Etiket arşivi: güvenlik

Siber Güvenlik

Schneier usta ‘yerli-milli yazılım’ hakkında ne düşünüyor?

Yorum yapın

Türkiye’de birkaç senede bir gündeme gelen ‘yerli milli yazılım’ konusu sadece ülkemizde tartışılmıyor. Özellikle Çin nüfusuna dayalı büyük pazar olma özelliğiyle bir yandan teknoloji şirketlerinin ağzını sulandırırken, diğer taraftan da kabul edilmesi zor şartları şirketlerin önüne koyuyor. Serbest piyasa ekonomisinin hayat bulduğu ABD’de dahi yabancı yazılımlar yasaklanarak yerlerini ABD menşeli güvenlik ürünlerine bırakması isteniyor. Peki güvenlikçiler bu konuda ne düşünüyor?

Estonya’nın başkenti Tallinn’de onuncusu düzenlenen stratejik siber güvenlik konferansı CyCon’a keynote konuşmacısı olarak katılan Bruce Schneier ilham verici ve çok iyi yapılandırdığı konuşmasında Türkiye’de de sıklıkla gündeme gelen ‘yerli-milli’ teknoloji konusu hakkında fikirlerini paylaştı.

Dünyaca ünlü güvenlik uzmanı Schneier, teknolojinin gelişimi ile ilgili olumsuz fikirleri ile biliniyor. Son zamanlarda yaptığı ‘IoT’nin gelişmesi durdurulmalı’ uyarısı bunun en iyi göstergelerinden birini oluşturuyor. Yerli-milli teknoloji ile ilgili görüşlerinden önce Schneier’in ufuk açısı konuşmasından bazı notları sizler için derledik:

Tüm dijital aygıtlar birer bilgisayar halini aldı. Örneğin cebinizdeki telefon değil, sizin başkalarını aramanızı sağlayan bir bilgisayar, arabalar artık dört tekerleği ve motoru olan bilgisayarlar, ATM’ler içinde para olan bilgisayarlar… Dolayısıyla geleneksel olarak İnternet Güvenliği olarak bilinen kavram artık ‘Her Şeyin Güvenliği’ olarak değişti ve bu alanda kazanılan tecrübe daha geniş bir uygulama alanı buldu.

“İnternet güvenliği ‘Her Şeyin Güvenliği’ne dönüşürken aşağıdaki derslerden faydalanılması gerekir,” diyen Schneier usta bugünkü dijital dünyamızın güvenliği hakkında 6 hakikati sıralıyor:

  1. Geliştirilen yazılımların büyük bir çoğunluğu güvenli değil

Yazılımların büyük çoğunluğu güvenli yazılmıyor. Piyasa güvenli yazılım için para ödemek istemiyor. İçerisinde hata olmayan yazılımın nasıl geliştireceğimizi bilmiyoruz. Geliştirilen yazılımların büyük çoğunluğunda güvenlik açığı olduğunu her ay bilgisayarımıza gelen güncellemelerden anlayabiliyoruz.

  1. İnternet güvenlik endişesi olmadan tasarlandı

İnternet tasarlanırken hiçbir zaman güvenli olsun diye bir kaygı taşınmadı. Bunu 2018’de söylemek biraz garip ama 70,80 ve 90’larda güvenlik ile ilgili bu düşünce kabul gören genel bir önermeydi. Bunun temel olarak iki sebebi var:

  • İnternet ilk ortaya çıktığında önemli şeyler için kullanılmıyordu.
  • Dünyanın büyük bir çoğunluğunun internete erişimi yoktu ve yakın zamanda erişimin önündeki bu engellerin aşılacağı öngörülmemişti.
  1. Genişletilebilirlik (Extensibility)

Dünyada bugün evrensel programlama diye bir kavramdan söz edebiliriz. Buna göre bilgisayarların işlevselliği sınırlanamaz. Bilgisayarlar ve dünyanın geri kalanı arasındaki fark budur. Ben büyürken evimizde bulunan kablolu telefonu ne kadar uğraşsam da bir telefondan fazlasını yapamazdı. Ama programlama ile bilgisayarlardaki işlevsellik sınırlanamayacak bir noktaya erişti.

