GÖMÜLÜ SİSTEM UYGULAMALARINA YAPILAN SALDIRILAR VE AĞ BAĞLANTILI GÖMÜLÜ SİSTEMLERİN GÜVENLİĞİNİN SAĞLANMASI. H. Şen Çakır 1, M.



Benzer belgeler
Yeni Nesil Ağ Güvenliği

Bilgi Güvenliği Eğitim/Öğretimi

TÜBİTAK UEKAE ULUSAL ELEKTRONİK ve KRİPTOLOJİ ARAŞTIRMA ENSTİTÜSÜ

Güncel Kriptografik Sistemler

Bilgi ve Bilgisayar Sistemleri Güvenliği (Information and Computer Systems Security)

Kriptoloji Kavramları ve Kripto Analiz Merkezi Gökçen Arslan

Bil101 Bilgisayar Yazılımı I. M. Erdem ÇORAPÇIOĞLU Bilgisayar Yüksek Mühendisi

Bilgisayar Ağları ve Ağ Güvenliği DR. ÖĞR. ÜYESİ KENAN GENÇOL HİTİT ÜNİVERSİTESİ ELEKTRİK-ELEKTRONİK MÜH.

IPSEC. İnternet Protokol Güvenliği

TÜBİTAK UEKAE ULUSAL ELEKTRONİK ve KRİPTOLOJİ ARAŞTIRMA ENSTİTÜSÜ

Bilişim Teknolojileri Temelleri 2011

Simetrik (Gizli) Kriptografik Sistemler Blok Şifreler Standartlaştırma. DES-Data Encryption Standard (Bilgi Şifreleme Standardı)

EKLER EK 12UY0106-5/A4-1:

5651 ve 5070 Sayılı Kanun Tanımlar Yükümlülükler ve Sorumluluklar Logix v2.3 Firewall. Rekare Bilgi Teknolojileri

Bilgisayar, elektronik bir cihazdır ve kendi belleğinde depolanan talimatları sırasıyla uygulayarak çalışır. İşler. Bilgi İşlem Çevrimi

BÖLÜM 8. Bilişim Sistemleri Güvenliği. Doç. Dr. Serkan ADA

Gömülü Sistem Tasarımı. Dr. Deniz TAŞKIN

Öğrenciler için Kablosuz İnternet Erişimi (Wi-Fi) Kullanım Kılavuzu

ENF 100 Temel Bilgi Teknolojileri Kullanımı Ders Notları 2. Hafta. Öğr. Gör. Dr. Barış Doğru

BİLGİ GÜVENLİĞİ. Bu bolümde;

Bilgi Güvenliği Farkındalık Eğitimi

BİLİŞİM SUÇLARI Hazırlayan: Okt. Dr. Ebru SOLMAZ

Kaspersky Open Space Security: Release 2. İşletmeniz için birinci sınıf bir BT güvenliği çözümü

Kurum Personeli için Kablosuz İnternet Erişimi (Wi-Fi) Kullanım Kılavuzu

Kablosuz Ağlar (WLAN)

Bilişim Teknolojileri Temelleri Dijital Dünyada Yaşamak

KURUM AĞLARINI ÖNEMLĠ ZARARLI YAZILIM SALDIRILARINDAN KORUMA. Osman PAMUK

Mobil Güvenlik ve Denetim

Siber Güvenlik Basın Buluşması. C.Müjdat Altay 15 Haziran 2015

Akademik Bilişim Konferansları Kurs Öneri Formu, v2.1. (Formun Sonundaki Notlar Bölümünü Lütfen Okuyunuz)

Bilgisayar Mühendisliği

Ağ Yönetiminin Fonksiyonel Mimarisi

BİH 605 Bilgi Teknolojisi Bahar Dönemi 2015

Özgür Yazılımlar ile Kablosuz Ağ Denetimi

Web Uygulama Güvenliği Kontrol Listesi 2010

Elbistan Meslek Yüksek Okulu Güz Yarıyılı EKi Salı, Perşembe Öğr. Gör. Murat KEÇECĠOĞLU

İşletim Sistemleri (Operating Systems)

SÜRE BAŞLAMA TARİHİ : 19/12/2018 BİTİŞ TARİHİ : 20/02/2019 KURS SÜRESİ : 144 Saat KURS NO :

MOBĐL UYGULAMALARDA GÜVENLĐK

Tarih Saat Modül Adı Öğretim Üyesi. 01/05/2018 Salı 3 Bilgisayar Bilimlerine Giriş Doç. Dr. Hacer Karacan

Mobil Cihazlardan Web Servis Sunumu

Elbistan Meslek Yüksek Okulu Güz Yarıyılı

S. N ala l n n T OP OP A B Ğ Fatih i h A BL B AK K

ANAHTAR KELİMELER: Kriptoloji, Kripto Algoritması, Ağ Destekli Yetenek, IP Kripto, IPSec

BioAffix Ones Technology nin tescilli markasıdır.

