Akıllı Telefon Güvenliği

Bu “işlere” ilk başladığım zamanlarda ele geçirdiğim bir bilgisayarla ilgili en büyük endişelerimden birisi kullanıcının bilgisayarı kapatıp yatmaya gitmesiydi. Akıllı telefonlar hayatımıza bu kadar girdiğinden beri ise bu endişem ortadan kalktı. Akıllı telefonların da kapsama dahil olduğu sızma testlerinde ise dertlerim daha çok hedefin telefonu şarja takmayı unutmaması veya kullanıcıyı "uygunsuz" bir durumda yakalamakla ilgili. 

Resim 1: Hacklenmiş akıllı telefon (temsili)

Aslında birer bilgisayar olan ve nedense “Akıllı Telefon” diye aşağıladığımız bu cihazlar saldırganların ufkunu genişleten, daha önce hayal bile edemediğimiz şekilde hedefe yaklaşmamızı sağlayan birer saldırı vektörüdür. Bilgisayarınızı taşımadığınız/götürmediğiniz ama telefonunuzun yanınızda olduğu durumları düşünün. Şimdi de günün her anında sizi izleyen veya dinleyen, her konuşmanıza şahit olan, her SMS ve Whatsapp mesajınızı okuyan ve çektiğiniz her fotoğrafı gören biri olduğunu düşünün. Ürkütücü değil mi? Her gün binlerce akıllı telefonun saldırganlar tarafından ele geçirildiğini gösteren araştırma sonuçlarını da göz önünde bulundurursak, bu cihazların güvenliğine ne kadar önem vermemiz gerektiğini anlarız.

Akıllı telefonlarımızın güvenliği sağlamak alabileceğimiz bazı basit tedbirleri hatırlamakta fayda var.

PIN kodu ve ekran güvenlik kodu

Telefonunuzun ana ekranındaki kullanıcı kodu ilk savunma hattınızı oluşturur. Birilerinin telefonunuzdaki verilere, arama kayıtlarınıza veya fotoğraflarınıza izinsiz erişebilmesini engellemek için mutlaka kilit kullanın. Kilidi, telefon belirli bir süre kullanılmadığında, otomatik olarak devreye girecek şekilde ayarlayın.

Telefonunuzun güvenlik ayarlarını bozmayın

Fabrika ayarlarını değiştirmek önemli güvenlik kontrollerinin devreden çıkmasına neden olur. Android cihazınızı rootlamak ve iPhone üzerinde yapılan jailbreak işlemi cihazın üreticisi tarafından yerleştirilen çok önemli güvenlik özelliklerinin devreden çıkmasına ve kullanılamamasına neden olur.

Yedekleyin

Rehber, belge ve fotoğraflar gibi cihazınızın üzerinde bulunan verileri yedekleyin. Yedekleme işlemi için bilgisayarınızı, üreticinin sağladığı yedekleme özelliğini, GSM operatörlerinin sağladığı yedekleme hizmetleri, uluslararası yedekleme hizmetleri veya basit bir hafıza kartı bile kullanılabilir. Böylece telefonunuz çalınır, kaybolur veya bir nedenle bilgilerinize erişemez olursanız kayıp yaşamazsınız.

Sadece güvendiğiniz uygulamaları yükleyin

Her hangi bir uygulamayı indirmeden önce mutlaka araştırın. Uygulamaları sadece güvendiğiniz kaynaklardan indirmek, yayıncının adına dikkat etmek ve uygulamayı arama motorlarında sorgulamakta fayda var. Örneğin bir dönem çok popüler olan “Flappy Bird” oyunu Google Playstore’dan kaldırıldıktan sonra forumlarda ve internet sitelerinde yayınlanan sürümlerinin neredeyse tamamı kullanıcı bilgilerini çalmaya yönelik zararlı yazılım barındırıyordu.

Uygulamaların izinlerine dikkat edin

İndirdiğiniz uygulamanın amacına ve istediği izinlere dikkat edin. Telefonunuzdan özel servis numaralarına (bkz. 900’lü hatlar ve uluslararası özel servis numaraları) yapılacak aramalar size para kaybettirir. Bunun dışında kötü niyetli kişiler tarafından yayınlanan uygulamaların kişisel bilgileri çalmaya yönelik özellikler barındırdığını da unutmamak gerekir.

