Makaleler
Haberler
Etkinlikler
Röportajlar
Editörden

Iot Güvenliği Donanım Saldırı Yüzeyi

Share
29/05/2025 tarihinde yayınlandı


Iot Güvenliği Donanım Saldırı Yüzeyi

Hakan ALTAY

IoT Donanım Güvenliği: JTAG, SWD, UART ve I2C Özet İncelemesi

Giriş:
Nesnelerin İnterneti (IoT) cihazları, genellikle güvenlik önlemleri göz ardı edilerek piyasaya sürülmektedir. Bu cihazlarda bulunan donanım arayüzleri (JTAG, SWD, UART, I2C), kötü niyetli kişilerin cihazdan veri çekmesine, firmware çıkarmasına ve cihazı manipüle etmesine olanak sağlayan önemli saldırı yüzeyleri sunar. Bu makalede iletişim protokolleri, zafiyetler ve sömürü teknikleri hakkında bilgi verilmektedir.JTAG (Joint Test Action Group)

JTAG, ilk olarak baskı devre kartı (PCB) testleri için geliştirilmiş, daha sonra IEEE 1149.1 standardı ile hata ayıklama ve programlama amaçlı yaygın kullanılan bir arayüzdür.

  • Pinler: TCK (saat), TMS (mod seçim), TDI (veri girişi), TDO (veri çıkışı) ve isteğe bağlı TRST.
  • Kullanım: Cihaz belleği, kayıtlar ve işlemcilerle doğrudan iletişim sağlar.
  • Saldırı Yüzeyi: JTAG erişimiyle cihazdan firmware çıkarılabilir, belleğe doğrudan erişim sağlanabilir.

JTAG pinleri elle veya araçlarla tespit edilebilir. OpenOCD gibi araçlarla haberleşme sağlanarak bellek dökümü gibi işlemler yapılabilir.

SWD (Serial Wire Debug)

SWD, ARM tarafından geliştirilen, JTAG’e alternatif, daha az pin gerektiren bir debug arayüzüdür.

  • Pinler: SWDIO (veri), SWCLK (saat).
  • Kullanım: ARM Cortex-M gibi mikrodenetleyicilerde hata ayıklama ve programlama.
  • Saldırı Yüzeyi: OpenOCD gibi yazılımlarla erişilerek flash bellekten firmware alınabilir, cihaz kontrolü sağlanabilir.

UART (Universal Asynchronous Receiver/Transmitter)

UART, cihazla bilgisayar arasında asenkron veri aktarımı sağlar.

  • Pinler: TX (veri gönderme), RX (veri alma).
  • Kullanım: Seri konsol erişimi, debug mesajları, basit veri aktarımı.
  • Avantajları: Kolay kurulum, clock gerektirmez.
  • Saldırı Yüzeyi: Seri terminalden cihaz üzerinde çalışan sistem görüntülenebilir, komutlar gönderilebilir, bazen root erişim sağlanabilir.

I2C (Inter-Integrated Circuit)

I2C, düşük hızda ve kısa mesafeli haberleşme için kullanılan iki hatlı (SCL, SDA) senkron bir seri iletişim protokolüdür.

  • Mimarisi: Master-slave, çoklu cihaz destekler.
  • Kullanım: EEPROM, RTC, sensör gibi çevresel cihazlarla iletişim.
  • Saldırı Yüzeyi: EEPROM içeriği okunabilir, hassas bilgiler (şifreler, anahtarlar) elde edilebilir. Bellek manipülasyonu ile sistem işlevselliği bozulabilir.

