Siber Güvenlik Danışmanlığı

Siber güvenlik alanında uzman kadromuzla kurumlara özel danışmanlık hizmetleri sunuyoruz.

IoT Sızma Testi - Siber Güvenlik
DETAYLI BİLGİ

IoT Sızma (Penetrasyon) Testi

IoT (Internet of Things) – Nesnelerin İnterneti Nedir?

Nesnelerin İnterneti (IoT),internete ya da iinternete bağlı olan tüm ürünleri kapsar. Özelliklerini yerine getirmek için ev, ofis ya da herhangi bir ağa bağlanmayı gerektiren ürünler bu geniş kapsamda yer alır.

Tüm IoT ürünleri kullanımı sırasında veri toplar ve kullanıcıların veri toplandığından haberi olmadan genellikle bu bilgileri üretici ile paylaşır. Biçrok durumda ürün fonksiyonları internete bağlanır ve üretici tarafından kontrol edilebilir.

IoT Sürdürülebilirlik ve Güvenlik İlişkisi

Her türlü elektronik veya elektrikli cihaz üreticisi, internete bağlantı gerektiren özellikler eklemek için acele ediyor. Birçoğu ağa bağlı cihazlarla daha önce hiç deneyime sahip olmayan bu firmaların pazarlanması için, en düşük maliyetle çalışan en yeni ve en havalı işlevi almak için gerekli olan donanım ve yazılım güvenlik tasarımı ve yapımındaki komplikasyonları gözden kaçırmaya mahkumdur.

Bir IoT ürünü için yazılmış olan yazılımın test edilmesi sadece tek bir hedefe sahiptir – çalışıp çalışmadığını ve kolay ayarlanabiliyor olması. Güvenlik en iyi ihtimalle bir düşüncedir.

Çoğu yeni üründe kullanılan donanım (yonga seti) çok eskidir ve çoğu zaman bilinen birden fazla güvenlik açığına sahiptir. IoT cihazlarına dahil olan ve nadiren derinlemesine güvenlik testine tabi tutulan yazılım çoğunlukla kendi güvenlik zafiyetlerine sahiptir. Sonuç olarak, binlerce ve yüz binlerce milyonlarca ev ve iş ağına monte edilen cihazlar hacklenmek için bekliyor. Geniş çapta dağıtılmış bir ürün hattında bir kez bir güvenlik açığı keşfedildiğinde, binlerce ev ve işletmede bulunacak olan ve bu cihazlar, IoT cihazlarının ele geçirilmesine ve potansiyel olarak tüm ağlarının görüntülenmesi ve saldırılara maruz neden olacak.

IoT Uygulamaları

Evde – Akıllı evlerde, televizyonlar, termostatlar, ışıklar, kapı kilitleri ve hatta buzdolapları gibi internet bağlantılı nesneler yaygınlaşmaktadır. Akıllı buzdolapları kalan süt miktarını izleyebilir ve tercih edilen bir mağazadan otomatik olarak yeniden sipariş verebilir. Yıkayıcıları ve kurutucular çalışması bittiğinde telefonunuza bildirim gönderir.

Kişi üzerinde – Kalp hızı, terleme seviyeleri ve kan akışındaki oksijen seviyeleri gibi karmaşık ölçümler gibi biyometrik ölçümler sunan sağlık ve fitness odaklı giyilebilir cihazlar, giyilebilir IoT’ye bağlı cihazların örneklerinden bazılarıdır. Tıpta, cerrahi olarak implante edilen cihazlar, sağlık durumuyla ilgili olarak doktora rapor verir ve bazı durumlarda tıbbi personelin harekete geçmesi için talimat alır. Ve tüm bu veriler üreticinin sahip olduğu merkezi bir veritabanına geri gider ve bir veri akışı sağlar.

Hareket halindeyken – Ulaşım sistemleri ve şimdi otomobiller, çoğu zaman A noktasından B noktasına en güvenli ve verimli bir şekilde ulaşmak için GPS ile birlikte çalışan çok sayıda sensör kullanmaktadır. Bunun ötesinde, arabalar daha çok özellikler eklenerek, ışıklardan lastik basıncına kadar her şeyi uyaran diyagnostik sistemlere sahip olmaya başladı.

