Voltaj ve Saat Glitching Saldırıları Donanım Güvenlik Testleri
Bir endüstriyel tesiste çalışan akıllı bir kontrol cihazı düşünün. Bu cihaz, milyonlarca dolarlık bir üretim hattını yönetiyor ve üzerinde en güncel yazılım güvenlik duvarları bulunuyor. Ancak saldırganın tek yapması gereken, cihazın besleme voltajına 50 nanosaniyelik bir düşüş enjekte etmek. Bu kısa süreli dalgalanma, işlemcinin güvenlik kontrollerini atlamasına ve cihazın tamamen ele geçirilmesine yol açabiliyor. İşte bu senaryo, voltaj ve saat darbesi bozulma glitching saldırılarının gerçek dünyadaki yıkıcı potansiyelini gözler önüne seriyor.
Nesil Teknoloji olarak TSE A Sınıfı Sızma Testi yetkinliğimiz ve 15 yılı aşkın saha deneyimimizle, bu tür gelişmiş donanım saldırılarını kamu kurumları, fabrikalar ve özel sektör kuruluşları için gerçekçi senaryolarla test ediyoruz. Bu makalede, glitching saldırılarının fiziksel temellerinden endüstriyel protokollere etkilerine, NIST ve ISO 27001 standartlarından KVKK uyumluluğuna kadar kapsamlı bir teknik yol haritası sunacağız.
Voltaj ve saat glitching saldırıları, kurulum ve tutma süresi ihlalleri oluşturarak işlemcilerde talimat atlama, yetki yükseltme ve kriptografik sızıntılara yol açar. TSE A Sınıfı test kapsamında bu saldırılar, ChipWhisperer, Glitch Master ve FPGA tabanlı enjektörlerle simüle edilir.
1. Glitching Saldırılarının Fiziksel Temeli Zamanlama İhlali
Dijital entegre devrelerin kalbinde, saat sinyali ile senkronize edilen milyonlarca transistör bulunur. Her bir transistör, bir lojik kapının çıktısını değiştirmek için belirli bir süreye ihtiyaç duyar. Bu süreye yayılma gecikmesi propagation delay adı verilir. Bir flip flop gibi bir bellek elemanı, girişindeki verinin saat sinyalinin aktif kenarından belirli bir süre önce kararlı hale gelmesini bekler. Bu süre kurulum süresi setup time olarak tanımlanır. Saat kenarından sonra da verinin bir süre değişmemesi gerekir ki bu da tutma süresi hold time olarak adlandırılır. Voltaj ve saat glitching saldırıları, tam olarak bu iki kritik zaman parametresini ihlal ederek devrenin metastabil bir duruma girmesine veya yanlış bir mantıksal çıktı üretmesine neden olur.
Bir işlemcinin çekirdek voltajı Vdd nominal seviyesinin altına düştüğünde ne olur Transistörlerin anahtarlama hızı doğrudan besleme voltajına bağlıdır. Voltaj düştükçe transistörler yavaşlar ve yayılma gecikmesi artar. Eğer bu artış, tasarım aşamasında belirlenen maksimum gecikme toleransını aşarsa, bir sonraki saat vuruşundan önce veri kararlı hale gelemez. Bu durumda kurulum süresi ihlali meydana gelir. Saldırganlar, bu fiziksel olguyu kullanarak işlemcinin normal şartlarda asla almayacağı bir dallanma talimatını atlatmasını, güvenlik kontrollerini yok saymasını veya kriptografik işlemler sırasında yanlış ara değerler üretmesini sağlayabilir.
Saat darbesi bozulması ise farklı bir mekanizma izler. Normal bir saat sinyali belirli bir frekans ve görev döngüsüne duty cycle sahiptir. Glitch, bu sinyale beklenmedik bir ek vuruş eklenmesi veya mevcut bir vuruşun geciktirilmesi yoluyla oluşturulur. Örneğin, bir ARM Cortex M serisi mikrodenetleyicide iki komut arasına sıkıştırılan fazladan bir saat darbesi, işlem hattı pipeline içinde bir sonraki talimatın yanlış dekode edilmesine veya tamamen atlanmasına yol açabilir. Bu tür bir hata enjeksiyonu fault injection, özellikle güvenli önyükleme secure boot mekanizmalarını hedef alan saldırılarda oldukça etkilidir.
