Nesnelerin Güvensiz İnterneti


Nesnelerin Güvensiz İnterneti



Nesnelerin İnterneti (Internet of Things), Fiziksel ve sanal nesneleri belirli protokoller ile birbirine bağlayarak iletişim kurabilme, veri üretme, bağlantı kurabilme, bilgi paylaşımı gibi birçok noktada yenilikler sunan evrensel bir akıllı ağ sistemidir.  Nesneler bulundukları konumlarda İnternet ağına bağlanmakta, uzaktan yönetilebilmektedir. Örneğin, internete erişebilen TV, klima, kalp pili hatta kahve makinası birer IoT cihazıdır. Kavram, ilk kez 1999 yılında Kevin Ashton tarafından Procter & Gamble şirketi için hazırlanan bir sunumda kullanımı ile yaygınlaşmaya başlamıştır. [1]  Günümüzde ortalama 10 milyar cihazın IoT kapsamına dahil olduğu bilinmekte ve bu sayının 2020 yılında 26 milyar olacağı tahmin edilmektedir.[2] Bu anlamda bilgi teknolojisi dünyasında IoT büyük gelecek vaat eden bir sektördür. IoT cihazları zayıf korumaya sahip olması nedeniyle potansiyel güvenlik açıklıkları haline gelerek siber saldırılar için yeni fırsatlar doğmasına sebep olmaktadır. İlk olarak internete bağlı olan bir kahve makinasının hacklenmesi ile güvenlik zaafiyeti ortaya çıkmıştır. Sadece hacklenen nesne değil, bu nesnelerle aynı ağı paylaşan diğer cihazlar da risk altındadır.

IoT cihazlarının,

  • %90’ı bulutta veya kendi üzerinde örneğin IP ve MAC adresi ya da parola gibi hassas bilgi barındırmaktadır.
  • % 80’i zayıf parola politikasına sahiptir.
  • % 70’i güvensiz iletişim kurmaktadır.
  • % 60’ı arayüzünden kaynaklı zafiyetlere sahiptir. 

Konunun önemine binaen OWASP, 2014 yılında üreticileri, geliştiricileri ve tüketicileri bilgilendirmek amacıyla zaafiyetleri gösteren IoT Top Ten listesini yayınlamıştır. Buna göre zaafiyet yaratan ve geliştirilmesi vurgulanan konular aşağıdaki gibidir;[2]

  1. Güvensiz Web Arayüzü
  2. Yetersiz Kimlik Doğrulama
  3. Güvensiz Ağ Servisleri
  4. Şifreli İletişimden Kaynaklanan Zafiyetler
  5. Gizlilik Problemleri
  6. Güvensiz Bulut Hizmetleri
  7. Güvensiz Mobil Arayüzü
  8. Yetersiz Güvenlik Yapılandırnası
  9. Güvensiz Yazılımlar/Firmware
  10. Zayıf Fiziksel Güvenlik

Nesnelerin İnterneti cihazlarının en çok maruz kaldığı saldırı, Botnet kullanımıyla gerçekleşen DDOS saldırılarıdır. Botnet, DDOS saldırıları için hackerlar tarafından sisteme bulaştırılan zararlı yazılım ile sistemin ya da bilgisayarın zombi durumuna getirilmesidir. Zombi haline gelen bilgisayar, kullanıcıya fark ettirmeden arka planda bulaşan bu zararlı yazılımı çalıştırır ve DDOS saldırıları gerçekleştirir. Saldırı sonucunda yoğun trafiğe maruz kalan sistem tıkanır, bu yüzden sisteme erişim engellenir. Zararlı yazılım cok az CPU kullandığı için sisteme bulaştığını farketmek oldukça zordur. Botnet yazılımlara karşı önlem almak için,
  • Antivirus kullanımı,
  • Firewall aktifleştirilmesi,
  • Lisanslı ürünler tercih edilmesi,
  • Kullanılan sitelerde gömülü durumda bulunan javascript kodlarına dikkat edilmesi
  • Güvenilir olmayan kaynaklardan indrme (download) işlemi gerçekleştirilmemesi önemlidir.
  • E-posta üzerinden gerçekleştirilen oltalama (phising) saldırılarına karşı daha dikkatli olunmalıdır.
Nesnelerin internet cihazlarına yapılan DDOS saldırılarının en etkilisi 30 Eylül 2016 yılında github üzerinden açık kaynak kodlu olarak yayınlanan Mirai zararlı yazılımı ile gerçekleştirilmektedir. Erişim kısıtlaması bulunmayan Mirai zararlı yazılımı ile IoT botnet saldırıları hız kesmeden devam ediyor. 21 Ekim gecesi IoT botnet kullanımı ile DDOS saldırısı gerçekleştirildi ve birçok web sitesine erişim sağlanamadı. Saldırıya uğrayan şirketler arasında Twitter, Netflix, Amazon, Spotify gibi önemli adresler de yer almaktadır.[3] Kısa süre önce Fransız internet servis sağlayıcısı OVH, 1.2 Tbps trafiğe sahip DDOS saldırısı ile gerçekleştirilen en büyük DDOS saldırısı ünvanını almaya hak kazandı. [4]

