ݺߣ

ݺߣShare a Scribd company logo
IoT ve Güvenlik
IoTxTR
3.10.2017
Murat Lostar
Neredeyiz? (Büyükresim)
Kaynak:Gartner,IDC,Wikipedia
IoTԱı ve Farklılıkları
Dikey Pazarlar & IoT
• Endüstri veÜretim
• PerakendeveEğlence
• Sağlık
Bina Otomasyonu
• Akıllı Binalar
• Akıllı Şehirler
• Akıllı Enerji/Altyapı
• Dijital İşyeri
M2M
• “Bağlı” Ulaşım Araçları
• Uzaktan hissetme
• Telekom, iletişim
Ev Otomasyonu veBireysel
• Bağlı ev
• Bireysel ürünler
• Oyuncaklar
Kaynak:Gartner
IoT Güvenlik Olayları
1. Mirai Botnet
› TwitterNetflix,Github,Spotify,
Guardian,Reddit,CNN
› Telnet
› Cihazların%2’siTelnetbağlantısında
çokzayıfşifrelenmesiyada
şifrelenmemesi
› 6.4milyarcihazın%2’siaşağı yukarı
128milyonbotaçevriliyor.
› Video (Kaynak:Bitdefender)
IoT ve Güvenlik Ekim2017
2. St. Jude Medical’de kardiyakcihazlarındaki açıklıklar
› Kalptemposu ayarlayan cihazlar
› 133 ülkede ürün
› 4 kıtada21 üretim tesisi
3. Owlet WiFi Bebek kalp monitörü açıklığı
› Verileri yakınındakihub’a kablosuz aktarma
› Şifrelenmemiş Wifişebekesi
4. TRENDnet WebcamAçıklığı
› Console Cowboys
› 50.000 kamera
› Savunmasız bir çok model
› Shodan kullananPython script
5. Jeep Hack
› Charlie Miller ve Chris Valasek
› Dahili ağda bir CAN-bus (Controller Area
Network)
› Video (Kaynak: Wired)
IoT ve Güvenlik Ekim2017
Güvenlik Zaafiyetlerinin Kaynakları
Güvenlik Zaafiyetlerinin Kaynakları
1. Sürat felakettir
2. Ucuzluk
3. x-KISS
4. Standartlar(lar…lar...lar)
1. Sürat Felakettir
Kaynak:IDC,Gartner,Accurate,Cisco
2016
(öngörü) 2020
2.8 Milyar Cihaz
50 Milyar Cihaz
1. Sürat Felakettir
Eşit dağılımda bile:
› Yılda 11.8 Milyar IoT
› Saatte 1 MilyonIoT
• Üretilmeli
• Kurulmalı, devreyealınmalı
Kaynak:IDC,Gartner,Accurate,Cisco
2016
(öngörü) 2020
2.8 Milyar Cihaz
50 Milyar Cihaz
2. TicariBaskı
› Yeni ürünün piyasaya girme süresi
› Ürünün ARGE maliyeti
› Ürünün üretim maliyeti
› + Yeni ekosistem
3. Karmaşık MimariYapı
KISS:Keep It Simple, Secure
Kaynak:Gartner
4.Standartlar
Güvenliği nasıl sağlayacağız?
Güvenliği nasıl sağlayacağız?
1. Agile (%80-%20)
2. Yapısal(%99,999)
1. IoTGüvenliği - Agile
Üçaşama:
1. Çözümü anlayın
2. Mimari oluşturun(ve çizin)
3. Saldırgangibidüşünün
1. IoT Güvenliği - Agile
Adım1: Çözümü anlayın
› Ürün el kitapları
› Belgeler
› Satıcınınweb sitesinde yer alanbilgileri
› Diğer kaynaklardanek ayrıntılar
1. IoT Güvenliği - Agile
Adım2: Mimari bir diyagram oluşturun
1. IoT Güvenliği - Agile
Adım3: Bir saldırgan gibidüşünün
IoT “Saldırı Yüzeyi” Աı
IoT “Saldırı Yüzeyi” Աı
› Doğrulama
› Oturum yönetimi
› Veri yönetimi
› Kayıt güvenliği
› Devre dışı bırakma sistemi
› Kayıp erişim prosedürleri
› Açık metin kullanıcı adları
› Açık metin şifreleri
› Üçüncü parti kimlik bilgileri
› Şifreleme anahtarları
› Aygıt yazılımı çıkarma
› Kullanıcı komut satırı
› Yönetici komut satırı
› Yetki yükseltme
› Güvensiz duruma sıfırlama
EKOSİSTEMERİŞİMKONTROLÜ CİHAZ HAFIZASI FİZİKSELARAYÜZ
IoT “Saldırı Yüzeyi” Աı
› SQLi
› XSS
› Kullanıcı adı listeleme
› Zayıf şifreler
› Hesap kilitleme
› Bilinen kimlik bilgileri
› Hassas veri sızdırma
