Diese Präsentation wurde erfolgreich gemeldet.
Wir verwenden Ihre LinkedIn Profilangaben und Informationen zu Ihren Aktivitäten, um Anzeigen zu personalisieren und Ihnen relevantere Inhalte anzuzeigen. Sie können Ihre Anzeigeneinstellungen jederzeit ändern.

Internet of Things (IoT) Security - Part 1

127 Aufrufe

Veröffentlicht am

Presentation abou internet of things , IoT architecture, IoT vulnerabilities, recent attacks to IoT systems.

Veröffentlicht in: Technologie
  • Als Erste(r) kommentieren

  • Gehören Sie zu den Ersten, denen das gefällt!

Internet of Things (IoT) Security - Part 1

  1. 1. 13.11.2018 Hacktrik ’17 - SCADA ve IoT Güvenliği IoT Güvenliği Bahtiyar BİRCAN, Barikat Akademi bahtiyarb@gmail.com 1
  2. 2. Hacktrik ’17 - SCADA ve IoT Güvenliği© Barikat Akademi Her hakkı saklıdır13.11.2018 Nesnelerin İnterneti (IoT) 2
  3. 3. Hacktrik ’17 - SCADA ve IoT Güvenliği© Barikat Akademi Her hakkı saklıdır13.11.2018 NESNELERİN İNTERNETİ (IOT) NEDİR? Yeni nesil EKS/SCADA ?
  4. 4. Hacktrik ’17 - SCADA ve IoT Güvenliği© Barikat Akademi Her hakkı saklıdır13.11.2018 Internet of Things ? Nesnelerin interneti (IoT) • Fiziksel dünya ile dijital dünya/internetin etkileşime geçmesi. • Fiziksel dünyadan veri/bilgi toplama • Fiziksel dünyadaki objeleri kontrol edebilme yeteneği Günlük hayatımızdaki nesnelerin dijital dünya/internet ile etkileşime geçebilmesi, Veri okuması ve kontrol edebilmesi için kullanılan altyapı/cihazlar  Günlük hayatımızda kullandığımız objelerin internete/ağa bağlanması ve ağ üzerinden veri okuması/yazması ve ağ üzerinden kontrol edilebilmesidir. 4
  5. 5. Hacktrik ’17 - SCADA ve IoT Güvenliği© Barikat Akademi Her hakkı saklıdır13.11.2018 5 Neden Önemli?
  6. 6. Hacktrik ’17 - SCADA ve IoT Güvenliği© Barikat Akademi Her hakkı saklıdır13.11.2018 6 Neden Önemli? https://www.gartner.com/en/newsroom/press-releases/2017-02-07-gartner- says-8-billion-connected-things-will-be-in-use-in-2017-up-31-percent-from- 2016
  7. 7. Hacktrik ’17 - SCADA ve IoT Güvenliği© Barikat Akademi Her hakkı saklıdır13.11.2018 7 Neden Önemli?
  8. 8. Hacktrik ’17 - SCADA ve IoT Güvenliği© Barikat Akademi Her hakkı saklıdır13.11.2018 8 Neden Önemli?
  9. 9. Hacktrik ’17 - SCADA ve IoT Güvenliği© Barikat Akademi Her hakkı saklıdır13.11.2018 Kişisel kullanım cihazları Ticari uygulamalar Endüstriyel uygulamalar Altyapı 9 Kullanım Alanları
  10. 10. Hacktrik ’17 - SCADA ve IoT Güvenliği© Barikat Akademi Her hakkı saklıdır13.11.2018 Bu kategorideki cihazlar günlük hayattaki insanların bireysel olarak kullandıkları cihazlardır. Örnek olarak • Ev elektroniği • Akıllı arabalar • Drone • Bebek monitörleri • Akıllı mutfak cihazları • Giyilebilir teknolojiler (saat, v.s. ) • Akıllı televizyonlar • Kişisel asistanlar (Amazon alexa, Google home, Google Nest termostat ..) • IP Kameralar / güvenlik kameralar • Ev modem/router 10 Kullanım Alanları – Kişisel