Güvenlik uygulamalarını yükleyin

Hırsızlığa karşı tedbirinizi alın ve telefonunuzun yerini belirten ve verilerinizi uzaktan silmenize imkan veren bir güvenlik uygulamasını mutlaka yükleyin. Buna ek olarak bir antivirüs uygulamasının da mutlaka yüklü olması gerekir.

İşletim sistemini güncelleyin

Ne kadar söylesem az, akıllı telefon aslında bir bilgisayar. Tıpkı bilgisayarınızda olduğu gibi güvenliğiniz için işletim sistemini güncellemeniz ve üretici tarafından yayınlanan yamaları yüklemeniz gerekiyor.

Kablosuz ağlarda dikkatli davranın

Kablosuz ağlara herkesin bağlanabileceğini unutmayın. Özellikle kalabalık veya popüler mekanların kablosuz ağlarının saldırganlar için çok iştah açıcı hedefler olduğunu belirtmekte fayda var. Kablosuz ağlar üzerinden hassas bilgilerinize veya kişisel bilgilerinizin bulunduğu, alışveriş siteleri, sosyal medya siteleri, iş yerinde kullandığınız uygulamaları ve e-postalarınız gibi yerlere erişirken çok dikkatli olun. Mümkünse bunlara GSM şebekesi üzerinden erişim sağlayın ve halka açık kablosuz ağlardaki kullanımınızı en az seviyede tutun.

Diğer önemli noktalar

Kullanıcı adı ve şifre kullanarak girdiğiniz sitelerden mutlaka “çıkış” linkini kullanarak çıkın

SMS, Whatsapp mesajı veya eposta ile gelen internet bağlantılarına dikkat edin

Kullanmadığınız zaman Bluetooth bağlantınızı kapatın

Satmadan önce mutlaka bilgilerinizi silin (silindiğinden emin olun)

Telefonunuz çalınırsa mutlaka Polis’e haber verin

Ayın fıkrası: Santralimiz Hacklenmez

İşim gereği son zamanlarda santral projeleri ve santral üreticiyle yakın çalışma fırsatım oldu. Bütün bu görüşmelerde santral üreticisinin “sistemimiz hacklenmeye karşı korumalıdır” sözü ile Kurum Bilgi İşlem yetkilisinin “biz bu işleri çok iyi bildiğimizden gerekli önlemleri zaten alıyoruz, bizi hackleyemezler” iddiaları arasında gülmemek için kendimi zor tutuyorum. Eğlenceli oluyor olmasına ama bir yandan da Ülkemin güvenlik konusunda daha ne kadar yol alması gerektiğini görmek beni üzüyor.  

Benim gibiler için telefon sistemlerine yönelik yapılan saldırıların bir de tarihi anlamı var. Bir çoğumuza ilham kaynağı olan Captain Crunch ve Kevin Mitnick gibi isimlerin ilk "ilgi alanlarının" telefon sistemleri olduğunu hatırlatmaya gerek bile yok. Steve Jobs ve Steve Wozniack'ın Apple'dan önce ücretsiz telefon görüşmeleri yapmayı sağlayan "Bluebox" kutuları üretip sattıklarını bilmek ise, benim için olaya neredeyse nostaljik bir boyut katıyor.

Resim 1: Bluebox (Kaynak: http://en.wikipedia.org/wiki/Blue_box)

İnternet üzerinden yapılan görüşmelerin güvenliği konusu çok dallı budaklı ve uzmanlık isteyen bir konu olduğu için bu yazıda ancak yüzeyin ufak bir kısmını kazıdığımı belirtmem lazım. VoIP güvenliği konusunda yol almak isteyenlerin yakın durması gereken bir isim, Dünya’da da bu konuda otorite olarak kabul gören Fatih Özavcı’ya (Twitter: fozavci) saygılarımı da ileterek konuya gireyim.

Herhangi bir kurumun VoIP altyapısına karşı yapılan saldırılara bakınca, çoğunda karşımıza aşağıdaki saldırı türleri çıkmaktadır.

