NSA’in dünyanın pek çok ülkesinde cep
telefonlarını dinlemek için yürüttüğü “Auroragold Harekatının” gün ışığına
çıkmasının şokunu daha yeni atlatırken, Almanya’da bilgi güvenliği alanında
faaliyet gösteren bir araştırmacı, dünya genelinde isteyenin telefonları
dinleyip SMSleri okumasına imkan sağlayabilen bir zafiyet açıkladı.
Auroragold Harekatı (Operation Auroragold)
NSA’yin Libya’ya askeri müdahalenin yapıldığı
2011 yılında harekat öncesi askeri unsurlara gerekli istihbaratı sağlamak için
Libya’nın GSM şebekelerini hacklediği ortaya çıktı. Libya’da yürütülen bu
operasyon aslında NSA’yin dünya genelinde GSM şebekelerine erişim sağlayan daha
geniş bir harekatın parçası olduğu Edward Snowden tarafından yayınlanan
belgelerde görülmektedir.
GSM operatörleri tarafından görüşmelerin
gizliliğini sağlamak için kullanılan şifreleme yöntemlerinin de bu operasyon
kapsamında NSA tarafından “sabote” edilerek zayıflatıldığı dikkat çekiyor.
Yayınlanan belgelerde NSA’yin dünya genelindeki GSM şebekelerinin %70’i (tahmini
985 şebekeden 701 tanesi) hakkında detaylı teknik bilgi topladığı
görülmektedir. Toplanan bilgiler daha sonra NSA’yin “sinyal geliştirme” olarak
adlandırılan birimine aktarılıp şebeke dinlemeleri için gerekli “çalışmaların”
yapılması sağlanmıştır.
Bir NSA sözcüsü bu konuda; “ulusal çıkarları
korumak amacıyla ve uluslararası istihbarat gereksinimleri çerçevesinde sinyal
işleme operasyonlarının yapıldığı” yönünde bir açıklama yaparak sürecin
varlığını teyit etmiştir.
NSA’yin GSM şebekelerinde yaygın olarak
kullanılan şifreleme protokolü A5/1’i kırmayı başardığı, yeni ve daha gelişmiş
bir şifreleme yöntemi olan A5/3’ü kırmak yerine “Auroragold” operasyonu
kapsamında kendi açısından tamamen şefaf hale getirecek yöntemler üzerinde
yoğunlaşmıştır.
Yayınlanan gizli belgelerin içinde aşağıdaki
dikkat çekicidir;
Görüldüğü üzere Eylül 2009’da NSA A5/3
şifreleme yöntemine saldıracak bir donanımı test etmiştir.
2010 yılına ait aşağıdaki belgede ise NSA
mühendislerinin ve analistlerinin 4G şebekesi üzerindeki iletişimi ele
geçirebildikleri duyurulmaktadır. (meraklısına: bu belgenin gizliliğinin kaldırılması için belirlenmiş tarih 2032'dir)
NSA tarafından önemli kaynaklar kullanılarak
yürütülen bu operasyonlara gerek duymadan da bir saldırganın telefon
görüşmelerini dinleyip SMS’leri okuyabilmesi mümkün olabilir.
Gelişmiş GSM şebekeleri de dahil olmak üzere
pek çok Telekom altyapısında bulunan SS7 (Signal System 7) sistemi görüşmeleri
ve SMSleri yönlendirmek için kullanılmaktadır. 1980’li yıllarda geliştiren SS7
sistemlerinin güvenlik açısından ciddi zafiyetler içerdiği Ağustos ayında
Washington Post gazetesinde yayınlanan bir makalede zaten ortaya çıkmıştı.
Yazıda SS7 sistemindeki bir zafiyeti istismar eden saldırganların dünyanın
herhangi bir yerindeki cep telefonlarının yerini tespit edebildikleri
açıklanmıştı.
3G ve 4G şebekelerinin güçlü şifreleme
yöntemlerine rağmen şebekelerin altyapısında kullanılan SS7 sistemleri
saldırganlara önemli fırsatlar sunmaktadır.
Söz konusu zafiyetin detayları henüz
açıklamayan araştırmacılar bu konuda Ocak ayında Almanya’da yapılacak bir
konferansta konuşacaklarını belirtiyorlar.
Amerika Sivil Özgürlükleri Birliği (American
Civil Liberties Union – ACLU) tarafından bu kunda yapılan bir açıklamada; NSA
bünyesinde 4G ve A5/3 gibi gelişmiş teknolojileri araştıran birimlerin olduğu
gibi SS7 benzeri daha temel, görece eski ve basit teknolojileri istismar etmek
için yöntemler araştıran birimler olabileceğine dikkat çekiliyor.
Ne yapmalı?
Görüldüğü gibi kiminle
ne konuştuğumuzu merak edenler sadece istihbarat örgütleriyle sınırlı değil.
GSM şebekesinin gittikçe IP tabanlı hale gelerek telefon dünyasından ziyade
internet dünyasına kayması hackerların da iştahını kabartmıştır. Yeri
gelmişken, bunu kendimizi kandırmayı bırakmak için de bir fırsat olarak görüp
elimizdeki cihazların “akıllı telefon” değil, “cep bilgisayarı” olduğunu kabul
etmemiz de yerinde olacaktır. Cihazlar bilgisayardır ve bilgisayarlar için
geçerli olan bazı güvenlik tedbirleri alınmalıdır. Cihaz güvenliği konusunda
bazı ipuçlarını http://www.alperbasaran.com/2014/09/akll-telefon-guvenligi.html
adresinden ulaşabileceğiniz yazımda derlemiştim.
Bu yazının genel fikrine
daha uygun olarak, kullanıcı ve veri gizliliği için aşağıdaki önerilerde
bulunabilirim;
- Konum bilgisini kullanmanız gerekmiyorsa kapatın.
- Yüklediğiniz uygulamaların talep ettiği izinleri düşünün. Basit bir oyunun ve el feneri uygulamasının çağrı yönetimine, mesajlara veya rehbere ulaşması gerekli mi?
- Eposta ile gelenlere dikkat edin: Dediğim gibi, elinizdeki bir bilgisayar ve eposta yoluyla virüs geliyor
- Şifreleme yazılımı kullanın: Telefondaki bilgileri şifreleyen yazılımları kullanabilirsiniz.
- İletişimi şifreleyin: Dikkatli olun, bu tehlikeli olabilir. Görüşmelerinizi ek bir şifreleme katmanından geçirmeniz gerekiyorsa unun için kullanacağınız uygulamanın güvenilir olması çok önemlidir.
- Eski usullere dönün: Öyle ya, bir arkadaşınızla özel bir konu konuşacaksanız bunu yüz yüze yapın. Bahaneyle görüşüp bir de kahve içersiniz.
No comments:
Post a Comment