IoT Security

IoT Nedir?

Internet of Things kelime anlamıyla nesneleri interneti olarak çevrilebilir. Genel olarak birbiriyle veya merkezi yönetim birimi ile haberleşebilen bağlanan cihazlara ve uygulamalara verilen genel isimdir. 1999 yılında, Kevin Ashton tarafında şirket içi sunumunda ilk defa kullanılmıştır. 

IoT cihazın çözüme dahil olmasıyla cihazın güvenliğinin yanında cihaz-kullanıcı eşleştirme, cihaz doğrulama, yetkilendirme gibi IT için bahsedilmeyecek zorluklar ortaya çıkmaktadır. Gün geçtikçe internet bağlanan cihaz sayısı artarken, bu cihazlar üzerine kurgulanmış olan uygulamalar ortaya çıkmaktadır. Bunun yanında bu uygulamalardaki cihazlar birçok işlemi kullanıcıdan bağımsız kendisi kararları üzerinden işlemleri yerine getirmektedir. Bu durum öncelikle yeni  atak yüzeyleri ve riskleri beraberinde getirmektedir. Bir IoT cihazının ele geçirerek ortam dinlemesi veya izlemesi yapılabileceği gibi, bu cihazları zombi cihaz haline getirilip büyük ölçekli ataklarda kullanılması söz konusu olabilmektedir. En önemli zorluk bu cihazlara fiziksel erişim ve kontrol olmadığı için üretimde güvenlik önlemlerinin alınması önemlidir.

Protokoller

MQTT, IoT cihazlarının haberleşmesi için tasarlanmış basit anlık haberleşmeyi sağlayan haberleşme protokolüdür. WS ve HTTP göre temel fark MQTT’de client’lar topic’ler üzerinden haberleşirler ve Client’lar birbirini bilmezler. Sadece Clien’ların rolleri vardır, publisher veya subscriber, bu role göre mesaj gönderebilir veya mesajı alabilirler. HTTP, request-reponse üzerine kurulu bir protokoldür ve mesajlar anlık olarak aktarılamaz.

IoT Pentest

IoT için genel bir pentest yapılırken genel olarak aşağıdaki maddelere dikkat edebilirsiniz. Pentest yaklaşımları uygulamaya göre değişiklikler göstermektedir. IoT pentest 
sürecinde;

• Physical security (uart, USB gibi fiziksel arayüzlerin güvenliği)
• Device security ( ports, network servisleri, OS, uygulamalar gibi cihaz üzerindeki yazılım ile ilgili mekanizmalarının güvenliği,)
• Communication security (cloud veya diğer birimler ile haberleşmesi)
• Authentication-Authorization mekanizmaları
• Yazılım güncelleme ve konfigürasyon güvenliği
• Regülasyonlara uyum
• Privacy
• Ekosistem (Cloud-mobile app) test edilmelidir.

IOT Kullanırken Alınması Gereken Önlemler

Haberleşmeyi Güvenli olarak sağlamak

1. Trusted CA SSL Sertifika kullanılması ve minumum TLS 1.2
2. Cihazda root sertifikaların cihaza gömülmesi ve sertifika yetkilerin kısıtlanması

Password Policy Uygulanması

• Parolanın minumum 8 karakterden oluşması gerekmektedir.
• Parolanın  kompleks bir yapıya sahip olması gerekmektedir.
• Kullanıcının başarısız oturum açma denemesinde hesabın kilitlenmesi gerekmektedir.

IoT Konfigürasyon

• Varsayılan kullanıcı adı ve parola kullanılmamalıdır. Bunun yerine  uniqe kullanıcı adı ve parola kullanılmalıdır.
• Wi-fi bağlantısı için minumum WPA2/WPA3 kullanılması gerekmektedir.

IoT Cihaz Güvenliği

Iot cihazlara dışarıdan fiziksel olarak müdahele edilmemesi gerekmektedir. 

• Açık ve test için portlar kapatılmalıdır.
• Usb girişleri üzerinden cihaza müdahele edilememesi gerekir.

IoT Güncelleme

Cihaz üzerindeki işletim sisteminin ve uygulamaların güncel tutulması ve indirilen güncellemelerin güvenilir imzalı kaynaktan yüklenilmesi gerekmektedir.

• İşletim sistemini sürekli güncel tutulması
• 3 party güncel tutulması ve zafiyet olmaması

IoT Security Best Practice

• https://owasp.org/www-pdf-archive/OWASP-IoT-Top-10-2018-final.pdf
• https://www.iotsecurityfoundation.org/