Bu durumun en önemli etkilerinden bir tanesi sistemlerin sürekli olarak evrilmesi sonucu güvenliksizliğin oluşması. Çünkü cihazları programlayanlar gelecekte kullanıcıların cihazlarla yapabilecekleri sınırsız şeylerin hepsini öngöremezler.

Böyle bir açıdan baktığınızda ‘malware’ de aslında bir işlevsel geliştirmedir (functional upgrade). İhtiyacımız olmadığı halde, istemediğimiz halde dijital cihazlarımıza yüklenir.

  1. Karmaşıklık (Complexity)               

İnternet insanoğlunun bu zamana kadar geliştirdiği en karmaşık makine. Bir sistem ne kadar karmaşık ise o kadar saldırı noktasına sahip oluyor. İnsanoğlu bugün güvenlikli sistem geliştirebilmesine oranla daha hızlı şekilde ve daha karmaşık sistemler geliştiriyor. Yani güvenlik alanında önemli olumlu adımların atılması yadsınamaz ama diğer taraftan daha hızlı şekilde karmaşık sistemler kurmaya devam ediyoruz. Hatta kurduğumuz sistemler de daha karmaşık hale geliyor. Güvenlik testi çok daha zor hale gelirken, saldırganın savunma üzerindeki üstünlüğü perçinleniyor.

  1. Karşılıklı Bağlılıktan Gelen Güvenlik Zafiyeti (Vulnerability in Interconnectedness)

Herşeyin birbirine bağlı olduğu dünyada, bağlı olan taraflardan birindeki bir güvenlik zafiyeti, diğer tarafı da olumsuz etkiliyor. Mirai Botneti’nin tüm dünyayı kasıp kavuran DDoS saldırısı CCTV kameralarındaki bir açıklıktan meydana geldi. Aynı şekilde geçen sene Las Vegas’daki bir kumarhaneye siber saldırganlar internete bağlı akvaryum üzerinden sızmayı başardılar. Güvenli nesneler arasındaki güvenliksiz bağlantı da günün sonunda güvenliksiz bir dünyaya kapı açıyor.

  1. Saldırılar sürekli güçleniyor

Saldırılar her geçen gün daha hızlı, kolay ve güçlü hale geliyor. Bunun önemli nedenlerinden bir tanesi bilgisayarların daha güçlü hale gelmesi. Saldırganlar yeni teknikleri öğreniyorlar ve saldırılarını gerçekleştirmek için daha zekice yollar buluyorlar. Eğer kasırgaya karşı bir şey inşa ediyorsanız, kasırganın ya da diğer doğal afetlerin daha zeki hale gelmesini ya da yeni şartlara uyum sağlamasını beklemezsiniz.

Schneier, internet dünyasını güvenlik açısından resmeden 6 maddesini sıraladıktan sonra, kararların böyle bir ortamda verilmesi gerektiğinin altını çiziyor. İlk cep telefonu kuleleri yapıldığında kimsenin aklına, gerçek olmayan (fake) telefon kulesi gibi algılanabilecek cihazların yapılabileceği gelmiyordu. Fakat bugün telefonlardan bilgi almak için güvenliymiş gibi cep telefonlarıyla iletişim kuran cihazlar satılabiliyor. Saldırganlar duruma adapte olup yeni yollar bulurken, savunma tarafının adaptasyonu oldukça maliyetli.

Schneier’in dikkat çektiği maliyetleri açıklamak için cep telefonlarıyla yapılan iletişimin kriptolu hale gelmesi örneğini veriyor. Cep telefonları ile ilk baz istasyonu arasındaki iletişim zayıf şekilde kriptolanmış durumda. Çünkü cep telefonu altyapısı ilk kurgulandığı vakit güçlü bir kripto için daha fazla CPU gücü gerekiyordu ve bu gereksiz maliyet olarak görüldü.

Confidentiality (gizlilik) abartılıyor asıl tehlike integrity (bütünlük)

Medyaya yansıyan büyük hacklerin hepsinin CIA (Confidentiality, Integrity ve Availability – Gizlilik, Bütünlük ve Erişilebilirlik) üçlüsünden gizlilik ile ilgili olduğunun altını çizen uzman, bütünlük ve erişilebilirlik özelliklerinin fiziksel hayata etkilerinin daha büyük olduğunu belirtti.