  11. 11. Hacktrik ’17 - SCADA ve IoT Güvenliği© Barikat Akademi Her hakkı saklıdır13.11.2018 Bu kateogride farklı sektörlerdeki ticari uygulamalarda kullanılan cihazlar girmektedir. Örnek uygulamalar  Sağlık uygulamaları • Antrenman takibi • Tansiyon, kan şekeri, kalp ritmi ölçümü • Ultraviyole ışınların ölçümü  Lojistik • Taşıma koşullarının takibi • Kargo konum takibi • Taşımaya uygun olmayan material tespiti  11 Kullanım Alanları – Ticari
  12. 12. Hacktrik ’17 - SCADA ve IoT Güvenliği© Barikat Akademi Her hakkı saklıdır13.11.2018 Tedarik uygulamaları • Tedarik zinciri kontrolü • NFC ile ödeme • Akıllı alışveriş uygulamaları   Akıllı ev uygulamaları • Enerji ve su kullanımı tespiti • Uzaktan control • Güvenlik sistemleri 12 Kullanım Alanları – Ticari
  13. 13. Hacktrik ’17 - SCADA ve IoT Güvenliği© Barikat Akademi Her hakkı saklıdır13.11.2018 Bu kategoride endüstrideki üretim tesisleri ve akıllı fabrikalarda kullanılan cihazlar girmektedir. Ayrıca SCADA/ICS/EKS Sistemler de bu kategoriye girmektedir. SCADA sistemleri IoT furyası başlamadan önce altyapıların (enerji, barajlar, termik ve nükleer santraller v.s.) yönetiminde kullanılıyordu. 13 Kullanım Alanları – Endüstriyel
  14. 14. Hacktrik ’17 - SCADA ve IoT Güvenliği© Barikat Akademi Her hakkı saklıdır13.11.2018 Bu kategoride akıllı şehirler, smart-grid (enerji kontrol altyapısı) , çevre izleme sistemleri gibi sistemler girmektedir.  Akıllı şehir uygulamaları • Trafik sıkışıklığı • Araç park uygulamaları • Atık yönetimi • Bina, köprü ve tarihi yapılarda titreşim ve malzeme koşullarının izlenmesi • Akıllı ve hava koşullarına adapte olan trafik ışıkları  14 Kullanım Alanları – Altyapı
  15. 15. Hacktrik ’17 - SCADA ve IoT Güvenliği© Barikat Akademi Her hakkı saklıdır13.11.2018 Akıllı çevre uygulamaları • Hava kirliliği tespiti • Kar serviyesi ölçümü • Yağış durumu • Baraj doluluğu • Orman yangını tespit • Deprem uyarı sistemleri • İçme suyu kalitesi ölçümü • Irmaklarda kimyasal atık tespiti • Deniz kirliliği ölçümü  Güvenlik ve acil durumlar • Erişim kontrolü • Su baskını • Radyasyon seviyesi ölçümü • Patlayıcı ve tehlikeli gaz tespiti • Tsunami erken uyarı 15 Kullanım Alanları – Altyapı
  16. 16. Hacktrik ’17 - SCADA ve IoT Güvenliği© Barikat Akademi Her hakkı saklıdır13.11.2018 16
  17. 17. Hacktrik ’17 - SCADA ve IoT Güvenliği© Barikat Akademi Her hakkı saklıdır13.11.2018 UYGULAMA ALANLARI Akıllı şehir uygulamaları Trafik sıkışıklığı Araç park uygulamaları Atık yönetimi Bina, köprü ve tarihi yapılarda titreşim ve malzeme koşullarının izlenmesi Akıllı ve hava koşullarına adapte olan trafik ışıkları