Hizmet dışı bırakma saldırıları

İzinsiz dinleme

İzinsiz çağrı açma

Giden çağrıları yönlendirme

Uluslararası görüşme trafiğinin kurum santrali üzerinden geçirilmesi

Son kalemde sadece geçtiğimiz ay ve Ankara’da duyduğum örnekler 200.000 TL’den fazla bir maddi zarara yol açmıştır. Bu saldırı türünde görüşmeler fiilen santral üzerinden geçtiği için operatörün ilgili birimleri tarafından zamanında fark edilip “fraud” (dolandırıcılık) olarak belirlenmezse kurum bu ücreti ödemek zorunda kalacaktır.

Internet’teki diğer uygulamalara ve sunuculara karşı yapılan hizmet dışı bırakma saldırılarında olduğu gibi, yapması kolay, önlemesi zor saldırılardır. 2009 yılında Amerika Birleşik Devletleri’ndeki bir operatöre karşı yapılan saldırı şu meale gelecek sözlerle özetlenmiştir: “normal şartlarda 32 milyon çağrı aldığımız bir anda 69 milyon çağrı geldi, ne yapacağımızı bilemedik”.

Son zamanlarda daha sık görmeye başladığımız “mega DDoS” saldırılarının VoIP sistemlerinin aksamasına yol açtığını biliyoruz. Bazı olaylar basına yansısa bile genel kanı VoIP sistemlerine yöneltilen ve başarılı olan saldırıların sayısının tespit edilmesinin zor olduğu yönündedir. “Mega DDoS” saldırıları DNS ve benzeri, verdiği cevap aldığı paketin boyutundan büyük olan servislerin DDoS saldırısının boyutunu arttırmak için kullanıldığı saldırılardır. Bunu böyle kullananlar var mı bilmiyorum ama ileride Discovery Channel’da bir belgesel yapılsa ismi bu olurdu gibi geldi.

Hizmet dışı bırakma saldırılarını gerçekleştirmenin en kolay yolu hedef sisteme çok sayıda SIP INVITE paketi göndermektir. Bu arada 2009 yılında hedef sistemin tek bir paket (Invite of Death – Ölüm Paketi) gönderilerek de hizmet dışı bırakılabileceği de keşfedilmiştir. Eldeki bilgiler “Ölüm Daveti” (çok uygun bir isimmiş) zafiyetinin çok sınırlı sayıda sistemde görüldüğü yönündedir. “Mega DDoS” denilince aklımıza hemen çağrı merkezlerine veya operatörün omurgasına yönelik yapılan büyük saldırılar gelse de kurumları hedef alan saldırılar daha yaygın olarak görülmektedir. Hem az kaynak gerektirdiği için hem de kurumların çoğunda gerekli güvenlik önlemlerinin alınmamış olması saldırganların iştahını daha da kabartmaktadır.

VoIP altyapısına karşı yapılan saldırılar arasında şüphesiz en “artistik” olanı yapılan görüşmeleri dinlemektir. 2012 yılında ortaya çıkan bir zafiyetin telefon görüşmelerini değil, telefonun bulunduğu odada ortam dinlemesi yapmaya imkan vermesi başlı başına bir olay olmuştu zaten (ayrıntılar: http://events.ccc.de/congress/2012/Fahrplan/events/5400.en.html). Yapılan görüşmelerin dinlenmesi kullanılan şifreleme algoritmasının kırılması ile mümkün olmaktadır. Bunun yanında, KTH Kraliyet Teknoloji Enstitüsü araştırmacısı Vasily Prokopov yaptığı bir çalışmada şifreleme algoritmasını kırmakla uğraşmadan konuşmaların dinlenebildiğini göstermiştir. Hecelerin şifrelenmiş hallerini konuşmadaki seslerle karşılaştıran çalışma %50 ile %90 başarı oranıyla konuşmaların içeriğinin çözülebildiğini göstermiştir (ayrıntılar: http://www.kaspersky.com/images/Vasily%20Prokopov.pdf ).

“Herşey iyi güzel de, bunlar gerçek hayatta ne işimize yarayacak?” dediğinizi duyar gibiyim. Ya da demo yapmak için bahane uydurmak için bu girişi yaptım. Müşterilerimin bir kısmında da yaygın olarak kullanılan Asterisk santral ile basit bir yapı kuruyorum.