Saldırı Yöntemleri:

  • FCCID üzerinden cihaz yapısını keşfetme
  • PCB üzerindeki test noktalarından pin tespiti
  • Logic Analyzer kullanarak sinyal koklama
  • Bus Pirate, Shikra, EXPLIoT gibi araçlarla fiziksel erişim
  • OpenOCD, PulseView gibi yazılımlarla veri çözümleme

Korunma Yöntemleri:

  • Bellek verilerinin şifrelenmesi
  • Debug arayüzlerinin devre dışı bırakılması
  • Hassas bilgilerin sabit bellekte tutulmaması

Sonuç:
JTAG, SWD, UART ve I2C arayüzleri cihaz geliştiricilere hata ayıklama kolaylığı sağlarken, saldırganlar için de önemli giriş kapılarıdır. Bu arayüzlerin doğru yapılandırılması, devre dışı bırakılması veya şifreleme gibi yöntemlerle korunması kritik önem taşır. Özellikle IoT cihazlarının yaygınlaşmasıyla birlikte, donanım tabanlı güvenlik açıkları giderek daha fazla dikkat gerektirmektedir.

Makalenin tamamına https://www.trsiber.com.tr/post/iot-g%C3%BCvenli%C4%9Fi-donan%C4%B1m-sald%C4%B1r%C4%B1-y%C3%BCzeyi-hakan-altay erişebilirsiniz.

Share
İlginizi Çekebilecek Yazılar
5G ve IoT, Otonom Araçlar İçin Neden Önemli? Teknoloji dünyası, son yıllarda IoT teknolojisi ve otonom araçların sıklıkla konuşulduğu bir dönemden geçiyor. Internet of Things kavramının en çok beklenen ...
%98’İ ŞİFRELENMEMİŞ OLAN IOT CİHAZLARDAKİ VERİ GÜVENLİĞİ İÇİN 5 ÖNEMLİ ADIM! Kamu kuruluşlarından sağlık hizmetlerine kadar birçok sektörde IoT cihaz kullanımı artmaya devam ediyor. 2025 yılına kadar yaklaşık 42 milyar bağlı IoT ...
Avrasya bölgesinde bir ilk! IoT Dünyası İstanbul’da buluşuyor Nesnelerin İnterneti (IoT) konusundaki gelişmeleri derinlemesine tartışacak IoT EurAsia, 10 Nisan tarihlerinden Hilton Bosphorus, İstanbul’da gerçekleşecek.

Avrasya’da bir ilk! IoT Dünyası İstanbul’da buluşuyor IoT EurAsia 2018, Avrupa ve Ortadoğu'daki Nesnelerin İnterneti potansiyelini ortaya çıkarmak hedefi ile bu global olguya İstanbul’da öncülük edecek.Avrasya Bölgesi’nde, üst ...
Avrupa Ve ABD’de Iot Cihaz Güvenliği İçin Yasa Geliyor Dijitalleşen cihazların ortaya çıkardığı siber güvenlik sorunlarına Avrupa ve ABD’de yasalarla çözüm bulmaya çalışılıyor. Siber güvenlik kuruluşu ESET’in bildirdiğine göre IoT ...
“EKS ve IoT Siber Güvenlik Yaz Kampı” Güçlerini tek çatı altında buluşturan ülkemizin lider siber güvenlik firmaları Biznet ve Securrent’in yanı sıra, Sakarya Üniversitesi’nin de kurucu ortak olduğu ...

Ericsson, Hücresel Nesnelerin İnterneti (IoT) Vizyonunu Tanıttı Ericsson (NASDAQ: ERIC), hücresel Nesnelerin Internetinin (cellular IOT) geleceğine ışık tutacak hizmetlerine iki yeni segment ekleyerek bu alandaki portföyünü genişletiyor. ...
EV VE OFİSLERDEKİ IOT CİHAZLARI BİR HAFTADA 12 BİNDEN FAZLA SİBER SALDIRIYA MARUZ KALDI! Gün geçtikçe ofislerde ve evlerde kullanımı yaygınlaşan nesnelerin interneti (IoT) cihazlarının, siber saldırganların odağında olduğu görülüyor. WatchGuard Türkiye ve Yunanistan Ülke ...
Siber Güvenlik Farkındalığının Önemi Üzerine Devlet düzeyindeki hizmetlerin, işletmelere ait süreçlerin, bireysel işlemlerin gün geçtikçe daha çok siber uzaya transfer edildiği düşünüldüğünde muhakkak ki bu uzaydaki ...