  18. 18. Hacktrik ’17 - SCADA ve IoT Güvenliği© Barikat Akademi Her hakkı saklıdır13.11.2018 UYGULAMA ALANLARI Akıllı çevre uygulamaları  Hava kirliliği tespiti  Kar serviyesi ölçümü  Yağış durumu  Baraj doluluğu  Orman yangını tespit  Deprem uyarı sistemleri  İçme suyu kalitesi ölçümü  Irmaklarda kimyasal atık tespiti  Deniz kirliliği ölçümü
  19. 19. Hacktrik ’17 - SCADA ve IoT Güvenliği© Barikat Akademi Her hakkı saklıdır13.11.2018 UYGULAMA ALANLARI Akıllı ev uygulamaları Enerji ve su kullanımı tespiti Uzaktan control Güvenlik sistemleri
  20. 20. Hacktrik ’17 - SCADA ve IoT Güvenliği© Barikat Akademi Her hakkı saklıdır13.11.2018 UYGULAMA ALANLARI Tedarik uygulamaları Tedarik zinciri kontrolü NFC ile ödeme Akıllı alışveriş uygulamaları
  21. 21. Hacktrik ’17 - SCADA ve IoT Güvenliği© Barikat Akademi Her hakkı saklıdır13.11.2018 UYGULAMA ALANLARI Güvenlik ve acil durumlar Erişim kontrolü Su baskını Radyasyon seviyesi ölçümü Patlayıcı ve tehlikeli gaz tespiti Tsunami erken uyarı
  22. 22. Hacktrik ’17 - SCADA ve IoT Güvenliği© Barikat Akademi Her hakkı saklıdır13.11.2018 UYGULAMA ALANLARI Lojistik Taşıma koşullarının takibi Kargo konum takibi Taşımaya uygun olmayan material tespiti
  23. 23. Hacktrik ’17 - SCADA ve IoT Güvenliği© Barikat Akademi Her hakkı saklıdır13.11.2018 UYGULAMA ALANLARI Sağlık Antrenman takibi Tansiyon, kan şekeri, kalp ritmi ölçümü Ultraviyole ışınların ölçümü
  24. 24. Hacktrik ’17 - SCADA ve IoT Güvenliği© Barikat Akademi Her hakkı saklıdır13.11.2018 24 IoT Mimarisi ve Bileşenleri
  25. 25. Hacktrik ’17 - SCADA ve IoT Güvenliği© Barikat Akademi Her hakkı saklıdır13.11.2018 25 IoT Mimarisi ve Bileşenleri
  26. 26. Hacktrik ’17 - SCADA ve IoT Güvenliği© Barikat Akademi Her hakkı saklıdır13.11.2018 IoT cihazlarının dış dünya ile haberleşebilmesi için genellikle şu protokoller kullanılmaktadır. • Generic protokoller (TCP, DNS, http, TLS/SSL ..) • IoT / SCADA özel protokoller (MQTT, KNX, DNP3, ModBus…)   Protokol özellikleri • TCP: Generic haberleşme protokolüdür, • DNS: isim çözme protokolüdür, UDP tabanlı • HTTP: web protokolüdür, web sayfaları ve içeriği genellikle bu protokol ile ağ üzerinden taşınır. • TLS/SSL: şifreleme protokolüdür. http gibi cleartext protokoller güvenli taşınabilmesi için TLS tüneli içerisinden taşınır. • Telnet: uzaktan terminal bağlatışı protokolüdür. TCP tabanlı, cleartext çalışır. • SSH: Telnet’in şifrleri hali gibi düşünülebilir. 26 IoT Mimarisi ve Bileşenleri
  27. 27. Hacktrik ’17 - SCADA ve IoT Güvenliği© Barikat Akademi Her hakkı saklıdır13.11.2018 KNX: Siemens tarafından üretilen IoT spesific protokodür. Enerji hattı üzerinden taşınır, networkten açık gider, ID mantığı vardır, cihazlar seri bağlanır…. KNX, Akıllı Ev ve Bina Otomasyonu için açık sistem haberleşme protokolünü standartlaştıran, uluslararası yaygınlığı ve kabul edilirliği olan bir organizasyondur. KNX haberleşme protokolünün temeli 1999 da, Avrupa’nın Siemens, Schneider gibi önde gelen otomasyon firmalarının geliştirdiği, EIB European Installation Bus, EHS ve Batibus protokolleri vasıtasıyla ortaya atılmıştır. EN 50090 uyumlu 300 den fazla şirket MQTT: Message Queue Transport T… IBM tarafından IoT için geliştirilen protokoldür. TCP tabnlıdır… ModBus : Genellikle SCADA sistemlerin kontrolü için kullanılır. Eski bir ptokoldür. TCP ile cleartext olarak taşınır. DNP3: ….. 27 IoT Mimarisi ve Bileşenleri