İşletmeler ayrıca, yeni bir işlev sunmak, maliyeti azaltmak ve verimliliği artırmak için IoT’ye bağlı cihazların entegrasyonunun önemini de görüyor. Örnekler:

  • Perakendecilerin stok takibinde yardımcı olan hırsızlık etiketleri içinde RFID etiketleri.
  • Üretim seviyelerini artırmak için 7×24 çalışabilecek sürücüsüz kamyonlar.
  • Enerji üretimi ve dağıtım sistemleri, su sistemleri, ulaşım sistemleri gibi kritik altyapı sistemleri, verilerin doğruluğunu ve kontrolünü iyileştirmek için daha fazla IoT cihazı geliştiriliyor.
  • Çiftlikler, dağıtımı ve böcek ilacı, gübre ve yiyecekleri optimize etmek için bitkileri ve sürüleri kontrol etmek için bağlı sensörleri kullanıyor.
  • IoT bağlantılı cihazlar, hatalı veya arızalı ekipmanlarla ilgili atölye yöneticilerini uyarıyor.
  • Birden fazla şirketi ve hatta kıtayı kapsayan Tüm Tedarik zincirleri, eylemlerini veya konumlarını izleme ve kontrol ederek, makinelerin ve insanların daha iyi yönetimini sağlamak için üretim sistemlerini birleştiriyor.

IoT, veri yükleri üretir ve paylaşır ve bu nedenle her aygıt, kötü niyetli saldırılara, veri kötüye kullanımına ve zorla veri ihlallerine karşı hassastır ve bu nedenle ürün geliştirme aşamasında kendiliğinden dinamik test, kod, mantık ve güvenlik açığı değerlendirmesi için güçlü bir durum oluşturur.

IoT Mimarisi

IoT cihazlar mimarilerinden dolayı birçok güvenlik zafiyetini barındırabilmekte ve bu yüzden saldırıya açık bir hale gelmektedir.

Tipik olarak, bir IoT mimarisi aşağıdaki bileşenlerden oluşur:

  • <string>Temel bileşenler:</string> Sensörler ve aktüatörler ile donatılmış akıllı cihazlar.
  • <string>IoT alanı Ağ Geçitleri ( IoT field Gateways):</string> Nesneler ile bir IoT çözümünün bulut parçası arasındaki bağlantıyı sağlayan sınır elemanları.
  • <string>Bulut ağ geçitleri (Cloud Gateways):</string> Ağ geçitleri ve bulut sunucuları arasında veri sıkıştırma ve aktarımını kolaylaştıran bileşenler.
  • Akış veri işlemcisi (Streaming data processor): Giriş verilerinin büyük bir veri ambarı ve kontrol uygulamalarına sorunsuz geçişini sağlayan bir unsur.
  • Veri depolama (Data storage): Bir veri gölü (işlenmemiş veriyi “akışlar” şeklinde depolar) ve büyük bir veri ambarı (filtrelenmiş ve yapılandırılmış verileri, akıllı aygıtlar, algılayıcılar, denetim uygulamalarından gelen komutlar hakkındaki bağlam bilgilerinin yanı sıra depolar) içerir.
  • Veri analizi (Data analytics): Veri kalıpları oluşturmak ve anlamlı bilgiler elde etmek için büyük veri ambarından bilgi kullanan bir birim.
  • Makine öğrenimi (Machine learning): Kontrol uygulamaları tarafından kullanılan büyük bir veri deposunda birikmiş, geçmiş verilere dayanarak modelleri düzenli olarak üretir ve günceller.
  • Kontrol uygulamaları (Control applications): Aktüatörlere otomatik komutlar ve uyarılar gönderen bileşenler.
  • İstemci-sunucu sistemi (Client-server system): Bir kullanıcı iş mantığı bileşeni (sunucu tarafı), bir mobil uygulama ve bir web uygulaması (müşteri tarafı) içerir.

