Etiket arşivi: IoT

Makale & Analiz

Robotlar, Güvenlik ve Mahremiyet

Yorum yapın

Robotlar hayatımızın büyük bir bölümünde yer almaya ve hayatımıza artan bir hızla etki etmeye başladı. Evinizde kullandığınız temizlik robotundan tutun endüstriyel üretim, savunma sanayii ve diğer birçok alanda sayıları her geçen gün artıyor. Örneğin, Amazon’un yirmi ana dağıtım deposunda toplam 45 bin robot çalışıyor. Geçen yıl bu rakam 30 bin, ondan önceki yıl 15 bin civarındaydı. Yani Amazon her yıl kadrosuna 15 bin robot katıyor. (Bilim ve Teknik, Şubat 2017)

Günümüzde bu robotlar kendi kendini programlayabiliyor, çevresini algılayıp kararlar alabiliyor. Bundan 100 yıl kadar öncesini düşündüğümüzde, günümüzdeki bu teknolojiler akla getirilmesi imkansız fikirler olarak görülürdü. Ancak teknoloji inanılmaz bir hızla ilerliyor. Ray Kurzweil’e göre 2045 yılında üretilecek bir yapay zeka, bugünkü insan nüfusunun toplam zekasından 1 milyar kat daha güçlü olacak. (Predictions made by Ray Kurzweil)

Yapay zekanın ve robotların kullanımı, kuşkusuz işgücü, zaman ve masraf bakımından bize birçok fayda sağlayacak. Ancak getireceği faydanın yanında birtakım sorunlar doğurması da söz konusu olabilir. Gelişmiş sensörler ile gözlem yeteneğine sahip, her türlü şekil ve boyuttaki robotlar, özel hayatın gizliliği ve kişisel verilerin güvenliği konuları üzerinde dikkatle durmayı gerektiriyor. Güvenlik ve gözlem amaçlı olarak robotlar pek çok alanda kullanıyor.

Örneğin, insansız hava araçları havada fark edilmeden günlerce kalabiliyor ve geniş bir coğrafyayı tarayabiliyor. Bu bakımdan ordu ve kolluk güçleri bu teknolojiyi kullanmaya başlamış durumda. Bunun yanında hükümetler, gözlem izlenimi yaratarak istenmeyen davranışları önlemek için sosyal robotları kullanma eğiliminde. Bilgisayar korsanları açısından ise robotik teknolojilerin saldırıya açık alanları, özel yaşama ilişkin bilgilere ulaşabilmek için yeni bir fırsat sunuyor.

Sosyal hayatta kullanılan bu robotlar, ticari işletmeler için veri toplama bakımından harika bir imkan oluşturuyor. Japonya’da kullanılan alışveriş asistanlarını düşünün. (https://www.youtube.com/watch?v=q4pzNl2vQOM ) Bu makineler müşterileri tanımlayıp onlara erişir ve ürünlere yönelik rehberlik etmeye çalışır. Ancak sıradan mağaza çalışanlarının aksine robotlar işlemin her alanını kaydedebilir ve işleyebilir. Yüz tanıma teknolojisi sayesinde yeniden kolayca tanımlayabilir. Bu müşteri verileri, hem kayıp önleme hem de pazarlama araştırmalarında kullanılabilmektedir. (Ryan Calo, Robot and Privacy, sf.4)

Bunun dışında ev robotlarını düşünelim. Standart ve kızılötesi kameralarla, koku algılayıcılarla, GPS ve diğer sensörlerle donatılabilirler. Bu robotlar, aslında gizlilikle ilgili birçok farklı tehlikeyi de beraberinde getiriyor. Örneğin, evin içinde internete bağlanabilen bir robotun kullanılması, evin iç mekanının görüntülenmesinin yolunu açabilir, tek başına kaldığımız özel alanlara girerek mahremiyeti azaltabilirler. Harika “hafızaları” sayesinde elde ettikleri bilgilerimizi depolayabilirler ve daha da kötüsü bunları başkalarıyla paylaşabilirler.