Bir hastanedeki kişisel verilerin çalınması bilgi güvenliği açısından önemli bir olay. Ama daha tehlikeli olan hastanenin kayıtlarındaki hastaların kan gruplarının değiştirilmesi. Fiziksel dünyada etkileri açısından bütünlük ve erişilebilirlik açıklıklarının daha olumsuz sonuçlara neden olabileceği konusunda uyarıda bulundu.

El Kaide’nin yerli-milli kriptoloji teknolojisi: Mücahidin Sırları

Bruce Schneier konuşmasında ABD hükümetinin Kaspersky’e ve ZTE’ye karşı uyguladığı ‘yasaklama’ politikasına da değindi. Rus ve Çin’de yapılan telefonların, bilgisayarların ve de yazılımların güvensiz bulunmasının, yasağın arkasındaki temel neden olduğunu belirten uzman, böyle bir politikayı arz zincir konusu olarak tanımladı.

Bahsedilen ülkelerde üretilen teknolojilerin içine kullanıcılar üzerinden casusluk yapmak amacıyla kötücül yazılım konulduğuna dair bir ‘inanç’ olduğunu söyleyen Schneier, 2014 yılında Symantec ve Kaspersky’nin Çin’de yasaklandığını hatırlattı.

1997’de İsrail menşeli Check Point firmasının ürünlerinde İsrail hükümetinin erişimine açık bir arka kapı bırakıldığı haberlerinin olduğunu söyleyen Schneier, bir örnek de terör örgütü El Kaide’den verdi: Batılı şirketlerin ürettiği kriptolama teknolojilerinin güvenilmez olduğu kararını veren örgüt takipçilerine Mücahidin Sırları adlı bir kriptolama uygulaması kullanmasını tavsiye etmiş.

“Ürünü geliştiren firmanın hangi ülkede bulunduğu bir problem olarak karşımıza çıkıyor. (Elindeki iPhone’u göstererek) bu telefon bir ABD’li şirket tarafından üretilse bile Amerika’da üretilmedi. Bunun içerisindeki çiplerin, diğer cihazların üretildiği yerlere, yazılımının geliştirildiği yere, yazılım sürecine dahil olan programcıların mensubu olduğu ülkelere de güvenmemiz gerekiyor.”

Bunların dışından dağıtım mekanizmasına da güvenilmesi gerekiyor. Snowden belgelerinden öğrendiğimiz kadarıyla NSA, Cisco routerların içerisine kullanıcıları takip için bir arka kapı açıklığı yüklemiş. Yani üreticiler temiz olsa bile hangi ellerden geçip dijital cihazınızın size ulaştığı da güvenlik açısından önemli.

Schneier son olarak cep telefonu ekranlarında telefona kötücül yazılım bulaşabildiği bir örneği de verip konu hakkındaki düşüncesini ortaya koyuyor: “Ya kimseye güvenmeyeceğiz ya da herkese güvenmekten başka bir seçeneğimiz bulunmuyor.”

Teknoloji endüstrisinin birbirine çok bağımlı ve küresel bir karaktere sahip olduğunu bir kez daha söyleyen Bruce Schneier, “Apple’a telefonunda sadece Amerika’da üretilen parçaları kullan ve sadece Amerikalıların yazdığı kodu telefonun programına yerleştir diyemezsiniz,” dedi.

Siber Bülten abone listesine kaydolmak için formu doldurunuz

Siber Güvenlik

En zayıf şifreler yazıcılarda

Yorum yapın
Araştırmaya göre internete bağlı cihazlar arasındaki en zayıf şifreler yüzde 50 oranla yazıcılara ait.

İnternete bağlı cihazların güvenliğini korumak için uzmanların verdiği tavsiyelerin başında cihazla birlikte gelen varsayılan şifreleri değiştirmek geliyor.

Bitdefender Antivirüs’ün iki bin evi inceleyerek oluşturduğu istatistikler ise bu durumun aksini gösteriyor. Araştırmaya göre IP kameralarda ve depolama aygıtlarında güçlü şifre kullanma oranı daha yüksekken yazıcılar tehlikesiz görülüyor ve varsayılan şifreleri dahi değiştirilmiyor.

