GSM Şebekesi Dinlemek

NSA’in dünyanın pek çok ülkesinde cep telefonlarını dinlemek için yürüttüğü “Auroragold Harekatının” gün ışığına çıkmasının şokunu daha yeni atlatırken, Almanya’da bilgi güvenliği alanında faaliyet gösteren bir araştırmacı, dünya genelinde isteyenin telefonları dinleyip SMSleri okumasına imkan sağlayabilen bir zafiyet açıkladı.

Auroragold Harekatı (Operation Auroragold)

NSA’yin Libya’ya askeri müdahalenin yapıldığı 2011 yılında harekat öncesi askeri unsurlara gerekli istihbaratı sağlamak için Libya’nın GSM şebekelerini hacklediği ortaya çıktı. Libya’da yürütülen bu operasyon aslında NSA’yin dünya genelinde GSM şebekelerine erişim sağlayan daha geniş bir harekatın parçası olduğu Edward Snowden tarafından yayınlanan belgelerde görülmektedir.

GSM operatörleri tarafından görüşmelerin gizliliğini sağlamak için kullanılan şifreleme yöntemlerinin de bu operasyon kapsamında NSA tarafından “sabote” edilerek zayıflatıldığı dikkat çekiyor. Yayınlanan belgelerde NSA’yin dünya genelindeki GSM şebekelerinin %70’i (tahmini 985 şebekeden 701 tanesi) hakkında detaylı teknik bilgi topladığı görülmektedir. Toplanan bilgiler daha sonra NSA’yin “sinyal geliştirme” olarak adlandırılan birimine aktarılıp şebeke dinlemeleri için gerekli “çalışmaların” yapılması sağlanmıştır.

Bir NSA sözcüsü bu konuda; “ulusal çıkarları korumak amacıyla ve uluslararası istihbarat gereksinimleri çerçevesinde sinyal işleme operasyonlarının yapıldığı” yönünde bir açıklama yaparak sürecin varlığını teyit etmiştir.

NSA’yin GSM şebekelerinde yaygın olarak kullanılan şifreleme protokolü A5/1’i kırmayı başardığı, yeni ve daha gelişmiş bir şifreleme yöntemi olan A5/3’ü kırmak yerine “Auroragold” operasyonu kapsamında kendi açısından tamamen şefaf hale getirecek yöntemler üzerinde yoğunlaşmıştır.

Yayınlanan gizli belgelerin içinde aşağıdaki dikkat çekicidir;

Görüldüğü üzere Eylül 2009’da NSA A5/3 şifreleme yöntemine saldıracak bir donanımı test etmiştir.

2010 yılına ait aşağıdaki belgede ise NSA mühendislerinin ve analistlerinin 4G şebekesi üzerindeki iletişimi ele geçirebildikleri duyurulmaktadır. (meraklısına: bu belgenin gizliliğinin kaldırılması için belirlenmiş tarih 2032'dir)

 SS7 zafiyeti

NSA tarafından önemli kaynaklar kullanılarak yürütülen bu operasyonlara gerek duymadan da bir saldırganın telefon görüşmelerini dinleyip SMS’leri okuyabilmesi mümkün olabilir.

Gelişmiş GSM şebekeleri de dahil olmak üzere pek çok Telekom altyapısında bulunan SS7 (Signal System 7) sistemi görüşmeleri ve SMSleri yönlendirmek için kullanılmaktadır. 1980’li yıllarda geliştiren SS7 sistemlerinin güvenlik açısından ciddi zafiyetler içerdiği Ağustos ayında Washington Post gazetesinde yayınlanan bir makalede zaten ortaya çıkmıştı. Yazıda SS7 sistemindeki bir zafiyeti istismar eden saldırganların dünyanın herhangi bir yerindeki cep telefonlarının yerini tespit edebildikleri açıklanmıştı.

3G ve 4G şebekelerinin güçlü şifreleme yöntemlerine rağmen şebekelerin altyapısında kullanılan SS7 sistemleri saldırganlara önemli fırsatlar sunmaktadır.

Söz konusu zafiyetin detayları henüz açıklamayan araştırmacılar bu konuda Ocak ayında Almanya’da yapılacak bir konferansta konuşacaklarını belirtiyorlar.

