BT Günlüğü Dergisi NISAN - MAYIS 2018
Your SlideShare is downloading.
×
Check these out next
Recommended
More Related Content
Slideshows for you (7)
Similar to SDU Siber Güvenlik Zirvesi - Barkın Kılıç - IoT Sistemler ve Güvenlik Sunumu (20)
More from SDU CYBERLAB (11)
Recently uploaded (20)
SDU Siber Güvenlik Zirvesi - Barkın Kılıç - IoT Sistemler ve Güvenlik Sunumu
- 1. IoT Sistemler ve Güvenlik Barkın Kılıç @barknkilic
- 2. Hakkımda • Bilişim Güvenliği Çalışanı • Ağ Sızma – Pentest • Eğitmen • Eski Linux/Unix Sistem Yöneticisi • Açık Kaynak Yazılım Destekçisi
- 3. Ajanda • IoT Nedir? • Tarihsel Gelişim • IoT Örnekleri • Uygulama Alanları • Güvenlik • Saldırı Vektörleri • IoT ile Yapılan Saldırılara Örnekler • IoT Hacking Demo
- 4. Soru • Ev veya İş yerinde yada üzerlerinde IoT cihaz sahibi olan kimler var? • Adsl yada kablo modemi olmayan var mı? • Akıllı televizyonu olmayan var mı? • Akıllı telefonu olmayan var mı? • Akıllı saati olmayan var mı?
- 5. IoT Nedir? • Nesnelerin İnternet'i (Internet of Things, kısaca IoT), fiziksel nesnelerin birbirleriyle veya daha büyük sistemlerle bağlantılı olduğu iletişim ağıdır. ---Wikipedia • Kabaca nesnelerin interneti; çeşitli haberleşme protokolleri sayesinde birbirleri ile haberleşen ve birbirine bağlanarak, bilgi paylaşarak akıllı bir ağ oluşturmuş cihazları temsil ediyor. • Her yerden, Herkesle, Her zaman, Her nesne ile bağlantı
- 6. IoT Cihazları • IP Kameralar • Router/Modem • Bebek Monitörleri • Akıllı Ev Cihazları • NAS • Akıllı Arabalar • Vs.
- 7. Uygulama Alanları • Akıllı Şehir, Çevre ve Ulaşım Uygulamaları • Akıllı Eğitim Uygulamaları • Akıllı Ev, Altyapı ve Enerji uygulamaları • Akıllı Sağlık Uygulamaları • Akıllı Tarım ve Hayvancılık Uygulamaları • Endüstri 4.0
- 8. Tarihsel Gelişim Objelerin interneti - Makinaların kendi aralarında konuşması (M2M) - Nesnelerin interneti (IoT) • 1969 – ARPANet • 1982 – İnternet iletişim kuralları dizisi (TCP/IP) • 1999 – IoT & Kevin Ashton & M2M • 2005 – Birleşmiş Milletler raporunda IoT’den bahsetti. • 2010 – Google Self Driving Car & Bluetooth • 2011 – IPv6 • 2013 – Google Glass çıktı & Google Nest firmasını satın aldı • 2014 – Mobil cihaz ve makina sayısı dünya nüfusunu geçti!
- 9. Tarihsel Gelişim Objelerin interneti - Makinaların kendi aralarında konuşması (M2M) - Nesnelerin interneti (IoT) • 2016 – GM Lyft’e 500 Milyon USD yatırım yaptı. – Cisco Jasper’ı satın aldı. – Apple Homekit çıktı. – Google Home çıktı.
- 10. Büyüme Eğilimleri
- 11. IoT Sayıları • http://www.gartner.com/newsroom/id/2905717
- 12. IoT Sayıları - 2 • 2020 – Cisco 50 Milyar adet IoT olacağını tahmin ediyor. (2011) – Intel 200 Milyar adet IoT olacağını tahmin ediyor! (2016) • 2021 – BMW, Ford, Volvo tam otonom arabalarını çıkartacak.
- 13. IoT Cihaz Mimarisi
- 14. IoT Eko Sistem Modeli
- 15. IoT Örnek - 1 Nest: Google’ın 2014 yılı başlarında 3.2 milyar dolara satın aldığı Nest Labs şirketi ev otomasyonu sağlayan akıllı cihazlar üretmektedir. Örneğin ürünlerinden biri olan Nest Learning Thermostat, evin sıcaklığını; evin boş olup olmaması, ev ahalisinin alışkanlıkları (sıcaklığı hangi saatlerde düşürüp arttırdığı) ve buna benzer diğer kriterlere göre otomatik olarak ayarlayabiliyor. Ayrıca tüm bu işlemler farklı cihazlarla eşleştirilerek uzaktan da yapılabiliyor.
