Murat Lostar'ın 3 Ekim 2017'de IoTxTR organizasyonunda KWORKS (Koç Kuluçka Merkezi)'ndeki sunum dosyası.

1. IoT ve Güvenlik
IoTxTR
3.10.2017
Murat Lostar

2. Neredeyiz? (Büyükresim)
Kaynak:Gartner,IDC,Wikipedia

3. IoTAlanları ve Farklılıkları
Dikey Pazarlar & IoT
• Endüstri veÜretim
• PerakendeveEğlence
• Sağlık
Bina Otomasyonu
• Akıllı Binalar
• Akıllı Şehirler
• Akıllı Enerji/Altyapı
• Dijital İşyeri
M2M
• “Bağlı” Ulaşım Araçları
• Uzaktan hissetme
• Telekom, iletişim
Ev Otomasyonu veBireysel
• Bağlı ev
• Bireysel ürünler
• Oyuncaklar
Kaynak:Gartner

4. IoT Güvenlik Olayları

5. 1. Mirai Botnet
› TwitterNetflix,Github,Spotify,
Guardian,Reddit,CNN
› Telnet
› Cihazların%2’siTelnetbağlantısında
çokzayıfşifrelenmesiyada
şifrelenmemesi
› 6.4milyarcihazın%2’siaşağı yukarı
128milyonbotaçevriliyor.
› Video (Kaynak:Bitdefender)

7. 2. St. Jude Medical’de kardiyakcihazlarındaki açıklıklar
› Kalptemposu ayarlayan cihazlar
› 133 ülkede ürün
› 4 kıtada21 üretim tesisi

8. 3. Owlet WiFi Bebek kalp monitörü açıklığı
› Verileri yakınındakihub’a kablosuz aktarma
› Şifrelenmemiş Wifişebekesi

9. 4. TRENDnet WebcamAçıklığı
› Console Cowboys
› 50.000 kamera
› Savunmasız bir çok model
› Shodan kullananPython script

10. 5. Jeep Hack
› Charlie Miller ve Chris Valasek
› Dahili ağda bir CAN-bus (Controller Area
Network)
› Video (Kaynak: Wired)

12. Güvenlik Zaafiyetlerinin Kaynakları

13. Güvenlik Zaafiyetlerinin Kaynakları
1. Sürat felakettir
2. Ucuzluk
3. x-KISS
4. Standartlar(lar…lar...lar)

14. 1. Sürat Felakettir
Kaynak:IDC,Gartner,Accurate,Cisco
2016
(öngörü) 2020
2.8 Milyar Cihaz
50 Milyar Cihaz

15. 1. Sürat Felakettir
Eşit dağılımda bile:
› Yılda 11.8 Milyar IoT
› Saatte 1 MilyonIoT
• Üretilmeli
• Kurulmalı, devreyealınmalı
Kaynak:IDC,Gartner,Accurate,Cisco
2016
(öngörü) 2020
2.8 Milyar Cihaz
50 Milyar Cihaz

16. 2. TicariBaskı
› Yeni ürünün piyasaya girme süresi
› Ürünün ARGE maliyeti
› Ürünün üretim maliyeti
› + Yeni ekosistem

17. 3. Karmaşık MimariYapı
KISS:Keep It Simple, Secure
Kaynak:Gartner

18. 4.Standartlar

19. Güvenliği nasıl sağlayacağız?

20. Güvenliği nasıl sağlayacağız?
1. Agile (%80-%20)
2. Yapısal(%99,999)

21. 1. IoTGüvenliği - Agile
Üçaşama:
1. Çözümü anlayın
2. Mimari oluşturun(ve çizin)
3. Saldırgangibidüşünün

22. 1. IoT Güvenliği - Agile
Adım1: Çözümü anlayın
› Ürün el kitapları
› Belgeler
› Satıcınınweb sitesinde yer alanbilgileri
› Diğer kaynaklardanek ayrıntılar