Tam ölçekli IoT penetrasyon testi akıllı cihazların ötesine geçerek ve tüm IoT sistemi elemanlarını kapsamalıdır.

IoT Cihazlarındaki Güvenlik Zafiyetleri

IoT alanındaki üreticiler, çoğu zaman öngöremedikleri mahremiyet sorunları ile karşı karşıya kalmaktadır. Bu nedenle, IoT cihazları, son aylarda zayıf güvenlik kontrolleri artan düzeylerde incelemelere saldırılara maruz kalmıştır. IoT’nin yayılması nedeniyle ortaya çıkan ortak sorunlardan bazıları şunlardır:

  • IoT kullanıcıları, yeterli bilgi veya teknik bilgiye sahip olmadan verilerin toplanması ve saklanması için onay verir. Toplanan ve üçüncü şahıslarla paylaşılan veriler sonunda kullanıcıların kişisel yaşamlarının ayrıntılı bir resmini oluşturarak kullanıcıların hiçbir zaman sokakta tanıştıkları bir yabancıyla paylaşmayı düşünmeyecekleri bilgilerin başkalarının eline geçmesine sebep olacak.
  • Anonimliğin IoT dünyasında sürekli bir sorun olduğu, IoT platformlarının veri paylaşma sürecinde kullanıcı anonimliğine hiçbir şekilde önem vermediği.
  • Siber saldırıların, (sadece sanal değil) giderek daha fazla fiziksel bir tehdit haline gelmesi olasıdır. Kameralar, televizyonlar ve mutfak gereçleri gibi internet bağlantılı pek çok cihaz zaten kendi evlerinde insanlara casusluk yapabilmiştir. Bu tür cihazlar, diğer cihazlarla paylaşılan veya kuruluşlar tarafından veri tabanlarında tutulan çok sayıda kişisel veri biriktirir ve yanlış kullanılmaya eğilimlidir.
  • Korna, fren, motor, kontrol paneli ve kilitler gibi bilgisayar kontrollü otomobil aygıtları, araç içi ağa erişebilen bilgisayar korsanları açısından risk altındadır.
  • IoT ile ilgili riskleri yönetmek için katmanlı güvenlik ve artıklık kavramı hala yeni bir aşamadadır. Örneğin, bir hastanın durumunu izlemek için akıllı sağlık cihazlarının okumaları değiştirilebilmekte sonrasında analizini reçete etmek için başka bir cihaza bağlandığında,hastanın teşhisini veya tedavisini olumsuz yönde etkileyecektir.
  • Belirli bir web sitesine veya veritabanına, çok sayıda IoT tabanlı cihaz bağlanmayı denediğinde, müşteri memnuniyetsizliği ve gelirdeki düşüşle sonuçlanırken yüksek bir başarısızlık olasılığı vardır.

Test Metadolojisi

Aşağıda IoT cihazlarının güvenlik testleri ile ilgili uygulanan adımlar ve pentest metodolojisi yer almaktadır.

  • Fonksiyonel Değerlendirme
  • Cihaz Keşfi
  • Bulut ve Web Servis Testleri
  • Mobil ve Kontrol Uygulamalarının keşfi
  • Ağ Odaklı Test
  • Gömülü donanım denetimleri
  • Fiziksel Cihaz Saldırıları
  • Radyo (RF) Sinyalleri

Fonksiyonel Değerlendirme

Bir IoT cihazının ekosistemine test gerçekleştirilirken, öncelikle cihazın tüm fonksiyonel yapısı incelenmektedir. Cihazın ilk kurulumu için varsayılan ayarlarda konfigüre edilmekte daha sonra ise değiştirilen her bir fonksiyon için güvenlik testleri gerçekleştirilmektedir. Tek bir cihazın güvenlik testlerinin yapılabildiği gibi, iki cihazın da aradaki işlevsellikleri incelenmekte ve manipülasyon testleri gerçekleştirilmektedir. Fonksiyon yapısı incelendikten sonra elde edilen veriler ile cihaz üzerinde uçtan uca kapsayan test planı oluşturulmaktadır.

