7 Ağustos 2018 Salı

Nesnelerin İnterneti'nin Güvenliği


Giriş, Teknoloji ve İnternet
“Citius, Altius, Fortius” Latince “Daha hızlı, daha yüksek, daha güçlü” anlamına gelen bu kelimeler, Olimpiyat Oyunlarının sloganıdır. Olimpiyatlar üzerinden bir benzetimde bulunacak olursak bu ilkelere dayalı yarışın sadece spor alanında gerçekleşmediğini söyleyebiliriz. Teknoloji alanındaki gelişmeleri göz önünde bulundurursak tıpkı atletler arasında daha iyiye varmak için bir yarış oluyormuşçasına hayatımızı daha etkili ve etkin kılmaya yarayan ilerlemelere sahne olduğunu görebiliriz.

Belki de içinde bulunduğumuz döneme Bilgi Çağı adını vermemize sebep olan ilerlemelerden biri olan İnternet, ağların belirli protokoller üzerinden birbirine bağlanarak diğer cihazlarla haberleşmesini sağlayan teknoloji, 1960’larda ABD’de Savunma Bakanlığı’nın projesi olarak ilk ortaya çıktığında Dünya üzerindeki nüfusun birkaç katı civarında cihazın bağlantılı olabileceği öngörülebilmiş midir, bilmiyoruz.

Cisco’nun araştırmalarına göre İnternete bağlanan cihaz cihaz sayısı World Wide Web’in (“www”) kullanıma sunulduğu 1991’de 100 milyon, 2003 yılında 500 milyon civarındaydı. Ancak mobil cihazların piyasaya sürülmesinin ardından 2010 yılında ise 12,5 milyara ulaştı. Bu dönemde Dünya nüfusu ise 6,8 milyar insandan oluşmaktaydı. Kısacası, bu araştırmaya göre bağlantılı cihaz sayısının belirtilen dönemde insan nüfusunu geçtiği sonucuna varılabilmektedir. 2020 yılında ise bağlantılı cihaz sayısının 50 milyara ulaşacağı öngörülmektedir.

Nesnelerin İnterneti
Internet of Things (“Nesnelerin İnterneti”) terimi ilk defa 1999 yılında Kevin Ashton tarafından ortaya atıldı. Ashton, bu kavramı fiziksel dünyada birçok yerde bulunan sensörler aracılığıyla sistemlerin İnternet üzerinden bağlantılı olabilmesi durumu için ifade etmiştir. 2000’lerde kullanılan mobil cihaz (dizüstü bilgisayar, akıllı telefon, tablet vb.) sayısındaki artış bu terimin içi dolu, anlamlı hale gelmesini sağladı. Bağlantılı cihaz sayısının ulaştığı seviye ve cihazların kabiliyetleri sebebiyle 2009 yılı Nesnelerin İnterneti teriminin doğduğu yıl olarak kabul görmektedir. Günümüzde Nesnelerin İnterneti çözümleri birçok kişinin hayatını, davranış ve karar alma biçimlerini, sektörlerin ise iş yapış biçimlerini yeniden şekillendirmektedir. Bu çözümler enerji, veri iletim altyapısı ve trafik sistemleriyle akıllı şehirleri, güvenlik, sağlık, iklimlendirme sistemleri vasıtasıyla özel hayatımıza yönelik olabilmektedir. Nesnelerin İnterneti çözümleri yaygın olarak bulunan kablosuz bağlantılar, anlık veri aktarımı üzerinden gerçek zamanlı veri işleme, gömülü sistemlerin ve sensörlerin gelişimi sayesinde evrim geçirerek günümüzdeki halini almıştır.

Nesnelerin İnterneti Üzerine Kaygılar
Gün içinde attığımız adım sayımızı veya gece uyku kalitemizi takip eden bir bileklik, rotamızı optimize etmeye yarayan bir trafik uygulaması ya da çeşitli medyaları izleyebilmek, dinleyebilmek amacıyla kullandığımız akıllı televizyonlar, yani Nesnelerin İnterneti çözümleri etrafımızı çevreleyen her yerdeler, bize kalp atışlarımız kadar yakın konumdalar.

