Kripto para (ETH) hızlı başlangıç rehberi

İnternet’te konuyla ilgili milyonlarca sayfa olduğundan teknik ayrıntıya girmeden kolayca nasıl başlangıç yapabileceğinizi maddeler halinde yazacağım. Bundan önce belki şu yazıyı okumak hoşunuza gidebilir.

Mining yapmak için donanımınız yeterli mi?

Donanımınıza çok güveniyorsunuz, yüzlerce dolarlık ekran kartınız ya da kartlarınız var. Hatta elinizin altında kontrol edebileceğiniz birçok bilgisayar var. Mining yapmaya başladığınızda, elektrik maliyetini düştükten sonra ne kadar kazanabilirsiniz? İşe başlamadan önce bunu öğrenmenizde fayda var. Buradan ekran kartlarının hash kapasitesini öğrenebilir, bu hash kapasitesi ile ne kadar kazanabileceğinizi de buradan göz atabilirsiniz.

Mining yapmak için özel donanım gerekir mi?

Bu yazının yazıldığı sıralarda özel donanım kesinlikle gerekli. CPU mining artık yetersiz kalıyor (10 bin tane makineniz varsa CPU mining’den para kazanabilirsiniz). Hatta amazon’un ücretsiz cloud vps’lerinden binlerce açmayı başarabilirseniz, bu da işe yarar. Amazon ve diğer benzerleri ilk ay ücret almıyor. Bu konudaki sunumu burada izleyebilirsiniz.

ASIC miner adı verilen ve sadece mining yapmak için dizayn edilen FPGA cihazlarına ulaşacak imkanı olmayanlar, binlerce dolarlık ekran kartları ile mining yapıyorlar. Ancak bu konunun ne kadar karlı olduğu muğallak. Çünkü block üretimi, kazı yapanların toplam gücüne göre yeniden hesaplanıyor. Yani, kazı hızlandığında algoritma zorluk seviyesini otomatik olarak ayarlıyor. Bunun amacı madenin belli bir tarihe kadar kazılmaya devam edilebilmesi (Bitcoin parası için algoritmasının ön gördüğü tarih 2149 yılı). Ethereum’un günlere göre değişen zorluk seviyesini buradan görebilirsiniz.

Tek başıma kazabilir miyim?

Güçlü ekran kartları (NVDIA veya AMD[ATI]) ile kazmaya başlayabilirsiniz. Birden fazla kartı basit bir anakart üstünde riser denilen PCI<->USB dünüştürücüler ile bağlayarak kazmaya başlayabilirsiniz. Bu işleme rig kurmak deniyor. Rig kuranlar en az 2-3 ekran kartı ile bu işe başlıyorlar. Tek bir kart ile de kazmaya başlayabilirsiniz. Bunun için bir mining havuzuna katılmalısınız. Artık kazma işi tek başına yapılamayacak kadar zorlaştı. Bunun yerine mining yapacak kişiler bir araya gelerek kazı yapıyorlar ve katkı verdikleri işlem gücü oranında çıkartılan madenden pay alıyorlar. Ençok maden çıkartan havuzların güncel listesini şuradan görebilirsniz. Belli başlı havuzlar şöyle sıralanabilir:

  • ethpool.org: Çıkarttığınız madenden 1% komisyon alıyor.Bakiyeniz 0.05 ETH’nin üstüne çıktığında günde 2 kere ödeme yapıyor.
  • nanopool.org:  Çıkarttığınız madenden 1% komisyon alıyor. Bakiyeniz 0.1 ETH’nin üstüne çıktığında günde 2 kere ödeme yapıyor.
  • dwarfpool.com: Çıkarttığınız madenden 2% komisyon alıyor. Bakiyeniz 1 ETH’nin üstüne çıktığında günde 5 kere ödeme yapıyor.

Hemen başlayıp ne kadar kazabileceğimi görmek istiyorum?

Mevcut bilgisayarınız ile hemen madenciliğe başlayıp küçük bir deneme yaparak ne kadar kazanabileceğiniz hakkında bir fikir sahibi olabilirsiniz.

Önce www.myetherwallet.com gibi bir siteye giderek unutmayacağınız bir şifre (private key/yani özel anahtarınız) ile bir cüzdan oluşturun. Burası size ethereum zincirindeki cüzdanınıza ulaşabileceğiniz bir cüzdan adresi verecek (örn: 0x0067Cd46672A6420c6b2AcF9C9c0435eBe66DE23)

Daha sonra nanopool.org‘a giderek Ethereum’un Quick Start bağlantısına tıklatın. Claymore Dual Miner programını indirin. Create your config düğmesine tıklatarak önceki aşamada aldığınız Ethereum cüzdanınızın adresini yazın. Bu ekranda kullandığınız işletim sistemini ve ekran kartını da seçeceksiniz. Eposta adresinizi doğru yazın. Worker name panelinizden kazma durumunuzu görebileceğiniz bir etiket (herhangi bir isim yazabilirsiniz). Kutuları doldurduktan sonra Generate config düğmesine tıklatın. Bilgisayarınza indirilen zip arşivindeki start.bat dosyasını Claymore klasöründekinin üzerine yazın ve start.bat dosyasını çift tıklatarak çalıştırın. İndirdiğiniz bu dosya size özel bir dosya ve yüzeysel ifade ile; kazılan madenin sizin hesabınıza yazılmasını sağlayacak.

Çalıştırdıktan sonra Claymore kısa sürede ekran kartınızı/kartlarınızı tanıyacak, havuza bağlanacak ve kazmaya başlayacak. Bu arada ekranda kazma performansı, ekran kartı sıcaklığı gibi değerler yazacak. Çok basit bir ekran kartına sahip olduğum için ben ortalama 2.2 Mh/s (saniyedeki mega hash) değerler gördüm (benim bu işi yapmam elektrik tüketimi açısından karlı değil). Sizin ki muhtemelen daha yüksek olacaktır.

Bu işten ne kadar kazanırım?

Kaç Mega hash’in kaç para ettiğini görmek için şuradaki hesap makinesini kullanabilirsiniz. Power Compsuption (güç tüketimi) yerine bilgisayarınızın harcadığı gücü watt olarak yazın. Cost per Kw kutusuna kullandığınız elektriğin kilowatt saat fiyatını yazın. Ev kullanıcıları için ortalama 40 kuruş yani $0.1  (2017 için) yazabilirsiniz. Hesaplama sonunda günlük, aylık ve yıllık olası kazançlarınız listelenecektir. Buradaki değerlerden daha az kazanacağınızı söyleyebilirim. Bunun nedeni algoritma kendini sürekli olarak zorlaştırıyor. Ekran kartı maliyetini ve elektrik tüketiminizi hesaplayıp kaba bir hesapla bu işe girip girmemenin mantıklı olup olmayacağına karar verebilirsiniz.

Bilgisayarım çok kasıyor, bu normal mi?

Evet gayet normal. Bilgisayarınız deli gibi elektrik harcıyor ve ısınıyor olacak. Ömrü de azalacak. Kondansatörler ve güç elemanları ağır yük altında. İyi bir enerji beslemesi ve daha önemlisi soğutma yapmanız gerekir. Bilgisayarınızı kullanacaksanız kazma işlemini yavaşlatabilirsiniz. Bunun için start.bat dosyasındaki -ethi parametresine bakabilirsiniz. Satırın sonuna -ethi 4 yazdığınızda mevcut işlem gücünün yarısı kullanılacaktır. Intensiy değeri 1-8 arasında verilebilir. Düşük bir intensity verdiğinizde bilgisayarınız eskisi gibi kasmaz ve çalışmaya devam edebilirsiniz. Fakat kazma hızınız düşer. Readme dosyasında tüm ayarların bir listesi yer alıyor. Bu ayarlar ile ekran kartı sıcaklığını belli bir değere sınırlamaktan, herbir ekran kartı için ayrı ayarlar tanımlanmasını sağlayabilirsiniz.

Daha iyi bir ekran kartı ile ne kadar kazanırım?

Buradaki listede ekran kartları ile çıkılabilecek maksimum hash değerleri (MH/s) yer alıyor. Ekran kartı satın almadan önce bu listeye bakmak iyi bir fikir olabilir. Ekran kartının fiyatı ile aylık kazabileceği madeni karşılaştırarak satın almaya karar verebilirsiniz.

Kazandığım Etherum’ları nasıl görürüm?

eth.nanopool.org adresindeki sayfanın sağ üstünde yer alan arama kutusuna cüzdan adresinizi yazdığınızda havuzdaki durumunuzu görebileceğiniz sayfanıza ulaşabilirsiniz. Burada hash power istatistikleriniz (worker larınızı da) ile hesabınızda biriken bakiyeyi (balance) görebilirsiniz.

Ethereum kazandım ne yapacağım?

Tabiki harcayacaksınız. Ama cüzdan şifrenizi (private key) saklayarak çocuklarınıza bir serveti miras bırakmayı da düşünebilirsiniz. Şuan Türkiye’de bunu doğrudan Türk Lirasına çevirebileceğiniz bir yöntem yok. Ancak dolaylı yoldan yapmak mümkün (her şey yolunda giderse azami 1 saat). Dünyadaki popüler borsalardan birine üye olarak (gerçek kişi olduğunuzu belge ile doğrulanmasını ister, istemiyorsa uzak durun) ETH cüzdanınızdaki coin’ler ile BTC satın alıp (dolar dünyada ne ise bitcoin’de o dur) btcturk gibi bir sitedeki cüzdanınıza oradan da banka hesabınıza aktartabilirsiniz. Arada çok cüzi komisyonlar kesilecektir.

Borsalar hangileri?

Çok fazla coin (kripto para) borsası var. Güvenilir olanlar pasaport veya kimlik fotokopisi ve telefon numarası ile gerçek kişi olduğunuzu doğrulamanızı istiyor. İşte bu noktada anonimliğiniz kayboluyor. Bunlardan tavsiye edebileceğim başlıcaları:

  • https://www.bittrex.com/
  • https://www.poloniex.com/

Claymore penceresini nasıl gizlerim?

Patron görmesin derseniz Claymore’u arka planda çalıştırabilirsiniz. start.bat dosyasını şu aracın üzerine sürekleyip çalıştırdığınızda pencere gözükmeyecektir. Kapatmak için görev yöneticisini açarak EthDcrMiner64.exe programını sonlandırmalısınız.

Linux’da nasıl yaparım?

İş ve işlem basamakları hemen hemen aynı. Sadece Claymore kazıcısının Linux formatını indirip kurmalısınız. Boşta sunucularınız varsa yeltenmeyin derim. Ethereum kazmak için kullanılan Claymore, CPU gücüyle kazma yapamıyor. Sadece ekran kartının GPU’sunu kullanabilir. Aslında yapamıyor demek yanlış olur, yapmıyor. CPU’ların mimari tasarımları bu iş için yani hashpower açısından günümüzde uygun değil. Bu arada AMD GPU’lar mining açısından NVidia’dan daha başarılıdır.

Sonuç?

Öncelikle, risksiz kazanç olmaz. Bana sorarsanız denemeye değer. Bu işten karlı çıkıp çıkılamayacağı kripto paranın piyasa değerine, ekran kartlarının fiyatı ile ömrüne ve en önemlisi otomatik ayarlanan algoritmanın zorluk seviyesine bağlı. Pesimistler için kötü senaryolar ne olabilir; siz yatırım yapmışken coin değeri düşebilir. Bu düşüşe karşılık zorluk derecesi azalacaktır fakat bu net kestirilemeyen bir sonuç doğurur. Ekran kartlarınız zamanının tamamını ağır yük altında geçireceğinden arızalanma ihtimalleri yüksektir. İyi bir soğutma yapmalısınız. Hatta karlı bir dağın tepesinde bir dağ eviniz varsa hash power’ınız soğuktan dolayı artar. Soğutma maliyetini azaltmak için miner tarlalarını kuzey kutbuna yakın, yüksek yerlere kurarlar.

Bir gerçekte şudur ki; kripto para pörtföyü olanların çok az bir kısmı kazı yaparak coin elde ederler. İnsanlar genelde spekülatif ve dalgalı piyasa durumlardından yararlanarak kazanmayı tercih ediyorlar. Binlerce alt-coin (alternative coin) mevcut ve gün içinde çok fazla dalgalandıkları için otomatik bir borsa aracı olmuş durumdalar. İnsanların çoğu bu işe nakit para ile girip coin’ler arasında al/sat ile geçiş yapmayı tercih ediyorlar.

Olası Sorunlar ve Çözümleri?

Güncelleme: 25.12.17

Sorun: Claymore’u çalıştırdınız ve mining başlamıyor ve şöyle bir hata mesajı yazıp yeniden deniyor:
GPU0 – not enough GPU memory to place DAG, you cannot mine this coin with this GPU
GPU0 – OpenCL error -61 – cannot allocate big buffer for DAG. Check readme.txt for possible solutions.

Çözümü: Eski AMD kartlar için Catalyst’i yükleyin. En az 3GB ramli bir ekran kartı ve 16GB pagefile (takas dosyası) gerekiyor. Page file yani sanal bellek miktarını şu patikayı izleyerek ayarlayın ve bilgisayarı yeniden başlatın: “Computer Properties / Advanced System Settings / Performance / Advanced / Virtual Memory

Soru: Lokal bilgisayarda çalışan Claymore kazıcısının durum bilgisini uzaktan görebilir miyim?

Cevap: Evet görebilirsiniz. Kazıcı (Claymore) TCP/IP üzerinden JSON ile uzaktan izlemeyi destekliyor. Kazıcının durumunu uzaktan izlemek için Remote manager\EthMan.exe programını kullanabilirsiniz. Bu kullanıma ait API detayları API.txt dosyasında. Ayrıca kazıcıya 3333. porttan http ile (bir web tarayıcısı ile) bağlanıp basitçe (http://ip:3333) son log satırlarını da görebilirsiniz.

Bu yazı aksakallıya atfolonur…

 

 

 

İnternet’deki IP adresinizi öğrenin

İnternetteki IP adresini öğrenmek için kullanılan en popüler sitelerden biri www.whatismyip.com. Bu site HTML bir sayfa sunması ve ücretsiz kullanımında istek sayısını sınırlaması nedeniyle bazı dez avantajlara sahip. Sanırım aşağıdaki alternatif yöntemlere göre tek avantajı akla gelen ilk adres olması. Diğer alternatifler ise şöyle:

  1. ipify.org: Sıradan kullanıcıların yanında sistemciler ve programcılar için faydalı bir kullanıma sahip. Sitenin ana sayfasında İnternet IP adresini döndüren bir curl örneği ve döndürdüğü IP adresi yer alıyor. Siteye girişte gösterilen bu adres aynı zamanda İnternet IP adresimiz. Komut satırından veya betik dillerden kolayca kullanabileceğimiz curl örneği JSON biçimli bir sonuç döndürüyor. Diğer betik dillerden kullanım örnekleri sayfanın alt kısımlarında verilmiş. Özellikle javascript içinden callback fonksiyonu çağrılarak gerçekleştirilen kullanım oldukça güzel.
  2. icanhazip.com: adresini ziyaret ettiğinizde düz metin formatında IP adresinizi öğrenebilirsiniz.
  3. whatsmyip.org: www.whatismyip.com sitesini çağrıştıran fakat org uzantılı ve diğeri gibi ticari amaç gütmeyen kolay kullanımı olan bir site. Ana sayfasınıda IP adresinin yanında hostname ve tarayıcı bilgisini de veriyor. Ayrıca whois, traceroute, port tarayıcı, IP location ve bazı metin biçimlendirme/filtreleme amaçlı araçlarda çevrim için olarak sunuluyor.
  4. checkip.dyndns.org: DynDNS dinamik DNS tanımlamak için kullanılan eski ve ücretsiz bir servis. IP adresinizi öğrenebileceğiniz bir sayfaya sahip.
  5. api.infoip.io: Bu da sistemciler ve programcılar için kullanışlı API tabanlı bir servis. API hakkında detaylı bilgi için buraya bakabilirsiniz.
  6. duckduckgo.com: DuckDuckGo  kişisel güvenliği ön plana çıkartmış açık kaynak kodlarla oluşturulan bir arama motoru. Sitenin IP adresi öğrenme API’si de mevcut. http://api.duckduckgo.com/?q=my+ip&format=json adresini ziyaret ederek ulaşılabilen bir JSON çıktısına sahip.
  7. jsonip.com – JSON biçimli v4 ve v6 IP adreslerini çözüyor. getjsonip.com adresinde ücretli olarak ISP info, Geo location ve SSL desteği de vermekte.
  8. Yerli siteler: Hakkında yorum yapmayı uygun bulmadığım Türkçe hizmet veren IP adresi öğrenme siteleri:
  • http://ipbak.com/
  • http://www.ipadresimnedir.com/
  • http://ip-adresim.net/
  • http://www.ipadresimne.com/
  • http://www.ipbul.org/

 

Alkol Türleri (Etil, Metil ve İzopropil [IPA]) Arasındaki Farklar

Birçok farklı alkol türü bulunmakta fakat en çok kullanılanlar (piyasada en çok bulunanlar) olan etil, metil ve izopropil hakkında bir liste hazırlamaya karar verdim. Alkollerin pratik hayattaki kullanım amaçları ve kullanım alanlarını belirleyen özelliklerini bir liste haline getirmenin hızlı bir başlangıç sağlayacağını düşünüyorum. Buradaki bilgilerin doğruluğunun garantisi yok, büyük bir kısmı internet ve çevremdeki insanlardan edindiğim bilgiler, çok azı kendi deneyimlerim. Bu nedenle buradaki bilgilerin “kullanımından kaynaklanacak sorumluluk yalnızca uygulayıcısına aittir” diye de bir bilgilendirme yapmadan geçemiyorum.

Ortak Özellikleri

  • Sudan hafiftirler
  • Suda çözünürler
  • Karbon sayıları arttıkça sudaki çözünmeleri azalır.
  • Karbon sayıları arttıkça kaynama noktaları artar

İzopropil Alkol

  • Kimyasal formülü C3H8O’dir.
  • Bileşiği 3 karbon, 8 hidrojen atomu içerir.
  • Gittigidiyor gibi mağaza sitelerinden uygun fiyata bulmak mümkündür. (2017’de 5lt’si [%99,6 saflık ile] 60TL idi)
  • Genellikle temizlik ve leke çıkartma amacıyla gerektiğinde su ile seyreltilerek kullanılır.
  • Elektronik devre kartlarındaki oksidasyonu ve lehimden arta kalan reçine artıklarını temizlemek için de kullanılır. Hatta şu şişe ile birlikte kullanmaktayım. Şişenin şamandıra mekanizması buharlaşmanın az olmasını sağlıyor.
  • Türkiyedeki üreticisi çeşitli online mağazalar üzerinden temizlik malzemesi olarak satışını yapmakta. Derişimi %99,6 olarak etiketlenmekle birlikte üreticisi alkolmetre ile saflığının %99,9 olarak ölçüldüğünü iddia etmekte (telefon kaydı vardır). Bu firmanın sattığı  5lt’lik bidonlar 3.5Kg civarında gelmektedir.
  • Kaynama noktası: 82.6 °C
  • Yoğunluk: 0.786 g/cm3

Etil Alkol (Etanol)

  • Formülü C2H6O’dir.
  • Bileşği 2 karbon 6 hidrojen atomu içerir.
  • Alkollü içeceklerde kullanılan tek alkol türüdür.
  • Kaynama noktası: 78.4 °C
  • Yoğunluk: 0.789 g/cm³
  • Gıda endüstrisinde kullanılır.
  • Bir canlı türü olan bakteriler etil alkol üretirler.
  • Vücutta metabolize olabilen tek alkol türüdür
  • %90’ı karaciğerde yıkılır, %5-8 solunum, idrar ve ter ile atılır.
  • Emilimin 10-20%’si midede geri kalanı bağırsaklarda gerçekleşir.
  • Kana karışan alkol miktarına göre, beyinin çalışmasını yavaşlatır. İçki içen kişinin kanına karışan alkol miktarı; Belirli bir zamanda ne kadar içtiğine, Vücut ölçülerine, cinsiyetine, vücut yapısına ve metabolizmasına, Midedeki yiyecek çeşidine ve miktarına göre değişir.
  • Cinsiyete bağlı olarak 1 saate 10-25 mg/100ml kanda azalır.
  •  Sanayideki etil alkolün üretimi etan gazının sülfürik asit eşliğinde suyun içinde çözülmesiyledir.
  • Sanayide üretilmiş olan ilk arabaların çalışmasında etil alkol kullanılmıştır.
  • İçinde % 0.5 den fazla alkol (etanol) bulunan ve keyif veren içkilere “Alkollü İçkiler” diyebiliriz.

Metil Alkol (Metanol)

  • Endüstride boya inceltici, teksir makine sıvısı, antifriz, cam temizleyici gibi maddelerin yapımında kullanılır.
  • Endüstride, karbonmonoksit ile hidrojenin reaksiyonundan elde edilir.
  • Vucutta emilimi etil alkole göre 5-10 kat daha yavaştır, vucuttan atılması 3-4 gün sürer.
  • Sahte alkollü içeceklerde kullanılan bir alkol türüdür. (Ucuz olması nedeniyle)
  • Halk arasında “Odun ruhu” adı da verilir.
  • Bir canlı olan bakteri metil alkol üretmez.
  • Metilalkolün kendisi zehirli değildir. Vücutta asıl zehirli olan atılamayan ürün Metil Alkol değil vücutta Metil Alkolün metabolize olması sonucu meydana gelen formaldehit ile formaldehitinde çok kısa sürede metabolize olması ile meydana gelen formik asittir

Ülkelere  Göre Trafikte İzin Verilen Alkol Limitleri

  • İSVEÇ – NORVEÇ : 0,2 Promil
  • DANİMARKA-FİNLANDİYA: 0,5 Promil
  • ALMANYA-FRANSA: 0,5 Promil
  • İNGİLTERE-İRLANDA: 0,8 Promil
  • AMERİKA – KANADA: 0,8 Promil
  • TÜRKİYE: 0,5 Promil

Kaynaklar:
http://alkol.50megs.com/METIL.htm
http://www.mikrobik.net/page.php?id=734

Wi-Fi ve KRACKS (Key Reinstallation Attack) Saldırısı Hakkında

 

 

WPA2 kablosuz ağ güvenliği kullanan cihazların büyük bir bölümünü etkileyen bir güvenlik açığı tespit edildi. Detaylarının Mathy Vanhoef tarafından krackattacks.com sitesinde açıklandığı, güvenlik zafiyetine göre. Herhangi bir kablosuz ağdaki var olan iletişimin saldırganın bilgisayarına yönlendirilerek deşifre edilebilmesi mümkün oluyor. Bu saldırıda Wi-Fi ile haberleşen iki cihazın (cihaz PC, USB Wifi Dongle ya da Mobil cihazlardan herhangi birisi olabilir) iletişiminde araya girilerek veriler elde ediliyor. Cihazların kendisine karşı yapılan bir saldırı söz konusu değil. Şuanda, kablosuz ağın parolasını elde etme ya da değiştirme gibi bir zafiyet söz konusu değil, sadece var olan kablosuz iletişim deşifre edilip kaydedilebilir.

Zafiyetten kurtulmak için tek çare kullanılan işletim sistemi ve cihaza (modem veya kablosuz erişim noktası) gerekli güvenlik yamasının uygulanması. Bu yamayı yayınlamayan üreticilerin cihazlarını kullanmaya devam etmek tüm verilerinizin yakındaki bir kişi tarafından elde edilmesi demek. Bu noktada bilinen ve ürün desteği iyi markaları tercih etmenin önemi bir kez daha ortaya çıkıyor. Eski ve Çinli üreticilere ait cihazların çöp olduğunu söyleyebilirim.

Bilgi işlemciler için konuyla ilgili bazı satır başları:

  • Bu güvenlik açığına karşı Windows bir yama (Windows 10 ve üstü işletim sistemleri için) yayınlamış durumda.
  • Temmuz’un 15’inde Free BSD geliştiricileri ile paylaşılan güvenlik açığı bu işletim sisteminde giderilmiş durumda.
  • Ortalama 2 yıllık yazılım güncelleştirmesi sunan Android yüklü cihazlar için durum daha vahim. Etkilenen cihazların oranı %41 olarak belirtilmiş.
  • Apple ürünlerinde (iOS, tvOS, watchOS, macOS) bu açık giderilmiş durumda.
  • Android 6.0 ve üzeri cihazlarda risk daha fazla.
  • Mathy Vanhoef konu ile ilgili yayınladığı teknik makale buradan indirilebilir.
  • WPA2 zaafiyetinin (CVE-2017-13082: Key Reinstall in FT Handshake (802.11r)) test araçlarının test sürümleri yayınlanmış durumda: https://github.com/vanhoefm/krackattacks-test-ap-ft
  • SANS’ın zafiyeti anlatan 70 dk’lık teknik videosu: https://www.youtube.com/watch?v=uozuwYi6Dtw&feature=youtu.be

Yazılım güncelleştirmesi alınamayan cihazlar ve işletim sistemlerinin güvenliğini kısmi olarak sağlamak için uygulanabilecek güvenlik tedbirleri şöyle:

  1. Yama yüklenemiyorsa açıktan korunmak için yerel ağ içinde VPN kullanın.
  2. Güvenlik duvarını yapılandırarak cihaz ve kablosuz erişim noktası arasındaki iletişimi sınırlayın.
  3. DHCP sunucuyu devre dışı bırakın ve elle IP yapılandırması uygulayın.
  4. Kablosuz ağın isminin (SSID) yayınlanmasını kapatın.
  5. Bu bir yönlendirme saldırısı olduğundan ağ cihazlarınızın MAC adreslerini statik olarak tanımlayın (persistent)
  6. HTTPS Everywhere tarayıcı eklentisini yükleyerek girilen sitelerin HTTPS ile ziyaret edilmesini zorlayabilirsiniz (strict https desteği olmayan uygulamalar için sslstrip’e karşı bir miktar koruma sağlar).

TVS diyot ve test tekniği hakkında

TVS (Transient Voltage Suppression/Geçici Gerilim Bastırma) diyot, enerji besleme girişine paralel ve ters polarma altında bağlanılarak devrenin aşırı voltajdan zarar görmesini önlemek için kullanılan koruma amaçlı bir diyottur. Doğru polarma altında normal bir diyot gibi davranırken, ters polarma altında farklı davranır. Ters polarma altındayken belli bir voltaja kadar (clamp voltage, breakdown/reverese breakdown voltage, Vbr) akım geçirmez. Bu özelliğiyle zener diyotlara da benzerler fakat ilerleyen paragraflarda değinildiği üzere bazı farkları vardır. TVS diyotlar Transil diyot olarak da adlandırılırlar.

Örneğin 12V’luk bir TVS diyotu, ters polarma gerilimi 12V’u aştığı anda iç direncini düşürerek besleme kaynağının artan voltaja karşılık sağlayabileceği tüm akımı üzerinden geçirmesi amaçlanır. Böylece uçları arasındaki gerilimi 12 voltta sabit tutar. Elektronik devreler tasarlanırken TVS diyotun çektiği akımın kısa bir süre içinde sigortayı attırması amaçlanır. Bu nedenle TVS diyottan hemen önce genellikle sigorta kullanılır.

Bu özelliğiyle TVS diyotlar varistörlere de benzer fakat varistörlere göre çok daha hızlı tepki ( 1 pico saniye) verirler. Ayrıca varistörler gibi absorbe sırasında eşik (Vbr) voltajlarının düşürme eğilimi de göstermezler.

Özetle, TVS diyot Vbr voltajında iç direncini düşürerek uçları arasındaki voltajı sabit tutar ve üzerinden besleme kaynağının tüm akımını geçirmek ister.

Elektronik devrelerin besleme ünitelerinde, besleme kaynağından kaynaklı ani yükselmeler veya arklar olabilir. Bu tür geçici yükselmelere Transient Voltage ya da spike adı verilir. Diğer bir tabirle; devreye çalışma geriliminin üzerinde bir voltaj geldiğinde iç direncini düşürerek uçları arasındaki voltajı sabit tutmaya ve düşen dirençten ötürü üzerinden geçen akımı kendi üzerinde absorbe (suppression) etmeye çalışır. Böylece  yüksek voltajdan devrenin zarar görmesi engellenir.  TVS diyotu öncesinde sigorta kullanılmadığı durumlarda, söz konusu voltaj yükselimi anlık olmalıdır (mikrosaniyeler). Aksi takdirde TVS kısa  sürede (>1ms) zarar görür ve koruma özelliğinden artık yararlanılamaz. Zarar gören bir TVS diyot kısa devre, açık devre ve işlevsiz bir konumda bulunabilir. Bunun anlamı Vbr sınırının kalıcı olarak değişmesidir. TVS diyotların üzerinde absorbe edebileceği enerji veri sayfalarında watt cinsinden belirtilmiştir.

 

TVS diyotun sembolü aşağıdaki gibidir:

1.Tek yönlü (unipolar) TVS diyot
2.Çift yönlü (bipolar) ortak katotlu TVS diyot (ortak anotlu da olabilir).

TVS diyot genellikle düşük güç tüketimi olan, hassas ve pahalı elektronik devrelerin enerji giriş katlarında kullanılır. Bir enerji harcama direnci ile veya birden fazla paralel bağlanarak enerji absorbe kapasitesi arttırılabilir. TVS diyotlar ESD (elektro statik deşarj) koruması sağlamak için de kullanılırlar. Aşağıda bir HDD kontrol kartı üzerindeki unipolar TVS diyotları görülüyor.

TVS diyotların unidirectional (tek yönlü) ve bidirectional (çift yönlü) versiyonları vardır. Aşağıdaki şemada ilgili diyotların sembolleri ve ani gerilimlerdeki çıkış voltajları gözüküyor. Çift yönlü TVS’ler tek yönlülerin aksine her iki yönde de (giriş voltajının negatif alternansında da) çalışır ve daha çok AC besleme yapılan uygulamalarda tercih edilir.

TVS diyotu test etmek için normal diyot testi uygulanabilir fakat görevini tam olarak yapıp yapmadığını anlamak için üzerine voltaj uygulanarak akım geçirip geçirmediğine bakmak gerekir. Böyle bir sınamada; TVS diyot’un aşırı ısınmadan bozulmaması için sabit akım kaynağı ile akımı sınırlandırmak gerekir.  TVS diyotlar ters polarma altında görev yaparlar. Normal koşullarda TVS diyot’un anotu devrenin şasesine (-) bağlıdır.

TVS diyotlar ile Zener diyotların çalışması birbirine benzer her ikisi de clamp voltaja ulaştığında üzerinden akım geçirir. Lakin TVS diyotlar bu işi ESD (elektro statik deşarj) gibi çok yüksek voltaj değerlerinde de yapabilirler. Diğer taraftan fiziksel boyutlarına göre absorbe edebilecekleri enerji zener diyotlara göre genellikle daha fazladır. Aşağıdaki görselde TVS ve zener diyotların voltaj absorbeleri ne performansta yapabildiği gösterilmiştir.

TVS ve zener diyotlara benzer olan bir de avalans (avalance) diyotlar vardır. TVS alternatifi olan avalans diyotlar TVS’den farklı olarak 4000volt gibi yüksek Vbr voltajları için üretilirler ve kullanılırlar.

TVS diyotların üzerinde genellikle aşağıdaki kodlar yazar:
12V’luk TVS diyotlar: LE, LEM, LEK, BUX, KVP, 13L.
5V’luk TVS diyotlar: HE, QE, QA, AE, 5L.

