iot güvenliği
TRANSCRIPT
İçindekiler
• whoami | whois BGA• IoT nedir?• IoT örnekleri• Nasıl çalışır?• Günlük hayata etkisi• Güvenlik perspektifi• Sonuç
whoami
◎Senior penetration test specialist @BGA◎Bug hunter◎Linuxlover◎Blogger @blog.enderakbas.com
◎endr_akbas @twitter ◎[email protected]
“anything that can be connected,
will be connected.”**"Bağlanılabilir her şey, bağlanacaktır"
(Forbes,2015)
Önemli Özellikler
◎Kullanım alanı geniş◎Bulut tabanlı◎Kolay yönetilebilir◎Cihazlar arası iletişim sağlanmış
Nasıl Çalışır?
• MQTT(Message Queue Telemetry Transport): (D2S). Tüm cihazlardan alınan verileri toplar ve asıl sunuculara gönderir. Örneğinpetrol boru hattı düşünülebilir. Binlerce sensörden toplanan veri bir yerdeanaliz edilir. TCP üzerinde çalışır. [email protected]
• XMPP(Extensible Messaging and Presence Protocol): (D2S)TCP üzerinde çalışır. Evdeki termostatı, klimayı web sunucuya bağlayanprotokol budur. Böylece bizde kolaylıkla mobil cihazımızdan kontroledebiliyoruz. Ya da uzak konumlardaki 2 çalışan bu şekilde mesajlaşabilir.
• DDS(Data Distribution Service): (D2D)Veriyi diğer cihazlara paylaşmak için kullanılan orta katman. Amaç: Hangi veri nereye?
• AMQP(Advanced Message Queuing Protocol (AMQP): (S2S) IoT’a özgü bir protokol. Verinin kaybolmaması önemli. TCP üzerinde çalışır.
http://electronicdesign.com/iot/understanding-protocols-behind-internet-things
IoT Cihaz Sayıları [M]
96 190 3723.5111842 2244 2875
13172
1700 1315 1632
8322
0
5000
10000
15000
20000
25000
30000
2013 2014 2015 2020
Otomativ Son kullanıcı İş Dünyası
http://www.gartner.com/newsroom/id/2905717
“% 90’ı bulutta veyacihazda
hassas bilgibarındırıyor
% 60’ı basit parolalar
ya da arayüzündezafiyetleresahip
% 80’i zayıf parolapolitikasınasahip
% 70’i güvensiziletişimkuruyor
OWASP IoT Top 10
◎I1- Güvensiz Web Arayüzleri◎I2- Hatalı Kimlik Doğrulama/Yetkilendirme◎I3- Güvensiz Ağ Servisleri◎I4- İletişimin Şifresiz İletilmesi◎I5- Hassas Verilerin İfşası◎I6- Güvensiz Bulut Arayüz◎I7- Güvensiz Mobil Arayüz◎I8- Yetersiz Güvenlik Yapılandırmaları◎I9- Güvensiz Yazılımlar◎I10- Yetersiz Fiziksel Güvenlik
Kalp Pili
http://www.computerworld.com/article/2981527/cybercrime-hacking/researchers-hack-a-pacemaker-kill-a-man-nequin.htmlhttp://www.popsci.com/fda-issues-warning-cyber-security-risks-medical-devices
Zorluklar
◎Kritik bir fonksiyondalar◎Seri üretim◎Bir şey olmaz düşüncesi◎Kolay güncellenemez◎Kullanım süreleri çok daha fazla◎Daha spesifik protokol ve servisler◎Geniş kullanım alanı: kontrolü zor
Olması Beklenen Güvenlik Önlemleri
◎Sadece üretici tarafından imzalanmış firmware kullanımı◎Güncellemelerinin imzalanması◎Hassas verilerin şifrelenmesi◎Güçlü parola politikaları(minimum sınırlar)◎Güvenli iletişim protokollerinin kullanımı◎Dahili güvenlik önlemleri (FW, IDS)