Nesnelerin İnterneti (IoT ekosistemleri) hakkında konuştuğumuzda, birbirleriyle sohbet eden farklı gadget'lardan ve cihazlardan oluşan geniş bir ağdan bahsediyoruz. Akıllı buzdolabınızın akıllı telefonunuza sütünüzün bittiğini bildiren bir mesaj gönderdiğini veya akıllı termostatınızın oda sıcaklığını tercihlerinize göre ayarladığını hayal edin. Kulağa fütüristik geliyor, değil mi?
Ancak işin püf noktası şu: Bu cihazlar, kulağa ne kadar gelişmiş gelse de, her gün kullandığımız bilgisayarlar kadar güçlü veya becerikli değiller. Sınırlı enerjiye sahip, her zaman hareket halinde olan küçük haberciler gibidirler.
IoT cihazları neden normal bilgisayarınızdan farklıdır?
- Sınırlı kaynaklar: Alıştığımız büyük, güçlü sunucuların veya bilgisayarların aksine, IoT cihazları genellikle çok az belleğe ve işlem gücüne sahiptir.
- Farklı İletişim Kanalları: IoT cihazları, bilgisayarlarımızın kullandığı daha güvenli kanallar yerine genellikle ZigBee veya LoRa gibi daha az güvenli kablosuz kanallar üzerinden iletişim kurar. Bunu sağlam bir bisiklet kilidi yerine dayanıksız bir bisiklet kilidi seçmek gibi düşünün.
- Benzersiz Dil ve İşlevler: Her IoT cihazı benzersiz bir birey gibidir. Kendi işlevleri vardır ve kendi yöntemleriyle iletişim kurarlar. Bu, farklı ülkelerden birçok insanın kendi dilini konuşması ve sohbet etmeye çalışması gibi bir şey. Bu da onlar için herkese uygun tek bir güvenlik protokolü bulmayı zorlaştırıyor.
Bu neden sorun?
Bu benzersiz zorluklar nedeniyle IoT cihazları siber saldırılar için kolay hedefler olabilir. Biraz şehir gibi. Şehir ne kadar büyük olursa, bir şeylerin ters gitme olasılığı da o kadar artar. Tıpkı birçok farklı türden insanın yaşadığı büyük bir şehirde olduğu gibi, farklı şirketlerin IoT cihazlarının da birbirleriyle konuşmanın yollarını bulması gerekiyor. Bazen bu, birbirlerini anlamalarına yardımcı olacak bir aracıya, güvenilir bir üçüncü tarafa ihtiyaç duyar.
Üstelik bu cihazların gücü sınırlı olduğundan karmaşık siber tehditlere karşı savunma sağlayacak donanıma sahip değiller. Bu, modern bir orduyu savuşturmak için sapanlı birini göndermek gibi bir şey.
Güvenlik açıklarını kırmak
IoT güvenlik açıkları iki ana kategoriye ayrılabilir
- IoT'ye Özel Güvenlik Açıkları: Pil boşaltma saldırıları, standardizasyonla ilgili zorluklar veya güven sorunları gibi sorunlar buraya aittir. Bunları yalnızca bu cihazların karşılaştığı sorunlar olarak düşünün.
- Yaygın Güvenlik Açıkları: Bunlar daha geniş İnternet dünyasından miras kalan sorunlardır. Çoğu çevrimiçi cihazın karşılaştığı tipik sorunlar.
IoT'deki Güvenlik Tehditlerini Anlamak
Siber güvenlik dünyasına, özellikle de IoT (Nesnelerin İnterneti) alanına daldığınızda, CIA üçlüsünü duymak yaygındır. Bu, gizli bir teşkilatı ifade etmez; bunun yerine Gizlilik, Bütünlük ve Erişilebilirlik anlamına gelir. Bunlar siber güvenliğin çoğunun temelini oluşturan üç prensiptir.
Bunlardan ilki olan Gizlilik, özel verilerinizin tam olarak özel kalmasını sağlamakla ilgilidir. Bunu yatağınızın altında tuttuğunuz bir günlük gibi düşünün. Anahtar yalnızca sizin (ve belki de güvendiğiniz birkaç kişinin) elinde olmalıdır. Dijital dünyada bu, kişisel bilgiler, fotoğraflar ve hatta bir arkadaşınızla akıllı bir cihaz üzerinden yaptığınız sohbet anlamına gelir.
