Nesnelerin İnterneti İçin Donanım Yaması Gerek

nesnelerin_interneti-iot-siber_güvenlik-donanım-güncellemeNesnelerin interneti cihazlarını siber saldırılardan korumak için yazılım güncellemesi yeterli değil. En güvenli yöntem donanım yaması yapmak. Yoksa nesnelerin interneti kullanan akıllı evler hackerların saldırısına açık olacak. Peki donanım yaması nedir ve nasıl yapılır? Birlikte görelim.

Nesnelerin interneti zor sektör

Nesnelerin interneti (IoT) teknolojisinin yaygınlaşmasının ve IoT sektörünün büyümesinin önündeki birinci engel siber saldırılar. Bunun için tarihin en kapsamlı siber saldırılarından birine bakabiliriz:

21 Ekim 2016’da aralarında Twitter, PayPal, Spotify, Netflix, The New York Times ve The Wall Street Journal’ın da bulunduğu birçok web sitesine erişim kesildi. Bunun sebebi tarihin en kapsamlı DDOS (dağıtık hizmet reddi) saldırısıydı.

Bu saldırı internette gezinirken ziyaret edeceğimiz web sitelerinin adreslerini barındıran bir alan adı sistemi (DNS) şirketine yapıldı. Dyn DNS şirketinin sunucuları çalışamaz hale gelince kullanıcılar Twitter gibi sitelere erişim sağlayamadı.

İlgili yazı: İnternetinizi Uçuracak En İyi 10 Modem

nesnelerin_interneti-iot-siber_güvenlik-donanım-güncelleme
Akılıl lambalardan akıllı telefon ve fitness trackerlara kadar birçok nesnelerin interneti cihazı 2016’da tarihin en büyük DDOS saldırısını yapmakta kullanıldı.

 

Nesnelerin interneti saldırısı

Normalde DDOS saldırıları virüs bulaştırarak zombi haline getirilmiş laptop ve masaüstü bilgisayarlardan oluşan bir botnet üzerinden gerçekleştirilir. Ancak, bu kez hackerlar nesnelerin interneti cihazlarını ele geçirdiler:

Tarihin en büyük saldırısı akıllı telefonlar, akıllı saatler, fitness bilezikleri, kombi termostatları, akıllı lambalar gibi nesnelerin interneti cihazlarıyla yapıldı.

İlgili yazı: Düz Dünya Teorisini Çürüten 12 Kanıt

nesnelerin_interneti-iot-siber_güvenlik-donanım-güncelleme
Büyütmek için tıklayın.

 

En gerçekçi bilgisayar virüsü

12 Maymun filminde insanların yüzde 95’ini öldüren virüsler bizi neden korkutuyor? Çünkü trilyonlarca ölümcül virüsün dünyaya bulaşıp her yeri ele geçirmesini istemiyoruz. Bilgisayar virüslerinin çoğalması için en uygun ortam da IoT cihazları.

Sonuçta 2020 yılında en az 20 milyar nesnelerin interneti cihazı online olacak. Akıllı lambalar, buzdolapları ve fitness bileziklerini de kapsayan bu sayı bilgisayarların sayısından kat kat fazla. Bu yüzden IoT tabanlı DDOS saldırıları da çok yaygın ve tehlikeli olacak. Nitekim daha 2014 yılında Rusların akıllı ütüyle siber saldırı yaptığı iddiaları gündeme gelmişti.

İlgili yazı: Renk Körlüğünü Düzelten Gözlük EnChroma

nesnelerin_interneti-iot-siber_güvenlik-donanım-güncelleme
Nesnelerin interneti akıllı evlerde kullanılıyor.

 

2020’de 1,29 trilyon dolar

  • IDC’nin son raporuna göre 2020 yılında küresel IoT pazarı 1,29 trilyon dolara ulaşacak.
  • Sadece B2B sektörü nesnelerin interneti teknolojileri, uygulamaları ve çözümlerine yılda 267 milyar dolar harcayacak.
  • IoT harcamalarının yüzde 50’si üretim, taşımacılık ve hizmet sektörü için yapılacak.
  • IoT uygulamaları yılda 64,1 milyar dolar gelir getirecek.
  • IoT cihazlarının oluşturduğu büyük veri analizine yılda 21,4 milyar dolar harcanacak.

İşte bütün bunlar sadece üç yıl içinde 20-30 milyar nesnelerin interneti cihazının kullanıma girmesi anlamına giriyor. Bu dev sektör bilgisayar korsanlarının dev DDOS saldırıları gerçekleştirmesi için verimli bir ortam sağlıyor.