Bilişim Sistemleri. Modelleme, Analiz ve Tasarım. Yrd. Doç. Dr. Alper GÖKSU

Güvenli Elektronik Belge Yönetim Sistemi İçin Temel Gereksinim: E-İMZA

İşletim Sistemleri. Hazırlayan: M. Ali Akcayol Gazi Üniversitesi Bilgisayar Mühendisliği Bölümü

01 WASTE Windows Linux ve macos (Sınırlı İşlevsellik)

AES (Advanced Encryption Standard)

AĞ GÜVENLİĞİ VE GÜVENLİK DUVARINDA VPN UYGULAMASI


Öğr.Gör. Gökhan TURAN Gölhisar Meslek Yüksekokulu

BİLGİSAYAR AĞLARI VE İLETİŞİM

MerSis. Bilgi Güvenliği Danışmanlık Hizmetleri

T.C. ERCİYES ÜNİVERSİTESİ MÜHENDİSLİK FAKÜLTESİ BİLGİSAYAR MÜHENDİSLİĞİ BÖLÜMÜ EĞİTİM ÖĞRETİM YILI DERS KATALOĞU

İletişim Ağlarında Güvenlik

Bilgisayar Mühendisliği. Bilgisayar Mühendisliğine Giriş 1

BİH 605 Bilgi Teknolojisi Bahar Dönemi 2015

OLGUN ÇELİK A.Ş. GİZLİLİK POLİTİKASI

Temel Bilgisayar (Basic Computer) Yazılım (Software)

TODAİE edevlet MERKEZİ UYGULAMALI E-İMZA SEMİNERİ KASIM E-imza Teknolojisi. TODAİE Sunumu

Gömülü Sistemler, Uygulama Alanları ve Dünya daki Ekonomik Boyutu

İŞLETİM SİSTEMLERİNE GİRİŞ. Modern bilgisayar çalışma prensipleri, Von Neumann ın 1945 de geliştirdiği

İŞLETİM SİSTEMİ KATMANLARI (Çekirdek, kabuk ve diğer temel kavramlar) Bir işletim sisteminin yazılım tasarımında ele alınması gereken iki önemli konu

ÇEMTAŞ ÇELİK MAKİNA SANAYİ VE TİCARET ANONİM ŞİRKETİ KİŞİSEL VERİ SAKLAMA VE İMHA POLİTİKASI

BİLGİ GÜVENLİĞİ BİLİNÇLENDİRME EĞİTİMİ

AĞ TEMELLERİ 4.HAFTA CELAL BAYAR ÜNİVERSİTESİ AKHİSAR MESLEK YÜKSEKOKULU

BİLGİ GÜVENLİĞİ. Temel Kavramlar

BioAffix Ones Technology nin tescilli markasıdır.

Güvenlik. Kullanıcı Kılavuzu

BSM 532 KABLOSUZ AĞLARIN MODELLEMESİ VE ANALİZİ OPNET MODELER

EGE Üniversitesi Mühendislik Fakültesi Bilgisayar Müh. Bölümü Öğretim Yılı Lisans Tezi Önerileri

TCP / IP NEDİR? TCP / IP SORUN ÇÖZME

İşletim Sistemi. BTEP205 - İşletim Sistemleri

BİLGİ TEKNOLOJİSİNİN TEMEL KAVRAMLARI. 1-Bilgisayar, donanım ve yazılım kavramları 2-Bilgisayar çeşitleri 3-Bilgisayarlar arsındaki farklılıklar

Siber Güvenlik Risklerinin Tanımlanması / Siber Güvenlik Yönetişimi

GÖMÜLÜ SİSTEMLER. Bilecik Şeyh Edebali Üniversitesi Gömülü Sistemler Ders notları-1

Biz Kimiz? Yetkin ve çok yönlü ekibi ile beraber birçok alanda farklı başarılara imza atılması hedeflenmektedir.

Internet te Veri Güvenliği

ŞİFRELEME YÖNTEMLERİ

Doç. Dr. Cüneyt BAYILMIŞ

Dünyada Veri Kaçağı ve Veri Kaçağı Önleme (DLP) Sistemleri Tahsin TÜRKÖZ Bilişim Sistemleri Güvenliği Grubu

İPv4 İLE İPv6 PROTOKOLLERİNİN KARŞILAŞTIRILMASI VE KURUMSAL VERİ GÜVENLİĞİNİN İPV6 İLE SAĞLANMASI

Bir bölgede başka bir bölgeye karşılıklı olarak, veri veya haberin gönderilmesini sağlayan.sistemlerdir.

Bilgi ve iletişim teknolojileri

MİKROİŞLEMCİLER. Mikroişlemcilerin Tarihsel Gelişimi

ÖNDER BİLGİSAYAR KURSU. Sistem ve Ağ Uzmanlığı Eğitimi İçeriği

Bilgi güvenliği konusunda farkındalık yaratmak. Mobil cihazlardaki riskleri anlatmak. Mobil uygulamaların bilgi güvenliği açısından incelemek 2

SİSTEM İHTİYAÇLARI (Tiger Enterprise / Tiger 3 Enterprise)

IPSEC IKE ŞİFRELEME STANDARTLARI

Optik Filtrelerde Performans Analizi Performance Analysis of the Optical Filters

Yazılım Mimari Tasarımından Yazılım Geliştirme Çatısının Üretilmesinde Model Güdümlü Bir Yaklaşım

T E M E L K AV R A M L A R. Öğr.Gör. Günay TEMÜR / Teknoloji F. / Bilgisayar Müh.

TCP/IP. TCP (Transmission Control Protocol) Paketlerin iletimi. IP (Internet Protocol) Paketlerin yönlendirmesi TCP / IP

Güvenlik Araçları. Savunmadan çok saldırı ya yönelik araçlar. Amaç, saldırganlardan önce sistemdeki açıkları ortaya çıkarıp gereken önlemleri almak.