Bunun için, kolay kurulum için hazırlanmış AsteriskNOW yazılımı üzerine hazırlanmış ve güvenlik testleri konusunda pratik yapmak için yayınlanmış VulnVoIP sanal makinesini kullanıyorum. VulnVoIP’i bıradan indirabilirsiniz: http://www.rebootuser.com/?page_id=1739

Yazının kalanında Kali Linux üzerinde kurulu gelen bazı araçları kullanacağım ama bu konuda pratik yapacakların Fatih Özavcı’nın Viproy’unu mutlaka indirip kullanmaları gerekmektedir. http://www.viproy.com/

Kurduğum yapı kısaca şöyle:

Resim 2: Buna mı laboratuar diyorum?

Resim 3: VulnVoIP login ekranı

Resim 4: Kali Linux IP ayarları

Göreceğiniz gibi saldırgan olduğum için Asterisk santralin IP adresini henüz bilmiyorum. Asterisk santrali bulmak için kullanabileceğim çeşitli yöntemler arasında ShodanHQ, Google ve port taraması verilebilir. Uluslararası telefon trafiğimi bedava taşıyacak ve yüklü faturayı ödeyecek bir kurban arıyorum, bunu da başka bir ülkede aradığım için tespit edilme korkum yok. O nedenle port taraması ile hızlıca hedef tespiti yapıyorum.

Verdiğim IP aralığında 5060 ve 5061 numaralı portları olan açık makineleri tespit etmek için NMAP kullanacağım. Bunlar SIP protokolü tarafından kullanılan portlar olduğu için bu portlardan hizmet veren makinenin SIP sunucusu olduğunu ve benim için hedef olabileceğini düşünüyorum.

Resim 5: Nmap ile SIP sunucusu aramak

 SIP hedeflerini tespit etmek için SVMAP aracını da kullanabilirim. Bu araç vereceğim IP aralığındaki SIP hizmeti veren makineleri buluyor. Göreceğiniz gibi NMAP’in “port kapalı” dediği makine hakkında ilginç bilgiler toparladı.

Resim 6: SVMAP kullanımı

Resim 7: SVMAP tarama çıktısı

Metasploit’un içerisinde de SIP sunucuları tespit etmemizi sağlayan bir araç var.

Resim 8: Metasploit ile SIP tarama

Resim 9: Metasploit Asterisk'i buldu

Bazı saldırıları gerçekleştirmek için santralin dahili numaralandırma sistemini ve kullanılan dahili numaralara ihtiyacım olabilir. Bunun için numaraları tek tek çevirmek yerine kullanabileceğim araçlar var. Bunlardan bir tanesi SVWAR, benim yerime numaralara INVITE gönderip aldığı cevapları raporluyor. Bu aracın verdiği uyarı “karşı tarafta telefon çalmasına ve insanların gecenin köründe uyanmasına neden olabilirsiniz”...

Resim 10: SVWAR ile dahili numara tespiti

Karşımdaki sistemin tam olarak ne olduğunu anlamak için NMAP ile daha kapsamlı bir port taraması yapıyorum.

NMAP’e fazladan parametre vermeden yaptığım tarama aşağıdaki sonucu veriyor

 Resim 11: NMAP taraması olmadan olmaz

NMAP taramasını bütün portları kapsayacak şekilde genişlettiğimde ise manzara biraz değişiyor

Resim 12: Sürprizlerle dolusun NMAP (ipucu: Port 5038)

Google araması Asterisk sistemlerde 5038 numaralı portun telnet ile ulaşılabilecek bir konfigürasyon arayüzü olduğunu ortaya çıkartıyor.

Aşağıda görüldüğü üzere bu senaryoda Asterisk santrali kuran fabrika çıkışlı kullanıcı adını ve parolasını değiştirmediği için bunlarla sisteme erişebiliyorum.

Resim 13: Telnet ile Asterisk'e erişmek

Resim 14: Telnet ile Asterisk kullanıcıları ve parola bilgilerini çekmek

Şimdi de daha alışık olduğumuz saldırı araçlarından olan Metasploit’u kullanarak komut satırı elde etmeye çalışalım.