Kaynak: https://community.wd.com/t/hdd-tvs-diode-faq/14692

TVS Diyotların test edilmesi

Unipolar (unidirectional) TVS diyotlar avometrenin diyot kademesi ile bir ön kontrole tabi tutulabilir. Normal bir diyot karakteristiği sergiler. Ancak bu yolla elde edilen sonuç TVS diyotun Vbr voltajında görevini yerine getirip getirmediği konusunda bir fikir veremez. Örneğin 12v’luk bir TVS diyotu test etmek için voltaj ayarlı ve akım sınırlama özelliği olan bir güç kaynağını kullanabilirsiniz. Güç kaynağının örneğin 50mA gibi bir değere ayarlayın (fazlası TVS diyotu ısınmasına ve bozulmasına neden olabilir). TVS diyotu ters polarma altında bağladıktan sonra voltajı yavaşça 12volta kadar arttırın. 12 volta yaklaştığınızda  TVS diyotu akım geçirmeye başlayacaktır (50mA’e ayarlamıştık). Ardından tekrar düşürmeye başlayın 12voltun biraz altında akım geçişi olmaması gerekir. Bu şekilde davranan bir TVS diyot sağlamdır.

Bipolar (bidirectional) TVS diyotlar iki bipolar TVS diyotun ortak anot veya ortak katot olacak şekilde seri bağlanmasıyla oluşturulur.  Bipolar bir TVS diyot test edilirken unipolardan farklı olarak doğru polarma altında da Vbr değerinde akım geçirmesi gerekir. Yani her iki yönde de (doğru/ters polarma) Vbr voltajına ulaştığında akım geçirmesi gerekir.  Aşağıda D1 ve D2 adlı unipolar diyotlar ortak katot bağlanarak elde edilen bir  bipolar  TVS diyot yer almaktadır. İlk grafik D1 ve D2 diyotları sağlam olan bir TVS diyotuna aittir ve her iki yönde de (Vbr ve -Vbr) voltaj absorbesi yapmaktadır. İkinci grafikte ise D2 diyotu arızaldır ve TVS diyotu sadece -Vbr için görev yapmaktadır. Üçüncü grafikte ise D1 ve D2 diyotlarının her ikisi de kısa devre olmuştur hiçbirşekilde Vbr absorbesi yapmamaktadır.

Bipolar TVS diyotlar birbirinin eşleniği iki diyottan oluştuğundan avometrenin diyot konumunda test edilirken her iki yönde de birbirine yakın Vf derğerleri vermelidir. Bu değerler birbirinden bariz şekilde farklıysa D1 veya D2’den birinin arızalı olduğundan şüphelenilebilir. Bunu tespit etmenin en doğru yolu unipolar TVS diyot testini anlattığım ilk paragraftaki sınamayı gerçekleştirmektir.

TVS diyotlar ve uygulama notları hakkında daha fazla bilgi için aşağıdaki dökümanları okuyabilirsiniz.

 

Adli Bilişim Yüksek Lisans Programı Çalışma Soruları

Katıldığım derslerden çıkarttığım bazı sorular bu sayfada yer alıyor. Sayıları ve türleri artırılabilir. Siz de soru gönderirseniz yayınlamaktan mutlu olurum. Muhtemelen bu durum hocaların hoşuna gitmeyecek. Neden  paylaşıyorum? Çünkü bu sorulara ulaşmak hiç de zor değil. Deneyim ettim ki aynı sorular yıllarca kullanılmakta. Amacım odur ki öğretimi pozitif yönde etkileyecek, öğrenme çıktılarını özgün ve güncel soru kalıpları ile etkin olarak ölçen sorular üretilebilsin. Bu hocalarımıza tabi ki fazladan bir yük bindirecek ama amaç gerçekleşirse memleket için daha iyi olacak.

Adli Bilişim ve Tebligat Hukuku Dersi

  1. Muhtara yapılan tebligat ile eski adrese yapılan tebligat arasındaki farklar
  2. Usulsüz tebligat ve geçersiz tebligat arasındaki farkı örneklendirmek
  3. Tebligat hukuku ile adil yargılanma hürriyeti arasındaki ilişki?
  4. Tebligat hukuku ile hukuki dinlenilme arasındaki ilişkiyi anlatınız?
  5. Tebligat kanunu 35. Madde ve 21. Madde tebligat usullerinin farkları
  6. Muhtara yapılan tebligat veya kolluk gücüne tebligat
  7. İlanen tebligat nedir açıklayınız?
  8. Hukuki dinlenilme hakkı konusunun tebligat hukuku açısından önemi
  9. İlanen tebligat nedir
  10. Elektronik yolla yapılan tebligat nedir?
  11. Hak arama hürriyeti ile tebligat ilişkisini açıklayınız.
  12. Tebligat hukukunun usul ekonomisi ilkesi ile ilişkisini açıklayınız? (Güncelleme: 11.17)

Hukukun Temel Kavramları Dersi

  1. Hukuk nedir? Hayatımızda ki önemini anlatınız.
  2. Normlar hiyerarşisini geniş bir biçimde anlatınız.
  3. Kamu hukuku ve Özel Hukuk’un farklılıklarını Ceza hukukunu göz önüne alarak anlatınız.
  4. Mesleğinizin hukukla ilişkisini anlatınız.

Ceza Muhakemesi Dersi Soruları

  1. Sorgu ve İfade kavramlarını açıklayanız.
  2. Fiziki kimlik tespitini açıklanız.
  3. Haberleşmenin tespitini açıklanız.

Sosyal Medya Siyasal Şiddet Dersi

  1. Sosyal medyanın 3 temel özelliğini açıklayın.
  2. Sosyal medyayı çekici kılan unsurlar nelerdir.

Fikri Haklar Dersi

  1. Fikri hakların diğer haklar arasındaki konumunu sema ile göstermenizi
  2. Fikri olarak maddi manevi haklar nelerdir
  3. Fikri haklarin ülkemizde ve dünyadaki gelişimi

E-Devlet Dersi

  1. Dijital vatandaşın boyutları nelerdir örnekle açıklayın.
  2. Türkiyenin e-devlet gelişmişlik endeksinde sonlarda olmasının nedenleri nelerdir?
  3. Toplumda siber savaş algısı nasıl olmalıdır örnekle açıklayınız
  4. Sosyal ağlarda Arap baharı alakalı bir soru.

Bilirkişilik Dersi

  1. Hakem bilirkişi ve bilirkişi nedir?
  2. Bilirkişiliğin delik sistemindeki yeri nedir?
  3. Bilirkişi ve özellikleri hakkında bildiklerinizi yazın?
  4. Bilirkişi delilinin deliller arasındaki yerini tartisiniz?
  5. Bilirkişi delili ile hakem bilirkişi delilini karşılaştırınız?
  6. Bilirkişiligin ve Bilirkişinin niteliği hakkında bildiklerinizi yazınız?
  7. Bilirkişiliğin hukuki sorumluluğu nedir?
  8. Bilirkişilik ve bilirkişiliğin niteliği?
  9. Bilirkişi raporunun hazırlanması ve mahkemeye sunulması?

Suç Teorileri Dersi

  1. Anomi teorilerinde Durkheim’a göre anomi anlatınız.
  2. Gerilim teorilerinde metronun klasik gerilim teorileri ve Merton’un uyum modelleri nelerdir
  3. Alt kültür teorilerinde trasher ve çete leri anlatınız.
  4. Rutin aktiviteler teorileri nedir aciklayiniz
  5. 1960 lı yıllardan bu yana süregelen pozitivistik akımdan neo klasik akıma geçiş sürecinde yaşanan ceza adalet sistemi üzerindeki geçişi izah ederek, günümüzdeki ceza adalet sisteminin siber suçlarla mücadele ile ilgili durumu rasyonel tercih ve caydırıcılık teorilerine bağdaştırarak acıklayınız?
  6. Psikolojik görüşler çerçevesinde Piegat in ahlaki gelişim modeli ve Kohlberg in ahlak modelini açıklayarak, hacker ın analizini bu modellemelere dayandırarak nasıl izah edersinz?
  7. Korsan yazılım sahteciliğini en iyi hangi suç teorisiyle anlatırsınız? Savunduğunuz görüşün güçlü yönlerini ve karşıt görüşlerin zayıf noktalarını karşılaştırarak yazınız?
  8. İnsan niçin suç işlemez?
  9. 1960 lı yıllardan bu yana süregelen pozitivistik akımdan neo klasik akıma geçiş sürecinde yaşanan ceza adalet sistemi üzerindeki geçişi izah ederek, günümüzdeki ceza adalet sisteminin siber suçlarla mücadele ile ilgili durumu rasyonel tercih ve caydırıcılık teorilerine bağdaştırarak acıklayınız?
  10. Günümüzde suç ceza ve adalet sistemini bir teoriye dayandırarak anlatınız.

Adli Bilişim ve Bilirkişilik Dersi

  1. Adli bilirkişilik ve bilirkişiliğin niteliği hakkında bildiklerinizi yazınız.
  2. Bilirkişinin hazırladığı rapor nasıl olmalıdır
  3. Bilirkişinin yükümlülükleri nelerdir
  4. Adli Bilişimde Bilirkişilik
    2016 Final
    1- bilirkişi delilinin Adli bilişimde önemi
    2- delil sistemlerinde bilirkişiliğin önemi
    3- keşif delili ile bilirkişi delilinin karşılaştırılması örneklerle
    Bütünleme Yok
    2015 final
    1- Bilirkişiliği ve Bilirkişinin niteliklerini açıklayınız.
    2- Bilirkişiliğin sorumluluklarından, hukuki sorumluluğu açıklayınız.
    3- Bilirkişi raporunun takdim ve raporun incelenmesini açıklayınız.
    2015 bütünleme
    1- Bilirkişiliği ve Bilirkişinin niteliklerini açıklayınız.
    2- Bilirkişiliğin sorumluluklarından, disiplin sorumluluğu açıklayınız.
    3- Bilirkişi raporunun takdim ve raporun incelenmesini açıklayınız.

Adli Bilişim Uygulamaları Dersi

  1. Olay yeri incelemesi öncesinde yapılması gereken hazırlıkları yazınız?
  2. Dijital delillerin yapısal özelliklerini yazınız?
  3. İmaj alma ve kopyalama arasındaki farklı adli bilişim açısından yazınız?
  4. Mobil inceleme araçları nelerdir, bilgi veriniz?
  5. Final
    1. Dijital delil araştırma süreçleme modeli ?
    2. Elektronik Delillerin yapısal özellkleri ?
    3. Olay yerine gitmeden yapılacak hazırlıklar ?
    4. Mobil Cihaz imaj alma yazılımlar ?
    5. Klasik kopyalama ile imaj alma arasındaki farklar nelerdir?
    Bütünleme
    1- Harddiks çeşitleri nelerdir? açıklayınız
    2- Adli bilişim çalışma alanları nelerdir?
    3- Adli bilişim çalışmalarında yapılan hatalar nelerdir?
    4- NIST e göre imaj alma ekipmanlarının olması gereken özellikler nelerdir?
    5- İmaj alma programları nelerdir?

Bilgi Güvenliği Dersi

  1. Risk ve risk yönetimi nedir açıklayınız?
  2. Puko modeli nedir açıklayınız?
  3. Kriptoloji, kriptograf ve kriptoanaliz nedir açıklayınız?
  4. Risk yönetimi yöntemleri nelerdir bilgi veriniz?
  5. Bilgi güvenliği yönetim standartları standartları nelerdir?
  6. Risk ve tehdit arasındaki farkı açıklayarak yazınız?
  7. Bilgi güvenliği nedir nasıl sağlanır anlatınız?
  8. Dahili tehdit unsurları nedir açıklayınız?

Bilişim Suçları Önleyici Tedbirler / Mücadele

  1. Bilişim suçları türleri nelerdir?
  2. Bilişim suçları işleme yöntemleri nelerdir?
  3. Virüs türleri hakkında bilgi veriniz?
  4. Şifre sağlama yöntemleri nelerdir? Dikkat edilecek noktalar nelerdir?
  5. “BURADAHERHANGİBİRMETİNVAR” metnini “DAHAKISABİRMETİN” anahtarını kullanarak sütun transpozisyonu yöntemi ile şifreleyiniz?
  6. Bilişim suçları ile mücadelede teknik ve altyapı sorunları nelerdir?
  7. Bilişim yoluyla işlenen suçlar nelerdir?
  8. Sahte hesap oluşturma kanun olarak bilişim suçu bakımından açıkla?
  9. 5651 log yönetimini anlatınız?
  10. Kimlik hırsızlığı ve oltalama saldırı çeşitleri nelerdir? Açıklayınız.(2018/Büt)
  11. Bilişim suçu işleme yöntemleri nelerdir?(2018/Büt)
  12. Bilişim suçları ile mücadelede teknik ve yöntemler nelerdir?(2018/Büt)
  13. Virüs çeşitleri nelerdir? Açıklayınız.(2018/Büt)
  14. Ülkemizde Siber Güvenlik çalışmalarını açıklayınız.(2018/Büt)
  15. Suç işleme yöntemleri nelerdir?
  16. Ülkemizde siber suçlar ile ilgili tedbirler?
  17. Bilişim suçları için alınması gereken tedbirler nelerdir?
  18. Kimlik hirsizligi ve ortalama nedir aciklayiniz?
  19. Bilişim Suçları ve Mücadele
    2015 final 
    1- Bilişim suçları nelerdir?
    2- Bilişim suçları ile mücadelede karşılaşılan sorunlar nelerdir?
    3- Sahte hesap açmanın kanuni yaptırımı nedir?
    4- 5651 sayılı kanun ve loglama açıklayınız

Düşük Düzeyli Programlama (Assembly) Dersi

  1. Program nedir?
  2. Yazılım nedir?
  3. İşletim sistemi ile BIOS arasındaki farklar ?
  4. L1 bellek, L2 bellek, L3 bellek, kaydediciler,ana bellek hızları nedir, şekilde göstererek açıklayınız
  5. Assembler dilinin avantajları nelerdir?
  6. Gruplar, Talimlatlar tablosu ile ilişkili bir soru.
    Aşağıdaki kelimelerden talimat olanların karşısına T, komut olanların karşısına K yazınız.
    Örn: ENDP: T, MOV:K, CODE:T, DEC:K
  7. Assembler’da küçük bir programın icrası sonrası Ax=0, Bx=4, DX=?
  8. Eğer Ax 0 ise Cx’e 10 ekleyen değilse Dx’den 10 çıkartan assembly programını yazınız.
  9. Bir assembler kodu verilmiş, adreslemede kaç byte tuttuğu hesaplanmalı.
  10. Aşağıdaki listelerin bellekte kaç yer kaplar yanlarına yazınız?
    LISTE DB 5,05,00,0,?,??,45,27,125, -128, +127,
    LISTE DB 5,05,00,0,?,??,45,27,125, -128, +127, 345
    A5 = 1010 0101 , 0= 0000 0000 , 00= 0000 0000 şeklinde bellek te yer alır.
    VERI DB 5,5,5,5 yerine VERI DB 5 DUP (5) yazılmalı anlamı 5 tane 5 koy demek.
    VERI DB 5 DUP(5 DUP(3 DUP(10h), 2 DUP(12h))))
  11. Küçük bir program verilmiş buna göre AX te kaç vardır?
    Aşağıdaki program çalıştıktan sonra Ax kaydedicisinin ve C bayrağının değerleri ne olur? (Bence Ax=42h, C Flag=0 ;)
    MOV Ax, 16h
    MOV Cx, 3h
    LOOP
    ADD AX, 1Fh
    DEC Cx
    JNE LOOP
    ENDP

Güvenli Yazılım Geliştirme Dersi

  1. Güvenli yazılım geliştirme süreç ve fiillerini şekil üzerinde açıklayın
  2. Virüs nedir? Bir betik virüsü olarak Trojan Horse’u açıklayın?
  3. PHP, ASP.NET ve JSP hangi sunucularda çalışır güvenliğini sağlamak için neler yapılır?
  4. Ençok kullanılan veritabanları nelerdir? SQL Injection’a örnek verin?
  5. Güvenli yazılım nedir geliştirme süreçleri hakkında bilgi verin?
  6. SAMM modeli ve alt aşamaları hakkında bilgi verin?
  7. OWASP hakkında bilgi veriniz?
  8. Yazılımların son 25 yıldaki değişimi ve gelişimini günümüzün internet ve teknoloji  dünyasında tartışınız?
  9. Yazılım mimarı nedir, görev ve sorumluluklarını açıklayın?
  10. Use case, akış diyagramı ve sınıf yapısını açıklayınız?
  11. Spiral model ve akış modeli(waterfall) i karşılaştırarak açıklayınız?
  12. Alfa ve beta testlerinin güvenli yazılım geliştirmedeki önemini anlatın.
  13. Virüs nedir ? Malware nedir ? Fiziksel ve yazılımsal firewall’ları karşılaştırın.
  14. Android işletim sistemindeki uygulamalara yönelik güvenlik tedbirleri nelerdir.
  15. Web sunucularında kullanılan veritabanları, saldırı ve korunma yöntemlerini yazın

İleri Web Programcılığı Dersi

  1. Statik ve dinamik web sayfaları ve bu sayfaları oluşturmakta kullanılan programlama dilleri ve araçları hakkında bilgi vererek karşılaştırma yapınız?
  2. Web 1.0, Web 2.0 ve Web 3.0 ı teknik açıdan karşılaştırarak farklarını yazınız?
  3. MySQL de veri tabanı bağlantısı yapma, kayıt listeleme, sıralama, ekleme vb. İşlemlerinin nasıl yapıldığını örnek kod yazarak gösteriniz?

İşletim Sistemleri Dersi

  1. Bir işletim sisteminin dosya sistemi kullanmasının temel amacı nedir? Açıklayınız
  2. Dosya sisteminde kullanıcı sınıfları nelerdir? Niçin kullanılır?
  3. Ext dosya sistemini kısaca açıklayınız
  4. NTFS dosya sistemini ext ile karşılaştırarak kısaca açıklayınız
  5. Dosya sistemindeki Blok bağlantısı nedir? Niye böyle bir yapıya ihtiyaç vardır? Açıklayınız.
  6. Çekirdeğin fonksiyonlarını açıklayınız (5 adet)
  7. Dispatcher’In görevlerini açıklayınız.
  8. Zamanlayıcı algoritmaların 4 çeşidini yazınız.
  9. Bir işletim sisteminde olması gereken özelliklerden en az 6 tanesini yazınız.
  10. Pardusun kamu kuruluşlarında kullanımının uzun vadede avantaj ve dez avantajlarını tartışın
  11. Semafor nedir?
  12. Deadlock nedir 3 örnek ile açıklayınız?
  13. İşletim sisteminin görevlerinden 5 tanesini yazınız?
  14. Görev yöneticisi nedir?
  15. Deadlock nedir, nasıl olur açıklayınız?
  16. Semafor nedir açıklayınız?
  17. Zamanlama algoritmalarını yazınız?
  18. Virüs antivirüs ve zararlı yazılım nedir açıklayınız?
  19. Wait ve Signal’i basit bir örnek vererek açıklayınız.
  20. Firewall nedir ?
  21. Bellek yönetimi nedir? Açıklayınız.
  22. Bir işletim sisteminde olması gereken özelliklerden 6 tanesini yazınız?
  23. Sanal bellek nedir? Açıklayınız.
  24. Semafor nedir? Açıklayınız.

İşletim Sistemleri Güvenliği Dersi

  1. İşletim sistemleri saldırı yöntemlerinden 4 tanesini yazarak açıklayınız?
  2. İşletim sistemi özelliklerinden 6 tanesini yazarak açıklayınız?
  3. İşletim sistemi çekirdeğinin sahip olması gereken özelliklerden 4 tanesini yazarak açıklayınız?
  4. Kablosuz güvenlik önlemlerinden 6 tanesini yazınız (sadece adları yazılacak, açıklama yapmaya gerek yok)
  5. Virüs, worm, zararlı yazılım nedir açıklayınız?
  6. 2016 Final
    1. Isletim sisteminin ozellikleri nelerdir. 5 tane yaz
    2. Cekirdegin görevleri nelerdir acikla 
    3. Kablosuz aglarda guvenlik nasil saglanir
    4. virus, truva ati ve kötücül yazilim nedir aciklayin
    5. devlet kurumlariyla alakali yorum sorusu
    6. Isletim sistemi saldiri türlerinden 4 tanesini acikla
    2015 Final
    1-semafor kavramını açıklayınız.
    2-deadblock durumuna örnek 3 durum belirtiniz.
    3-dispatcher nedir? Görevleri nelerdir?
    4-işletim sisteminden beklenen özellikler nelerdir?
    5-çekirdek bölümünün görevleri nelerdir?
    6-görev yönetiminde kullanılan zaman planlaması algoritmaları nelerdir?
    7- virüs, trojen, zararlı yazılım nedir?

Mobil Güvenlik Dersi

  1. Manet ağların kritik güvenlik alt yapısı hakkında bilgi veriniz?
  2. Sosyal ağ nedir, analizi nasıl yapılır?
  3. Manet ağlara güvelik özellikleri ve saldırıları hakkında bilgi veriniz?
  4. Mobil kötücül yazılım tespit yöntemleri nelerdir açıklayınız?
  5. Twitter spam tespit yöntemleri nelerdir, açıklayınız?
  6. Malware dönüşüm teknikleri nelerdir açıklayınız?
  7. 1G-4G geçen süreci güvenlik açısından karşılaştırınız?
  8. Güvenli mobil yazılım geliştirme hakkında bilgi veriniz?

Yapay Zeka Dersi

  1. Adli Bilişim ya da güvenlikle alakalı bir problemi graf teorisiyle çözünüz .
  2. YZ’nin alt dallarını sıralayın
  3. Biometrik yöntemler nelerdir ve kullanım alanlarını sıralayın
  4. Farkettirmeden bir bilgi nasıl gizlenir ve geri nasıl elde edilir.
  5. Genetik algoritmanın çalışmasındaki unsurları açıklayınız

Bilişim Sistemleri

  1. Bilişim (enformasyon) sistemi nedir?
  2. Veri ve Bilgi nedir? İlişki ve farkları nelerdir?
  3. Elektronik ve mobil ticaret sistemleri
  4. Yazılım ve uygulama Arasındaki farklar
  5. Veri tabanı nedir?
  6. internet, intranet,extranet tanımı
  7. Yönetim Bilişim Sistemleri nedir?

Bilgi Çağında Pazarlama Eğitimi Dersi

  1. Bütünleşik Pazarlama İletişimi,
  2. Medya stratejisi nasıl olmalıdır
  3. Üçüncü soruyu hatıramadım

Modern Karar Verme Teknikleri Dersi

  1. İlk iki ünitedeki hesaplamalardan sorabilirim dedi.
  2. ahp ile topsis arasında ki farklar
  3. analitik network sürecini diger yöntemlerden ayıran özellikler
  4. Prometee ile elektro ayıran özellikler nedir

Yazılım Geliştirme Modelleri Dersi

  1. Yazılımların son 25 yıldaki değişimi ve gelişimini günümüzün internet ve teknoloji dünyasında tartışınız
  2. Yazılım mimarı nedir, görev ve sorumluluklarını açıklayın
  3. Use case, akış diyagramı ve sınıf yapısını açıklayınız
  4. Spiral model ve akış modeli(waterfall) i karşılaştırarak açıklayınız

Meslek Etiği Dersi

  1. YBS tanımı örneklerle yapınız?
  2. Etik kavramının tanımı yapıp, ahlak kavramı ile farklarını açıklanız.
  3. Meslek Etiğinin Türkiyede ki gelişimi ve 1980 sonrası meydana gelen değişikliklerden bahsedeniz.

Kriptoloji Dersi (Ödev Konuları ile beraber)

  1. Güvenlik Amacıyla kullanılan Firewall nedir? En yaygın olarak kullanılan bir Firewall hakkında ayrıntılı bilgi veriniz. Kendi kurumunuzdan örnek vererek açıklayınız
  2. IP spoofing saldırısı nedir? Korunma yöntemleri nelerdir? Örneklerle anlatınız.
  3. GPRS Mimarisi nasıldır ve Güvenliği nasıl sağlanmaktadır.
  4. Elektronik imza nedir? Elektronik imzanın hukuksal boyutu. Güvenlik nasıl sağlanır.
  5. WiMAX ağlarda güvenlik nasıl sağlanmaktadır.
  6. IPv6 mimarisi nasıldır ve güvenliği nasıl sağlanmaktadır? Avrupa birliğinin konuya ilişkin çalışmaları nelerdir.
  7. Kartlı ödeme sistemleri nasıl çalışmaktadır ve güvenlik nasıl sağlanmaktadır?
  8. e-posta güvenliği için kullanılan yöntemler nelerdir?
  9. IDS nedir, türleri nelerdir, ne amaçla ve nasıl kullanılırlar, güvenliğe etkileri nelerdir?
  10. Elektronik delil nedir. Hukukda yeri nedir. Örnekler ile açıklanması
  11. VoIP(Voice over IP) güvenliği nasıl sağlanmaktadır.
  12. 3G Mimarisi Nasıldır ve Güvenliği nasıl sağlanmaktadır?
  13. Biyometrik sistem içeren ağlarda güvenlik nasıl sağlanmaktadır.
  14. Ağ Güvenliği için Web filteleme yaklaşımı nedir güvenlik nasıl sağlanır
  15. Bilişim suçları içinde kriptoloji nasıl ve ne şekilde kullanılır, Dava örnekleri ile açıklayalım (Dava bilgileri verilmeden).
  16. RFID ağlarda Güvenlik nasıl sağlanmaktadır?
  17. GPS Güvenliği Nasıl sağlanmaktadır.
  18. Bilişim Suçları Türkiye ve Dünyanın durumu (Ödev konusu hakkında mail ile görüşelim)
  19. Asimetrik şifreleme yöntemleri nelerdir? Seçtiğiniz bir tanesini ayrıntılı olarak açıklayınız.
  20. İnternet Yönlendirme Saldırısı (Internet Routing Attack) nedir? Korunma yöntemleri nelerdir?
  21. IDS nedir, türleri nelerdir, ne amaçla ve nasıl kullanılırlar, güvenliğe etkileri nelerdir?
  22. Bilişim suçları ve etik. Adli olarak incelenmesi. Hukukta örnek davalardan sunumlar.
  23. IPv6 mimarisi nasıldır ve güvenliği nasıl sağlanmaktadır?
  24. WiMAX ağlarda güvenlik nasıl sağlanmaktadır.
  25. Çapraz Site Betikleme saldırıları nedir, türleri nelerdir ve korunma yolları nelerdir?
  26. ZigBee ağların çalışma yapısı nasıldır, güvenlik nasıl sağlanır?
  27. Ülkemizde kripto cihazı üreten firmalar ve kripto cihazlarının tanıtımı. Kripto cihazı üretim durumumuzun dünya pazarındaki yeri.
  28. Ağ İzleme ve Kontrol programları nelerdir, nasıl çalışırlar, Seçtiğiniz bir tanesini ayrıntılı olarak açıklayınız.
  29. Akıllı TV’lerdeki güvenlik nasıl sağlanmaktadır.
  30. WWW’de güvenlik nasıl sağlanmaktadır. Sakıncalı kaynaklara ve kötü amaçlı yaklaşımlara karşı neler yapılmaktadır.

Bilgisayar ve Ağ Güvenliği Dersi

  1. Bilgisayar güvenliği nedir açıklayınız?
  2. Bilgisayar güvenliğinin zorlukları nelerdir?
  3. OSI’yi ağ güvenliği açısından inceleyiniz?
  4. Saldırı ağacını açıklayınız?
  5. Simetrik şifreleme ve simetrik blok şifreleme algoritmaları nelerdir, açıklayınız?
  6. Simetrik ve asimetrik şifreleme arasındaki farklar nelerdir?
  7. Açık anahtar  şifreleme (public cryptogprahy) hakkında bilgi veriniz?
  8. Ağ erişim kontolü yöntemleri hakkında bilgi veriniz?
  9. Kablosuz ağ güvenliği hakkında bilgi veriniz?
  10. Web güvenlik yaklaşımlarını yazınız?

Bilimsel Araştırma Yöntemleri Dersi

  1. Bilimsel araştırmalarda, bilgi kaynaklarından Bilimi hangi amaçla açıklayınız?
  2. Örnekleme yöntem ve tekniklerini açıklayınız?
  3. Özgünlük, Önem ve Yaygın Etkiyi açıklayınız?
  4. Nicel Araştırmalarda Hata, Güvenilirlik, Geçerlik, Güç, Anlamlılık ve Etki Büyüklüğünü açıklayınız?
  5. Etik ihlal davranışları açıklayınız?

Bilgisayar Ağları Dersi Çalışma Soruları

  1. Anahtarlamalı ağlar nelerdir? Açıklayınız. Birbirleri ile karşılaştırınız?
  2. Web Cache nedir? Açıklayınız.
  3. OSI’nin taşıma katmanında (transport layer) yapılan işleri detaylı açıklayınız?
Bilgisayar Ağları
1-OSI referans modelini detaylı açıklayınız.
2-Paket anahtarlamalı ağlarda düğümler arası gecikmeyi açıklayınız.
3-DNS nedir? Detaylı açıklayınız.

Veri Madenciliği Dersi Çalışma Soruları

  1. Veriden bilgi keşfini açıklayınız?
  2. Karar ağacı nedir? Nasıl oluşturulur? Küçük bir veri kümesi örneği veriniz?
  3. Birliktelik kurallarını açıklayınız?
  4. Veri ön işleme adımları nelerdir?
  5. Sınıflandırma nedir açıklayınız. Örnek veriniz
  6. Bilgi keşfi nedir? Adımları nelerdir?
  7. Veriden bilgi keşfini açıklayınız?
  8. Demetleme K Means algoritmasını açıklayınız. Örnek veriniz

Adli Bilisim Inceleme Süreçleri

1. Adli bilisim nedir?
2. Delil poseti uzerinede yazilmasi gerekenleri maddeler ile yaziniz?
3. Raid 1 nedir? Sekil ile ciziniz.

Kriptoloji Dersi Çalışma Soruları

  1. Bilgi nedir?
  2. Kriptografi nedir?
  3. Kripto analiz nedir?
  4. Kripto nedir?
  5. Stenografi nedir?
  6. Kripto Haberleşme emniyeti nasıl sağlanır?
  7. Kripto güvenliği nasıl sağlanır?
  8. Dijital imzayı neden kullanırız?
  9. Simetrik algoritmalar ile asimetrik algoritmalarını karşılaştırınız?
  10. Vejenere tablosu çözümü?
  11. Günümüzde kullanılan kriptografik sistemler nelerdir? Örnek vererek açıklayınız?
  12. Sifreleme anahtarının 13 olduğu bir simetrik şifrelemede örn: “ABCDEFG….” metnini deşifre ediniz?