III. Gizli Anahtar Kriptografi

DOKUZ EYLÜL ÜNİVERSİTESİ FEN BİLİMLERİ ENSTİTÜSÜ MÜDÜRLÜĞÜ DERS/MODÜL/BLOK TANITIM FORMU. Dersin Kodu: CSE 5065

Transkript:

GÖMÜLÜ SİSTEM UYGULAMALARINA YAPILAN SALDIRILAR VE AĞ BAĞLANTILI GÖMÜLÜ SİSTEMLERİN GÜVENLİĞİNİN SAĞLANMASI H. Şen Çakır 1, M. Hilal Özcanhan 2 1 Bilgisayar Mühendisliği Bölümü Dokuz Eylül Üniversitesi sen@cs.deu.edu.tr 2 Bilgisayar Mühendisliği Bölümü Dokuz Eylül Üniversitesi hozcanhan@cs.deu.edu.tr ÖZET Günümüzde kimsenin elinden eksik olmayan mobil ve küçük cihazlar birçok uygulama alanında yaygınlaşmaktadır. Mobil cihazlar kişisel bilgisayarların uğradığı aynı saldırılara maruz kalmalarına rağmen saldırılara daha hazırlıksızdırlar, üstelik de geniş bir taban tarafından kabul görmüş güvenlik standartlarına sahip değildirler. Olumsuzlukları gidermenin başlangıcı gömülü sistemlerin genelini kapsayan bir güvenlik standardı çalışmasının yapılmasıdır. Çalışmamız bu amaca hizmet eden ilk adımlardan biri sayılmaktadır. Anahtar Kelimeler: Gömülü Sistem, İletişim Güvenliği, IP Security, IP Güvenliği 1. GİRİŞ Günümüzde popülerliği en yüksek elektronik ürünler küçük ve mobil (taşınabilir, seyyar) cihazlardır. Örnek olarak cep telefonları, navigasyon cihazları, akıllı takvimler, oyun konsolları, kalp ritim düzenleyicileri ve daha birçok değişik cihaz gösterilebilir. Tüm bu cihazlar, bilgi işlemenin kaçınılmaz öğeleri olan mikroişlemci, bellek ve ağ iletişicisinden yararlanmaktadırlar [1, 2, 3]. Kablosuz iletişim kullanılarak cihazların her yerde gezdirilebilmesi sağlanmakta; seyyar vaziyette ana bilgisayarlara erişimleri sağlanarak kullanıcılarına birçok hizmetler sunulmaktadır. Örneğin ana bir sunucuya bağlantıyla, banka hesaplarına erişmek, üretim durumunu kontrol etmek, alış-veriş yapmak alışılmış uygulamalar haline gelmiştir [5, 6]. Bu tür hizmetlerin sunulmasındaki kazancın büyük olmasından dolayı uygulama sahaları her geçen gün artmaktadır. Yine mobil olmayan fakat küçük boyutlu uydu alıcıları, ADSL (Asymmetric Digital Subscriber Line: Asimetrik Sayısal Abone Hattı) İnternet bağlantı cihazları, tansiyon ölçerler, vs. gibi birçok elektronik alet de aynı oranda yaygınlaşmaktadır [5, 6, 7]. Elektronik aletler olarak isimlendirilen bu cihazlar aslında küçük çaplı bir bilişim sistemini içerisinde gömülü olarak barındırmaktadır. Bilişim kelime olarak bilgi ve işlenmesi kelimelerinden yaratılmıştır. Kanunlarda bilginin otomatik olarak işlenmesi, bilgiyi otomatik işlemlere tabii tutmak, bilgiyi otomatik makineler aracılığıyla işlemek şeklinde tanımlanmaktadır [8]. Bilişim Sistemi ise birbiriyle iletişim içerisinde olan birden fazla bilgisayarlı (bilgisayarı oluşturan temel öğelere sahip) cihaz olarak tanımlanmaktadır [9]. Cihazların kullanımları sırasında, kötü niyetli kullanıcıların elektronik müdahaleleriyle maddi kayıplara sebebiyet verilmesi ise cihazların elektronik güvenliğine gölge düşürmekte; kullanıcıların cihazlara olan güvenini sarsmaktadır [7]. Cihazları daha iyi tanıyıp, güvenlik açıklarını bilmek ve bunlara karşı etkin önlemler almak kaçınılmaz olmuştur. Çalışmamız artan saldırıların gölgelediği ağ bağlantılı gömülü sistemlere güvenlik sağlanmasını içermektedir. Bölüm 2'de gömülü sistemlerle ilgili genel bilgiler, güvenlik açıkları ve yapılan elektronik saldırılar anlatılmaktadır. Bölüm 3'te yapılan teknik çözüm çalışmaları ve standart tabanı oluşturma gayretlerimiz anlatılmaktadır. Son bölümde çıkarılan sonuç ve yapılması gerekenlere yer verilmektedir. 2. GÖMÜLÜ SİSTEMLER Kendileri bilgisayar olmayan cihazların içerisinde gömülü bulunan küçük çaplı bilgisayarlara gömülü sistem denmektedir [4, 6]. Gömülü sistemler, normal bilgisayarların sahip olduğu kaynaklardan daha kısıtlı olanaklara sahiptirler. Örneğin; kişisel bilgisayarlarda işlemci hızı giga hertz-ghz (10 9 hertz), ana bellek giga byte-gb (10 9 byte) mertebelerinde iken; gömülü sistemlerde hız mega hertz-mhz (10 6 hertz) ve bellek ise kilo byte-kb (10 3 byte) veya mega byte-mb (10 6 byte) seviyelerindedir [1, 2, 3]. Gömülü sistemler mikroişlemci yerine bir veya birkaç özel işlem için tasarlanmış [4, 6] mikrodenetleyici barındırmaktadır [1, 3]. Gömülü sistemler işlevlerine göre: Tek başına çalışan, Gerçek zamanlı, Ağ bağlantılı Seyyar (mobil) sistemler olarak dört kategoriye ayrılmaktadır [6]. Ancak bazı gömülü sistemler iki veya üç özelliği birlikte taşıyabilmektedir; örneğin, ağ bağlantılı-gerçek zamanlı gömülü sistemler veya seyyar-ağ bağlantılı-gerçek zamanlı gömülü sistemler. Gömülü sistemler hem kablolu, hem kablosuz iletişim gerçekleştirmelerine rağmen iletişimdeki güvenlik uygulamaları çok amaçlı bilgisayarlar kadar düşünülmemiştir [6, 7]. Ancak gömülü sistemler de bilgisayarların uğradığı aynı güçlü saldırılara uğramaktadır [6, 7, 10]. Bu durum büyük bir zayıf güvenlik-güçlü saldırı boşluğu yaratmakta ve ciddi tehlikelere yol açmaktadır. Gömülü sistemlerin kullanımı medikal (tıbbi) uygulama alanlarında da hızlı bir şekilde artmaktadır [5, 11, 12]. Diğer uygulama alanlarında olduğu gibi medikal uygulamalarda da kablosuz iletişim cazip bir teknoloji haline gelmiştir [5, 11]. Kablosuz iletişim teknolojisi kullanan gömülü sistemler medikal cihazlara uzaktan kontrol ve uzaktan gözlem özelliği sağlamaktadır [11]. Örnek olarak kalp ritim düzenleyicileri, böbrek diyaliz cihazları, uzaktan hasta takip sistemleri, 120