Araştırma sonuçları, yazıcı sahiplerinin cihazlarını aldıkları şirketin verdiği kullanıcı bilgilerini hiç değiştirmediğine ya da çok çabuk ele geçirilebilecek bir şifre seçtiklerine işaret ediyor. Ev ağının bir parçası olan yazıcılar, tıpkı diğer internet bağlantılı cihazlar gibi saldırı alanı olabiliyor. Bu cihazları korumasız bırakmak diğer cihazları da güvenlik önlemleri olmadan çalıştırmakla eşit derecede tehlike yaratıyor.

İlgili haber>> Bir ofis yazıcısı telefonunuzu hackleyebilir mi?

Örneğin iki yıl önce bir hacker, yazıcıların nasıl kötüye kullanılabileceğine dair tüm dünyaya örnek teşkil edecek bir saldırıya imza atarak ağ üzerinden pek çok yazıcıya sızmıştı. Hacker, Amerika’daki bazı okul, üniversite ve ofislerde bulunan toplam 20 binden fazla yazıcıya ırkçı mesajların yer aldığı bir el ilanı bastırma emri vermişti. Başka bir hacker ise geçtiğimiz yıl en az 160 bin yazıcıya istediği mesajları bastırmıştı.

Yetkisiz bir şekilde çıktı almak genelde kötü bir şaka düzeyinde görülüyor ancak bir siber saldırganın bundan daha fazla zarar verebileceği göz ardı edilmemeli. Çıktısı alınan önemli belgelere erişilmesi ve yazıcıların görevlerinin manipüle edilmesi her zaman olası bir risk olarak değerlendiriliyor. Yazıcılar aracılığıyla güvenlik önlemlerini aşılması ve yazıcılarla aynı ağı kullanan diğer sistemlere saldırılması da potansiyel bir tehdit olarak karşımıza çıkıyor.

Madalyonun öteki yüzünde ise, IP kameralar ve ağ bağlantılı depolama aygıtları bulunuyor. Bitdefender Antivirüs’ün araştırmasına göre, internete bağlı cihazlar arasından kameraların sadece yüzde 5’i, depolama aygıtlarının ise sadece yüzde 2’si güvenilir olmayan şifrelere sahip.

Kullanıcılara göre bir web cam, evin içini gösteren pencere gibi görülerek güvenliğinden vazgeçilmesi doğrudan özel hayatın gizliliği anlamına geliyor. Depolama aygıtlarında tutulan kişisel verilerin internet ağı üzerinden ele geçirilmesi de benzer sonuçlar vereceğinden, kullanıcılar bu iki cihazın güvenliğine daha çok dikkat ediyor.

Siber Bülten abone listesine kaydolmak için formu doldurunuz

ABD

ABD Başkanı’nın cep telefonu Allah’a emanet

Yorum yapın

ABD Başkanı Donald Trump’ın güvenlik ekibinin tavsiyelerini dinlemediği ve hacklenme ihtimaline karşı cep telefonunun düzenli olarak kontrol edilmesi girişimlerine direndiği belirtiliyor.

Söz konusu iddia Politico’nun haberinde yer aldı. İki üst düzey yöneticinin verdiği bilgilere göre Trump, Beyaz Saray’a ait bir cep telefonu kullanıyor ve söz konusu telefon başkanın iletişim ağını koruyacak ileri teknolojili güvenlik özellikleri ile donatılmış bir cihaz değil.

Arkadaşlarına ve milyonlarca Twitter takipçisine ulaşırken cep telefonlarına itimat eden Trump, güvenlik ekibinin telefonun güvenliğini güçlendirme yönündeki çabalarına şiddetle karşı çıkıyor.

Bu, Trump’ın telefon kullanımını gündeme getiren ilk olay değil. Şubat 2017’de İç Güvenlik Komisyonu’ndan iki senatör, Başkanın hala 2012’de piyasaya çıkan Samsung Galaxy S3 kullanıyor olmasından dolayı endişelerini dile getirmişti. Ardından güvenlik odaklı düşünen uzmanlar, ABD Başkanı Trump’ın elinden bu cep telefonunu alınması, yerine de iki iPhone verilmesi için uğraşmıştı. Geçtiğimiz yıl Mayıs ayında da Başkan, dünya liderlerine çağrıda bulunarak kendisine cep telefonundan ulaşabileceklerini söylemiş, söz konusu çağrı Saray’ın güvenlik uzmanlarını alarma geçirmişti.