Metasploit’un bildiği FreePBX istismarlarını arıyorum.

Resim 15: Metasploit'ta bulunan Asterisk istismarı

Bulduğu istismarı deneyelim

 Resim 16: İstismar parametrelerini ayarlıyorum

 Resim 17: Komut satırı geliyor

Resim 18: Asterisk komut satırı ve IP adresi

Resim 19: Bir amerikan atasözü der ki: "Root is a state of mind"

Bu saldırıların ve zafiyetlerin çoğu gerçekte kullanılan sistemlerde karşımıza çıkmatadır. Bu tür saldırıların önüne geçmek için alınabilecek en temel önlemler şunlardır:

• Santral üzerinde bulunan ek özellikler ek protokolleri beraberinde getirebilir. Kurum tarafından kullanılmayan özelliklere ilişkin portların kapatıldığından emin olun. 
• Bilgisayar sistemleri gibi internete değen herşeye saldırılabileceğini unutmayın.
• VoIP altyapınızı ve ağınızı bilgisayar ağınızdan mutlaka ayırın
• Mevcutta kullandığınız güvenlik çözümlerinin IP santralinizi de koruduğundan emin olun

Telekom, medya ve teknoloji firmaları araştırması

Deloitte tarafından yapılan ve teknoloji, medya ve telekomünikasyon alanlarında faaliyet gösteren firmaların bilgi güvenliği uygulamalarının konu alındığı araştırmanın sonuçları yayınlandı.

Araştırmanın sonuçlarına göre firmaların %88’i siber tehditlere karşı güvende olduklarını düşünüyor. Firmaların %68’ı karşı karşıya oldukları siber riskleri anladıklarını düşünüyor ve firmaların %62’si siber tehditlere karşı önlem aldıklarını düşünüyor.

Araştırma sonuçlarının çarpıcı kısmı ise bundan sonra ortaya çıkıyor.

Firmaların %59’u son 12 ayda başarıya ulaşan bir saldırıyla karşılaştıklarını kabul ediyor. Başarıya ulaşan saldırıların %30’u düşük etkili, %58’i orta düzeyde etkili ve %12’si çok etkili olarak sınıflandırılabilir.

Firmalar tarafından en etkili olarak görülen tehditler ise %74 ile üçüncü taraflarca yapılan saldırılar, %73 ile DoS (hizmet engelleme) saldırıları ve çalışan hatası veya eksiği olarak sıralanabilir. Sektör bazında ise tehditler teknoloji firmaları tarafından APT (Advanced Persistence Threat), medya şirketlerince hacktivizm saldırıları (Anonymous benzeri belli bir politik veya ideolojik amaca hizmet eden saldırılar) ve telekomünikasyon şirketleri tarafından ise DoS saldırıları gösterilmektedir.

Firma büyüklüklerinin de tehdit algılama şeklini de etkilediği bu araştırmayla ortaya konulmuştur. Sonuçlara göre 10,000 çalışan ve fazlasına sahip firmalar tehditleri üçüncü taraflarca yapılan saldırılar, APT ve hacktivizm olarak sıralıyor. 10,000 çalışandan aza sahip firmalar ise tehditleri; çalışan hatası, DoS ve üçüncü taraflarca yapılan saldırılar şeklinde sıralıyor.

Araştırma sonucunda ise firmaların %50’sinin saldırılara karşı hazır bir hareket planı olduğunu, %48’inin çalışanlarına genel güvenlik amaçlı eğitim verdiklerini ve %49’unun bilgi güvenliği konusunda bütçe kesintilerinin veya eksiklerinin önemli bir engel oluşturduğunu söylemiş.

Ele alınan sektörler itibariyle rakamların ülkemiz için çok farklı olmadığını varsayıyorum. Ne de olsa bizde de bir telekom sektöründeki bir firmanın canı DoS saldırısı ile yanacaktır. Bütçe konusunda ise ne yazık ki güvenlik yatrımlarının kaderinin pek değişmediğini görüyoruz. 

Bu araştırmadan çıkartılması gereken en önemli sonuçlardan birisi de firmaların genel olarak güvenlik seviyeleri konusunda kendilerine fazla güvendiklerinin teyit edilmiş olmasıdır.