  28. 28. Hacktrik ’17 - SCADA ve IoT Güvenliği© Barikat Akademi Her hakkı saklıdır13.11.2018 IoT alanında geliştirme yapabilmek için bir çok büyük şirket hazır geliştirme kitleri (SDK) ve donanım bileşenleri (platform, sensör, controller v.s.) sunmaktadır. En yaygın IoT platfromlarına örnekler şu şekildedir:  Intel IoT IBM Watson IoT Cisco IoT Cloud Connect Bosch IoT Suite Microsoft Azure IoT Google IoT Platform Amazon AWS Siemens Qualcomm 28 IoT Frameworkleri
  29. 29. Hacktrik ’17 - SCADA ve IoT Güvenliği© Barikat Akademi Her hakkı saklıdır13.11.2018 GÜVENLİĞİ NEDEN ÖNEMLİ Hassas verilere ulaşma imkanı •Konum •Sağlık Bilgileri •Alışkanlıklar •Ses kayıtları Büyük maddi kayıplar Fiziksel hasarlar Manipülasyon •Bireysel, Toplu
  30. 30. Hacktrik ’17 - SCADA ve IoT Güvenliği© Barikat Akademi Her hakkı saklıdır13.11.2018 30 Owasp IoT Security Project https://www.owasp.org/index.php/OWASP_Internet_of_Things_Project
  31. 31. Hacktrik ’17 - SCADA ve IoT Güvenliği© Barikat Akademi Her hakkı saklıdır13.11.2018 31 IoT Zafiyetleri
  32. 32. Hacktrik ’17 - SCADA ve IoT Güvenliği© Barikat Akademi Her hakkı saklıdır13.11.2018 ZAAFİYETLER (OWASP IoT Top 10 - 2014) Güvensiz Web Arayüzleri Yetersiz Kimlik doğrulama/Yetkilendirme Güvensiz Ağ Servisleri Şifreli iletişimden kaynaklanan zafiyetler Gizlilik problemleri Güvensiz Bulut Hizmeti Güvensiz Mobil Arayüzü Yetersiz Güvenlik Yapılandırması Güvensiz Yazılımlar/Firmware Zayıf Fiziksel Güvenlik
  33. 33. Hacktrik ’17 - SCADA ve IoT Güvenliği© Barikat Akademi Her hakkı saklıdır13.11.2018 Güvensiz Web Arayüzleri Varsayılan şifreler ve kullanıcı adları kurulum esnasında değiştirilmeli Zayıf parolaya izin verilmemeli Başarısız giriş denemeleri sonrasında hesap kitlenmeli XSS, SQL injection gibi zafiyetlerden etkilenmemeli HTTPS kullanılmalı
  34. 34. Hacktrik ’17 - SCADA ve IoT Güvenliği© Barikat Akademi Her hakkı saklıdır13.11.2018 Yetersiz Kimlik Doğrulama/Yetkilendirme Parola kurtarma mekanizması güvenli olmalı Parolalar belli aralıklarla değiştirilmeye zorlanmalı Hassas özellikler için tekrar kimlik kontrolü yapılmalı Varsayılan kullanıcı adı ve parola bilgileri değiştirilmeye zorlanmalı Çok kritik fonksiyonlar için iki aşamalı kimlik doğrulaması kullanılmalı Veriler düzgün saklanmalı
  35. 35. Hacktrik ’17 - SCADA ve IoT Güvenliği© Barikat Akademi Her hakkı saklıdır13.11.2018 Güvensiz Ağ Servisleri Gerekli portlar dışında açık ve erişilebilir port olmamalı DOS saldırılarından etkilenmemeli
