IoT cihazları internete bağlanabilen ve iletişim kurabilen nesnelere yonlendirilebilirler.

Bu şeyler bugunlerde her yerde bulunur. Wi-Fi routers, akıllı televizyonlar, akıllı kilitler ve cevrimici erişimli buzdolapları cevremizdeki IoT cihazlarına birer ornektir.



IoT Guvenlik Sorunları

Nesnelerin interneti 2016’da elden cıkmaya başladı. Gunumuzde en guclu DDoS saldırılarından birini yapmak icin unlu Mirai Botnet kullanıldı. Bu siber saldırı, saniyede 1 terabaytlık bir bant genişliği uretti ve Airbnb ve Reddit gibi populer hizmetlerin yanı sıra geniş bir DNS ve e-posta sağlayıcısı olan “ Dyn”de de kullanıldı. Bu olay goze battı cunku IoT cihazları ilk defa kotu niyetli amaclar icin kullanılmıştı.



Kullanım Kolaylığı ve Guvenliği Arasındaki Taviz:

Hizmet pazarlama sınıfına gore tuketici elektroniği endustrisinin ic ozellikleri basittir ve kullanıcı deneyimlerine odaklanmaktadır. Ureticilerin bu ilkelere bağlı kalması potansiyel muşterilerini karmaşık kontroller ve urunlerinin bakımı ile soğutmak istemedikleri icin kolay anlaşılan bir durumdur.

Bu strateji bir de madalyonun diğer yuzune sahip. Satıcılar sağlam bir guvenlik mimarisi inşa etmekte başarısız oldukları icin cihazlarını guvenliği tehdit eden kişilere efor harcamadan ulaşabilecekleri, kolay ulaşılabilir birer nesne haline donuşturduler. Bu durum kullanım kolaylığı ve guvenlik arasındaki tartışmalı bir taviz.



IoT’deki Guvenlik Boşlukları:

→Zayıf Duzeydeki Kullanıcı Bilgileri:

Son derece basit kullanıcı arayuzleri peşinde olan ureticiler muşterilerinin varsayılan olarak gelen parolalarını değiştirmek icin kullanmaları gereken “Parolanı değiştir” ayarını muşterilerinin gozlerinden ırak tutabilirler. Bu sebep neden bircok kullanıcının varsayılan olarak gelen kullanıcı bilgilerini kullandıklarını acıklar niteliktedir. Muhtemelen her bir IoT cihazı guclu, tahmin edilmesi zor parolalara sahip olsaydı yukarıda bahsedilen Mirai olayı meydana gelmezdi.

→Vasıfsız Firmware Guncellemeleri:

Bazı IoT yazarları cihazlarının yazılımı icin guncellemeleri ya da guvenlik yamalarını bile yayınlamaz. Velhasılıkelam eğer bir guvenlik acığı varsa ve uretici firma bu acık icin bir yama yayınlamıyorsa kotu niyetli kişiler tarafından gelebilecek saldırıları onlemek icin yapabileceğiniz pek bir şey yoktur.

→Kriptografi Eksikliği:

C2(Command & Control) sunucuları ile aktardıkları verileri korumak icin şifreleme kullanmayan cok sayıda IoT aygıtı vardır. Bu durum kullanıcının tanımladığı kişisel bilgilerinin calınmasına yol acabilir. Bazen kullanıcının erişim bilgileri kullandığı cihazdan kontrol sunucusuna plaintext yani acık metin şeklinde şifrelenmeden yollanır. Bu durumda MITM attack yani “Ortadaki Adam Saldırısı” kullanıcı icin kotu sonuclar doğuracaktır.

→Haddinden Fazla Verilen İzinler:

Bazı IoT cihazları kullanıcıdan normalde ihtiyac duyduklarından daha fazla yetki isterler. Orneğin, kullanıcıdan bağımsız olarak alışveriş yapmalarına izin vermek kredi kartınızın bakiyesini azaltabilir. Sonuc olarak bir IoT cihazının sahip olduğu daha fazla izin daha fazla guvenlik acığı doğurur.

→Gizliliğin İhlali Riskleri:

IoT cihazları kullanıcı hakkında cok fazla bilgi depolar. Kotu niyetli bir kişi akıllı cihazlarınızdan birini ele gecirirse kaydettiği kişisel verilerinize erişebilir. İnternete bağlanan bir cihaz almadan once uzerinde sizin hakkınızda ne kadar bilgi tuttuğunu kontrol edin, konum bilgilerinizi kaydeden akıllı kahve makineleri gibi cihazları kullanmaktan kacının.

