Page 103 - bilgem-teknoloji-dergisi-11
P. 103
Siber Güvenlik Bu bir proje
tanıtımıdır.
Kızılötesi EH
Açık Saha Test Sistemleri
Kızılötesi bantta yer alan tehditlerin Donanım ve yazılım bileşenlerinin bü-
bertarafına yönelik, Elektronik Harp tünleştirildiği bu sistemler, kullanıcının
(EH) teknik ve taktikleri geliştirme fa- elektronik harp teknik ve taktiklerinin
Çölde Bulunan Gizli Bir Askeri Üssün Akıllı Saat Kullanıcılarına Ait Isı Haritası İle İfşası aliyetleri kapsamında, açık saha test, yüksek sadakat seviyesinde etkinlik
değerlendirme ve analiz yapma yete- değerlendirme ihtiyaçlarını karşıla-
rafından yapılabilmektedir. Güvenli olmadığı olarak (hardcoded) tanımlanmamalıdır. Ayrı-
bilinen kütüphanelerin ve protokollerin kulla- ca, hassas verilerin depolanmasında mümkün neği olan sistemlerdir. maya yönelik çözümler sunmaktadır.
nılmaması yalnızca atak yüzeyini küçültmek- olduğunca Güvenilir Yürütme Ortamı (Trusted
le kalmayıp tasarım gereği güvenlik (secu- Execution Environment, TEE) gibi özelliklerden
re-by-design) yaklaşımı açısından da uygun faydalanılmalı ya da güçlü kriptografik yön-
bir faaliyet olacaktır. temlerle veriler korunmalıdır.
MIRAI ve BASHLITE gibi zararlı yazılımların, be- En iyi durum senaryosuna göre, açık metin halin-
lirli araçlara (örneğin Busybox) sahip sistemleri deki tüm hassas veriler, bilgisayar yapısı gereği,
hedef aldığı bilinmektedir. Bu kapsamda çeşitli geçici olmalı ve yalnızca geçici bir bellekte bu-
zararlı yazılımlar tarafından kullanıldığı bilinen lunmalıdır. Gömülü sistem bünyesinde üretilen
araçların, geliştirilecek sistemde kullanımları rastgele sayılar ise canlılık ve/veya kalite test-
sınırlandırılmalıdır. Ayrıca, kötü niyetli saldırı- lerine tabi tutularak sistem güvenliği artırılabilir.
İlgili testler, gömülü cihazının her açılışında
ları önlemek için sistem faaliyetleri (dahili kon- gerçekleştirilebileceği gibi kritik işlem öncesin-
sol erişimi ve uzaktan web yönetimi gibi) için de de tekrarlanabilir.
kullanılan hesapların, kullanıcı hesaplarından
farklı olması sağlanmalıdır. Sonuç
Gömülü sistemler, saldırganlar tarafından sık-
Sızması durumunda müşterileri tehlikeye ata- lıkla hedef alındığından güvenlik, öncelikli bir
bilecek nitelikteki bilgilerin (T.C. kimlik numa- gereksinim olarak kabul edilmelidir. Gömülü
rası, adres, vb.) toplanması gerekiyorsa, tasa- sistemlerde siber güvenlik, donanım katma-
rımda gizlilik (privacy-by-design) kavramına nında alınan önlemlerin uygulama seviyesi
uyulmalıdır. Örneğin, kullanıcılarından gelen önlemlerle desteklenmesiyle sağlanabilir. Bu
akıllı saat verilerini anonimleştirerek ısı hari- sistemlerde bilginin; gizliliğini, bütünlüğü-
tası olarak internet üzerinden erişime açan bir nü ve erişilebilirliğini korumak yalnızca ilgili
uygulama, Afrika’da çölün ortasında bulunan seviyeler için uygun tedbirlerin alınmasıyla
gizli bir askeri üssün varlığının açığa çıkma- mümkün olabilir.
sına sebep olmuştur. Yazılımın yayınlanma-
dan önce, gereksiz/kullanılmayan kodları ve/ Kaynakça
veya yetkili kullanıcı hesaplarının kaldırıldı- Akalp Kuzu, E. ve Kılavuz, U. R. (2020) COMSEC ve
ğından emin olunmalıdır. Ayrıca, şifreleme Yan Kanal Analizi Faaliyetleri, Bilgem Teknoloji, 10, 38-42
https://owasp.org/www-project-embedded-application-
(kriptografik) yöntemlerinden faydalanılarak security/
güvenilir güncelleme mekanizmaları tasarlan- https://os.kaspersky.com/wp-content/uploads/
malıdır. Kriptografik uygulamada kullanılacak sites/11/2017/03/KasperskyOS_Product_Presentation_eng.pdf
tüm iletişim yöntemlerinde, Taşıma Katmanı https://www.iconlabs.com/prod/security-requirements
Güvenliği (Transport Layer Security, TLS) gibi -embedded-devices-%E2%80%93-what-really-needed
endüstri standardı şifreleme yapılandırmaları https://www.iafrikan.com/2018/01/28/fitbit-and-strava-
tercih edilmelidir. Parola, kullanıcı adı ve özel are-possibly-revealing-the-locations-of-secret-military
-bases-in-afrika/
anahtar gibi bilgiler, yazılım bünyesinde sabit
www.bilgem.tubitak.gov.tr
100