Page 101 - bilgem-teknoloji-dergisi-11
P. 101
Siber Güvenlik BILGEM
TEKNOLOJI
beple, tasarımı yapılan cihazın kritikliği, içerdiği
bilgilerin gizliliği ve önemi doğru analiz edilerek Gömülü sistemlere sıklıkla
güvenlik tedbirleri bu ölçüde uygulanmalıdır. Ör- gerçekleştirilen uygulama seviyesi
neğin, pil/batarya kullanan ve güç tasarrufunun saldırılarının başında enjeksiyon
önem arz ettiği taşınabilir bir gömülü cihazda,
ihtiyaç analizi yapılmadan alınmış güvenlik ön- saldırıları gelmektedir.
lemleri, cihazın güç tüketimini önemli ölçüde
artıracak ve batarya/pil kapasitesinin daha hızlı
tüketilmesine sebep olacaktır. laştırması (checksum) yardımıyla veri doğrulama-
sı da yapılabilir. Cihazda, bekleme konumunda da
Donanım Seviyesi-Tedbirler veri ve adres yollarına LFSR gibi bir donanım yar-
Saat işaretinin maskelenmesi, zamanlama ve dımıyla gürültü basılarak saldırgan yanıltılabilir. Ek
güç tüketiminin rastgeleleştirilmesi, çalışma- olarak, bir gömülü sistem donanımına ait kritik veri
sının rastgele durdurulması gibi önlem- kütükleri ya da mikroişlemci gibi donanımlar
ler için mikroişlemcinin tasarımı çift olarak tasarlanıp, bazen eş zamanlı
aşamasında bir sayıcı devrenin bazen gecikmeli çalışma sağlanarak
kullanılmasıyla, çeşitli yan ve/veya tümleşik devre üzerinde
kanal saldırılarına karşı ko- farklı konumlara yerleştirilerek
ruma sağlanabilir. Gömülü de saldırganlar yanıltılabilir.
sistem içinde saklanacak
veriler ROM, RAM, Flash Güç harcamasının denge-
gibi veri saklayan hafıza lenmesi için iki kat fazla
birimlerinde şifrelenerek RAM kullanılabilir ya da
saklanabilir ve tek saat özel RAM tasarımı ya- Pasif kalkan, alt tabakaların görüntülenmesini Uygulama Seviyesi-Tedbirler
darbesinde şifreleme pılabilir. Mantıksal devre engellediği gibi lazer saldırılarına karşı koruma Gömülü sistem yazılımları incelendiğinde, bi-
veya şifre çözme işlemi elemanları ve aralarındaki sağlar. Metal bir kafes olan pasif kalkanın boş- lişim sistemlerinde yazılım geliştirmek için
gerçekleştirilebilir. bağlantılar, aynı kapasiteye luklu yapıda olması ve bu boşlukların olabildi- yaygın olarak tercih edilen Assembly, C/C++,
sahip olacak şekilde çift ola- ğince sık bulunması, düşük maliyetle koruma Python, Perl, Lua ve Rust gibi programlama
Kritik veriler, bellek üzerinde rak tasarlanabilir. Sürekli çalış- sağlamaktadır. Aktif kalkan ise üzerinden akım dillerinin kullanıldığı görülmektedir. Kullanılan
rastgele adreslerde saklanabilir. ması gereken cihazlar tasarlanır- geçirilen çok sıkı konumlandırılmış birçok ilet- programlama dillerinin yaygınlığı, işletilen ya-
Sıralı olarak saklanan veriler tersi- ken, aynı işi yapan birden fazla blok ken hatla sarılmış bütünleşmiş (entegre) devre zılım geliştirme süreçlerinin benzerliği ve sür-
ne mühendislik saldırılarında saldırganın kullanılarak işlem sırasında yapılacak oy- bloğu üzerinde bulunan metal bir kafestir. Bu dürülen faaliyetlerin kritikliği dolayısıyla güvenli
işini kolaylaştıracağından, özel bir donanım bloğu lamayla birinin rastgele çalışması sağlanabilir. hatlar üzerinde sürekli açık/kapalı devre kont- yazılım geliştirme süreçlerinin uygulanması,
tasarlanarak adres karıştırma işlemi uygulanabilir. Cihazın güç beslemesi tasarlanırken, kullana- rolü yapılarak gömülü sistem devresine dışa- gömülü sistemlerde siber güvenliğin sağlan-
cağı saat darbesini kendisinin üretmesi sağla- rıdan yapılacak kötü niyetli saldırılar engellen- masında önem arz etmektedir.