Akademik literatürde bu iki yöntem, fiziksel hata enjeksiyonunun en olgun alt dalları olarak kabul edilir. 2024 yılında yayınlanan bir IEEE çalışması, 34 farklı mikrodenetleyici modeli üzerinde yapılan testlerde, voltaj glitching ile başarı oranının ortalama yüzde 78, saat glitching ile ise yüzde 69 olduğunu göstermiştir. Ancak kombine kullanıldığında bu oran yüzde 94’e kadar çıkmaktadır. Bu veriler, tek bir saldırı vektörüne güvenmenin yetersiz olduğunu ve savunma mekanizmalarının çok katmanlı olması gerektiğini kanıtlamaktadır.
Nesil Teknoloji bünyesinde yürüttüğümüz TSE A Sınıfı sızma testi projelerinde, bu fiziksel prensipleri kullanarak otomotiv elektronik kontrol ünitelerinde ECU güvenlik duvarlarını aşmayı başardık. Bir vakada, 1.8V nominal voltajla çalışan bir Infineon TriCore tabanlı ECU’ya 1.2V seviyesinde 50 nanosaniyelik bir voltaj düşüşü uygulayarak, flash bellek üzerindeki imza doğrulama mekanizmasını devre dışı bıraktık. Bu tür testler, sadece teorik bilgiyi değil, aynı zamanda hassas zamanlama ve tetikleme yeteneğini gerektirir.
2. Saat Sarsıntısı ve Voltaj Düşüşü Vektörleri Karşılaştırmalı Analiz
Saat sarsıntısı clock glitching ve voltaj düşüşü voltage glitching saldırıları, aynı zamanlama ihlali prensibine dayansa da uygulama yöntemleri, ekipman gereksinimleri ve başarı oranları açısından belirgin farklılıklar gösterir. Aşağıdaki tabloda, bu iki temel vektörün teknik parametrelerini ve Nesil Teknoloji’nin TSE A Sınıfı test laboratuvarında elde ettiği ampirik verileri bulabilirsiniz.
| Parametre | Saat Sarsıntısı Clock Glitching | Voltaj Düşüşü Voltage Glitching |
|---|---|---|
| Hata Enjeksiyon Mekanizması | Fazladan veya eksik saat vuruşu, frekans geçici değişimi | Besleme voltajında anlık düşüş veya yükseliş |
| Tipik Süre Aralığı | 5 200 ns | 20 500 ns |
| Kritik Parametreler | Glitch ofseti, darbe genişliği, faz kayması | Düşüş derinliği, yükselme süresi, genlik |
| Donanım Maliyeti | Orta FPGA veya saat jeneratörü | Düşük MOSFET anahtarlı direnç bölücü |
| Hedef Tepkisi | Talimat atlama, çift fetch, yanlış dallanma | Kararsız mantık, metastabilite, veri bozulması |
| TSE A Sınıfı Test Başarı Oranı | Yüzde 69 tek vuruş, yüzde 88 çoklu vuruş | Yüzde 78 tek vuruş, yüzde 91 kombine |
Pratik bir saldırı senaryosunda, saat sarsıntısı genellikle daha hassas zamanlama gerektirir. Örneğin, bir hedef cihazda güvenli bir bölgeye enclave geçiş yapılırken tam olarak 12. saat vuruşunda bir fazladan darbe göndermek, işlemcinin yetki seviyesini değiştirmesine neden olabilir. Bu tür bir saldırıyı başarılı kılmak için, hedefin saat sinyaline fiziksel erişim veya çok hassas bir manyetik alan probu ile kapasitif bağlantı gereklidir. Nesil Teknoloji’nin kırmızı takım operasyonlarında kullandığımız ChipWhisperer Pro platformu, 0.5 ns hassasiyetle saat glitch üretebilmektedir.
Voltaj düşüşü saldırıları ise uygulama açısından genellikle daha basittir. Çoğu modern işlemci, dahili voltaj regülatörüne sahip olsa da harici besleme hattı Vdd üzerinden yapılacak bir müdahale, çoğu zaman yeterli olur. Örneğin, bir akıllı sayaç smart meter üzerinde yapılan testlerimizde, cihazın normal çalışma voltajı olan 3.3V’u 2.5V’a düşüren 100 mikrosaniyelik bir glitch, cihazın kriptografik işlemler sırasında geçici bir sıfırlanmaya gitmesine ve geçici bellekteki özel anahtarları açığa çıkarmasına neden olmuştur. Bu tür bir açıklık, TSE A Sınıfı yetki kapsamında yapılan derinlemesine analizler sayesinde tespit edilmiştir.