Ses ve Görüntü İnceleme Dersi (Düz: 11.17)

  1. Görüntü montaj tespiti incelemelerinde kullanılan kriterlerde 5 tanesini yazını ?
  2. Suça konu olmuş konuşmacıyı teşhis işlemlerinde işitsel incelemelerden 5 ölçüt yazınız ?
  3. Sesin süre frekans ve şiddet özelliklerini bir arada incelemeye yarayan çözümleme yöntemine ne ad verilir ?
  4. Adli görüntü ve fotoğraf karşılaştırmalarında , daha özelde ise yüz karşılaştırmalarında genel olarak kullanılan temel yöntemler nelerdir ?
  5. Adli ses teşhisi ne zamanlar gereklidir?
  6. Ses ve Görüntü İncelemeleri
    2016 Final
    1- Adli ses kaydı nedir ? Konuşmacı tespitinde kullanılan yazılımlara 3 örnek veriniz.
    2- Ses kaydı güvenilirliği nedir ? Görsel ve nümerik inceleme kriterleri nelerdir maddeler halinde yazınız
    3- Görüntü montaj tespitinde kullanılan yöntemleri maddeler halinde yazınız.
    4- Fotoğraf ve kişi yüz analizinde kullanılan yöntemleri maddeleri halinde yazınız.
    5- Görüntü bulgularını olay yerinde toplanması ve lab götürülürken dikkat edilmesi gereken hususlardan 3 madde yazınız
    6- Görsel Subliminal mesaj nedir ? Hangi amaçla kullanılır ?
  7. Ses ve Görüntü İncelemeleri 2017 Ocak Final Soruları
    1-Adli ses kaydı nedir? Konuşmacı tespitinde kullanılan yazılımlara 3 örnek veriniz.
    2-Ses kaydı güvenilirliği nedir? Görsel ve nümerik inceleme kriterleri nelerdir maddeler halinde yazınız.
    3-Görüntü montaj tespitinde kullanılan yöntemleri maddeler halinde yazınız.
    4-Fotoğraf ve kişi yüz analizinde kullanılan yöntemleri maddeler halinde yazınız.
    5-Görüntü bulgularının olay yerinde toplanması ve lab götürülürken dikkat edilmesi gereken hususlardan 3 madde yazınız.
    6-Görsel subliminal mesaj nedir? Hangi amaçla kullanılır?

Nesne Yönelimli Programlama Dersi

  1. İstisna nedir? Açiklayiniz ?
  2. 1-60 arasi 5’ser 5’ser yazan programi while kullanarak yapiniz?
  3. Bir program parçacigi veriliyor. çiktisi soruluyor ?
  4. Private kapsüllemeyi anlatiniz ve örnek veriniz. basarilar.
  5. public abstract ve public class arasındaki fark nedir? (Ocak 2018)
  6. Bir program bloğu verildi ve çıktısı soruldu (Ocak 2018)
  7. Kalıtım yoluyla nesne oluşturma nedir örnekle açıklayınız (Ocak 2018)
  8. for döngüsüyle yazılacak ufak bir program soruldu (Ocak 2018)

Gazi Üniversitesinde Adli Bilişim Yüksek Lisans Deneyimlerim

Bu yazımda sizlerle Gazi Üniversitesi’nde yaptığım 2 yıllık Adli Bilişim yüksek lisans maceramda edindiğim tecrübeleri paylaşmak istiyorum.Adli bilişim yüksek lisans programına kayıt yaptırmayı düşünenler ve hali hazırda programa devam etmekte olanlar için faydalı olacağını düşünüyorum.

Başvuru Nasıl Yapılıyor

Üniversitenin çalışma takvimine bakara başvuru dönemlerini takip edebilir, duyurudaki evrakları hazırlayarak başvurabilirsiniz. Uzaktan öğretim programına başvurunuzu programın özüne uygun olarak uzaktan yapabiliyorsunuz. Evrakların teslimini Ankara’da bir tanıdığınız varsa yapmanıza izin veriyorlar. Bunun için Ankara’da bulu Lisans mezuniyetinizin Başvurabilecek Lisans Programları listesine uygun olması gerekiyor. Teknik Eğitim Fakültesi Bilgisayar Sistemleri Öğretmenliği mezunları da bu programa kabul edilmesi de bence bir avantaj. Bunun nedenini adli bilişim ana bilim dalını açan ve derslerine giren kurucu hocaların bu programın hocaları olmasına bağlıyorum.

Özel Öğrenci Statüsü ile Başvurmak

Hali hazırda bir ALES puanınız yoksa duyuruları takip ederek özel öğrenci statüsü ile başvurup azami 2 ders alabiliyorsunuz. Daha sonra programa kayıt yaptırırken bu dersleri saydırıyorsunuz. ALES sonucunu beklemekle zaman kaybetmek istemeyenler için değerlendirilmesi gereken bir avantaj.

Dersler, Ders Seçimleri ve Vize Notları

Enstitünün ana sayfasında ders seçimlerinin başlangıç tarihi ile ilgili yönlendirmeler yapılıyor. Danışmanınızın onayı ile enstitüdeki diğer  ana bilim dallarından da ders seçebiliyorsunuz. Derslerin başladığı ilk hafta ekle-bırak haftası olarak geçiyor ve dersi bırakıp farklı bir ders seçebiliyorsunuz. İlk derse girip hem hocayı hem de dersin sizi sunacağı olası katkıyı analiz etmek ve gerektiğinde dersi değiştirmek için oldukça faydalı. Ben hiç yapmadım ayrı konu. Ayrıca dersin AKTS sayfasında verilen Quiz, uygulama, proje ve ödev dağılımları hiç bir zaman sayfada yazılı olduğu şekilde uygulanmıyor. Her hocanın kendine özgür bir yoğurt yiyişi var. Kimi hoca (sadece Sami ACAR ve İbrahim ERMENEK) vize sınavı yapıyor (tabiki internet üzerinden online bir sınav) çoğunluğu ise vize sınavı yerine geçecek bir ödev/proje çalışma konusu veriyor ve bunu derste anlatmanızı istiyor. Şu ana kadar en çok ödevi veren hoca İbrahim Doğru olmuştu. Sanırım 50 makale okumuşumdur 5 makalelik vize ödevi için. Tabi bu tamamen öğrencinin ilgi ve mesai durumu ile alakalı bir durum. Diğer taraftan şunu da kesin bir bilgi olarak kaydetmeliyim ki; hazırlanan projelerin raporları hiç bir hoca tarafından baştan sona irdelenerek okunmuyor/incelenmiyor. Tahminim belli kısımları içerik ve biçimsel olarak gözden geçiriliyor. Bunu neye göre söylüyorum derseniz; raporlarda yaptığım bariz hatalardan ve sunuculardan birinin shadow çıktısını raporda paylaşmama rağmen hocadan herhangi bir dönüt almama. Özetle, eğer çalışma raporunun sunumu da yapılacaksa raporun genel olarak sayfa sayısı ve biçimsel düzenine bakıldığını söyleyebilirim. Vize notu sunum kalitesine konuya hakimiyetinize göre spontane veriliyor. Diğer taraftan hocaların üzerlerindeki iş yükünün yoğunluğu. Bu yorumlarımın gerçekliğini 15 yıllık öğretmen olmamla da ilişkilendirebilirsiniz.

Bir diğer önemli konu da ders seçimi. Ders seçimini önceden belirlenen tarih aralığında öğrenci işlerinin vereceği kullanıcı adı (öğrenci numaranız) ve parola ile ogrenci.gazi.edu.tr adresinden girerek gerçekleştiriyorsunuz. Fakat bu aşamada önemli bir sıkıntı var. Enstitü tüm derslerin açılması ve derslerde yığılma olmaması için kontenjanları 1’er 2’şer serbest bırakıyor. Bu durumda erkenden ekranın başında pozisyon alarak istediğiniz dersin kontenjanı açıldığında hemen derse kayıt olmanız gerekiyor. Ekranın başına saatlerce kilitlenmemek için size size iMacros’u önerebilirim. Ben bu eklentiyi kullanarak kayıtlarımı gerçekleştirdim. iMacros tarayıcıdaki fare ve klavye hareketlerini kaydeden ve istediğiniz sıklıkta uygulayan bir makro eklentisi. Chrome ve Firefox için sürümleri var.

Final Sınavları

Belkide halen programa devam edenler için en önemli başlık bu. Finaller içerdiği bilinmezlik ve ağırlığı itibari ile en çok gerginlik yaratan konulardan biri. Bazı hocalar son dersinde yardımcı olmak adına kısmi olarak final sınavında odaklanılması gereken konulara açıklık getirebiliyor. Kimi ise soruları çıkacağı konu başlıklarını doğrudan veriyor ve hafif değiştirilmiş versiyonlarını direk soruyor. Son derste verilen tiyoların bir kısmı final sınavı ile ilişkili iken bir kısmı da bütünleme sınavını ile ilgili oluyor. Final sınavından geçemezseniz 1-2 hafta sonraki bütünleme sınavına girebiliyorsunuz ve yanlış hatırlamıyorsam final sınavı ile aritmetik ortalaması alınıyor. Dersleri düzenli takip edip, not tutup biraz çalışınca geçmemek zor değil. Ben de final sınavı itibari ile iz bırakan tek sınav Osman DOLU hocanın Suç Teorileri final sınavı olmuştur. Ne demek istediğimi çalışma sorularına bakarak anlayabilirsiniz. Osman Hoca Amerika da doktorasını yapmış polis akademisi hocalarından ve adli bilişimle ilgili kültürü iyi sayılabilecek hukuk hocalarından, insancıl diyebileceğimiz bir insan kendisi. Kendisinden faydalandık, hepimiz gibi kendi tabiri ile “maraba” kişiliği ile kendini sevdirdi. Tökezlediğim tek ders Tebligat Hukuku oldu. Kapsam olarak bu konu teknik adam olan adli bilişimciler için soğuk bir konu ve bana göre tek başına bir ders olamayacak bir konu. Sanırım motivasyonsuzluk beni bütünleme sınavına oradan da ortalamanın düşmesine sürükledi.

Final sınavları yüz yüze (Ankara’da en son gazi üniversitesi hukuk fakültesi salonlarında 45’er  dakikalık sürekli oturumlarda yapılyordu) klasik soru şeklinde yapılıyordu. Genellikle 4-5 sorudan oluşuyor bazı derslerde ise 8-10 soru olabiliyordu. Genel olarak soru niteliği ve cevap süresi yeterli. Önceden kendinizi 45 dakika sürekli yazmaya alıştırmak için parmak egzersizleri yapmanızı tavsiye ederim.

Vize ve Final sınavları hocalar tarafından ortalama 10 gün içinde değerlendiriliyor ve ogrenci.gazi.edu.tr sistemine yükleniyor. Birkaç gün boyunca burada puanınızı görebilirken harf notunu ve sınıf ortalamasını göremiyorsunuz. Bu süre sınavlara itiraz ve düzeltme süresi. Dersin hocası ile iletişime geçerek sınavınızın akıbetini sormaktan çekinmeyin. Yüksek lisans öğrencilerinin özellikle uzaktan öğretim öğrencilerinin hocalar nezdinde geniş toleranslara sahip olduğunu söyleyebilirim (tabi ki bu yaklaşım hocasına göre değişebilir). Önceden hocanın kişisel eposta (sık kullandığı bir adres örn: gmail.com, hocalar genelde @gazi.edu.tr adreslerine sık bakmıyorlar. Nurettin Topaloğlu’nun haricinde). Hocanın cep telefonununa da sahip olmak sıkıştığınız bir zamanda kıymetli olabilir. Sadede gelecek olursak hocalar bazen vize notlarını yanlış değerlendirebiliyor. Örneğin yaptığınız bir ödev veya ödevin mahiyeti gözden kaçabiliyor. Bir çok durumda iletişim kurarak vize notunu düzeltme şansım olmuştu. Yani söylemeye gerek yok hakkınızı aramaktan geri durmayın tabi kimseyi ürkütmeden yapın bunu :) Gazi’de bağıl değerlendirme ya da diğer adı ile çan eğrisi sistemi uygulanmakta. CC yani geçme notu sınıfın ortalamasına göre değişmekte ve çoğu durumda dersten kalanların oluşmasına neden olabilmekte.

Ders İçerikleri

Ders içeriklerinin akreditasyonuna üniversitenin şu sayfasından ders kodu ile göz atabilirsiniz. Lakin bazen derslerin içeriklerinin eksik girildiği ya da hiç girilmediği oluyor. Hatta ders içeriği ile uyuşmayan ders anlatımları ile de karşılaşabilirsiniz. Bu konuyu dersin hocası ile iletişime  geçerek veya ekle/bırak haftasında hocaya sorarak giderebilirsiniz. Yazının sonlarına doğru aldığım tüm dersleri, hocalarını ve ders içeriklerini kısaca tanıtmaya çalışacağım. Canlı dersler uegazi.edu.tr sitesi üzerinden Adobe Connect ile gerçekleştiriliyor. Derslerde çoğu hoca webcam görüntüsünü sunarak bir sunu eşliğinde sesli konu anlatımı yapıyor. Genellikle anlatımlar sununun okunması şeklinde oluyor. 50 dakikalık sınırlı süre içerisinde öğrencilerin sorularını yöneltmesi için süre kalmıyor. 50dk’yı geçmiyor çünkü hocaların ard arda ders oturumları olabiliyor. Öğrencinin katılımı çoğunlukla ortak sohbet penceresine yazı yazarak oluyor. Aldığım 10 dersin hiçbirinde öğrenci mikrofonlu katılım yapmadı. Kimi hoca mikrofonla katılın diyor fakat benim tahminim dersin sunulması süre açısından sekteye uğrayacaktır.

Normalde hocalar dersin içeriği ile ilgili materyalleri dökümanları uegazi sistemine yüklemeleri gerekiyor. Ama bazen final sınavlarına hatta bütünleme sınavlarına kadar dahi çalışacak döküman bulamayabiliyorsunuz. Bu nedenle derslere düzenli katılmalı ya da sunum sırasında paylaşılan dökümanların adreslerinden bilgisayarınıza indirmelisiniz.

Ders programınıza göre ilgili saate tarayıcınızı açarak ders oturumuna katılıyorsunuz. Bu noktada önemli bir bilgi paylaşacağım. Derslere katılımınız, izleme ve canlı derslerde bulunma süreniz, dersteki aktivite durumuz (hocaya yazılı mesajlar sorma, mikrofon ve ekran yönetimi alma vb)  gibi bilgiler sistem tarafından kaydediliyor ve dersin hocasına rapor olarak gösteriliyor. Çoğu hoca bu istatistikleri dikkat almıyor ama aldığını alacağını söylüyor. Diğer taraftan vize notu oluşumunda bu kriterin veya kanaat notunun varlığını teyit eden resmi bir kaynak yok. Bunun üzerine basarak dikkate alacağını ifade eden tek hoca Erdal IRMAK olmuştu. Erdal Hoca’nın verdiği İleri Web Programcılığı dersinde 15 yıldır aktif olarak kullandığım PHP anlatılmasına rağmen final sınavında resmen ters köşe oldum. Dersin ana içeriğinin dışında (ilk 2 hafta anlatılan genel web konuları) sorular gelmesi nedeniyle geçme notum CB olarak oluştu. Hocanın söylemine göre; biz bu derste PHP anlattık ama kimi .NET teknolojilerinde kimi de python gibi dillerde uzman olabilir, bu nedenle daha çok web ile ilgili genel sorular soracağım demişti. Sordu da. :)

Belkide bu yazımın en kıymetli can alıcı paragrafıdır bu. Bu programdan mezun olmanız durumunda (yüksek not ortalaması ile dahi) adli bilişim uzmanı olacağınızı düşünmeyin. Açık ve net olarak belirteyim ki bu program tek başına size hiçbir fayda sağlamaz. Mesela ders dökümanlarının tamamını burada paylaştım. Okuyun. Bilişim ve bilişim güvenliği ile genel kültür seviyesinde alakalı biri olduğunuzu düşünüyorum. Ekstra gayret göstermeyip araştırma yapmadığınız takdirde öğrenebilecekleriniz bu dökümanlar ile sınırlı. Daha önce belirttiğim gibi dersin süresi açısından dersin hocasının size katabileceği fazla bir şey yok. Bir diğer ilginç durumda derse giren hocaların hiçbiri adli bilişim konusunda uzman değillerdi. Kimi mühendislik fakültesi hocaları kimi ise hukuk fakültesi hocaları idi. Hocaların üniversitenin kişisel web sayfalarından görebileceğiniz üzere akademik çalışma ve yayınları da bu bilgiyi teyit eder. Bence hangi üniversite olduğunun bir önemi yok. En önemli şey hocaların adli bilişim ve siber güvenlik konularındaki uzmanlıkları. Bana göre bu konuda eğitim verebilecek kişilerin sayısı Türkiye’de oldukça sınırlı. Onları da zaten çoğu durumda bir eğitmen olarak bulamazsınız. Ne yaparsanız kendi başınıza yapacaksınız. Kendi adıma söyleyeyim 4 yıl teknik lise, 4 yıl elektronik-bilgisayar eğitiminin ardından 14 yıllık öğretmenlik deneyimim ardından (ki 18 yıla yakın security işleri ile ilgiliyi her bulduğum dökümanı okurum, çeviri yaparım kod yazarım vs. ilgilendiğim konuları bu bloğun içeriğinden izleyebilirsiniz) bana tek faydası olan ödevler vesilesi ile yaptığım araştırmalar idi. Hocaların uzmanlık seviyeleri kesinlikle Adli Bilişim için yeterli değil. Enstitü’nün bu konuda kendisini yeniden yapılandırması gerekiyor. Forensic konusu hakkında belli sayıda yayın ya da sempozyum katılımı aranmalı. Kitapları saymıyorum çünkü bu konuda Türkçe basılmış kitaplar da yeni bilgiler yok tamamı uluslararası kaynaklardan çeviri mahiyetinde. Diğer taraftan akademik kadrolara da hak vermek gerekir ki çok fazla işle uğraşmak zorundalar ve Forensic konusu da çok derin bir bilim alanı.

Eğitimim boyunca karşılaştığım en garip olay ise örnek bir adli bilişim vakası hakkında rapor hazırlamadık. Raporun biçimi, anlatım dili vb. konularda ne bir rapor inceledik ne de yazımı konusunda bir bilgi verildi ya da kaynak gösterildi. Adli bilişimcinin nihai amacı olan rapor es geçildi maalesef.

Tezsiz’den Tezli’ye Geçiş ve Akademik Kariyer

Bunun şartları YÖK tarafından üniversite yönetimine bırakılmış. Ortalamanız 3.5 ve üzerinde ise dilekçe vererek tezliye geçiş yapabiliyorsunuz. Umarım bu başlığı yolun başında iken okuyorsunuzdur, keza hocalara psikolojik baskı ve acıtasyon her daim mevcuttur Türkiye şartlarında. Benim gibi 3.35’de takılınca bunun pişmanlığını yaşamanızı istemem. Tabi çok katı hocalarda vardır, onlara prensipli duruşlarından ötürü bir şey diyemiyoruz. Keza 3.5 yani BA ortalaması 100 üzerinden 88 ve üzerine karşılık geliyor. Özellikle alanında yüksek yapmayanlar için zorlayıcı olabilir. Neden tezli yapmak isteyebilirsiniz? Bildiğim kadarıyla kamu da yükselirken ya da yeni bir göreve gelirken tezli / tezsiz ayrımı fazla gözetilmiyor (geçmişte meb’in müdür yardımcılığında farklı puanlanmıştı). Öğretmenler için ek ders ücretini %5 zamlı alırken de böyle bir ayrım gözetilmiyor. Ekleme: Uzaktan tezsiz yüksek lisans yapanlar boş yere kasmasınlar tezliye geçemiyorsunuz. Ancak örgün eğitimde tezsiz de okuyanlar tezlinin (ales, dil puanı vb.) asgari şartlarını sağladıkları takdirde tezliye başvurup, tezsiz yüksek lisansta aldıkları dersleri saydırabiliyorlar. Bu konu ve daha fazlası hakkında sağlılıklı bilgiyi enstitü sekreteri Mümin Deligezer’den öğrenebilirsiniz.

Eğer not ortalamanız yüksek ise ve akademik kariyer yapma hedefiniz varsa değerlendirmeniz gereken bazı konular var. Bu konuda bilgi sınırlı olmakla beraber edindiğim bazı tecrübeleri paylaşmak istiyorum. Gördüğüm Türkiye’de akademik kariyer puan toplama sistemi üzerine kurulmuş. Yazdığınız makaleleri içerik ve şekil olarak akademik formatta yazmaya özen göstermelisiniz. Nurettin Topaloğlu’nun benimle paylaştığı bu döküman akademik makalenin nasıl yazılacağı konusuna ışık tutuyor. Bu noktada danışmanınızın sizin ile alakası ve yönlendirmesi de kritik öneme sahip. Çeşitli üniversiteler zaman zaman ulusal ve uluslararası sempozyumlar düzenleyebiliyor. Bunları takip edip sempozyuma bildiri sunmak da size puan kazandıracaktır ki bu sempozyumların ana amaçlarından biri de akademiklere puan kazanacakları ortamlar oluşturmaktır. Buradaki dökümandan ne demek istediğimi daha rahat anlayabilirsiniz. Ayrıca kitap yazmak da hem puan getirir hem de maddi gelir sağlar lakin takdir edersiniz ki uzun ve zahmetli bir süreçtir. Genelde bu zahmet birden fazla yazar arasında bölüşülerek hafifletilir ve çok yazarlı kitaplar yazılabilir. Tabi ki bu kitaplar editörsüz olmaz, bir kitaba editör olarak editöryal bir organizasyon sağlamak da size editör puanı getirebilir.

Enstitü ile İletişim

İletişim sayfasındaki telefon numaralarının yanında yayınlanmayan ve yine öğrenci işleri görevlilerine ulaşabileceğiniz telefonlar var. Bunları yüzyüze iletişiminzde kuracağınız ilişkinin samimiyetine dayanarak talep edebilirsiniz. Uzaktan eğitim sistemi üzerinden (uegazi) yapacağınız iletişimlere ya hiç cevap verilmiyor yada çok geç cevap verilebiliyor. Bu tür iletişimlerinizi samimi olduğunuz bir hocanın forward’ü üzerinden yaparsanız dikkate alınacaktır. Enstitünün sayfası genel anlamda süreç ve işlemler hakkında yeterli bilgi ve yönlendirmeyi sağlıyor. Yine de özel sorularınız olabilir. Bu sorular için ilk adres öğrenci işleri 2. adresiniz ise danışmanız. Çoğu danışman ders içeriğinin dışındaki yönetmelik ve süreçlerle ilgili sorularınız da sizi yüzlerce sayfalık resmi gazete listelerine, enstitü sayfasına ve ilgili ana bilim dalının sorumlu araştırma görevlisine yönlendiriyor. Hocalar ile iletişim önemli özellikle vize ve final süreçlerinde isminizin hoca tarafından hatırlanması önemli. Özellikle sınav şeklinde yapılmayan vize puanlarından hocanın kanaati ağırlık basabiliyor çünkü değerlendirme çok kriterli değerlendirme baremleri kullanılarak yapılmıyor. Programı bitirinceye kadar 10 civarında araştırma/çeviri yapmışımdır (buradan görebilirsiniz) hiçbirisinin okunduğu düşünmüyorum. Verilen puana esas ödevde yapılan inceleme sayfa sayısı metin düzeni ve kaynakça kapsamında oluyor. Yani sayfa sayısı ve metin düzeni önemli. Tabi ödevleri zamanında sisteme yüklemeniz gerektiğini hatırlatmaya gerek yok. Derse katılarak veya hocaya mail atarak sorular sorun dersin konusu ile doğrudan veya dolaylı konularda fikrinizi beyan edin. Hatta yapabiliyorsanız fiziksel olarak dersin hocası ile tanışın. Siyaseten ilgili hoca ile aynı kulvarda olduğunuzu hissettirmek de hayatın her alanında olduğu gibi etkili olacaktır. Gazi üniversitesi eskiden beri milliyetçi az da olsa muhafazakar kadrosu ile bilinir. AKP döneminde ikinci done biraz daha ağırlığını göstermiş olabilir. Yine de tüm hocaların (en azından ders aldığım) demokrat ve akılcı insanlar olduğunu bilime ve bilgiye kıymet verdiklerine inanıyorum. Her hocanın bu konudaki kurduğu dengeler farklı. Kısaca tanışın el ele değsin.

Öğrenciler Arası Bilgi Paylaşımı ve İletişim

Bu enstitünün kurumsal organizasyonu ile sağlanamayan bir eksiklik. Uegazi sitesinde bu amaç için bir forum kısmı var fakat öğrencilerin gönderileri arasında yıllarca fark var. Burası etkin kulllanılmıyor. Diğer taraftan ilişiğinizi kestikten sonra ulaşamayacağınız bir mecra. Eğitimim süresince buradan bir fayda göremedim. Belki enstitü yönetimi burayı etkin kullanmaya sevk edici tedbirleri alabilir. Genellikle dersin öğrencileri arasında doğal bir iletişimsizlik var, ders sırasında canlı sohbet etme özelliği var fakat sistem içinde olduğu için özgürce konuşulabilecek bir güveni sağlayamıyor. Bunun yerine öğrenciler tarafından kurulmuş birkaç kapalı facebook grubu var. Hatta ben de bir tane kurmuştum ama etkin olamadı. Belki de en etkili iletişim ve paylaşım yöntemimiz WhatsApp grupları olmuştur. Ders sırasında canlı sohbet ile telefon numaralarımızı alarak dersin WhatsApp gruplarını oluşturmuştuk. Bu konuda da birisinin ön ayak olması ve grubu oluşturması gerekiyor. Bu grupların faydasını çok gördüm, özellikle dersi daha önceden almış olanlardan örnek final sorularını edinmek adına. Size de şiddetle tavsiye ederim. Benim gördüğüm derse katılanlar genellikle bir iş hayatı olan meşgul insanlar. Ayrıca adli bilişim gibi spesifik bir alan ile doğrudan ilgili olan birkaç kişi tanıyabildim. Onlar da genellikle emniyet mensubu olup pozisyon geliştirmek/değiştirmek isteyenlerdi. Paylaşım demişken vize proje çalışmalarım ile edindiğim işe yarar bilgileri Güvenlik\Adli Bilişim (Forensic) kategorisi altında paylaştım. Bir kısmını da acamedia sitesi üzerinden yayına verdim, ilginizi çekebilir. Sizinde özgün çalışmalarınız varsa yayınlamaktan mutlu olurum.

Dönem Projesi & Raporu

Tamamen hocasına göre sıkıntılı bir hal alabilir ya da hissetmeden geçebilir. 10 dersi aldıktan sonra sizden bir dönem projesi çalışması beklenecek. Bu çalışmanın konusunu belirleyip danışmanınızdan onay aldıktan sonra enstitüye “Proje bildirim formu” ile yazılı olarak bildiriyorsunuz. Forma enstitünün sayfasından ve gönderim tarihlerine duyurular kısmından bakabilir veya iletişim kurabilirsiniz. Size tavsiyem elle tutulur işe yarar bir çalışma yapmak istiyorsanız en az 1 dönem öncesinden başlayın. Son döneme bırakırsanız efektif olarak çalışabileceğiniz 2.5 aylı bir süreye sahip oluyorsunuz (seçim ve rapor kontrol süreçlerinden dolayı). Üniversitenin tez yazım kılavuzuna göre bir rapor hazırlayacaksınız, ilgili araştırma görevlisinden onay alıp en sonunda bastırıp teslim edeceksiniz. Sunum ve proje hazırlığı sancısız geçebilirken raporun tez yazım kurallarına göre yazılması çok sıkıntılı olabiliyor ilgili asistanla 1.5 aylık süre zarfında onlarca mail trafiği yaptım ve word dosyasında düzeltilmesi gereken konular şöyle oldu. Sunuma önceden gidip diğer sunumları dinleyebilirsiniz. Ben öyle yaptım. Gördüm ki yalandan yere o kadar kasmışım. Aslında bir kaç maddelik ve birkaç günlük bir mental mesai ve temel sayılabilecek sunum konuları üzerine hazırlanan çalışmalar bile hocaların takdirini alabiliyor ve geçiyor. Yani bu görevden ve sunumdan başarısız olma ihtimaliniz çok düşük. Hocaların genel bakış açısı adam 10 dersi almış mezuniyetine engel olmayalım şeklinde. Tabi tezsiz yüksek lisanstan bahsettiğimi hatırlatmak isterim. Tezli yüksek lisans’da bir savunma yapmanız istenecek. Bu durum bahsettiğim kadar kolay ve rahat olmayabilir. Son olarak size tavsiyem işe yarar yani diğer insanlara faydalı çıktılar üretecek bir konu seçiminde bulunmanız ve Academia.edu gibi ortamlar üzerinden paylaşmanız. Ben ne ürettim diye merak edenler olabilir ama söyleyemem dilim varmaz söylemeye ;)

Ödevler için Araştırma Nasıl Yapılır

Zaman zaman vize yerine geçecek ödevler için araştırma yapmanız gerekecek. Kaliteli ve doğru kaynaklara nereden nasıl ulaşacağınızı bilemeyebilirsiniz. Paragrafın sonunda adreslerini verdiğim arama sitelerinden araştırma konunuz ile ilgili akademik makalelere veya yayınlara ulaşabilirsiniz. Adreslerin önemli bir kısmı full dökümanı indirmek için anlaşmalı bir üniversitenin proxy adresini gerektirir. Bunun için öğrencisi olduğunuz üniversitenin IP bloğu içinden veya kullanıcı adınız ile giriş yapacağınız bir proxy ile kaynaklara ulaşmalısınız. Merak etmeyin Ünivesite sizin yerinize bu makalelerin ücretlerini ödüyor. Kayıtlı ve aktif bir öğrenci iseniz zaten hali hazırda bir kullanıcı hesabına hatta mail adresine ([email protected]) sahipsinizdir. Öğrenci sistemine giriş bilgilerinizi kullanarak buradaki sayfadan bir proxy hesabı oluşturmalısınız. Aksi takdirde bu linkte verdiğim adreslerden araştırma yapabilir ama tam dökümanı indiremezsiniz. Öncelikle bir proxy hesabı açın.

Diğer taraftan Google Akademik arama sayfası da başarısı yadsınamaz sonuçlar döndürmekte. Tam bu noktada size bir arama tiyosu vereyim… Arama sonuçlarında her bir yayının altında “Alıntılanma sayısı” bilgisi yer almakta (bu makalenin ne kadar başarılı ve popüler olduğu hakkında önemli bir değerdir). Alıntılanma sayısı bağlantısına tıkladığınızda bu makale ile konusal olarak bağlantılı diğer makalelere de ulaşabilirsiniz. Aynı yerdeki “İlgili makaleler” bağlantısı da sizi benzer sonuca götürür. Her aramada anahtar  kelimelerinizi de geliştirmeyi unutmayın.

Bir diğer önemli araştırma  kaynağı da Google ve Yandex gibi büyük arama motorlarıdır. Bu arama motorları ile ext:pdf anahtarını kullanarak pdf dökümanları içerisinde arama yaptırabilirsiniz. Örn: “mobile forensic ext:pdf”  Bu trick özellikle güncel makale ve kitapların tam sürümlerine ulaşmakta faydalı oluyor (diğer dosya uzantılarını da kullanabilir dilerseniz aramayı site: operatörü ile belli bir site üzerinde gerçekleştirebilirsiniz. Örn “site:tankado.com ext:pdf” veya “site:gazi.edu.tr ext:pdf“). Yine derslerden birinin araştırması sırasında mobile forensic konusu ile alakalı birçok makale toplamıştım. Topladığım makalelere github sayfamdan ulaşabilirsiniz.

Gazi üniversitesi merkez kütüphaneden (rektörlük kampüsü içindedir) 2007 sonrası tezlerin dijital kopyalarına ulaşabilirsiniz. Öncesinin ise basılı kopyalarına kütüphaneden ulaşabilirsiniz. Fikir vermesi açısından Adli Bilişim alan derslerinden birisi için yaptığım proje ödevi teklifine buradan göz atabilirsiniz. Gazi Üniversitesi öğrenci ve akademisyenlerin yayın izni verdiği çalışmalarını “Açık Arşiv” ‘inde yayınlıyor. Göz atmanızda fayda var.