Tamara Denning, Tadayashi Kohno ve Washington Üniversitesi’ndeki meslektaşları tarafından yapılan bir çalışma, piyasada bulunan ev robotlarının güvensiz olduğunu ve bilgisayar korsanları tarafından ele geçirilebildiğini gösteriyor.( https://sensor.cs.washington.edu/pubs/ubicomp_robots_authors_copy.pdf) Washington Üniversitesi’ndeki araştırmacılar, her biri kameralarla donatılmış, kablosuz ağ oluşturma özelliğine sahip üç robota, WowWee Rovio, Erector Spykee ve WowWee RobotSapien V2’ye baktı. Sonuç, korsanlar, örneğin Rovio veya Spykee’nin veri akışlarını belirleyebilir ve yakındaki konuşmaları dinleyebilir veya robotu çalıştırabilirler.( Calo, sf.9)

Facebook kurucusu Zuckerberg’nin geçtiğimiz yıl laptop kamerasını ve mikrofon girişini bantlaması gündeme gelmişti. Web kameralara karşı güvensizlik bu noktada iken; kaydetme, aktarma, hareket edebilme ve kontrol edilebilme özellikleri sebebiyle ev robotları, güvenlik açığı duygusunu daha da artırmaktadır.

Bunun sonucunda hukuki ve teknik sorunlar oluşabileceği gibi etik sorunlarla da karşılaşmamız muhtemel. Örneğin, antropomorfik özelliklere sahip sosyal robotlara karşı insanlar paylaşımda bulunmaya daha meyilli olabilecektir. Bu da kişilerle ilgili bilgi toplayabilmek adına kötüye kullanımın önünü açabilir.

Hukuksal açıdan ise; örneğin, eşinin sadakatsizliğini ortaya çıkarmak isteyen bir eş, robotun verilerine başvurabilir mi? Ya da hükümetler devlet güvenliği, gizliliği gereği evin içini izleyebilir mi? gibi sorular mahremiyet ve güvenlik ile ilgili sorunlara işaret etmektedir.

Bu alanla ilgili olarak, robotik teknolojiye uygulanabilecek mevzuat ise şu şekildedir:

Avrupa Birliği Temel Haklar Şartı’nın 8. Maddesi,

2016/679/EU sayılı Tüzük,

95/46/EC sayılı Direktif,

2002/58/EC sayılı Direktif,

2009/136/EC sayılı Direktif,

45/2001 sayılı Tüzük

Yukarıda aktarılan mevzuat kapsamında, veri işlemenin süjesi olan kişinin sürece dair bütün aşama ve olaylarla alakalı olarak önceden bilgilendirilmesi, bir verinin süjesinin veri işleme sürecinin kontrolüne sahip olması ve bu sürece itiraz edebilmesinin her zaman mümkün olması şeklinde düzenlemeler öngörülüyor. Robotların veri kullanımı söz konusu olduğunda da bu düzenlemelerin aynı şekilde geçerli olacağı söylenebilir.( Çağlar Ersoy, Robotlar, Yapay Zeka ve Hukuk, sf.72,73)

Sonuç olarak, robotların sosyal hayatımızın vazgeçilmez bir parçası olması uzak bir gelecek değil. Durum gösteriyor ki, mahremiyet ve güvenlik ile ilgili hukuki düzenlemeler yapılmasına ihtiyaç duyulacaktır. Bu düzenlemeler gerekli teknik standartlar oluşturulup,  robotların sosyal boyutu da dikkate alınarak yapılmalıdır.

Siber Bülten abone listesine kaydolmak için doldurunuz!

Lostar

Murat Lostar: IoT hayatımızın gerçeği o halde güvenlik kaçınılmaz

Yorum yapın

Nesnelerin interneti (‪Internet of Things) ya da kısa adıyla ‪IoT günlük hayatımızda ciddi değişikliklere sebep olacak büyük bir dijital endüstriyel dönüşüm olarak nitelendiriliyor.

IoT, genel olarak, fiziksel nesnelerin internet bağlantısı için bir IP adresine sahip olup diğer internet erişimli cihazlar ve sitemler ile haberleşme halinde olması şeklinde tanımlanıyor.

Tanımlanan bu devrim çerçevesinde nesnelerin dünya üzerinde farklı lokasyonlarda olmaları kendi aralarında belirli bir protokol üzerinden iletişim kurmasına engel değil.

Gelişen IoT teknolojisi ile otomobiller arası iletişim sistemleri, hasta takip sistemleri, akıllı evler ve şehirler gibi uygulamaların yaygınlaşması öngörülüyor. Fakat Lostar CEO’su Murat Lostar’a göre bu dönüşüm önemli güvenlik tehditlerini de beraberinde getiriyor.

İLGİLİ LOG YAZISI >> CIA VAULT 7 BELGELERİ ÜZERİNE

Geçtiğimiz hafta Nesnelerin İnterneti Topluluğu (IoTxTR) etkinliği çerçevesinde konuşan Lostar, gelişmiş IoT teknolojisinin anlamanın yolunun büyük resme bakmaktan geçtiğini söyledi.