Elektrik-Elektronik ve Bilgisayar Sempozyumu 2011 manyetik rezonans görüntüleyicileri (MRI) ve ameliyat monitörleri verilebilir. Medikal uygulamalar direkt olarak insan sağlığını ve hayatını koruma amaçlı tasarımlanmış olduklarından kritik uygulamalar kategorisine girmektedir [12]. Medikal cihazların güvenlik açıkları kullanımları açısından en önemli teknik olumsuzluktur [12]. Saldırılara bilgisayarlardan daha çok hazırlıksızdırlar [7, 12]. Kişisel bir bilgisayar saldırıya uğradığında içerisindeki bilgilerin kaybedilmesi pahasına sıfırlanabilirken, ucuna hasta bağlı bir medikal cihazda kayıplar daha ağır olabilmektedir [7, 12]. Bu olumsuzluklara karşın medikal cihazlardaki gömülü sistemlerin genelini kapsayan temel güvenlik standardı henüz ortada yoktur [7, 10, 12]. Yapılan saldırılar açısından dünyada da durum aynıdır, ancak oralarda konunun teknik ve hukuki boyutu ortaya konmuştur. İlaveten, medikal uygulamalarda standartların oluşturulması çalışmaları ve saldırı mağdurlarının haklarını tanımlayan hukuksal yapının tesis edilmesi çalışmaları başlatılmıştır. Ülkemizde de geç kalınmadan benzer çalışmaların başlatılması gerekmektedir. a)kişisel bilgisayar ana-kartı b)gömülü sistem kartı Şekil 1: Kişisel Bilgisayar ve Gömülü Sistem Kartları uygulamaları, her türlü bankacılık işlemleri bu kapı üzerinden yapılmaktadır. Ağ kartının tüm iletişimi, ağ üzerinde başka bilgisayarların önünden de akmaktadır. Etrafta bulunan saldırganlar, iletişimdeki açıkları takip etmekte, bilgileri izlemekte ve kaydetmektedir. Hatta bizimle iletişime girerek gizlice cihazımızı daha yüksek kapasiteli bir cihazla inceleyebilmektedir. Bu kişiler Şekil 2'de 2, 3 ve 4 numaralı kullanıcılar olarak işaretlenmiştir. Ağ kartı sürücüsü ve ağ iletişimi yazılımlarında hata olmaması düşünülemez. Bir ağ iletişimi firmasında uzmanlaşıp ayrılmış kişi bu açıkları bilmekte ve diğer insanlarla İnternette paylaşmaktadır. Daha sonra da kolektif olarak saldırı yapmaları ağ iletişimini güvensiz bir ortama düşürmektedir. Kablosuz iletişim kablolu iletişime nazaran daha güvensizdir. Kablosuz iletişimde yakın etrafımıza yayın yaptığımızdan civarımızda dinleme yapan herkes yayınımızı kaydedebilmektedir. Örneğin, Şekil 2'deki 2 numaralı saldırgan ADSL cihazımız ile aramızda geçen tüm haberleşmeyi kaydetmektedir. Kaydedilen bilgiler daha sonra çözümleyici yazılımlardan geçirilmekte, içeriğinde "şifre, banka, parola" gibi kelimelerin bulunduğu yerlerde kullanılan harfler ve rakamlar ayrı bir listede biriktirilmektedir. Analiz sonunda oluşan liste İnternette gezindiğimiz sitelerde denenerek her türlü kötü amaç için kullanılmaktadır. Gömülü sistemlerde güvenlik açıkları daha fazladır. İşlenen bilgi miktarı az olmakla beraber, gömülü sistemlerin bilgiye hızlı erişmesi, hızlı işlemesi ve hızlı iletimini sağlaması beklenmektedir. Kaynaklar sadece verilen hizmetleri ve bilgiye erişimi hızlandırmaya odaklandırılınca da, güvenlik önlemleri için yeterince kaynak ayrılamamaktadır [6, 7]. Dolayısıyla bilgisayarlar gibi karmaşık ve farklı saldırıları önleyebilecek boyutta güvenliğe sahip olamamaktadırlar[7]. 2.1. Güvenlik Açıkları ve Yapılan Saldırılar Şekil 1 de kişisel bilgisayar ve gömülü sistem ana-kartlarına ait birer örnek görülmektedir. İki düzeneğin arasındaki en önemli fark boyut ve enerji tüketimidir. Bilgisayar ana-kartı bir kullanıcının tüm güncel ihtiyaçlarını karşılamaya yönelik düşünülmüşken, gömülü sistem kartı amacı önceden belirlenmiş bir veya birkaç elektronik veya mekanik aksamı sevk/kontrol için yapılandırılmaktadır. En önemli ortak özellik ise ikisinin de farklı boyut ve hızlarda olsa da bilgi işleme ve iletimi için merkezi işlem birimi (CPU), bellek ve ağ kartı kullanmalarıdır. Ancak, hizmet almak veya sunmak amacıyla ağ kartı üzerinden bilgi alış-verişi güvenlik açıklarına sebep olmakta, bu açıklardan kazanım hedefleyenlere saldırıda bulunma şansı yaratılmaktadır [7]. Gömülü sistemlerdeki kısıtlı kaynaklardan dolayı güvenlik uygulamalarına çok kısıtlı miktarda kaynak ve enerji ayrılmaktadır. 2.1.1. Güvenlik Açıkları Türkiye deki bir şirket tarafından yapılan denetimler sonucu ortaya çıkan en önemli güvenlik açıkları yayınlanmıştır [13]. Rapora göre en kritik saldırıların kapımızı çaldığı yer ağ kartıdır, çünkü en fazla güvenlik açığı burada yer almaktadır. Ağ kartı, kendisini yönetecek programların ve sürücülerin çalıştırılmasından sonra; birçok iletişim protokolü ve uygulama yazılımı vasıtasıyla bilgilerin gidip gelmesini sağlamaktadır. Örneğin, dosya ve elektronik posta alışverişleri, elektronik mesajlaşmalar, uzak masaüstü 2.1.2. Yapılan Saldırılar Şekil 2: RC devresi Bilişim cihazlarına yapılan saldırılar genellikle pasif ve aktif saldırılar olarak ikiye ayrılmaktadır. Pasif saldırılar bilgisayarın iletişiminin dinlenerek açıkların analiz edilmesiyle hassas bilgilerin ele geçirilmesidir. Aktif saldırılarda ise kötü niyetli kullanıcı saldıracağı sistemi dinleyerek elde ettiği bilgilerle, iletişime dâhil olarak sistematik şekilde farklı saldırı kurguları uygulamaktadır. Aktif saldırılar fiziksel müdahaleyi de içerebilmektedir. Örneğin, ucuz bir gömülü sistemi bozup içerisinden ele geçirilen gizli bilgileri, çalışan bir gömülü sistemde kullanmak yaygın bir yöntemdir [14]. Yine sistemin yaydığı elektromanyetik dalgaları ve yonga ısısını, şifre sorma anında inceleyerek 121

