Deneyimi Apple, Microsoft ve Mozilla gibi şirketlerin ürünlerinin güvenliğini artırmasına yardımcı olmayı içeren ünlü güvenlik uzmanı Window Snyder, aynı şeyi Nesnelerin İnterneti (IoT) cihaz üreticileri için de yapabileceğini iddia ediyor.
Snyder’ın şirketi Thistle Technologies bugün, IoT üreticilerinin güncellemeleri güvenli bir şekilde dağıtmasına ve cihazlarına güvenli iletişim ve bellek yönetimi için yetenekler uygulamasına yardımcı olmayı amaçlayan yeni bir platformu genel kullanıma sunuyor. Yeni Thistle Güvenlik Platformu, gömülü cihaz üreticileri için çalışan geliştirme ekiplerine, oluşturma aşamasında güvenlik işlevselliğini ürünlerine doğrudan dahil etmeleri için bir yol sağlayacak.
Önemli Yetenekler
Snyder, teknolojinin çok önemli olduğunu söylüyor çünkü gömülü cihazlar, işletim sistemleri ve uygulama yazılımlarıyla aynı türden tehditlerle karşı karşıya olan, ancak genellikle bunlara karşı korunmak için temel güvenlik mekanizmalarına sahip olmayan tamamen işlevsel bilgisayarlar gibidir.
Finansal teknoloji şirketi Square’de baş güvenlik görevlisi olarak çalıştıktan sonra 2021’in başlarında Thistle’ı kuran Snyder, “Yapmaya çalıştığımız şey, güvenliği demokratikleştirmek” diyor. Amaç, IoT ve gömülü cihaz üreticilerine, güvenlik işlevlerini kendilerinin geliştirmesine gerek kalmadan cihazlarına hızlı bir şekilde eklemeleri için bir altyapı sağlamaktır. “Bu aygıtlar, genel amaçlı işletim sistemlerinin sahip olduğu tüm aynı türden tehditlere sahip, ancak çok daha az güvenlikle,” diyor.
Thistle’ın güvenlik araçları ve hizmetleri, bir güncelleme bileşeni, bir bellek ayırıcı ve güvenli iletişim için tümleşik, bellek açısından güvenli bir Aktarım Katmanı Güvenliği (TLS) yığını içerir.
Linux ve Windows tabanlı cihazlar için güncelleme istemcisi, IoT üreticilerinin imzalı güncellemeleri tek bir merkezi konumdan cihaz filolarına güvenli bir şekilde teslim etmelerini sağlar. Güncellemeler, yeni cihaz özelliklerini, güvenlik işlevlerini ve güvenlik açığı düzeltmelerini içerebilir. Bir güncellemenin sorun yaratması durumunda bir aygıtın – yeniden başlatmaya gerek kalmadan – bilinen son iyi duruma dönmesine olanak tanıyan bir yük devretme özelliği içerir. Güncelleme istemcisi ayrıca güvenlik açığı izleme ve erişim kontrolü özelliklerini de destekler. Thistle’ın bellek ayırıcısı, aygıt belleğini arabellek taşmalarını ve bellekle ilgili diğer yaygın sorunları azaltacak şekilde yönetir.
Otomatik Güncellemeler
Thistle’ın teknolojisi uygulandığında, IoT cihazlarının, genel amaçlı işletim sistemlerinin ve uygulamaların güncellemeleri aldığı şekilde otomatik güncellemeleri almasını sağlayacaktır. Bir üründe bir güvenlik açığı ortaya çıktığında veya ürün için yeni işlevler kullanıma sunulduğunda, cihaz üreticisi güncellemeyi merkezi olarak tüm kurulu cihazlara güvenli bir şekilde gönderebilir ve böylece manuel müdahale ihtiyacını ortadan kaldırabilir.
Snyder, dünyanın en büyük teknoloji şirketlerinden bazılarında üst düzey güvenlik yöneticisi olarak çeşitli görevlerinde, güvenli yazılım geliştirme yaşam döngüleri, bellek yönetimi ve saldırı yüzeyini azaltma gibi alanlarda ilerlemelere katkıda bulunmuştur.
Şirketinin şu anda IoT pazarına getirdiği teknolojiyi, kaynak sıkıntısı çeken cihaz üreticilerine, şifreli iletişim ve bellek yönetimi yetenekleri gibi temel güvenlik özelliklerini cihazlarına entegre etme yolu olarak görüyor. Umudu, cihaz üreticilerinin, ileriye dönük bu özellikleri geliştirmek için şirketin platformundan yararlanmasıdır.
Thistle’ın öncelikli odak noktası, otomotiv, enerji, su, ağ ve endüstriyel sektör gibi önemli pazarlardaki IoT oyuncuları olacaktır.