İlgili yazı: Yeni Amazon Key Hizmeti ile Kurye Kapınızı Açacak

nesnelerin_interneti-iot-siber_güvenlik-donanım-güncelleme
Büyütmek için tıklayın.

 

Antivirüs yazılımı kullanalım?

IoT cihazları SCADA sistemleri üzerinden elektrik şebekesini, su şebekesini, kanalizasyon sistemini, hastaneleri, İstanbulkart otomatlarını, metroları ve elbette havalimanlarıyla uçakları kontrol etmekte kullanılıyor.

Nesnelerin interneti cihazlarını siber saldırılardan korumak için antivirüs yazılımı kurabiliriz. Ancak bunu engelleyen iki sorun var: 1) Az enerji tüketen bu küçük cihazların çoğu özel üretim. Dolayısıyla da bildiğimiz anlamda işletim sistemi kullanmıyorlar.

IoT cihazları modemlerde olduğu gibi firmware (aygıt yazılımı) kullanıyor veya Intel işlemcilerin çekirdek kodları gibi doğrudan cihaz çipini yöneten basit kodlarla çalışıyor.

2) Akıllı ısı sensörü gibi minyatür cihazlara sığacak kadar küçük olan çiplerin işlem gücü de antivirüs yazılımları kurmak ve bunları siber saldırılardan korumak için yetersiz kalıyor. Dolayısıyla nesnelerin internetinde siber güvenlik sağlamak için yazılım güncellemek yeterli değil.

İlgili yazı: İnternette teknik takip ve gözetimi önleme rehberi

nesnelerin_interneti-iot-siber_güvenlik-donanım-güncelleme
Akıllı buzdolabı.

 

IoT neden hackerlara karşı savunmasız?

Birincisi milyarlarca cihaz var ve bunların çoğu basit sensör veya elektronik etiketler. Örneğin kolilere takılan RFID çipleri. Kısacası her zaman internete bağlı değiller. Bunlara istediğimiz zaman ulaşmak ve düzenli olarak güncellemek çok zor. Bir virüs bulaşırsa küresel salgın olur.

İkincisi kişisel bilgilerin korunması sorunu: Akıllı telefonlar ve fitness bilezikleri özel hayatımızı izliyor. Ne zaman eve geldiğimizi, yatıp uyduğumuzu biliyorlar. Telefonda kiminle konuştuğumuzu biliyor ve telefon defterimizi kayıt altına alıyor; internette hangi siteleri gezdiğimizi izliyorlar. Online alışveriş alışkanlıklarımızı da takip ediyorlar (internet özel hayatı nasıl öldürdü yazım).

Dolayısıyla hackerlar eşinizin numarasını ifşa edebilirler. Dahası sahilde koşarken fitness bileziğinin nabzımızı olduğundan düşük göstermesini sağlayabilirler. Bu da bir insanın kalbini gereksiz yorarak kalp krizi geçirmesine sebep olabilir. Özellikle hastanelerdeki yoğun bakım cihazlarına virüs bulaşırsa durum tehlikeli olur.

Üçüncüsü IoT cihazları fiziksel dünyayla ilişkili bulunuyor: Örneğin bir akıllı tost makinesini hackleyerek aşırı ısınmasına ve evde yangın çıkarmasına sebep olmak mümkün. Evi su basması, kişiyi elektrik çarpması gibi riskler var.

İlgili yazı: Bitcoin ve Altcoin ile nasıl yatırım yapılır?

nesnelerin_interneti-iot-siber_güvenlik-donanım-güncelleme
Büyütmek için tıklayın.

 

Enerji açığı sorunu

Telefon santralleri dünyanın ilk veri merkezleri arasında yer alıyor. Hosting firmaları ve telekom şirketleri de bu merkezleri özel siber saldırı önleme cihazlarıyla koruyor (izinsiz giriş saptama sistemleri (IDS) gibi).

Ancak, bunlar şehir voltajı gerektiren cihazlar. Nesnelerin interneti cihazları ise yapısı gereği çok az elektrik tüketiyor.

İçlerinde sadece birkaç mikroamper elektrik tüketenleri veya vampir telefon yazısında anlattığım gibi, Wi-Fi kablosuz internet sinyallerinden enerji çekenleri var. Kısacası bu cihazları en gelişmiş saldırı önleme sistemlerine bağlamamız imkansız.

İlgili yazı: Mobil İnternette Video İzleme Rehberi

nesnelerin_interneti-iot-siber_güvenlik-donanım-güncelleme
Akıllı satler de hacklenebilir, hatta bağlandıkları ev ve cihazlara virüs bulaştırabilir.

