IoT Sızma (Penetrasyon) Testi

Nesnelerin İnterneti (IoT), internete bağlı olan tüm ürünleri kapsar. Özelliklerini yerine getirmek için ev, ofis ya da herhangi bir ağa bağlanmayı gerektiren ürünler bu geniş kapsamda yer alır.

Tüm IoT ürünleri kullanımı sırasında veri toplar ve kullanıcıların veri toplandığından haberi olmadan genellikle bu bilgileri üretici ile paylaşır. Birçok durumda ürün fonksiyonları internete bağlanır ve üretici tarafından kontrol edilebilir.

Her türlü elektronik veya elektrikli cihaz üreticisi, internete bağlantı gerektiren özellikler eklemek için acele ediyor. Birçoğu ağa bağlı cihazlarla daha önce hiç deneyime sahip olmayan bu firmaların pazarlanması için, en düşük maliyetle çalışan en yeni ve en havalı işlevi almak için gerekli olan donanım ve yazılım güvenlik tasarımı ve yapımındaki komplikasyonları gözden kaçırmaya mahkumdur.

Bir IoT ürünü için yazılmış olan yazılımın test edilmesi sadece tek bir hedefe sahiptir – çalışıp çalışmadığını ve kolay ayarlanabiliyor olması. Güvenlik en iyi ihtimalle bir düşüncedir.

Çoğu yeni üründe kullanılan donanım (yonga seti) çok eskidir ve çoğu zaman bilinen birden fazla güvenlik açığına sahiptir. IoT cihazlarına dahil olan ve nadiren derinlemesine güvenlik testine tabi tutulan yazılım çoğunlukla kendi güvenlik zafiyetlerine sahiptir. Sonuç olarak, milyonlarca ev ve iş ağına monte edilen cihazlar hacklenmek için bekliyor. Geniş çapta dağıtılmış bir ürün hattında bir kez bir güvenlik açığı keşfedildiğinde, binlerce ev ve işletmede bulunacak olan bu cihazlar, IoT cihazlarının ele geçirilmesine ve potansiyel olarak tüm ağlarının görüntülenmesi ve saldırılara maruz neden olacaktır.

IoT cihazlar mimarilerinden dolayı birçok güvenlik zafiyetini barındırabilmekte ve bu yüzden saldırıya açık bir hale gelmektedir.

Tipik olarak, bir IoT mimarisi aşağıdaki bileşenlerden oluşur:

• Temel Bileşenler: Sensörler ve aktüatörler ile donatılmış akıllı cihazlar.
• IoT Alanı Ağ Geçitleri ( IoT Field Gateways): Nesneler ile bir IoT çözümünün bulut parçası arasındaki bağlantıyı sağlayan sınır elemanları.
• Bulut Ağ Geçitleri (Cloud Gateways): Ağ geçitleri ve bulut sunucuları arasında veri sıkıştırma ve aktarımını kolaylaştıran bileşenler.
• Akış Veri İşlemcisi (Streaming Data Processor): Giriş verilerinin büyük bir veri ambarı ve kontrol uygulamalarına sorunsuz geçişini sağlayan bir unsur.
• Veri Depolama (Data Storage): Bir veri gölü (işlenmemiş veriyi “akışlar” şeklinde depolar) ve büyük bir veri ambarı (filtrelenmiş ve yapılandırılmış verileri, akıllı aygıtlar, algılayıcılar, denetim uygulamalarından gelen komutlar hakkındaki bağlam bilgilerinin yanı sıra depolar) içerir.
• Veri Analizi (Data Analytics): Veri kalıpları oluşturmak ve anlamlı bilgiler elde etmek için büyük veri ambarından bilgi kullanan bir birim.
• Makine Öğrenimi (Machine Learning): Kontrol uygulamaları tarafından kullanılan büyük bir veri deposunda birikmiş, geçmiş verilere dayanarak modelleri düzenli olarak üretir ve günceller.
• Kontrol Uygulamaları (Control Applications): Aktüatörlere otomatik komutlar ve uyarılar gönderen bileşenler.
• İstemci-Sunucu Sistemi (Client-Server System): Bir kullanıcı iş mantığı bileşeni (sunucu tarafı), bir mobil uygulama ve bir web uygulaması (müşteri tarafı) içerir.

Tam ölçekli IoT penetrasyon testi akıllı cihazların ötesine geçerek ve tüm IoT sistemi elemanlarını kapsamalıdır.

IoT Cihazlarındaki Güvenlik Zafiyetleri

IoT alanındaki üreticiler, çoğu zaman öngöremedikleri mahremiyet sorunları ile karşı karşıya kalmaktadır. Bu nedenle, IoT cihazları, son aylarda zayıf güvenlik kontrolleri artan düzeylerde incelemelere saldırılara maruz kalmıştır. IoT’nin yayılması nedeniyle ortaya çıkan ortak sorunlardan bazıları şunlardır:

• IoT kullanıcıları, yeterli bilgi veya teknik bilgiye sahip olmadan verilerin toplanması ve saklanması için onay verir. Toplanan ve üçüncü şahıslarla paylaşılan veriler sonunda kullanıcıların kişisel yaşamlarının ayrıntılı bir resmini oluşturarak kullanıcıların hiçbir zaman sokakta tanıştıkları bir yabancıyla paylaşmayı düşünmeyecekleri bilgilerin başkalarının eline geçmesine sebep olacak.
• Anonimliğin IoT dünyasında sürekli bir sorun olduğu, IoT platformlarının veri paylaşma sürecinde kullanıcı anonimliğine hiçbir şekilde önem vermediği.
• Siber saldırıların, (sadece sanal değil) giderek daha fazla fiziksel bir tehdit haline gelmesi olasıdır. Kameralar, televizyonlar ve mutfak gereçleri gibi internet bağlantılı pek çok cihaz zaten kendi evlerinde insanlara casusluk yapabilmiştir. Bu tür cihazlar, diğer cihazlarla paylaşılan veya kuruluşlar tarafından veri tabanlarında tutulan çok sayıda kişisel veri biriktirir ve yanlış kullanılmaya eğilimlidir.
• Korna, fren, motor, kontrol paneli ve kilitler gibi bilgisayar kontrollü otomobil aygıtları, araç içi ağa erişebilen bilgisayar korsanları açısından risk altındadır.
• IoT ile ilgili riskleri yönetmek için katmanlı güvenlik ve artıklık kavramı hala yeni bir aşamadadır. Örneğin, bir hastanın durumunu izlemek için akıllı sağlık cihazlarının okumaları değiştirilebilmekte sonrasında analizini reçete etmek için başka bir cihaza bağlandığında,hastanın teşhisini veya tedavisini olumsuz yönde etkileyecektir.
• Belirli bir web sitesine veya veritabanına, çok sayıda IoT tabanlı cihaz bağlanmayı denediğinde, müşteri memnuniyetsizliği ve gelirdeki düşüşle sonuçlanırken yüksek bir başarısızlık olasılığı vardır.

Aşağıda IoT cihazlarının güvenlik testleri ile ilgili uygulanan adımlar ve pentest metodolojisi yer almaktadır.