IoT Saldırı Vektorleri:




Guvenlik Acıklarından Yararlanma:

Bu acıkları herhangi bir yazılımda bulunabilirler ve hatta buyuk kaynaklara sahip uluslararası şirketler bile kusursuz bir kod uretmezler. Saldırganlar saldırılarını dağıtmak icin bu yazılım acıklarını kullanabilirler. Bunun icin kullanılan en yaygın yontemler şunlardır:

→Code Injection: Bu yontem kendi kendini ismiyle acıklar niteliktedir. Saldırganlar cihazı ele gecirmek amacıyla kullanacağı kodları enjekte etmek ve cihazı ele gecirmek icin donanımın yazılımındaki bir guvenlik acığından faydalanır.

→Buffer Overflow: Bir akıllı cihaz, gereksiz verileri gecici depolama alanında depolamaya calıştığında, bu gereksiz veri diğer bellek alanı bolumlerini doldurabilir ve bunların uzerine yazabilir. Bu verinin bir zararlı yazılım icermesi durumunda, tum urun yazılımını etkileyebilir.

→XSS Acıkları: Bu teknik, bir cihaz web tabanlı bir arayuzle iletişim kurduğunda uygulanabilir. Soz konusu web sayfasına gomulu kotu amaclı bir kod varsa, bağlı cihaza da buyuk ihtimalle bu zararlı kodun etkilerini yansıtacaktır.

Malware(Kullanılamaz Hale Getirmek):

IoT cihazlara yonelik saldırılar kullanıcı bilgilerine erişmekle sınırlı değildir fakat buna rağmen en yaygın olarak kullanılan saldırılar bunlardır. Cybercrooks ile buyuyen bir trend olarak akıllı cihazları “Ransomware” gibi zararlı yazılımlarla ciddi ve yaygın bir probleme maruz bırakmak Malware saldırılarına ornektir.

Bu cihazların bircoğu Android uzerinde calıştığından Android icin yazılan kotu amaclı yazılımlar da bu cihazlar uzerinde calışacaktır. Bu durum kotu niyetli kişiler icin işi basitleştirecektir. Bu kotu amaclı yazılım turuyle en cok hedeflenen IoT cihazları, kullanıcılar yanlışlıkla zararlı bağlantılara ya da kullanıcı icin hazırlanan tuzakları (genellikle cinsel icerikler) barındıran uygulamaları indirdikleri icin akıllı televizyonlardır.

Spoofing:

Saldırganlar kendi cihazlarını bir kurban tarafından kullanılan başka bir cihaz olarak kamufle etmeye calışabilirler eğer sonrasında saldırgan kablosuz ağa erişim sağlayabilirse erişim kapsamını kullanmak icin router’ı da kopyalamaya (duplicate) calışacaktır. Bu hile işe yararsa sahte cihaz ağa virus bulaştıracak şekilde kullanılabilir.

Parola Saldırıları:

Bu saldırı yontemi kaba kuvvet ve sozluk saldırıları (Brute force & dictionary attacks) olarak bolunebilir. Her ikisinin de fikri, bircok kullanıcı adı ve şifre kombinasyonunu otomatik olarak girerek hedef cihazın oturum acma bilgilerini denemek ve tahmin etmektir. Ne yazık ki, birkac kişi guclu parolalar kullanır, bu yuzden bu saldırılar oldukca etkilidir.

İdeal olarak, urun yazılımı başarısız giriş denemesi sayısını kısıtlamalıdır. Tum ureticilerin cihazlarını bu kritik ozellikle donatmaması kotu bir durum maalesef. Buna ek olarak son kullanıcıların varsayılan parola ve kullanıcı adlarını kullanmamaları hem onların faydalarına olacaktır hem de gereklidir.





Botnet:

IoT aygılarından daha iyi potansiyele sahip birer botnet aygıtı duşunmek oldukca zor. Kotu niyetli kişiler bu cihazlara erişimin kolay olduklarını bilmekteler ve cihazlarının kullanıcılarının hacklendiklerini bilmelerinin pek bir yolu da bulunmamakta. Bu yuzden botnet ağında kullanmak icin IoT cihazları cok etkili birer kurban. Akıllı cihazlarınız eğer bir botnet ağına katılırsa cihazınız Bitcoin Madenciliği, DDoS saldırıları, spamleme ve haberiniz olmadan belli site veya sitelere erişim sağlanması icin kullanılabilir.