Dürüstlük ise o günlüğe yazdıklarınızın bıraktığınız gibi kalmasını sağlamaktır. Bu, ister mesaj, ister video, ister belge olsun, verilerinizin başkaları tarafından bilginiz dışında değiştirilmeyeceği anlamına gelir.
Son olarak, Kullanılabilirlik var. Bu prensip, düşüncelerinizi yazmak istediğinizde günlüğünüzün her zaman hazır bulunmasına benzer. Dijital dünyada bu, gerektiğinde bir web sitesine erişmek veya akıllı ev ayarlarınızı buluttan almak anlamına gelebilir.
Bu ilkeleri akılda tutarak IoT'nin karşı karşıya olduğu tehditleri daha derinlemesine inceleyelim. Nesnelerin İnterneti söz konusu olduğunda buzdolapları, termostatlar ve hatta arabalar gibi günlük cihazlarımız birbirine bağlıdır. Bu karşılıklı bağlantı kolaylık sağlarken aynı zamanda benzersiz güvenlik açıklarının da habercisidir.
Yaygın bir tehdit Hizmet Reddi (DoS) saldırısıdır. Şunu hayal edin: bir konserdesiniz ve bir kapıdan geçmeye çalışıyorsunuz, ancak bir grup şakacı yolu kapatıyor, kimsenin geçmesine izin vermiyor. DoS'un ağlara yaptığı şey budur. Sahte isteklerle onları bunaltıyor, böylece sizin ve benim gibi gerçek kullanıcılar içeri giremiyor. Daha tehditkar bir versiyon ise Dağıtılmış DoS'tur (DDoS), burada sadece bir grup kapıyı bloke etmiyor, aynı anda birden fazla grup birden fazla kapıyı bloke ediyor. .
Bir diğer sinsi tehdit ise Ortadaki Adam (MiTM) saldırısıdır. Bu, birisinin gizlice telefon görüşmenizi dinlemesine ve hatta bazen konuştuğunuzu sandığınız kişiymiş gibi davranmasına benzer. Dijital alanda, bu saldırganlar iki taraf arasındaki iletişimi gizlice aktarıyor ve hatta değiştirebiliyor.
Ayrıca, soğuk algınlığı virüsünün dijital eşdeğeri olan ancak genellikle daha zararlı amaçlara sahip olan kötü amaçlı yazılımlarımız var. Bunlar cihazlarımıza sızmak ve bazen zarar vermek için hazırlanmış yazılımlardır. Dünyamız daha fazla akıllı cihazla doldukça kötü amaçlı yazılım bulaşma riski de artıyor.
Ancak işin iyi yanı şu: Bu tehditler ne kadar çok görünürse görünsün, dünya çapındaki uzmanlar bunlarla mücadele etmek için yorulmadan çalışıyor. Bu saldırıları tespit etmek ve bunlara karşı koymak için Yapay Zeka gibi gelişmiş teknikler kullanıyorlar. Ayrıca cihazlarımızın iletişim şeklini de geliştirerek birbirlerini gerçekten tanıyabilmelerini ve birbirlerine güvenebilmelerini sağlıyorlar. Dolayısıyla, dijital çağın zorlukları olsa da, biz bunları gözlerimiz kapalı yönetmiyoruz.
Gizlilik
Yukarıda belirtilen güvenlik tehditlerinin yanı sıra, IoT cihazları ve işledikleri veriler, veri koklama, anonim verilerin maskesinin kaldırılması (anonimleştirme) ve bu verilere dayanarak sonuçlar çıkarma (çıkarsama saldırıları) dahil olmak üzere gizliliğe bağlı risklerle karşı karşıyadır. Bu saldırılar, ister depolanmış ister aktarılmış olsun, öncelikli olarak verilerin gizliliğini hedefler. Bu bölümde bu gizlilik tehditleri ayrıntılı olarak ele alınmaktadır.