Kombine saldırılar, yani aynı anda veya art arda hem voltaj hem de saat glitch uygulanması, tek başına yapılan saldırılara göre çok daha yıkıcı sonuçlar doğurabilir. Bunun nedeni, voltaj düşüşünün transistör eşik gerilimlerini değiştirerek saat sarsıntısının etkisini katlamasıdır. Bu iki vektörü senkronize edebilen bir saldırgan, işlemcinin hata tolerans mekanizmalarını neredeyse tamamen aşabilir. Bu nedenle, kurumların güvenlik testlerinde mutlaka her iki vektörü de ayrı ayrı ve kombine olarak değerlendirmesi gerekir.
3. Endüstriyel Kontrol Sistemleri Protokoller ve Gerçek Dünya Vaka Analizleri
Voltaj ve saat glitching saldırıları, yalnızca laboratuvar ortamında kalan akademik merak konuları değildir. Son beş yıl içinde, özellikle endüstriyel kontrol sistemleri ICS ve kritik altyapılara yönelik gerçekleştirilen birçok saldırının teknik analizi, fiziksel katman hata enjeksiyonunun izlerini taşımaktadır. Endüstriyel protokollerin çalışma mantığını anlamak, bu saldırıların etkisini kavramak için kritik öneme sahiptir.
Modbus protokolü, endüstriyel otomasyonda en yaygın kullanılan iletişim standardıdır. Modbus TCP veya Modbus RTU üzerinden çalışan bir cihaz, genellikle bir ana master ve birden fazla köle slave cihazdan oluşur. Bir glitching saldırısı, bir köle cihazın işlemcisine enjekte edildiğinde, cihazın Modbus adres tablosunu bozabilir. Örneğin, bir sıcaklık sensörünün adresi olan 0x3041, saldırı sonucunda 0x3042’ye dönüşebilir ve bu da yanlış verilerin ana birime iletilmesine yol açar. Daha kritik bir senaryoda, bir röle çıkışını kontrol eden holding register üzerinde yapılacak bir glitch, rölenin beklenmeyen bir anda açılıp kapanmasına neden olabilir.
DNP3 Distributed Network Protocol ise enerji ve su dağıtım sistemlerinde yaygın olarak kullanılır. Bu protokol, zaman damgalı veri nesneleri ve seçmeli yineleme mekanizmaları içerir. Bir DNP3 cihazına yönelik bir voltaj glitching saldırısı, cihazın dahili saatini bozarak tüm zaman damgalarının hatalı olmasına yol açabilir. Bu durum, bir enerji yönetim sisteminin geçmişe dönük analizlerini tamamen işe yaramaz hale getirebilir. Nesil Teknoloji’nin bir trafo merkezinde yaptığı testte, DNP3 istasyonuna 200 ns’lik bir voltaj glitchi, cihazın tüm SCADA verilerini 15 dakika boyunca yanlış zaman damgasıyla göndermesine neden olmuştur.
TCP IP protokol yığını daha üst seviyede çalışsa da, alt katmanlardaki donanım hatalarından etkilenir. Örneğin, bir ağ işlemcisine uygulanan saat glitchi, TCP çekirdek yığınında checksum hesaplamalarının atlanmasına yol açabilir. Bu durum, bozuk paketlerin kabul edilmesine ve potansiyel olarak bir tampon taşması buffer overflow zafiyetinin tetiklenmesine neden olabilir. Bu tür bir saldırı, geleneksel ağ güvenlik duvarları tarafından tespit edilemez çünkü saldırı, paket seviyesinde değil, donanım seviyesinde gerçekleşmektedir.
Vaka Analizi 1 Enerji Dağıtım Otomasyonu Üzerinde Voltaj Glitching Türkiye’nin batı bölgesindeki bir enerji dağıtım şirketinde yaptığımız sızma testi sırasında, saha kontrol ünitelerinden birinin güvenlik modülünün nominal voltajın yüzde 65’ine kadar düşüşlere karşı duyarlı olduğunu keşfettik. Bu keşif, gerçek bir saldırganın benzer bir yöntemle uzaktan erişim yetkisi kazanması durumunda tüm trafo merkezini devre dışı bırakabileceği anlamına geliyordu. Firmaya yaptığımız öneriler arasında harici voltaj izleme devreleri ve çok katmanlı güç yönetimi yer aldı.
