Nesnelerin İnterneti Ne Kadar Güvenli?

Bugün yaklaşık 2,5 milyar kişinin internet kullandığı tahmin ediliyor. Gelişmekte olan ülkelerde bağlanabilirlik arttıkça, önümüzdeki birkaç yıl içinde bu sayı daha da artacak. Ama ufukta bu iletişim ağını epey farklılaştıracak bir gelişme var. Günümüzün en trend konularından biri olan Nesnelerin İnterneti, bazı güvenlik endişelerini de beraberinde getiriyor.

Etrafımızdaki cihazlara sensörler ve bağlantı olanakları eklenmeye devam ettikçe yeni bir ağ türünün doğuşuna şahit oluyoruz: insanların değil, nesnelerin bağlandığı bir ağ… İnsanların internetinin önüne geçecek, gelecekteki birçok şeyi otomatik hale getirecek bir ağ: Nesnelerin İnterneti (Internet of Things: IoT).

Bağlanabilirlik denince akla ilk olarak internet geliyor. İnsanoğlunun dünya çapındaki milyonlarca sunucuda depolanan muazzam bilgi birikimine erişmek söz konu olduğunda, saçma sapan ama komik videoları izlemek istediğimizde, dünyaya yeni gelen çocuğumuz ilk fotoğraflarını paylaşmak istediğimizde internete başvuruyoruz. İnternet tüm bunları bize müthiş bir verimlilik ve kolaylıkla sunuyor.

Otomatik bir çevre

Bu yeni sistemin temelini oluşturan fikir nispeten basit olmasına rağmen, kaç cihazın söz konusu olduğuna bağlı olarak uygulamalar son derece karmaşık hale gelebiliyor. Nesnelerin internetinin en temel hali, uzaktaki başka cihazlarla iletişim kurabilen cihazlardan oluşuyor. Gerçek hayattan bir örnek verelim: Dijital uydu alıcınızın kayıt (PVR) özelliği varsa ve evden çıkarken Muhteşem Yüzyıl’ın son bölümünü kaydetme komutunu vermeyi unuttuysanız, dijital platformunuzun mobil uygulamasını kullanarak dışarıdayken bile cihazınıza bu komutu gönderebilirsiniz. Böylece nesnelerin internetini kullanmış oldunuz bile. Bir süre sonra nesnelerin internetinde cihazların mevcut bilgileri analiz ederek kendi kendilerine karar verebildikleri aşamaya da geleceğiz.

“Nesnelerin interneti” (Internet of Things) terimini ortaya atan İngiliz teknoloji uzmanı Kevin Ashton, “Bugünkü bilgisayarlar ve dolayısıyla internet, bilgi edinmek için neredeyse tamamen insanoğluna bağlı durumda.” diyor. “İnternetteki yaklaşık 50 petabayt verinin neredeyse tamamı yazılarak, kayıt düğmesine basılarak, fotoğrafı çekilerek veya taranarak ilk olarak insanlar tarafından oluşturuldu veya kaydedildi. Geleneksel internet şemalarına baktığınızda sunucuları, yönlendiricileri vb. görürsünüz ama var olan en önemli yönlendirici bu şemalarda yer almaz: insanlar. Sorun şu ki, insanların vakti kısıtlı.

Mükemmel derece dikkat gösteremiyor ve kusursuz olamıyorlar. Tüm bunlar, gerçek hayattaki nesneler hakkında veri toplamada o kadar da iyi olmadıkları anlamına geliyor.”

Ashton şöyle devam ediyor: “Bizden hiç yardım almadan topladıkları verileri kullanarak nesneler hakkında bilinebilecek her şeyi bilen bilgisayarlar olsaydı her şeyi izleyebilir ve sayabilir; böylece atıkları, kayıpları ve maliyetleri ciddi oranda azaltabilirdik. Eşyaların ne zaman değiştirilmesi veya tamir edilmesi gerektiklerini bilir, yiyeceklerin taze mi yoksa bayatlamak üzere mi olduklarını anlardık. Bilgisayarlara kendi bilgi toplama yöntemlerini sağlamalıyız ki bu muazzam dünyayı kendi kendilerine görebilsin, duyabilsin ve koklayabilsinler.”

Mevcut uygulamalar

Herhalde Terminatör filmini izlemiş herkesin aklına nesnelerin internetini düşününce Skynet gelecektir. Hemen belirtmek gerekiyor ki nesnelerin interneti tarafından alınacak kararlar, orduların tamamen otomatik şekilde yönetilmesinden çok daha küçük ölçekli. Zaten hiçbir ülkenin ordu yönetimini yapay bir zekâya tamamen teslim edeceğini sanmıyoruz.