Remote Access:

Birisi IoT cihazlarınızdan birine uzaktan erişirse korkunc bir şey olmayacak gibi gorunebilir sadece kendince eğlenecek ve bana zarar vermeyecek diye duşunebilirsiniz fakat akıllı otomobilinizi bir otoyolda surerken, otomobiliniz bir saldırganın kontrolunun altına girerse, işler sizin icin tehditkar bir durum alabilir. Buna ek olarak evlerinizde kullandığınız akıllı kilitlerin ele gecirildiğini bir hayal edin. Bu durumda hırsızlar kapıyı kolayca acabilirler ve iceri girip ebi soyup soğana cevirebilirler.

IoT Cihazlarınızın Guvenliğini İyileştirmek İcin 10 Yol:

1) Asla varsayılan erişim bilgilerini kullanmayın.

Kurulumunu yaptıktan sonra cihazınızın varsayılan parola ve kullanıcı adını değiştirdiğinize emin olun. Guclu parolalar oluşturmaya ozen gosterin ve farklı cihazlar icin aynı parolaları kullanmayın.

2) Firmware guncellemelerinizi uygulayın.

Yayınlandığı anda IoT cihazlarınız icin gerekli olan guncellemelerinizi yapın. Bu şekilde yeni guvenlik acıklarına cihazınızda onlem alındığından emin olursunuz. Maalesef, bazı satıcılar guncellemeleri sık sık yayınlamıyor veya hic yayınlamıyor. Dolayısıyla, bir IoT urununu secerken ureticinin guncelleme politikasını kontrol edin. Ureticilerin bu sorunu ciddiye almadığı cihazlardan satın almayın.

3) İki faktorlu kimlik doğrulamasını (2FA) kullanın.

Eğer cihazınız 2FA kullanıyorsa bu ozelliğini kapatmayın. Bu ozellik cihazınıza saldırganlara karşı fazladan bir guvenlik katmanı ekleyecektir.

4) Arayuze olan fiziksel erişimi kısıtlayın.

Kişisel bilgisayarlarda olduğu gibi, bazı akıllı aygıtlar da USB bellekler gibi şeylerle kotu amaclı kod bulaşabilir. Bu sebeple cihazlarınızı boyle manipulasyonlara maruz kalmayacakları yerlerde konumlandırın.

5) Şifreleme kullanın.

C2 sunucusu ile iletişim sağlarken cihazınızın aktardığı verilerin şifrelenmesini sağlayın. Genelde cihazlar iletişimi acık metin(plaintext) olarak sağlar fakat cihazınızın bu ozelliği var ise aktif olarak kullanmaya ozen gosterin.

6) Akıllı cihazınızın ağını izole edin.

Mumkunse, IoT cihazlarınızın iletişimini, İnternet’e bağlı olmayan ayrı bir ağ icinde birbirleriyle etkileşime girecek şekilde kısıtlayın. Bunu yapmak, zararlı kod bulaşması olasılığını en aza indirir.

7) Guvenli Wi-Fi uygulamalarını izleyin.

Kablosuz ağ yonlendiriciniz saldırganlar icin en cok aranan hedeflerden biridir bu yuzden uygulanması gereken ilk kurallardan birisi bunun guvenliğini sağlamaktır. Wi-Fi router’ınız icin guclu bir parola kullanın, varsayılan kullanıcı adınızı değiştirin ve guvenlik duvarınızı kablosuz ağınızı korumak icin yapılandırın. Son olarak da misafir ağı erişimi ozelliğini devre dışı bırakın.

8) Cihazlarınızı kullanmadığınız zamanlarda internet bağlantısını sonlandırın.

Bazı IoT cihazlarınızın her zaman internete cıkması gerekmemektedir. Cihazlarınızı kullanmadığınız zamanlarda dunya ile iletişimini keserek onların saldırılara karşı kapalı olmasını sağlayabilirsiniz.

9) Teknik ayrıntıları okuyun.

Kullanım kılavuzları yalnızca cihaz kurulum ve bakım talimatları sağlamakla kalmaz, aynı zamanda guvenlik geliştirme ipuclarını da icerebilir. Bu nedenle, guvenlikle ilgili bilgiler icin kılavuzu inceleyin ve sundukları ozel tavsiyeleri uygulamayı duşunun.

10) Antimalware uygulamaları kullanın.

Eğer internete bağlı olan cihazınız akıllı televizyonlar gibi 3. parti yazılımları calıştırabiliyorsa uzerine bir guvenlik uygulaması kurun.

Kaynak: https://medium.com/three-arrows-security

ALINTIDIR.
__________________