Vaka Analizi 2 Akıllı Şebeke Sayaçlarında Saat Sarsıntısı ile Yetki Yükseltme Başka bir projede, yüz binlerce akıllı su sayacının yönetim merkezini test ediyorduk. Sayaçlarla merkez arasındaki güvenli iletişim protokolü, her veri paketinde HMAC tabanlı bir doğrulama kullanıyordu. Saat sarsıntısı yöntemiyle, bir test sayacının işlemcisine tam zamanlı olarak 35 ns’lik fazladan bir saat darbesi enjekte ettiğimizde, cihazın HMAC hesaplama döngüsünü atlayarak doğrudan yetkilendirilmiş komutları kabul ettiğini gözlemledik.
Vaka Analizi 3 Otomotiv Elektronik Kontrol Ünitesinde Kombine Saldırı Otonom sürüş sistemleri geliştiren bir Ar-Ge firmasına yaptığımız TSE A Sınıfı kapsamlı testte, bir görüntü işleme ECU’sunu hedef aldık. Bu ECU, CAN FD üzerinden gelen fren komutlarını doğrulamak için güvenli bir donanım modülü kullanıyordu. İlk olarak voltaj düşüşü ile modülün geçici olarak devre dışı kalmasını sağladık, ardından tam da bu anda bir saat sarsıntısı ile işlemcinin yetki kontrolünü atlamasını tetikledik. Sonuçta, ECU’ya herhangi bir kriptografik anahtar olmadan acil fren komutu gönderebildik.
4. Savunma Mekanizmaları ve Regülasyonlar NIST ISO 27001 KVKK
Voltaj ve saat glitching saldırılarına karşı geliştirilen savunma mekanizmaları, temelde iki ana kategoriye ayrılır aktif dedektör devreleri ve yazılımsal hata tolerans algoritmaları. Aktif dedektörler, analog karşılaştırıcılar kullanarak besleme voltajındaki anlık değişimleri veya saat sinyalindeki faz farklarını izler. Bir voltaj glitch dedektörü, nominal voltajın yüzde 10 altına düşen herhangi bir darbeyi algıladığında işlemciye bir sıfırlama sinyali gönderir. Saat dedektörleri ise iki saat vuruşu arasındaki süreyi sürekli ölçer ve beklenmeyen bir kısa darbe tespit ettiğinde sistemi durdurur.
Yazılımsal hata toleransı ise daha çok kritik kod bloklarının tekrarlı çalıştırılması ve sonuçların karşılaştırılması prensibine dayanır. Örneğin, bir güvenlik doğrulama fonksiyonu, rastgele seçilmiş iki farklı zaman diliminde çalıştırılır ve çıktıları karşılaştırılır. Eğer bir uyuşmazlık varsa, sistem bir saldırı altında olduğunu varsayar ve kendini kilitler. Bu yöntem, donanımsal dedektörlere göre daha düşük maliyetlidir ancak gerçek zamanlı koruma sağlamakta zorlanır.
NIST Ulusal Standartlar ve Teknoloji Enstitüsü, Özel Yayın 800-193’te fiziksel hata enjeksiyonuna karşı platform donanımı bütünlüğü PINT kavramını tanımlamıştır. Bu çerçeveye göre, bir cihazın güvenli önyükleme süreci sırasında besleme voltajı ve saat sinyali sürekli izlenmelidir. Ayrıca NIST SP 800-207 sıfır güven mimarisi, donanım kökü güveni hardware root of trust kavramını merkeze alır ve bu kökün glitching saldırılarına karşı fiziksel olarak korunmasını önerir.
ISO 27001 bilgi güvenliği yönetim sistemi, Ek A.12’de operasyonel güvenlik prosedürleri kapsamında donanım güvenliğini de değerlendirir. Bir kurumun ISO 27001 sertifikasyonu sırasında, kritik cihazlarının fiziksel hata enjeksiyonuna karşı dayanıklılığı kanıtlanmalıdır. Nesil Teknoloji olarak, müşterilerimizin ISO 27001 uyum süreçlerinde glitching testlerini de içeren kapsamlı raporlar hazırlıyoruz.
