Giriş,
Teknoloji ve İnternet
“Citius,
Altius, Fortius” Latince “Daha
hızlı, daha yüksek, daha güçlü” anlamına gelen bu kelimeler, Olimpiyat
Oyunlarının sloganıdır. Olimpiyatlar üzerinden bir benzetimde bulunacak olursak
bu ilkelere dayalı yarışın sadece spor alanında gerçekleşmediğini söyleyebiliriz.
Teknoloji alanındaki gelişmeleri göz önünde bulundurursak tıpkı atletler
arasında daha iyiye varmak için bir yarış oluyormuşçasına hayatımızı daha etkili
ve etkin kılmaya yarayan ilerlemelere sahne olduğunu görebiliriz.
Belki de içinde bulunduğumuz döneme
Bilgi Çağı adını vermemize sebep olan ilerlemelerden biri olan İnternet, ağların
belirli protokoller üzerinden birbirine bağlanarak diğer cihazlarla
haberleşmesini sağlayan teknoloji, 1960’larda ABD’de Savunma Bakanlığı’nın
projesi olarak ilk ortaya çıktığında Dünya üzerindeki nüfusun birkaç katı
civarında cihazın bağlantılı olabileceği öngörülebilmiş midir, bilmiyoruz.
Cisco’nun araştırmalarına göre İnternete
bağlanan cihaz cihaz sayısı World Wide Web’in (“www”) kullanıma sunulduğu
1991’de 100 milyon, 2003 yılında 500 milyon civarındaydı. Ancak mobil
cihazların piyasaya sürülmesinin ardından 2010 yılında ise 12,5 milyara ulaştı.
Bu dönemde Dünya nüfusu ise 6,8 milyar insandan oluşmaktaydı. Kısacası, bu
araştırmaya göre bağlantılı cihaz sayısının belirtilen dönemde insan nüfusunu geçtiği
sonucuna varılabilmektedir. 2020 yılında ise bağlantılı cihaz sayısının 50
milyara ulaşacağı öngörülmektedir.
Nesnelerin
İnterneti
Internet of Things (“Nesnelerin İnterneti”)
terimi ilk defa 1999 yılında Kevin Ashton tarafından ortaya atıldı. Ashton, bu kavramı
fiziksel dünyada birçok yerde bulunan sensörler aracılığıyla sistemlerin İnternet
üzerinden bağlantılı olabilmesi durumu için ifade etmiştir. 2000’lerde
kullanılan mobil cihaz (dizüstü bilgisayar, akıllı telefon, tablet vb.)
sayısındaki artış bu terimin içi dolu, anlamlı hale gelmesini sağladı.
Bağlantılı cihaz sayısının ulaştığı seviye ve cihazların kabiliyetleri sebebiyle
2009 yılı Nesnelerin İnterneti teriminin doğduğu yıl olarak kabul görmektedir. Günümüzde
Nesnelerin İnterneti çözümleri birçok kişinin hayatını, davranış ve karar alma biçimlerini,
sektörlerin ise iş yapış biçimlerini yeniden şekillendirmektedir. Bu çözümler enerji,
veri iletim altyapısı ve trafik sistemleriyle akıllı şehirleri, güvenlik,
sağlık, iklimlendirme sistemleri vasıtasıyla özel hayatımıza yönelik
olabilmektedir. Nesnelerin İnterneti çözümleri yaygın olarak bulunan kablosuz
bağlantılar, anlık veri aktarımı üzerinden gerçek zamanlı veri işleme, gömülü
sistemlerin ve sensörlerin gelişimi sayesinde evrim geçirerek günümüzdeki
halini almıştır.
Nesnelerin
İnterneti Üzerine Kaygılar
Gün içinde attığımız adım sayımızı
veya gece uyku kalitemizi takip eden bir bileklik, rotamızı optimize etmeye
yarayan bir trafik uygulaması ya da çeşitli medyaları izleyebilmek,
dinleyebilmek amacıyla kullandığımız akıllı televizyonlar, yani Nesnelerin İnterneti
çözümleri etrafımızı çevreleyen her yerdeler, bize kalp atışlarımız kadar yakın
konumdalar.