› Hassas URL bildirimi
› Şifreleme anahtarları
› Yazılım versiyonu
› Bilgi açığı
› Kullanıcı komut satırı
› Yönetici komut satırı
› DoS
› Güvensiz şifre kurtarma
mekanizması
WEBARAYÜZ AYGIT YAZILIMI AĞ HİZMETLERİ
IoT “Saldırı Yüzeyi” Աı
› SQLi
› XSS
› Kullanıcı adı listeleme
› Zayıf şifreler
› Hesap kilitleme
› Bilinen kimlik bilgileri
› Şifrelenmemiş veriler
› Keşfedilen anahtarlarile
şifrelenmiş veriler
› Veri bütünlüğü eksikliği
› SQLi
› XSS
› Kullanıcı adı listeleme
› Zayıf şifreler
› Hesap kilitleme
› Kimlik bilgileri
YÖNETİCİARAYÜZÜ YERELVERİDEPOLAMA BULUTWEBARAYÜZÜ
IoT “Saldırı Yüzeyi” Աı
› Şifrelenmemiş bilgiler
› Sızdırılmış cihaz bilgileri
› Sızdırılmış lokasyon bilgisi
› Güncelleme olmadan gönderilen
veri
› İmzalanmış güncelleme
› Yazılabilir lokasyon güncellemesi
› Bilinen kimlik bilgileri
› Güvensiz veri depolama alanı
› İki aşamalı kimlik doğrulama
ÜÇÜNCÜ PARTİ
ARKAPLANAPI'LERİ
GÜNCELLEME
MEKANİZMASI
MOBİL UYGULAMA
2. IoT Güvenliği - Yapısal
› IoT Güvenlik Yaşam Döngüsünü hayatageçirin
› Tüm katmanlarıayrı ayrı ve bir aradadeğerlendirin
› Düzenli ve süreklitehdit/risk analiziyapın
IoT Mimari (Basit)
Cihaz Katmanındaki
IoT GüvenlikMimari Prensipleri
IoT ve Güvenlik Ekim2017
Son olarak…
IoTEdinmeden Önce Hatırlamanız Gereken 7 Madde
7. Uzaktandestek ve güncelleme becerisi
6. Girmeden önce çıkış(Değişikliği mimarinin parçasıolarak çalışın)
5. Teknoloji, üretici ve ürünü düzenli olarakdeğerlendirme
4. Esneklik(hep bir <B Planı>nızolsun)
3. Riskdeğerlendirmesi (güvenlik + sosyal, ticari,teknik)
2. Güvenlik = Yaşam döngüsü
1. Ürün,katman,teknoloji güvenliği ≠ IoT çözüm güvenliği
http://guvenligunler.com
Sunumkopyasınabuadresten
(ݺߣShare)ulaşabilirsiniz.
IoT ve Güvenlik Ekim2017

More Related Content

IoT ve Güvenlik Ekim2017

  • 3. IoTԱı ve Farklılıkları Dikey Pazarlar & IoT • Endüstri veÜretim • PerakendeveEğlence • Sağlık Bina Otomasyonu • Akıllı Binalar • Akıllı Şehirler • Akıllı Enerji/Altyapı • Dijital İşyeri M2M • “Bağlı” Ulaşım Araçları • Uzaktan hissetme • Telekom, iletişim Ev Otomasyonu veBireysel • Bağlı ev • Bireysel ürünler • Oyuncaklar Kaynak:Gartner
  • 5. 1. Mirai Botnet › TwitterNetflix,Github,Spotify, Guardian,Reddit,CNN › Telnet › Cihazların%2’siTelnetbağlantısında çokzayıfşifrelenmesiyada şifrelenmemesi › 6.4milyarcihazın%2’siaşağı yukarı 128milyonbotaçevriliyor. › Video (Kaynak:Bitdefender)
  • 7. 2. St. Jude Medical’de kardiyakcihazlarındaki açıklıklar › Kalptemposu ayarlayan cihazlar › 133 ülkede ürün › 4 kıtada21 üretim tesisi
  • 8. 3. Owlet WiFi Bebek kalp monitörü açıklığı › Verileri yakınındakihub’a kablosuz aktarma › Şifrelenmemiş Wifişebekesi
  • 9. 4. TRENDnet WebcamAçıklığı › Console Cowboys › 50.000 kamera › Savunmasız bir çok model › Shodan kullananPython script
  • 10. 5. Jeep Hack › Charlie Miller ve Chris Valasek › Dahili ağda bir CAN-bus (Controller Area Network) › Video (Kaynak: Wired)
  • 13. Güvenlik Zaafiyetlerinin Kaynakları 1. Sürat felakettir 2. Ucuzluk 3. x-KISS 4. Standartlar(lar…lar...lar)