Çalışma Soruları

Katıldığım derslerden çıkarttığım bazı sorular burada, sayıları ve türleri artırılabilir. Siz de aklınıza gelen soruları gönderirseniz yayınlamaktan mutlu olurum. Muhtemelen bu durum hocaların hoşuna gitmeyecek. Neden  paylaşıyorum? Çünkü bu sorulara ulaşmak hiç de zor değil. Deneyim ettim ki aynı sorular yıllarca kullanılmakta. Amacım odur ki öğretimi pozitif yönde etkileyecek, öğrenme çıktılarını özgün ve güncel soru kalıpları ile etkin olarak ölçen sorular üretilebilsin. Bu hocalarımıza tabi ki fazladan bir yük getirecek ama, amaç gerçekleşirse memleket için bu daha iyi olacak. Çocuklar daha sıkı çalışmak zorunda kalacak ve iyi yetişecekler. İşte size en baba sorulardan biri: “1960 lı yıllardan bu yana süregelen pozitivistik akımdan neo klasik akıma geçiş sürecinde yaşanan ceza adalet sistemi üzerindeki geçişi izah ederek, günümüzdeki ceza adalet sisteminin siber suçlarla mücadele ile ilgili durumu rasyonel tercih ve caydırıcılık teorilerine bağdaştırarak acıklayınız?” Teşekkürler Osman Dolu Hocam :) Bu arada maraba öğrencinden selam olsun sana! ;)

İlişik Kesme

Belki biraz hazin belki de hüzünlü bir süreç.  İlki değil fakat ikincisi espri. Merak etmeyin yüzünü hiç görmediğiniz onca hoca ve sınıf arkadaşınızı özle(ye)meyeceksiniz. Dönem proje raporunda danışmanınız ve enstitü müdürünün imzalayacağı sayfalar var. Sunumun ardından raporunuzu ciltlettikten sonra imzalatmanız gerekecek ve bu iş için 1 ay süreniz olacak. Diğer taraftan belki de hiç ilişiğiniz olmadığı halde kütüphaneden de ilişik kesmeniz istenecek. Malesef hiç gitmediğiniz o kütüphaneye hiçnir ilişkiniz olmadığı halde ilişik kesmek için gitmeniz gerekecek. (Bknz: İlişik kesme formu)

Diğer Konular

Tezsiz yüksek lisans bitince Yüksek Mühendis ünvanı kullanılabiliyor mu? Evet kullanılabiliyor.

Ev tipi su arıtma sisteminin filitrelerini değiştirmek

Yaklaşık 14 ayın sonunda kullandığım su filtreleme sisteminin filtrelerini değiştirdim. Aslında bu süre uzun gibi gelebilir. Üreticiler kullanıma bağlı 6 aydan başlayan süreler öneriyorlar. Son bir yılda kullandığım filtreleme sistemine neden daha erken geçmedim diye kızıyorum. Suyun tadı gerçekten çok güzel ve içtikçe içesiniz geliyor. Su konusunda hassas ve çok tüketen biri olarak damacana veya hazır sulardan daha iyi bir tada sahip olduğunu söyleyebilirim. Ayrıca kullandığım sistem sanırım buydu. Fiyat ve özellik olarak oldukça makul bir sistem. Zamanında ihlas vb. markaların evleri dolaşarak fahiş rakamlara bizim ürünümüz diğerlerinden farklı diyerek sattığı ürünlerin suyunu da biliyorum. Bu gibi firmalar ürünlerinin özel olduğu iddiası ile çok değişik ürünler satabiliyor. Bu özel olma durumu da kapalı satış ağlarından kaynaklanıyor. Üstün ve kaliteli ürünün ayırt edebilecek teknik bilgiye ve öngörüye sahip olmayan ülkem insanı özel olmanın verdiği motivasyon ile kullandığı ürünü över, anlatır ve sonraki satışına referans olur. Emin olun ki astronomik karlar ile bu ürünleri satıyorlar. Kanmayın. Kapalı satış ağlarından uzak durun, evinize davet etmeyin başkasına da referans olmayın. İlla o markayı almak istiyorsanız aynı ürünleri sahibinden.com ya da kendi servislerinden çok daha  uygun fiyata bulabilirsiniz.

Dediğim gibi; tavsiye edilen 6 aylık filtre kullanım süresini iki katından fazla aştığım için filtrelerimi yenileme karatı aldım. Aslında şeffaf kaba sahip tortu filtresi de beni sürekli değiştirmem konusuna teşvik ediyordu. Bu filtre ilk 1 haftadan itibaren esmerleşmeye başlıyor ve 3-4 ayda tamamen açık kahve kıvamına geliyor. Görüyorsunuz ki şehir şebekesinden gelen su toz toprak içeriyor. Bu filtrenin rengi koyulaştıkca sürekli bir filtre değiştirme dürtüsü oluşuyor. İlk eski filitremi söküp içini inceleyince aslında durumun  o kadar endişe verici olmadığını gördüm. Filtrenin kesitini inceleyince esas koyuluğun dış çeperlerde olduğunu ve içeriye aynı derecede nüfus etmediğini gördüm. Aşağıda resmini görebileceğiniz 5mikron kaba filitre 14 ay boyunca 3 kişilik bir ailenin kullandığı bir filtreydi. Bana soracak olursanız bu filtre bir süre daha görev yapabilirdi.

Filtreleri yenilemeden önce suyun tadındaki değişikliği test edebilmek için eski filtrelerden süzülen 1 Lt suyu kenara ayırmıştım. Yeni filtreleri taktıktan sonra tankı 3-4 kez doldurup boşalttım. İlk 2 tank gerçekten pisti (sanırım karbon filtrelerin tozundan kaynaklı) . Eski filtre ile yeni filtrenin süzdüğü suyun  içimini test etmek o kadar da kolay olmadı. Esasında yeni filtrelerın ph’ı belki 1 tık daha yüksekti. Ama emin olun ki aynı testi gözlerim kapalı yapsaydım yanılabilirdim. Belirgin bir fark görmedim. Bu da eski filtrelerin değişimi için biraz daha bekleyebileceğim sonucunu doğuruyordu.

Filtrelerin içini sökünce gördüğüm ilginç bir manzara da mineral filtresinde idi. Dere kenarlarında bulabileceğiniz bildiğiniz mineralli taşları kullanarak filtre yapmışlar.Bu işin uzmanı değilim ama yine de yurdum insanının uyanıklığının (yerli bir filtre sistemi kullanıyorum) bir ürünü olmadığını düşünmek istiyorum.

Kablo kanalından Arduino deney tahtası yapmak

Geçtiğimiz dönem okuldaki derslerde kullanmak üzere bir Arduino deney tahtası yaptık. Basit ama kullanışlı bir çalışma oldu. Breadboard ile Arduino Uno’yu bir board üzerinde birleştirerek uygulamaların daha derli toplu ve güvenli yapılmasını sağladık.

Bilgisayarlarınızın yol açtığı kablo karmaşıklığından kurtulun

Benim gibi bilişim ile profestonel olarak ilgilenen birisiyseniz birden fazla bilgisayar ve çevre birimlerinin yarattığı kablo kalabalıklığı başınızı arıtabilir. Kablo toplama spirali, kağıt kıskacı , cırt cırtlı bant ve biraz emekle bu kablo karmaşıklığından etkin şekilde kurtulabilirsiniz. Aşağıda çalışma masamın önceki ve sonraki hallerini görebilirsiniz.

Eski devre kartlarından ve disketlerden kalemlik yapalım

E:\Resimlerim\Resimlerim Yeni\Etc\İçindekiler\Yeni klasör\20161028_194957_2.jpg

Üzerinde SMD elemanlar olan Uygun büyüklükte bir PCB yi keserek çok hoş ve tarz bir kalemlik yapacağız.

E:\Resimlerim\Resimlerim Yeni\Etc\İçindekiler\Yeni klasör\20161028_201919_2.jpg

Öncelikle kutunun yan yüzeylerini oluşturacak kenarları sivri uçlu bir cisim ile kartın üzerine çizin.

E:\Resimlerim\Resimlerim Yeni\Etc\İçindekiler\Yeni klasör\20161028_235017.jpg

Daha sonra kenarları birbirine geçebileceği olukları açın.

E:\Resimlerim\Resimlerim Yeni\Etc\İçindekiler\Yeni klasör\20161028_235313_2.jpg

Bu olukları kullanarak kartları birbirine geçirin. Sadece alt taban açıkta kalacak. Buraya uygun bir kesim yaptıktan sonra kutunun iç tarafından japon yapıştırıcı kullanarak yapıştırın. E:\Resimlerim\Resimlerim Yeni\Etc\İçindekiler\Yeni klasör\20161029_002239_2.jpg E:\Resimlerim\Resimlerim Yeni\Etc\İçindekiler\Yeni klasör\20161029_191800.jpg

Ayrıca eski klavyelerin tuşlarından yapılabilecek bazı geri dönüşüm çalışmalarımı aşağıdaki fotoğraflardan görebilirsiniz:

E:\Resimlerim\Resimlerim Yeni\Etc\İçindekiler\Yeni klasör\20161028_174830.jpg

E:\Resimlerim\Resimlerim Yeni\Etc\İçindekiler\Yeni klasör\20161028_175000.jpg

E:\Resimlerim\Resimlerim Yeni\Etc\İçindekiler\Yeni klasör\20161028_175032.jpg

E:\Resimlerim\Resimlerim Yeni\Etc\İçindekiler\Yeni klasör\20161028_175343.jpg

Temel Seviye Arduino (Mikrodenetleyici) Kursu Test Sınavı Soruları

Bir süre önce tamamladığımız 30 saatlik kursun sınav sorularını paylaşıyorum. Telif hakkı yoktur, güle güle kullanabilirsiniz. Sınavın cevap anahtarını ise sayfanın sonundaki bağlantıdan indirebilirsiniz.

  1. Açık kaynak Arduino geliştirme kartları hangi ülke tarafından geliştirilmektedir?a)KKTC b) Belarus   c) İtalya  d) Türkiye
  2. Açık kaynak Arduino geliştirme kartlarında kullanılan mikrodenetleyici çipini hangi firma üretmektedir?
    AMD c) BEKO  d) ATMEL(MİCROCHİP)  e) Intel
  3. Arduino UNO geliştirme kartında kaç adet dijital giriş/çıkış pini vardır?
    a) 11 b) 12  c) 13  d)20
  4. Arduino UNO geliştirme kartında kaç adet analog giriş pini vardır?
    a) 4  b) 5  c) 6  d) 7
  5. Arduino UNO geliştirme kartında kaç adet analog çıkış pini vardır?
    a) 0  b) 1  c) 2  d) 3
  6. Arduino UNO geliştirme kartında kullanılan mikrodenetleyici hangisidir?
    a) AtMega328    b) Atmega2560
    c) Atmel378         d) ATmega328
  7. Arduino UNO da kullanılan ATmega328 mikrodenetleyici çipinin programı depolamak için kullandığı Flash hafızanın boyutu ne kadardır?
    a) 8bit b) 16Byte  c) 2KB   d) 32KB
  8. Arduino UNO da kullanılan ATmega328 mikrodenetleyici çipinin saat frekansı (çalışma hızı) kaç Hz’dir?
    a) 16MHz b) 32MHz  c) 80MHz d) 2MHz
  9. Arduino geliştirme kartına enerji verildiği ilk anda sadece 1 kere çalışan alt programın adı nedir?
    a) begin() b) setup()  c) start()  d) loop()
  10. Arduino geliştirme kartı çalışmak için ihtiyaç duyduğu enerjiyi bir PC’nin USB portundan sağlayabilir. USB portundan sağlanan enerji kaç volttur?
    3v b) 5v  c) 9v  d)12v
  11. Arduino programında gecikme yaratmak için kullanılan komut hangisidir?
    A) pinMode() b) digitalWrite();  c) delay() d) for()
  12.  Aşağıdaki bekletme komutlarından hangisi arduino programının 1,5 saniye gecikmesine yol açar?
    a) delay(1.5); b) delay(150);
    c) delay(1500)  d) delay(1500);
  13. a) for (pin=0; pin<=13; pin++)
    b) for (pin=0, pin<=13, pin++)
    c) for (pin=0, pin<=13, pin=pin+1)
    d) for {pin=0; pin<=13; pin++}

14) Bir Arduino C programı için aşağıdakilerden hangisinde başlangıç değeri 100 olan sure adında bir değişken doğru tanımlanmıştır?
a) int sure=100;         b) int sure 100;
c) int sure<=100        d) int süre 100;

15) Standart arduino alt programlarından birisi olan setup() hakkında yazılanlardan hangisi yanlıştır?
a) Arduino programın çalışabilmesi için gerekli değildir
b) Arduino enerjilendiğinde bir kere çalışır.
c) Arduino enerjilendiğinde sürekli olarak çalışır.
d) Arduino kartı resetlendiğinde yeniden çalışır.

16) Standart arduino alt programlarından birisi olan loop() hakkında yazılanlardan hangisi yanlıştır?
a) Arduino programın çalışabilmesi için gereklidir.
b) Arduino enerjilendiğinde bir kere çalışır.
c) Arduino enerjilendiğinde sürekli olarak çalışır.
d) Arduino kartı resetlendiğinde yeniden çalışır.

17) Aşağıda for() döngüsü için söylenenlerden hangisi yanlıştır?
a) Diğer şıkların hepsi yanlıştır
b) Başlangıç ve bitiş değeri belli işlerin yapılması için kullanılır
c) Bir şarta bağlı olarak tekrarlanması gereken işlerin yerine getirilmesinde kullanılır.
d) Belli sayıda tekrar eden işlerin yaptırılması için kullanılır.

18) Arduino serisi mikrodenetleyicili geliştirme kartları için söylenenlerden hangisi yanlıştır?
a) Atmel firmasının ürettiği bir mikrodenetleyicidir.
b) ATmega serisi bir mikrodenetleyiciye sahiptir.
c) Elektronik ve programlamayı öğretmek ve sevdirmek için çıkartılmıştır.
d) Arduino serisinin ilk ve en temel geliştirme kartıdır.

19) Arduino’nun bir I/O pinini çıkış olarak ayarlamak için hangi ifade kullanılır?
a) INPUT                        c)OUTPUT
d)INPUT_PULLUP         e) INPUT_PULLDOWN

20) Arduino’nun bir I/O pinini giriş olarak ayarlamak için hangi sabit kullanılır?
a) pinMode                   c)OUTPUT
d)INPUT_PULLUP         e) INPUT_PULLDOWN

21) PULLUP terimi için söylenenlerden hangisi yanlıştır?
a) Bir direnç vasıtasıyla I/O pinindeki lojik belirsizliği gidermede kullanılır
b) Bir direnç Vdd/Vcc ile I/O pini arasına bağlandığında bağlı olduğu pini lojik-0’a çeker
c) Bir direnç  Vdd/Vcc ile I/O pini arasına bağlandığında o pini lojik-1’e çeker
d) Kullanıldığı devrenin ortak KATOT olması durumunda fazladan enerji tüketimine yol açar.

22) PULLDOWN terimi için söylenenlerden hangisi yanlıştır?
a) Bir direnç vasıtasıyla I/O pinindeki lojik belirsizliği giderdeme kullanılır
b) Bir direnç  GND ile I/O pini arasına bağlandığında o pini lojik-0’a çeker
c) Bir direnç  GND ile I/O pini arasına bağlandığında o pini lojik-1’e çeker
d) Kullanıldığı devrenin ortak ANOT olması durumunda fazladan enerji tüketimine yol açar.

23) Arduino C’de Bir I/O pininin giriş/çıkış modlarını ayarlamak için hangi komut kullanılır?
a) delay()  b) digitalRead()  c) pinMode()  d) digitalWrite()

24) Arduino Uno’nun analog pin grubu için söylenenlerden hangisi yanlıştır?
a) 6 adet analog giriş pini bulunur
b) Herbir girişin çözünürlüğü 10 bit’tir.
c) Lojik (1/0) giriş/çıkış için kullanılmaz
d) Dış ortamdan alınan anolog değerlerin dijitale çevrilmesi için kullanılır (ADC)

25) HC-HR04 sensörünün kullanım amacı aşağıdakilerden hangisidir?
a) Su seviyesi ölçmek
b) Ses şiddeti (dB) ölçmek
c) Mesafe ölçmek
d) Sıcaklık ölçmek

26) HC-HR04 ultrasonik mesafe sensörü kaç volt ile çalışır?
a) 1.2v     b)3.3v     c)9v     d)5v

27) HC-HR04 ultrasonik sensörünün pin bağlantı isimlendirmesi aşağıdakilerden hangisinde doğru verilmiştir?
a) Vcc-Trig-Echo-Gnd
b) Vcc-N/C-Data-Gnd
c) Vcc-In-Out-Gnd
d) Vcc-Latch-Data-Gnd

28) HC-HR04 ultrasonik mesafe sensörünün Trig isimli pini hangi amaçla kullanılır?
a) Ultrasonik (kulağımızın duyamayacağı) ses dalgasının sensörden gönderilmesini sağlar.
b)  Gönderilen ultrasonik (kulağımızın duyamayacağı) ses dalgasının geri döndüğü bilgisini  sağlar.
c) Sensörün enerji ile beslenmesini sağlar.
d) Sensörün şase bağlantısını sağlar.

29) HC-HR04 ultrasonik mesafe sensörünün Echo isimli pini hangi amaçla kullanılır?
a) Ultrasonik (kulağımızın duyamayacağı) ses dalgasının sensörden gönderilmesini sağlar.
b)  Gönderilen ultrasonik (kulağımızın duyamayacağı) ses dalgasının geri döndüğü bilgisini  sağlar.
c) Sensörün enerji ile beslemenmesini sağlar.
d) Sensörün şase bağlantısını sağlar.

30) Arduino C’de lojik giriş olarak ayarlanmış bir pin’in değerini okutmak için kullanılan komut aşağıdakilerden hangisinde doğru verilmiştir?
a) okunan = analogRead(D0);
b) okunan = analogWrite(D1)
c) okunan = digitalRead(D1);
d) okunan = digitalWrite(D1);

31) Aşağıda pulseIn(D0, LOW) komutu hakkında söylenenlerden hangisi doğrudur?
a) D0 lojik giriş pininin lojik 0’dan lojik 1’e geçme süresini ölçer
b) D0 lojik giriş pininin lojik 1’den lojik 0’a geçme süresini ölçer
c) D0 lojik giriş pininin önceki lojik durumundan bağımsız olarak 1’e gitme süresini ölçer
d) D0 lojik giriş pininin önceki lojik durumundan bağımsız olarak 0’a gitme süresini ölçer

32) Aşağıdakilerden hangisinde pulseIn() komutunun geriye döndürdüğü süre değerinin birimi doğru verilmiştir?
a) saniye  b) mili saniye c) mikro saniye d) nano saniye

33) Aşağıda Arduino C’de kullanılan Serial.begin(9600) komutu için verilen  bilgilerden hangisi doğrudur?
a) Mikrodenetleyicinin seri portunu 12KByte/sn hızında seri iletişim için başlatır.
b) Mikrodenetleyicinin seri portunu 1.2KByte/sn hızında seri iletişim için başlatır.
c) Mikrodenetleyicisinin seri portunu 1200 Byte/sn hızında seri iletişim için başlatır.
d) Mikrodenetleyicisinin seri portunu 96KByte/sn hızında seri iletişim için başlatır.

34)  Aşağıdaki Arduino C’ kodunun anlamı nedir?

// loop fonksiyonu tekrar ve tekrar sonsuza kadar çalışır

  1. a) Bir komuttur
    b) Tek satırlık açıklama/yorum ifadesidir
    c) Fonksiyon tanımıdır
    d) Karadenizin nefis muhlamasıdır

35) Aşağıdaki Arduino  Uno geliştirme kartı için verilen Arduino C kodu için şıklarda söylenenlerden hangisi doğrudur?

digitalWrite(14, HIGH);

  1. a) 14 numaralı dijital pin’i lojik 1 yapar
    b) 14 numaralı dijital pin’i 5v yapar
    c) 14 numaralı dijital pin’i lojik 0 yapar
    d) Diğer seçeneklerin hepsi yanlıştır36) 13 numaralı Dijital pini çıkış olarak ayarlayan Arduino C kodu aşağıdakilerden hangisinde doğru verilmiştir?
    a) digitalWrite(13, 1) b) pinMode(13, INPUT);
    c) pinMode(13, OUTPUT);  d) digitalRead(13, 1);

37) 13 numaralı Dijital pin’deki lojik değeri okuyan Arduino C komutu aşağıdakilerden hangisinde doğru verilmiştir?
a) digitalWrite(13, 1)  b) pinMode(13, INPUT);
c) pinMode(13, OUTPUT);  d) digitalRead(13);

38) Arduino Uno geliştirme kartında yer alan ADC (analog giriş) ‘lerin çözünürlüğü nedir?
a) 8bit b) 10bit c) 12bit d) 16bit

39) Aşağıda Fotodirenç için söylenenlerden hangisi yanlıştır?
a) Işık miktarı arttıkça direnci artar
b) Işık miktarı arttıkça direnci azalır
c) Işık miktarına göre direnci değişir
d) Pasif bir elektronik devre elemanıdır

40) Arduino Uno geliştirme kartında lehimli kaç adet  Gnd pini mevcuttur?
a) 1   b)2   c)3   d)4

E-Kitap: Assembly Dilinde Virüs Nasıl Yazılır?

Üniversite zamanlarında hocam Doç.Dr.Nurettin Topaloğlu’ndan edindiğim fotokopiyi öğrencim Murat AKAY’ın emeği ile PDF formuna dönüştürdük. Türkçe yazılmış kitap DOS exe’leri için assembly dilinde virüs yazma konusu işliyor.

Android Sistemlerden Delil Amaçlı İz Tespit Etme Yöntemleri

 

ÖZET

Cep telefonları, özellikle de akıllı telefonlar hayatımızda önemli bir rol oynamaktadır. Mobil cihaz pazarının muazzam büyümesiyle, onları suç faaliyetinde kullanma imkânı da sürekli artmaktadır. Android, piyasadaki son derece rekabetçi platformlardan biridir. Birçok üretici tarafından kullanılan Android, farklı cihaz modellerini çalıştırmak için kullanılmakta ve bu da güçlü bir çeşitliliğe neden olmaktadır. Böylece, Android tabanlı akıllı telefonların fiziksel imaj ediniminin zorluğu, özellikle son Android sürümünün kaynak kodunun çok geç yayınlanması ile daha da anlam kazanıyor. Sonuç olarak, en yeni sürüm işletim sistemine sahip mevcut akıllı telefonların, mevcut akıllı telefon adli araçları kullanılarak edinilmesi de güçleşiyor. Bu çalışmada, mantıksal ve fiziksel olarak edinme olanağı sunan (imaj alma) adli mobil cihaz araçlarının kapsamlı bir perspektifi verilmektedir. Ayrıca yazılım araçları kullanılarak gerçekleştirilen edinimlerin sınırlılıklarını aşmak için iki yeni yöntem de incelenmiştir. Birinci yöntem firmware güncelleme protokolünün zafiyetleri kullanılarak fiziksel imaj elde etmeyi incelerken, ikinci yöntemde anti-adli bilişim tedbirleri uygulanmış bir Android mobil cihazdan delil elde etmek için cihaz yönetim yazılımı Droidjack araştırılmıştır. Son olaradak da adli araştırmacının hedefinde olan veri setlerini / delil izlerini üreten Android uygulamaların programlama teknikleri açısında sunduğu veri mahremiyetleri incelenerek bir anti-adli bilişim perspektifi ortaya koyulmuştur.

 

 

İçindekiler Tablosu

1. GİRİŞ 1

2. ANDROID’İN MİMARİSİ 3

2.1. Linux Çekirdeği 3

2.2. Kütüphane ve Android Runtime 3

2.3. Uygulama Çerçevesi 3

2.4. Uygulama 4

3. VERİ EDİNİM PROSEDÜRLERİ 5

3.1. Erişim Kontrolü Prosedürü Olmadan Akıllı Telefonun Veri Edinimi 5

3.2. Erişim Kontrol Prosedürüyle Akıllı Telefonun Veri Edinimi 5

4. FİZİKSEL EDİNİM 7

4.1. Linux Bellek Çıkarıcı (LiME) 7

4.2. Android Fiziksel Döküm (APD) 8

4.2.1. Hawkeye 8

4.2.2. Adroid Memory Extractor (AMExtractor) 9

4.2.3. Androphsy 9

4.2.4. Android Digital Autopsy (ADA) 10

4.2.5. Cellebrite UFED 10

4.2.6. Oxygen Forensic Suite 10

4.2.7. XRY Physical 11

4.2.8. Device Seizure 11

4.2.9. MOBILedit! Forensic 11

4.2.10. ViaExtract 12

4.2.11. Examiner Plus (MPE +) 12

5. FİRMWARE PROTOKOLÜNE DAYALI EDİNİM 13

5.1. Ürün Yazılımı Güncelleme Protokollerine Dayalı Android Fiziksel Edinimi 16

5.2. Firmware Güncelleme Protokolü 16

5.3. LG Firmware Güncelleme Protokollerinin Analizi 17

5.4. LG Firmware Güncelleme Komutları 18

5.5. Android’in Fiziksel Edinimi 20

5.6. Desteklenen Modeller 21

5.7. Firmware Güncelleme Modunda Başlatma 21

5.8. Telefona Bağlanma ve Model Bilgisini Edinme 22

5.9. Fiziksel Edinim 22

5.10. Denemeler 23

5.11. Elde Edilmiş Görüntünün Bütünlüğünü Koruma 23

5.12. Edinme Hızı 24

5.13. Ekranı Kilitli Akıllı Telefonlardan Fiziksel Olarak Edinme (USB Debug devre dışı) 25

6. MOBİL CİHAZ YÖNETİM (MDM) YAZILIMI İLE DELİL ELDE ETME 27

6.1. Android Uygulama Geliştirme Terminolojisi 28

6.1.1. Etkinlikler (Activities) 29

6.1.2. Hizmetler (Service) 29

6.1.3. İçerik sağlayıcıları (Content Providers) 29

6.1.4. Yayın alıcıları (Broadcast Receiver) 29

6.1.5. İçerik gözlemcileri (Content Observers) 29

6.2. Android Uygulama Güvenliği 30

6.3. Kökleme (Rooting) 30

6.4. Akıllı Telefon Araştırmaları 31

6.5. Gizlilik endişeleri 32

6.6. Ticari MDM Ürünleri 32

6.7. DroidWatch MDM Yazılımı 33

6.7.1. Yerel depolama 35

6.7.2. 6.7.8. Şirket sunucusu 36

6.7.3. 6.7.9. Veri Akış Süreci 36

6.7.4. Veri Kümeleri 37

6.7.5. Analiz ve Değerlendirme 38

6.7.6. Genel Kullanım Eğilimleri 38

6.7.7. Şüpheli Kişiler ve İletişim 38

6.7.8. Konum izleme 40

6.7.9. İnternet geçmişi 40

6.7.10. Kötü amaçlı uygulamalar 41

6.7.11. Adli bilişim 41

6.7.12. Delilleri yok etme 42

6.7.13. Kanıt gizleme 42

6.7.14. Kanıt kaynaklarını değiştirme 42

6.7.15. Taklit kanıtları 43

6.8. AndroidWatch İleri Araştırma 43

6.9. Ek veri setleri 44

6.10. Koruma önleyici mekanizmalar 44

7. SONUÇ 46

GİRİŞ

Mobil cihazların kullanımı, özellikle akıllı telefonların kullanımındaki artış ile dijital suçlar da arttı. Akıllı telefonların ortaya çıkışı, insanların yaşama, çalışma ve oyun yapma biçimini tamamen değiştirmiştir. Bununla birlikte, suç işlemede akıllı telefon kullanım oranının artması ile adli araştırmacıların kanıt elde etmek için zanlıların akıllı telefonlarını mahkemelerde kullanımları da artmıştır. Akıllı telefonlardan elde edilen kanıtlar, mahkeme salonunda diğer kanıt şekillerinden farklı olarak, kabul edilebilmeleri için güvenilir olmalıdır.

Son birkaç yılda Android akıllı telefonları hedef alan önemli miktarda bellek edinimi araştırması yapıldı. Edinme amacı, silinen veriler de dahil olmak üzere yararlı bilgiler toplamak ve daha fazla analiz etmek ve mahkemeye sunmaktır. Adli mobil cihazlar için iki temel edinim yöntemi vardır: fiziksel ve mantıksal. Fiziksel edinme, silinen veriler de dahil olmak üzere tüm fiziksel depolama alanının bit kopyasıdır. Mantıksal edinim, bir dosya sisteminin bir parçası gibi mantıksal depolamayı elde eder. Yani elde edilen veriler edinim yapılan sistemin dosya sistemi tablosunun sağladıklarıdır. Akıllı telefonlarda saklanan veriler kırılgan olabilir, çünkü veriler üzerine yazılabilir veya silinebilir. Bu nedenle, silinen verileri elde etmek ve ayıklamak için mantıksal edinim yerine fiziksel edinim kullanma ihtiyacı vardır [1].

Fiziksel edinim araçları, sabitleştirilmiş ve yazılım tabanlı araçlara sınıflandırılmıştır. Donanım tabanlı yöntem, işletim sistemini fiziksel bir aygıtla bypass etmektir. Böylece hedef sistemin dosya yerleşim tablosunun sağlamadığı veriler gibi dez avantajlar ortadan kalkar. Özel bir iletişim portu, dahili belleği kopyalamak için özel bir donanımla açılır [2]. Android akıllı telefonlarda, JTAG test pinleri bir cihazın dahili belleğini almak için kullanılabilir [3]. Bununla birlikte, tüm Android akıllı telefonlarda JTAG test pinleri bulunmamaktadır. Yazılım tabanlı yöntem, dahili belleği elde etmek için hedef işletim sistemi üzerinde çalışan bir yazılım kullanmayı gerektirir [2]. Android akıllı telefonlarda bir seçenek de /dev/mem aygıtlarından veri edinmektir [3]. Maalesef bu yöntem yalnızca en fazla 896 MB RAM’li akıllı telefonlar için geçerlidir [4]. Kollar [5], fmem adında fiziksel edinim için /dev/mem aygıtını kullanan yüklenebilir bir çekirdek modülü geliştirdi. Ancak, bu modül tüm Android akıllı telefonlar için geçerli değildir [4].

Android akıllı telefonlardan fiziksel olarak veri edinmek için, genellikle akıllı telefonun, özel önyükleyici, özel kurtarma modu veya kök erişimi olan normal modda [6] önyüklemesi yapılmalıdır. Ardından, donanım cihazına veya sunucusuna (ör. Dizüstü veya masaüstü) imaj verisi göndermek için akıllı telefonda ilgili kodu çalıştırılır [6].

Akıllı telefon işlemci hızları, kullanılan kablo türleri ve aktarılan veri miktarı nedeniyle fiziksel olarak edinme süreci zaman alıcı olabilir. Bazen fiziki edinimin tamamlanması saatler alır. UFED ve Oxygen Forensic gibi ticari araçların çoğu USB üzerinden veri gönderir. Bununla birlikte, kopyalanan verilerin iletim hızı, USB’nin maksimum iletim hızını kullanmaz. Örnek vermek gerekirse, USB 2.0, maksimum 480 Mbps iletim hızına sahiptir, ancak en fazla 320 Mbps alır [7]. 2016’da piyasadaki en büyük Android akıllı telefonlar 128 GB’tır. Akıllı telefonlar büyümeye devam ederken, fiziksel olarak onları edinim süreleri de artacaktır [6].

Bu makalede, Android akıllı telefonlar için birçok farklı fiziksel edinim aracını analiz ettik ve maliyetleri, bütünlüğü, veri kurtarma, kullanışlılık, adli veri aşamalarını dışa aktarma yolları ve genel Android akıllı telefonu destekleme yöntemlerini karşılaştırdık.