Bilgisayar Ağ ve Bilgi Güvenliği Bilgi güvenliği ya da daha geniş anlamıyla siber güvenlik bilgilerin izinsiz erişimlerden, kullanımından, açığa çıkarılmasından, imha edilmesinden, değiştirilmesinden veya zarar verilmesinden ...
Siber Güvenlik Konusundaki Önemli Bir Eksik “Algı Yönetimi”
Kredi Kartlarında Güvenliğin Yeni Geleceği Kredi Kartlarında Güvenliğin Yeni Geleceği


Arama
Son Yazılar
Adli Bilişim ve Siber Güvenlik Açısından Dijital Delilin Yargı Sürecindeki Rolü Iot Güvenliği Donanım Saldırı Yüzeyi CEO’ların %97’si Üretken Yapay Zekadan Maddi Etki Bekliyor Dijital Ayak İzini Azaltmanın 7 Yolu KPMG'den Perakende Sektörü İçin Yol Haritası: Yapay Zekâ İle Akıllı Dönüşüm Fortinet Tehdit Raporu'na Göre Saldırganların Yapay Zeka Ve Yeni Teknikleri Silah Olarak Kullanmasıyla Otomatik Siber Saldırılarda Rekor Artış Yaşanıyor Yapay Zekâ Kullanımında Yaşanan Artışla Birlikte Özel 5g Ağlarında Güvenlik Açıkları Alarm Veriyor Yapay Zeka, Sihirli Değneğini Telekom Sektörüne Değdirdi! Kimlik Hırsızlarına Geçit Vermeyin İşletmelerin Yüzde 92’si Son 12 Ayda Kimlik Dolandırıcılığına Maruz Kaldı
E-Bülten'e Kayıt Olun
Arşivler
Ağustos 2015Eylül 2015Ekim 2015Kasım 2015Aralık 2015Ocak 2016Şubat 2016Mart 2016Nisan 2016Mayıs 2016Haziran 2016Temmuz 2016Ağustos 2016Eylül 2016Ekim 2016Kasım 2016Aralık 2016Ocak 2017Şubat 2017Mart 2017Nisan 2017Mayıs 2017Haziran 2017Temmuz 2017Ağustos 2017Eylül 2017Ekim 2017Kasım 2017Aralık 2017Ocak 2018Şubat 2018Mart 2018Nisan 2018Mayıs 2018Haziran 2018Temmuz 2018Ağustos 2018Eylül 2018Ekim 2018Kasım 2018Aralık 2018Ocak 2019Şubat 2019Mart 2019Nisan 2019Mayıs 2019Haziran 2019Temmuz 2019Ağustos 2019Eylül 2019Ekim 2019Kasım 2019Aralık 2019 Ocak 2020Şubat 2020Mart 2020Nisan 2020Mayıs 2020Haziran 2020Temmuz 2020Ağustos 2020Eylül 2020Ekim 2020Kasım 2020Aralık 2020Ocak 2021Şubat 2021Mart 2021Nisan 2021Mayıs 2021Haziran 2021Temmuz 2021Ağustos 2021Eylül 2021Ekim 2021Kasım 2021Aralık 2021Ocak 2022Şubat 2022Mart 2022Nisan 2022Mayıs 2022Haziran 2022Temmuz 2022Ağustos 2022Eylül 2022Ekim 2022Kasım 2022Aralık 2022Ocak 2023Şubat 2023Mart 2023Nisan 2023Mayıs 2023Haziran 2023Temmuz 2023Ağustos 2023Eylül 2023Ekim 2023Kasım 2023Aralık 2023Ocak 2024Şubat 2024Mart 2024Nisan 2024Mayıs 2024Haziran 2024Temmuz 2024Ağustos 2024Eylül 2024Ekim 2024Kasım 2024Aralık 2024Ocak 2025Şubat 2025Mart 2025Nisan 2025Mayıs 2025Haziran 2025Temmuz 2025
İletişim | Gizlilik | Kullanım Koşulları