  • 15. 1. Sürat Felakettir Eşit dağılımda bile: › Yılda 11.8 Milyar IoT › Saatte 1 MilyonIoT • Üretilmeli • Kurulmalı, devreyealınmalı Kaynak:IDC,Gartner,Accurate,Cisco 2016 (öngörü) 2020 2.8 Milyar Cihaz 50 Milyar Cihaz
  • 16. 2. TicariBaskı › Yeni ürünün piyasaya girme süresi › Ürünün ARGE maliyeti › Ürünün üretim maliyeti › + Yeni ekosistem
  • 17. 3. Karmaşık MimariYapı KISS:Keep It Simple, Secure Kaynak:Gartner
  • 20. Güvenliği nasıl sağlayacağız? 1. Agile (%80-%20) 2. Yapısal(%99,999)
  • 21. 1. IoTGüvenliği - Agile Üçaşama: 1. Çözümü anlayın 2. Mimari oluşturun(ve çizin) 3. Saldırgangibidüşünün
  • 22. 1. IoT Güvenliği - Agile Adım1: Çözümü anlayın › Ürün el kitapları › Belgeler › Satıcınınweb sitesinde yer alanbilgileri › Diğer kaynaklardanek ayrıntılar
  • 23. 1. IoT Güvenliği - Agile Adım2: Mimari bir diyagram oluşturun
  • 24. 1. IoT Güvenliği - Agile Adım3: Bir saldırgan gibidüşünün
  • 26. IoT “Saldırı Yüzeyi” Աı › Doğrulama › Oturum yönetimi › Veri yönetimi › Kayıt güvenliği › Devre dışı bırakma sistemi › Kayıp erişim prosedürleri › Açık metin kullanıcı adları › Açık metin şifreleri › Üçüncü parti kimlik bilgileri › Şifreleme anahtarları › Aygıt yazılımı çıkarma › Kullanıcı komut satırı › Yönetici komut satırı › Yetki yükseltme › Güvensiz duruma sıfırlama EKOSİSTEMERİŞİMKONTROLÜ CİHAZ HAFIZASI FİZİKSELARAYÜZ
  • 27. IoT “Saldırı Yüzeyi” Աı › SQLi › XSS › Kullanıcı adı listeleme › Zayıf şifreler › Hesap kilitleme › Bilinen kimlik bilgileri › Hassas veri sızdırma › Hassas URL bildirimi › Şifreleme anahtarları › Yazılım versiyonu › Bilgi açığı › Kullanıcı komut satırı › Yönetici komut satırı › DoS › Güvensiz şifre kurtarma mekanizması WEBARAYÜZ AYGIT YAZILIMI AĞ HİZMETLERİ
  • 28. IoT “Saldırı Yüzeyi” Աı › SQLi › XSS › Kullanıcı adı listeleme › Zayıf şifreler › Hesap kilitleme › Bilinen kimlik bilgileri › Şifrelenmemiş veriler › Keşfedilen anahtarlarile şifrelenmiş veriler › Veri bütünlüğü eksikliği › SQLi › XSS › Kullanıcı adı listeleme › Zayıf şifreler › Hesap kilitleme › Kimlik bilgileri YÖNETİCİARAYÜZÜ YERELVERİDEPOLAMA BULUTWEBARAYÜZÜ
  • 29. IoT “Saldırı Yüzeyi” Աı › Şifrelenmemiş bilgiler › Sızdırılmış cihaz bilgileri › Sızdırılmış lokasyon bilgisi › Güncelleme olmadan gönderilen veri › İmzalanmış güncelleme › Yazılabilir lokasyon güncellemesi › Bilinen kimlik bilgileri › Güvensiz veri depolama alanı › İki aşamalı kimlik doğrulama ÜÇÜNCÜ PARTİ ARKAPLANAPI'LERİ GÜNCELLEME MEKANİZMASI MOBİL UYGULAMA
  • 30. 2. IoT Güvenliği - Yapısal › IoT Güvenlik Yaşam Döngüsünü hayatageçirin › Tüm katmanlarıayrı ayrı ve bir aradadeğerlendirin › Düzenli ve süreklitehdit/risk analiziyapın
  • 35. IoTEdinmeden Önce Hatırlamanız Gereken 7 Madde 7. Uzaktandestek ve güncelleme becerisi 6. Girmeden önce çıkış(Değişikliği mimarinin parçasıolarak çalışın) 5. Teknoloji, üretici ve ürünü düzenli olarakdeğerlendirme 4. Esneklik(hep bir <B Planı>nızolsun) 3. Riskdeğerlendirmesi (güvenlik + sosyal, ticari,teknik) 2. Güvenlik = Yaşam döngüsü 1. Ürün,katman,teknoloji güvenliği ≠ IoT çözüm güvenliği