Amerika Sivil Özgürlükleri Birliği (American Civil Liberties Union – ACLU) tarafından bu kunda yapılan bir açıklamada; NSA bünyesinde 4G ve A5/3 gibi gelişmiş teknolojileri araştıran birimlerin olduğu gibi SS7 benzeri daha temel, görece eski ve basit teknolojileri istismar etmek için yöntemler araştıran birimler olabileceğine dikkat çekiliyor.

Ne yapmalı?

Görüldüğü gibi kiminle ne konuştuğumuzu merak edenler sadece istihbarat örgütleriyle sınırlı değil. GSM şebekesinin gittikçe IP tabanlı hale gelerek telefon dünyasından ziyade internet dünyasına kayması hackerların da iştahını kabartmıştır. Yeri gelmişken, bunu kendimizi kandırmayı bırakmak için de bir fırsat olarak görüp elimizdeki cihazların “akıllı telefon” değil, “cep bilgisayarı” olduğunu kabul etmemiz de yerinde olacaktır. Cihazlar bilgisayardır ve bilgisayarlar için geçerli olan bazı güvenlik tedbirleri alınmalıdır. Cihaz güvenliği konusunda bazı ipuçlarını http://www.alperbasaran.com/2014/09/akll-telefon-guvenligi.html adresinden ulaşabileceğiniz yazımda derlemiştim.

Bu yazının genel fikrine daha uygun olarak, kullanıcı ve veri gizliliği için aşağıdaki önerilerde bulunabilirim;

• Konum bilgisini kullanmanız gerekmiyorsa kapatın.
• Yüklediğiniz uygulamaların talep ettiği izinleri düşünün. Basit bir oyunun ve el feneri uygulamasının çağrı yönetimine, mesajlara veya rehbere ulaşması gerekli mi?
• Eposta ile gelenlere dikkat edin: Dediğim gibi, elinizdeki bir bilgisayar ve eposta yoluyla virüs geliyor
• Şifreleme yazılımı kullanın: Telefondaki bilgileri şifreleyen yazılımları kullanabilirsiniz.
• İletişimi şifreleyin: Dikkatli olun, bu tehlikeli olabilir. Görüşmelerinizi ek bir şifreleme katmanından geçirmeniz gerekiyorsa unun için kullanacağınız uygulamanın güvenilir olması çok önemlidir.
• Eski usullere dönün: Öyle ya, bir arkadaşınızla özel bir konu konuşacaksanız bunu yüz yüze yapın. Bahaneyle görüşüp bir de kahve içersiniz.

Akıllı Telefon Güvenliği

Bu “işlere” ilk başladığım zamanlarda ele geçirdiğim bir bilgisayarla ilgili en büyük endişelerimden birisi kullanıcının bilgisayarı kapatıp yatmaya gitmesiydi. Akıllı telefonlar hayatımıza bu kadar girdiğinden beri ise bu endişem ortadan kalktı. Akıllı telefonların da kapsama dahil olduğu sızma testlerinde ise dertlerim daha çok hedefin telefonu şarja takmayı unutmaması veya kullanıcıyı "uygunsuz" bir durumda yakalamakla ilgili. 

Resim 1: Hacklenmiş akıllı telefon (temsili)

Aslında birer bilgisayar olan ve nedense “Akıllı Telefon” diye aşağıladığımız bu cihazlar saldırganların ufkunu genişleten, daha önce hayal bile edemediğimiz şekilde hedefe yaklaşmamızı sağlayan birer saldırı vektörüdür. Bilgisayarınızı taşımadığınız/götürmediğiniz ama telefonunuzun yanınızda olduğu durumları düşünün. Şimdi de günün her anında sizi izleyen veya dinleyen, her konuşmanıza şahit olan, her SMS ve Whatsapp mesajınızı okuyan ve çektiğiniz her fotoğrafı gören biri olduğunu düşünün. Ürkütücü değil mi? Her gün binlerce akıllı telefonun saldırganlar tarafından ele geçirildiğini gösteren araştırma sonuçlarını da göz önünde bulundurursak, bu cihazların güvenliğine ne kadar önem vermemiz gerektiğini anlarız.

Akıllı telefonlarımızın güvenliği sağlamak alabileceğimiz bazı basit tedbirleri hatırlamakta fayda var.