“Bugüne nasıl geldik ve neden buradayız, bu iki kavramı anlamak hem bugünü kavramamıza hem de bundan sonra ne olacağını anlamamıza yardımcı oluyor.” diyor Lostar.

1784 yılında buhar gücüne dayalı üretimle gerçekleşen Birinci Sanayi Devrimi ve 1870 yılında elektrik enerjisinin kullanımıyla başlayan İkinci Sanayi Devrimi’ni hatırlatan Lostar, 1969 yılında bilgisayar ve  otomasyon ile Üçüncü Sanayi Devrimi’nin başladığını ve sanayinin son yıllarda Endüstri 4.0 ya da Sanayi 4.0 adıyla dördüncü evresine girdiğini aktardı.

Dördüncü sanayi döneminde geleneksel sanayinin dijitalleşme yönünde evrilip her biri farklı bilgisayar tarafından yönlendirilen makinelerin bir bütün olarak ana bilgisayarların kontrolüne gireceği ve bu şekilde fabrikaları makinaların yöneteceği öngörülüyor.

“Bu devrim hem temelde robotların artık kendi başına hareket edebilmesi otonom olması, hem de  fiziksel dünya ile siber dünyanın birbirine yaklaşması durumu.”

IoT ile bilgi güvenliğinin yeni formülü ‘CIA-S’ olacak      

Lostar’a göre IoT’nin hayatımıza girmesi bizleri yanına bir harf daha eklemek zorunda bıraktı .“S harfi ekledik yani safety (güvenlik).”

Tecrübeli CEO, gelişen IoT teknolojisinin güvenlikte de çok önemli değişiklilere sebep olduğunun altını çiziyor.

“Temelde veriyi konuştuğumuz için verinin üç önemli güvenlik özelliğinden bahsetmek zorundayız. Gizlilik, bütünlük,  kullanılabilirlik, yani GBK, İngilizcesi ise CIA (confidentiality, integrity, and availability). Bunlar olmadan verinin güvenliğinden bahsedemeyiz.”

“IoT hayatımızın gerçeği ve gittikçe artacak” diyen Lostar’a göre bu IoT’yi tanımak ve anlamak için kabullenilmesi gereken ilk nokta.

Amerikalı teknoloji araştırma şirketi Gartner’ın dörde böldüğü IoT domainlerinden örnek veren Lostar’a göre,  her IoT çözümü birbirinin aynı olmadığı gibi domainler de beklenti açısından birbirinden çok farklı.

Gartner, IoT domainlerini dikey pazarlar(endüstri, üretim perakende eğlence sağlık vb.), bina otomasyonu (akıllı binalar akıllı şehirler akıllı altyapı vb.), M2M (makinalar arası iletişim teknolojisi) bağlı ulaşım araçları ve bireysel üretim tüketim IoTler olarak ayırıyor.

Geçtiğimiz yıllarda yaşanan Mirai Botnet DDoS saldırısını ve TrendNet web cam saldırılarını örnek gösteren Lostar’a göre güvenlik zafiyetleri dört  ana sebepten kaynaklanıyor.

“Sürat felakettir, ucuzluk, x-KISS ve standartlar.” diyor Lostar.

“2016 sonu  itibariye 2.8 milyar tane cihaz olduğu öngörülüyor ve yine tahminlere göre 2020 sonunda birbiriyle bağlantılı 50 milyar cihaz olacak. Saatte bir milyon tane cihazın üretilmesi, kurulması ve devreye alınması gerekiyor. IoT ile ilgili bir fikri üretmek için bir saat kaybetmek bile size çok fazla pazar payı kaybettirebilir. Dolayısıyla  çok hızlı olmak gerekiyor, ama hızlı olmak bir şeylerden feragat etmek anlamına geliyor. Bu da güvenlik oluyor maalesef.”

CEO’ya göre, güvenlik zafiyetlerinin  diğer sebepleri ticari baskı ve karmaşık mimari yapı.

“KISS, yani Keep It Simple Secure, Basit ve kullanışlı ama güvenli olması gerekiyor.”

Güvenli ile ilgili en önemli sıkıntılardan bir diğeri ise çok fazla sayıdaki standartlar.

“Bir sürü standart görüyorsunuz. Bir sürü çözüm oyuncusu kendi standardını ortaya koymaya çalışıyor. Bu standartlara baktığımda iki problem görüyorum. Bir, çok sayıdalar, iki hiçbir tek standart bütün resmi kaplamayı başaramıyor. Bu da ne demek herhangi bir IoT çözümü yaratan ve IoT sistemi kullanmak isteyen kişinin bir çok standardı aynı anda değerlendirmesi gerekiyor.”

