Nesnelerin Güvensiz İnterneti


Nesnelerin Güvensiz İnterneti



Nesnelerin İnterneti (Internet of Things), Fiziksel ve sanal nesneleri belirli protokoller ile birbirine bağlayarak iletişim kurabilme, veri üretme, bağlantı kurabilme, bilgi paylaşımı gibi birçok noktada yenilikler sunan evrensel bir akıllı ağ sistemidir.  Nesneler bulundukları konumlarda İnternet ağına bağlanmakta, uzaktan yönetilebilmektedir. Örneğin, internete erişebilen TV, klima, kalp pili hatta kahve makinası birer IoT cihazıdır. Kavram, ilk kez 1999 yılında Kevin Ashton tarafından Procter & Gamble şirketi için hazırlanan bir sunumda kullanımı ile yaygınlaşmaya başlamıştır. [1]  Günümüzde ortalama 10 milyar cihazın IoT kapsamına dahil olduğu bilinmekte ve bu sayının 2020 yılında 26 milyar olacağı tahmin edilmektedir.[2] Bu anlamda bilgi teknolojisi dünyasında IoT büyük gelecek vaat eden bir sektördür. IoT cihazları zayıf korumaya sahip olması nedeniyle potansiyel güvenlik açıklıkları haline gelerek siber saldırılar için yeni fırsatlar doğmasına sebep olmaktadır. İlk olarak internete bağlı olan bir kahve makinasının hacklenmesi ile güvenlik zaafiyeti ortaya çıkmıştır. Sadece hacklenen nesne değil, bu nesnelerle aynı ağı paylaşan diğer cihazlar da risk altındadır.

IoT cihazlarının,

  • %90’ı bulutta veya kendi üzerinde örneğin IP ve MAC adresi ya da parola gibi hassas bilgi barındırmaktadır.
  • % 80’i zayıf parola politikasına sahiptir.
  • % 70’i güvensiz iletişim kurmaktadır.
  • % 60’ı arayüzünden kaynaklı zafiyetlere sahiptir. 

Konunun önemine binaen OWASP, 2014 yılında üreticileri, geliştiricileri ve tüketicileri bilgilendirmek amacıyla zaafiyetleri gösteren IoT Top Ten listesini yayınlamıştır. Buna göre zaafiyet yaratan ve geliştirilmesi vurgulanan konular aşağıdaki gibidir;[2]

  1. Güvensiz Web Arayüzü
  2. Yetersiz Kimlik Doğrulama
  3. Güvensiz Ağ Servisleri
  4. Şifreli İletişimden Kaynaklanan Zafiyetler
  5. Gizlilik Problemleri
  6. Güvensiz Bulut Hizmetleri
  7. Güvensiz Mobil Arayüzü
  8. Yetersiz Güvenlik Yapılandırnası
  9. Güvensiz Yazılımlar/Firmware
  10. Zayıf Fiziksel Güvenlik

Nesnelerin İnterneti cihazlarının en çok maruz kaldığı saldırı, Botnet kullanımıyla gerçekleşen DDOS saldırılarıdır. Botnet, DDOS saldırıları için hackerlar tarafından sisteme bulaştırılan zararlı yazılım ile sistemin ya da bilgisayarın zombi durumuna getirilmesidir. Zombi haline gelen bilgisayar, kullanıcıya fark ettirmeden arka planda bulaşan bu zararlı yazılımı çalıştırır ve DDOS saldırıları gerçekleştirir. Saldırı sonucunda yoğun trafiğe maruz kalan sistem tıkanır, bu yüzden sisteme erişim engellenir. Zararlı yazılım cok az CPU kullandığı için sisteme bulaştığını farketmek oldukça zordur. Botnet yazılımlara karşı önlem almak için,
  • Antivirus kullanımı,
  • Firewall aktifleştirilmesi,
  • Lisanslı ürünler tercih edilmesi,
  • Kullanılan sitelerde gömülü durumda bulunan javascript kodlarına dikkat edilmesi
  • Güvenilir olmayan kaynaklardan indrme (download) işlemi gerçekleştirilmemesi önemlidir.
  • E-posta üzerinden gerçekleştirilen oltalama (phising) saldırılarına karşı daha dikkatli olunmalıdır.
Nesnelerin internet cihazlarına yapılan DDOS saldırılarının en etkilisi 30 Eylül 2016 yılında github üzerinden açık kaynak kodlu olarak yayınlanan Mirai zararlı yazılımı ile gerçekleştirilmektedir. Erişim kısıtlaması bulunmayan Mirai zararlı yazılımı ile IoT botnet saldırıları hız kesmeden devam ediyor. 21 Ekim gecesi IoT botnet kullanımı ile DDOS saldırısı gerçekleştirildi ve birçok web sitesine erişim sağlanamadı. Saldırıya uğrayan şirketler arasında Twitter, Netflix, Amazon, Spotify gibi önemli adresler de yer almaktadır.[3] Kısa süre önce Fransız internet servis sağlayıcısı OVH, 1.2 Tbps trafiğe sahip DDOS saldırısı ile gerçekleştirilen en büyük DDOS saldırısı ünvanını almaya hak kazandı. [4]

Mirai zararlısı iki ana bileşenden oluşmaktadır. Bunlar:
  • Virüs
  • C&C suncusu

Mirai DDOS Saldırısı Nasıl Gerçekleştirilir?


