2021’in sonunda 12 milyar bağlı IoT cihazı olacak ve 2025’te bu sayı 27 milyar.
Tüm bu cihazlar internete bağlanacak ve endüstrileri, ilaçları ve arabaları daha akıllı ve daha verimli hale getirecek faydalı veriler gönderecek.
Ancak, tüm bu cihazlar güvenli olacak mı? Gelecekte veri hırsızlığı veya diğer siber suç türleri gibi bir siber suçun kurbanı olmayı önlemek (veya en azından azaltmak) için ne yapabileceğinizi sormaya değer mi?
IoT güvenliği hiç gelişecek mi?
Son yıllarda, Nesnelerin İnterneti ile ilgili güvenlik açıklarının sayısı önemli ölçüde artmıştır.
En baştan başlayalım – çoğu IoT cihazı varsayılan ve herkese açık şifrelerle gelir. Dahası, en temel güvenlikten bile yoksun birçok ucuz ve düşük kapasiteli Nesnelerin İnterneti cihazı olduğu bir gerçektir.
Ve hepsi bu değil – güvenlik uzmanları her gün yeni kritik güvenlik açıkları keşfediyor. Güvenlik denetimlerinden geçen çok sayıda IoT cihazı tekrar tekrar aynı sorunları gösteriyor: IP düzeyinde veya hatta radyo düzeyinde uzaktan kod yürütme güvenlik açıkları, kimliği doğrulanmamış veya bozuk erişim kontrol mekanizmaları.
Zayıf donanım güvenliği, en sık keşfedilen sorunlardan biridir. Bu karmaşık terimle, bilgisayar korsanlarının ellerinde bir IoT cihazı olduğunda yararlanabilecekleri tüm saldırı olasılıklarını kastediyoruz: cihazın belleğinde açık bir şekilde saklanan güvenlik bilgilerinin çıkarılması → Bu verileri, cihazın verilerinin bulunduğu sunuculara sızmak için kullanma gönderildi → aynı türdeki diğer cihazlara uzaktan saldırmak için bu kimlik bilgilerini “karanlık ağda” paylaşmak veya satmak vb.
Devam eden gerçek bir sessiz IoT savaşı var ve on binlerce IoT cihazının güvenliği zaten ihlal edildi. Orange Cyberdefense’in Epidemiyoloji Laboratuvarı, artan farkındalık düzeyi hakkında size bir fikir vermek için bize bazı heyecan verici ve ürkütücü rakamlar sunuyor: Örneğin, 2019’da savunmasız bir IoT cihazına 3’ten daha kısa sürede bulaşabilir. 2021’de bir IoT cihazı, onu ele geçirmeye çalışan 100’den fazla farklı botnet tarafından her gün ortalama 2814 kez saldırıya uğruyor. Bu nedenle, Mirai’den beş yıl sonra, Meris adında yeni bir IoT botnet’in ortaya çıkması ve çok büyük bir Rus arama motoru web sitesi olan Yandex’e karşı büyük DDoS saldırıları için kullanılması şaşırtıcı değil.
Tünelin sonunda ışık
Ancak, durum yakın gelecekte değişmeye başlayabilir. Son zamanlarda Avrupa telekomünikasyon sektörünün en büyük oyuncusu Orange, “IoT GÜVENLİBüyük bir elektronik cihaz üreticisi olan Thales ile işbirliği içinde. Bir ağ sağlayıcısı ile bir IoT cihazı üreticisi arasındaki işbirliğinin, IoT cihazlarının güvenliğini (ve dolayısıyla kullanıcılarının güvenlik duruşunu) önemli ölçüde iyileştirdiği gösterilmiştir.
IoT SAFE tarafından standartlaştırılmıştır. GSMA cihaz ve yonga seti üreticileri, bulut sağlayıcıları ve mobil ağ operatörleri arasındaki geniş işbirliğinin bir sonucu olarak.
Ana fikir, güvenlik anahtarlarının güvenli bir şekilde saklandığı ve dinamik olarak yönetildiği bir uygulamalı Anahtar Deposu olarak bir SIM kartı (veya yerleşik bir SIM’i) kullanmaktır. Artık sırları güvenilmeyen bir sağlayıcıya teslim etmeye gerek yok. Ayrıca pahalı ve özel bir Güvenli Öğe eklemeye gerek yoktur. Ayrıca, tescilli arayüzler için bir gereklilik yoktur.
IoT SAFE sayesinde, çok çeşitli şifreleme hizmetleri doğrudan SIM kart tarafından kapsanabilir.
Şunu sorabilirsiniz: Bir IoT cihazının güvenliğini sağlamak için neden bir SIM’e veya gömülü bir SIM’e bağlıyız? Bunun nedeni, SIM kartların fiziksel saldırılara karşı çok iyi korunmasıdır. Ayrıca standartlaştırılmışlardır ve güvenilir ve iyi geliştirilmiş çipler olarak kabul edilebilirler. Hücresel ağa bağlı tüm IoT cihazları genellikle SIM kartlarla donatılmıştır. Hemen köşedeki endüstriyel IoT için 5G ile popülerliklerini kesinlikle koruyacaklar. Ayrıca pek çok mobil IoT cihazı küçük olduğundan ve ucuz sensörlere sahip olduğundan ucuzdurlar, bu nedenle muhtemelen özel bir çipe gerek yoktur.