PIN kodu ve ekran güvenlik kodu

Telefonunuzun ana ekranındaki kullanıcı kodu ilk savunma hattınızı oluşturur. Birilerinin telefonunuzdaki verilere, arama kayıtlarınıza veya fotoğraflarınıza izinsiz erişebilmesini engellemek için mutlaka kilit kullanın. Kilidi, telefon belirli bir süre kullanılmadığında, otomatik olarak devreye girecek şekilde ayarlayın.

Telefonunuzun güvenlik ayarlarını bozmayın

Fabrika ayarlarını değiştirmek önemli güvenlik kontrollerinin devreden çıkmasına neden olur. Android cihazınızı rootlamak ve iPhone üzerinde yapılan jailbreak işlemi cihazın üreticisi tarafından yerleştirilen çok önemli güvenlik özelliklerinin devreden çıkmasına ve kullanılamamasına neden olur.

Yedekleyin

Rehber, belge ve fotoğraflar gibi cihazınızın üzerinde bulunan verileri yedekleyin. Yedekleme işlemi için bilgisayarınızı, üreticinin sağladığı yedekleme özelliğini, GSM operatörlerinin sağladığı yedekleme hizmetleri, uluslararası yedekleme hizmetleri veya basit bir hafıza kartı bile kullanılabilir. Böylece telefonunuz çalınır, kaybolur veya bir nedenle bilgilerinize erişemez olursanız kayıp yaşamazsınız.

Sadece güvendiğiniz uygulamaları yükleyin

Her hangi bir uygulamayı indirmeden önce mutlaka araştırın. Uygulamaları sadece güvendiğiniz kaynaklardan indirmek, yayıncının adına dikkat etmek ve uygulamayı arama motorlarında sorgulamakta fayda var. Örneğin bir dönem çok popüler olan “Flappy Bird” oyunu Google Playstore’dan kaldırıldıktan sonra forumlarda ve internet sitelerinde yayınlanan sürümlerinin neredeyse tamamı kullanıcı bilgilerini çalmaya yönelik zararlı yazılım barındırıyordu.

Uygulamaların izinlerine dikkat edin

İndirdiğiniz uygulamanın amacına ve istediği izinlere dikkat edin. Telefonunuzdan özel servis numaralarına (bkz. 900’lü hatlar ve uluslararası özel servis numaraları) yapılacak aramalar size para kaybettirir. Bunun dışında kötü niyetli kişiler tarafından yayınlanan uygulamaların kişisel bilgileri çalmaya yönelik özellikler barındırdığını da unutmamak gerekir.

Güvenlik uygulamalarını yükleyin

Hırsızlığa karşı tedbirinizi alın ve telefonunuzun yerini belirten ve verilerinizi uzaktan silmenize imkan veren bir güvenlik uygulamasını mutlaka yükleyin. Buna ek olarak bir antivirüs uygulamasının da mutlaka yüklü olması gerekir.

İşletim sistemini güncelleyin

Ne kadar söylesem az, akıllı telefon aslında bir bilgisayar. Tıpkı bilgisayarınızda olduğu gibi güvenliğiniz için işletim sistemini güncellemeniz ve üretici tarafından yayınlanan yamaları yüklemeniz gerekiyor.

Kablosuz ağlarda dikkatli davranın

Kablosuz ağlara herkesin bağlanabileceğini unutmayın. Özellikle kalabalık veya popüler mekanların kablosuz ağlarının saldırganlar için çok iştah açıcı hedefler olduğunu belirtmekte fayda var. Kablosuz ağlar üzerinden hassas bilgilerinize veya kişisel bilgilerinizin bulunduğu, alışveriş siteleri, sosyal medya siteleri, iş yerinde kullandığınız uygulamaları ve e-postalarınız gibi yerlere erişirken çok dikkatli olun. Mümkünse bunlara GSM şebekesi üzerinden erişim sağlayın ve halka açık kablosuz ağlardaki kullanımınızı en az seviyede tutun.

Diğer önemli noktalar

Kullanıcı adı ve şifre kullanarak girdiğiniz sitelerden mutlaka “çıkış” linkini kullanarak çıkın

SMS, Whatsapp mesajı veya eposta ile gelen internet bağlantılarına dikkat edin

Kullanmadığınız zaman Bluetooth bağlantınızı kapatın

Satmadan önce mutlaka bilgilerinizi silin (silindiğinden emin olun)

Telefonunuz çalınırsa mutlaka Polis’e haber verin