Daha makul bir örnek, çamaşır ve bulaşık makineleri üzerine verilebilir. Diyelim ki ikisini de doldurup evden çıktınız. Akıllı makineler elektrik şebekesiyle iletişime geçerek talebin en az olduğu zamanda çalışmaya başlayabilir, böylece daha çevre dostu bir şekilde ve size daha az maliyet çıkararak görevlerini yerine getirebilirler.

Isle of Wight’ta yapılan bir deneyde çeşitli enerji tasarrufu cihazları birlikte kullanıldı ve oluşturulan veriler ışığında ortaya çıkan uygun saatlerde elektrik tüketimine ağırlık verildi. Deney sonucunda bir evin yıllık elektrik gideri yaklaşık 500 TL azaltılabildi. Deney o kadar başarılı oldu ki ada şu anda akıllı bir elektrik şebekesi için pilot bölge olarak kullanılıyor.

Toplu taşıma araçları da nesnelerin interneti için biçilmiş kaftan. Örneğin Londra’daki iBus sistemi dahilinde GPS ve çeşitli sensörlerle donatılmış 8.000 otobüs, araçların konumu ve güzergah durumuyla ilgili veri topluyor. Bu veriler sayesinde otobüs duraklarında otobüsün kaç dakika sonra geleceği görülebiliyor. Benzer bir sistem İstanbul’da da İETT tarafından uygulanıyor ama İngilizler bir adım öteye gitmiş: Bu veriler kontrol merkezi tarafından denetleniyor ve bir otobüsün geç kaldığı fark edilirse trafik ışıkları otobüse hız kazandıracak şekilde yeniden düzenlenebiliyor.

Otomobiller de dahili harita sistemleriyle giderek daha bağlı hale geliyor. Önümüzdeki birkaç yıl içinde bazı büyük şehirlerde yollardaki her arabanın konumunun ve hızının izlendiğini, bu sayede daha dinamik ve sorunlara hızlı tepki veren trafik kontrol sistemlerinin yaratıldığını görebiliriz. Bunlara Google’ın şu anda test etmekte olduğu sürücüsüz arabaları da eklersek trafik sıkışmaları tarihe gömülebilir.

Bu konum tabanlı teknolojiler sağlık sektörünün de işine yarayabilir. Defibrilatör gibi bazı medikal cihazların RFID etiketleriyle etiketlenmesi halinde hastane görevlileri, acilen gereken bir cihazın hastanenin neresinde olduğuna hemen öğrenip ona daha çabuk ulaşabilirler. Teknolojinin yardımıyla hem daha fazla hayat kurtarılabilir hem de hastalara daha fazla vakit ayrılabilir.

Taburcu edilen hastalar da akıllı teknolojilerden faydalanmaya devam edebilir. Örneğin hasta, bir ilacını vaktinde almayı unutursa, akıllı ilaç kutusu hastanın bir yakınına e-posta veya telefonla haber verilmesini sağlayabilir.

2020 yılında gezegenimizde 50 milyar “bağlantılı” cihaz olacağı tahmin ediliyor. Bu, kişi başına 6 cihaz demek. Eğer bu gücün farkına varır ve onu destekleyecek bir iletişim ağı kurmayı başarabilirsek, eskiden bilimkurgunun alanına giren fikirler sadece birkaç yıl içinde gerçek olmaya başlayacak.

Peki ya güvenlik?

Akıllı aygıtlar, otomobillerden mutfağa kadar her şey daha konforlu hale getiriyor; fakat internete bağlı bir dünya gizli tehlikelerle dolu. Nesnelerin İnterneti, kimilerine göre çok ciddi tedbirler alınmadığı taktirde önemli tehditler içeriyor. Yakın dönemde yaşanan siber saldırılarda bilgisayarların yanı sıra internete bağlı eşyaların da hedef seçilmesi, bu yöndeki tedirginlikleri artırdı. Nesnelerin İnterneti aygıtlarının üreticileri güvenlik konusunda çok daha hassas davranıyor.

Şu ana kadar yapılmış en büyük saldırılardan birinde, güvenlik uzmanları Charlie Miller ve Chris Valasek, bir akıllı otomobilin direksiyonunu ve frenlerini bir dizüstü bilgisayarla ele geçirebildi. Başkaları ise ev kapılarından tuvaletlere kadar her şeyi hack’lediler ve geçen yılki Def Con güvenlik konferansında trafik sistemlerinden akıllı TV’lere kadar birçok saldırı tanıtıldı.