Cihaz Keşfi

IoT cihazları üzerinde bulunan bileşenler ve cihazın altyapısıyla ilgili bilgiler çoğu zaman kritik zafiyetlerin keşfedilmesine yardımcı olmaktadır. Cihazın hali hazırda kullandığı uygulamaların “açık kaynak” olması durumunda, kaynak kod analizi için işlemlere başlanmaktadır. Bu kısımda cihazın marka ve modeli tanımlanmaktadır.

Bulut ve Web Servis Testleri

IoT cihazları uzaktan kontrol, veri toplama ve ürün yönetimi için çeşitli web servislerini kullanmaktadır. Çoğu zaman web hizmetleri ve bulut servisleri, IoT cihazının en zayıf halkasının bulunduğu zincir olabilmektedir. Bu kısımda, IoT cihazlarının güvenliğini doğrulamak amacıyla web servisleri ve bulut hizmeti ile arasındaki bağlantılar kapsamlı olarak test edilmektedir. Ayrıca Bulut ve Web Servis testleri, OWASP Top10 zafiyet listesini de içermektedir.

Mobil ve Kontrol Uygulamalarının Keşfi

Genel olarak IoT cihazları, uzaktan yönetebilmek ve kontrol edilebilmek için mobil uygulama (Android, iOS) gibi çeşitli uzaktan denetim servislerini kullanmaktadırlar. Bu test aşamasında ise, IoT cihazları için belirlenen uzak uygulamalarının ayrıntılı testi ve analizi gerçekleştirilmektedir. Bu aşamada Mobil uygulamaların, cihazlar arasındaki tüm fonksiyonları ve iletişimi gibi birçok aşaması tetkik edilmektedir. Bu test aşaması, OWASP Mobil Top10 tetkiklerini de içerisinde barındırmaktadır.

OWASP TOP 10 Mobil Güvenlik Riskleri aşağıda yer almaktadır;

  • M1: Improper Platform Usage – Yanlış Platform Kullanımı
  • M2: Insecure Data – Güvensiz Veri
  • M3: Insecure Communication – Güvensiz İletişim
  • M4: Insecure Authentication – Güvensiz Kimlik Doğrulama
  • M5: Insufficient Cryptography – Güvensiz Kriptografi
  • M6: Insecure Authorization – Güvensiz Yetkilendirme
  • M7: Client Code Quality Issues – İstemci Kodu Kalite Sorunları
  • M8: Code Tampering – Trafiğin Arasına Girmek
  • M9: Reverse Engineering – Tersine Mühendislik
  • M10: Extraneous Functionality – Gereğinden Fazla İşlevsellik

Ağ Odaklı Test

IoT cihazlarının yönetilebilmesi için bir ağ bağlantısına ihtiyaç duymaktadırlar. Bunun için ethernet veya kablosuz bir ağa bağlantı sağlamaktadırlar. Ancak bağlantı sağlanan her ağ, IoT cihazları için kritik olabilmektedir. Bu aşamada ise, IoT cihazlarının ağ içerisinde TCP ve UDP bağlantılarındaki her gönderilen ve alınan paket incelenmektedir. Çoğu zaman IoT cihazları, iletişim esnasında kritik olabilecek birçok veriyi, ağ içerisinde şifresiz kanallar üzerinden gönderebilmektedir. Yanlış yapılandırılmış veya konfigüre edilmiş cihazların keşfi, bu aşamada belirlenmektedir.

Gömülü Donanım Denetimleri

Cihaz üzerinde bulunan üçüncü parti donanımlar ve yazılımlar birçok zaman, cihaz için kritik olabilecek saldırıları barındırabilmektedir. Bu kısımda hali hazırda eklenen tüm donanımlar ve firmware sürümleri incelenmektedir. Bu aşamada test edilen fonksiyonlar ise aşağıda yer almaktadır.