ANDROID’İN MİMARİSİ

Android’in iç tasarımını ve mimarisini anlamak, Android’in esnekliğinden dolayı adli bir soruşturmada en önemli konulardan biridir. Android platformu, yeni sürümlerle zaman içinde değişiyor. Sürümler arasındaki farklılıklara göre, mimari de farklılaşmaktadır. Bununla birlikte, Android mimarisinin ana çekirdek bileşenleri aynıdır. Android mimarisi, Şekil-1’de gösterildiği gibi dört ana katmandan oluşur:

Linux Çekirdeği

Android çekirdeğini anlamak en önemli unsurdur, çünkü Android mimarisinin temelini oluşturmaktadır [8]. Bellek, ağ ve süreç yönetimi ve güvenlik gibi temel hizmetleri destekler. Ayrıca neredeyse tüm donanım için çeşitli sürücüler de barındırır [8, 9].

Kütüphane ve Android Runtime

Android, C/C++ [8] ile yazılmış kütüphaneler seti içerir. Standart CSystem Kütüphanesi, Medya Kütüphaneleri, 3D Kütüphaneler gibi kütüphaneler, sistem bileşenleri tarafından Uygulama Çerçevesi katmanı [9] vasıtasıyla kullanılır. Android çalışma zamanı (runtime) bölümü, Android için özel olarak tasarlanmış ve optimize edilmiş bir tür Java Sanal Makinesi olan Dalvik Sanal Makinesi (DVM) adı verilen önemli bir bileşen sunmaktadır [8]. Ayrıca, geliştiricilerin standart Java programlama dili [8] kullanarak Android uygulamaları yazabilmesini sağlayan çekirdek kütüphaneleri seti de sağlar. Çekirdek kütüphanelerin ve DVM’nin bir kümesi, çalışan her uygulamanın DVM’nin kendi örneğini bulundurduğu ve kendi işlemi içinde yürüdüğü bir Android çalışma zamanı oluşturur [9].

Uygulama Çerçevesi

Bu katman, Java uygulamalarına istismar edilebilecek birçok üst düzey hizmet sunmaktadır [8, 9]. Uygulama geliştiricileri, Çerçeve tarafından uygulanan güvenlik kısıtlamalarına her zaman saygı duyan geniş bir Uygulama Programlama Arabirimi (API) seti aracılığıyla hizmet sunabilir ve bunları sağlayabilirler [9].

Uygulama

En üst katman, Java Programlama Dili [10] ile yazılmış bir program demetini (ör. Iletişim yöneticisi, takvim, SMS programı, web tarayıcısı, bir e-posta istemcisi) içerir.


Şekil 1 – Android Mimarisi

 

VERİ EDİNİM PROSEDÜRLERİ

Adli incelemecilerin benimseyebileceği, Android akıllı telefonlardan veri toplama sürecinin farklı uygulama senaryoları vardır. Uygun prosedürü kullanarak, adli bilişim uzmanları akıllı telefondan maksimum bilgiyi alabilir, böylece elde edilen verilerin mümkün olduğunca daha güvenli ve en az müdahaleci bir şekilde analiz edip belgelendirilebilir. Adli inceleyici, hedef akıllı telefonda kayıtlı verileri korumak için gerekli prosedürleri izlemelidir [11].

Erişim Kontrolü Prosedürü Olmadan Akıllı Telefonun Veri Edinimi

En basit olan bir durum, çıkarılabilir hafıza kartı ile kilitli olmayan bir akıllı telefonun edinimidir. Daha önce de belirtildiği gibi, inceleyici ilk önce hafıza kartlarından veri çıkardıktan sonra kopyaları alınan adli inceleme kartlarını akıllı telefona tekrar takmalıdır. Ardından inceleyici Android akıllı telefonda süper kullanıcı ayrıcalıklarının durumunu kontrol etmelidir (super su, root). Etkinleştirilirse, inceleyici USB hata ayıklama aracı ADB’yi kullanarak dahili belleğinin bir kopyasını oluşturarak kısıtlama olmaksızın akıllı telefondaki depolanmış verilere erişebilir. Ancak, akıllı telefonda süper kullanıcı ayrıcalıkları devre dışı bırakılırsa, bu durumda bazı Android akıllı telefonlar bootloader modu veya kurtarma modu kullanılarak edinilebilir. İnceleyici, bu teknikleri bu tür akıllı telefonlara uygulama imkânını değerlendirmelidir. İncelemeciler tarafından kullanılabilen mevcut mobil cihaz adli araçları, Cellebrit UFED ve Oxygen Forensic gibi verileri edinmek için kullanıcı ayrıcalıklarını kullanmazlar. Bunun yerine Cellebrit UFED, bootloader modunu kullanır. Dahili belleğin tam bir kopyasını kurtarmak için etkili bir mobil aygıt adli aracı seçmek, adli bilişim görevlisine kalmıştır.

Erişim Kontrol Prosedürüyle Akıllı Telefonun Veri Edinimi

Android çalışma zamanı bölümü, Android için özel olarak tasarlanmış ve optimize edilmiş bir Java Sanal Makinesi türü olan Dalvik Sanal Makinesi (DVM) adı verilen önemli bir bileşen sunmaktadır [8]. Ayrıca, geliştiricilerin standart Java programlama dili [8] kullanarak Android uygulamaları yazabilmesini sağlayan çekirdek kütüphaneleri seti de sağlıyor. Çekirdek kütüphanelerin ve DVM’nin bir kümesi, çalışan her uygulamanın DVM’nin kendi örneğini bulundurduğu ve kendi işlemi içinde yürüdüğü bir Android çalışma zamanı oluşturur [9]. Android akıllı telefon, bir şifre veya desen gibi erişim kontrolü kullanarak kilitlenebilir. NIST’e göre [12], kilitli akıllı telefonlara erişmenin üç yolu vardır:

  1. Araştırmacının olası geçerli parolaları istediği araştırma yöntemi.
  2. Araştırmacının akıllı telefona erişmek için yıkıcı olmayan bir prosedürü gerçekleştirmesi gereken donanım yoluyla erişim. Bu yöntem üreticilerin ve yetkili servis merkezlerinin desteğini gerektirmektedir.
  3. Yazılımsal erişim yöntemleri, mobil cihaz modeline ve Android sürümüne bağlı olsa da genellikle en kolay yoldur.

İnceleyici kanıttan ödün vermekten kaçınmak için en az müdahaleci yöntemi kullanmalıdır. Akıllı telefon ele geçirildiğinde şifre veya model elde edilmişse, test edilmelidir. İnceleme başarılı olmazsa, akıllı telefonun bir ADB aracı kullanarak USB hata ayıklama bağlantılarını kabul edecek şekilde yapılandırılıp yapılandırılmadığını kontrol etmelidir. Başarılı olursa, edinme sürecini devam ettirmek için süper kullanıcı erişim denetimi ayrıcalıkları kazanmaya çalışmaktadır. Akıllı telefona süper kullanıcı erişim kontrolü için herhangi bir ayrıcalık olmadığında bile, denetçi, erişim kontrol sistemini atlamak için ADB aracı aracılığıyla uygulamalar yükleyebilir. Erişim kontrol sistemini atlamak mümkün olmadığı veya USB hata ayıklama erişiminin devre dışı bırakıldığı durumlarda, akıllı telefona takılabilen çıkarılabilir hafıza kartından veriler alınabilir.

FİZİKSEL EDİNİM

Daha önce bahsedildiği üzere edinimi gerçekleştirilecek cihazın kendi işletim sistemine ait dosya sistemi içerik sağlayıcısı aracılığı ile elde edilen edinimler mantıksal edinim olarak adlandırılır. Bu yöntemle edinilecek veriler disk ortamında bulunan verilerin birebir karşıklıkları değil işletim sisteminin sunduklarıdır. Böyle bir edinimde doğal olarak kullanıcı tarafından silinmiş dosyalar edinilemez.

Fiziksel edinim ise verilerin kayıt edildiği disk ortamına (RAM, eEPROM, ROM vb) işletim sistemi fonksiyonlarını devreden çıkartarak doğrudan erişmeyi ifade eder. Bu yöntemde dosya sistemi bilgileri kullanılsa da elde edilebilecek veri miktarı çok daha fazladır ve sistem hakkında birçok bilgi sunar. Fiziksel edinimde edinimi gerçekleştiren araç doğrudan disk verisini kendisi okur.

Linux Bellek Çıkarıcı (LiME)

LiME aracı 2012’de J. Sylve ve diğerleri tarafından piyasaya sürülmüştür. [4]. Android’den, uçucu belleği elde (RAM) etmek için kullanılan açık kaynaklı bir adli araçtır. LiME, bellek sayfalarını adli olarak sağlam bir şekilde elde edebilen dmd adlı yeni bir yüklenebilir çekirdek modülünü temel almaktadır. Akıllı telefondaki SD’ye veya ağ üzerinden hafızayı almayı destekler. Dmd modülü şööyle gibi çalışır: sistem RAM’inin fiziksel bellek adres aralıklarını öğrenmek, her bellek sayfasında fiziksel adresleri sanal adreslere çevirmek, tüm bellek sayfalarını okumak ve TCP soketinin SD’sine yazmak için çekirdek yapısını ayrıştırır. LiME aracı önemli özellikler sunar [13]: edinme yani hedef cihaza aktarmak için sadece dmd modülü gereklidir, bellek dökümü için çok az sayıda çekirdek işlevi gereklidir, dmd modülünün yüklenmesi asgari ayak izi oluşturur ve kullanıcı alanı ile minimum etkileşimi kurar. Sonuçlar sayfaların yaklaşık %99.46’sının TCP bağlantısı üzerinden doğru olarak yakalandığını ve sayfaların % 99.15’i SD karta doğru yazıldığını gösteriyor. Önerilen modül tüm Android cihazlarını destekliyor ancak yine de genel bir modül olarak değerlendirilmiyor. Ayrıca, Wächter [14], modelin belirlenmesi, Android sürümünün belirlenmesi, ekranı kilitleme, süper kullanıcı yetki istismarı, kaynakların kullanılabilirliği, çekirdek konfigürasyonu ve kanıt erozyonu nedeniyle LiME aracının kollukta adli olmasının pek çok nedenden dolayı mümkün olmadığı sonucuna varmıştır.

Android Fiziksel Döküm (APD)

APD, S. Yang ve ark. Tarafından geliştirilmiştir. [15]. Bu araç, Android akıllı telefonların bellenim güncelleme protokollerini analiz etmeye dayanmaktadır. Bu nedenle, Android cihazların önyükleme yükleyicisinin Android güncelleme protokolleri aracılığıyla dahili belleğe erişir. Hem bölüm hem de tüm belleğin dökümünü almayı destekliyor. APD’yi kullanarak edinilen verilerin biçimi, akıllı telefon adli analiz araçları aracılığıyla analiz edilebilen ham verilerdir. Yazarlar, önerilen yöntemin edinilen verilerin bütünlüğünü garanti ettiğini ispatladı. APD’nin veriyi yüksek hızda aldığını gösterdiler; UFED 4PC ortalama 120 dakika sürerken, 32 GB belleğin dökümünü almak yaklaşık 30 dakika aldı. APD, ekran kilidi nedeniyle kısıtlamaya rağmen yürütülebilir; Normal önyükleme modundan ziyade telefonu kapatarak ve bellenim güncelleme modunda yeniden başlatarak. APD aracı, en yeni Android modellerinin 80’inden fazlasını destekler. Bununla birlikte, yöntemin en büyük dezavantajı, yeni Android akıllı telefonlar her başlatıldığında üretici yazılımı güncelleme protokolünü analiz etmeyi gerektirmesidir.

Hawkeye

Hawkeye, Guido ve ark. Tarafından 2016 yılında fiziksel edinim amaçları için önerildi. [6]. Hawkeye’nin amacı, fiziksel edinim sırasında aktarılması gereken veri miktarını ve gereksiz verileri azaltmaya odaklanıyor. Böylece, toplam edinim süresini azaltır. Hawkeye, Android akıllı telefonları fiziksel döküm elde etmek için özel açılış veya kurtarma kipinde çalıştırıyor. Araç, tescilli marka aracını geçici olarak hedef akıllı telefonun RAM belleğine yükler. Araç temel hash ve bölümlerin bir listesini de sağlar. Araç, daha sonra USB aracılığıyla arka uç PMF mimarisine gerekli veri bloklarını belirleyip gönderecektir. Yazarlar birkaç nedenden ötürü PMF’yi seçtiler: resimleri otomatik olarak geri yazarak ham formata çevirme. Araç, bir bölümü veya akıllı telefonun dahili belleğini tam olarak alabilir. Hawkeye 16GB boyutunda dahili belleği 7 dk içinde başarıyla elde edebildi.

Adroid Memory Extractor (AMExtractor)

AMExtractor [3], Android cihazlardan uçucu hafıza (RAM) elde etmek için kullanılan bir araçtır. AMExtractor çekirdek alanında kod yürütmek için /dev/kmem aygıtını kullanır. Bu, yüklenebilir çekirdek modülünün kısıtlamasını önleyecek ve herhangi bir değişiklik yapmadan en son stok ROM’larda çalışma olanağı sağlayacaktır. AMExtractor hedef akıllı telefonun kaynak koduna ihtiyaç duymaz ve çoğu Android işletim sistemi sürümüyle uyumludur. Diğer araçların aksine AMExtractor, hedef akıllı telefonlar üzerinde minimum etkiye sahip olduğu için çekirdek modunda çalışır. Ayrıca, cihazı çekirdek modunda çalıştırmak, veri kopyalamayı en aza indirir ve gizli verileri kullanıcı modunda iken inceler. H. Yang ve ark. [3], AMExtractor kullanılarak elde edilen verilerin, LiME’yi kullanarak elde edilen verilerle neredeyse aynı olduğunu gösterdi.

Androphsy

ANDROPHSY, 2015 yılında I. Akarawita ve ark. tarafından geliştirilen açık kaynaklı bir araçtır. [16]. Dijital adli süreçlerin tüm safhalarını destekleyen ilk açık kaynak araçtır. ANDROPHSY mimarisi dört ana modülden oluşur: vaka işleme, edinme, analiz desteği ve raporlama modülü. Vaka işleme modülünde, özel durum için vaka oluşturma ve yedek arşiv işlevleri sağlanmaktadır. Edinim modülü fiziksel ve mantıksal edinim sağlar. Analiz modülünde, çıkarılan verilerin tam bir inceleme ve analizi. Ve son olarak raporlama modülü, PDF formatında bir rapor oluşturmayı sağlar. Bu aracı kullanmak için tek bir .jar dosyası ve yapılandırma komut dosyası ayrı ayrı kurulmalıdır. Bu araç ile fiziksel edinime odaklanan yazarlar, dd ve Android Debug Bridge (adb) komutları gibi düşük seviyeli Linux ve Android dahili adli işlevlerini ağırlıklı olarak kullanmışlardır. Adb komutları, Android akıllı telefonu ve USB üzerinden bağlı iş istasyonu arasındaki bağlantı ve iletişim süreçlerini yönetmek ve gerçekleştirmek için kullanılır. Dd komutu, ham görüntüleri fiziksel sürücülerden kurtarmak için kullanılan yerleşik bir komut satırı yardımcı programıdır. ANDROPHSY, veri değişimini en aza indirgemek için Linux çekirdeğini kök erişimi kazanmak için kullanır. Kimlik doğrulama ve gizlilik için kullanıcı erişim kontrolü ve vaka yönetimi sağlar. SD kartı edinim hedefi olarak kullanmaz. Bunun yerine, veriler TCP bağlantısı üzerinden aktarılır.

Android Digital Autopsy (ADA)

ADA, 2016 yılında R. Fasra ve diğerleri tarafından geliştirilen, açık kaynak kodlu bir dijital adli araçtır. [17]. Araç, fiziksel, mantıksal ve dosya sistemi edinimi gerçekleştirir. Yazarlar multimedya kartı (MMC) bölüm düzenine sahip bir cihaz kullandılar. Fiziksel edinme sürecini otomatikleştirmek için geliştirilmiş bir komut dosyası yazıldı. Komut dosyası veri bloklarını tanımlar, daha sonra kök erişimini kazandıktan sonra blokların RAW görüntülerini elde etmek için dd komutunu kullanır. Elde edilen veriler, daha sonra harici bir hafıza kartına, yani SD karta depolanmaktadır. Önerilen araçla birlikte, yazarlar ADA Analiz Aracı’nı geliştirdiler, ancak ne yazık ki bu mantıksal edinim içindir.

Cellebrite UFED

Cellebrite UFED [18], Android gibi çeşitli cihazlar ve platformlarda fiziksel, mantıksal, dosya sistemi ve şifre alımını gerçekleştiren ticari bir adli araçtır. Ayrıca, çözme, analiz ve raporlama da gerçekleştirir. UFED, tüm Android işletim sistemi sürümlerinden veri edinebilir.

Oxygen Forensic Suite

Oksijen Forensic Suite [19], çok çeşitli akıllı telefonları destekleyen önde gelen adli tıp araçlarından biridir. Bu, tüm dünyada 50’den fazla ülkede Yasa Uygulayıcılar, ordu, polis departmanlrı ve diğer hükümet yetkilileri tarafından kullanılır. Araştırmacılar, Android akıllı telefonlarının fiziksel olarak edinilmesini, gelişmiş incelemesini ve akıllı telefondan çıkarılan ham görüntülerin ve cihaz görüntülerinin analizini yapmalarını sağlar. Desteklenen akıllı telefonların tamamen otomatik bir şekilde edinilmesi ve analiz edilmesine olanak tanır. Yaklaşık 45 dakika içinde 16 GB akıllı telefon edinebilir. Akıllı telefon faaliyetlerini özetleyen denetmen için iyi tanımlanmış bir rapor sunar.

XRY Physical

MSAB [20], özütleme, analiz etme ve raporlama için ürünler sağlar. XRY Fiziksel araç, hedef cihazı değiştirmeden dahili belleğin ve çıkarılabilir medyanın çıkarılmasını destekler. Ayrıca, kullanıcıların bellek imajının karma değerlerini ve ayrıca tek tek çözülen dosyaları oluşturmalarına olanak tanır. XRY Fiziksel, işletim sistemini atlayarak hedef akıllı telefondan ham verileri kurtarır ve silinen verileri hedef akıllı telefondan daha derinlemesine gidip kurtarma şansı sunar. Fiziksel özütleme iki ayrı aşamaya ayrılır: ilk veri tabanı, ham veriler akıllı telefondan alınır ve kod çözme aşaması, burada araç veriyi otomatik olarak anlamlı bilgiler haline getirir. Çıkarılan veriler XAMN Spotlight tarafından görüntülenebilir.

Device Seizure

DS [21] fiziksel, mantıksal, dosya sistemi ve şifre elde etmeyi desteklemektedir. Edinilen tüm veriler hakkında eksiksiz bir analiz ve rapor sunar. Geniş platform ve cihaz yelpazesini destekler. Android için 4.4.2’ye kadar fiziksel imaj alımlarını destekler (sürüm 3 hariç). DS minimum sistem gereksiniminin düşük olması nedeniyle herhangi bir cihazda çalışabilir. Önemli kanıtlar için akıllı telefonun bellek dökümünü arayabilir [22].

MOBILedit! Forensic

MOBİLedit! Forensic [23], birkaç tıklamayla akıllı telefonda saklanan silinmiş veriler de dahil olmak üzere tüm verileri almak, aramak ve görüntülemeye izin verir. Bu araç, Android ve iOS tarafından desteklenen tüm akıllı telefonları destekleyebilir. Sıklıkla güncellenir ve daha fazla akıllı telefonu desteklemek için yeni özellikler eklenir. Araç, bu kanıtların elde ediliş şekli ve sunulması biçimini değiştirmiştir. Mahkeme salonunda sunulmaya hazır ayrıntılı adli raporlar üretir. Rapor herhangi bir dilde üretilebilir.

ViaExtract

ViaExtract [24] ViaForensics tarafından oluşturulan fiziksel ve mantıksal bir çıkarma aracıdır. Android akıllı telefonlar için rehberli veri toplama, güçlü analiz ve esnek raporlama özellikleri sunar. ViaExtract, yalnızca bir düğmeyi tıklatarak çoğu akıllı telefonun kök erişimini elde etmek için cihaz root’lama sihirbazını kullanır. Bu araç, incelemecilerin dahili ve harici depolamadan veri çıkarmak için şifreyi kırmalarına izin verir. Hızlı ve kullanımı kolay bir global arama özelliği sunar. Bu özellik, denetleyicinin, halihazırda açık olan tüm incelemelerde çıkarılan tüm içerik türlerini bir kerede aramasına izin verir. ViaExtract popüler Android akıllı telefonların çoğunda çalışır.

Examiner Plus (MPE +)

MPE + [25] gelişmiş akıllı telefon edinme ve analiz özelliklerine sahip bir mobil cihaz inceleme aracıdır. Geniş platform ve cihaz yelpazesini desteklemektedir. İncelemecilerin veriyi hızlı bir şekilde toplamasına, kolayca tespit etmesine ve etkili bir şekilde elde etmesine izin verir. DS gibi, MPE + da önemli bir kanıt için bir akıllı telefonun bellek dökümünü arayabilir [22]. Piyasada bulunan diğer araçlardan %30 daha hızlı iOS ve Android cihazlarından veri edinebilir. MPE +, sağlam ve üstün bir analiz araçları kümsesi içerir. Fiziksel edinimi gerçekleştirmek için, hedef telefona takılması gereken boş bir adli SD kartı, MPE + ‘nın ajanını geçici olarak saklar. Root yetkisi kazanmak için 3. Parti araçlara ihtiyaç duyar.

FİRMWARE PROTOKOLÜNE DAYALI EDİNİM

2014 yılının üçüncü çeyreğinde Android işletim sistemi, akıllı işletim sistemi pazar payının yaklaşık %84’ünü oluşturdu (Smartphone OS Pazar Payı 2014 yılının 3. çeyreği). Android akıllı telefon pazarının boyutu artık PC pazarınınkini aşıyor, sürekli olarak kişisel ve iş kullanımı için çeşitli teknolojiler ortaya çıkıyor (Bring your own device, 2014). Bu eğilim, silinen dosyaların geri getirilmesine ve analiz edilmesine yardımcı olmak için flash belleğin fiziksel olarak edinilmesine yönelik araştırmaların özellikle gerekli olduğu Android forensics’in önemini de arttırmaktadır.

Mevcut Android fiziksel edinim yöntemleri şu sorunlara sahiptir: İlk olarak, çoğu adli araç, Android çekirdeğinin güvenlik açıklarını suistimal ederek veya özel image (işletim sistemi) (Rooting (Android OS), 2014; Vidas ve diğerleri, 2011) kullanarak akıllı telefonlardan veri toplamaktadır. Bununla birlikte, bu güvenlik açıkları sürekli olarak kapatılmakta ve çoğunlukla fiziksel bellek dökümü zafiyetlerinin giderildiği daha güvenlikli sürümler haline gelmekte. Ayrıca güvenlik teknolojilerinin son uygulamaları (Secure boot, 2014; Samsung KNOX, 2014) akıllı telefonlardan veri edinmeyi daha da zorlaştırıyor. İkinci olarak, özel kurtarma görüntüsünün (recovery image) değiştirilmesine dayanan döküm yöntemi (Son ve ark., 2013), kullanıcı verilerinin bütünlüğünü dikkate alan tek yaklaşımdır. Bununla birlikte, bu yöntem, özel kurtarma görüntüsünü cihaza yazmayı gerektirdiğinden, tüm flash bellek dökümünün bütünlüğünü garanti etmemektedir. Üçüncüsü, mevcut adli araçlar, akıllı telefonlardan veri edinmek için Android Hata Ayıklama Köprüsü (ADB) protokolünü kullanıyor. Bu nedenle, ekran deseni veya kullanıcı şifresi ile kilitlenmiş akıllı telefonlardan veri edinmek zordur (USB hata ayıklama devre dışı). Bu sorunları çözmek için, Android akıllı telefonların firmware güncelleme protokollerini analiz etmeye dayanan yeni bir fiziksel edinim yöntemi önermekteyiz.

Yazılım (S/W) tabanlı ve donanım (H/W) tabanlı edinme yöntemleri esas olarak Android akıllı telefonlardan veri edinmek için kullanılmaktadır. S/W tabanlı edinme yöntemleri, mantıksal edinim ve fiziksel edinim olarak ikiye ayrılmıştır. Mantıksal edinim yöntemleri, bir akıllı telefonda depolanan kullanıcı verilerini ADB Yedekleme (Android Backup Extractor, 2014) veya İçerik Sağlayıcı (Hoog, 2011) aracılığıyla edinir. Bununla birlikte, bu yöntem yalnızca arama geçmişi ve resimler gibi kayıtlı dosyaları alır ve silinen dosyaları elde etmek için kullanılamaz. Fiziksel edinme yöntemleri, genel olarak USB kablosunu taktıktan sonra verileri doğrudan akıllı telefonun flash belleğinden çıkarır. Flaş belleğinin fiziksel olarak dökümünü gerçekleştirmek için öncelikle bir yönetici ayrıcalığı edinmek için root’lama işlemi gerçekleştirilmelidir. Root’lamaya dayalı edinim çalışmaları, bilimsel çalışmalarda ortaya konmuştur (Hoog, 2009; Lessard and Kessler, 2010). Bu çalışmalar, HTC akıllı telefonlarını geliştiren ve ADB kabuğu kullanan edinim yöntemleri de dahil olmak üzere Android adli bilişim konularını tartışır. Bununla birlikte bu yöntemler yalnızca USB hata ayıklama modu etkinleştirildiğinde veri edinmek için kullanılabilir. Ticari adli araçlar (Oksijen Forensic, 2014; AccessData MPE+, 2014; MSAB XRY, 2015) de bu yöntemi kullanmaktadır. Ancak, akıllı telefon açıldıktan sonra root’lama işlemi gerçekleştirildiğinden; Veri edinildiğinde bütünlük zarar görür. Buna ek olarak, Android işletim sistemi yeni bir sürümle güncellendiğinde, root’lamaya izin veren mevcut güvenlik açıklarına düzeltme eklenir ki bu nedenle, Android OS güncellendiğinde yeni bir root’lama tekniği bulunmalıdır. Cellebrite UFED 4PC (2015), kötüye kullanma yoluyla (exploit) temelde bir ADB fiziksel bellek dökümünü desteklerken bazı Samsung modelleri, özel bir önyükleme yükleyicisi aracılığıyla fiziksel bellek dökümünü desteklemektedir. Bununla birlikte, bu yöntemde, her modelin fiziksel bellek dökümü için ortak bir yükleyici yüklemek yerine farklı bir önyükleyici yüklenmesinin gerektiği bir sorunu vardır.

Bununla birlikte, USB hata ayıklama genellikle devre dışı olduğu için, desen kilidi veya kullanıcı şifresi ayarlandıysa bu yöntem geçerli değildir. Dahası, Secure Boot ve Samsung KNOX teknolojileri son zamanlarda Android’e uygulandığında, gelecekte bu edinim yöntemini kullanırken zorlaşacak olan özel imajların yazılması konusunda kısıtlamalar gelecektir.

Flash cihazları (RIFF Box, 2014, ORT aracı, 2014; Z3X box, 2014) mobil cihazlardan veri çıkarmak için de kullanılır. Bununla birlikte, bu araçların ana işlevi S/W hasarına uğramış kırılmış telefonları düzeltmektir. Dolayısıyla bu araçlar genel adli araçlar olarak düşünülmez.

H/W tabanlı edinme yöntemleri, JTAG tabanlı edinimi (Kim ve ark., 2008; Breeuwsma ve ark., 2007) ve Chip-off tabanlı edinimi (Jovanovic, 2012) içerir. JTAG tabanlı erişim yöntemi, akıllı telefonun PCB kartı üzerindeki JTAG hata ayıklama ara yüzünü kullanarak verileri flaş bellekten okur ve kopyasını çıkartır. Chip-off tabanlı yöntem, flash bellek yongalarını akıllı kartların PCB kartından fiziksel olarak ayırmayı ve flash belleğin ham verisini kopyalamayı temel alır. JTAG tabanlı edinme yöntemi sorunludur çünkü tüm akıllı telefonlar JTAG soketine sahip değildir ve veri edinmek uzun sürer. Chip-off tabanlı bilgi toplama yöntemi, flash belleği ayırdığı için sınırlı durumlarda kullanılır ve uygulanması ayrı bir uzmanlık gerektirir.

Flash bellek, esasen akıllı telefonlara veri depolamak için kullanılır. Flaş bellek fiziksel olarak küçük olduğundan ve çok miktarda veri depolayabildiğinden, akıllı telefonlar ve gömülü cihazlarda yaygın olarak kullanılmaktadır. Son zamanlarda, NAND flaşının ve bir denetleyiciyi ile aynı pakete entegre edildiği bir gömülü Multi-Media Card (eMMC), EXT4 dosya sistemini kullanarak depolanan verileri yönetmektedir. Ayrıca, BOOT, RECOVERY, SYSTEM ve USERDATA gibi bölümleri kurar ve çalıştırır. Tüm flash belleğin fiziksel dökümünden önce bir yönetici ayrıcalığı edinilmelidir. Yönetici ayrıcalığını elde etmek için BOOT bölümünde özel bir image üzerine yazılır ve bir uygulama (SuperUser.apk) veya bir binary dosya (/system/su) SİSTEM bölümüne kaydedilir. Buna ek olarak, yönetici ayrıcalığı, kurtarma modunda elde edilen root yetkisi ile veya Android işletim sistemindeki güvenlik açıklarından yararlanma yoluyla elde edilir. Genel olarak, Google’ın FASTBOOT (Android software development-fastboot, 2014) adlı özel bir imajı flash’a yazma için kullanılır. Her bir üretici kendi firmware güncelleme programlarını (Samsung Kies, 2014; Samsung Odin, 2014; LG Yazılım ve araçları İndirme, 2014; Pantech SelfUpgrade, 2014; HTC Sync Yöneticisi, 2014; Sony PC Companion, 2014; Xiaomi Xiaomi Smartphone için MiFlash’i İndirin) , 2015) kullanır. Google tarafından sağlanan FASTBOOT aracılığıyla basitçe firmware yazılmasını önlemek için bir protokol yayınlanmamış olduğundan sadece orijinal üretici yazılımı flash’a yazabilir. Ürün yazılımı güncelleme işlemi, yalnızca akıllı telefonlar yazılım güncelleme veya indirme modu adı verilen özel bir mod’a girdiğinde çalışır. Bu modda yalnızca ön yükleyici ve USB işlevi çalışabilir ve yeni bir sistem firmware’i (ya da işletim sistemi) yazılabilir. Güncelleme işlemleri ve komutları, IDA Pro (HexRays, 2015) gibi bir araç kullanarak önyükleyici (boot loader) ve firmware güncelleme programının tersine mühendisliği ile analiz edilebilir.

Ürün Yazılımı Güncelleme Protokollerine Dayalı Android Fiziksel Edinimi

Adli bakış açısından, kullanıcı verilerini içeren flash bellek, veri edinimi sırasında ana hedeftir. Bu işlem, mantıksal bir edinim yöntemi yerine tüm flash belleği elde etmek için fiziksel bir edinim yöntemini gerektirir. Üretici yazılımı, güncelleme işlemi sırasında, Android OS ya da S/W sorunlarını gidermek için flash belleğine yazılır. Flaş belleğine doğrudan S / W aracılığıyla erişmenin tek yolu bir firmware güncelleme protokolüdür ve bundan dolayı firmware güncelleme işleminde kullanılan komutları analiz ederek yeni bir fiziksel bellek edinme yöntemi türetebiliriz.