Yarattığı fırsatlar ve kolaylıkların
nimetlerinden faydalanıyor olsak da, insanlar Nesnelerin İnterneti’nin
oluşturduğu güvenlik ve mahremiyet risklerinden kaygı duymaktadır. İlk
Nesnelerin İnterneti çözümleri kameralar kullanılarak halka açık ortamların gözetimini,
daha sonra konum tabanlı sistemler sebebiyle dolaylı da olsa gezdiğimiz
lokasyonları takip eden ve son olarak evimizin içine kadar giren çözümler
aracılığıyla özel hayatımızı dahi izleyebilecek hale gelmiştir. Yaşadığımız zaman
diliminde bir diğer teknoloji olan Yapay Zeka’nın da ilerlemesiyle insanların
“Biri Bizi Gözetliyor” tarzı bir distopyanın içinde hissedebilmeleri mümkün
görünüyor. Kısacası, kaygılar insanların takip edildiği ve gözetlendiği
düşüncesine sahip olmalarından, kişisel verilerinin yetkisiz kişiler tarafından
amacı dışında kullanılabileceğini düşünmelerinden kaynaklanmaktadır. Bununla
birlikte akıllı sistemler ve altyapıların (enerji vb.) bağlantılı olması
nedeniyle oluşabilecek kesintilerde hayatımızın orta yerine konumlanmış temel hizmetlere
erişememek ve faydalanamamakta bir diğer endişedir.
Uzmanlar, insanların kaygılanmalarına
sebep olan bu risklerin Nesnelerin İnterneti’nin gelişim sürecinin yeterli
güvenlik standartları ve regülasyonları olmadan yaşanmasına borçlu olduğunu
ifade etmektedir. İlke olarak “Secure by
Design”, “Privacy by Design” bir ürünün tasarlanması sırasında güvenlik ve
mahremiyetin özellik olarak ele alınması gerektiğini anlamına gelir. Birçok
Nesnelerin İnterneti çözümünün ortaya çıkış serüvenlerinde bu ilkelerin
gözetilmediği yaşanan ihlal olaylarından anlaşılmaktadır.
Nesnelerin
İnterneti Zafiyetleri
Nesnelerin
İnterneti’ne her geçen gün dâhil olan cihaz sayısının arttığına dayanarak
saldırı yüzeyinin de genişlediğini belirtebiliriz. 2014 yılında Nesnelerin İnterneti
cihazlarında bulunan en kritik 10 zafiyeti, web uygulamaları güvenliğinde kar
amacı gütmeyen bir kuruluş olarak hizmet veren OWASP aşağıdaki şekilde
tanımlamıştır.
- I1 Insecure Web Interface (Güvenli olmayan Web Arayüzü)
- Kullanıcı arayüzünün kolaylıkla keşfedilebilir olması
- Ürün kurulumunda kullanılan varsayılan parolaların değiştirilmemesi
- Arayüzün Cross-Site Scripting ve SQL Injection zafiyetleri barındırması
- I2 Insufficient Authentication/Authorization (Yetkisiz Kimliklendirme ve Yetkilendirme)
- Kompleks parola politikasının uygulanmaması
- Kullanıcı hesap bilgilerinin açık metin olarak aktarılması
- Zayıf parola resetleme seçeneklerinin bulunması
- I3 Insecure Network Services (Güvenli olmayan Ağ Servisleri)
- Cihaz üzerinde ihtiyaç duyulmayan açık portların bulunması
- Servis dışı bırakma (DoS) saldırılarına açık olması
- I4 Lack of Transport Encryption (İletimde Şifreleme Eksikliği)
- Verilerin açık metin olarak aktarılması
- Kabul görmüş şifreleme ayarlarının kurulu olması
- I5 Privacy Concerns (Mahremiyet Endişeleri)
- Gereğinden fazla veri toplanması
- Kişisel verilerin saklanması ve iletiminde şifrelemenin kullanılmaması
- Veri saklama politikasının bulunmaması
- I6 Insecure Cloud Interface (Yetersiz Bulut Arayüzü)
- Bulut sistemlerin kolay, tahmin edilebilir parolalara sahip olması
- Bulut sistemlerin arayüzlerinin kolaylıkla keşfedilebilir olması