Trump’a verilen iPhone’lardan biri Twitter için ve önceden yüklenmiş haber sitelerine sahip. Diğer iPhone ise konuşma yapmak için. Çalışan bir kamera ve mikrofona sahip telefonun GPS’i ise hizmet dışı bırakılmış.

Politico’ya göre Trump’ın düzenli güvenlik kontrolleri yapılması için vermekten çekindiği iPhone, başkanın twit attığı telefon.

Trump, yardımcılarının kendisinden Twitter’ı kullandığı iPhone’u aylık olarak temizlemesi gerektiği yönündeki isteğini ‘fazlasıyla uygunsuz’ diyerek geri çevirmiş. 

Trump’ın beş ay boyunca telefonunu güvenlik uzmanlarınca kontrol edilmeden kullandığı biliniyor. Başkanın arama kabiliyetli telefonlarının–ki bunlar tek kullanımlık telefon olarak kullanılıyor- ne sıklıkla temizlendiği konusu ise net değil.

Trump ısrarında devam etse de risk çok uzağında değil. Geçtiğimiz yıl Beyaz Saray Genel Seketeri John Kelly’nin akıllı telefonunun gizliliği ihlal edilmişti.

Siber Bülten abone listesine kaydolmak için formu doldurunuz

Siber Güvenlik

Telefonunuzu güvenlik sistemine çeviren uygulama Snowden’dan

Yorum yapın

Muhalifler, aktivistler ya da baskı rejimlerinde yaşayan gazeteciler gibi dünyanın en hassas teknoloji kullanıcılarının korkması gereken tek şey hackerlar ya da online izlemeler değil. Şu bir gerçek ki polis, istihbarat elemanları ya da diğer davetsiz misafirler aniden evlerinize, otel odalarınıza ya da ofislerinize baskın yapabilecek güce sahipler. Bahsi geçen kişiler, bilgisayarlarınızın ayarlarını değiştirebilir dahası onları çalabilirler. Hatta şifrelerinizi söyletene kadar sizi gözaltında tutabilirler.

Bu tehlikeyle mücadele etmek adına çok yeni, ucuz ve mobil bir fiziksel güvenlik sistemi tanıtıldı. Söz konusu sistemi tanıtan kişi, vatandaşların dijital takibine karşı mücadelesi ile bilinen dünyanın en tanınmış aktivistlerinden Edward Snowden. Snowden’ın başkanlığını yaptığı Basın Özgürlüğü Vakfı geçtiğimiz Cuma günü, Haven adlı uygulamayı tanıttı. Haven herhangi bir Android telefonu hanenize sizin bilginiz dışında yapılan bir girişi tespit edebilen çok işlevli bir sensöre dönüştürüyor.

İlgili haber>> Snowden Türkiye’de ilk kez konuştu

Ucuz bir Android burner’a (kullan at telefonlar) yüklenecek şekilde tasarlanmış olan Haven, telefonun kamerasını, mikrofonunu hatta herhangi bir hareketi, sesi ya da telefona müdahaleyi görüntülemek için ‘hız ölçeri’ kullanıyor. Uygulamayı çalışır halde iken otel odanızda bıraktığınızda siz dışarıdayken odanıza giren birinin fotoğraflarını çekebiliyor, sesini kaydediyor. Daha sonra telefona kaydedilen bilgiler anında sizin kişisel telefonunuza gönderiliyor.

Snowden, uygulamayı anlatırken şu ifadeleri kullandı: “Bir bekçi köpeğinizin olduğunu düşünün. Otele gidiyorsunuz ve yanınızda köpeğinizi de götürüyorsunuz. Dışarı çıktığınızda ise köpeği otel odasında bırakıyorsunuz. Köpeğiniz çok zeki ve odada olan biten her şeyi kaydediyor.”

Evinizde ya da ofisinizde ses kaydı ya da görüntü alan ve bunları internetten başka bir cihaza gönderen bir uygulama, bir güvenlik sisteminden ziyade özel hayatın ihlali gibi algılanabilir. Ancak Snowden buna karşı bazı önlemler almış. Bunun için şifreli mesajlaşma uygulaması sinyali entegre edilmiş. Kullanıcıya gönderilen her bir alarm, fotoğraf ve ses klibi uçtan uca şifreleniyor.