Yarattığı fırsatlar ve kolaylıkların nimetlerinden faydalanıyor olsak da, insanlar Nesnelerin İnterneti’nin oluşturduğu güvenlik ve mahremiyet risklerinden kaygı duymaktadır. İlk Nesnelerin İnterneti çözümleri kameralar kullanılarak halka açık ortamların gözetimini, daha sonra konum tabanlı sistemler sebebiyle dolaylı da olsa gezdiğimiz lokasyonları takip eden ve son olarak evimizin içine kadar giren çözümler aracılığıyla özel hayatımızı dahi izleyebilecek hale gelmiştir. Yaşadığımız zaman diliminde bir diğer teknoloji olan Yapay Zeka’nın da ilerlemesiyle insanların “Biri Bizi Gözetliyor” tarzı bir distopyanın içinde hissedebilmeleri mümkün görünüyor. Kısacası, kaygılar insanların takip edildiği ve gözetlendiği düşüncesine sahip olmalarından, kişisel verilerinin yetkisiz kişiler tarafından amacı dışında kullanılabileceğini düşünmelerinden kaynaklanmaktadır. Bununla birlikte akıllı sistemler ve altyapıların (enerji vb.) bağlantılı olması nedeniyle oluşabilecek kesintilerde hayatımızın orta yerine konumlanmış temel hizmetlere erişememek ve faydalanamamakta bir diğer endişedir.

Uzmanlar, insanların kaygılanmalarına sebep olan bu risklerin Nesnelerin İnterneti’nin gelişim sürecinin yeterli güvenlik standartları ve regülasyonları olmadan yaşanmasına borçlu olduğunu ifade etmektedir. İlke olarak “Secure by Design”, “Privacy by Design” bir ürünün tasarlanması sırasında güvenlik ve mahremiyetin özellik olarak ele alınması gerektiğini anlamına gelir. Birçok Nesnelerin İnterneti çözümünün ortaya çıkış serüvenlerinde bu ilkelerin gözetilmediği yaşanan ihlal olaylarından anlaşılmaktadır.

Nesnelerin İnterneti Zafiyetleri
Nesnelerin İnterneti’ne her geçen gün dâhil olan cihaz sayısının arttığına dayanarak saldırı yüzeyinin de genişlediğini belirtebiliriz. 2014 yılında Nesnelerin İnterneti cihazlarında bulunan en kritik 10 zafiyeti, web uygulamaları güvenliğinde kar amacı gütmeyen bir kuruluş olarak hizmet veren OWASP aşağıdaki şekilde tanımlamıştır.


  • I1 Insecure Web Interface (Güvenli olmayan Web Arayüzü)
    • Kullanıcı arayüzünün kolaylıkla keşfedilebilir olması
    • Ürün kurulumunda kullanılan varsayılan parolaların değiştirilmemesi
    • Arayüzün Cross-Site Scripting ve SQL Injection zafiyetleri barındırması
  • I2 Insufficient Authentication/Authorization (Yetkisiz Kimliklendirme ve Yetkilendirme)
    • Kompleks parola politikasının uygulanmaması
    • Kullanıcı hesap bilgilerinin açık metin olarak aktarılması
    • Zayıf parola resetleme seçeneklerinin bulunması
  • I3 Insecure Network Services (Güvenli olmayan Ağ Servisleri)
    • Cihaz üzerinde ihtiyaç duyulmayan açık portların bulunması
    • Servis dışı bırakma (DoS) saldırılarına açık olması
  • I4 Lack of Transport Encryption (İletimde Şifreleme Eksikliği)
    • Verilerin açık metin olarak aktarılması
    • Kabul görmüş şifreleme ayarlarının kurulu olması
  • I5 Privacy Concerns (Mahremiyet Endişeleri)
    • Gereğinden fazla veri toplanması
    • Kişisel verilerin saklanması ve iletiminde şifrelemenin kullanılmaması
    • Veri saklama politikasının bulunmaması
  • I6 Insecure Cloud Interface (Yetersiz Bulut Arayüzü)
    • Bulut sistemlerin kolay, tahmin edilebilir parolalara sahip olması
    • Bulut sistemlerin arayüzlerinin kolaylıkla keşfedilebilir olması
    • Bulut sistemlerin Cross-Site Scripting ve SQL Injection zafiyetleri barındırması
  • I7 Insecure Mobile Interface (Yetersiz Mobil Arayüzü)
    • Mobil sistemlerin kolay, tahmin edilebilir parolalara sahip olması
    • Mobil sistemlerin arayüzlerinin kolaylıkla keşfedilebilir olması
    • Mobil sistemlerin Cross-Site Scripting ve SQL Injection zafiyetleri barındırması
  • I8 Insufficient Security Configurability (Yetersiz Güvenlik Yapılandırılabilirliği)
    • Yönetici ve kullanıcı yetkilendirmelerinin farklı olarak yapılamaması
    • Güvenlik kontrollerinin sınırlı olarak değiştirilebilirliği
  • I9 Insecure Software/Firmware (Yetersiz Yazılım/Aygıt Yazılımı)
    • Güvenlik açıklıkları bulunduğunda güncellenememesi
    • Gömülü kullanıcı giriş bilgilerinin bulunması
  • I10 Poor Physical Security (Zayıf Fiziksel Güvenlik)
    • Cihazların kurcalamaya karşı savunmasız olması
    • Portlarının (USB vb.) cihaza kurulum arayüzlerine erişebilmek için kullanılabilmesi