  • Mevcut bağlantı girişleri
  • Cihazın önyükleme alanları
  • Cihazın yönetici panelleri
  • Cihaz üzerinde bulunan hafıza kartları ve içerisindeki veriler
  • Erişimin sağlanmaması gereken uygulamalar

Fiziksel Cihaz Testleri

Cihazların fiziksel denetimleri sayesinde birçok saldırıların önüne geçebilmektedir. Cihazların üzerinde çoğu zaman varsayılan konfigürasyon bilgileri bulunabilmektedir. Örneğin cihazın oluşturduğu kablosuz ağ yayınının parolası veya cihazın yönetilebilmesi için bulunan bir yönetici panelinin parolası cihaz üzerinde bulunabilmektedir. Kötü niyetli kişiler, fiziksel saldırılarda birçok kritik veriyi elde edebilmektedirler. Bu kısımda aşağıda bulunan fonksiyonlar incelenmektedir;

  • Cihazın USB Girişleri
  • Diğer Bağlantı Girişleri
  • Yer ve depolama ortamı
  • Hata ayıklama konsoluna erişim
  • Seri konsol erişiminin kullanılabilirliği
  • Cihazın sökülmesi için gereken çabalar
  • Cihaza olan fiziksel saldırılarda gelebilecek potansiyel riskler
  • İzin verilen bağlantı ortamına göre (ethernet, wifi, bluetooth) sağlanan iletişim

Radyo (RF) Sinyalleri

Birçok IoT cihazı, daha rahat bir yönetim için radyo bazlı (RF) iletişimi kullanmaktadır. Cihazların radyo sinyallerini kullanmalarının sebebi ise uzaktan kumanda gibi bir verici ile yönetilebilmesini sağlamaktadır. Bu kısımda Radyo (RF) sinyalleri detaylı olarak özel ekipmanlarımız dahilinde incelenmektedir. Cihaza gönderilen ve alınan her sinyal incelenmekte ve klonlanarak, sinyaller üzerinden gelebilecek potansiyel saldırılar simüle edilmektedir. Bu aşamada uygulanan adımlar aşağıda listelenmiştir.

  • Radyo trafiğinin incelenmesi
  • Trafiğin haritalanması
  • Yetkisiz erişim ve kontrol testleri
  • Replay (Tekrarlama) Saldırılarının tespiti
  • Trafiğin kopyalanmasına karşı cihazın ürettiği algoritmaların testi

Iot Sızma Testi Kontrol Listesi

OWASP IoT sızma testleri metadolojisi temel alınarak hazırlanan IoT cihazlarında test edilen başılıklar kategorilerine göre aşağıdaki tablolarda yer almaktadır.