Bir DDOS botnet saldırısı, saldırgan tarafından yönetilen komutlar yardımı ile başlatılır. Kontrol sunucusu kullanarak her bir düğüme (virüs bulaşmış cihaza) saldırı için komut gönderme işlemi gerçekleştirilir. Botnet cihazlar ise saldırı trafiğini hedefe yönlendirerek DDOS saldırısını tamamlar. Rastgele belirlenen cihazlar üzerinde 23 veya 2323 portu kullanılarak telnet protokolü ile login denemeleri gerçekleştirilir. Her 60 denemede bir başarı ile sonuçlanan kullanıcı adı ve şifre bilgileri C&C suncusuna gönderilerek kaydedilir. Elde edilen bilgiler doğrultusunda giriş yapılarak cihazlar bot duruma getirilir ve aynı işlemler bir döngü halinde devam eder. [5]

Çeşitli CPU mimarileri için geliştirilen Mirai zararlısı, tersine mühendislik çalışmalarına karşı gizli teknikler barındırmaktadır. Bulaşan virus, bellekten kendisini siler. Bu sayede Bot cihaz yeniden başlatılana kadar aktif olarak çalışmaya devam eder.

Mirai saldırısı için IoT cihazlarının kullanımı öne sürülse de bununla birlikte;
  • Çoğu insanın tek bir bilgisayara sahip olmasına karşın akıllı telefon, tablet, tv gibi internet bağlantısı gerçekleştirebilen birden fazla cihaza sahip olması,
  • IoT cihazlarının güvenliğine verilen önemin yetersiz olması,
  • Tüketicilerin kişisel bilgisayardan daha da çok ekmek kızartma makinasını temin etmesinin daha kolay olması,
  • IoT cihazlarının genellikle aynı platformu kullanması
gibi sebepler DDOS saldırılarını kolaylaştırmıştır. IoT ile gerçekleştirilen DDOS saldırılarından bazıları:

Thingbot adı ile bilinen bilgisayar korsanları tarafından yapılandırılan 500.000 cihaz ile 2016 yılında 400 Gbps boyutuna ulaşan DDOS saldırısı gerçekleştirilmiştir. Bu saldırı Mirai zararlı yazılımı kullanımı ile gerçekleştirilmiştir.

Ekim 2016 yılında Dyn’e yapılan saldırı ile 1200’e yakın web sitesine erişim engellendi. Aralarında Netfix, Twitter ve CNN gibi ünlü servislerin de içerisinde bulunduğu saldırıda DVR, CCTV ve router gibi cihazlar kullanılarak gerçekleştirilmiştir.

28 Şubat’ta başlayan ve 54 saat boyunca devam eden DDOS saldrısının hedefi ABD’li bir üniversitedir. 2.8 milyar istek üretilerek 30.000  RPS’yi aşkın bir trafik akışı üretildi. Mirai zararlısı kullanılarak gerçekleştirilen DDOS saldırısı için CCTV, DVR ve routerlar dahil olmak üzere telnet (23) bağlantısı yardımıyla saldırı gerçekleştirilmiştir.[6] 

Dünya çapında gerçekleşen DDOS saldırısında 9.793 IP’den gelen trafik akışı analiz edilmiştir.[7]


Botnet kullanımını yüzdelik olarak ifade edersek; [6]
 

Saldırı internete bağlı olan cihazlar üzerinde gerçekleştiği için alınabilecek önlemler şu şekildedir:
Kuruluşunuza yapılan DDOS saldırısını keşfetmeye ve paket analizini gerçekleştirmeye yardımcı olacak bir saldırı tespit sistemi kurulmalıdır.
IPS/IDS, firewall ve router bazı DDOS türlerini durdurmakta etkili olabilirler. Konfigürasyın ve kurallar sürekli kontrol edilmelidir.
Kulllanılan CCTV, DVR ve router gibi internet bağlantısı olan cihazların şifrelerini değiştirilmelidir. Mümkünse her 3 ila 6 ay arası sürede düzenli olarak değiştirilmelidir.


[1] İnter of Things 
[2] OWASP IoT
[3] Mirai Malware
[4] OVH Mirai Zararlısı
[5] DDOS Botnet (Resim)
[6] Mirai İncelemesi
[6] Dünya Botnet Yüzdesi (Resim)
[7] Dünya Çapında DDOS Saldırısı (Resim)

M. Büşra ÖZTÜRK
Yazılım Destek Mühendisi

Yorumlar

Bu blogdaki popüler yayınlar

1. Geleneksel Stajyer CTF Soru ve Cevapları

2. Geleneksel Stajyer CTF Soru ve Cevapları - 2017

ARP Poisoning ile Browser Exploitation - MITMf + BeEF + Metasploit