Akıllı cihazlarınız ne kadar akıllı? IoT güvenliği hakkında bilmeniz gerekenler

Akıllı dünya, siber tehditlerle dolu! Akıllı cihazlarınız ne kadar korunaklı? Nesnelerin İnterneti (IoT) güvenliği ile siber tehditlere karşı koyun, akıllı cihazlarınızın keyfini güvenle sürün.

Abone ol

İngilizce kısaltması IoT (Internet of Things) olan "Nesnelerin İnterneti" terimi, günlük hayatta kullanılan internete bağlı nesnelerin gene internet sayesinde diğer nesneler ile veri alışverişi yapabilmesini ve nesnelerin birbiriyle tam olarak senkronizasyon halinde olmalarını sağlayan bir teknolojidir. Bu teknoloji, ortamlardan çeşitli verileri toplamayı, göndermeyi ve üzerinde işlem yapmayı sağlayan web özellikli akıllı cihazlardan oluşur. Nesnelerin İnterneti cihazları, toplanan verileri bir ağ geçidi ile aktarır, verilerin analiz edilebileceği bir bulut (cloud) sistemine veya farklı bir uç cihaza bağlayarak paylaşır. Bu cihazlar, işlerini insan müdahalesi olmadan, akıllı bir şekilde diğer ilgili cihazlar ile iletişim kurarak birbirlerinden aldıkları bilgiler doğrultusunda gerçekleştirir.

Nesnelerin İnterneti Ekosistemi 

IoT, günümüzde hızla gelişen ve hayatımızın birçok alanında yer bulan bir teknoloji haline gelmiştir. Akıllı termostatlar, giyilebilir sağlık izleme cihazları, ev güvenlik kameraları, evlerde kullanılan modemler, akıllı buzdolapları, akıllı arabalar, endüstriyel ve tarımda kullanılan sensörler gibi cihazlar IoT ekosisteminin önemli parçalarıdır. Ancak bu teknolojinin yaygınlaşmasıyla birlikte güvenlik riskleri de artmaktadır. İnterneti kullanan bu kadar fazla cihazın olması aynı zamanda kötü niyetli kişilerin de iştahını artırmaktadır.

TEHDİTLERİ VE ALINABİLECEK ÖNLEMLERİ KEŞFETMEYE HAZIR MISINIZ?

Bugün dünyada kullanılan 20 milyardan fazla bağlantılı IoT cihazı bulunuyor ve uzmanlar bu sayının 2025 yılına kadar 22 milyara ulaşmasını bekliyor [1]. Yani bugün neredeyse Dünyada her bir kişiye üç adet IoT cihazı düşüyor. İşte bu kadar büyük bir eko sistemden bahsediyoruz.

Küresel IoT Pazarı Büyüklük Tahmini, Mayıs 2023

PEKİ NEDİR BU GÜVENLİK MESELESİ?

Kullandığımız IoT cihazları yapıları gereği bazı kişisel bilgileri kaydeder ve bunları depolayabilir. Örnek olarak evimizde bir güvenlik kamerası var diyelim. Bu kamera muhtemelen bir internet ağına bağlıdır ve kaydettiği görüntüleri bir şekilde saklamak zorundadır. Genellikle bu görüntüler sizin hiç bilmediğiniz bir yerdeki bulut tabanlı sunucularda saklanabilmektedir. Kötü niyetli kişiler güvenlik olarak iyi yapılandırılmamış bu kameranın kontrolünü ele geçirebilir ve tüm kayıtları istediği gibi kullanır. Ayrıca bu cihazı açıp kapayabilir ve hatta yönünü değiştirip farklı noktaların kaydını dahi alabilir. Bu durum maalesef verilerin korunmamasına, kişisel bilgilerin çalınmasına veya gizli bilgilerin ifşa olmasına yol açabilir.

Bir başka örnek olarak gelecekte çokça kullanılacağı varsayılan kendiliğinden giden akıllı arabalardaki risk verilebilir. Bununla ilgili olan örnek bir siber saldırı ilk olarak Temmuz 2015'te IBM'den bir ekip tarafından simüle edilmiştir [2]. IBM ekibi Jeep marka bir arazi aracının yerleşik yazılımına gizlice erişebildi ve cihaz yazılımı güncelleme mekanizmasındaki bir güvenlik açığından yararlandı. Bu sayede aracın kontrolünü tamamen ele geçirdiler ve aracı hızlandırıp yavaşlatmayı, ayrıca direksiyonu çevirerek aracın yoldan çıkmasını sağlamayı başardılar.

