Nesnelerin internetinde botnetler: Mirai zararlı yazılımı üzerine bir çalışma

Abstract

Son yıllarda hızla büyüyen nesnelerin interneti (internet of things- IoT) ekosistemiyle birlikte internete erişebilen, veri üretebilen ve paylaşabilen akıllı cihazlar endüstriyel otomasyondan sağlık sektörüne, bina ve ev otomasyonundan ulaşım sektörüne dek birçok alanda dijital dönüşüm ve tasarım yeniliklerinin başlıca unsuru haline gelmiştir. IoT cihazlarını hedef alan siber saldırılar uzun süredir bilinse de özellikle 2016 yılında adını duyuran Mirai ile birlikte bu saldırılar ciddi bir artış göstermiştir. Mirai zararlı yazılımı ve türevleri vasıtasıyla IoT cihazları kötü amaçlı kişilerin oluşturduğu botnetler tarafından ele geçirilmekte ve dağıtık hizmet dışı bırakma saldırılarının düzenlenmesinde rol oynamakta, saldırılara maruz kalan organizasyonlarda hizmet kesintileri ve maddi kayıpların yanı sıra itibar zedelenmesine neden olmaktadır. Zararlı yazılımların kaynak kodlarının internet üzerinde yayınlamasıyla bu yazılımların evrimleşme süreci hızlanmakta, temelde benzer saldırı ve enfeksiyon mekanizmalarına sahip olmakla birlikte farklı açıklıkları hedef alan versiyonlar geliştirilmektedir. Mirai zararlı yazılımının meydana getirdiği etkiyle birlikte IoT ekosistemini güvenlileştirme çabaları artmış; bir kısım ülkeler güvenlik açığı bulunan cihazların satışını engellemek amacıyla yasa, yönetmelik vb. nitelikte yasal düzenlemeler yayınlamıştır. Bir kısım üreticiler zafiyetli cihazlarını geri toplamış veya bu cihazlara yönelik güncelleme yayınlamıştır. Bu çalışmada günümüzdeki birçok botnetin öncüsü ve kaynağı olan Mirai zararlı yazılımının kaynak kod analizi gerçekleştirilerek saldırı, enfeksiyon, komuta-kontrol mekanizmaları açıklanmıştır. Mirai ve benzeri zararlı yazılımlarla mücadelede üreticiler ve yasal otoriteler tarafından alınan tedbirler ile bu alanda yapılan akademik çalışmalar incelenmiştir. Ülkemizdeki sosyal medya kullanıcılarının nesnelerin internetine yönelik algı ve eğilimlerini tespit etmek amacıyla kullanıcı araştırması yapılmış, bu araştırma neticesinde her beş kişiden ikisinin satın aldıkları IoT cihazlarının parolalarını ilk kurulumda değiştirmedikleri tespit edilmiştir. Tüketicilere yönelik geliştirilen ücretsiz IoT cihazları açıklık tarama programlarının teknoloji okur yazarlığı konusunda kısıtlı ve İngilizce bilmeyen bir kullanıcıyı tespit edilen güvenlik açıklıkları konusunda yönlendirmede yetersiz seviyede olduğu görülmüştür. Elde edilen bulgular değerlendirilerek ülkemizdeki yasal otoriteler tarafından alınabilecek tedbirlerler sunulmuş, IoT cihazlarının test edilmesi ve belgelendirilmesi sürecine dair önerilerde bulunulmuş; ayrıca kullanıcıların sahip oldukları IoT cihazlarını güvenli parola ile yapılandırmalarını teşvik edecek bir web tarayıcı uzantısı tasarlanmıştır.

The rapidly growing presence of Internet of Things (IoT) ecosystem has not only contributed in digital transformation of industry, transportation, healthcare and many other fields with smart devices producing and sharing data online; but also promised innovative business models and novel user experiences. Cyber attacks targeting IoT devices have been known for a long time but they became widespread after Mirai malware in 2016. By means of Mirai and its variants, malicious actors gain control of IoT devices, add them to botnets and perform distributed denial of service (DDoS) attacks to various targets. These attacks cause service outage, financial and reputational loss of victim organizations. Publishing source code of malware online expedites evolution of malware and leads to new variants. Even these variants have similar mechanisms of attack, propagation and infection; they may target different vulnerabilities. Considering the significant impact of Mirai, the number of attempts to secure IoT ecosystem has been increased. Few countries issued legal measures to prevent circulation of vulnerable devices in their markets. Some, but not all, vendors called back their vulnerable devices or released security updates. In this study, the source code of Mirai, the inspirer of recent IoT botnets, was analyzed and propagation, infection, command&control mechanisms were revealed. The legal and practical measures against Mirai and its variants issued by vendors and authorities were researched, academic literature was reviewed. A user research was conducted to determine public tendencies and perception about IoT security in Turkey. It is observed that every two of five users don't change their IoT devices' default credentials during initial configuration. Popular free IoT vulnerability scanning applications developed for customers were tested and the results showed that these applications are inadequate to guide non-English speaking and low technolgy literacy skilled users about identified vulnerabilities. Findings were discussed, proposals of legal measures and certification of IoT devices were made to Turkish authorities, a web browser extension to enhance configuring IoT devices with secure passwords was designed for Turkish speaking home users.