Siber Bülten abone listesine kaydolmak için doldurunuz

Lostar

Murat Lostar: IoT hayatımızın gerçeği o halde güvenlik kaçınılmaz

Yorum yapın

Nesnelerin interneti (‪Internet of Things) ya da kısa adıyla ‪IoT günlük hayatımızda ciddi değişikliklere sebep olacak büyük bir dijital endüstriyel dönüşüm olarak nitelendiriliyor.

IoT, genel olarak, fiziksel nesnelerin internet bağlantısı için bir IP adresine sahip olup diğer internet erişimli cihazlar ve sitemler ile haberleşme halinde olması şeklinde tanımlanıyor.

Tanımlanan bu devrim çerçevesinde nesnelerin dünya üzerinde farklı lokasyonlarda olmaları kendi aralarında belirli bir protokol üzerinden iletişim kurmasına engel değil.

Gelişen IoT teknolojisi ile otomobiller arası iletişim sistemleri, hasta takip sistemleri, akıllı evler ve şehirler gibi uygulamaların yaygınlaşması öngörülüyor. Fakat Lostar CEO’su Murat Lostar’a göre bu dönüşüm önemli güvenlik tehditlerini de beraberinde getiriyor.

İLGİLİ LOG YAZISI >> CIA VAULT 7 BELGELERİ ÜZERİNE

Geçtiğimiz hafta Nesnelerin İnterneti Topluluğu (IoTxTR) etkinliği çerçevesinde konuşan Lostar, gelişmiş IoT teknolojisinin anlamanın yolunun büyük resme bakmaktan geçtiğini söyledi.

“Bugüne nasıl geldik ve neden buradayız, bu iki kavramı anlamak hem bugünü kavramamıza hem de bundan sonra ne olacağını anlamamıza yardımcı oluyor.” diyor Lostar.

1784 yılında buhar gücüne dayalı üretimle gerçekleşen Birinci Sanayi Devrimi ve 1870 yılında elektrik enerjisinin kullanımıyla başlayan İkinci Sanayi Devrimi’ni hatırlatan Lostar, 1969 yılında bilgisayar ve  otomasyon ile Üçüncü Sanayi Devrimi’nin başladığını ve sanayinin son yıllarda Endüstri 4.0 ya da Sanayi 4.0 adıyla dördüncü evresine girdiğini aktardı.

Dördüncü sanayi döneminde geleneksel sanayinin dijitalleşme yönünde evrilip her biri farklı bilgisayar tarafından yönlendirilen makinelerin bir bütün olarak ana bilgisayarların kontrolüne gireceği ve bu şekilde fabrikaları makinaların yöneteceği öngörülüyor.

“Bu devrim hem temelde robotların artık kendi başına hareket edebilmesi otonom olması, hem de  fiziksel dünya ile siber dünyanın birbirine yaklaşması durumu.”

IoT ile bilgi güvenliğinin yeni formülü ‘CIA-S’ olacak      

Lostar’a göre IoT’nin hayatımıza girmesi bizleri yanına bir harf daha eklemek zorunda bıraktı .“S harfi ekledik yani safety (güvenlik).”

Tecrübeli CEO, gelişen IoT teknolojisinin güvenlikte de çok önemli değişiklilere sebep olduğunun altını çiziyor.

“Temelde veriyi konuştuğumuz için verinin üç önemli güvenlik özelliğinden bahsetmek zorundayız. Gizlilik, bütünlük,  kullanılabilirlik, yani GBK, İngilizcesi ise CIA (confidentiality, integrity, and availability). Bunlar olmadan verinin güvenliğinden bahsedemeyiz.”

“IoT hayatımızın gerçeği ve gittikçe artacak” diyen Lostar’a göre bu IoT’yi tanımak ve anlamak için kabullenilmesi gereken ilk nokta.

Amerikalı teknoloji araştırma şirketi Gartner’ın dörde böldüğü IoT domainlerinden örnek veren Lostar’a göre,  her IoT çözümü birbirinin aynı olmadığı gibi domainler de beklenti açısından birbirinden çok farklı.

Gartner, IoT domainlerini dikey pazarlar(endüstri, üretim perakende eğlence sağlık vb.), bina otomasyonu (akıllı binalar akıllı şehirler akıllı altyapı vb.), M2M (makinalar arası iletişim teknolojisi) bağlı ulaşım araçları ve bireysel üretim tüketim IoTler olarak ayırıyor.