Şu ana kadar yapılmış çoğu hack, suçluların değil de güvenlik araştırmacılarının yaptıkları. Ne var ki eğer beyaz şapkalı hacker’lar bunu yapabiliyorsa siyah şapkalıların da yapabileceğini düşünebiliriz. Çoğu siber suçlu sırf para için bu işin içinde ve evinizin akıllı ışıklarını kırmızı renkte yakıp söndürmek kimseye para getirmiyor.

Deneyimlerden dersler çıkartılıyor

LIFX, Google’ın satın aldığı akıllı ev firması Nest’in geliştirici ağına kısa süre önce katılan akıllı bir ampul. Güvenlik firması Context bu sistemi hack’ledi ve ışıkları uzaktan yakıp söndürebildi. Contex bu saldırının “önemsiz bir şey olmadığı ve deneyimli siber suçlular tarafından da rahatça yapılabileceği” uyarısında bulundu. Saldırganlar bu sayede sadece ışıklarınızı yakıp söndürmekle kalmayıp Wi-Fi ağınıza da erişebiliyor. LIFX ise bir yamayla bu açığı kapattı.

Kısa süre önce Nest’in satın aldığı Dropcam ise evinizi güvenlik için gözlemekle kalmayan, köpeğin kanepenin üstüne çıktığını görünce kendi dahili hoparlöründen havlayarak onu kaçırabilen, otomatik ve internete bağlı bir kamera. Synack firmasının araştırmacıları bu ev güvenlik kitini alıp tersine mühendislik yaparak, kapatılmamış bir Heartbleed açığı buldular. Sisteme bu şekilde yerleştirilen bir zararlı kamerayı casusa dönüştürmekle kalmayıp ağınıza bir de arka kapı açıyor.

2013’ün sonlarında yüz binlerce internet bağlantılı akıllı TV ve buzdolabı ele geçirilerek spam göndermeleri sağlandı. Ne var ki bu saldırıyı yapanlar araştırmacılar değil suçlulardı ve güvenlik firması Proofpoint bunu elektrikli ev eşyalarının rol aldığı, “Nesnelerin İnterneti temelli ilk kanıtlanmış siber saldırı” olarak sınıflandırdı. Proofpoint’in araştırması, bu şekilde kurulan bot ağında sadece belli bir IP adresindeki aygıtların spam gönderdiğini ve büyük ihtimalle sorumluların da ev yönlendiricisi ve bilgisayar aracılığıyla hack’lenmiş olduğunu ortaya çıkardı. Yine de evinizin beyaz eşyalarını hack’lemenin maddi bir getirisi olduğu anda suçluların bu konuya eğileceği kesin.

Şüpheli bot ağları bir yana, bu saldırılar belli bir hedefe odaklandığında daha da can sıkıcı oluyor. Bu, size musallat olan ya da işlerinize zarar vermek isteyenler için yeni bir saldırı yöntemi ve artık dağılmış olan LulzSec gibi hacktivist gruplar, kurbanlarının ışıklarıyla oynamaya eminiz ki bayılırdı. Dahası, ev aletlerini hack’lemek casusların da ekmeğine yağ sürüyor. Bir ABD hükümet binasının çalışanları, içerideki akıllı termostatın Çin’deki bir IP adresine veri ilettiğini öne sürdü.

Hedefli saldırılar sağlık sektöründe ölümcül olabiliyor. 2013’te ölen beyaz şapkalı araştırmacı Barnaby Jack, dijital kalp pillerini ve ensülin pompalarını hack’lemesiyle tanınmıştı. Durum o kadar ciddiydi ki, ABD Başkan Yardımcısı Dick Cheney’in ileri teknolojili bir suikasta kurban gitmemesi için, görev başında olduğu sıralarda kalp pili bağlantısı kesiliyordu. Böylesi aygıtların daha güvenli olması gerektiği kesin, ama şu ana kadar saldırılarla kaybedilenden (bilindiği kadarıyla sıfır) çok daha fazlasının hayatının kurtulmasını sağladılar.

Güvenlik fırtınası

Nesnelerin İnterneti’nin daha emekleme aşamasındayız ama internet bağlantılı aygıtların giderek çoğalması güvenlik riskleri açısından kusursuz bir fırtınaya yol açıyor.

Elektrikli ev aletleri, otomobiller ve kol saatleri standart teknoloji ürünlerinden daha uzun vadeli kullanılıyor. Bir düşünün, fırınınızı hangi sıklıkla değiştiriyorsunuz? Ya akıllı telefonunuzu? Uzmanlar, ev eşyalarının ömürleri boyunca güncellenmesinin gerekeceğini ve Moore Yasası hacker’ların işlem gücünü artırdıkça şu an kırılması güç görünen iyi tasarımlı bir buzdolabının da ileride çantada keklik olacağını söylüyor.