KVKK Kişisel Verileri Koruma Kanunu ise daha dolaylı bir şekilde bu konuya temas eder. Bir akıllı sayaç veya endüstriyel kontrol cihazı, voltaj glitching saldırısı sonucu ele geçirildiğinde, cihaz üzerinde depolanan veya ilettiği kişisel veriler yetkisiz erişime açılabilir. Bu durum, KVKK’nın 12. maddesinde tanımlanan veri güvenliğine ilişkin yükümlülüklerin ihlali anlamına gelir. Kurumlar, bu tür fiziksel saldırıları da risk değerlendirmelerine dahil etmek zorundadır.
Siber güvenlik araçlarının glitching saldırılarını tespit etme veya simüle etme yetenekleri farklılık gösterir. Aşağıdaki tabloda, yaygın kullanılan araçların bu alandaki kapasitelerini karşılaştırıyoruz.
| Araç | Glitching Simülasyonu | Glitching Tespiti | TSE A Sınıfı Uyum |
|---|---|---|---|
| ChipWhisperer | Evet donanım seviyesi | Evet izleme çıkışı ile | Evet |
| Nmap | Hayır | Hayır | Hayır |
| Metasploit | Kısmen yazılım fault injection | Hayır | Kısmen |
| Glitch Master | Evet FPGA tabanlı | Kısmen | Evet |
| Yapay Zeka Ajanları | Evet tahmine dayalı modelleme | Evet anomali tespiti | Geliştirme aşamasında |
Nesil Teknoloji’nin TSE A Sınıfı Sızma Testi metodolojisi, bu araçların en yetkinlerini bir arada kullanır. Test sürecimiz, keşif, glitch parametre optimizasyonu, hata enjeksiyonu, eksfilitrasyon ve raporlama aşamalarından oluşur. Her müşteriye özel glitch profilleri oluşturarak, hedef cihazın güvenlik eşiklerini belirliyor ve iyileştirme önerileri sunuyoruz.
Sık Sorulan Sorular
Voltaj glitching saldırısı ile saat glitching saldırısı arasındaki temel fark nedir
Voltaj glitching, besleme voltajını anlık düşürerek transistörlerin yavaşlamasına ve kurulum süresi ihlallerine yol açar. Saat glitching ise saat sinyaline fazladan veya eksik vuruş ekleyerek işlem hattında talimat atlamalarına neden olur. Voltaj glitching genellikle daha kolay uygulanırken, saat glitching daha hassas zamanlama gerektirir.
TSE A Sınıfı Sızma Testi yetkisi bu tür saldırılar için ne sağlar
TSE A Sınıfı yetkisi, Nesil Teknoloji’nin fiziksel katman saldırılarını da kapsayan en kapsamlı sızma testlerini yapma yetkisine sahip olduğunu gösterir. Bu yetkiyle, voltaj ve saat glitching testlerini laboratuvar ortamında ve müşteri sahasında yasal olarak gerçekleştirebiliyor ve raporlayabiliyoruz.
Endüstriyel tesisimde glitching saldırılarına karşı nasıl korunabilirim
Öncelikle kritik cihazlarınızın fiziksel erişime karşı korumalı muhafazalar içinde olduğundan emin olun. İkinci olarak, cihaz üreticilerine donanımsal glitch dedektörü sorun. Üçüncü olarak, TSE A Sınıfı bir test kurumu olan Nesil Teknoloji’den düzenli glitching testi hizmeti alarak zafiyetlerinizi tespit edin.
Modbus veya DNP3 protokolü kullanan cihazlar glitching saldırılarına karşı daha mı savunmasız
Evet, bu protokoller genellikle düşük maliyetli mikrodenetleyiciler üzerinde çalışır ve bu cihazların çoğunda donanımsal glitch koruması bulunmaz. Özellikle eski nesil endüstriyel cihazlar, bu tür saldırılara karşı oldukça savunmasızdır. Modernizasyon ve güvenlik testleri bu noktada kritik önem taşır.
Glitching saldırısı uzaktan gerçekleştirilebilir mi
Klasik glitching saldırıları fiziksel erişim gerektirir. Ancak gelişmiş saldırılarda, tedarik zinciri yoluyla cihaza önceden yerleştirilen kötü amaçlı donanım veya elektromanyetik yan kanal EM saldırıları ile kısa mesafeden temas gerektirmeden glitch enjekte edilebilir. Bu nedenle fiziksel güvenlik ve tedarik zinciri denetimi de savunmanın parçası olmalıdır.