- 16. IoT Örnek - 2 Philips Hue: Philips’e ait bu akıllı LED lambalar mobil cihazlar üzerinden yönetilebiliyor. Lambaların renklerini değiştirme, parlaklık derecesini ayarlama, zamanlama, alarm kurma ve bunun gibi daha birçok işlem bu sayede kolaylıkla yapılabiliyor. Türkiye’de satışı bulunmaktadır
- 17. IoT ve Güvenlik
- 18. IoT Cihazların Hedef Olma Sebebi • Cihaz sayısı (Atak yüzeyi) • Ucuz ve boyutun küçük olmasından dolayı kaynak kullanımının kısıtlı olması • Üreticilerin güvenliği önemseme(me)si • 8/10 kişilel bilgi topluyor. • 8/10 Yazılım güncellemeleri zamanında veya hiç verilmiyor. • 2/10 Üretici firma kolay erişim için arka kapı koyuyor
- 19. IoT Saldırı Vektörleri • Zayıf Parola/Fabrika Çıkışı Parola Koruması • Hafıza taşması • Web Yönetim Ara Yüz Zafiyetleri (CSRF,RCE, vs) • Arka Kapı Hesapları • Kaba Kuvvet saldırısı önlemi barındırmamaları • Çekirdek Zafiyetleri • UPnP • Şifresiz Trafik
- 20. IoT Aygıtlarının Tehdit Oluşturma Durumlar • Public IPv4 ağına direk bağlantı • Kısıtlı alana açık IPv4 ağına bağlı olmaları • Internet Gateway Protocol ve UPnP • IPv6 • IPv6 Tunnel • Bulut Bağlantısı • Açık Kablosuz Ağ
- 21. Internet Ortamına Bağlı IoT • https://www.shodan.io/search?query=nas • https://images.shodan.io/search?query=came ra
- 22. Kısıtlı alana açık IPv4 ağında IoT
- 23. Internet Gateway Protocol ve UPnP
- 24. IoT IPv6
- 25. IoT IPv6 Tünel (Toredo) • https://en.wikipedia.org/wiki/Teredo_tunneling
- 26. IoT IPv6 Tünel (Toredo) - 2
- 27. IoT IPv6 Tünel (Toredo) - 3
- 28. IP Kamera Bulut üzerinden Hack
- 29. IP Kamera Bulut üzerinden Hack • Hala devam eden bir araştırma, – Henüz bütün detayları yayınlanmış değil – Bulgular çok ciddi – IOS/Android uygulaması olan bir ip kamera – Uygulama NAT arkasındaki kameradan görüntü alabiliyor, port yönlendirme olmamasına rağmen – Nasıl?
- 30. IP Kamera Bulut üzerinden Hack -2
- 31. IP Kamera Bulut üzerinden Hack -3
- 32. IP Kamera Bulut üzerinden Hack -4
- 33. IoT Açık Kablosuz Ağ
- 34. IoT Güvenliği Hayati Değeri
- 35. The Internet Of Evil Things
- 36. IoT ile Yapılan Saldırılar
- 37. IoT ile Yapılan Saldırılar - 2
- 38. IoT ile Yapılan Saldırılar - 3
- 39. IoT Ütopyası • Tasarım aşamasında güvenlik düşünülmeli • Güvenlik Testleri yapılmalı • Eğer bir güvenlik açığı bulunursa yama yapılabilir ve düzenli yama çıkarma özelliğine sahip olmalı • Üreticinin desteğini devam ettirmesi
- 40. Mevcut IoT Durumu • Tasarım aşamasında güvenlik düşünülmeli • Güvenlik Testleri yapılmalı • Eğer bir güvenlik açığı bulunursa yama yapılabilir ve düzenli yama çıkarma özelliğine sahip olmalı • Üreticinin desteğini devam ettirmeli • Ucuz Donanım • Yama yönetimi yok yada çok geç çıkarıyor • Güvenlik tasarım aşamasında bulunmuyor • Piyasada ilk ve en yaygın olmayı olmayı hedefliyor • Kişisel bilgi gizliliği en son öncelikte yer alıyor
- 41. IoT Üreticisinin Ürüne Desteğini Çekmesi
- 42. IoT Üreticisinin Ürüne Desteğini Çekmesi - 2
- 43. Demo
- 44. IoT Hacking - 1
- 45. IoT Hacking - 2
- 46. IoT Hacking - 3
- 47. IoT Hacking - 4
- 48. IoT Hacking - 5
- 49. IoT Hacking - 6
- 50. IoT Hacking – İleri Seviye https://www.pentestpartners.com/blog/hackin g-the-ip-camera-part-1/
- 51. IoT Hacking – İleri Seviye - 2
- 52. IoT Hacking – İleri Seviye - 3
- 53. IoT Hacking – İleri Seviye - 4
- 54. IoT Hacking – İleri Seviye - 5
- 55. IoT Hacking – İleri Seviye - 6
- 56. IoT Hacking – İleri Seviye - 7
- 57. Tarihte İlk IoT Cihazı?
- 58. Tarihte İlk IoT Cihazı • https://www.cs.cmu.edu/~coke/history_long.txt
- 59. Tarihte İlk IoT Cihazı - 2
- 60. Sorular? • Teşekkürler! • Twitter: @barknkilic • E-posta: iotvssecurity@barkin.info