şifreyi elde etmek de aktif bir saldırıdır. Güvenlik literatüründe; çekilen güç miktarı veya elektro-manyetik enerji yayınının incelenerek, o esnada yapılmakta olan işlevle eşleştirilmesiyle gizli bilgilerin elde edilmesine dair birçok çalışma bulunmaktadır [15, 16]. Yine de en fazla saldırı ağ iletişimi açıkları etrafında odaklanmaktadır. Ağ üzerinden yapılan saldırı tipi çeşitliliği bunu doğrulamaktadır. Saldırı tiplerinden bazıları şunlardır: Tekrarlama (replay), Yansıtma (reflection), Masquarade (taklit etme), Servis alma reddi (Denial of Servis (DoS)), Aradaki adam (man-in-the-middle), Paralel oturum (parallel session), İçeriden birisi (insider) Örneğin Şekil 2'de yer alan 3 numaralı kullanıcı cihazımızın kapalı olduğu bir zamanda kendi cihazı ile bizim cihazımızı taklit ederek ana sunucuya erişmeye çalışabilir veya ADSL cihazımızı sorgu bombardımanına tutarak servis alma olanağımızı engelleyebilir. Anlaşılacağı gibi ağlar üzerindeki güvenlik açıklarına yapılan saldırılar gömülü sistemleri de tehdit etmektedir. Ucuna insan emanet edilmiş medikal cihazlarda durum daha da kritik hale gelmektedir. Yurt dışı görsel basınında [10] yer alan haberlere göre saygın kuruluşların yaptığı test ve araştırmalar medikal cihazlarda çok ciddi güvenlik açıkları bulunduğunu ortaya koymaktadır [17]. Yine haber kaynaklarına göre bazı hastaneler saldırıya uğramış ve medikal cihazları devre dışı bırakılmıştır [18]. Saldırılar ve uğranılan kayıplar sadece hastanelerle kısıtlı kalmamış, endüstriyel uygulamalar da paylarına düşeni almışlardır. Hatta endüstri kurumlarının gömülü sistemlerine yapılan saldırıların %37 arttığı rapor edilmiştir [19]. Neticede, bir saldırganın namlusundan çıkan kurşunla hayatını kaybeden birisi ile medikal cihazının gömülü sistemine yapılan saldırıdan dolayı hayatını kaybeden eden kişi açısından sadece suç aleti farkı vardır. 3. YAPTIĞIMIZ ÇALIŞMALAR İletişimde esas amaç, gizli bilgilerin açığa vurulmadan değiş-tokuş edilmesidir. Güvenli iletişim denildiğinde kastedilen içerik şunlardır: Güvenlik protokolleri (IPsec, X509 gibi), Veri güvenliğinde kullanılan mimari ve kurallar bütünü (TLS/SSL ve Kerberos gibi), Gizlilik sağlayıcı şifreleme algoritmaları (DES, 3DES, Blowfish ve AES gibi), Kimlik belirleme ve kimlik onaylama algoritmaları (Oakley Protokolu ve X.509 Standartı gibi), Veri bozulmasını saptayıcı hashing algoritmaları (MD-5 ve SHA-1 gibi), İletişime başlama öncesi kararlaştırılan gizli anahtar önpaylaşımları, sayısal imza ve sertifikalar. Güvensiz ortamlarda iletişim ancak bilgiler şifrelenerek korunabilir. Kimsenin çözemeyeceği bir şifreleme algoritması ve ortak bir şifreleme anahtarı kullanarak, bilgilerin sadece alıcı ve gönderici tarafından anlaşılabilmesi sağlanabilir. Bu suretle adeta özel bir sanal kanal yaratılması (Bakınız Şekil 3: Güvenli tünel) bilinen bir yöntemdir. Yöntem, İnternet Protokolü Tünellemesi (IP tünelleme) olarak bilinmekte ve standartlarla da desteklenmektedir. Ancak bu standartların çoğu bilgisayar ağlarının İnternet üzerinden iletişimi için düşünülmüştür; İnternet Protokolü Güvenlik Standardı [Internet Protocol Security (IPsec)] da bu amaçla hazırlanmıştır. IPsec uluslararası İnternet Mühendislik Görev Gücü IETF'nin, RFC 4301-10 sayılı belgeleriyle, uçtan uca bütünsel çözüm öneren standartlar kümesidir. IPsec, ağ iletişimdeki tüm güvenlik konularına hitap etmesinden dolayı çok kapsamlı, çok karmaşık ve çok kaynak gerektiren bir standarttır. Yaptığımız çalışma bu standardın bozulmadan sadeleştirilerek düşük kapasiteli gömülü sistemlerde uygulanmasını içermektedir. Çalışmamızda referans alınan IPsec, Uluslararası Standartlar Organizasyonunun (ISO) üçüncü ağ katmanında olduğundan, kurallar hem kablolu hem de kablosuz IP iletişimi için geçerlidir. İletişimde kullanılacak temel şifreleme, hashing ve iletişim anahtarı taraflarca öneri - cevap yöntemiyle; diğer bir deyişle müzakereyle (negotiation) belirlenmektedir [20]. Anahtar paylaşımından sonra taraflar gönderecekleri bilgileri mesaj bloklarına bölerek paylaşılan anahtar ile şifreleyerek karşı tarafa iletmektedirler. Ağdaki diğer kullanıcılara anlaşılmaz gelen bu veri akışı sadece alıcı tarafından çözülebilmektedir (Şekil 3). Şekil 3: Pilot Çalışma Çalışmamız IPsec standardının sadeleştirilerek gömülü sistemlerin tümünü kapsayan bir güvenlik sağlanmasını önermektedir. Doğru basitleştirmelerle güvenlik işlemleri gömülü sistemlere sığar vaziyete gelmektedir. Bu amaçla, mikrobilgisayarlar üzerinde koşan, açık yazılım kodları ve işletim sistemleri kullanılarak IPsec sadeleştirilmiş ve başarıyla pilot bir gömülü sistemde uygulanmıştır. Yapılan çalışmalar aşağıdaki sadeleştirmeleri içermektedir: 1. Sadece kimlik onaylı şifreleme (Encrypted Security Payload) modunun kullanılması, 2. Sadece tünelleme (tunneling) modunun kullanılması, 3. Güvenlik Birleşimleri (Security Associations), Güvenlik Politikaları (Security Policies) ve İletişim Ortakları (Peer Authentication) veritabanlarının (SAD, SPD, PAD) kaldırılması, 4. Anahtar Yönetimi (Internet Key Exchange) uygulamasının sadeleştirilmesi, 122