Şimdiye kadar var olan adli edinim/imaj alma araçlarının sorunlarını çözmek için yazılım güncelleme protokollerini analiz eden bir araştırma yoktu. Bu çalışmada, LG, Pantech ve Samsung akıllı telefonları tarafından kullanılan üretici yazılımı güncelleme protokollerini analiz ettik. LG ve Pantech modellerinde, flash belleğe doğrudan erişim ve yazma komutlarının yanı sıra flash belleğin kopyasını çıkartmak için kullanılabilecek okuma komutlarının da yer aldığını gördük. Samsung modellerinde, flash belleğin dökümünü almak için daha önceden okuma komutlarının bulunduğunu doğruladık, ancak yeni versiyonlarda kaldırıldığını gördük. Bu analitik sonuçlara dayanarak, Android akıllı telefonlar için yeni bir fiziksel edinim yöntemi öneriyoruz.

Firmware Güncelleme Protokolü

Bir Android akıllı telefon açıldığında veya yeniden başlatıldığında, ROM’un 0. Adresinden itibaren yüklü bir proses çalıştırılır ve CPU yapılandırması da dahil olmak üzere başlatma işlemleri gerçekleştirilir. Sonra, önyükleyici belleğe yüklenir ve H/W (donanımlar) başlatılır ve NAND ve USB gibi bileşenler kullanım için yapılandırılır. Bootloader uygulaması, Initial BootLoader (IBL), Primary BootLoader (PBL), Secondary BootLoader (SBL) gibi bir çok aşamadan geçerek Android modeline bağlı olarak SBL önyükleme yükleyicisinde veya ABOOT önyükleme yükleyicisinde bir firmware güncelleme protokolü çalıştırılır.

Bir tersine mühendislik aracını kullanarak, önyükleme yükleyicisini analiz etmek ve firmware güncellemeleri için kullanılan komutları tanımlamak mümkündür. Yazılımı güncellemek veya flash belleğe erişerek veri edinmek için akıllı telefon normal önyükleme modundan ziyade yazılım güncelleme modunda olmalıdır. Bu modda yalnızca önyükleyici ve USB modülü etkinleştirildiğinden, edinilen verilerin bütünlüğü, fiziksel edinme işleminden sonra bile birçok kez garanti edilir. Dolayısıyla, incelemesi yapılan kanıt telefonu, güç kapalıyken bellenim güncelleme modunda önyüklenir ve daha sonra fiziki edinme yapılırsa, flaş belleğin bir görüntüsünü almak için bütünlük korunabilir. Şekil. 1, Samsung, LG ve Pantech akıllı telefonlar yazılım güncelleme modunda önyüklendiğindeki ekran görüntülerini göstermektedir. Üretici yazılımı güncelleme moduna girerken kullanılan yazılım güncelleme modunu ve yöntemlerini belirten terimler, üreticiler arasında farklılık gösterir.


Şekil 1 – Firmware güncelleme modları (Samsung, LG, Pantech)

Tablo 1, bir akıllı telefon önyükleme yapıldığında firmware güncelleme moduna girme yöntemlerini göstermektedir. USB Jig, akıllı telefonlar için firmware güncelleme moduna giren basit bir devredir. Samsung ve LG akıllı telefonlar, microUSB konektörünün 4 ve 5 numaralı pinleri arasında 300 K ve 910 KOhm’luk dirençlere (XDA geliştiricileri, 2012a, 2012b) göre yazılım güncelleme moduna girilebilir. Bu USB İzolasyon kabloları, Orijinal Donanım Üreticisi (OEM) kilidini açmak gibi mevcut sınırlamaların üstesinden gelmek için kullanılamaz.

LG Firmware Güncelleme Protokollerinin Analizi

LG akıllı telefonlar için, LG tarafından sağlanan önyükleyici ve güncelleme programını (LG Software & Tools Download, 2014) ayrıştırarak firmware güncelleme süreçlerini ve komutlarını analiz ettik ve flaşın kopyasını almak için kullanılan okuma komutunu tespit ettik.

LG Firmware Güncelleme Komutları

LG firmware güncelleme protokolü, bir komut paketi gönderme ve bir cevap paketi alma şeklinde çalışır. Paketler, HDLC bayrağı (0x7E) ve ardından paket veri ve Döngüsel Yedekleme Kontrolü (CRC) -16’dan başlayan ve HDLC bayrağı (0x7E) ile biten Üst Düzey Veri Bağlantısı Kontrolü (HDLC) çerçeve yapısını kullanır. Şekil. 2 LG telefonlarının firmware güncelleme komutunu yapısını göstermektedir.

Model Modun adı Tuş bileşimi
Samsung Galaxy ODIN Aynı anda, Ses Azaltma, Ev ve Güç tuşuna basıp basılı tutun (ardından Ses Seviyesini Artır tuşuna basın) veya 300 Kohm USB Jig bağlayın
LG Optimus DOWNLOAD Sesi Açma tuşunu basılı tutun telefonu mikroUSB kablosuyla bilgisayara takın veya 910 K ohm USB Jig bağlayın
Pantech Vega PDL Download Ses Seviyesini Arttır, Ses Azalt, Ev ve Güç tuşuna aynı anda basılı tutun
Google Nexus 4/5 DOWNLOAD Sesi Açma tuşunu basılı tutun telefonu mikroUSB kablosuyla bilgisayara takın veya 910 K ohm USB Jig bağlayın.

Tablo 1 – Firmware güncelleme (download) moduna girme yöntemleri


Şekil 2 – LG Firmware güncelleme komut yapısı

LG firmware güncelleme moduna girdikten sonra, cihaz bilgilerini, GUID Partition Table (GPT) bölüm bilgilerini ve hafıza bilgilerini edinme komutları kullanılabilir. Tablo 2 LG firmware güncelleme komutlarını göstermektedir.

LG firmware güncelleme işlemleri aşağıdaki gibidir.

  1. Cihaz bilgisini alın: 0x00.
  2. İndirme moduna geç: 0x3A.
  3. Sorgu özellikleri (Protokol ver., Vb.): 0x2F.
  4. Partition bilgisini alın: 0x30.
  5. Fabrika bilgilerini alın: 0xFA.
  6. Sektör yazın (Birincil GPT): 0x39.
  7. Bölümü yazmaya devam edin: 0x39.
  8. İndirme tamamlandı: 0x38.
  9. Sistemi yeniden başlatın: 0x0A.
      1. LG flash bellek döküm komutu

Önyükleme yükleyicisinde firmware güncelleme komutlarının tersine mühendisliği ile elde edilen sonuçlara dayanarak, Tablo 2’de gösterilenlere ek olarak flaş bellek için okuma komutlarını belirledik. Şekil 2 LG Optimus G modelinde (LG-E975) SBL3 önyükleme yükleyicisinin tersine mühendislikle elde edilen flash bellek için okuma komutunu (0x50) göstermektedir.

Firmware güncelleme moduna Tablo 1’de açıklanan işleme göre girildikten sonra, flash bellek ve GPT bölüm bilgisi boyutunu elde etmek için flash bellek bilgisi edinme (0x30) komutu gönderilir. Elde edilen bilgi, flash bellek boyutunu, bölüm sayısını, başlangıç ​​adresini, bitiş adresini ve her bir bölümün adını içerir. Flash bellek (0x50) için okuma komutu başlangıç ​​adresi ve döküm boyutu ile gönderilir ve daha sonra istenen boyut kadar flaş bellek verilerisi elde edilebilir.

Komut Açıklama
0x00 Cihaz bilgisini al (model, derleme tarihi)
0x3A Download moduna git
0x2F Protokol ve algoritma versiyonunu getir
0x30 MMC ve bölüm tablosu bilgisini getir
0xFA Fabrika bilgilerini getir (IMEI, MAC adresi)
0x12 RAM belleği oku
0x39 Flash belleği yaz
0x0A Sistemi resetle

Tablo 2 – LG firmware güncelleme komutları


Şekil 3 – . LG SBL3 ön yükleyicisinin tersine mühendislik yapılması



Şekil 4- LG okuma komutu formatı (0x50)

Şekil 4, flaş belleğin içini okuma komutunun (0x50) biçimini gösterir. Şekil 5, bir veri toplama örneğini göstermektedir. Tüm modellerin fiziksel olarak edinilmesi, Android işletim sisteminden ve çekirdek sürümünden bağımsız olarak okuma komutu kullanılarak gerçekleştirilebilir. Dahası, yazılım güncelleme modunda önyükleme yapıldığından, döküm görüntüsünün bütünlüğü daima korunur.

Android’in Fiziksel Edinimi

Makalede önerilen edinim yöntemini kullanarak, C++ ‘da Android Physical Dump (APD) adlı bir edinim aracı geliştirdik. Şekil 10 APD aracını göstermektedir. Bir USB kablosuyla bağlandıktan sonra fiziksel olarak edinme butonları tıklanır.

Desteklenen Modeller

APD aracı şu anda en yeni Android modellerinin 80’inden fazlasını destekliyor. Şu anda, APD, LG Optimus, Pantech Vega ve Google Nexus modellerinden fiziksel çöplükler yapabilir. Desteklenen modellerin temsili örnekleri şunlardır: LG G3, G2, G, Pantech R3, Iron2, Nexus 4/5 ve G Watch.


Şekil 10 – Android Physical Dump (APD)

Firmware Güncelleme Modunda Başlatma

İlk fiziksel döküm adımında, cihaz yazılım güncellemesi modunda önyüklenir. Akıllı telefonlar, AT komutu veya indirme modu komutu aracılığıyla firmware güncelleme moduna girebilir. Bununla birlikte, fiziksel bellek döküm alma işlemi, normal bir önyükleme sonrasında gerçekleştirilirse, edinilen verilerin hash değeri değişebilir. Bu nedenle, telefon ele geçtikten sonra kapatılması ve ürün yazılımı güncelleme moduyla önyüklemesi yapılmalıdır.

Telefona Bağlanma ve Model Bilgisini Edinme

Bir USB kablosu kullanarak akıllı telefona bağlayın. USB sürücüsü önceden kurulmuş olmalıdır. USB sürücüsü üreticinin web sayfasından indirilebilir. Bir USB kablosu bağladıktan sonra, Model ve GPT bilgilerini al düğmesini seçin. Kullanıcı yalnızca üreticiyi seçerse, akıllı telefon model adı otomatik olarak görüntülenir.

Model bilgilerini aldıktan sonra, GPT bölüm bilgisi komutu gönderilerek bölüm bilgisi elde edilir. Şek. 10’da, pencere her bölüm için bölüm adını, başlangıç ​​adresini ve bitiş adresini sunar.

Fiziksel Edinim

APD aracı, bir bölüm dökümünü ve tüm flash bellek dökümünü gerçekleştirmek için uygulanmıştır. Seçilen Bölümleri edinme düğmesi tıklandıktan sonra, ilgili bölümün fiziksel bir dökümü gerçekleştirilir. Döküm işlemi bittikten sonra, döküm görüntüsünün döküm süresi ve MD5 hash değeri Döküm Günlük penceresinde görüntülenir.

Full Dump butonu tüm flash belleği almak için seçilir. Fiziksel edinme işlemi, edinilen GPT bölüm bilgisindeki flash belleğin başlangıç ​​ve bitiş adreslerini kullanarak yürütülür. Edinim işlemi tamamlandıktan sonra, araştırmacı bilgileri, edinim aracı bilgileri ve döküm bilgisi Şekil 10’da gösterildiği gibi görüntülenir. Döküm bilgileri, hesaplanan MD5 hash değerini ve döküm görüntüsünün başlangıç ​​zamanı ve bitiş süresini gösterir. Hash değerinin hesaplanması, döküm imajının bütünlüğünü kontrol etmek için önemlidir.

APD aracını kullanarak elde edilen dosya ham veri formatıdır ve akıllı telefon adli araçları (Cellebrite UFED Fiziksel Analiz Cihazı 2015, Rehberlik EnCase, 2014, R-Linux, 2014) aracılığıyla analiz edilebilir.

Denemeler

Android adli bilişim alanında en önemli faktörler, desen kilidi ve kullanıcı şifresi nedeniyle adli imajının bütünlüğünü, hızlı kanıt toplama ve alınan flash imajının bütünlüğünü garanti altına almaktadır. Bu üç faktöre dayanarak, bu çalışmada önerilen APD aracını en yeni Android akıllı telefonlarını kullanarak mevcut edinim yöntemleriyle karşılaştırdık. Karşılaştırılan araçlar arasında, özel kurtarma görüntüsünü temel alan iyi bilinen Cellebrite UFED 4PC, döküm yöntemi ve root’la istismarı yoluyla ADB fiziksel dökümü ve JTAG tabanlı edinim vardı. Tablo 5, elde edilen deneysel sonuçları göstermektedir. G3 (F400S, D851), Optimus G (F180S, E975), R3 (IM-A850S), Iron2 (IM-A910S) ve Nexus 4/5 (E960, D821) gibi farklı modeller kullanılmıştır. Flaş belleğini APD aracı ile dışarı alma işlemini tamamladıktan sonra, alınan imajın kalitesini belirlemek için elde edilen imaj Cellebrite UFED Fiziksel Analiz Cihazı (2015) kullanarak karşılaştırılmıştır.

Elde Edilmiş Görüntünün Bütünlüğünü Koruma

Bir önceki çalışmada (Son ve ark., 2013), kullanıcı verileri bütünlüğü bir JTAG tabanlı edinim yöntemi ile kontrol edildi. Bu yöntem, kullanıcı verilerinin bütünlüğünü sağlar, çünkü yalnızca özel imajı flash belleğe yazılmıştır. Bununla birlikte, flash belleğin kurtarma bölümü değiştirildiğinden, tüm flash belleğin bütünlüğü hasar görür. Edinim işlemi sırasında kullanılan Cellebrite UFED 4PC ile bütünlük de hasar görüyor çünkü edinim işlemi normal açılıştan sonra gerçekleştirilmektedir.

Buna karşılık, önerilen erişim yöntemi, tüm flash belleğin bütünlüğünü korumaktadır. Yazılım güncelleme modunda önyüklenir ve fiziksel bilgi edinme, flash bellek okuma komutunu kullanarak gerçekleştirilir. Böylece, tüm flash belleğin bütünlüğünün muhafaza edilip edilmediğini teyit etmek için JTAG tabanlı edinim yöntemini karşılaştırrılabilir. Sonuçların doğruluğunu sağlamak için, deney işlemi bir önceki çalışmada olduğu gibi yerine getirilmiştir (Son ve ark., 2013). Beş kez flash bellek edinimi gerçekleştirildikten sonra edinilen görüntülerin karma değerleri karşılaştırılmıştır.

Edinme Hızı

Akıllı telefonların kullanımındaki hızlı artış nedeniyle, analiz edilmesi gereken akıllı telefonların sayısı da hızla artıyor. İncelenmesi gereken telefonlarının sayısı büyük olduğundan, alanda 8 saati aşan bir edinme zamanı gerektiren JTAG tabanlı erişim yöntemini kullanmak kolay değildir. Bu nedenle, hızlı S/W tabanlı edinim yöntemleri sıklıkla kullanılır. Tüm flash bellek için edinme süresini karşılaştıran sonuçlar Tablo 5’te gösterilmiştir. Sonuçlar, 8 modelin edinme sürelerinin ortalama değerlerini temsil etmektedir. Önerilen yöntem, verileri bir bilgisayara göndermek için akıllı telefonun maksimum boyutunu ayarlayabildiğinden, diğer yöntemlerle edinme süresinden yaklaşık dört kat daha hızlıdır. 32 GB flaş bellek elde etmek için ortalama olarak 30 dakika gerekiyordu.

Açıklanan yöntem Cellebrite
UFED 4P
Özel kurtarma modu Root’larak ADB ile döküm alma JTAG yöntemi
Bütünlük garantisi 0 0 X X 0
Imaj alma hızı (32GB) 30 dk. 120 dk. 120 dk. 180 dk. 480 dk. a
Ekran kilitli akıllı telefonun imajı alma 0 0 X X 0
a JTAG tabanlı edinme yönteminde cihazı sökme ve adaptörü bağlantı süresi hariç tutulmuştur

Tablo 5 – Deney sonuçları

Ekranı Kilitli Akıllı Telefonlardan Fiziksel Olarak Edinme (USB Debug devre dışı)

Çoğu S/W tabanlı adli araç, fiziksel edinim için ADB protokolünü kullanır. ADB protokolünü kullanmak için akıllı telefonda USB hata ayıklamasının etkinleştirilmesi gerekir. Bununla birlikte, tüm Android akıllı telefonlar güvenlik nedenlerinden ötürü varsayılan olarak USB hata ayıklaması devre dışı bırakılmış olarak teslim edilir. Böylece, mevcut kazanım yöntemlerini uygulamak için USB hata ayıklamasının etkinleştirilmesi gerekir. Bu nedenle, bir desen veya kullanıcı şifresi tarafından kilitlenmiş (USB hata ayıklamalı devre dışı bırakılmış) bir akıllı telefondaki mevcut yöntemlerden birini kullanarak fiziksel edinimi gerçekleştirmek imkansızdır. Bu eksiklik, Android’in fiziksel edinimi alanında çözülmesi gereken önemli bir konudur. Bununla birlikte, önerilen yöntem bu sorunun üstesinden gelmektedir. Ekranı kilitli bir akıllı telefon olsa bile, telefon kapalıyken ve firmware güncelleme modunda yeniden başlatıldıktan sonra fiziksel olarak edinme gerçekleştirmek mümkündür.

Forensic Aracı Açık
Kaynak
Kullanıcı
Dostu
Ekran Kilitli Cihazdan Kurtarma Bütünlük Bölüm Dışarı
Veri
Aktarma
Adli Bilişim Süreçleri
Uyumu
Genel Amaçlı
LiME E H Bilgi yok Yüksek H TCP SD Kart H H
AMExtractor E H H Yüksek H TCP H H
APD H H E E E Bilgi yok H H
Hawkeye H H H E E Bilgi yok H H
ANDROPHSy E H E E E TCP E E
ADA E E H E H SD Kart H H
UFED H H E E H SD Kart, USB Flash Bellek E H
Oxygen H E E E H USB bağlantısı, Bluetooth E H
MSAB
XRY/XACT
H E E E H USB Bağlantısı E H
DS H E E E H USB Bağlantısı E H
MOBILedit! H E H E H USB Kablo, TCP E H
ViaExtract H E E Bilgi Yok H Bilgi Yok E H
MPE+ H E E H H Kablolar, Infrared, Bluetooth E H

Tablo -1: Adli Bilişim Araçlarının Karşılaştırmalı Tablosu

MOBİL CİHAZ YÖNETİM (MDM) YAZILIMI İLE DELİL ELDE ETME

MDM , Mobile Device Management (Mobil Cihaz Yönetimi) ifadesinin kısaltması olup, işletmelerin bilgi güvenliği için kullandığı en önemli teknolojidir. Mobil Cihaz Yönetim yazılımı akıllı telefonların yaygınlaşması ile birlikte kurumların cihazlarının güvenliğini sağlamak için tercih ettiği yazılımlardan olmuştur. Bir MDM yazılımı cihazın uzaktan izlenebilmesine ve yönetilebilmesine olanak tanır. Diğer taraftan MDM, akıllı telefon endüstrisinin bıraktığı güvenlik boşluklarına hitap eden hızla gelişen bir satış sektörüdür. Hükümetler ve endüstrideki mobil cihaz eğilimleri göz önüne alındığında, bir işletmede akıllı telefonu güvence altına alma gerekliliği ortaya çıkmaktadır. Bir kuruluşta güvenilmeyen cihazlara izin verilmesinin doğasında olan riskler nedeniyle MDM sistemlerine olan ihtiyacı artmaktadır. Kuruluşlar, mobil cihaz risklerini azaltmak için mobil cihaz güvenlik politikalarının sıkı bir şekilde uygulanmasına ihtiyaç duymaktadır.

MDM, dağıtım, güvenceye alma, izleme ve entegrasyon işlemlerinin yapıldığı idari alandır ve işletmelere temel olarak, iş yerlerindeki mobil aygıtların (akıllı telefon, tablet, vb.) yönetimine dair hizmetler sunar. Aşağıdaki işlevler sayesinde işletmeler, kullanıcıların çalışmalarını kesintiye uğratmadan, kablosuz bağlantı yoluyla mobil cihazları hızlı ve etkin bir şekilde yönetebilir:


a) Güvenlik Yönetimi:
Mobil cihazın çalınması veya kaybedilmesi halinde, güvenlik önlemi olarak tüm kurumsal veriler uzaktan kaldırılabilir ve silinebilir.

b) Politika Yönetimi: Kurumsal verileri (kamerayı kapatmak, ekran görüntüsü aldırmamak, ekran kilidi ve parola kilidini zorunlu kılmak, vb. yoluyla) güvence altına almak amacıyla işletmelere yönelik bilgi güvenliği düzenlemelerini mobil cihazlara otomatik olarak dağıtır.

c) Yazılım Dağıtımı: İşletmelerin, uyguladıkları bilgi güvenliği politikasını esas alarak, kurulum için gerekli uygulamaları mobil cihazlara dağıtmasına olanak sağlar ve tekil kurulum yapma zorluğundan kurtarır.

d) Envanter Yönetimi: Cihazdaki yazılım ve donanım verilerini düzenli olarak toplar ve kullanıcıların uygulamaları nasıl kullandıklarını izler.

Birkaç lider MDM ürünü üzerine yapılan araştırma, kurumsal düzeyde Android cihazlardan otomatik olarak adli veri koleksiyonları elde etmede genel bir özellik eksikliği ortaya çıkardı. Bu verilerin bulunması, olayların yanıtı, güvenlik denetimi, proaktif güvenlik izleme ve adli soruşturmalar da dahil olmak üzere kuruluşlar arasında bulunan ortak güvenlik uygulamalarına yardımcı olacaktır. 2010/2011 Bilgisayar Güvenlik Enstitüsü Bilgisayar Suçları ve Güvenliği Anketi’ne göre, çeşitli şirketlerden gelenlerin %61.5’i iç denetimlerin bir güvenlik mekanizması olarak kuruluşlarında yapıldığını bildirdi. Buna ek olarak,%44 veri-kayıp önleme ve kullanıcı içerikli izleme programlarının bulunduğunu bildirmiştir (Richardson, 2010). Bu istatistikler, birçok organizasyonun içeriden öğrenebilecekleri tehditlerle ilgili kurumsal risklerin farkında olduğunu ve bunları hafifletmek için gerekli önlemleri aldıklarını göstermektedir; Ancak, Android akıllı telefonu izlemek için teknoloji eksikliği göz önüne alındığında, bu cihazlarda gerçekleştirilen birçok işlem denetlenmemektedir. İzleme seçeneklerinin olmaması, bu verilerin iç soruşturmalarda yaratacağı önemli etkiyle birlikte, bu çalışmanın konusu olan DroidWatch adlı bir prototip çözüm önerisi ve geliştirilmesine yol açtı.
Bu makale, politika ihlalleri, fikri mülkiyet hırsızlığı, yanlış kullanım, zimmete para geçirme, sabotaj ve casusluk da dahil olmak üzere iç soruşturmalar için kullanışlı verilerin toplanmasını otomatikleştiren bir Android uygulamasının (“uygulaması”) tasarlanması ve uygulanması üzerine odaklanmaktadır. Veriler, Gingerbread 2.3.6 çalıştıran bir Samsung Galaxy S II Epic 4G Dokunmatik Android akıllı telefonundan toplandı. Ardından PHP, MySQL, Apache ve Splunk çalıştıran uzak bir Ubuntu sunucusuna gönderildi. Anti-virüs, kök algılama ve uygulamanın sonlandırılmasına veya kaldırılmasına karşı korunma gibi özellikler, sistem ve kurumsal güvenlik için gereklidir, ancak bu araştırmanın kapsamı dışındadır. Uygulanan çalışma ile toplanan tüm veriler, kurumsal veya resmi ağlarda yaygın olanlara benzer bir kullanıcı onayı vasıtasıyla gerçekleşir. Veriler, köklü ayrıcalıklar veya Android mimarisinin kullanılmasıyla elde edilemez.

Android Uygulama Geliştirme Terminolojisi

Android uygulama bileşenleri, bir uygulamanın davranışını tanımlamaya yardımcı olan Android çerçeve bloklarından oluşur (framework blocks) (Google. (N.d.). Uygulama temelleri). DroidWatch içinde şu uygulama bileşenleri kullanılmaktadır: etkinlikler, hizmetler, içerik sağlayıcıları, yayın alıcıları, içerik gözlemcileri ve alarmlar. Aşağıda açıklanan her bileşen, farklı ve kullanışlı bir amaca hizmet eder.

Etkinlikler (Activities)

Bir kullanıcı arabirimini uygulayan bağımsız ekranlardır. Bilgi görüntüler, kullanıcı etkileşimini ister ve diğer etkinlikleri başlatırlar (Google. (N.d.). Uygulama temelleri). DroidWatch’da etkinlikler nadiren kullanılır; Genel kullanıcı deneyimini etkilememek için, çalışmaların çoğu arka planda gerçekleşir.

Hizmetler (Service)

Kullanıcı etkileşimi gerektirmeyen uzun süre devam eden işlemlerdir. Etkinlikler gibi diğer uygulama bileşenleri, diğer uygulamalar ve hizmetler çalışırken bile hizmet başlatabilir ve devam ettirebilir (Google. (N.d.) Uygulama temel bilgileri). DroidWatch, veri koleksiyonlarını ve aktarımları gerçekleştirmek için sürekli olarak bir servis kullanır.

İçerik sağlayıcıları (Content Providers)

Uygulama verisinin erişimini ve paylaşımını yöneten uygulama bileşenidir. Ön tanımlı tekil kaynak tanımlayıcıları (URI) aracılığıyla içerik sağlayıcılarıyla arabirimlenerek kullanılır (Google. (N.d.). Uygulama temelleri). DroidWatch içerik sağlayıcıları iki şekilde kullanır:

1. Diğer uygulamalar içinde saklanan verileri okurken

2. DroidWatch uygulaması içinde depolanan verileri okuyup yazar iken

Yayın alıcıları (Broadcast Receiver)

Bir Android cihazdaki yayın sistemi olaylarını işleyen ve bunlara yanıt veren uygulama bileşenleri (Google. (N.d.). Uygulama temelleri) ‘dir. Gelen Kısa Mesaj Servisi (SMS) mesajları ve uygulama yüklemesi gibi olayları tespit etmek için DroidWatch da kullanılırlar.

İçerik gözlemcileri (Content Observers)

İçerik sağlayıcılarla ilişkili olduğunda, hedeflenen bir veritabanı altında yatan veri kümesinin içeriği değiştiğinde bildirim alırlar (Google. (N.d.) ContentObserver). DroidWatch bunu verilerin gerçek zamanlı değişikliklerini algılamak için kullanır.

6.1.6. Alarmlar (Alarms), periyodik olarak içerik sağlayıcıları sorgulamak ve yeni veriler çekmek için DroidWatch’ta yapılandırılan, cron işlerine (cronjobs) benzer şekilde zamanlanmış işlemlerdir. Güvenilirdir ve yalnızca belirlenen zamanlarda çalışırlar.

Android Uygulama Güvenliği

Google’ın Android uygulamaları güvenlik modeli, bir uygulamanın AndroidManifest.xml dosyasında (daha sonra “AndroidManifest” olarak anılacaktır) izin beyanını içerir. Varsayılan olarak, istenen izinlere sahip olmayan bir uygulama, “diğer uygulamaları, işletim sistemini veya kullanıcıyı olumsuz yönde etkileyecek her hangi bir işlemi gerçekleştiremez” (Google. (N.d.) İzinler). Bu, bir uygulamanın diğer uygulamaların özel verilerine erişememesi, şebeke servislerini kullanamaması, dahili / harici hafızaya yazamaması veya diğer temel işlevleri yerine getirememesi anlamına gelir. Yeni indirilen bir uygulama, yüklenmeden önce kabul edilmiş olması için kullanıcıya bildirilen izinlerini sunmalıdır. Bu durum Android 5 ile değişmiştir. Yeni güvenlik modeline göre önemli (tehlikeli kategorideki) izinlerin çoğu uygulama ilgili izini gerektiren bir işlem yaptığı sırada talep edilir. Böylece işletim sistemi çalışma zamanında kullanıcıdan ilgili işlem için izin vermesini ister.

Kökleme (Rooting)

Köklendirme, kullanıcıların normal kullanıcı kipi altında normalden daha yüksek ayrıcalıklı işlevler gerçekleştirmesine olanak tanır. Yasal veya gayri meşru amaçlar için kullanılabilir. Kullanıcılar, güvenlik kısıtlamalarını atlamak veya DroidWatch gibi bir uygulama aracılığıyla toplanan verilere müdahale etmek isteyebilir. Kök erişimi meşru olarak da kullanılabilir.( J. Grover / Digital Investigation 10 (2013) S12-S20 S13 adli araştırmacılar tarafından bir cihazdan veri çıkarılması) Ancak, mümkün olduğunca bundan kaçınılmalıdır. Süreç tipik olarak belirli bir aygıtta veya işletim sisteminde bir güvenlik açığını kullanır ve daha fazla güvenlik açıklarına neden olabilir. Köklendirme, bir cihazın bölümlerini de değiştirir (adli bilişim uygulamalarıyla çelişen bir eylem); Bununla birlikte, gerekli koşulların ve verilerin türüne bağlı olarak köklenme kaçınılmaz olabilir (Vidas ve diğerleri, 2011). Kök erişimi, DroidWatch gibi bir uygulamanın özellik sayısını artırabilir; bunun sonucu olarak sistemin güvenliğini zayıflatabilir, birlikte çalışabilirliği düşürebilir ve akıllı telefon sağlayıcının garantisini tehlikeye sokabilir.

Akıllı Telefon Araştırmaları

Suçları araştırmaya ve hassas hükümet bilgilerini yetkisiz erişimden korumak için yetkilendirilmiş mobil güvenlikte birincil oyuncular kolluk kuvvetleri ve devlet kurumlarıdır. Şirketler ayrıca ticari casusluk, finansal hırsızlık ve fikri mülkiyet hırsızlığına karşı kendilerini korumak için mobil güvenlikle çok ilgilidirler. Boşanma kararları, velayet savaşları, emlak anlaşmazlıkları vb. alanlardaki özel menfaatler de bu alandaki ilerlemelerden kazançlı çıkmaktadır (Hoog, 2011). Sonuç olarak, akıllı telefonların izlenmesinden menfaat sağlayacak soruşturma türleri, kanun uygulama soruşturmaları, iç soruşturmalar ve özel soruşturmalardır. Bu araştırma, potansiyel politika ihlallerini, fikri mülkiyet hırsızlığını, kötüye kullanım, zimmete para geçirme, sabotaj, casusluk ve diğer soruşturmaları araştırmak için bir organizasyonda sözleşmeli veya başka bir şekilde (örneğin, adli olay inceleyicileri, güvenlik denetçileri vb.) personel tarafından gerçekleştirilen dahili soruşturmalar üzerine yoğunlaşmaktadır. Dahili araştırmacıların kolluk soruşturmalarının sıkı adli muamele ve koruma prosedürlerine uymaları gerekmez, ancak genellikle yaygın olarak uygulanan adli bilişim tekniklerine ve kurallarına uymaya çalışılmalıdır. Dahili araştırmalar için değerli akıllı telefon verileri elde etmek için, geleneksel olarak bir cihaza fiziksel olarak erişmek gereklidir. Buna bir istisna olan EnCase Enterprise, Ekim 2012 tarihinden itibaren bir ağ üzerinden Android cihazların uzaktan adli görüntülerini çıkarabilimektedir. Bazı MDM’ler ayrıca sınırlı izleme, ancak araştırmacıların ihtiyaçlarını etkin bir şekilde ele alacak kadar yeterli değildir. Bir mobil cihazın fiziksel olarak alındığı varsayılarak, araştırmacılar, cihazın mevcut durumunun mantıksal veya fiziksel anlık görüntüsünü almak için çeşitli araçlar kullanabilirler. Andrew Hoog, (Hoog, 2011), Android akıllı telefonlardan bilgi toplamak için mevcut araçların çoğunu listeliyor. Cihazların bazıları taşınabilir donanım aygıtları ve diğerleri yazılım ürünleridir; Bununla birlikte, hepsi evrensel bir seri veri yolu (USB) bağlantısı üzerinden çalışır ve çalışması için akıllı telefona fiziksel erişim gerektirir. Buna ek olarak, araçların birçoğu kök erişim gerektirir (Valle, 2013).