 

Yenileme sorunu

Akıllı telefonları iki yılda bir değiştiriyoruz. Zaten üreticiler iki yıldan sonra yazılım güncellemesi sunmuyor. Cihazlara kısıtlı donanım yerleştirdikleri için mobil uygulamalar iki yıldan sonra cihazı yavaşlatarak bizi yeni model telefon almaya zorluyor.

Aynı şey laptoplar için de geçerli. Bunları da genellikle üç yıl kullanıyoruz. Hele bilgisayar oyunlarına meraklı olanlar iki yılda bir PC değiştirebiliyor.

Nesnelerin interneti cihazları ise çok uzun ömürlü oluyor. En basitinden, Amazon’un depolarındaki kolilere takılan RFID etiketleri 20 yıl kullanabiliriz. İnternete bağlanan otomobilleri de 5-10 yıl kullanıyoruz.

Yazılım güncellemesi yetmez

Yeni bilgisayarlar yeni siber saldırılara dayanıklı olarak geliştiriliyor. Ancak, hiçbir üretici 20 yıl kullanım ömrü olan bir RFID etiketini gelecekteki siber saldırılardan koruyamaz. Hiçbir aygıt yazılımı 10 yıl sonra çıkacak olan kötü amaçlı yazılımları engellemeye hazırlıklı olamaz. Bu yüzden nesnelerin internetini yazılım güncellemesiyle koruyamayız.

İlgili yazı: Gerçek Adem: ilk insan ne zaman yaşadı?

nesnelerin_interneti-iot-siber_güvenlik-donanım-güncelleme

 

Çare donanım yaması

Peki donanım yaması nasıl yapılır? Yazılım güncellemesi gibi yapılmayacağı kesin; çünkü yazılım güncellemek çok sorunlu. Geçenlerde bir arkadaşım iPhone 7’yi güncelledi ve telefonu şarj etmekte zorlanmaya başladı. Güncellemeler bazen düzgün çalışan bilgisayarları bozuyor.

Örneğin yeni oyun alıyorsunuz ve grafik kartı sürücüsünü yeniliyorsunuz. Sonra eski oyunlarınız açılmıyor. Bu yüzden birçoğumuz yazılım güncellemeyi olabildiğince geciktiriyoruz. Sadece işletim sistemi veya telefon güncelleme olmadan çalışmadığı zaman yeni yazılım kuruyoruz.

Ayrıca akıllı otomatik güncelleme diye bir şey yok: Bazen yeni grafik kartı anakart yazılımını güncellemeden çalışmıyor. Üreticinin güncellemesi ise grafik kartıyla uyumlu olmayabiliyor. Özellikle toplama bilgisayarlarda sorun yaşıyoruz.

Tek tek her parçanın güncellemesini bulamıyoruz. Bulsak da bunlar birbiriyle uyumlu olmuyor. Bu yüzden bilgisayarımızı grafik kartı ve işletim sistemi güncellemeleri hariç pek güncellemiyoruz. Bu da aygıt yazılımlarında kalan güvenlik açıkları nedeniyle bizi siber saldırılara açık hale getiriyor.

İlgili yazı: Kodlama İçin En Gerekli 16 Programlama Dili

nesnelerin_interneti-iot-siber_güvenlik-donanım-güncelleme

 

Heartbleed sendromu

O kadar çok güvenlik açığı var ki hangi birine yetişelim? Bütün sistemlerde otomatik güncellemeye geçmek güvenli değil. Örneğin WordPress blogumuz olsun. Heartbleed açığını kapatmak için hosting firmasıyla konuşacağız; ama güncel sunucu yazılımının blogumuzla uyumsuz olma riski var.

En basitinden PHP sürümünü güncellemek isteyelim. Bunun blog temamız veya veritabanımızla uyumsuz olması mümkün. Ayrıca nereden vakit bulacak da blog ve bilgisayarımızı tek tek güncelleyeceğiz? Akıllı telefonlarda ise yukarıda anlattığım iPhone 7 sorununu yaşayabiliyoruz.

Son olarak her ay 15-20 yeni güvenlik açığı ya da tehdidi çıkıyor. Antivirüs yazılımları ve güncellemeler siber tehditlerin hızına yetişemiyor.

İlgili yazı: Elon Musk Neuralink ile İnsan Beyni ve Bilgisayarları Birleştirecek

nesnelerin_interneti-iot-siber_güvenlik-donanım-güncelleme
Amazon Go kasada para ödemeden alışveriş yaptığınız bir süpermarket sistemi ve nesnelerin interneti kullanıyor.