Veri ve adres yollarının, sabit ya da LFSR (Line- narak, sistemin dışından gelebilecek ataklara meye çalışılır. Pasif kalkana nazaran maliyetli
ar Feedback Shift Register) yardımıyla üretilen karşı güvenliği artırılabilir. Dinleme, lazer atışı olmasına karşın daha fazla güvenlik sağlar. Bu Gömülü sistemlere sıklıkla gerçekleştirilen uy-
bir sayıyla özel fonksiyona (örneğin, XOR) tabi ve iyon demeti gibi saldırılara karşı devre blok- bağlantıların, birden fazla noktadan kontrol gulama seviyesi saldırıların başında Ekleme
tutulmasıyla da güvenlik artırılabilir. Ayrıca gö- larının yerinin tespit edilememesi için, bu blok- edilmesi daha iyi bir koruma sağlayacaktır. (Enjeksiyon) Saldırıları gelmektedir. Çoğunlukla
mülü sistemi oluşturan tümdevrelerde, iki birim ların üretimde rastgele yerleştirilmesiyle ekstra Komut Enjeksiyonu olarak karşımıza çıkan bu
arasında iletilen veriler üzerinde bütünlük karşı- güvenlik sağlanacaktır. Gömülü sistem devresi tasarlanırken belirle- saldırıları engellemek için güvenilmeyen tüm
nen sıcaklık, frekans aralığı, besleme gerilimi verilerin ve kullanıcı girişlerinin doğrulandığın-
gibi çalışma koşullarını denetleyecek analog dan, temizlendiğinden ve/veya çıktıların kod-
sensörler, ya da kullanılabiliyorsa daha yeni bir landığından emin olunmalıdır. Ayrıca, bilinen
yaklaşım olan dijital sensörler kullanılmalıdır. açıklara karşı koruma sağlamak için çekirdeğin,
Analog ve dijital sensörlerden gelen veriler gö- yazılım paketlerinin ve üçüncü taraf kütüphane-
mülü sistem tümleşik devresi içinde değerlen- lerin zafiyet içermediğinden emin olunmalıdır.
dirilerek cihaza harici müdahale olup olmadığı
tespit edilebilir. Bu sayede, çalışma koşullarının Bu kapsamda, maruz kalınması muhtemel baş-
değiştirilmesiyle yapılan saldırılar sonucunda ka bir saldırı olan arabellek ve yığın taşması-
meydana gelebilecek zafiyetlerin önüne geçilebilir. nı engellemek adına, güvenli olmadığı bilinen
fonksiyonlar ve Uygulama Programlama Ara-
Burada bahsedilen önlemlerin ihlali fark edil- yüzleri (Application Programming Interface,
diğinde kesme ve silme sinyali üretilerek, ge- API) kullanılmamalıdır. Bunlara örnek olarak,
rektiğinde derhal kritik bilginin silinmesi ve C dili için strcpy (Kopyalama komutu), strcat
donanımın durdurulmasını sağlayacak bir yapı (Birleştirme komutu) ve scanf (Okuma komu-
tasarlanmalıdır. Bu sayede, saldırganların kötü tu) gösterilebilir. Bunların tespiti, Buildroot ve
niyetli girişimlerinin önüne geçilebilir. Yocto gibi gömülü Linux derleme araçları ta-
98 99
