teknik Uzman

Bu makalemde “IOT nedir?” ,“Günümüzde kullanılan IOT ürünleri bizim için kolaylıklar dışında tehdit yaratır mı ?” “IoT 2019 ve IoT 2020 adı altında çıkarılacak ürünler hayatımızı kolaylaştıracak mı?” , “Kullanılan IoT ürünlerinin yerini alabilecek yeni ürünler 2019 da gelebilir mi?” Bizleri neler bekliyor; bu konuyu elimden geldiğince kaleme almaya çalışacağım. #IOT2019 #IOT2020

IOT (Internet Of Things) nedir?

Basitçe söylemek gerekirse internete veya birbirlerine bağlı, açık ve kapalı bir anahtarı olan herhangi bir cihazın temelde bağlanma kavramıdır.

IOT cihaz örnekleri;

-Akıllı Süpürge,-Akıllı TV,

-Akıllı Buzdolabı,-Fırın,

-Akıllı Kapı zili,

-Akıllı Ayakkabı,

-Akıllı Bileklik,

-Akıllı araç,

-Akıllı Wifi LE Ampül, vb. sıralamak mümkündür.

 

Günümüzde her birimiz yukarıdaki ürünlerin en az bir kaçına sahibiz veya kullanmaktayız.  Kolumuza taktığımız kalp ritmi ölçen, adım sayan saat, uygulamaları çalıştıran (YouTube, Netflix, Puhu TV, vb.) smart/akıllı televizyonlar, güvenlik için tavsiye edilen akıllı zil ve kilit (telefon üzerinden ev kapısını açıp kapatmak, görüntülü görüşme ile karşılamak), sizin uygulama üzerinden belirlediğiniz odada istediğinizde yerleri kendisi temizleyen elektrikli süpürge hayatımızdaki IoT örnekleri.  Son örnek gerçekten insanı cezbeden bir ürün – sizin yerinize odanızı hatta evinizin tamamını temizleyen süperge ile başkalarının da iş yükünü de almış oluyorsunuz (eş, anne, kardeş gibi).  Hem zamandan kazanıyorsunuz, hem de yorulmanıza gerek yok. Kulağa gerçekten çok hoş geliyor değil mi? Yazımızda bu cihaz örneğinin üstüne neden düştüğümü anlayacaksınız.

Detaylı incelediğimizde “Kolaylıklar sağlayan İnternet’e bağlı cihazlar bize veri güvenliği ihmali veya tehdidi yaratmaktalar mı?” diye sorgulayabiliriz. IOT Güvenli mi ?

Hatırlayanlarınız vardır. 2016 yılında Twitter, Spotify, Amazon, Reddit, Paypal, PlayStation Network, Netflix gibi trafiği çok büyük web sitelerini çevrimdışı bırakan DDoS saldırısına şahit olduk. Saldırının hedefi aslında büyük sitelere değil,  IoT ürünleri (çoğunluğu IP kameraları) ile büyük bir DNS sunucusu olan Dyn’dı.  Arbor Networks’ün güvenlik araştırmacısı Roland Dobbins, Dyn’i hedefleyen DDoS saldırı trafiğinin önemli bir kısmının Mirai Botnetlerine katılan tehlikedeki IoT cihazlarından kaynaklandığını açıkladı. Cihazların ele geçirilmesinin en büyük sebepleri ise cihazların kullanılmaya başlandığından beri standart yönetici şifreleri ile kullanıma devam edilmesi, cihazlar üzerinde var olan yazılımın (firmware) güncel tutulmaması ve zafiyet barındırmasıydı.Bu saldırının ülke ekonomisine zararı tam 7 milyar doları bulduğu söylenmişti. ABD’de internet bağlantısının %85 ile %90’ının engellediği de söylentiler arasındaydı. Bu saldırı da etkilenen hizmetlerin tamamı aşağıdaki gibidir.

Kaynak olarak gösterdiğim IoT 2020 (#IoT 2020) ‘de yapay zeka’nın yaygın bir şekilde IoT ürünleri üzerinden insanoğluna hizmet vereceğine ve tercihlere göre kendini geliştiren yapay zekaya sahip IoT ürünlerinin popüler olacağından bahsedilmektedir. Günümüzde yapay zekâya sahip IoT ürünleri mevcut; fakat makalede öne çıkarmak istediğim bizim alışkanlık ve tercihlerimizi öğrenerek ve yeniden programlama gerekmeksizin hizmet seviyesini arttıran cihazlar.

Artık İnternet’e bağlı cihaz sayısı bağlanan kişi sayısından daha fazla.  Cihaz sayısının 2020 yılında 75 milyara erişeceği tahmin edilmekte. Geçmişte çeşitlenen ve yaygınlaşan IoT ürünlerinin veri güvenliği ve veri iletme protokolleri ihlal sorunlarına şahit olmuştuk.  Veri sızıntılarının artması ve kişisel veri yasalarının ihlalleri de söz konusu.  Kişiler için tehdit içeren bu konularla ilgili çalışmaların mutlaka olması gerekmektedir.