 

Donanım da değişmeden kalıyor

Nitekim bilgisayarımızdaki Core i7 işlemcinin en temel kodlarını güncellememiz imkansız. Genellikle firmanın aygıt yazılımı bile bunlara dokunmuyor. Kısacası bizzat donanım kilitleri siber saldırılardan korunmak için güncelleme yapmayı engelleyebiliyor.

Örneğin, hackerlar bir işlemciyi korumaya yarayan şifreleme sistemini kırmayı başarırsa işimiz bitik; çünkü bunun güncellemesi yok. Diğer sorun ise IoT cihazlarının özel üretim olması. Küçük olmak ve az enerji tüketmek için özel tasarımları var. Genel aygıt yazılımı güncellemeleri buna uygun değil.

İlgili yazı: Musk Mark’a Karşı: Yapay Zeka Ne Kadar Zeki?

nesnelerin_interneti-iot-siber_güvenlik-donanım-güncelleme

 

Çözüm IoT standartları geliştirmek

Buna karşın nesnelerin interneti cihazları için ortak bir donanım standardı geliştirmek zor. Yazılım yerine donanım güncellemesi yapmaya uygun ortak standartlar geliştirmek daha da zor. Neyse ki bir çaresi var:

Florida Üniversitesi, Gainesville elektrik ve bilgisayar mühendisliği profesörü Swarup Bhunia, NXP Semiconductors şirketi kıdemli başmühendisi Sandip Ray ve Intel Labs araştırmacısı Abhishek Basak bunu çözmek için yeni bir teknoloji geliştirdiler: Adı sahada programlanabilir geçit sistemi (FPGA).

FPGA çiplerinin en büyük özelliği, mantık sisteminin fabrikadan çıktıktan sonra da programlanabilmesi.

Öyle ki bu çipleri aygıt yazılımından daha temel olan donanım kodları düzeyinde yeniden programlayabiliyoruz. Nitekim asıl marifet yeni siber güvenlik tehditlerine karşı kolaylıkla güncellenen bir donanım mimarisi geliştirmek.

İlgili yazı: IBM Moore Yasasını Aşan Gökdelen işlemciler Geliştirdi

nesnelerin_interneti-iot-siber_güvenlik-donanım-güncelleme
Nesnelerin interneti elektrik ve su şebekesinde de kullanılıyor; yani siber saldırılar artık kritik altyapıları bozabiliyor. Nitekim İranlı iki gazeteci Türkiye’de 2015 Mart ayında yaşanan elektrik kesintisini İran yaptı dedi. İran’ın siber saldırı yaptığını belirttiler.

 

FPGA nedir?

Güvenlik kuralları motoru denilen bu çip, temel kodları sürekli olarak güncellenebilen merkezi bir donanım bloku olarak geliştirildi. Örneğin, bu çipi taşıyan bir sensör hem kendini hem de bağlı olduğu akıllı LED lambayı ve diğer bağlı cihazları otomatik olarak güncelleyebilir.

FPGA çiftleri tıpkı Bitcoin’de olduğu gibi temelde anonim olan özel şifreler kullanacak. Bu şifrelerle kendini diğer cihazlara tanıtacak.

Böylece hackerlar bu sensörleri ele geçirip diğer cihazlara virüs bulaştıramayacak. Tersine, FPGA çiftleri tüm cihazları orijinal donanım yamasıyla güncelleyecek.

İlgili yazı: İnternet Parçalanıyor ve Splinternet Geliyor

nesnelerin_interneti-iot-siber_güvenlik-donanım-güncelleme
Akıllı lambalar.

 

Telif hakları ve patent sorunu

Bu sistemin nesnelerin interneti cihazlarında yaygınlaşmasının önündeki en büyük engel patentler gibi fikri mülkiyet hakları (IP). Sonuçta dünyada birçok akıllı lamba veya optik kablosuz modem ya da optik kablosuz şarj cihazı üreticisi var.

Hepsinin donanım şifresi farklı ve şirketler fikri mülkiyet haklarını korumak istedikleri için bu şifreleri donanım yaması yapan FPGA çipi üreticilerine vermek istemeyecektir. Örneğin, donanım standardını Intel geliştirirse ve FPGA çiplerini Intel üretirse bütün IoT üreticilerini kendine bağımlı hale getirebilir.

Bu bağlamda merkezileşme ve tekelleşme büyük sorun. Sonuçta tek bir FPGA standardı, bu çipler üzerinden yapılacak siber saldırıların tüm nesnelerin interneti cihazlarını etkilemesi anlamına geliyor.