- Bulut sistemlerin Cross-Site Scripting ve SQL Injection zafiyetleri barındırması
- I7 Insecure Mobile Interface (Yetersiz Mobil Arayüzü)
- Mobil sistemlerin kolay, tahmin edilebilir parolalara sahip olması
- Mobil sistemlerin arayüzlerinin kolaylıkla keşfedilebilir olması
- Mobil sistemlerin Cross-Site Scripting ve SQL Injection zafiyetleri barındırması
- I8 Insufficient Security Configurability (Yetersiz Güvenlik Yapılandırılabilirliği)
- Yönetici ve kullanıcı yetkilendirmelerinin farklı olarak yapılamaması
- Güvenlik kontrollerinin sınırlı olarak değiştirilebilirliği
- I9 Insecure Software/Firmware (Yetersiz Yazılım/Aygıt Yazılımı)
- Güvenlik açıklıkları bulunduğunda güncellenememesi
- Gömülü kullanıcı giriş bilgilerinin bulunması
- I10 Poor Physical Security (Zayıf Fiziksel Güvenlik)
- Cihazların kurcalamaya karşı savunmasız olması
- Portlarının (USB vb.) cihaza kurulum arayüzlerine erişebilmek için kullanılabilmesi
Bir Saldırının Anatomisi
İnternet’e
açık bir bilgisayarın saldırganlar tarafından ele geçirildikten sonra uzaktan
komutlarla çalıştırılabilmesi sebebiyle bunlara zombi bilgisayar denilmektedir.
Zombi bilgisayarların çoğunlukla bir saldırgan ağına bağlı olarak koordineli
olarak hareket ettirilerek saldırılarda kullanılması söz konusudur. Bilgisayarların
bulunduğu bu ağ, botnet olarak adlandırılmaktadır. Günümüze
kadar bilinen en büyük Dağıtık Servis Dışı Bırakma (DDoS) saldırısı bir
Nesnelerin İnterneti botnet grubu (“Mirai Botnet”) tarafından 21 Ekim 2016
tarihinde gerçekleşmiştir. Bu botnet grubu, 25 binin üzerinde IP kamera içermekteydi.
Saldırganlar kameralara, kurulumdan sonra değiştirilmemiş varsayılan giriş
bilgilerini kaba kuvvet (“brute force attack”) saldırısıyla istismar ederek
ulaşmışlar ve kontrollerini ele geçirmişlerdir. Dyn adındaki DNS Sunucusuna yapılan
kötü niyeti on milyonlarca istek sebebiyle sunucu gelen normal kullanıcılara
ait taleplere cevap veremez hale gelmiş ve bir süreliğine servis dışı
kalmıştır. ABD’de gerçekleşen bu saldırı sonucunda kullanıcılar birçok Internet
devi şirketlerin çevrimiçi hizmetlerine erişememiştir.
Sonuç
İnternet’in ortaya çıkışından itibaren
insanlığın bağlantılı olma eğilimi yükselen bir hızla günümüze ulaşmıştır ve
önümüzdeki dönemde ivmelenerek devam edeceği öngörülmektedir. Giderek artan bir
hızla büyüyen ve hayatımızı şekillendiren teknolojilerden Nesnelerin İnterneti
yarattığı faydalarla birlikte risklere de sahiptir. Bu durum madalyonun iki
yüzü gibi hem olumlu hem de olumsuz durumların doğmasına sebep olabilir. Nesnelerin
İnterneti çözümleri, yaşam döngülerini düzenleyen regülasyonların ve
standartların olmaması nedeniyle birçok zafiyete barındırmaktadır. Bu açıklıklar
kullanılarak hem özel hem de toplumsal hayatlarımızı ilgilendiren saldırılarla karşılaşılmaktadır. Nazım Hikmet’ten bir alıntıyla bitirecek
olursak, büyük şair 24 Eylül 1945’te yazdığı şiirde “En güzel günlerimiz henüz
yaşamadıklarımız” diyordu. Nesnelerin İnterneti hayatımıza getirdiği ve
getireceği rahatlıkla en güzel günlerimizi vadediyor. Ancak, diğer taraftan
bağlantılı sistemler barındırdıkları zafiyetlerle daha önce görmediğimiz kadar
kötü, kâbus dolu günlere de gebe olabilir.