Harekete geçme zamanı

Peki, ne yapabiliriz? Teknoloji firmaları daha şimdiden birlikte çalışmaya başladı. Nesnelerin İnterneti’nin daha güvenli ve pürüzsüz çalışması için bir dizi “konsorsiyum” ortaya çıkıyor ve hepsi de kendi platformunun standartlaşmasını umuyor. Open Interconnect Consortium (Üyeleri arasında Samsung ve Intel var.), AllSeen Alliance (Linux Vakfı, Microsoft, Qualcomm), Industrial Internet Consortium (Cisco, HP, IBM, Intel) ve Thread (ARM, Nest, Samsung) dışında, Apple’ın ve Google’ın kendi mobil işletim sistemini akıllı ev aygıtlarına bağlantı platformu olarak kullanan sistemler de var.

Bu çalışmaların merkezinde genelde yonga üreticileri bulunuyor. ARM ve Intel birden çok sistemde karşımıza çıkıyorlar çünkü standartlaşmanın temelinde onlar var ve Howes’a göre “Tüm bunları bir araya getirmek için anahtar rol oynuyorlar.”

ARM, İngiliz HyperCat grubunda da yer alıyor. Nesnelerin İnterneti firması 1248’in CEO’su Pilgrim Beart, HyperCat’in farklı hizmetlerin farklı düzeyde korumaya ihtiyacı olduğu düşüncesiyle tasarlandığını söylüyor. “Asıl tehlike Nesnelerin İnterneti aygıtlarını kitlesel saldırılara maruz bırakmak.” diyor. “Kimi ürünler her aygıt için aynı şifreyi kullanıyor ve bazısında hiç güvenlik yok. Özellikle de bunlar büyük çaplı saldırılara açık. Düşünün, evlerdeki tüm su ısıtıcılar aynı anda açılsa bunun elektrik şebekesi üstündeki etkisi ne olurdu.”

Bununla beraber Beart, aygıtları çok da kısıtlamanın ideal olmadığını düşünüyor. “Bunun diğer aşırı ucunda da verileri, sadece sahibinin görebileceği kadar güvenli tutmak var. Ama bu da sağlayıcıların ve üçüncü şahısların veriden anlam çıkarmasını önlüyor.” Nesnelerin İnterneti üreticilerinin bu iki konum arasında, verinin erişilebilir ama nispeten güvenli olduğu bir denge sağlaması gerekiyor.

Aygıtları birbirine bağlamanın bir diğer yolu da akıllı termostatını, akıllı evler için geniş bir platforma dönüştüren Google Nest’i kullanmak. Nest kendi aygıtları için varsayılan olarak HTTPS, SSL ve 128 bit şifreleme kullanıyor; aygıtın üçüncü şahıslara ve sahibi olan Google’a neler göndereceğini sınırlayabiliyor. Nest Avrupa Genel Müdürü Lionel Paillet, ekibin “ürünlerin güvenliğini sağlamakla sorumlu bir beyaz şapkalı hacker ekibi” olduğunu belirtiyor.

Nest, çoğu firmadan daha kuvvetli bir pozisyonda. Kitle fonlaması siteleriyse ürünlerini test etmek için kendi hacker’larını kiralamaya gücü yetmeyen bir sürü küçük şirketin Nesnelerin İnterneti ürünleriyle dolup taşıyor.

Biraz yardım

Yardım var aslında. Amerikalı Duo Security firmasının BuildItSecure.ly adlı projesi, küçük veya kitle kaynaklı Nesnelerin İnterneti ürünlerine güvenlik desteği sunarak ileride problem yaratmalarını önlüyor.

BuildItSecure.ly şu ana kadar “dünyanın önde gelen güvenlik uzmanlarından bazılarını” bünyesine katarak bedava destek sağlıyor. Beş de ortağı var: Dropcam, Pinoccio, Zendo, DipJar ve Belkin.

Kamuoyunun fikrinin aksine, bazen siyasetçiler gerçekten yol alabiliyor. Amerikan hükümet yetkilileri Apple, Google ve Microsoft’u, çok fazla akıllı telefon hırsızlığı gerçekleştiği için aygıtları takip ve uzaktan kilitleme araçlarıyla donatmaya mecbur bıraktı.

No Comments Yet

Leave a Reply

Your email address will not be published.