IoT ve  “Şeylerin”  Güvenliği

Ender  AkbaşEnder.akbas@bga.com.tr

İçindekiler

• whoami |  whois BGA• IoT nedir?• IoT örnekleri• Nasıl  çalışır?• Günlük  hayata  etkisi• Güvenlik  perspektifi• Sonuç

whoami

◎Senior  penetration  test  specialist  @BGA◎Bug  hunter◎Linuxlover◎Blogger  @blog.enderakbas.com

◎endr_akbas @twitter  ◎ender.akbas@bga.com.tr

whois BGA

◎Eğitim◎Danışmanlık◎Sızma Testi◎SOME◎Sosyal Sorumluluk Projeleri

◎İnternete  bağlı  her  şeydir.

IoT(Internet  Of  Things)  Nedir?

Öncesi..

“anything  that  can  be  connected,  

will  be  connected.”**"Bağlanılabilir her  şey,  bağlanacaktır"  

(Forbes,2015)

Önemli Özellikler

◎Kullanım alanı geniş◎Bulut tabanlı◎Kolay yönetilebilir◎Cihazlar arası iletişim sağlanmış

Hayatımıza ne  kattı?

◎Günlük hayat◎Sağlık◎Taşımacılık

Nasıl Çalışır?

•  MQTT(Message  Queue  Telemetry  Transport):  (D2S).  Tüm cihazlardan alınan verileri toplar ve asıl sunuculara gönderir.  Örneğinpetrol  boru hattı düşünülebilir.  Binlerce sensörden toplanan veri bir yerdeanaliz edilir.  TCP  üzerinde çalışır.  user@domain.com

• XMPP(Extensible  Messaging  and  Presence  Protocol):  (D2S)TCP  üzerinde çalışır.  Evdeki termostatı,   klimayı web  sunucuya bağlayanprotokol budur.  Böylece bizde kolaylıkla mobil cihazımızdan kontroledebiliyoruz.  Ya da  uzak konumlardaki 2  çalışan bu şekilde mesajlaşabilir.

•  DDS(Data  Distribution  Service):  (D2D)Veriyi diğer cihazlara paylaşmak için kullanılan orta katman.  Amaç:  Hangi veri nereye?

•  AMQP(Advanced  Message  Queuing  Protocol  (AMQP):  (S2S)  IoT’a özgü bir protokol.  Verinin kaybolmaması önemli.  TCP  üzerinde çalışır.

http://electronicdesign.com/iot/understanding-­protocols-­behind-­internet-­things

Çalışma Topolojisi

IoT Cihaz  Sayıları  [M]

96 190 3723.5111842 2244 2875

13172

1700 1315 1632

8322

0

5000

10000

15000

20000

25000

30000

2013 2014 2015 2020

Otomativ Son  kullanıcı İş  Dünyası

http://www.gartner.com/newsroom/id/2905717

“Güvenlik

“%  90’ı  bulutta veyacihazda

hassas bilgibarındırıyor

%  60’ı  basit parolalar

ya da  arayüzündezafiyetleresahip

%  80’i  zayıf parolapolitikasınasahip

%  70’i  güvensiziletişimkuruyor

OWASP IoT Top 10

◎I1- Güvensiz Web Arayüzleri◎I2- Hatalı Kimlik Doğrulama/Yetkilendirme◎I3- Güvensiz Ağ Servisleri◎I4- İletişimin Şifresiz İletilmesi◎I5- Hassas Verilerin İfşası◎I6- Güvensiz Bulut Arayüz◎I7- Güvensiz Mobil Arayüz◎I8- Yetersiz Güvenlik Yapılandırmaları◎I9- Güvensiz Yazılımlar◎I10- Yetersiz Fiziksel Güvenlik

Araba  Hackleme Vakası

Kalp Pili

http://www.computerworld.com/article/2981527/cybercrime-­hacking/researchers-­hack-­a-­pacemaker-­kill-­a-­man-­nequin.htmlhttp://www.popsci.com/fda-­issues-­warning-­cyber-­security-­risks-­medical-­devices

Zorluklar

◎Kritik bir fonksiyondalar◎Seri  üretim◎Bir şey olmaz düşüncesi◎Kolay güncellenemez◎Kullanım süreleri çok daha fazla◎Daha spesifik protokol ve servisler◎Geniş kullanım alanı:  kontrolü zor

Olması Beklenen Güvenlik Önlemleri

◎Sadece üretici tarafından imzalanmış firmware  kullanımı◎Güncellemelerinin imzalanması◎Hassas verilerin şifrelenmesi◎Güçlü parola politikaları(minimum   sınırlar)◎Güvenli iletişim protokollerinin kullanımı◎Dahili güvenlik önlemleri (FW,  IDS)

Ref.

Teşekkürler!

Sorularınız?