IoT Cihazlarda Güvenlik Testi Nasıl Yapılır?

Günümüzde, bir dosyayı açmak, kötü amaçlı bir bağlantıyı tıklamak ya da sahte bir web sitesine yönlendirmek gibi kullanıcıları kandırmaya yönelik işlemlerle çok sayıda siber saldırı meydana geliyor. Bilgisayar dünyasında kullanıcı risklerini anlamak bu açıdan kolay. Ancak konu IoT olduğunda kullanılan yöntemler de farklılık gösteriyor.

IoT cihazların tasarım prensipleri gereği, kullanıcıyla direkt olarak iletişim sağlayan bir arabirim olmasa da oldukça zayıf güvenlik önlemlerine sahiptir. Bu cihazlar açısından en büyük güvenlik zorluğu, farklı uygulamaların ve tek bir uygulama platformunun olmamasından kaynaklanır. Hemen hemen her üretici cihazları için farklı bir firmware üzerinden farklı protokolleri kullanmak üzere kendi mimarisini tasarlar. Bu yüzden IoT cihazların güvenlik seviyeleri üzerinde bir analiz gerçekleştirmeden önce bu mimarinin iyice anlaşılması, hangi bileşenlerin kendi aralarında nasıl iletişim kurduklarının belirlenmesi gerekir.

Bu noktada en pratik yaklaşım her bir bileşeni, etkileşimleriyle beraber olarak bir cihaz diyagramına yerleştirmektir. Böylece saldırıyı belirlemek daha kolaylaşır.
İlk aşamada cihazı açarak elektronik bileşenleri açıp, iletişim açısından değerlendirebilirsiniz. Örneğin seri bağlantılar, denetleyiciler, flash sürücüler ve arabirimler gibi bileşenlerde güvenlik açıklarını değerlendirebilir ve hangi bileşenlerin sizin için faydalı olduğunu belirleyebilirsiniz.

Diyagramı hazırladık peki ne aramamız gerekiyor? IoT cihazlarda güvenlik değerlendirmesi yapacaksanız ilk bakmanız gereken yer akışı engelleyebilecek ya da yönlendirebilecek herhangi bir şey olup olmadığını incelemektir. Örneğin Bluetooth, Wi-Fi veya bir TV için standart bir uzaktan kumanda gibi bir kızılötesi denetleyici aracılığıyla bir cihaza giren veya çıkan bir trafik trafiğini engelleyebilecek iletişim araçlarıyla işe başlayabilirsiniz.

Oyuncakları, IP kameraları, ev aletlerini ve diğer akıllı cihazları etkileyen, çok sayıda güvenlik açığı var. Üstelik üreticilerin çoğu, bileşenlerde veya iletişimdeki bilinen zayıf noktaları gidermek için yeterince güçlü güvenlik önlemleri uygulamıyor. Bu cihazların bazı bileşenleri arasında düz metin bilgisi göndermek, yetersiz şifreleme ya da herhangi bir kimlik doğrulamanın uygulanmaması en yaygın güvenlik açıklarının başında yer alıyor.

Geçtiğimiz aylarda araştırmacılar bazı bebek monitörlerindeki güvenlik açıkları belirledi. İnternet üzerinden çalışan bir ara yüz sunan ve ebeveynlerin hem görüntülü hem de sesli iletişim kurabildiği bazı bebek monitörleri, kimlik doğrulama yöntemi ve platformdaki başka bir güvenlik açığı nedeniyle siber saldırıların hedefi olabilir. Saldırganlar monitöre uzaktan ses gönderip,  monitör aracılığıyla farklı müzikler çalabilir. Bu cihazları kullananailelerin maruz kaldığı gizlilik ihlalleri düşünüldüğünde durum aoldukça tehlikeli bir boyut kazanıyor.

Evinizde akıllı cihazlar varsa ve kendi güvenlik testlerinizi kendiniz yapmak istiyorsanız, cihaz mimarisinin bir diyagramını hazırlayarak işe başlayabilirsiniz. Mimariyi anlamak, saldırının ne seviyede gerçekleşebileceğini ön görmek demektir. Ağ trafiğini engelleyerek, bilgilerin şifrelenip şifrelenmediğini analiz edebilir ve bunların nasıl manipüle edileceğini görerek olası güvenlik açıklarını araştırabilirsiniz. Bu gibi testleri yapmak için AttfyOS işletim sisteminin, kullanabileceğiniz en iyi araçlardan biri olduğunu da belirtelim.