Mirai zararlısı iki ana bileşenden oluşmaktadır. Bunlar:
  • Virüs
  • C&C suncusu

Mirai DDOS Saldırısı Nasıl Gerçekleştirilir?


Bir DDOS botnet saldırısı, saldırgan tarafından yönetilen komutlar yardımı ile başlatılır. Kontrol sunucusu kullanarak her bir düğüme (virüs bulaşmış cihaza) saldırı için komut gönderme işlemi gerçekleştirilir. Botnet cihazlar ise saldırı trafiğini hedefe yönlendirerek DDOS saldırısını tamamlar. Rastgele belirlenen cihazlar üzerinde 23 veya 2323 portu kullanılarak telnet protokolü ile login denemeleri gerçekleştirilir. Her 60 denemede bir başarı ile sonuçlanan kullanıcı adı ve şifre bilgileri C&C suncusuna gönderilerek kaydedilir. Elde edilen bilgiler doğrultusunda giriş yapılarak cihazlar bot duruma getirilir ve aynı işlemler bir döngü halinde devam eder. [5]

Çeşitli CPU mimarileri için geliştirilen Mirai zararlısı, tersine mühendislik çalışmalarına karşı gizli teknikler barındırmaktadır. Bulaşan virus, bellekten kendisini siler. Bu sayede Bot cihaz yeniden başlatılana kadar aktif olarak çalışmaya devam eder.

Mirai saldırısı için IoT cihazlarının kullanımı öne sürülse de bununla birlikte;
  • Çoğu insanın tek bir bilgisayara sahip olmasına karşın akıllı telefon, tablet, tv gibi internet bağlantısı gerçekleştirebilen birden fazla cihaza sahip olması,
  • IoT cihazlarının güvenliğine verilen önemin yetersiz olması,
  • Tüketicilerin kişisel bilgisayardan daha da çok ekmek kızartma makinasını temin etmesinin daha kolay olması,
  • IoT cihazlarının genellikle aynı platformu kullanması
gibi sebepler DDOS saldırılarını kolaylaştırmıştır. IoT ile gerçekleştirilen DDOS saldırılarından bazıları:

Thingbot adı ile bilinen bilgisayar korsanları tarafından yapılandırılan 500.000 cihaz ile 2016 yılında 400 Gbps boyutuna ulaşan DDOS saldırısı gerçekleştirilmiştir. Bu saldırı Mirai zararlı yazılımı kullanımı ile gerçekleştirilmiştir.

Ekim 2016 yılında Dyn’e yapılan saldırı ile 1200’e yakın web sitesine erişim engellendi. Aralarında Netfix, Twitter ve CNN gibi ünlü servislerin de içerisinde bulunduğu saldırıda DVR, CCTV ve router gibi cihazlar kullanılarak gerçekleştirilmiştir.

28 Şubat’ta başlayan ve 54 saat boyunca devam eden DDOS saldrısının hedefi ABD’li bir üniversitedir. 2.8 milyar istek üretilerek 30.000  RPS’yi aşkın bir trafik akışı üretildi. Mirai zararlısı kullanılarak gerçekleştirilen DDOS saldırısı için CCTV, DVR ve routerlar dahil olmak üzere telnet (23) bağlantısı yardımıyla saldırı gerçekleştirilmiştir.[6] 

Dünya çapında gerçekleşen DDOS saldırısında 9.793 IP’den gelen trafik akışı analiz edilmiştir.[7]


Botnet kullanımını yüzdelik olarak ifade edersek; [6]
 

Saldırı internete bağlı olan cihazlar üzerinde gerçekleştiği için alınabilecek önlemler şu şekildedir:
Kuruluşunuza yapılan DDOS saldırısını keşfetmeye ve paket analizini gerçekleştirmeye yardımcı olacak bir saldırı tespit sistemi kurulmalıdır.
IPS/IDS, firewall ve router bazı DDOS türlerini durdurmakta etkili olabilirler. Konfigürasyın ve kurallar sürekli kontrol edilmelidir.
Kulllanılan CCTV, DVR ve router gibi internet bağlantısı olan cihazların şifrelerini değiştirilmelidir. Mümkünse her 3 ila 6 ay arası sürede düzenli olarak değiştirilmelidir.


