2. Hakkımda
• Bilişim Güvenliği Çalışanı
• Ağ Sızma – Pentest
• Eğitmen
• Eski Linux/Unix Sistem Yöneticisi
• Açık Kaynak Yazılım Destekçisi
3. Ajanda
• IoT Nedir?
• Tarihsel Gelişim
• IoT Örnekleri
• Uygulama Alanları
• Güvenlik
• Saldırı Vektörleri
• IoT ile Yapılan Saldırılara Örnekler
• IoT Hacking Demo
4. Soru
• Ev veya İş yerinde yada üzerlerinde IoT cihaz
sahibi olan kimler var?
• Adsl yada kablo modemi olmayan var mı?
• Akıllı televizyonu olmayan var mı?
• Akıllı telefonu olmayan var mı?
• Akıllı saati olmayan var mı?
5. IoT Nedir?
• Nesnelerin İnternet'i (Internet of Things,
kısaca IoT), fiziksel nesnelerin birbirleriyle veya
daha büyük sistemlerle bağlantılı olduğu iletişim
ağıdır. ---Wikipedia
• Kabaca nesnelerin interneti; çeşitli haberleşme
protokolleri sayesinde birbirleri ile haberleşen ve
birbirine bağlanarak, bilgi paylaşarak akıllı bir ağ
oluşturmuş cihazları temsil ediyor.
• Her yerden, Herkesle, Her zaman, Her nesne ile
bağlantı
6. IoT Cihazları
• IP Kameralar
• Router/Modem
• Bebek Monitörleri
• Akıllı Ev Cihazları
• NAS
• Akıllı Arabalar
• Vs.
7. Uygulama Alanları
• Akıllı Şehir, Çevre ve Ulaşım Uygulamaları
• Akıllı Eğitim Uygulamaları
• Akıllı Ev, Altyapı ve Enerji uygulamaları
• Akıllı Sağlık Uygulamaları
• Akıllı Tarım ve Hayvancılık Uygulamaları
• Endüstri 4.0
8. Tarihsel Gelişim
Objelerin interneti - Makinaların kendi aralarında konuşması (M2M) - Nesnelerin interneti (IoT)
• 1969 – ARPANet
• 1982 – İnternet iletişim kuralları dizisi (TCP/IP)
• 1999 – IoT & Kevin Ashton & M2M
• 2005 – Birleşmiş Milletler raporunda IoT’den bahsetti.
• 2010 – Google Self Driving Car & Bluetooth
• 2011 – IPv6
• 2013 – Google Glass çıktı & Google Nest firmasını satın aldı
• 2014 – Mobil cihaz ve makina sayısı dünya nüfusunu geçti!
9. Tarihsel Gelişim
Objelerin interneti - Makinaların kendi aralarında konuşması (M2M) - Nesnelerin interneti (IoT)
• 2016
– GM Lyft’e 500 Milyon USD yatırım yaptı.
– Cisco Jasper’ı satın aldı.
– Apple Homekit çıktı.
– Google Home çıktı.
12. IoT Sayıları - 2
• 2020
– Cisco 50 Milyar adet IoT olacağını tahmin ediyor. (2011)
– Intel 200 Milyar adet IoT olacağını tahmin ediyor! (2016)
• 2021 – BMW, Ford, Volvo tam otonom arabalarını çıkartacak.
15. IoT Örnek - 1
Nest: Google’ın 2014 yılı başlarında 3.2
milyar dolara satın aldığı Nest Labs
şirketi ev otomasyonu sağlayan akıllı
cihazlar üretmektedir. Örneğin
ürünlerinden biri olan Nest Learning
Thermostat, evin sıcaklığını; evin boş
olup olmaması, ev ahalisinin
alışkanlıkları (sıcaklığı hangi saatlerde
düşürüp arttırdığı) ve buna benzer
diğer kriterlere göre otomatik olarak
ayarlayabiliyor. Ayrıca tüm bu işlemler
farklı cihazlarla eşleştirilerek uzaktan
da yapılabiliyor.
16. IoT Örnek - 2
Philips Hue: Philips’e ait bu akıllı LED lambalar mobil cihazlar üzerinden
yönetilebiliyor. Lambaların renklerini değiştirme, parlaklık derecesini
ayarlama, zamanlama, alarm kurma ve bunun gibi daha birçok işlem bu
sayede kolaylıkla yapılabiliyor. Türkiye’de satışı bulunmaktadır
18. IoT Cihazların Hedef Olma Sebebi
• Cihaz sayısı (Atak yüzeyi)
• Ucuz ve boyutun küçük olmasından dolayı kaynak
kullanımının kısıtlı olması
• Üreticilerin güvenliği önemseme(me)si
• 8/10 kişilel bilgi topluyor.
• 8/10 Yazılım güncellemeleri zamanında veya hiç
verilmiyor.
• 2/10 Üretici firma kolay erişim için arka kapı
koyuyor
19. IoT Saldırı Vektörleri
• Zayıf Parola/Fabrika Çıkışı Parola Koruması
• Hafıza taşması
• Web Yönetim Ara Yüz Zafiyetleri (CSRF,RCE, vs)
• Arka Kapı Hesapları
• Kaba Kuvvet saldırısı önlemi barındırmamaları
• Çekirdek Zafiyetleri
• UPnP
• Şifresiz Trafik
20. IoT Aygıtlarının Tehdit Oluşturma
Durumlar
• Public IPv4 ağına direk bağlantı
• Kısıtlı alana açık IPv4 ağına bağlı olmaları
• Internet Gateway Protocol ve UPnP
• IPv6
• IPv6 Tunnel
• Bulut Bağlantısı
• Açık Kablosuz Ağ
21. Internet Ortamına Bağlı IoT
• https://www.shodan.io/search?query=nas
• https://images.shodan.io/search?query=came
ra
29. IP Kamera Bulut üzerinden Hack
• Hala devam eden bir araştırma,
– Henüz bütün detayları yayınlanmış değil
– Bulgular çok ciddi
– IOS/Android uygulaması olan bir ip kamera
– Uygulama NAT arkasındaki kameradan görüntü
alabiliyor, port yönlendirme olmamasına rağmen
– Nasıl?
39. IoT Ütopyası
• Tasarım aşamasında güvenlik düşünülmeli
• Güvenlik Testleri yapılmalı
• Eğer bir güvenlik açığı bulunursa yama
yapılabilir ve düzenli yama çıkarma özelliğine
sahip olmalı
• Üreticinin desteğini devam ettirmesi
40. Mevcut IoT Durumu
• Tasarım aşamasında güvenlik düşünülmeli
• Güvenlik Testleri yapılmalı
• Eğer bir güvenlik açığı bulunursa yama yapılabilir
ve düzenli yama çıkarma özelliğine sahip olmalı
• Üreticinin desteğini devam ettirmeli
• Ucuz Donanım
• Yama yönetimi yok yada çok geç çıkarıyor
• Güvenlik tasarım aşamasında bulunmuyor
• Piyasada ilk ve en yaygın olmayı olmayı hedefliyor
• Kişisel bilgi gizliliği en son öncelikte yer alıyor