23. 1. IoT Güvenliği - Agile
Adım2: Mimari bir diyagram oluşturun

24. 1. IoT Güvenliği - Agile
Adım3: Bir saldırgan gibidüşünün

25. IoT “Saldırı Yüzeyi” Alanları

26. IoT “Saldırı Yüzeyi” Alanları
› Doğrulama
› Oturum yönetimi
› Veri yönetimi
› Kayıt güvenliği
› Devre dışı bırakma sistemi
› Kayıp erişim prosedürleri
› Açık metin kullanıcı adları
› Açık metin şifreleri
› Üçüncü parti kimlik bilgileri
› Şifreleme anahtarları
› Aygıt yazılımı çıkarma
› Kullanıcı komut satırı
› Yönetici komut satırı
› Yetki yükseltme
› Güvensiz duruma sıfırlama
EKOSİSTEMERİŞİMKONTROLÜ CİHAZ HAFIZASI FİZİKSELARAYÜZ

27. IoT “Saldırı Yüzeyi” Alanları
› SQLi
› XSS
› Kullanıcı adı listeleme
› Zayıf şifreler
› Hesap kilitleme
› Bilinen kimlik bilgileri
› Hassas veri sızdırma
› Hassas URL bildirimi
› Şifreleme anahtarları
› Yazılım versiyonu
› Bilgi açığı
› Kullanıcı komut satırı
› Yönetici komut satırı
› DoS
› Güvensiz şifre kurtarma
mekanizması
WEBARAYÜZ AYGIT YAZILIMI AĞ HİZMETLERİ

28. IoT “Saldırı Yüzeyi” Alanları
› SQLi
› XSS
› Kullanıcı adı listeleme
› Zayıf şifreler
› Hesap kilitleme
› Bilinen kimlik bilgileri
› Şifrelenmemiş veriler
› Keşfedilen anahtarlarile
şifrelenmiş veriler
› Veri bütünlüğü eksikliği
› SQLi
› XSS
› Kullanıcı adı listeleme
› Zayıf şifreler
› Hesap kilitleme
› Kimlik bilgileri
YÖNETİCİARAYÜZÜ YERELVERİDEPOLAMA BULUTWEBARAYÜZÜ

29. IoT “Saldırı Yüzeyi” Alanları
› Şifrelenmemiş bilgiler
› Sızdırılmış cihaz bilgileri
› Sızdırılmış lokasyon bilgisi
› Güncelleme olmadan gönderilen
veri
› İmzalanmış güncelleme
› Yazılabilir lokasyon güncellemesi
› Bilinen kimlik bilgileri
› Güvensiz veri depolama alanı
› İki aşamalı kimlik doğrulama
ÜÇÜNCÜ PARTİ
ARKAPLANAPI'LERİ
GÜNCELLEME
MEKANİZMASI
MOBİL UYGULAMA

30. 2. IoT Güvenliği - Yapısal
› IoT Güvenlik Yaşam Döngüsünü hayatageçirin
› Tüm katmanlarıayrı ayrı ve bir aradadeğerlendirin
› Düzenli ve süreklitehdit/risk analiziyapın

31. IoT Mimari (Basit)

32. Cihaz Katmanındaki
IoT GüvenlikMimari Prensipleri

34. Son olarak…

35. IoTEdinmeden Önce Hatırlamanız Gereken 7 Madde
7. Uzaktandestek ve güncelleme becerisi
6. Girmeden önce çıkış(Değişikliği mimarinin parçasıolarak çalışın)
5. Teknoloji, üretici ve ürünü düzenli olarakdeğerlendirme
4. Esneklik(hep bir <B Planı>nızolsun)
3. Riskdeğerlendirmesi (güvenlik + sosyal, ticari,teknik)
2. Güvenlik = Yaşam döngüsü
1. Ürün,katman,teknoloji güvenliği ≠ IoT çözüm güvenliği

36. http://guvenligunler.com
Sunumkopyasınabuadresten
(SlideShare)ulaşabilirsiniz.