Gizlilik Bağlamında MiTM
MiTM saldırılarının iki kategoriye ayrılabileceği öne sürülüyor: Aktif MiTM Saldırıları (AMA) ve Pasif MiTM Saldırıları (PMA). Pasif MiTM saldırıları, cihazlar arasındaki veri alışverişinin gizlice izlenmesini içerir. Bu saldırılar verilere müdahale etmeyebilir ancak gizliliği tehlikeye atabilir. Bir cihazı gizlice izleme yeteneğine sahip birini düşünün; bir saldırı başlatmadan önce bunu uzun bir süre yapabilirler. Oyuncaklardan akıllı telefonlara ve giyilebilir cihazlara kadar çeşitli IoT cihazlarında kameraların yaygınlığı göz önüne alındığında, gizlice dinleme veya veri koklama gibi pasif saldırıların potansiyel sonuçları oldukça önemlidir. Bunun tersine, aktif MiTM saldırıları daha doğrudan bir rol oynar; elde edilen verileri bir kullanıcıyla aldatıcı bir şekilde etkileşime geçmek için kullanır veya kullanıcı profillerine izinsiz olarak erişir.
Veri Gizliliği ve Kaygıları
MiTM çerçevesine benzer şekilde, veri gizliliği tehditleri de Aktif Veri Gizliliği Saldırıları (ADPA) ve Pasif Veri Gizliliği Saldırıları (PDPA) olarak kategorize edilebilir. Veri gizliliğiyle ilgili endişeler, veri sızıntısı, izinsiz veri değişiklikleri (veri tahrifatı), kimlik hırsızlığı ve görünüşte anonim verilerin maskesinin düşürülmesi (yeniden tanımlama) gibi konulara değinmektedir. Özellikle, bazen çıkarım saldırıları olarak da adlandırılan yeniden tanımlama saldırıları, anonimleştirme, konumları belirleme ve çeşitli kaynaklardan veri toplama gibi yöntemler etrafında döner. Bu tür saldırıların temel amacı, bir bireyin kimliğini ortaya çıkarmak için çeşitli yerlerden gelen verileri bir araya getirmektir. Bu havuzlanmış veriler daha sonra hedef birey kılığına girmek için kullanılabilir. Verilerde değişiklik yapma gibi verileri doğrudan değiştiren saldırılar ADPA kategorisine girerken, yeniden tanımlama veya veri sızıntısıyla ilişkili olanlar PDPA olarak kabul edilir.
Potansiyel Bir Çözüm Olarak Blockchain
Yaygın olarak BC olarak kısaltılan Blockchain, şeffaflığı, hata toleransı ve doğrulanma ve denetlenme yeteneği ile karakterize edilen esnek bir ağdır. Genellikle merkezi olmayan, eşler arası (P2P), şeffaf, güven gerektirmeyen ve değişmez gibi terimlerle tanımlanan blockchain, geleneksel merkezi istemci-sunucu modellerine kıyasla güvenilir bir alternatif olarak öne çıkıyor. Blockchain'in dikkate değer bir özelliği, anlaşma şartlarının veya koşulların koda yazıldığı, kendi kendini yürüten bir sözleşme olan "akıllı sözleşme"dir. Blockchain'in doğal tasarımı, veri bütünlüğünü ve orijinalliğini sağlayarak IoT cihazlarında veri tahrifatına karşı güçlü bir savunma sunar.
Güvenliği Artırma Çabaları
Tedarik zincirleri, kimlik ve erişim yönetimi ve özellikle IoT gibi çeşitli sektörler için çeşitli blockchain tabanlı stratejiler önerilmiştir. Ancak mevcut bazı modeller zaman kısıtlamalarını yerine getiremiyor ve kaynakları sınırlı IoT cihazları için optimize edilmiyor. Aksine, bazı çalışmalar öncelikle IoT cihazlarının yanıt süresini artırmaya odaklanmış, güvenlik ve gizlilik hususlarını göz ardı etmiştir. Machado ve meslektaşları tarafından yapılan bir araştırma, üç bölüme ayrılmış bir blockchain mimarisini tanıttı: IoT, Sis ve Bulut. Bu yapı, kanıt yöntemlerine dayalı protokoller kullanarak IoT cihazları arasında güven oluşturulmasını, veri bütünlüğünün sağlanmasını ve anahtar yönetimi gibi güvenlik önlemlerini ön plana çıkardı. Ancak bu çalışmalar doğrudan kullanıcıların gizlilik kaygılarına değinmedi.
