Nesnelerin İnterneti'nin (IoT) Güvenliği

Değerli arkadaşlar, merhaba! Bu yazımızda sizlere, Nesnelerin İnterneti adlı blog yazımızda bahsettiğimiz IoT cihazlarının güvenliğinden ve güvenliğin sağlanması için yapılması gerekenlerden bahsedeceğiz. Bu yazıda yine, ‘Akıllı Ev Sistemleri’ üzerinden gideceğiz. Bunların yanında, bir parolanın nasıl olması gerektiği hakkında kısa bilgiler vereceğiz.

IoT teknolojisindeki nesnelerin çoğu, yerleşik güvenliğe pek önem vermemektedir. ‘Kamera’ veya ‘modem’ gibi cihazlar, hackerların en ilgi duyduğu cihazlar arasında yer alır. Bu konuda herhangi bir koruma sağlamaz veya yetersiz koruma sağlarsanız risk altındasınızdır. Peki “Güvenliğimizi nasıl sağlayabiliriz ve hangi cihazlar bizim için bir tehdit unsurudur?” sorusuna yanıt aramaya çalışalım.

Öncelikle temel güvenliğimiz; modemimizin veya daha geniş tabirde ‘Ağ’ımızın güvenli olmasından geçer. Sıkça yapılan hatalardan biri, ağ ismini gizlemektir. Bunun neden hata olduğuna anlam veremiyor olabilirsiniz ama hackerların ellerindeki aygıtlar, sinyal gücünü de ölçen aygıtlardır. Ağ adınıza gerek duymadan, gerekli sinyal gücünü kafadan hesaplayarak evinizin ağının hangi ağ olduğunu çözebilir. Hatta çevredeki onlarca ağ içerisinde gizli olan tek bir ağ varsa hacker, ilk önce o gizli ağa girmeyi deneyecektir. Her şey bir yana dursun, ağınızı gizlemeye çalışmanız aslında hiçbir işe yaramayacaktır. Belki telefondan veya bilgisayardan ağınız gözükmez evet ama hackerlar bunu görebilir. Bu konuyu yasal çerçevede detaylı bir şekilde ‘Hacking’ kategorisinde uygulamalı olarak anlattık fakat konsept farklı. Bir saldırıda çevredeki bütün ağların nasıl gözüktüğünü görmek için buyurun: Deauth Saldırısı. Eğer yine de ağınızı gizlemek istiyorsanız, sizinle ve İnternet Servis Sağlayıcınızla ilgili olmayan, alakasız isimler koyabilirsiniz; ağınızla ilgili bilgileri kötü niyetli insanlardan koruyabilirsiniz.