[1] İnter of Things 
[2] OWASP IoT
[3] Mirai Malware
[4] OVH Mirai Zararlısı
[5] DDOS Botnet (Resim)
[6] Mirai İncelemesi
[6] Dünya Botnet Yüzdesi (Resim)
[7] Dünya Çapında DDOS Saldırısı (Resim)

M. Büşra ÖZTÜRK
Yazılım Destek Mühendisi

Yorumlar

Yorum Gönder

Bu blogdaki popüler yayınlar

1. Geleneksel Stajyer CTF Soru ve Cevapları

Resim
İlkini 26 Mayıs - 1 Haziran 2016 tarihleri arasında gerçekleştirmiş olduğumuz ve bundan sonraki stajyer alım süreçlerinde de devamlı gerçekleştirmeyi düşündüğümüz CTF (Capture The Flag) yarışmamızda sorulan sorular ve çözümleri için izlenebilecek adımlar aşağıda verilmiştir. 1. Verilen soruda "Her görünenin ardında gizli bir şeyler vardır." ile olayın sadece bir resimden ibaret olmadığı ve bir şeylerin gizlendiği/gizlenebileceği anlatılmaya çalışılmıştır. Burada da ilk olarak data gizleme/saklama bilimi olan Steganografi'nin akıllara gelmesi gerekmekteydi. Steganografi ile ilgili ayrıntılı bilgi için bkz . Resim dosyalarına farklı yöntemler ile data saklanabilmektedir. Popüler olarak kullanılan Steghide aracıyla, graph-theoretic yaklaşımıyla veri saklama işlemi yapılabilir. Soruda verilen resim aşağıdaki gibidir. Steghide ile resim içerisindeki datayı çıkartmayı denediğimiz zaman parola soracaktır. Brute force ile doğru parolayı bulmanız gerekmekte,
Devamını okuyun

2. Geleneksel Stajyer CTF Soru ve Cevapları - 2017

Resim
2. si düzenlenen CRYPTTECH Stajyer CTF'inde sorulan soruların çözümlerinden önce yarışma içeriğine dair birkaç istatistik ile başlangıcı yapalım. CTF ‘17’de sorduğumuz soruların genel görüntüsü aşağıdaki gibidir. Flag formatıyla beraber toplamda 16 soru sorulmuştur. 75 kayıtlı kullanıcının olduğu CTF’te aktif 42 katılım olmuştur. Sorulara göz attıktan sonra korkup kaçanların sayısını bilemiyoruz. 2000 ’e yakın cevabın girildiği sistemde; 213 doğru cevap, 1682 yanlış cevap girilmiştir.   Sorulara verilen cevapların dağılımı aşağıdaki gibi olmuştur; CEVAPLAR Soru 1: Başlangıç olarak sonraki sorularda verilecek cevapların formatının nasıl olması gerektiğini belirten format üzerine kurulu bir sorumuz vardı; Bu soruya inatla yanlış cevaplar veren ve cevap soruda yazmasına rağmen ipucu isteyip 7 puanını kaptıran arkadaşlara selam olsun. Cevap 1: CT_{flag} Soru 2: Sorudan anlaşılması beklenen, verilen klasördeki 66 resim içerisinden aynı hash (heş) değerine s
Devamını okuyun

B*-Tree (BTree, BPlusTree) Veri Yapısı ile Veri İndeksleme

Resim
Veri indeksleme Veri asıl kaynağına yazılırken bir format takip edilir. Bu formata göre, bazı sorgulamaların yapılması çok zaman almaktadır. Bazen tüm verinin taranması gerekebilir. Veriye erişimi hızlandırmak için, asıl veriye ek olarak, farklı biçimlerde tekrar bilgi yazılması gerekmektedir. Farklı biçimlerde verinin tekrar yazılması işlemi "indeksleme" olarak adlandırılmaktadır. İndeksleme yaklaşımında, indekslenecek anahtar veri ve asıl veriye referans bulunmaktadır. ( <Key,Pointer> ) Asıl veri değiştiğinde, indeks verilerinin de güncellenmesi gerekir. Bu yazımızda; önemli indeksleme tekniklerinden olan BTree ve BPlusTree veri yapılarının özellikleri hakkında bilgi verilecektir. BPlusTree, ilişkisel veritabanlarında en çok kullanılan ağaç veri yapısıdır. BTree Veri yapısı BTree, ağaç şeklinde dinamik bir veri yapısıdır. Nodlar ve nod içindeki sıralı elemanlardan oluşur. Kök noddan başlayarak; her bir elemanın küçük değerleri, sola doğru, büyük değerleri is
Devamını okuyun