  36. 36. Hacktrik ’17 - SCADA ve IoT Güvenliği© Barikat Akademi Her hakkı saklıdır13.11.2018 İletişimden Kaynaklanan Zafiyetler Taşıma esnasında veri SSL ve TLS gibi protokoller kullanarak şifrelenmeli Kabul edilen şifreleme standartları dışında özel şifreleme yöntemleri kullanılmamalı
  37. 37. Hacktrik ’17 - SCADA ve IoT Güvenliği© Barikat Akademi Her hakkı saklıdır13.11.2018 Gizlilik / Mahremiyet Problemleri Cihaz işlevselliği dışında bilgi toplamamalı Toplanan veriler güvenli olarak korunmalı Kişisel bilgilere erişim için yetki tanımlaması yapılmalı
  38. 38. Hacktrik ’17 - SCADA ve IoT Güvenliği© Barikat Akademi Her hakkı saklıdır13.11.2018 Güvensiz Bulut Hizmetleri Varsayılan şifreler ve kullanıcı adları kurulum esnasında değiştirilmeli Zayıf parolaya izin verilmemeli Başarısız giriş denemeleri sonrasında hesap kitlenmeli XSS, SQL injection gibi zafiyetlerden etkilenmemeli HTTPS kullanmalı
  39. 39. Hacktrik ’17 - SCADA ve IoT Güvenliği© Barikat Akademi Her hakkı saklıdır13.11.2018 Güvensiz Mobil Arayüzler Varsayılan şifreler ve kullanıcı adları kurulum esnasında değiştirilmeli Başarısız giriş denemeleri sonrasında hesap kitlenmeli Kablosuz ağlara bağlıyken kimlik bilgileri korunmalı Çok kritik fonksiyonlar için iki aşamalı kimlik doğrulaması kullanılmalı
  40. 40. Hacktrik ’17 - SCADA ve IoT Güvenliği© Barikat Akademi Her hakkı saklıdır13.11.2018 Yetersiz Güvenlik Yapılandırması Güçlü parola kullanımına zorlanmalı Normal kullanıcı ile yönetici yetkileri ayrılmalı Güvenlik olayları kayıt altına alınmalı Yönetici arayüzündeki kullanıcı hareketleri kayıt altına alınmalı
  41. 41. Hacktrik ’17 - SCADA ve IoT Güvenliği© Barikat Akademi Her hakkı saklıdır13.11.2018 Güvensiz Yazılımlar Cihaz güncelleme yeteneğine sahip olmalı Güncelleme dosyası kabul edilen şifreleme metodları ile şifrelenmiş olmalı Güncelleme dosyası şifrelenmiş bağlantı ile iletilmeli Güncelleme dosyası hassas veri içermemeli Güncelleme imzalı ve onaylı olmalı Güncelleme sunucusu güvenli olmalı
  42. 42. Hacktrik ’17 - SCADA ve IoT Güvenliği© Barikat Akademi Her hakkı saklıdır13.11.2018 Fiziksel Güvenlik Zayıflığı Veri depolama ortamı kolay bir şekilde sökülmemeli Depolanan veriler şifrelenmeli USB portları ve dışarı açık olan portlar üzerinden zararlı bir şekilde cihaza erişilememeli Cihaz kolayca sökülememeli
  43. 43. Hacktrik ’17 - SCADA ve IoT Güvenliği© Barikat Akademi Her hakkı saklıdır13.11.2018 Yaşanmış IoT Olayları Mirai Botnet Sağlık cihazları • Bebek Monitörü • Kalp pili Car hacking Akıllı saat ile parola çalma Otel ve Ev Otomasyonu Ele Geçirme Akıllı Tüfek Ele Geçirme Oy verme cihazları ele geçirme
  44. 44. Hacktrik ’17 - SCADA ve IoT Güvenliği© Barikat Akademi Her hakkı saklıdır13.11.2018 Sorularınız ve Önerileriniz 44

×