Başka bir çalışma, verileri halka açık bir blockchain ile güvence altına alarak drone'lar için veri bütünlüğüne odaklanan "DroneChain" kavramını araştırdı. Bu yöntem sağlam ve hesap verebilir bir sistem sağlasa da, gerçek zamanlı IoT uygulamaları, özellikle de dronlar için ideal olmayabilecek iş kanıtı (PoW) kullanıyordu. Ek olarak model, kullanıcılar için veri kaynağını ve genel güvenliği garanti edecek özelliklerden yoksundu.
IoT Cihazlarına Kalkan Olarak Blockchain
Teknoloji ilerlemeye devam ettikçe sistemlerin Hizmet Reddi (DoS) saldırıları gibi saldırılara karşı duyarlılığı da artıyor. Uygun fiyatlı IoT cihazlarının çoğalmasıyla saldırganlar, zorlu siber saldırılar başlatmak için birden fazla cihazı kontrol edebilir. Yazılım tanımlı ağ iletişimi (SDN), her ne kadar devrim niteliğinde olsa da, kötü amaçlı yazılım yoluyla tehlikeye atılabilir ve bu da onu çeşitli saldırılara karşı savunmasız hale getirebilir. Bazı araştırmacılar, merkezi olmayan ve kurcalamaya dayanıklı doğasını öne sürerek IoT cihazlarını bu tehditlerden korumak için blockchain kullanımını savunuyor. Yine de bu çözümlerin çoğunun teorik kalması ve pratik uygulamadan yoksun olması dikkat çekicidir.
Daha ileri çalışmalar, blockchain kullanarak farklı sektörlerdeki güvenlik açıklarını gidermeyi amaçladı. Örneğin, bir akıllı şebeke sistemindeki potansiyel manipülasyona karşı koymak için, bir çalışmada blockchain ile birlikte kriptografik veri iletiminin kullanılması önerildi. Başka bir çalışma, lojistik sürecini kolaylaştıran, blockchain kullanan bir teslimat sisteminin kanıtını savundu. Bu sistemin MiTM ve DoS gibi yaygın saldırılara karşı dayanıklı olduğu kanıtlandı ancak kullanıcı kimliği ve veri gizliliği yönetiminde eksiklikleri vardı.
Dağıtılmış Bulut Mimarisi
Veri bütünlüğü, MiTM ve DoS gibi bilinen güvenlik sorunlarının ele alınmasına ek olarak, birçok araştırma çalışması çok yönlü çözümleri araştırdı. Örneğin, Sharma ve ekibi tarafından hazırlanan bir araştırma makalesi, dağıtılmış bulut mimarisi için güvenliği vurgulayan ve iletim gecikmelerini azaltan, uygun maliyetli, güvenli ve her zaman kullanılabilir bir blockchain tekniğini tanıttı. Ancak veri gizliliği ve anahtar yönetimi de dahil olmak üzere gözetim alanları mevcuttu.
Bu çalışmalarda tekrarlanan bir tema, enerji yoğun doğası nedeniyle gerçek zamanlı IoT uygulamaları için en verimli olmayabilir olan PoW'un fikir birliği mekanizması olarak yaygın kullanımıdır. Ayrıca, bu çözümlerin önemli bir kısmı kullanıcı anonimliği ve kapsamlı veri bütünlüğü gibi hayati hususları gözden kaçırıyordu.
IoT'de Blockchain Uygulamanın Zorlukları
Gecikme ve Verimlilik
Blockchain (BC) teknolojisi on yılı aşkın bir süredir piyasada olmasına rağmen gerçek avantajlarından ancak yakın zamanda yararlanıldı. BC'yi lojistik, gıda, akıllı şebekeler, VANET, 5G, sağlık hizmetleri ve kalabalık algılama gibi alanlara entegre etmek için çok sayıda girişim devam ediyor. Bununla birlikte, yaygın çözümler BC'nin doğal gecikmesine çözüm getirmiyor ve sınırlı kaynaklara sahip IoT cihazları için uygun değil. BC'deki baskın fikir birliği mekanizması İş Kanıtı'dır (PoW). PoW, yaygın kullanımına rağmen nispeten yavaştır (Visa'nın saniyede ortalama iki bin işlemine karşılık saniyede yalnızca yedi işlem gerçekleştirir) ve enerji yoğundur.