Bir Saldırının Anatomisi
İnternet’e açık bir bilgisayarın saldırganlar tarafından ele geçirildikten sonra uzaktan komutlarla çalıştırılabilmesi sebebiyle bunlara zombi bilgisayar denilmektedir. Zombi bilgisayarların çoğunlukla bir saldırgan ağına bağlı olarak koordineli olarak hareket ettirilerek saldırılarda kullanılması söz konusudur. Bilgisayarların bulunduğu bu ağ, botnet olarak adlandırılmaktadır. Günümüze kadar bilinen en büyük Dağıtık Servis Dışı Bırakma (DDoS) saldırısı bir Nesnelerin İnterneti botnet grubu (“Mirai Botnet”) tarafından 21 Ekim 2016 tarihinde gerçekleşmiştir. Bu botnet grubu, 25 binin üzerinde IP kamera içermekteydi. Saldırganlar kameralara, kurulumdan sonra değiştirilmemiş varsayılan giriş bilgilerini kaba kuvvet (“brute force attack”) saldırısıyla istismar ederek ulaşmışlar ve kontrollerini ele geçirmişlerdir. Dyn adındaki DNS Sunucusuna yapılan kötü niyeti on milyonlarca istek sebebiyle sunucu gelen normal kullanıcılara ait taleplere cevap veremez hale gelmiş ve bir süreliğine servis dışı kalmıştır. ABD’de gerçekleşen bu saldırı sonucunda kullanıcılar birçok Internet devi şirketlerin çevrimiçi hizmetlerine erişememiştir.

Sonuç
İnternet’in ortaya çıkışından itibaren insanlığın bağlantılı olma eğilimi yükselen bir hızla günümüze ulaşmıştır ve önümüzdeki dönemde ivmelenerek devam edeceği öngörülmektedir. Giderek artan bir hızla büyüyen ve hayatımızı şekillendiren teknolojilerden Nesnelerin İnterneti yarattığı faydalarla birlikte risklere de sahiptir. Bu durum madalyonun iki yüzü gibi hem olumlu hem de olumsuz durumların doğmasına sebep olabilir. Nesnelerin İnterneti çözümleri, yaşam döngülerini düzenleyen regülasyonların ve standartların olmaması nedeniyle birçok zafiyete barındırmaktadır. Bu açıklıklar kullanılarak hem özel hem de toplumsal hayatlarımızı ilgilendiren saldırılarla karşılaşılmaktadır.  Nazım Hikmet’ten bir alıntıyla bitirecek olursak, büyük şair 24 Eylül 1945’te yazdığı şiirde “En güzel günlerimiz henüz yaşamadıklarımız” diyordu. Nesnelerin İnterneti hayatımıza getirdiği ve getireceği rahatlıkla en güzel günlerimizi vadediyor. Ancak, diğer taraftan bağlantılı sistemler barındırdıkları zafiyetlerle daha önce görmediğimiz kadar kötü, kâbus dolu günlere de gebe olabilir.