Bu iki örnekteki ortak nokta kullanıcıların bilgileri dışında kötü niyetli kişilerin birtakım sofistike metotlar kullanarak IoT cihaz yönetimlerini ele geçirmesi veya bu cihazları kötü niyetli bir şekilde kullanabilecekleridir.

NASIL BU KADAR GÜVENSİZ BİR ORTAMDAYIZ?

Günümüz dünyasında şirketler daha fazla kâr elde edebilmek için bazı güvenlik önlemlerini ikinci plana atabilmektedir. Ayrıca rekabetin çok fazla yüksek olduğu pazarda tutunmak için maliyetlerin kısılması ve azaltılması da kaçınılmazdır. Bu iki noktadan hareketle IoT cihaz üreticileri bazen siber güvenlik alanında gerekli yatırımları yapmakta gönülsüz olabilirler. Bunun yanı sıra bu kadar hızla büyüyen internet dünyasında kullanıcı kaynaklı güvenlik açıklarının varlığı da yadsınamaz.

NASIL DAHA GÜVENLİ OLURUZ?

IoT güvenliği konusunda dünya çapında bazı çalışma projeleri mevcuttur. Bu amaçla kurulan OWASP Nesnelerin İnterneti Projesi, üreticilere, geliştiricilere ve tüketicilere IoT ile ilgili güvenlik sorunlarını daha iyi anlama konusunda rehberlik etmek amacıyla çalışıyor. Ayrıca bu proje, üreticilerin IoT teknolojilerini geliştirirken, dağıtırken veya değerlendirirken daha bilinçli ve güvenli kararlar almasını sağlamayı da hedefliyor.

OWASP’in 2018 yılında hazırlamış olduğu İlk 10 IoT Güvenlik Zafiyetleri [3] listesindeki en önemlilerine bir göz atmak gerekirse, ilk sırada Zayıf, Tahmin Edilebilir veya Sabit Kodlanmış Şifreler gelmektedir. Maalesef, en yaygın güvenlik açıklarından biri, üreticinin IoT cihazlar üzerinde varsayılan şifreleri kullanmasıdır. Bunlar çoğu zaman kullanıcılar tarafından değiştirilmediğinden, cihazların yönetimleri kötü niyetli kişiler tarafından kolaylıkla ele geçirilebilmektedir. Örneğin, bu durum Mirai Botnet'i [4] tarafından 2016’da istismar edilmiş ve tüm dünyada büyük ses getirmiştir. İşin ilginç boyutu, bu zafiyet her ne kadar kötü niyetli kişiler tarafından en çok sömürülen bir zafiyet olsa da aynı zamanda giderilmesi en kolay zafiyettir. Çözümü oldukça basittir, her zaman güçlü, kompleks şifreler kullanılması ve cihazla gelen ilk şifrelerin mutlaka değiştirilmesidir. Ek olarak gene bu şifreler belli periyotlarla mutlaka değiştirilmelidir; kolay tahmin edilebilen ve varsayılan şifreler asla kullanılmamalıdır.

Bir diğer IoT cihaz güvenlik zafiyeti olarak Güvenli Güncelleme Mekanizmasının Eksikliği’nden bahsedilebilir. Güvenli bir güncelleme mekanizmasının uygulanması genellikle üretici için daha fazla çaba ve maliyet anlamına geliyor ve çoğu üretici bunun maliyetine katlanmak istemiyor. Buradaki yüksek maliyetin nedeni, IoT cihaza açık anahtar altyapısının (PKI) uygulanması ve tüm güncellemelerin bu anahtar altyapı ile imzalanmasıdır. Ek olarak üreticiler için IoT cihazlarının uygulamalarının otomatik güncellemesi de maliyetlidir. Buradaki zafiyeti düşürebilmek için IoT cihazın kullanıcıları belli periyotlarla mutlaka manuel olarak güncellemelerini yapmalıdır. Özetle, IoT cihazlarının yazılımları ve firmware'leri düzenli olarak güncellenmeli ve güvenlik yamaları uygulanmalıdır. Bu, bilinen güvenlik açıklarının kapatılmasını sağlar.