Geçtiğimiz yıllarda yaşanan Mirai Botnet DDoS saldırısını ve TrendNet web cam saldırılarını örnek gösteren Lostar’a göre güvenlik zafiyetleri dört  ana sebepten kaynaklanıyor.

“Sürat felakettir, ucuzluk, x-KISS ve standartlar.” diyor Lostar.

“2016 sonu  itibariye 2.8 milyar tane cihaz olduğu öngörülüyor ve yine tahminlere göre 2020 sonunda birbiriyle bağlantılı 50 milyar cihaz olacak. Saatte bir milyon tane cihazın üretilmesi, kurulması ve devreye alınması gerekiyor. IoT ile ilgili bir fikri üretmek için bir saat kaybetmek bile size çok fazla pazar payı kaybettirebilir. Dolayısıyla  çok hızlı olmak gerekiyor, ama hızlı olmak bir şeylerden feragat etmek anlamına geliyor. Bu da güvenlik oluyor maalesef.”

CEO’ya göre, güvenlik zafiyetlerinin  diğer sebepleri ticari baskı ve karmaşık mimari yapı.

“KISS, yani Keep It Simple Secure, Basit ve kullanışlı ama güvenli olması gerekiyor.”

Güvenli ile ilgili en önemli sıkıntılardan bir diğeri ise çok fazla sayıdaki standartlar.

“Bir sürü standart görüyorsunuz. Bir sürü çözüm oyuncusu kendi standardını ortaya koymaya çalışıyor. Bu standartlara baktığımda iki problem görüyorum. Bir, çok sayıdalar, iki hiçbir tek standart bütün resmi kaplamayı başaramıyor. Bu da ne demek herhangi bir IoT çözümü yaratan ve IoT sistemi kullanmak isteyen kişinin bir çok standardı aynı anda değerlendirmesi gerekiyor.”

-Yöntem basit : Hızlı ve daha güvenli

Bütün bunların sonunda güvenliği nasıl sağlayacağız sorununa Lostar, iki temel çözüm öneriyor: hızlı ve daha güvenli.

“Hızlı olmak istiyorsak yöntem basit. Çözümü anlayın. Ben ne alıyorum, ne satıyorum. Saldırgan gibi düşünün. Ben saldırgan olsam ne yaparım. Bir güvenlik yaşam döngüsü hayata geçiriyor olmak gerekiyor.” diyor Lostar.

Detaylara dikkat edilmesi gerektiğini ve en zayıf halka insan faktörünün asla unutulmaması gerektiğine değinen Lostar, 7 tane çözüm maddesi öneriyor.

Lostar’a göre, bunlar IoT edinmeden önce ve aslında yeri gelince piyasaya sunmadan önce kendimize sormamız gereken 7 madde:

  1. Ürünün güvenli olması, kullandığımız ilgili iletişim katmanının güvenli olması ya da teknolojinin güvenli olması IoT çözümünün güvenli olması anlamına gelmez. Bütünün güvenliğini sağlamış olmam gerekiyor.
  1. Güvenlik bir yaşam döngüsüdür. Güvenliği öncelik haline getirin.
  1. Risk değerlendirmesi yapmak önemli ve bunu yapmak sadece güvenlik değil sosyal ticari teknik olarak da ürünü almadan önce son derece önemli.
  1. Esneklik çok önemli, çünkü bir şey olduğu anda hareket edebiliyor olmak lazım her zaman bir B planınız olsun. Özellikle hayatınızı IoT üzerinden yönetiyorsanız.
  1. Değişikliği IoT mimarinin bir parçası olarak düşünün ve çalışın. Bu son derece önemli. Teknolojiyi ‘aldık kullandık, çok iyiyiz’ demeyin. Ürünü düzenli olarak değerlendirin. Hala bu ürün ve teknolojiyle devam etmeliyim sorusunu sorgulamak çok önemli.
  1. Girmeden önce nasıl çıkacağınızı bilin.
  1. Uzaktan destek ve güncelleme becerisi var mı? Otomatik ve uzaktan yapılabiliyor olması gerekiyor, ve hackerın bunu yapamıyor olması lazım.

Siber Bülten abone listesine kaydolmak için doldurunuz!