Abstract:
Bu tezde güvenliği olmayan gömülü sistemlere bir güvenlik çözümü sunulmaktadır. Önerilen çözüm bir prototip üzerinde gerçekleştirilmiştir. Geliştirme ve uygulama sürecinin safhaları hedeflenen gömülü sistemlerin güvenlik zaaflarının incelenmesi, mevcut güvenlik standartlarının detaylı analizi, uygun standartların gömülü sistemlere sığacak şekilde kısaltılması, erişilen standart alt kümesinin geliştirilmesi ve geliştirilen çözümün bir prototip üzerinde uygulamasını oluşturmaktadır. Bu tezde hedeflenen gömülü sistemler bilgisayarların karşılaştıkları saldırıların aynılarına maruz kalan, ağ bağlantılı gömülü sistemlerdir. Bu sebeple, gömülü sistemlerin güvenlik zaafları dikkatlice incelenerek çoğunu kapsayan bir çözümün tasarımı hedeflenmektedir. Bilgisayarlar için önceden hazırlanan çözümler hakkında bilgilenmek amacıyla, mevcut standartlar dikkatlice incelenmiştir. Ağ iletişiminde uçtan uca çözüm öneren bir standart kısıtlı kapasitesi olan gömülü sistemlere sığabilecek bir kolaylığa ve boyuta indirgenmiştir. Bu çalışma, karmaşık bir standartlar kümesindeki kuralların, algoritmaların ve uygulamaların doğru olarak seçilmesini içermektedir. Yapılan kısaltmalara dayanan bir model ilk olarak bilgisayarlar üzerinde geliştirilmiştir. Geliştirilen model daha sonra hedeflen düşük kapasiteli gömülü sistemler üzerine aktarılmıştır. Geliştirilen modeller gömülü sistemler için hedeflenen güvenliğin sağlanıp sağlanamadığı konusunda test edilmişlerdir. Geliştirilen çözüm daha sonra ilk olarak bilgisayarlar üzerinde uygulama yapılmıştır. Hataları ayıklanan ve test edilen sonuç daha sonra prototip bir gömülü sistem üzerine aktarılmıştır. Düşük kapasiteli gömülü sistemlere güvenlik sağlanması hedefine ulaşıldıktan sonra, çözüm güncellenemeyen sabit konfigürasyonlu gömülü sistemleri de kapsamak amacıyla geliştirilmiştir. Bu uğraşı, modelimizin sabit gömülü sistemin bir ön-koruyucusu gibi çalıştırıldığı başka bir prototip gömülü sistemin üzerine uygulanmasını içermiştir. Çalışma sonunda, bilgisayarlar için yapılmış bir standardın alt kümesinin indirgenerek gömülü sistemlerde uygulaması gerçekleştirilebilmektedir. Gömülü sistemleri güvenlikten yoksun, çevredeki ağ güvenliğine dayanarak çalıştırmak yerine, kritik uygulamalarda çözümümüzü kullanarak çalıştırmak daha yerinde olacaktır. In this thesis, a security solution for the insecure embedded systems is presented. The proposed solution is implemented in a prototype. The proposed steps of the development and implementation of the solution are the recognition of the weaknesses of the targeted networked embedded systems, the study and analysis of present security standards, the simplification of suitable standards for accommodation in embedded systems, the development of the reached standard-subset, and the implementation of the developed solution in a prototype. The embedded systems targeted in this thesis are the networked embedded systems; which are vulnerable to the same attacks that computers have to face. The computers have abundant resources compared to the embedded systems. Therefore, the weaknesses of embedded systems were studied in detail, in order to be able to devise a solution, which covers most. A close examination of present standards to gather information on previously proposed solutions for computers was carried out. A standard that provides end-to-end solution to network communication was carefully simplified to a size and complexity that can fit into low capacity embedded systems. This work involves the accurate selection of rules, algorithms and implementation methods from a complex suite of standards. A model based on the simplifications was developed, first on computers. The developed model was than ported to low capacity, target embedded systems. The developed models were tested for the expected security that was aimed to be provided to the embedded systems. The developed solution was later implemented on computers first. Then the tested and debugged result was ported onto a prototype embedded system. Having reached the goal of providing security for low capacity embedded systems, the solution was improved to address the security of fixed-configuration embedded systems, where our solution cannot be mounted. This involved the implementation of our model in another prototype embedded system that acts as a protector, when placed in front of the fixed-configuration device. It was observed that implementing a subset of a standard made for computers in embedded systems is feasible. Instead of running embedded systems insecurely; by relying on the peripheral security of the network, it is far better to use our solution in mission critical applications of the embedded systems.