Elektrik-Elektronik ve Bilgisayar Sempozyumu 2011 5. Güvenlik uygulaması kullanıcı ara yüzünün kaldırılması. Başlı başına yeni bir yöntem icat edilmeyerek uluslararası kabul görmüş bir standardın bir alt kümesi oluşturulmuştur. Elde edilen güvenlik çözümü Şekil 3'te görülen yapıda çalışan bir prototip üzerinde gerçekleştirilmiştir. Elde edilen prototip vasıtasıyla, gömülü sistem içeren cihazların tümüne güvenlik özelliği kazandırılması mümkün hale gelmiştir. Bu insan sağlığı ve güvenliği açısından son derece sevindirici bir gelişmedir. Yapılan sadeleştirme çalışmaları gömülü sistemlere bir miktar maliyet katsa da, onlara güvenlik getirmiş olmasından dolayı son derece önemlidir. Güncellenemeyen gömülü sistemler de dışlanmayarak bunlar için de bir çözüm üretilmiştir. Üzerlerindeki yazılım güncellenmeden ön taraflarına güvenlik sağlayan donanım/yazılım içerikli bir gömülü sistem ilave edilmiştir. İki ağ girişli olan bu donanım (Şekil 4.) gömülü sisteme gelen ve giden bilgileri güvenli bir tanımlanmaktadır [8, 9]. Kanunlarda konumuza en yakın geçen tümce "sistemi engelleme, bozma, verileri yok etme veya değiştirme" olarak yer almaktadır. Gömülü sistem kullanılan uygulamalarda herhangi bir resmi elektronik güvenlik standardı bulunmamaktadır. Kanunlarla, üretilen gömülü sistemlerde IPsec gibi uluslararası güvenlik standartlarına dayalı güvenlik mekanizmasının olması şartı getirilmelidir. Yaptığımız örnek güvenlik çalışması bu amaca yol gösterecek niteliktedir. Gerçekleştirilen prototip uygulaması, kabul görmüş güvenlik önlemlerinin gömülü sistemlere de indirgenmesinin mümkün olduğuna somut bir örnek teşkil etmektedir. Özellik IPsec Çalışmamız Desteklenen Protokoller AH, ESP ESP Uygulama Yöntemleri BITS ve BITW BITS veya BITW Desteklenen Uygulamalar Ağ geçidinden ağ geçidine, uç noktadan uç noktaya, uç noktadan ağ geçidine Uç noktadan uç noktaya SA müzakeresi Gerekli - Gerekli Veritabanları SAD, SPD, PAD - Desteklenen modlar Taşıma, Tünelleme Tünelleme Şifreleme (Gizlilik) DES, 3DES, RC5, IDEA, CAST, BLOWFISH, AES_CBC Algoritmaları AES_CBC, AES_CTR Bütünlük Algoritmaları MD5, SHA-1, DES_MAC, KPDK_ MD5, AES_128_XCBC AES_128_XCBC Sözde sayı Fonksiyonları MD5, SHA-1, TIGER, AES_128_XCBC AES_128_XCBC Yönetim Teknikleri Elle ve otomatik Elle Anahtar Yönetimi Arayüzü Gerekli - Anahtar Uzunluğu Değişken Sabit Kimlik Denetimi Yöntemleri RSA Sayısal İmza, Paylaşılmış Anahtar Mesajı, ayısal İmza Paylaşılmış Anahtar Mesajı Mesaj Yükü Hacmi SA müzakerelerine bağlı olarak büyük Küçük Takas Edilen Mesaj Sayısı SA müzakerelerine bağlı olarak çok Az Enerji Harcaması Yüksek Az Tablo 2: Mevcut Standart ile Çalışmamızın Karşılaştırması Şekil 4: Ön Korumalı Pilot Çalışma şekilde nakletme görevini gerçekleştirmektedir. Farklı bir çalışma gibi görünse de cihazın önüne konarak koruma sağlayan prototip, normal prototipten fazla olarak paket iletme görevi yapmaktadır. Dolayısıyla küçük bir