Şimdi daha efektif önlemlerden bahsedelim:
  1. Misafir Ağı Kurma: Kimin hacker olabileceğini kestirmek imkansıza yakındır. Zaten kötü niyetli bir hacker size, ‘Ben hackerım’ demeyecektir. Dolayısıyla herhangi bir misafirinizin, ağınıza tam yetki ile erişmesine gerek yoktur. Misafir ağı kurarak misafirlerinize, sadece temel internet hizmetlerini kullandırabilirsiniz.
  2. Varsayılan Kullanıcı Adı ve Parola: Birçok ağ, yönetim paneline erişmek için varsayılan olarak bir kullanıcı adı ve şifre belirler. Bunlar kimi zaman ‘admin – admin’, ‘admin – şirketinismi’ gibi kombinasyonlardır. Kullanıcı arayüzüne erişmek için kullanılan varsayılan kullanıcı adı ve parola bilgisini değiştirmeniz gerekmektedir. Kullanıcı adını az önce de söylediğimiz gibi, kendinizle veya çalıştığınız şirketle alakalı olmamalıdır. Bir parola nasıl olmalıdır?
    1. Minimum 10 karakterden oluşmalı ve özgün olmalıdır.
      1. Kısa ve bilindik şifreler 'kaba kuvvet saldırıları' ile kolayca kırılabilir.
    2. İki veya daha fazla özel karakter içermelidir.
      1. Özel karakter koymak, şifrenin kırılmasını çok fazla zorlaştıran bir etkendir.
    3. Büyük – küçük harf içermelidr.
      1. Büyük – küçük harf koyarken ardışık olmayan harfleri seçmeniz gerekir. Örneğin arka arkaya abCDe tarzında ardışık harfler kullanılmamalıdır.
    4. Sayı içermelidir.
      1. Sayı kullanırken doğum tarihinizi, tanıdığınız kişilerin doğum tarihini, telefon numaranızı, T.C. Kimlik Numaranızı veya okul numaranızı yazmamalısınız.
    5. Serpiştirin.
      1. Büyük – küçük harf, sayı ve özel karakterden oluşan 16 karakterli bir parolanız olduğunu varsayalım. Bu parola içerisinde harfler bir tarafta, sayılar bir tarafta ve özel karakterler bir tarafta olmamalıdır. Hepsini iç içe yazmanız size avantaj sağlayacaktır.
      2. Örneğin “93713CyberWorm!?” Şeklindeki bir parola size zarar verebilir. Her cümle büyük harfle başlar, çoğu cümlenin sonuna ‘!’ veya ‘?’ gelebilir; yani tahmin etmesi çok da zor değildir. Bunun yerine örneğin “Cyber Worm best” > “_Cyb3R#W0rM:BE?T” şeklinde bir parola daha yararlı olacaktır.
  3. Yazılım (Firmware) Güncellemeleri: Yazılım güncellemeleri, bulunan çeşitli hatalar, bug’lar veya güvenlik açıklarını kapatmak içindir. Bu sayede kullanıcılara sorunsuz bir deneyim sağlamaya çalışırlar. Firma, bir sorun ile karşılaştığında bunu bir güncelleme yayınlayarak düzeltmeye çalışır. Eğer siz bu güncellemeleri yapmadıysanız veya yapmıyorsanız tehlikede olabilirsiniz çünkü siz hâlâ eski sürümün sorunlarına sahipsiniz.
  4. Varsayılan Ayarlar: Varsayılan kullanıcı adı ve parola konusuna değindik. Varsayılan ayarlara girdiğinizde, kullanmayacağınız ama açık olan özellikleri kapatabilirsiniz. Böylece bu konudaki riski minimuma indirgemiş olursunuz.
  5. 2FA – MFA: ‘Çift Faktörlü Kimlik Doğrulama’ ve ‘Çok Faktörlü Kimlik Doğrulama’ gibi koruma yöntemlerini kullanmaktan asla çekinmeyin. Bu iki kavramın detaylarını başka bir blog yazımızda ele alacağız.
  6. Ortak Alandaki Ağlar: Starbucks’da kahvenizi yudumlarken internete bağlanıp akıllı evinizden bir şeyleri yönetmeniz gerektiğini düşünün. Starbucks’ın ortak Wi-Fi ağına bağlanır mıydınız? Eğer cevabınız evet ise büyük bir tehlike içerisinde olduğunuzu bilmeniz gerekir. Ortak ağ üzerinde gerçekleşen işlemleri hackerlar, çeşitli saldırı yöntemleri (Ortadaki Adam Saldırısı) veya analiz araçları (Wireshark) ile ele geçirebilir ve bu durum sizi kötü bir duruma düşürebilir. Dolayısıyla ya kendi internetinizi kullanın ya da o ağı hiç kullanmayın. Etrafa göz attığınızda bilgisayarlı birini görmemiş olmanız, bu yüzden ‘burası güvenli’ diye düşünmeniz oldukça normaldir fakat hackerların elindeki aygıtlardan kıscaca söz etmiştim. Hackerlar bahçede, yan apartmanda veya yan işletmede olabilir. Hatta ve hatta telefondan da gerekli işlemleri yapabilirler. Ortak alandaki ağlara; oteller, kafeler, dinlenme tesisleri gibi örnekler verebiliriz.

Anlattıklarım, buzdağının görünen kısmı idi ama bu blogun size, bir farkındalık kazandırmasını isterim. Çünkü internet çağında olan herkesin siber güvenlik farkındalığı olmalıdır. Güvenli günler!

[*] Blog Notu: Ortadaki Adam Saldırısı, Wireshark ve Hackerların Kullandığı Aygıtlar konularını detaylı bir şekilde ele alacağız.

Yayınlanma Tarihi: 2022-07-06 23:41:33

Son Düzenleme Tarihi: 2022-08-29 18:21:23