iot sistemler ve güvenlik
TRANSCRIPT
IoT Sistemler ve Güvenlik
Barkın Kılıç@barknkilic
Hakkımda
• Bilişim Güvenliği Çalışanı• Ağ Sızma – Pentest• Eğitmen• Eski Linux/Unix Sistem Yöneticisi• Açık Kaynak Yazılım Destekçisi
Ajanda
• IoT Nedir?• Tarihsel Gelişim• IoT Örnekleri• Uygulama Alanları• Güvenlik• Saldırı Vektörleri• IoT ile Yapılan Saldırılara Örnekler• IoT Hacking Demo
Soru
• Ev veya İş yerinde yada üzerlerinde IoT cihaz sahibi olan kimler var?
• Adsl yada kablo modemi olmayan var mı?• Akıllı televizyonu olmayan var mı?• Akıllı telefonu olmayan var mı?• Akıllı saati olmayan var mı?
IoT Nedir?
• Nesnelerin İnternet'i (Internet of Things, kısaca IoT), fiziksel nesnelerin birbirleriyle veya daha büyük sistemlerle bağlantılı olduğu iletişim ağıdır. ---Wikipedia
• Kabaca nesnelerin interneti; çeşitli haberleşme protokolleri sayesinde birbirleri ile haberleşen ve birbirine bağlanarak, bilgi paylaşarak akıllı bir ağ oluşturmuş cihazları temsil ediyor.
• Her yerden, Herkesle, Her zaman, Her nesne ile bağlantı
IoT Cihazları
• IP Kameralar• Router/Modem• Bebek Monitörleri• Akıllı Ev Cihazları• NAS• Akıllı Arabalar• Vs.
Uygulama Alanları
• Akıllı Şehir, Çevre ve Ulaşım Uygulamaları• Akıllı Eğitim Uygulamaları• Akıllı Ev, Altyapı ve Enerji uygulamaları• Akıllı Sağlık Uygulamaları• Akıllı Tarım ve Hayvancılık Uygulamaları• Endüstri 4.0
Tarihsel Gelişim
Objelerin interneti - Makinaların kendi aralarında konuşması (M2M) - Nesnelerin interneti (IoT)
• 1969 – ARPANet • 1982 – İnternet iletişim kuralları dizisi (TCP/IP)• 1999 – IoT & Kevin Ashton & M2M• 2005 – Birleşmiş Milletler raporunda IoT’den bahsetti.• 2010 – Google Self Driving Car & Bluetooth• 2011 – IPv6 • 2013 – Google Glass çıktı & Google Nest firmasını satın aldı• 2014 – Mobil cihaz ve makina sayısı dünya nüfusunu geçti!
Tarihsel GelişimObjelerin interneti - Makinaların kendi aralarında konuşması (M2M) - Nesnelerin interneti (IoT)
• 2016– GM Lyft’e 500 Milyon USD yatırım yaptı.– Cisco Jasper’ı satın aldı.– Apple Homekit çıktı.– Google Home çıktı.
Büyüme Eğilimleri
IoT Sayıları• http://www.gartner.com/newsroom/id/2905717
IoT Sayıları - 2• 2020– Cisco 50 Milyar adet IoT olacağını tahmin ediyor. (2011)– Intel 200 Milyar adet IoT olacağını tahmin ediyor! (2016)
• 2021 – BMW, Ford, Volvo tam otonom arabalarını çıkartacak.
IoT Cihaz Mimarisi
IoT Eko Sistem Modeli
IoT Örnek - 1
Nest: Google’ın 2014 yılı başlarında 3.2 milyar dolara satın aldığı Nest Labs şirketi ev otomasyonu sağlayan akıllı cihazlar üretmektedir. Örneğin ürünlerinden biri olan Nest Learning Thermostat, evin sıcaklığını; evin boş olup olmaması, ev ahalisinin alışkanlıkları (sıcaklığı hangi saatlerde düşürüp arttırdığı) ve buna benzer diğer kriterlere göre otomatik olarak ayarlayabiliyor. Ayrıca tüm bu işlemler farklı cihazlarla eşleştirilerek uzaktan da yapılabiliyor.