Kategori IoT Güvenlik Değerlendirmesi
Güvensiz Web Arayüzü
  • Zayıf parola kullanımına izin verilip verilmediğinin test edilmesi
  • Hesap kilitleme mekanızmasının değerlendirilmesi
  • XSS, SQLi ve CSRF güvenlik açıkları ve diğer web uygulama güvenlik açıkları için web arayüzünün değerlendirmesi
  • İletilen bilgileri korumak için HTTPS kullanımının control edilmesi
  • Kullanıcı adını ve şifreyi değiştirme mekanizmasının test edilmesi
  • Web arayüzlerini korumak için web uygulaması güvenlik duvarlarının kullanılıp kullanılmadığının control edilmesi
Yetersiz Kimlik Doğrulama/Yetkilendirme
  • Çok kullanıcılı ortamlar için farklı yetki seviyesindeki kullanıcıların rol geçişlerinin test edilmesi
  • Uygulamada 2 faktörlü kimlik doğrulama mekanizması kullanıldığının değerlendirilmesi
  • Parola kurtama mekanizmasını test edilmesi
  • Varsayılan kullanıcı adı ve parolayı değiştirmeye zorlama mekanizmasının test edilmesi
Güvenli Olmayan Network Servisleri
  • Nertwork servislerinin ara bellk taşması( buffer overflow), fuzzing ve servis dışı bırakma (Denial of Services) saldırılarına karşı test edilmesi
Zayıf Transfer Şifrelemesi
  • Cihazlar arasında ve cihazlar ile internet arasında şifreli iletişimin test edilmesi
  • Kabul edilen şifreleme uygulamalarının kullanılıp kullanılmadığının test edilmesi
  • Mevcut bir güvenlik duvarı seçeneğinin mevcut olup olmadığının test edilmesi
Gizlilik Değerlendirmeleri
  • Toplanan kişilsel verilerin uygun şekilde kornuduğunun test edilmesi
  • Toplanan kişilsel verilerin transferinde kullanılan şifreleme yönetemlerinin test edilmesi
Güvensiz Cloud Arayüzü
  • Cloud arayüzlerinin bilinen güvenlik zafiyetlerine karşı test edilmesi (ör. API arabirimleri ve bulut tabanlı web arabirimleri)
  • Cloud tabanlı web arayüzün zayıf parola kullanımına karşı test edilmesi
  • Cloud tabanlı web arayüzünün hesap kilitleme politikasının test edilmesi
  • Iki faktörlü kimlik dorulmama mekanizmasnın test edilmesi
  • XSS, SQLi ve CSRF güvenlik açıkları ve diğer güvenlik açıkları için cloud tabanlı web arayüzünün test edilmesi
  • Şifreli veri transferinin gerçekleşip gerçekleşmediğinin test edilmesi
  • Güçlü parolalar gerektirme seçeneğinin değerlendirilmesi
  • Parola geçerlilik süresinin değerlendirilmesi
  • Varsayılan kullanıcı adı ve parolayı değiştirme seçeneinin mevcut olup olmadığın değerlendirilmesi
Güvensiz Mobil Arayüz
  • Mobil arayüzlerinin bilinen güvenlik zafiyetlerine karşı test edilmesi
  • Mobil arayüzün hesap kilitleme mekanizması olup olmadığının test edilmesi
  • Mobil arayüzünün hesap kilitleme politikasının test edilmesi
  • Iki faktörlü kimlik dorulmama mekanizmasnın test edilmesi(ör. Apple’ın Dokunmatik Kimliği)
  • Şifreli veri transferinin gerçekleşip gerçekleşmediğinin test edilmesi
  • Güçlü parolalar gerektirme seçeneğinin değerlendirilmesi
  • Parola geçerlilik süresinin değerlendirilmesi
  • Varsayılan kullanıcı adı ve parolayı değiştirme seçeneinin mevcut olup olmadığın değerlendirilmesi
Yetersiz Güvenlik Yapılandırması
  • Parola Güvenliği seçeneklerinin(Örn: 20 karakter şifresini etkinleştirme veya iki faktörlü kimlik doğrulamayı etkinleştirme) olup olmadığının değerlendirilmesi
  • Şifreleme seçeneklerinin (örneğin, AES-128’in varsayılan ayar olan AES-256’yı etkinleştirme) olup olmadığının değerlendirilmesi
  • Güvenlik olayları için günlüğe kaydetme(log tutma) olup olmadığının test edilmesi
  • Güvenlik olayları için kullanıcı için uyarı ve bildirimlerin olup olmadığının değerlendirilmesi
Güvenli Olmayan Yazılım
  • Kullanılan yazılımın güvenlik zafiyteleri bulunduğunda hızlı bir şekilde güncellenebilir olduğunun değerlendirilmesi
  • Cihazın şifrelenmiş güncelleme dosyalarını kullandığını ve dosyaların şifreleme kullanılarak iletildiğinin test edilmesi
  • İmzalanan dosyaları kullandığından emin olmak için cihazın değerlendirilmesi
  • Aygıtın aygıttaki en az sayıda fiziksel dış bağlantı noktası (örn. USB bağlantı noktası) kullandığından emin olmak için değerlendirilmesi
  • Gereksiz bir USB bağlantı noktası gibi istenmeyen yöntemlerle erişilip erişilemeyeceğini belirlemek için cihazın test edilmesi
  • USB gibi kullanılmayan fiziksel bağlantı noktalarının devre dışı bırakılmasına izin verilip verilmediğinin değerlendirilmesi
Hizmetimiz ile ilgili detaylı bilgi almak ve satış ekibimizin sizinle iletişime geçmesi için formu doldurunuz.