ebada sahiptir ve çok az güç harcamaktadır. İlave maliyet getirmesinden dolayı güncellenemeyen, pahalı, kritik cihazların önüne konmasının uygun olacağı değerlendirilmektedir. Özellik Kişisel Bilgisayarlar Gömülü Sistemler İşlemci Intel Core2 Intel Atom İşletim Sistemi Linux Tiny Core Linux Uygulama Geliştirme Aracı Eclipse Ortamı - Programlama Dili C Yazılım Dili C Yazılım Dili Yorumlayıcı (Compiler) gcc gcc İkincil Bellek Sabit Disk Flash Bellek Ağ Gözetleme Yazılımı Wireshark - Yönetilen Donanım - DC Motoru, Ledler Tablo 1: Modelleme ve Prototip Konfigürasyonları Tablo 1'de modelleme ve prototip çalışmalarının konfigürasyonları verilmiştir. Gömülü sistemlere sığabilen bir çalışmaya girişmeden önce bilgisayarlar üzerinde çalışan bir set elde edilmiştir. İkinci aşamada, çalışan setin gömülü sistemlere uyarlaması gerçekleştirilmiştir. Tüm test ve düzeltmeler bilgisayar üzerinde yapılarak çalışmaların sonucu gömülü sistemlere aktarılmıştır. Sadece bazı durumlarda yazılımlar prototipler üzerinde derlenmiştir. Çalışmada kullanılan donanım, yazılım, uygulama geliştirme ve işletim maliyetleri gömülü sistemlerin ucuz maliyetli olmaları kuralına uyum sağlamaktadır. 4. SONUÇLAR Bilişim Suçları temel suç aracı olarak bilgisayarın veya bilişim sistemlerinin kullanıldığı suçlar olarak Mevcut standart ile yaptığımız çalışmanın ürünü olan prototipin özellikleri karşılaştırıldığı zaman (Tablo 2.), alınan sonucun kullanılmakta olan gerçek gömülü sistem uygulamalarında kullanılabileceği ortaya çıkmaktadır. Bazı özelliklerin kullanılmaması ve birçok sadeleştirilme yapılmasına rağmen IPsec standardı bozulmamıştır. Mesajlaşma adetlerinde ve mesaj boyutlarında büyük küçülmeler elde edilerek iletişimin gömülü sistemlerin verdiği hizmetlerde gecikmelere sebep olmaması sağlanmıştır. Enerji kullanımı ve bilgi işleme hacminde ciddi tasarruflar sağlanarak standardın gömülü sistemlerin sahip olduğu kısıtlı enerji kaynakları ile çalıştırılabilmesi mümkün hale getirilmiştir. Tablo 2 özetlenecek olursa çalışmamız gömülü sistemlere standart onaylı ağ güvenliği getirilebileceğini ispatlamaktadır. Yaptığımız çalışmanın geliştirilmesi, daha etkin sadeleştirmelerin gerçekleştirilerek kritik cihaz uygulamalarında zorunlu hale getirilmesinin insan sağlığı açısından daha emniyetli bir ortam yaratacağı değerlendirilmelidir. Çalışmamız özellikle AES şifreleme algoritmasının gücüne dayandırılmaktadır. Bu algoritmanın zafiyeti veya güvenlik açığının tespit edilmesi durumunda çalışmamız başarısızlığa uğramamaktadır. Sadece şifreleme algoritmasının yenisi ile değiştirilmesi, geliştirdiğimiz güvenlik uygulamasının kullanılmaya devam edilmesine izin vermektedir. 5. KAYNAKLAR [1] Topaloğlu, N., Görgünoğlu, S., "Mikroişlemciler ve Mikro-denetleyiciler", Seçkin Yayınevi, 2003, pp19-165. [2] Özcerit, A. T., Çakıroğlu, M., Bayılmış, C., "8051 Mikrodenetleyici Uygulamaları", Papatya Yayıncılık, 2008, pp 14-24. 123