-Yöntem basit : Hızlı ve daha güvenli

Bütün bunların sonunda güvenliği nasıl sağlayacağız sorununa Lostar, iki temel çözüm öneriyor: hızlı ve daha güvenli.

“Hızlı olmak istiyorsak yöntem basit. Çözümü anlayın. Ben ne alıyorum, ne satıyorum. Saldırgan gibi düşünün. Ben saldırgan olsam ne yaparım. Bir güvenlik yaşam döngüsü hayata geçiriyor olmak gerekiyor.” diyor Lostar.

Detaylara dikkat edilmesi gerektiğini ve en zayıf halka insan faktörünün asla unutulmaması gerektiğine değinen Lostar, 7 tane çözüm maddesi öneriyor.

Lostar’a göre, bunlar IoT edinmeden önce ve aslında yeri gelince piyasaya sunmadan önce kendimize sormamız gereken 7 madde:

  1. Ürünün güvenli olması, kullandığımız ilgili iletişim katmanının güvenli olması ya da teknolojinin güvenli olması IoT çözümünün güvenli olması anlamına gelmez. Bütünün güvenliğini sağlamış olmam gerekiyor.
  1. Güvenlik bir yaşam döngüsüdür. Güvenliği öncelik haline getirin.
  1. Risk değerlendirmesi yapmak önemli ve bunu yapmak sadece güvenlik değil sosyal ticari teknik olarak da ürünü almadan önce son derece önemli.
  1. Esneklik çok önemli, çünkü bir şey olduğu anda hareket edebiliyor olmak lazım her zaman bir B planınız olsun. Özellikle hayatınızı IoT üzerinden yönetiyorsanız.
  1. Değişikliği IoT mimarinin bir parçası olarak düşünün ve çalışın. Bu son derece önemli. Teknolojiyi ‘aldık kullandık, çok iyiyiz’ demeyin. Ürünü düzenli olarak değerlendirin. Hala bu ürün ve teknolojiyle devam etmeliyim sorusunu sorgulamak çok önemli.
  1. Girmeden önce nasıl çıkacağınızı bilin.
  1. Uzaktan destek ve güncelleme becerisi var mı? Otomatik ve uzaktan yapılabiliyor olması gerekiyor, ve hackerın bunu yapamıyor olması lazım.

Siber Bülten abone listesine kaydolmak için doldurunuz!

 

 

Siber Güvenlik

Parola son nefesini veriyor, telefonunuz sizi tansiyonunuzdan tanıyacak

Yorum yapın

Bilgi güvenliği denilince akla gelen tüm bu uyarılar ne hesapların daha güvenli hale gelmesine yaradı ne de milyonlarca parolanın çalınarak darknette satılmasına engel oldu.

Kullanıcıların parola yönetiminde ısrarla aynı hataları yapmaya devam etmesi ABD Ulusal Stadartlar ve Teknoloji Enstitüsü’nü (NIST) bezdirmiş olacak ki, kurum parola yönetimi konusunda yeni yaklaşımlara yöneldi. Yeni bir çözüm üzerinde çalışan uzmanlar Davranışsal Biometrik Teknolojileri bilgi güvenliğinin yeni garantisi olarak görüyor.

İlgili haber>> Bilgisayarın şifresi “siz” olsanız?

Perde arkasında çalışan davranışsal biometrik teknolojiler kullanıcının dijital cihazla nasıl bir etkileşim kurduğunu analiz ediyor. Cihaza temas eden parmağınızdaki kan basıncından, klavye kullanma hızınıza ve telefonunuzu elinizde hangi açıyla tuttuğunuza kadar bir çok faktör dikkate alınarak ‘öğrenilen’ kullanıcı alışkanlıkları parolanın yerini alacak.

Davranışsal biometrik aktiviteler kopyalanamaz ve bir noktaya kadar hacklenemez olarak kabul ediliyor. Bir kişinin telefonunu nasıl kullandığına dair alışkanlıkları çok zor kopyalanabilir.

Bir kullanıcı cihazı eline aldığında biometrik davranışsal özelliklerinden oluşan çeşitli kombinasyonlara göre bir ‘güven skoru’ kazanacak. Yeterli skoru alabilmiş ise ‘sahip’ olarak işlemlerine izin verilecek; eğer gerekli skorun altında performans geöstermiş ise kişinin herhangi bir işlem yapmasına izin verilmeyecek.

Biometrik teknolojilerin multi-faktör doğrulamalara göre büyük bir avantajı bulunuyor. Multi-faktör doğrulama sizin bildiklerinizin bir kombinasyonundan oluşuyor. Sahip olduğunuz evcil hayvan, yeni bir parola ya da ilkokuldaki sıra arkadaşınız. Fakat hiçbiri ele geçirilemez değil.