Gizlilik endişeleri

DroidWatch, kullanıcıları gizlilik beklentileri hakkında bilgilendirmek ve onaylarını almak için bir telefonun önyükleme işlemi sırasında bir kullanıcı onayı bayrağı görüntüler (izin kartı afişinin uygulanmasına ilişkin daha fazla ayrıntı Bölüm 4.1.2’de bulunur). Bu, uygulamanın bir casus yazılım sınıflandırmasını önlemesine yardımcı olur ve sistem hatalarını engelleyebilir. Tablo 1’de, geçerli bazı mobil cihaz gizlilik davaları listelenmiştir. Kullanıcıları DroidWatch’ta izleme politikaları hakkında bilgilendirmek için istenen izinlerin kabul edilebilir kullanımı, ABD v. Ziegler’de (ABD Temyiz Mahkemesi, 2007) karar veren ABD Temyiz Mahkemesinden alınabilir. Potansiyel BYOD etkileri ile ilgili argümanlar, ABD Büyük Anayasa Mahkemesi davası Ontario v. Quon kararından (ABD Yüksek Mahkemesi, 2010) alınarak yapılabilir.

Sonuç olarak, bir organizasyon, DroidWatch gibi izleme uygulamalarını, şahsen sahip olunanlar da dahil olmak üzere tüm kurumsal akıllı telefonlara kurma hakkına sahip olduğunu düşünebilir; çünkü telefonlar özel olarak kontrol edilen ağında çalışırlar. Carrier IQ davası, bu yazının yazıldığı tarih itibariyle halen beklemede olmasına rağmen, kullanıcı verilerinin kullanıcı onayı olmadan akıllı telefonda izlenmesinden kaynaklanabilecek yasal sorunlara örnek teşkil etmektedir (Davis, 2012).

Ticari MDM Ürünleri

Üçüncü taraf MDM ürünleri mobil cihazlarla bir şirketin genel güvenliğini artırır; Bununla birlikte, çoğu MDM’de derinlemesine kullanıcı izleme özellikleri yoktur. Zenprise, AirWatch ve MobileIron gibi bazı önde gelen MDM seçenekleri, sınırlı izleme yetenekleri (ör., GPS izleme ve SMS izleme) sunmaktadır, ancak dahili araştırmalara yardımcı olan diğer mevcut veri setlerini toplamayı başaramamaktadır. Araştırılan MDM ürünlerinin Juniper Pulse Mobil Güvenlik Paketi (v.3.0R3) en çok kullanıcı izleme yetenekleri sundu ve bu araştırmanın bir parçası olarak değerlendirildi. Bulgular, ürünün DroidWatch’ta kapsanan veri kümelerinin yaklaşık %50’sini topladığını gösterdi; Bununla birlikte, verilerin depolanması ve Juniper kontrollü sistemler tarafından barındırılması gerekir. Bu, bir kuruluşun denetim verilerini dahili olarak saklama şartını engelleyebilir.

Kişisel “casus” uygulamalar (örn., Mobistealth, StealthGenie, FlexiSpy ve Mobile Spy) gibi piyasada bulunan diğer ürünler, DroidWatch ile aynı veri kümelerinin çoğunu toplayabilir, ancak yükseltilmiş ayrıcalıklar için gereksinimler ve eksiklikler gibi sınırlayıcı faktörlere sahiptir. Ayrıca kurumsal depolama ve analiz yetenekleri açısından kullanıcı bilgisi olmadan kişisel bilgiler toplayan, genellikle casus yazılım olarak sınıflandırılırlar (Juniper Networks, 2012).

U.S. v Ziegler (2007) Kullanıcıların politikadan haberdar olması durumunda bir kuruluş kendi ekipmanını izleme hakkına sahiptir
City of Ontario v. Quon
(2010)
Denetlemeler, bir çalışan tarafından ödenen ek ücret ödemeleri bile şirket tarafından sağlanan bir cihaz üzerinde gerçekleştirilebilir
Carrier IQ Mevcut değil. Bekliyor.

Tablo-1: Mobil cihaz mahremiyet davaları
Uzaktan kurumsal adli delil toplama araçları da kuruluşun güvenliğini artırmayı hedeflemektedir. Google Rapig Response (GRR), adli araştırmacılara ve olaya müdahale eden kişilere, adli olarak bir ağ üzerinden çok sayıda makinadan kanıt elde etmesini sağlar (Cohen ve diğerleri, 2011). GRR’ye benzer ticari çözümler EnCase Enterprise, AccessData Enterprise, F-Response Enterprise Edition ve Mandiant Intelligent Response‘dır. EnCase Enterprise, Android’i desteklerken, diğerleri şu anda bunu desteklemez. Sözü edilen uzaktan adli araçlar, verileri sürekli olarak toplamayıp depolamadıkları için DroidWatch’tan farklıdır. Bunun yerine, operatöre talimat verildiğinde verilerin bir kerelik fotoğraflarını çekerler. DroidWatch kodu bu araçların yeteneklerini genişletmek için kullanılabilir.

DroidWatch MDM Yazılımı

Bu araştırmayı çeşitli bilimsel çabalar şekillendirmiştir. Lee ve diğerleri tarafından önerilen bir sistem; bir akıllı telefondan Android Uygulama Programlama Arayüzünü (API) kullanarak aynı SDCard’a hızlıca veri çıkarmak için bir Secure Digital Card (SDCard) üzerinde bulunan bir Android uygulamasını kullanıyor (Lee ve ark., 2009 ). Verilerin toplanmasına yönelik bu mantıklı yaklaşım, sisteminin bir cihazı sürekli olarak izlemesi dışında DroidWatch’a benzer. Bununla birlikte, çalışma sırasında kök ayrıcalıkları olmadan elde edilebilen çeşitli veri setlerini vurgulamaktadır. ViaForensics tarafından açık kaynaklı ürün olarak piyasaya sürülen AFLogical benzer bir yaklaşım benimser. Ayrıca, özel bir SDCard kullanır ve alınan veri kümelerinin sayısını genişletir (Hoog, 2010). Yang ve ark.’nın takip çalışmaları SDCards için bulut bilgi işleminin yerini almasını önerdi; Bununla birlikte, araştırmaları bir cihaza fiziksel olarak erişmeyi gerektirir ve sürekli veri toplamaz (Yang ve Lai, 2012).

Villan ve ark. , Sanal bir ağ bilgisine (VNC) benzer gerçek zamanlı izleme gerçekleştiren yerli bir Android uygulamasını, bir akıllı telefon üzerinde kök ayrıcalıkları kullanmadan gerçekleştirdi (Villan ve Esteve, 2011). Araştırma kullanıcıların ekranını kullanılabilirlik amacıyla uzak bir yere akıtmayı (yani, kurumsal yardım masalarında kullanmak için) akıtmayı içerir ancak bir kullanıcının ekranını izleyebilme özelliği DroidWatch’ta gelecekteki bir özellik olarak uygulanabilir. Shields ve ark. Tarafından sunulan araştırma. Yeni bir nesne parmak izi yaklaşımı (Shields ve ark., 2011) kullanarak sürekli ve proaktif bir şekilde bir ağ üzerinden gerçek adli bilişim edinimlerini gerçekleştiren ilk sistem olan Proaktif Nesne Parmak İzi ve Depolama (PROOFS) adında bir edinim ve izleme sistemi başlattı. PROOFS, Android akıllı telefonlarda çalışmazken, bir izleme aracının adli olarak kabul edilmesi gereken kriterlerini vurgulamaktadır. DroidWatch ile ilgili gelecekteki çalışmalar, bu kriterlerden bazılarının dahil edilmesini içerir.

Android platformundaki eski anti-adli bilişim çalışması, DroidWatch’ın nasıl tehlikeye atıldığını veya engelleneceğini değerlendirmede etkili oldu. Birkaç genel anti-adli kavramlar, Distefano ve diğerleri tarafından Android’e aktarıldı ve DroidWatch uygulamasının anti-adli değerlendirmesi sırasında bir rehber olarak görev yaptı (Bölüm 4.3) (Distefano ve ark., 2010). Azadegan ve arkadaşlarının yaptığı araştırma. Ek anti-adli bilişim konsepti sundu ve ayrıca yukarıda anılan DroidWatch değerlendirmesine dahil edildi (Azadegan ve ark., 2012).

droidwatch_art

Şekil-1: DroidWatch sistem mimarisi

Broadcast Receiver →Content Observer→Alarm

Şekil-2: Tasarım Stratejisi

Strateji, göreceli olarak kolay uygulanabilirlik, gerçek zamanlı bildirimleri işleme yeteneği ve yanlış pozitif ve çoğaltılması konularına odaklanmaktadır. İlk önce, sistem yayınları üretip üretmediğini belirlemek için veri setleri analiz edilmelidir. Eğer yaparlarsa, yayın alıcıları koleksiyonlar için uygulama bileşeni olarak düşünülmelidir. Yayınlar mevcut değilse, içerik gözlemcilerini uygulamaya geçirmeyi düşünün. Yayınlar ve içerik gözlemcileri hedeflenen veri koleksiyonları için kullanılamıyor veya etkisiz ise alarmlar kullanılmalıdır.

Yerel depolama

Tüm toplanan veriler telefonda yerel bir SQLite veritabanında geçici olarak saklanır ve sadece DroidWatch uygulaması tarafından erişilebilir olacak şekilde yapılandırılır. Standart Yapısal Sorgulama Dili (SQL) veritabanı fonksiyonları, özel bir DroidWatch içerik sağlayıcısı tarafından işlenir. Bu, her bir DroidWatch koleksiyonunun iş parçacığına göre güvenli ve yapılandırılmış bir biçimde gerçekleştirilmesini sağlar. Zamanlanmış bir alarm periyodik olarak yerel SQLite veritabanı dosyasını güvenli köprü metni aktarım protokolü (HTTPS) POST üzerinden işlenmek üzere kuruluş sunucusuna aktarır. Aktarım işlemi, veritabanı dosyasının nispeten küçük boyutunun (ortalama 75 kilobayt) yardımıyla bir kullanıcının deneyimine en az etkisi olan arka planda çalışacak şekilde tasarlanmıştır.

6.7.8. Şirket sunucusu

Toplanan verilerin aktığı kurumsal sunucu prototipi, Apache, PHP, MySQL ve Splunk çalıştıran özel yerel bir ağdaki Ubuntu sanal makinesidir. Apache kendinden imzalı bir güvenli soket katmanı (SSL) sertifikasıyla yapılandırılmış ve DroidWatch uygulaması içinde bir varlık dosyası olarak dahil edilmiştir. Bu, bir HTTPS bağlantısı üzerinden veri aktarılmasına izin verir. PHP kodu, SQLite dosya yüklemelerini yönetir ve olayları bir MySQL veritabanına ayıklar. Splunk, periyodik olarak MySQL veritabanından veri çeker ve analiz ve raporlama için olayları arabiriminde kullanılabilir duruma getirir.

6.7.9. Veri Akış Süreci

DroidWatch uygulaması içindeki veri akış süreci (Şekil 3) sürekli bir işlemdir, transferler her 2 saatte bir denenir (bu değer konfigüre edilebilir). Kurumsal sunucuya başarılı bir şekilde aktarıldıktan sonra, aktarmadan önce tarihli olaylar yerel telefon veritabanından silinir ve bu da o veritabanının boyutunu en aza indirir. Başarısız olan dosya aktarımları günlüğe kaydedilir ve herhangi bir etkinliğin silinmesine yol açmaz.

data_process_flow

Şekil-3: Veri İşleme Akış Diyagramı

 

Cihaz hesabı bilgileri, DroidWatch hizmeti başlatıldıktan sonra doğrudan Android API üzerinden toplanır.

Data set App component used
Broadcast
receiver
Content
observe
Alarm
App install/removal x
Browser navigation x
Browser search x
Calendar event x
Call log x
Contact list x
Device acconta
Device ID x
GPS location x
GPS location setting x
MMS x x
Pictre gallery x
Screen lock stats x
SMS x x
Third-party app log x

a Cihaz hesabı bilgileri, DroidWatch hizmeti başlatıldığında doğrudan Android API aracılığıyla toplanır
Tablo-2: Toplanan Veri Seti

Veri Kümeleri

Tablo 2, DroidWatch tarafından toplanan veri setlerini listeler. Bu veri setleri, mevcut içerik sağlayıcıları, iç araştırma için ihtiyaçlar ve erişilebilirlik seviyesine (yani kök gerekmez) bağlı olarak seçildi. Her veri kümesi, derleme aralıklarının ayarlanmasını sağlayan (yani, sistemin koleksiyonlar arasında ne kadar süre beklediğini) uygulama kaynak kodundaki bir varlık dosyası olan droidwatch.properties aracılığıyla yapılandırılabilir. Kuruluşlar, karşılık gelen aralık değerini sıfıra ayarlayarak bir veri kümesinin atlamasını seçebilirler. On beş benzersiz veri setine erişilebilir; İki veri kümesi ve hesap şifresi araştırılmıştır ancak kullanılmamıştır (aşağıda açıklanmıştır). E-posta uygulamasına erişmek için kullanılan mekanizmalar standart Android Yazılım Geliştirme Seti’nin (SDK) parçası değildir (CommonsWare, 2010). Buna ek olarak, e-posta uygulaması, üçüncü parti uygulamaların özel verilere erişmesini yasaklayan bir signatureOrSystem izniyle sınırlandırılmıştır (Android Open Source Project, 2008). Hesap şifreleri benzer korumalarla korunmaktadır; Arama uygulaması, AndroidManifest’te AUTHENTICATE_ACCOUNTS yetkisine izin vermeli ve kullanıcı kimliğini istediğiniz hesaba (Google (N.D.). Hesap Yöneticisi) eşleştirmelidir. Bazı veri setleri, koleksiyonları gerçekleştirmek için birden fazla uygulama bileşeni kullanıyordu. Örneğin, Multimedya Mesaj Servisi (MMS) mesajları, bir yayın alıcısı ve bir alarm kullanılarak algılanır; Kullanılan bileşen mesaj odaklıdır.

Analiz ve Değerlendirme

Bu bölüm, DroidWatch denemesinin sonuçlarını açıklar ve bunları iç araştırmanın yardımcı olabileceği durumlara uygular. Senaryo dosyası deneyleri, mevcut veri kümelerine ve yazarın önceki iş deneyimine dayanır. Tüm sonuçlar tek bir cihazdan ve kullanıcıdan elde edilmiştir. Splunk’ın maliyeti (günlük 500 megabite kadar ücretsiz) nedeniyle bu araştırma için kullanıldığını unutmayın, diğer ürünler benzer işlevleri yerine getirebilir.

Şekil 4, Splunk’ta kaydedilen günlük olayların sayısını, veri seti ile ayrılmış olarak, tek bir gün aralığı boyunca göstermektedir. Örnek, bir cihaz tarafından üretilen 442 gün içeriyor ve kaydedilen nispeten az sayıda olayı vurguluyor. Günlük toplamlar kullanım alışkanlıklarına göre değişir; Ağır biçimde kullanılan bir cihaz, günlük toplamda bir artış görür. Deney sırasında kullanıcı deneyimi veya artan pil tüketimi üzerinde olumsuz bir etkisi yoktur.

Genel Kullanım Eğilimleri

Splunk’teki “Ekran Kilidi Açılmamış” arama, etkin telefon kullanımını gösteren kullanıcı eylemlerinin zaman çizelgesini (örn. PIN kodu, hareket veya parola girdileri) görüntüler. Birkaç güne kadar elde edilen sonuçlar Şekil 2’de görülebilir. Bu veriler belirli bir zamanda telefon etkinliğini belirlemek, maskeli kullanıcıları (ilk atanmış kullanıcı dışındaki kullanıcılar) bulmak veya çalışanlar için kullanım desenleri oluşturmak için kullanılabilir.

Şüpheli Kişiler ve İletişim

Bir kuruluşu riske atan kişilerin veya telefon numaralarının adlarını, arama yaparak veya bunları Splunk tetikleyicilerine (Splunk Enterprise’da bulunur) bulabilirsiniz. Bunlar, bir şirketin telefon defterinin dışındaki numaralar veya kara listeye girmiş insanlar olabilir. Kaydedilen SMS ve MMS içeriği de şüpheli etkinlikler için aranabilir. DroidWatch’te gelen SMS, zaman damgasını ham SMS olarak işleyerek üçüncü parti bir zaman kaynağı olarak da hizmet edebilir. SMS yapısında gömülü olan zaman, telefonun zamanına bağlı değildir (Casey, 2009). Bu verilerin analizi sırasında karşılaşılan bazı sorunlar şunlardı:

detected_screen_unlocks
Şekil-5 :Algılanan ekran kilidi açma aksiyonları (Splunk)

• Birden fazla kişiye gönderilen mesajlar, günlüklerde yalnızca bir alıcı listeledi.

• Gelen SMS’lerde saat dilimleri eksik.

• MMS mesaj metni mevcut değildi.

Bir fotoğraf cihaz kamerasıyla çekilip hemen MMS ile gönderildiğinde, etkinlik koşullara bağlı olarak daha fazla soruşturma yapılmasını gerektirebilir. Şekil 6, 22 Aralık 2012 Cumartesi günü 03.20’de çekilen bir resim günlüğünü gösteren bir aramayı göstermektedir. Kullanıcının ofiste ve yalnız olduğunu tespit edilirse (muhtemelen GPS izleme yoluyla) bir veri sızıntısının olup olmadığını belirlemek için daha fazla analiz gerekli olabilir.


Şekil-4: 24 saatte kaydedilen olaylar

 

Şekil-6: Fotoğraf ve MMS arama sonuçları

Konum izleme

DroidWatch tarafından kaydedilen bilinen son konumlar arasında cihaz kimliği, enlem, boylam ve yakalama süresi bulunur. DroidWatch’ın konumları toplamak için kullandığı yaklaşım pil ömrünü korur ancak kaydedilen yerlerin seyrek kaydedilmesine neden olur. Yedi günlük süre boyunca yalnızca dört yer olduğu bildirildi. GPS sağlayıcı ayarı etkinleştirilmiş olsa da, GPS aktif olarak kullanılmadıkça bilinen en son konumlar bir cihazda saklanmaz (diğer bir deyişle, Google Haritalar uygulaması mevcut konumu görüntülemek için açılır). Ayrıca bir telefonun son bilinen konum değeri, cihazın yeniden başlatılması üzerine silinir ve kaydedilen bir koordinat kümesinin kaydedilmeden önce kaybolmasına neden olur.

Konum sağlayıcı ayarında yapılan değişiklikler izleme için de kullanılabilir. Telefonun fiziksel konum verileri daha güvenilir hale gelirse, bu veriler potansiyel olarak yararlı olur. GPS ayarı manuel olarak kapatıldığında bir cihazın konumunun tanımlanmasına izin verir.

Kaydedilen takvim olayları araştırmacılara da faydalıdır. Bir kullanıcının randevuları için yapılan aramalar, geçmişteki kontrol, gözetim planlaması veya seyahat planlarını belirleme konusunda yardımcı olabilir.

İnternet geçmişi

DroidWatch, yerleşik Android Web tarayıcısı içinde gerçekleştirilen etkinlikleri toplar ve kullanılabilir duruma getirir. Bir İnternet geçmişi etkinliği, alınan eylemi (ör. Göz atma veya arama), arama terimini veya URL’yi, etkinlik saatini ve ilişkilendirilmiş cihaz kimliği içerir. Bu bilgiler, bir şirkette şüpheli tarayıcı kullanımını tanımlamak için kullanılabilir (örneğin, fikri mülkiyetlerin harici web sitelerine yüklenmesi). Tarayıcı aramaları, tespit edilen işlemlerin ardındaki kullanıcının olası niyetlerini daha iyi tahmin edebilmek için ayrıştırılabilir.

Kötü amaçlı uygulamalar

Yüklü uygulamalar için bir denetim, bir cihazın kötü amaçlı yazılım veya diğer endişe uyarıları içerdiğini ortaya çıkarabilir. Bu, dahili bir soruşturma sırasında ek endişeler ve güvenlik önlemleri alınmasını garanti eder. Sağlanan DroidWatch sonuç alanlarına, uygulamanın adı, gerçekleştirilen eylem ve kurulum / kaldırma tarihi dahil. Üçüncü taraf uygulama günlükleri de DroidWatch tarafından toplanır. Birkaç filtreleme mekanizması, günlükleri, yalnızca telefonda yerleşik olmayan uygulamalar tarafından üretilenlere sınırlar. Filtreleme mükemmel olmadığı halde, toplanan uygulama günlüklerinin toplam miktarı, gün başına 337 günlük (10.000’i aşan) daha yönetilebilir bir ortalamaya düşürüldü.

Adli bilişim

İzleyen bölümler, anti-adli bilişim kategorileri, Android antiforensi alanında yapılan önceki çalışmalardan alınmış ve anti-adli olabilecek güvenlik açıkları için DroidWatch uygulamasını değerlendirmek için kullanılıyor. Kanıtları gizleme (Bölüm 4.3.2), kanıt kaynaklarını değiştirme (Bölüm 4.3.3), kanıtları taklit etme (Bölüm 4.3.4) ve adli bilişim araçlarını tespit etme (Kısım 4.3.5) kategorileri kanıtları yok ediyor (Bölüm 4.3.1) (Distefano ve diğerleri, 2010; Azadegan ve diğerleri, 2012). DroidWatch’in mevcut haliyle, kök saldırılarına, uygulamanın kaldırılmasına ve işlem sonlanmalarına karşı tamamen duyarlı olduğunu unutmayın. Kök algılama ve uygulama yükleme politikalarının uygulanması gibi MDM’ler tarafından sunulan dış koruma, DroidWatch’ta veri bütünlüğünü sağlamaya dayanır.

Delilleri yok etme

Yayın alıcıları ve içerik gözlemcileri aracılığıyla toplanan veri setleri, olay ortaya çıktıkça her olayın kopyası DroidWatch’ın özel saklama alanına kaydedildiğinden, kanıt imha yöntemlerine karşı muhtemel değildir. Bununla birlikte, kanıtları kaldırmak mümkün olabileceğinden (örneğin, giden MMS mesajları, üçüncü taraf uygulama günlükleri, takvim etkinlikleri, tarayıcı gezintileri, tarayıcı aramaları ve bilinen en son GPS konumları) alarmlardan alınan veri setleri tahribat taktiklerinden etkilenir. Bir sonraki planlanan koleksiyona başlamadan önce. DroidWatch ile ilgili endişe, uygulamaların yükleme sonrasında özel niyet filtresi öncelikleri için kayıt yapabilmesidir. Maksimum maksat filtre öncelik değeri olan 231-1 kullanan bir uygulama, başka bir uygulama tarafından yayınlanmadan önce yayını engelleme ve bırakma özelliğine sahiptir. DroidWatch, bir araştırma prototibi olarak durumundan dolayı varsayılan intent-filter öncelik değerini kullanır.

Kanıt gizleme

Zamanlanmış alarmlar yoluyla toplanan veri setleri veri gizleme taktiklerinden etkilenenler arasındadır. Son gönderilen birkaç MMS iletisini gizlemek isteyen bir kullanıcı, bunları DroidWatch toplama işleminden yönlendirmek için el ile aktarma yöntemlerini kullanabilir. Yukarıda bahsedilen uygulamalar için özel amaçlı filtre öncelikleri kaydetme özelliği, benzer bir şekilde, uygulamanın yayınların engellenmesi ve yeniden yönlendirilmesi yoluyla verileri gizleyebilmesini sağlar. Örneğin, meşru bir üçüncü parti SMS uygulaması olan GoSMS, gelen SMS mesajlarını aktarmak ve sistem bildirimlerinin çoğaltılmasını ortadan kaldırmak için olası en üst düzey filtre önceliğini kaydetmektedir (Kovacevic, 2011).

Kanıt kaynaklarını değiştirme

Kanıt kaynaklarını değiştirmek, bir veri kümesini bir toplama işlemini engellemek için değiştirmeyi içerir (Distefano ve diğerleri, 2010). Bu, DroidWatch için başka bir endişe alanı. Alarmlar tarafından toplanan veriler duyarlıdır çünkü süreçler, mevcut bir veri setinde belirli değerlere dayanır. Örneğin, yeni giden mesajlar için MMS içerik sağlayıcısı aracılığıyla tarama yapılırken “msg_box” alanı, gönderilen / giden MMS’i temsil eden “2” ile iletinin yönünü belirtir. Bu alanın değeri “5” olarak değiştirilirse, ileti toplama işlemi sırasında yoksayılır.

Taklit kanıtları

Mobil cihazlardaki sahteciliğe dayalı kanıt, araştırmacıların kafasını karıştırmak veya kaçmak için mevcut veri setlerine hayali veri ekleme işlemlerini içerir. DroidWatch koleksiyonları bu açıdan savunmasızdır, çünkü sahte girişleri gerçek olanlardan ayırmak için herhangi bir kontrol gerçekleştirilmez. DroidWatch için bir başka endişe olan hizmet reddi saldırısında kısa sürede büyük miktarda hayali veri eklenmesi. Yeterli veri bir telefona yüklenirse, uygulamanın düzgün çalışması durabilir.

6.7.22. Adli bilişim araçlarının tespit edilmesi

Adli bilişim araçları tarafından gerçekleştirilen adli bilişim araçlarının araştırılmasının doğrudan DroidWatch için geçerli olmadığı tespit edildi (Azadegan et al., 2012). Onlar, Android telefonlarında bazı tanınmış adli bilişim araçlarının ilk bağlantı imzalarını dinlemeye odaklandı. DroidWatch, geleneksel adli bilişim araçlarının aksine izlemeyi gerçekleştirir ve bir cihaza fiziksel olarak erişmek için herhangi bir ilk bağlantı imzası veya gereksinimi yoktur. Bununla birlikte, imza tespit fikri, DroidWatch’ın tarifeli transferlerine uygulanabilir.

AndroidWatch İleri Araştırma

DroidWatch ile ilgili gelecekteki araştırmalar, uygulama ve kurumsal sunucu üzerinde çalışmayı içerir. Yaklaşan bölümler, ek veri setleri toplamak (Bölüm 5.1) ve anti-sabotaj mekanizmalarını uygulamak için önerilen gelişmeleri kapsar (Bölüm 5.2).

DroidWatch’ın gelecekteki iyileştirmelerinin yanı sıra DroidWatch’ın bir MDM çözümü içine entegrasyonu, Android güvenlik topluluğu için çok değerli olacaktır. Mevcut MDM sistemleri, dahili soruşturmalara yardımcı olabilecek kullanıcı izleme özelliklerine sahip değildir. Sağlam politikanın uygulanmasını, uzaktan cihaz yönetimini ve Android cihazlarda kapsamlı bir kullanıcı izlemesi kombinasyonu sağlayan genel kurumsal güvenlik sistemi, Android akıllı telefon dağıtımlarını düşünen hükümet ve endüstri kuruluşları arasındaki güvenlik endişelerini azaltmaya yardımcı olacaktır.

Ek veri setleri

Android adli bilişimi, her yeni işletim sistemi sürümüyle değişen gelişen bir alandır. Yeni veri setleri ve özellikleri ortaya çıktıkça, muhtemel bir izleme sistemine dahil edilmeleri için bunların bir araştırmaya katma değeri değerlendirilmelidir. Gelecekteki DroidWatch içerikleri şunları içerir: USB hata ayıklama ayarları, telefon yeniden başlatma, sesli posta günlükleri ve dumpsys, dumpstate ve dmesg’den ek uygulama ve çekirdek günlükleri.

Koruma önleyici mekanizmalar

Toplanan ve bir telefonda saklanan veriler, kullanıcıların ve uygulamaların müdahale etmesini önlemek için halihazırda Android yerleşik güvenlik modeli (Kısım 2.2) üzerinde çalışıyor. DroidWatch’ı daha sıkı hale getirmek için bazı yetenek önermeleri şunları içerir:

• Veritabanı olaylarının şifrelenmesi (sağlama toplamı ile)

• Yüksek niyetli filtre öncelik değerleri

• Log günlüğünü tutma

• Etkinliğe dayalı koleksiyonlar ve transferler

• Veritabanı karması

DroidWatch, veritabanındaki olayları şifrelemek, kullanıcıların önceden toplanan olayları görüntülemesine veya müdahalesini engellemeye yarayan bir mekanizma. Her olay bir sağlama toplamıyla eşleştirilebilir ve bir ortak anahtar altyapısı kullanılarak şifrelenebilir (kurumsal sunucuda depolanan özel anahtar ile). AndroidManifest’e maksimum niyet filtre öncelik değerlerini kaydetmek, iki uygulamanın aynı öncelik değerine kaydolması durumunda ne olacağını belirlemek için daha fazla araştırmaya ihtiyaç duyulmasına rağmen, uygulamaların sistem yayınlarını engellemesine engel olabilir. DroidWatch veritabanına “canlı tutma” mesajlarının periyodik olarak günlüğe kaydedilmesi servis kesintilerini vurgulamaktadır. Kütükler arasında zamandaki boşluklar varsa kurcalamaya neden olabilir. Olay tabanlı tetikleyiciler, daha rasgele bir aktarım kalıbı sağlayabilir ve zamanlanmış operasyonlara karşı zaman esaslı engeller girişimleri önleyebilir; Bununla birlikte, bu kabiliyetin etkinliği hakkında daha fazla araştırmaya ihtiyaç vardır.

SONUÇ

Fiziksel adli bilişim araçlarındaki artış ve Android akıllı telefonlarının pratik kullanımıyla birlikte, bu makale, yeni araçları mevcut araçlar ile karşılaştırmak isteyen araştırmacılar için ölçütler belirlemiştir. Aynı zamanda, araştırmacıları veya uygulayıcıları, güvenilir ve uygun fiziksel adli araçlar seçerek, fiziksel imajları elde etmek için daha etkili, interaktif ve uygun bir yol sağlar. Oxygen ve Cellebrite UFED gibi ticari adli araçlar, güvenilir, kullanımı kolay, birçok Android sürümünde kullanılabilir ve tüm adli bilişim süreçlerini destekler. Ancak, her Android akıllı telefonda, özellikle de hedef akıllı telefon kilitli olduğunda bunlar geçerli değildir. Dahası, kişisel kullanım için uygun değildir. Açık kaynak araçları ise genellikle kullanıcı dostu değil, sadece imaj edinim aşamasına odaklanır, ve Android akıllı telefonların sınırlı sürümünde kullanılabilir, ancak yine de güvenilirdir. Bir ilgi çekici açık kaynak kodlu adli bilişim aracı da ANDROPHSY, özellikleri ile ticari adli araçlar ile rekabet edebilir. Herhangi bir sürüm Android akıllı telefonun tüm belleğini elde etmek için kullanılmak üzere tasarlanmıştır. Bu mobil cihaz adli yaşam döngüsünü destekleyen ilk açık kaynak araçtır.