IoT Örnek - 2
Philips Hue: Philips’e ait bu akıllı LED lambalar mobil cihazlar üzerinden yönetilebiliyor. Lambaların renklerini değiştirme, parlaklık derecesini ayarlama, zamanlama, alarm kurma ve bunun gibi daha birçok işlem bu sayede kolaylıkla yapılabiliyor. Türkiye’de satışı bulunmaktadır
IoT ve Güvenlik
IoT Cihazların Hedef Olma Sebebi
• Cihaz sayısı (Atak yüzeyi)• Ucuz ve boyutun küçük olmasından dolayı kaynak
kullanımının kısıtlı olması• Üreticilerin güvenliği önemseme(me)si• 8/10 kişilel bilgi topluyor.• 8/10 Yazılım güncellemeleri zamanında veya hiç
verilmiyor.• 2/10 Üretici firma kolay erişim için arka kapı
koyuyor
IoT Saldırı Vektörleri
• Zayıf Parola/Fabrika Çıkışı Parola Koruması• Hafıza taşması• Web Yönetim Ara Yüz Zafiyetleri (CSRF,RCE, vs)• Arka Kapı Hesapları• Kaba Kuvvet saldırısı önlemi barındırmamaları• Çekirdek Zafiyetleri• UPnP• Şifresiz Trafik
IoT Aygıtlarının Tehdit Oluşturma Durumlar
• Public IPv4 ağına direk bağlantı• Kısıtlı alana açık IPv4 ağına bağlı olmaları• Internet Gateway Protocol ve UPnP• IPv6• IPv6 Tunnel• Bulut Bağlantısı• Açık Kablosuz Ağ
Internet Ortamına Bağlı IoT
• https://www.shodan.io/search?query=nas• https://images.shodan.io/search?query=came
ra
Kısıtlı alana açık IPv4 ağında IoT
Internet Gateway Protocol ve UPnP
IoT IPv6
IoT IPv6 Tünel (Toredo)• https://en.wikipedia.org/wiki/Teredo_tunneling
IoT IPv6 Tünel (Toredo) - 2
IoT IPv6 Tünel (Toredo) - 3
IP Kamera Bulut üzerinden Hack
IP Kamera Bulut üzerinden Hack
• Hala devam eden bir araştırma, – Henüz bütün detayları yayınlanmış değil– Bulgular çok ciddi– IOS/Android uygulaması olan bir ip kamera– Uygulama NAT arkasındaki kameradan görüntü
alabiliyor, port yönlendirme olmamasına rağmen– Nasıl?
IP Kamera Bulut üzerinden Hack -2
IP Kamera Bulut üzerinden Hack -3
IP Kamera Bulut üzerinden Hack -4
IoT Açık Kablosuz Ağ
IoT Güvenliği Hayati Değeri
The Internet Of Evil Things
IoT ile Yapılan Saldırılar
IoT ile Yapılan Saldırılar - 2
IoT ile Yapılan Saldırılar - 3
IoT Ütopyası
• Tasarım aşamasında güvenlik düşünülmeli• Güvenlik Testleri yapılmalı• Eğer bir güvenlik açığı bulunursa yama
yapılabilir ve düzenli yama çıkarma özelliğine sahip olmalı
• Üreticinin desteğini devam ettirmesi
Mevcut IoT Durumu• Tasarım aşamasında güvenlik düşünülmeli• Güvenlik Testleri yapılmalı• Eğer bir güvenlik açığı bulunursa yama yapılabilir ve
düzenli yama çıkarma özelliğine sahip olmalı• Üreticinin desteğini devam ettirmeli• Ucuz Donanım• Yama yönetimi yok yada çok geç çıkarıyor• Güvenlik tasarım aşamasında bulunmuyor• Piyasada ilk ve en yaygın olmayı olmayı hedefliyor• Kişisel bilgi gizliliği en son öncelikte yer alıyor
IoT Üreticisinin Ürüne Desteğini Çekmesi
IoT Üreticisinin Ürüne Desteğini Çekmesi - 2
Demo
IoT Hacking - 1
IoT Hacking - 2
IoT Hacking - 3
IoT Hacking - 4
IoT Hacking - 5
IoT Hacking - 6
IoT Hacking – İleri Seviyehttps://www.pentestpartners.com/blog/hacking-the-ip-camera-part-1/
IoT Hacking – İleri Seviye - 2
IoT Hacking – İleri Seviye - 3
IoT Hacking – İleri Seviye - 4
IoT Hacking – İleri Seviye - 5
IoT Hacking – İleri Seviye - 6
IoT Hacking – İleri Seviye - 7
Tarihte İlk IoT Cihazı?
Tarihte İlk IoT Cihazı• https://www.cs.cmu.edu/~coke/history_long.txt
Tarihte İlk IoT Cihazı - 2
Sorular?
• Teşekkürler!• Twitter: @barknkilic• E-posta: [email protected]