Hesaplama, Veri İşleme ve Depolama
Bir BC'yi çalıştırmak, özellikle geniş bir eşdüzey ağa yayıldığında önemli miktarda hesaplama kaynağı, enerji ve bellek gerektirir. Song ve arkadaşlarının da vurguladığı gibi, Mayıs 2018 itibarıyla Bitcoin defterinin boyutu 196 GB'ı aşmıştı. Bu tür kısıtlamalar, IoT cihazları için ölçeklenebilirlik ve işlem hızıyla ilgili endişeleri artırmaktadır. Potansiyel bir geçici çözüm, hesaplama görevlerini merkezi bulutlara veya yarı merkezi olmayan sis sunucularına devretmek olabilir, ancak bu, ek ağ gecikmelerine neden olur.
Tekdüzelik ve Standardizasyon
Yeni ortaya çıkan tüm teknolojiler gibi, BC'nin standardizasyonu da yasal düzenlemeler gerektirebilecek bir zorluktur. Siber güvenlik zorlu bir zorluk olmaya devam ediyor ve yakın gelecekte IoT cihazlarına yönelik tüm siber tehdit risklerini azaltabilecek tek bir standart beklemek aşırı iyimserlik olur. Ancak bir güvenlik standardı, cihazların belirli kabul edilebilir güvenlik ve gizlilik kriterlerine uygunluğunu garanti edebilir. Herhangi bir IoT cihazının bir dizi temel güvenlik ve gizlilik özelliğini kapsaması gerekir.
Güvenlik endişeleri
Her ne kadar BC değişmez, güvensiz, merkezi olmayan ve tahrifata karşı dayanıklı olmakla karakterize edilse de, blockchain tabanlı bir kurulumun güvenliği yalnızca giriş noktası kadar sağlamdır. Public BC üzerine kurulan sistemlerde isteyen herkes verilere erişebilir ve bunları inceleyebilir. Özel blok zincirleri buna bir çare olabilirken, güvenilir bir aracıya güvenmek, merkezileşme ve erişim kontrolüyle ilgili mevzuat sorunları gibi yeni zorlukları da beraberinde getiriyorlar. Temel olarak, blockchain destekli IoT çözümlerinin güvenlik ve gizlilik kriterlerini karşılaması gerekiyor. Bunlar arasında veri depolamanın gizlilik ve bütünlük ihtiyaçlarıyla uyumlu olmasını sağlamak; güvenli veri iletiminin sağlanması; şeffaf, güvenli ve hesap verebilir veri paylaşımını kolaylaştırmak; özgünlüğü ve tartışılmazlığı korumak; seçici veri ifşasına izin veren bir platformun garanti edilmesi; ve her zaman katılımcı kuruluşlardan açık paylaşım izni almak.
Sonuç
Muazzam potansiyele ve vaatlere sahip bir teknoloji olan Blockchain, Nesnelerin İnterneti'nin (IoT) geniş ve sürekli gelişen manzarası da dahil olmak üzere çeşitli sektörler için dönüştürücü bir araç olarak müjdelendi. Merkezi olmayan yapısıyla blockchain, IoT uygulamalarında son derece imrenilen özellikler olan gelişmiş güvenlik, şeffaflık ve izlenebilirlik sağlayabilir. Bununla birlikte, herhangi bir teknolojik füzyonda olduğu gibi, blockchain ile Nesnelerin İnterneti'nin birleşimi de zorluklarla sonuçlanmıyor. Hız, hesaplama ve depolama ile ilgili sorunlardan, standartlaştırma ve güvenlik açıklarının giderilmesine yönelik acil ihtiyaçlara kadar, dikkat edilmesi gereken birçok yön vardır. Bu birliğin sinerjik potansiyelinden tam olarak yararlanmak için hem blockchain hem de IoT ekosistemlerindeki paydaşların bu zorlukları işbirliği içinde ve yenilikçi bir şekilde ele alması çok önemlidir.
Kaynak: https://www.cryptopolitan.com/blockchain-can-build-trust-in-iot-ecosystems/