[3] Mazidi, M. A., Mazidi, J. G., McKinlay, R. D., "The 8051 Microcontroller and Embedded Systems", Prentice Hall (Peason), 2006, pp. 24-27. [4] Catsoulis, J., "Designing Embedded Hardware", O2Reilly, 2005, pp. 26-28 [5] R. Jafari, S.l Ghiasi, M. Sarrafzadeh, "Medical Embedded Systems", IFIP Advances in Information and Communication Technology-2007, Embedded System Design: Topics, Techniques and Trends,, Springer Volume 231/2007, pp. 441-444. [6] K. Prasad, V. Gupta, A. Dass, A. Verma, "Programming for Embedded Systems",2002, Wiley, pp. 15, 2. [7] Stapko, T., "Practical Embedded Security", Newness (Elsevier), 2008, pp 115-116, 84-90 [8] Ali Osman Özdilek, Bilişim Suçları ve Hukuku, Vedat Kitapçılık, 2006. [9] Muammer Ketizmen, TCK da Bilişim Suçları, Adalet Yayınevi, 2008. [10] http://mocana.com/blog/2010/04/08/medical-deviceshacked/, (20.03.2011 tarihinde erişildi.) [11] M. V. M. Figueredo, ve J. S. Dias, Mobile telemedicine system for home care and patient monitoring, Proceedings of the 26th Annual International Conference of the Ieee Engineering in Medicine and Biology Society, Vols 1-7, vol. 26, s. 3387-3390, 2004 [12] M. Meingast, T. Roosta, S. Sastry, "Security and Privacy Issues with Health Care Information Technology" Engineering in Medicine and Biology Society, 2006. EMBS '06. 28th Annual International Conference of the IEEE, Page(s): 5453-5458 [13] Türkiye deki Şirketler'de En Sık Rastlanan Güvenlik Açıkları,http://www.infosecurenet.com/10_guvenlik_acig i_2004.pdf (21.03.2011 tarihinde erişildi), Infosecure. [14] S. Ravi, A. Raghunathan, and S. Chakradhar, Tamper Resistance Mechanisms for Secure Embedded Systems, in Proc. Int. Conf. VLSI Design, Jan. 2004. [15] J. J. Quisquater and D. Samyde, Side channel cryptanalysis, in Proc. of the SECI, pp. 179 184, 2002. [16] P. Kocher, J. Jaffe, and B. Jun, Differential Power Analysis, Advances in Cryptology CRYPTO 99, Springer-Verlag Lecture Notes in Computer Science, vol. 1666, pp. 388 397, 1999. [17] William H. Maisel, M.D., M.P.H., and Tadayoshi Kohno, Ph.D.," Improving the Security and Privacy of Implantable Medical Devices", The New England Journal of Medicine 2010; 362:1164-1166April 1, 2010, [18] J. Leyden, Old Worm learns Conficker Tricks, The Register,http://www.theregister.co.uk/2009/04/06/old_wo rm_adopts_conficker_tricks/, April, 2009. [19] Jake Brodsky, Washington Saburban Sanitary Commission, SCADA and Control Systems Security Summit, Vienna, 2009. [20] Kaufmann, C., Internet Key Exchange Version 2, IETF, RFC 4306, 2005. 124

2024 © DocPlayer.biz.tr Gizlilik Politikası | Hizmet koşulları | Geri bildirim