Son olarak bizim için en önemli zafiyetlerden belki de en önemlisi Güvenli Olmayan Veri Aktarımı ve Depolama’dır. Pek çok IoT cihazı, varsayılan olarak http gibi şifrelenmemiş bağlantılar aracılığıyla iletişim kurar. Bu, bir saldırganın bu tarz kişisel verileri -kamera, ses kaydı gibi- ele geçirmesine ve manipüle etmesine olanak tanır. Buradaki bir diğer risk ise kullanıcıların verilerinin kaydolduğu bulut ortamının güvenlik zafiyetleridir. Yani bizim evdeki kameramızın görüntü ve ses kayıtları biz hiç farkında olmadan başka bir yerde kayıt altına alınabiliyor olabilir. Burada yapılması gereken IoT cihazının kayıt ayarlarını incelemek ve bu tarz kayıtlara izin vermemek olabilir. Veya bu şekilde kayıt yapan cihazlara şüphe ile yaklaşmak doğru olacaktır.

SONUÇ OLARAK

Nesnelerin İnterneti teknolojisi, günlük yaşamımızı kolaylaştıran ve birçok alanda verimliliği artıran bir yenilik olarak karşımıza çıkıyor. Ancak bu teknolojinin yaygınlaşmasıyla birlikte, güvenlik riskleri de artış gösteriyor. Cihaz güvenliği, ağ güvenliği ve veri güvenliği gibi kritik alanlarda gerekli önlemler alınmadığında ciddi sorunlar ortaya çıkabilir. Güçlü şifreleme, düzenli güncellemeler gibi hem son kullanıcılar hem de üreticiler tarafından alınabilecek önlemler, IoT cihazlarının güvenli bir şekilde kullanılmasını sağlar.

Hayatımızda bundan sonrası için mutlaka önemli bir yere sahip olacak bu cihazların güvenliği hem kullanıcılar hem de üreticiler için öncelikli bir konu olmalıdır. IoT teknolojilerinin güvenli bir şekilde gelişmesi ve kullanılması için, bu alanda sürekli olarak araştırmalar yapılmalı ve güvenlik protokolleri güncellenmelidir. Üreticilerin, kullanıcıların ve düzenleyici kurumların iş birliği yaparak IoT ekosistemini daha güvenli hale getirmek için çalışmalar yapması bu noktada kritiktir. Ancak bu şekilde hem bireylerin hem de işletmelerin bu teknolojiden güvenle yararlanması sağlanabilir.

Unutulmamalıdır ki siber güvenlik meselesinde kötü niyetli saldırganlar her zaman işin savunma tarafında olanlardan bir adım önde olma eğilimindedir. Bireyler olarak yapmamız gereken, bu riskleri en aza indirmeye çalışmak ve cihaz üreticilerini daha güvenli ürünler üretmeleri yönünde baskılamaktır.

Sonuç olarak IoT güvenliği, hızla dijitalleşen dünyamızda vazgeçilmez bir öneme sahiptir. Bu konuda farkındalığın artırılması ve gerekli tedbirlerin alınması, gelecekte daha güvenli bir IoT ekosistemi yaratmak için atılacak en önemli adımlardan biridir. Üreticilerin ve kullanıcıların birlikte hareket ederek güvenlik standartlarını yükseltmesi, IoT ekosisteminin sağlıklı bir şekilde büyümesini sağlayacaktır. Bu sayede, IoT teknolojisinin sunduğu tüm avantajlardan güvenle yararlanmak mümkün olacaktır.

* Araştırma görevlisi/ Teksas Üniversitesi, San Antonio, Bilgi Teknolojileri ve Siber Güvenlik Bölümü 

KAYNAKÇA

  1. IoT connections market update - May 2023, https://iot-analytics.com/number-connected-iot-devices/ (8.6.2024)
  2. 5 Infamous IoT Hacks and Vulnerabilities, https://www.iotsworldcongress.com/5-infamous-iot-hacks-and-vulnerabilities/ (10.6.2024)
  3. OWASP Internet of Things (IoT) Project, https://wiki.owasp.org/index.php/OWASP_Internet_of_Things_Project (10.6.2024).
  4. The Mirai Botnet – Threats and Mitigations, https://www.cisecurity.org/insights/blog/the-mirai-botnet-threats-and-mitigations (11.6.2024)
  5. Nesnelerin Interneti, https://tr.wikipedia.org/wiki/Nesnelerin_interneti (5.6.2024)