Snyder, IoT alanındaki güncelleme mekanizmalarının – var olduklarında – sorunlu ve güvenilmez olabileceğini söylüyor. Kötü bir güncelleme bir cihazda tuğla oluşturduğunda veya başka sorunlara neden olduğunda birden çok olaya işaret ediyor. Bir örnek: bir 2017 olayı Kötü aygıt yazılımı güncellemesi, yüzlerce akıllı kilidi engelledi Airbnb’nin ev sahipleri için bir programın parçası olarak kullandığı Lockstate’ten. Snyder, hatalı bir güncelleme nedeniyle anahtarlıkların ve hatta arabaların bloke edildiği başka durumlar da olduğunu belirtiyor.
Snyder, “Güncelleme mekanizmalarına tolerans inanılmaz derecede düşük” diyor. “Güncelleme hatalarına karşı gerçekten düşük toleransınız olduğunda, desteklenmesinin yanı sıra son derece güvenilir bir güncelleme mekanizmasına sahip olmanız gerekir.”
Yapı Ortamlarıyla Entegrasyon
Yeni Thistle güvenlik platformu, yapı ortamlarıyla bütünleşir ve geliştiricilere, Thistle’ın güvenlik özelliklerini cihazlarına entegre etmek ve güncellemeleri imzalamak ve işlemek gibi şeyler için araçlar sağlar. Thistle’ın platformu, geliştiricilerin Linux ürünlerine nispeten hızlı bir şekilde özellikler eklemesine izin veren açık kaynaklı Yocto derleme sistemi ile bütünleşir. Ayrıca OpenWrt yönlendirici işletim sistemi ve U-Boot açık kaynak önyükleyici ile bütünleşir.
Veracode’un kurucusu ve baş teknoloji sorumlusu ve Thistle’ın tohum yatırımcısı Christ Wysopal, şirketin kullanıma sunduğu yeteneklerin birçoğunun, özellikle daha küçük IoT cihaz üreticileri arasında, bu alanda yeni olduğunu söylüyor. Teknoloji, yerleşik cihaz üreticilerinin, temel güvenlik özelliklerinin ürüne entegre edildiği, tasarım gereği güvenli bir yaklaşım uygulamasına yardımcı olmalıdır.
Wysopal, “Thistle, insanların bu teknolojiyi karşılayabilecekleri bir fiyata dahil etmelerini kolaylaştırıyor” diyor. “Güvenlik işlevselliğini daha önce olmadığı yerlerde kullanıma sunarak pazarı değiştiriyor.”
Thistle’ın platform lansmanı, IoT cihazlarını güvenli bir şekilde güncelleme teknolojilerine olan ilginin arttığı bir zamanda geldi. Son yıllarda satıcılar ve güvenlik araştırmacıları, IoT ürünlerinde artan sayıda güvenlik açığı bildiriyor.
Geçen yıl Claroty’nin bir raporu, 2022’nin ilk yarısında IoT güvenlik açıklarının, tüm bağlı siber-fiziksel sistemlerin tehlikeye attığı sözde Genişletilmiş IoT (XIoT) içindeki tüm güvenlik açıklarının %15’ini oluşturduğunu gösterdi. Önceki altı aylık dönemde IoT güvenlik açıkları, tüm XIoT güvenlik açıklarının yalnızca %9’unu oluşturuyordu.
Cihaz Üreticilerinde Basınç Artıyor
Eğilim önemlidir çünkü ulaşım, telekomünikasyon, imalat ve diğer sektörler gibi sektörlerdeki kuruluşlar, dijital dönüşümü ve operasyonel gereksinimleri desteklemek için her türlü gömülü cihazı ağlarına bağlar.
Wysopal, “Aygıtların benzersiz bir profili var çünkü genel amaçlı bir bilgisayar değiller ve yine de bir işlemcileri, bellekleri var, ağa bağlılar ve çoğu zaman kritik şeyler yapıyorlar” diyor.
Kurumsal kuruluşların, IoT tedarikçilerinden giderek daha iyi güvenlik özellikleri talep etmesini bekliyor. Wysopal, Thistle’dan bu tür teknolojilerin elde edilmesinin, cihaz üreticilerinin ürünlerinde temel güvenlik mekanizmalarını uygulamadaki başarısızlıklarını açıklamalarını zorlaştıracağını söylüyor.
Daha bu hafta, Ulusal Standartlar ve Teknoloji Enstitüsü IoT cihazları için yeni bir şifreleme standardı yayınladı; bu, kurumsal kuruluşların ve tüketicilerin yakında cihaz üreticilerinin bunu ürünlerine uygulamasını beklemeye başlayabilecekleri anlamına geliyor.
2020 tarihli Nesnelerin İnterneti Siber Güvenliği İyileştirme Yasası gibi önlemler başka bir faktördür çünkü devlet kurumlarına IoT cihazları satan kuruluşların teknolojileri için minimum güvenlik standartlarını sağlamasını gerektirir.
Snyder, gömülü ve IoT cihaz üreticilerinin güvenlik tehditlerine yanıt verme konusunda eskisinden daha fazla baskı hissettiklerini söylüyor.
“Müşteriler ayrıca daha iyi sorular soruyor ve zaman içinde bu cihazların son derece savunmasız olduğuna dair giderek daha fazla kanıt var” diyor.