İlgili yazı: Telif Bahane, Sansür Şahane >> Copyright Lobisi Sansür ve Gözetlemeye Hizmet Ediyor

nesnelerin_interneti-iot-siber_güvenlik-donanım-güncelleme

 

Bu sorunu nasıl çözeriz?

Teorik olarak bütün cihaz üreticilerinin kendi şifreleriyle kullanabileceği özel bir arayüz geliştirebiliriz. Sadece donanım güncellemek açısından bu bütün üreticilere açık olan ortak bir çip olur. Ancak, bu çipleri yalnızca Intel üretse bile nesnelerin interneti üreticileri şifrelerini Intel’le paylaşmak zorunda kalmaz.

Hayaller Paris, gerçekler Muş

Oysa bunun için gereken donanım standartlarını belirlemek, sektörün bu standartları kullanmasını sağlamak ve yeni çip üretimine başlamak uzun yıllar alacaktır. Bunu 3G’den 4G internete geçmenin yıllar almış olması gibi düşünebilirsiniz.

Neyse ki buna şimdilik gerek yok; çünkü elimizde bir ara çözüm var: Debug arayüzü (hata çözme arayüzü). Üreticiler bu arayüzü nesnelerin interneti cihazlarının düzgün çalışıp çalışmadığını kontrol etmekte kullanıyor.

IoT siber güvenlik donanım güncellemelerini bu arayüzden yapabiliriz. Buna işlemci temel kodlarının şifreleme sistemini güncellemek de dahil. Tabii bu geçici bir çözüm: Debug arayüzüyle güncelleme yapılamayan bir güvenlik açığı çıkarsa o IoT cihazını değiştirip yenisini almadan sorunu çözemezsiniz.

İlgili yazı: IoT Arama Motoru MAANA 40 Milyon$ Yatırım Aldı

nesnelerin_interneti-iot-siber_güvenlik-donanım-güncelleme

 

OTA güncellemeleri

Her durumda gelecekten umutluyuz. IoT üreticileri daha şimdiden nesnelerin interneti cihazlarının yazılımlarını otomatik olarak güncelleyen OTA sistemini yaygınlaştırmaya çalışıyor. Bu sistem otomatik iOS ve Android güncellemeleri gibi çalışacak.

Böylece sadece orijinal güvenli güncellemeler sunulacak; ama nesnelerin internetinin birkaç mikroamperle çalıştığını unutmayalım.

Akıllı evler ve e-etiketle stok-lojistik takip gibi segmentlerde IoT birimlerinin kesintisiz çalışması gerektiğini de hatırlayalım; yani bunları güncellerken akıllı evlerin donarak akıllı şehir sistemlerinin durmasını istemeyiz!

İlgili yazı: LIGHTS Kızılötesi Kablosuz Şarj Cihazı

nesnelerin_interneti-iot-siber_güvenlik-donanım-güncelleme

 

Nesnelerin interneti zor sektör

Ancak, geleceğe bakış olarak bu sorunun yapay zekayla çözüleceğini söyleyebiliriz: Google ve Facebook şimdiden kendi başına öğrenen, başka yazılımlarla sohbet ederek öğrenen, hatta kendini kodunu yazan yapay zeka yazılımları geliştiriyor.

DataRobot ise dünyanın ilk öğretmen yapay zeka yazılımı oldu ve yapay zekaya algoritma öğretiyor. Yarın öbür gün elimizde 1 trilyon nesnelerin interneti cihazı olunca siber güvenlik için donanım yaması yapmanın tek yolu yapay zeka kullanmak olacak.

Tabii yakın gelecekte donanım güncelleme işine el atacak yapay zeka, sadece 15-20 yıl içinde insan zekasını aşarak süper zekaya dönüşebilir. Peki bizden zeki olacak bu yeni sentetik canlı türüne yazılım güncellemek gibi sıradan bir işi nasıl yaptıracağız?

Robotlaşma ve süper zeka

Gerçi önce dijital dönüşüm kapsamında yazılım ve robot otomasyonu sağlayarak endüstri 4.0’ı, yani dördüncü sanayi devrimini gerçekleştirmemiz gerekiyor. Tabii robotlaşma sırasında işsizliğe yol açmamak da gerekiyor. Robotlarla işimiz zor görünüyor, ama nesnelerin interneti yaygınlaşınca daha esnek dijital sistemler kurarak istihdam sorununu çözebilir. Cesur gelecek bizi bekliyor.

Nesnelerin interneti nasıl çalışıyor?


1Worldwide Semiannual Internet of Things Spending Guide

Yorumlar

Yorum ekle

E-posta adresiniz yayınlanmayacak. Gerekli alanlar * ile işaretlenmişlerdir