İlgili haber>> Facebook karaborsada şifreleri satın alıyor

Sayısı gittikçe artan veri sızıntıları ve mahremiyet sorunları da parola ve diğer yöntemlerin istenen amaca hizmet etmediğinin göstergesi. Davranışsal biometrik aktiviteler kopyalanamaz ve bir noktaya kadar hacklenemez olarak kabul ediliyor. Bir kişinin telefonunu nasıl kullandığına dair alışkanlıkları çok zor kopyalanabilir.

Otomatize edilmiş botların daha kolay tespit edilebilmesini sağlayan biometrik teknolojiler ortaklaşa kullanılan cihazlarda her kullanıcının kendisini tanımlayarak kaydetme zorunluluğu da ortadan kaldıracak.

Parolalar bazı bazı durumlarda dijital hayatın bir parçası olarak kalmak zorunda ama mobil cihazlarla olan etkileşim arttıkça ve akıllı kartlarla donatılmış IoT pazarı büyüdükçe parola ve ek güvenlik kodları yerini ‘dokunuşlarımıza’ bırakacağa benziyor.

Siber Bülten abone listesine kaydolmak için doldurunuz!

Siber Saldırılar

Beyaz eşyaya yeni kıstas geliyor: Siber güvenlik

Yorum yapın

İnternet artık günlük yaşantımızın ayrılmaz bir parçası hale gelirken, hayatımızı kolaylaştıran web bağlantılı nesnelerin güvenlik zaafiyetleri ise yetkilileri düşündürüyor. Teknoloji ülkesi Japonya bu konuyu erkenden gündemine alan ülkelerin başında geliyor.

Japon İçişleri ve İletişim Bakanlığı bu kapsamda gelecek yıl bir sertifika sistemi uygulamayı planlıyor. Bu çerçevede internete bağlanabilen ev aletleri ve diğer gereçler, siber saldırılara karşı dirençlerine göre derecelendirilecek. Müşteriler de Internet of Things (IoT) (Nesnelerin İnterneti) olarak adlandırılan webe bağlanabilen nesneleri almak istediklerinde bakanlığın vereceği sertifikaya bakarak siber güvenlik açısından hangi ürünün daha iyi olduğuna karar verip ona göre tercih yapabilecek.

Şu an ürünlerin siber güvenlik tedbirlerini derecelendirecek bir index bulunmuyor. Japonya İçişleri ve İletişim Bakanlığı, kendi oluşturacağı sertifikayı IoT cihazlarının güvenliğinin belirlenmesinde bir kıstas olarak kullanılmasını istiyor. Japonya Ulusal Enformasyon ve İletişim Teknolojileri Enstitüsü’ne göre geçtiğimiz yıl Japonya’yı hedef alan siber saldırıların yüzde 64’ü IoT cihazları üzerinden gerçekleştirilmiş. Bu bir önceki seneye göre yüzde 26’lık bir artışa işaret ediyor.

İlgili haber >> Akıllı fırınlar SMS yoluyla hacklenmeyecek kadar akıllı mı?

İnternetin günlük hayata daha fazla oranda entegre olmasıyla, web bağlantılı buzdolabı, fırın, akıllı saat ve Web kamera gibi çok sayıda cihaz gündelik hayatımıza girdi. Ancak bu cihazların güvenlik açıkları bulunuyor. Örneğin bu aletlerin şifrelerini değiştiremiyoruz. Şifre değişikliği üçüncü tarafların bu aletleri hacklemesini önlemek açısından hayati önemde.

Aynı zamanda söz konusu cihazların çoğunda siber saldırılara karşı update edilebilecek şekilde bir savunma programı da bulunmuyor. Bu aletlerin, hacklenmesi durumunda sahibinin haberi bile olmadan uzaktan kumanda edilmesi hususunda endişeler var. Yine internete bağlanabilen nesnelerin hükümetlere ve şirketlere karşı siber saldırılar için bir platform olarak kullanılmasından korkuluyor.

İlgili haber >> Japonya 2020 Olimpiyatları için Siber Güvenliğini Arttırıyor

Japonya’nın bu konudaki tecrübesi diğer ülkeler için de örnek olabilir. İnternet bağlantılı cihazların daha da yaygınlaşmasının ardından ev aleti alımında fiyat, kalite, fonksiyon, elektrik tüketimi ve dayanıklılık gibi kıstasların yanına belki de ilerde siber güvenlik notu da eklenebilir.