O nasıl çalışır? Bir örnek.
Ayrıca, bu yeni standart, genel sadeliğin faydasını da masaya getiriyor.
Buna bir örnek “Sıfır Dokunuşla Sağlama”dır. Bu kullanım durumunda, ağ operatörü, IoT cihazı kullanıcı tarafından açılır açılmaz, IoT SAFE uygulamasının bir örneğini uzaktan kurar ve yapılandırır. Ardından, ağ operatörü, uygulamaya, SIM kartta güvenli bir şekilde saklanan özel bir anahtar ve sunucuya geri gönderilen bir genel anahtardan oluşan yeni bir anahtar çifti oluşturma talimatı verir. Sunucu yeni bir istemci sertifikası oluşturur ve bunu uygulamaya geri gönderir. Son olarak, IoT SAFE uyumlu cihaz, karşılıklı olarak doğrulanmış bir TLS oturumu kullanarak buluta güvenli bir bağlantı kurmak için bu verileri kullanır.
Cihazın güvenliğinin ihlal edildiğinden şüpheleniliyorsa, kimlik bilgileri mobil ağ üzerinden uzaktan silinir.
Ayrıca, kritik kullanıcı verilerini SIM’de depolamak veya IoT kötü amaçlı yazılımları tarafından yetkisiz kod yürütülmesini önlemek için çalıştırmadan önce yazılımın kimliğini doğrulamak gibi, IoT SAFE tarafından kapsanabilecek daha karmaşık kullanım durumları da vardır.
Parlak ve güvenli bir IoT dünyasına
Turuncu ilk yayınladı açık kaynak Standardın Ekim 2020’de düz C diline dayalı olarak uygulanması. Bu projenin uygulanması, iki farklı satıcının uygulamaları kullanılarak iki kısıtlı cihazda test edildi. İyi bilinen iki genel Buluta (Azure ve AWS) ve Orange’ın kendi özel Canlı Nesneler Bulutuna başarıyla entegre edilmiştir. Bu açık kaynak kodunun izin verilen lisansı sayesinde cihaz üreticileri, IoT SAFE uyumlu bir cihazı kolayca uygulayabilecekler.
IoT SAFE girişimi, Java Card Forum, Global Platform ve Mobile IoT Summit gibi çeşitli konferanslarda sunuldu. Seminerler sırasında, IoT SAFE’i uygulamaya yönelik kullanım örnekleri gösterildi ve IoT topluluğuyla ayrıntılı olarak tartışıldı. Bu çabalar sayesinde, kurtSSL iyi bilinen SSL/TLS kitaplığına IoT SAFE desteği ekledi.
Tabii ki, IoT SAFE geliştirmeleri ve prototipleri de bu yılki Mobil Dünya Kongresi’ndeki Orange standında gösterildi. Bu gösteriden sonra IoT endüstrisinin büyük ilgi gösterdiği aşikardı. Cihaz üreticileri, çip üreticileri ve hatta bir uçak üreticisinin yanı sıra pek çok kişi de IoT SAFE’nin potansiyeli konusunda heyecanlıydı.
Hepsi için bir
Bu bağlı cihazların yeterli güvenlik koruması sağlamadığı yadsınamaz. Sürekli artan güvensiz cihazlar çağında, bunların hepimiz için bir tehdit oluşturduğuna şüphe yok. Ayrıca, güvenlik tehditleri IoT pazarlarının gelişiminin önünde büyük bir engel olarak görülüyor. Nesnelerin İnterneti Dünyası ve Omdia’ya göre, ankete katılan 170 endüstri liderinin %85’i, güvenlik endişelerinin IoT’nin benimsenmesinin önünde büyük bir engel olmaya devam ettiğine inanıyor. Çoğu zaman, potansiyel müşteriler, güvenliklerinin ihlal edilmesinden endişe duydukları için IoT nesnelerini satın almaktan çekinirler.
Sonuç olarak, yalnızca güvenilir ve makul düzeyde güvenli cihazlar piyasada başarılı olacak ve makul bir IoT iş büyümesine yol açacaktır. Bu nedenle, satıcı topluluğu, IoT pazarını canlandırmak ve iş fırsatlarını artırmak için IoT güvenliğine aktif olarak katkıda bulunmalıdır.
Çalışkan Orange Cyberdefense araştırmacılarının bu yıl neleri araştırdığı hakkında daha fazla bilgi edinmek istiyorsanız, yakın zamanda yayınladıkları açılış sayfasına atlayabilirsiniz. Güvenlik Gezgini.
Not – Bu makale Orange Innovation’dan Fabrice Fontaine ve Leila de Charette tarafından yazılmış ve katkıda bulunmuştur.
.
siber-2