Zamanla hayatımızın birçok yönüne el atacak IoT ürünleri tarafından yönetileceği kesin.  Endişe yaratan yapay zekâya sahip ve ilk defa vatandaşlık hakları alan Sophie benzeri robotların bizim için arzettiği tehlikeler. Sophie’ye yöneltilen bir soruya  verdiği cevap çok düşündürücüydü – her ne kadar sonunda şaka yaptığını söylese de “İnsanlığı yok edeceğim” demişti.  Aynı şekilde diğer bir robot, Philip, kendisine yöneltilen “dünyayı istila etme” sorusuna “Sen arkadaşımsın ve ben arkadaşlarımı hatırlar, iyi davranırım. İleride bir terminatöre dönüşsem bile sana zarar vermem, seni insan bahçemde tutabilirim” diye cevaplıyor.  Geleceği tahmin etmek kolay olmasa da yapay zekalı robotların karamsar düşüncelere sahip olmaları insanı  endişelendirmiyor değil.

Gelelim IoT ürünlerinin bazıları hakkında yapılan güvenlik araştırmalarına, yaşanmış olaylara, bunların fayda ve zarar ilişkisine.

 

 

Xiomi Mİ Robot Süpürge

Özellikle evde çalışan veya yalnız yaşayan kişiler için büyük bir kolaylık olarak görülen bu ürün mobil cihazınız ile odanın krokisini çıkarıp temizlenmesini istediğiniz yerleri ve temizleme yolunu kendiniz çizip zamanlayıcı yardımı ile temas etmeden temizlik yaptırmanız mümkün. Peki bu ürün başkası tarafından kullanılabilir veya bir zombi olarak DDoS ataklarında kullanılabilir mi?

 

 

Güvenlik araştırmacıları Dennis Giese ve Daniel Wegemer Xiaomi Mi Robot’u hacklemeye çalıştılar.  Bu IoT cihazının diğerlerine göre daha güvenli olduğu tespit ettiler.  Araştırmacılar, Chaos Communication 34 kongresinde  bu işlemi nasıl yaptıklarını açıkladılar.  Öncelikle USB bağlantı noktasından giriş yolu olup olmadığını kontrol ettiler. Sonuç elde edemeyince  cihazı sökerek fiziki bağlantı noktası bulmaya çalıştılar.  Resim 3.’te görüldüğü gibi bir bağlantı noktası bulamadılar.

 

Resim 3. Xiomi Mİ İç Donanımı

İkinci denemede ağ bağlantılarına odaklandılar. Cihazın açık portları olup olmadığını taradılar. Sunucu ile iletişim şifreli olduğundan ağ trafiğini izlenmeyle sonuç elde edemediler. Genelde bu tür müdahale ve işlemler IoT cihazlarının çoktan hacklenmiş olduğunu belirtmekteydi.

 

 

Üçüncü denemede alüminyum folyo yardımı ile işlemciyi anakarta bağlayan küçük bacaklara kısa devre yaparak, işlemcinin doğrudan USB bağlantısına okuma yazma yetkisi veren bir moda geçtiğini farkettiler. Ürünün yazılımını resmi sitesinden temin ederek tersine mühendislik yöntemi ile yazılımı değiştirip süpürgeye yüklediler ve kontrolü ele geçirdiler.

Üçüncü denemedeki sonuca fiziki müdahalesiz erişmek istedikleri için sonrasında Wifi üzerinden hackleme yöntemini geliştirdiler.  Bu süreci  videodan takip edebilirsiniz.  Araştırmacılar iki ayrı metodla cihazı hackleyebildiler; ama sonuçta cihazı hackleme çabası Xiaomi Mi’de olduğu kadar uzun olursa saldırganlar bu uğraşıyı çok görüp pes edebilirler.

Tozpembe gibi gözüken masum IOT ürünleri aslında hayatımızın her alanına müdahale edip bize kolaylıklar sağlarken bir yandan da kişisel verilerimizi ve özel hayatımızı da tehdit etmektedir. Bu gerçeklerden kaçmamız veya uzak durmamız söz konusu olamaz zira 21. Yüzyılın bu zamanlarında siz akıllı bir cihaz kullanmasanız bile çevrenizde kullanan insanlar olduğu sürece bu tehdit devam edecektir. Önemli olan kullanmakta olduğunuz cihazların güncel olmasına veya güvenlik seviyesini yüksek tutmamız bizim için güzel bir başlangıç olabilir. Bu makaleyi okuduktan sonra hala akıllı telefonunuzda bir ekran kilidi (Pin,Faceid,Touchid) kullanmıyorsanız bu maça 1-0 geri de başlamış olursunuz ama maç bitmedi hala bu skoru değiştirmek için zamanınız var. 😊

Makalemi okuduğunuz için teşekkür ederim. Daha detaylı ve teknik terime dayanan konuları açıklığa kavuşturmak için kaynaklara bakabilirsiniz.

Güvenli günler dilerim…

 

Kaynaklar;

En çok üstünde durduğumuz Xiaomi Mi Robot ürününün hacklenme detayları için aşağıdaki videoyu izleyebilirsiniz.

https://www.youtube.com/watch?time_continue=292&v=uhyM-bhzFsIh

2016 yılında yapılan ip kameralar ile ilgili Ddos Saldırısı hakkında daha detaylı yazıya aşağıdaki linkten ulaşabilirsiniz.

https://www.forbes.com/sites/briansolomon/2016/10/21/hacked-cameras-cyber-attack-hacking-ddos-dyn-twitter-netflix/#782efe934fb7

IOT 2020’de Trend olacak Yapay Zeka hakkında daha detaylı bilgiye aşağıdan ulaşabilirsiniz.

https://www.itproportal.com/features/next-big-things-in-iot-predictions-for-2020/

http://www.teknolo.com/internet-things-nesnelerin-interneti-nedir/

No Comments

Post A Comment