Android akıllı telefonların firmware güncelleme protokollerini analiz ederek tüm flash belleği elde etmek mümkündür. Üreticiler tarafından sağlanan firmware güncelleme protokolleri önyükleme yükleyicisindeki açıklıklar kullanılarak bu yapılabilir. Üretici yazılımı güncelleme protokollerinin analitik sonuçlarına dayanarak, bazı flash bellek güncelleme protokollerinde flaş bellek okuma komutlarının yer aldığını ve dolayısıyla fiziksel edinimin gerçekleştirilebilmesi mümkündür. Bu yeni edinme yöntemine dayanarak, 80’in üzerinde en yeni Android modellinin flash belleğinin fiziksel olarak dışarı aktarılmasını destekleyen bir edinme programı geliştirilmiştir. Bu araç mevcut yöntemlerle karşılaştırıldığında, yeni yöntemin tüm flash belleğin bütünlüğünü koruduğu ve yüksek hızla edinimi gerçekleştirildiği kanıtlanmıştır. En güzel yanı; edinip yapılırken bir desen veya kullanıcı parolası ile ekran kilitlemesine bağlı kısıtlamaya takılmaksızın fiziksel edinme yapılabilir.

Kötü yanı her yeni Android akıllı telefonun güncelleme protokolünün analiz edilmesi gerektiğidir. Bununla birlikte, üretici yazılımı güncelleme protokolü tüm Android akıllı telefonların önyükleme yükleyicisinde uygulanır ve diğer taraftan her üretici tüm modellerine aynı üretici yazılımı güncelleme protokolünü uygular. Bu şekilde edinme yöntemi analiz edilerek üreticilerin tüm modelleri için fiziksel edinme gerçekleştirilmesine izin veren yazılım güncelleme protokolü bulunabilir. Bu nedenle, bu alanda sürekli araştırma yapılması gerekmektedir.

Mobil cihaz yönetimi aracılığıyla, Android sistemin kök ayrıcalıkları olmaksızın kurumsal ortamlarda sürekli Android cihazların izlenmesi ve korunması mümkündür. DroidWatch, türünün ilk açık kaynak sistemidir; Ancak, yeteneklerini genişletmek ve geliştirmek için daha fazla geliştirilmesi gerekmektedir. Güvenliği artırmak için anti-sabotaj mekanizmalarının da uygulanması gereklidir. Belirtildiği gibi, toplanan veri setleri çeşitli nedenlerle çeşitli iç tetkik türleri için yararlıdır. Bu araştırma, Android uygulamaları bileşenlerini izleme için önceliklendirmek adına kullanılabilecek, yeni bir geliştirme tasarım stratejisine katkıda bulunmaktadır. Son olarak, bu çalışma, varsayılan Android API aracılığıyla erişilebilen veri kümelerine erişmek için bir rehber işlevi görür.

Son çalışmada ise Android mobil uygulamalarının gizliliğini incelenmiş ve değerlendirilmiştir. Özellikle, açık kaynaklı adli bilişim araçlarını kullanarak Android mobil cihazların uçucu belleğindeki kimlik doğrulama bilgilerinin keşfedilip keşfedilemeyeceğini gösterilmiştir. Sonuçların analizi, incelenen Android uygulamalarının çoğunun uçucu bellekteki kimlik doğrulama bilgilerini kurtarma konusunda savunmasız olduğunu ortaya koydu. Mobil bankacılık uygulamaları gibi güvenlik öncelikli uygulamaların bile savunmasız olduğu kanıtlandı. Dahası, uçucu belleğin yalnızca kimlik doğrulama bilgilerini içermediğini cihazı yeniden başlatıldığında veya pilini çıkartıldığında dahi gözlemlendi. Ayrıca, uygulamanın kimlik doğrulama bilgilerinin tam olarak bir bellek dökümünde nerede bulunduğunu gösteren kalıp ve ifadelerin varlığını kanıtlanmıştır. Son olarak, kullanıcıların çeşitli web sitelerinde ve uygulamalarda aynı şifreyi tekrar kullanma eğiliminde olduklarını göz önüne alarak; tüm geliştiricilerin, uygulamanın kritikliğine bakılmaksızın, doğru ve güvenli programlama teknikleri ve yönergelerini kullanmaları gerektiği sonucuna varılmıştır. Kimlik doğrulama bilgisi keşfini engellemek ve mobil platformlar tarafından sağlanan gizlilik düzeyini arttırmak için, incelenen senaryolardan yararlanılmalıdır.

Referanslar

[1] T. B. Tajuddin and A. A. Manaf, “Forensic investigation and analysis on digital evidence discovery through physical acquisition on smartphone,” in 2015 World Congress on
Internet Security (WorldCIS), Dublin, 2015
[2] L. Cai, J. Sha, and W. Qian, “Study on forensic analysis of physical memory,” in Proc. of 2nd International Symposium on Computer, Communication, Control and Automation
(3CA 2013), 2013.
[3] H. Yang, , J. Zhuge, H. Liu, and W. Liu,”A tool for volatile memory acquisition from Android devices,” in Advances in Digital Forensics XII, New Delhi, Springer International
Publishing, 2016, pp. 365-378.
[4] J. Sylve, A. Case, L. Marziale, and G.G. Richard, “Acquisition and analysis of volatile memory from android devices,” Digital Investigation, vol. 8, no. 3, pp. 175-184, 2012.
[5] I. Kollár, “Forensic RAM dump image analyser,” MCS thesis, Charles Univ., Prague, Czech Republic, 2010.
[6] M. Guido, J. Buttner, and J. Grover, “Rapid differential forensic imaging of mobile devices,” Digital Investigation, vol. 18, pp. S46-S54, 2016.

[7] L. Spector, “USB 3.0 speed: real and imagined,” PCWorld,
2014. [Online]. Available: http://www.pcworld.com/article/2360306/usb-3-0-speedreal-and-imagined.html. Accessed: Oct. 17, 2016.

[8] C. A. Jayasinghe, “Android smart phone contact analyzer”,
MSIS dessirtation, 2015. Android Open Source Project.
[10]Azadegan S, Yu W, Sistani M, Acharya S. Novel anti-forensics approaches for smart phones. In Hawaii International Conference on System Sciences (pp. 5424–5431). Maui, HI: IEEE; 2012, January 4.
[11] Casey E. Top 7 ways investigators catch criminals using mobile device forensics. http://computer-forensics.sans.org/blog/2009/07/01/top-7-ways-investigators-catch-criminals-using-mobile-device-forensics; 2009, July 1.
[12] Citrix. IT organizations embrace bring-your-own devices.

http://www.citrix.com/site/resources/dynamic/additional/Citrix_BYO_Index_report.
pdf; 2011, July 22.
[13] Cohen MI, Bilby D, Caronni G. Distributed forensics and incident response
in the enterprise. In: Digital forensics research workshop 2011. New Orleans, LA: Elsevier; 2011S101–10; August 2011.
[14] CommonsWare. Access Android emails through content provider.
http://stackoverflow.com/questions/3811608/access-androidemails-through-content-provider; 2010, September 28.

D:\Documents And Settings\Downloads\4a4d916c8288dd55f7f55885e3032ccd374a8c6b (1).jpg

Gazi Gelecektir

PCB Tasarım Notları

PCB TASARIM NOTLARI

alt text

Tüm elemanların etiketlerini tek bir yönden bakıldığında okunabilecek şekilde yerleştirin.

Test sırasından kolaylık sağlaması için mikroişlemcilerin altındaki via’ları elemanın dışında tutmaya çalışın. Aksi durumda elemanlar yerleştirildikten sonra bu via’lara ulaşamayacaksınız.

PCB’nin üzerine model ve revizyon numarasını yazın.

Yolların ve via’ların birbirine çok yakın olması üretim zorluğunu artırır ve dolayısıyla maliyetin yükselmesine neden olur.

Yüksek frekanslı tasarımlarla çalışırken veri taşıyan hatların yol uzunluklarının aynı olmasına dikkat edin. Uzunlukları farklı yollar zamanlama farklılıklarına ve veri aktarım hatalarına neden olur.

Yüksek frekanslarda çalışan devrelerde T şeklinde alt yol çıkarmak sinyal gürültüsüne neden olur.

Yüksek frekanslı yolların üzerinden gittiği Ground plane veya power plane kesintiye uğramamalıdır. Bu durum empedans sorunlarına yol açar.

Yolları mümkün olduğunca kısa tutun yollar uzadıkça aralarında oluşacak empedans, kapasitans ve indüktans da artar.

Yollara köşe döndürürken 45 derecelik açılar kullanın . Keskin dönüşler elektro manyetik girişimlerin gücünü artırır.

Kalınlığı 25 thou’dan ince T birleşimleriniz varsa bu yollara “chamfer” eklemek 90 derecelik dönüşü engellemiş olacaktır.

Pad’lere teardrop eklemek pad ile yol arasındaki bağlantıyı iyileştirir ve daha güvenilir bir bağlantı sunar.

Yolları manuel yani elle çiziyorsanız öncelikle ana yolları uçtan uca hatlar şeklinde çizin, elemandan elemana yapılacak çizim ürümin zorlaşmasına ve PCB alanının etkin kullanılamamasına neden olabilir. Tasarıma başlamadan önce ana elemanlarınızı PCB’nin merkezine konumlandırarak ortak yolları belirleyin.

C:\Users\Can\AppData\Local\Temp\SNAGHTML1ae2553.PNG

C:\Users\Can\AppData\Local\Temp\SNAGHTML1af0507.PNG

PCB üzerindeki deliklerin çap genişliklerini aynı yapmaya çalışın. Seri üretim sırasında PCB delici robotun uç değiştirme sıklığı üretici tarafından fazladan fatura edilebilir.

Özellikle yüksek frekanslı devrelerde yolların taşıyabileceği sinyalin frekansı, endüktüf ve kapasitif etkilerden dolayı yolun uzunluğu ile doğru orantılıdır. Yukarıdaki şekilden görülebileceiği gibi yolun içinden veya üzerinden gittiği PCB ortamı (en alt katman ground olarak yayılmıştır) kapasitif etki göstererek sinyalin bozulmasına neden olur. Frekansı hesaplamak için şu hesaplayıcıyı kullanabilirsiniz: http://www1.sphere.ne.jp/i-lab/ilab/tool/ms_line_e.htm

Crostalk etkisi

Birbirine paralel iki yol arasındaki elektromanyetik etkileşim anlamına gelir. Yollardan biri saldırgan olarak değerlendirilirse diğeri kurban olarak ele alınır. Kurban endüktüf ve kapasitif olarak saldırgan yoldan etkilenir ve üzerinde sinyalin frekansına bağlı olarak ileri ve ters yönlü harmonik akımlar oluşur. Stripline yollarda kapasitif etki endüktüf etkiye yakın olup birbirini sönümlendirirken, microstrip yollarda kapasitif akım endüktif akımı sönümlendirmede zayıf kalır. Bitişik yollardaki crosstalk etkisini azaltmak için yollar birbirlerinden en az iki kat uzaklığa yerleştirilmelidir.


PCB üzerindeki farklı sinyal devrelerinin kendi (bağımsız) ground’larına sahip olması sinyal gürültüsü açısından tercih edilmelidir. Bağımsız ground’ların ortak bir ground’a bağlanması ise aşağıdaki gibi paralel irtibatlandırma ile yapılmalıdır.

Clock sinyali PCB üzerinde dağıtılırken, özellikle yüksek frekanslarda pulse gecikmesine neden olmamak için yolların eşit uzunlukta olmasına dikkat edilmelidir. Bu mümkün değilse yollara zikzak yaptırılarak eşit uzunluk sağlanmaya çalışılır.

Referanslar:

http://www.ftdichip.com/Support/Documents/AppNotes/AN_146_USB_Hardware_Design_Guidelines_for_FTDI_ICs.pdf

http://www.argenc.com.tr/pdf/AN01.PDF

http://www.analog.com/library/analogDialogue/cd/vol41n2.pdf

http://www.alternatezone.com/electronics/files/PCBDesignTutorialRevA.pdf

http://320volt.com/pcb-baski-devre-tasariminda-emc-uyumlulugu/

http://www.ti.com/lit/an/scaa082/scaa082.pdf

LTE ve IMSI Catcher Efsanesi

LTE ve IMSI Yakalayıcı Efsaneleri

Ravishankar Borgaonkar*, Altaf Shaik, N. Asokan#, Valtteri Niemi§, Jean-Pierre Seifert
* Aalto University
Email: [email protected]

Technische Universita ̈t Berlin and Telekom Innovation Laboratories
Email: (altaf329, jpseifert) @sec.t-labs.tu-berlin.de

# Aalto University and University of Helsinki
Email: [email protected]

§ University of Helsinki
Email – [email protected]

Çeviri: Özgür Koca, E-posta: [email protected], www.tankado.com

Özet

Mobil cihazlar, LTE ağ servislerinin kullanılabilirliği ve bant genişliğinin artması sayesinde insan hayatında bir zorunluluk haline gelmiştir. LTE (4G) iletişim protokolleri her zaman abonelerin konum mahremiyeti ve çeşitli ağ servislerinin bulunulabilirliği açısından bazı vaatleri yerine getirmiştir. Bu çalışmada LTE’nin ağ güvenlik protokolleri analiz edilerek bazı LTE güvenlik standartları ile LTE için kullanılan ağ cihazlarının çipsetlerinde sorunlar tespit edilmiştir. LTE cihazlara karşı yapılan istismarlar deneysel bir sahte baz istasyonu kullanılarak gerçekleştirilmiştir.

Sunuş

Akıllı telefonların ve yeni mobil uygulama ve hizmetlerin artmasıyla birlikte LTE’nin yüksek hızlı veri bağlantılarının vaat etmesi hayati sosyal faydalar sağlamada ve tüketici deneyimini zenginleştirmede hayati bir rol oynamaktadır. Ancak bu gelişmeler ve mobil cihazlara olan güven acil servis ağları ve mobil ekosistem boyunca yeni gizlilik ve erişilebilirlik sorunlarının ortaya çıkmasına neden olmuştur.

Mobil iletişim ağlarındaki güvenlik, her nesilde artmaktadır. 3G, IMSI Catcher’ların kullanıldığı sahte baz istasyonu saldırıları yapmayı zorlaştıran karşılıklı kimlik doğrulama özelliğini getirmiştir. LTE ise pek çok sinyal protokolünü, kimlik doğrulama ve bütünlük koruması ekleyerek güvenlik açısından sıkılaştırmıştır. Genel kabul gören inanç da, LTE güvenlik açısından sağlamdır ve özellikle sahte baz istasyonu saldırılarının gerçekleştirilmesi zordur.

Bu çalışmada, LTE 3GPP belirtiminde ve baz bandı yonga setlerinde farklı sorunları keşfettik. Bu sorunlar, bir saldırganın LTE abonelerini izlemek için sahte baz istasyonu saldırıları düzenlemesine ve seçilen ağ hizmetlerini reddetmesine izin verir. Ticari LTE telefonlara yönelik bu saldırıları düşük maliyetle ve gerçek bir operatör ağı için de değerlendirdik. Ek olarak, abonelerin pasif izleme işlemine yardımcı olmaktan sorumlu LTE ağ yapılandırması sorunlarını ele alacağız.

Bu döküman şu şekilde yapılandırılmıştır. Birinci bölümde, abonelerin konumları hakkında bilgi sızdıran aldırılar gösterilmiştir. LTE şebekelerine bağlı abonelere yönelik hizmet reddi saldırıları Bölüm 2’de tartışılmıştır. Etik hususlar ve deney düzeneği 3. bölümde sunulmuştur. Dördüncü bölümde de sonuçlar değerlendirilmiştir.

Konum Bilgisi Saldırıları

Zaten 2G (GSM) şebekeleri konum gizliliği önem verilerek tasarlanmıştır. Bir mobil cihaz bir şebekeye bağlandığında, ona TMSI adında geçici bir tanımlayıcı verilir (TMSI – Geçici Mobil Abone Kimliği diye bilinir). Mobil cihaz ve şebeke arasındaki tüm sinyal mesajları, bundan sonra kullanıcının kalıcı tanımlayıcıları yerine sadece TMSI’ye kullanılarak yapılır (Telefon numaraları veya IMSI’ler gibi – Uluslararası Mobil Abone Kimliği). TMSI’ler sıklıkla rastgele değerler ile güncellenirler (örneğin mobil cihaz konum değiştirdiğinde). Bunun amacı, bir saldırganın radyo iletişimini pasif bir şekilde izleyerek, TMSI’leri belirli bir kullanıcının sabit kimlik tanımlayıcısı ile ilişkilendirememesi ve konumunu takip edememesi içindir. Birkaç yıl önce Dennis Foo Kune ve arkadaşları, 2G (GSM) şebekesinde saldırganın, hedef kullanıcıya ait bir telefon numarasını kullanarak bir sayfalama (paging) isteğini tetikleyebilen bir mesajın (sessiz bir metin mesajı göndererek veya bir çağrıyı başlatarak ve hızlı bir şekilde sonlandırarak) gönderilebileceğini gösterdiler [2]. Sayfalama istek mesajları TMSI numaralarını içerir. Böylece TMSI numarası ile hedefin telefon numarası ilişkilendirilmiş olur.

Çağrı isteklerinin, şaşırtıcı bir şekilde sosyal ağ mesajlaşma uygulamalarının kullanıldığı yeni bir yöntem ile etkilenebileceğini keşfettik. Örneğin, Facebook arkadaşınız olmayan birisi size anlık ileti gönderirse, Facebook spam koruması mekanizması gereği olarak mesajı sessizce “Diğer” klasörüne koyacaktır (spamcı Facebook’a 1 Avro ödemediyse). LTE destekli akıllı telefonunuzda Facebook Messenger yüklü ise, gelen Facebook mesajının oluşturduğu trafik, telefonunuzun konumunun izlemesine ve TMSI’nizin Facebook kimliğiniz ile ilişkilendirilmesine izin veren bir sayfalama isteği gönderir (paging request).Konunun daha da kötü yanı TMSI numaraları yeterince sık güncellenmez. Örneğin bir kentsel alanda birden fazla mobil operatörün atadğı TMSI’lerin geçerlilik süresini üç gün olarak gözlemledik. Başka bir deyişle, saldırgan TMSI’nızı bildikten sonra hareketlerinizi pasif olarak üç güne kadar takip edebilir.

Sahte baz istasyonu kullanan aktif bir saldırgan daha da iyi olabilir. LTE erişim ağı protokolleri, ağ hatalarını gidermek, arızaları tespit etmek ve gidermek için çeşitli raporlama mekanizmaları içerir. Örneğin, başarısız bir bağlantı sonrasında, bir baz istasyonu bir LTE cihazından en son hangi baz istasyonlarını hangi sinyal gücüyle gördüğünün raporunu ister. Bir saldırgan böyle bir raporu yakaladığında bu bilgiyi cihazın konumunu bulmak için kullanabilir. Baz istasyonlarının GPS konumları kamuya açık olarak yayınlanmaktadır. Aslında test ettiğimiz en az bir cihaz GPS konumunu tam olarak bildirdi. Arıza giderme mekanizmaları büyük mobil ağların güvenilir çalışması için gereklidir. LTE tasarımcıları, potansiyel kullanıcı gizliliği kaybı ve şebeke güvenilirliğinin sağlanabilmesi arasında dengeli ve zor bir tasarıma sahiptirler.

2. Servis Dışı Bırakma Saldırıları

Başka bir ülkeye seyahat ettiğinizi ve mobil aboneliğinizin dolaşım izni olmadığını hayal edin. Telefonunuz gittiğiniz yerdeki operatöre bağlanmaya çalıştığında bu ağı kullanma izniniz yok şeklinde bir red mesajı alacaktır (“Dolaşıma İzin Verilmedi” gibi). Telefonunuz bu cevabı kesin bir talimat olarak kabul eder siz cihazınızı yeniden başlatıncaya kadar bir daha bağlanmayı denemez. Bu telefonunuzun abonesi olmadığı bir ağa bağlanmayı sürekli deneyerek batarya tüketmesinin önüne geçmek içindir. Aynı zamanda havada gereksiz sinyalleşmelerin dolaşmasını da engeller. Tasarımdaki bu tercih güvenilirlik ve performansdan kaynaklanır. Tahmin edebileceğiniz gibi: bir saldırganın etkin bir şekilde 2G’den hizmet alabilmesi için 4G cihaza verilen 3G ve 4G hizmetlerini engelleyebileceğini göstereceğiz. LTE bağlantısı kurulum aşamasında karşılıklı anlaşılan parametreler zayıftır açısından 2G ile iletişim kurulduğunda zafiyetler doğurur.

3. Deneysel Kurulum ve Hususlar

Saldırıların fizibilitesini yapabilmek için, açık kaynaklı yazılım ve kolaylıkla temin edilebilen donanımsal araçlardan yararlanarak sahte bir baz istasyonu kurduk. Bir LTE test ağı oluşturmak için baz istasyonu görevi gören bir USRP B210 cihazı [3] kullandık. Yazılım tarafında ise ticari LTE cihazlarıyla iletişim kurabilmek için OpenLTE [4] ve srsLTE [5] paketlerinde değişiklik yaparak kullandık. Aşağıdaki fotograf kurulumu göstermektedir:

Denemelerimizin çevredeki diğer telefon kullanıcılarıyla etkileşimini önlemek için önlemler aldık. Aktif saldırılar bir Faraday kafesde [6] yürütülürken, pasif saldırılar için normal kullanıcılara hizmet kesintisi yapmamaya özen gösterdik. Sadece önceden belirlenmiş test cihazlarımızı bir saldırıya maruz bıraktık. Kullandığımız tekniklerin daha ayrıntılı açıklaması [1] ‘de bulunabilir. Tespit ettiğimiz güvenlik açıklarını baz bant yonga seti üreticilerine ve standardizasyon kurumlarına bildirdik.

4. Sonuçlar

Bu çalışma ile LTE standartlarında ve baz bant yonga setlerinde, sahte bir baz istasyonu kullanarak abonelerin izlenmesine ve hizmet reddine olanak tanıyan yeni güvenlik açıklarını gösterdik. Saldırı tekniklerimizi birçok LTE cihazı üzerinde test ettik. Ayrıca, deneysel kurulumumuzda Facebook gibi popüler sosyal uygulamalar kullanılarak gizlilik saldırılarının nasıl gerçekleştirilebileceğini gösterdik. Araştırma raporumuz [1] daha teknik ayrıntılar sunmaktadır. Çalışmalarımızla ilgili güncel bilgiler için proje web sitesini ziyaret edebilirsiniz (https://sesy.org/).

Referanslar

1. http://arxiv.org/abs/1510.07563
2. http://www.internetsociety.org/location-leaks-over-gsm-air-interface
3. http://www.ettus.com/product/details/UB210-KIT
4. http://openlte.sourceforge.net/
5. https://github.com/srsLTE/srsLTE
6. http://www.gamry.com/application-notes/instrumentation/faradaycage

SS7’nin Düşüşü: Kritik Güvenlik Kontrolleri İşe Yarayabilir mi?

SS7’NİN DÜŞÜŞÜ – KRİTİK GÜVENLİK KONTROLLERİ İŞE YARAYABİLİR Mİ?

GIAC (GCCC) Gold Certification
Author: Hassan Mourad, [email protected]
Translate: Özgür Koca, [email protected]

Advisor: Stephen Northcutt

Özet

SS7 iletişim ağı yapısı gereği operatörlerin kapalı ağları içerisinde düğümlerin birbirine doğal güvenleri söz konusudur. Bu kapalı ağa dahil olabilen saldırgan bu doğal güven hiyerarşisini, kullanıcının konumunu belirleme, çağrısını dinleme ve sistemi servis dışı bıkramaya kadar saldırılar düzenleyebilir. Bu güven ilişkisi ülkesel ve global ölçeklerde operatörler arasında da geçerlidir. Operatör ağına sızan birisi roaming özelliğinden ötürü otomatik olarak dünyadaki tüm operatörlerin ağları üzerinde de erişim kazanır. SS7 kapalı ve güvene dayalı bir ağ olduğu için bu konuda yapılan güvenlik araştırmaları sınırlı kalmıştır.

  1. Sunuş

2014’ün ağustos ayında Washington Post gazetesinde dünyadaki herhangi bir cep telefonu kullanıcısını takip etme ile ilgili bir haber yayınlamıştı (Timberg 2014). Özellikle SS7’nin kullanıcıları takip etmeye izin veren açıklar telekom cihaz üreticileri tarafından kullanılabilmektedir. Aynı makalede üreticilerin cihaz broşürlerinde abone lokasyonunu nasıl bulduklarını anlattıklarına da değinilmektedir.

2014’ün sonlarına doğru Berlin’de Chaos Communication Congress’de SS7’nin birçok zafiyeti, araştırmacılar tarafından gözler önüne serildi. Bunlardan biri de P1 Security araştırma grubunun oluşturduğu dünya SS7 güvenlik haritasıdır. “Laurent Ghigonis and Alexandre De Oliveira from P1 Security presented their SS7 global security map(P1 Security, 2014)”

SS7 ağlarında güven yapısı operatörler arasında belli kurallar ile oluşturulmuş, sonuç olarak birbirlerine güven ilişkisi ile bağlı kapalı ve güvenilir bir ağ olarak kabul edilir. Bu güven ilişkisi açıkça artık geçerli değildir ve bu tür ağlardaki güvenlik boşluklarını analiz etmek ve bu boşlukları kapatmak için gerekli kontrolleri uygulamak için acil bir ihtiyaç oluşmuştur.

Bu açıkça artık geçerli değildir ve bu tür ağlardaki güvenlik boşluklarını analiz etmek ve bu boşlukları kapatmak için gerekli kontrolleri uygulamak için acil bir ihtiyaç artmaktadır.

Bu yazıda SS7’ye karşı saldırıları ve SS7 güvenlik açıklarını gidermek ve temel ağ güvenliğini artırmak için ilgili güvenlik denetimlerini yapmak maksadıyla kritik güvenlik kontrollerini inceleyeceğiz.

2. Çekirdek Ağ Mimarisi

3. No. 7 Sinyalleşme Sistemi

SS7 1980s in ITU-T Q.700 ile standardize edilmiş bir protokoller kümesidir. 1990 yılında yeni protokoller eklenmiştir. ETSI tarafından 2000 yılında 3GPP destek ve servisi eklenmiştir.

4. SS7 Saldırıları

SS7 doğası gereği kullanıcının konumu çağrı ve SMS detayları hakkında saldırılara açıktır. Finansal sistemler ve diğer kimlik doğrulama sistemleri de bu alt yapıya bağımlıdır ve SS7 tarafından yetkilendirilir.

4.1 Çağrı ve SMS Ele Geçirme

İletişimi ele geçirme konusu her zaman bir istihbarat faliyetinin ana amacı olmuştur. Kablolu telefonların ilk günlerinde saldırganın gidip gelen çağrıları dinlemesi için kabloya fiziksel olarak erişmesi gerekliydi.

Kablosuz iletişime geçildiğinde çağrılar bir radyo sinyali olarak havadan iletilmeye başlandı. Normalde havadan giden trafik şifrelenerek gönderilir. Şifreleme A5/1 ve A5/3 algoritmaları ile yapılır. Uzun süre önce A5/1’in kırıldığı ve ucuz radyo cihazları ve Rainbow tabloları ile çağrı transferinin deşifre edilebildiği kanıtlanmıştır (Nohl, Munant, 2010). Sonuç olarak operatörler bu zafiyetle başetmek için daha güvenli olan A5/3’ü kullanmaya başlamışlardır. Yine de SS7’nin çağrı ve sms izleme hakkında zafiyetleri olduğu yakın zamanda gösterilmiştir.

4.1.2 Çağrı yakalama ve kimlik sunma

Çağrı başlatılmadan önce kullanıcın kimliği gizli bir anahtar ile operatör tarafından teyit edilir. Bir çağrı bulunulan hücre içinde başlatıldığında ve kullanıcı konumunu değiştirdiğinde, çağrının başlatıldığı hücre üzerinden verilen yetkinin iletişimin güvenliği açısından operatör tarafından yeni hücreye de aktarılması gerekir. Bu aktarım sendIdentification isimli MAP mesajı ile gerçekleştirilir. Yeni hücre bu mesajı eski hücreye göndererek bir yetki ister (Dryburgh, Hewet, 2005). Bu yetkinin kapsamın havadaki trafiği şifreleyen anahtarın kendisidir.

Bir saldırı senaryosunda; kurbana fiziksel olarak yakın olan saldırgan havadaki görüşme trafiğini koklar ve kaydeder. Saldırgan SS7 ağı üzerinden yeni hücrenin adresini kullanarak eski hücreye kurbanın yerine sendIdentification mesajı göndererek şifreleme anahtarını elde eder (Nohl, 2014, p7).

Bu saldırının gerçekleşememesi için iletişimin sadece o ağın meşru cihazları tarafından yürütülmesi gerekir. SS7 ağına sızma zafiyet içeren bir operatörün ağı kullanılarak gerçekleştirilir. Dolayısıyla izinsiz cihazların global ölçekte işleyen SS7 ağına dahil olmalarının engellenmesi gerekir.

Şekil – Çağrı Elegeçirme için sendIdentification Mesajı Kullanımı

4.1.2 Interception – 3G IMSI Catcher

İkinci nesil şebekelerde cihaz operatör ağı ile bir güven ilişkisi kurmaz. Bağlandığı operatör ağının güvenli bir ağ mı yoksa sahte bir ağ olup olmadığını denetlemez. Hücresel şebeke mantığında cihaz (cep telefonu) tanıtıcı kimlik bilgisi doğru tanımlamış (örneğin operatör ismi. Vodafone, XXXcell vs) cihazdaki tanımla örtüşen sinyali en güçlü ağa cihaza bağlanma eğilimindedir (Strobel, 2007). Böylece cihaz yabancı bir ağa ya da saldırganın yakınlarında konuşlandırdığı bir radyo cihazının ağına otomatik olarak bağlanır.

3G ağlarda bu tür bir saldırı mümkün değildir. Bir çağrı kurulmadan önce ağ, çağrı yapana geri bağlanarak kimliğini teyit eder. Ancak saldırgan SS7 ağına bağlanarak sendAuthenticationInfo isimli MAP mesajını göndererek meşru ağın kimliğini öğrenebilir Nohl, 2014, p8). Saldırgan SS7 ağına erişimi genellikle global ölçekte zafiyate sahip bir operatör ağına bağlanarak gerçekleştirir. Ne yazıkki global ölçekte dolaşımı sağlamak için kullanılan bu özellik operatör dışı ağların denetim dışında olmasından dolayı sınırlandırılması mümkün değildir. Esas sorun SS7’nin global ölçekte kapalı bir ağ oluşturmak üzere tasarlanmasından kaynaklanır.

Şekil – sendAuthinticationInfo Mesajı ile 3G IMSI Yakalayıcı

4.1.3. Giden Çağrıların Ele Geçirilmesi – CAMEL gsmSCF

GSM Servis Kontrol İşlevi (gsmSCF), şu işlevleri yerine getirir: CAMEL mantıksal hizmeti SS7 ağı içerisindeki bağlantının başlatılması sürdürülmesini, değişimini ve iptalini sağlayan bir dizi olayların yönetimi yerine getirir (Engel, 2014, s31). Bu özellik alan kodunu değiştirmek veya uluslararası kod ekleyerek giden çağrıların numaraları değiştirmek için kullanılır.

Şekil – Hedef için gsmSCF adresini Manipüle Etmek

Şekil – Saldırganın Giden Çağrı Numarasını Yeniden Yazması

SS7 ağına erişen biri saldırgan insertSubscriberData mesajı ile kurbanın gsmSCF adresini kendi kontrolünde olan bir adres ile değiştirebilir (Engel, 2014,p34). Kurbanın giden çağrıyı yaptığı numarayı kendi numarası ile değiştiren saldırgan çağrıyı hedefine ulaşmadan ele geçirerip kaydedebilir (Engel, 2014, p35). Bu saldırının yapılabilmesi için saldırganın aynı operatör ağı üzerinde olması gerekmediğinden önlem için dış operatörlerden gelen bu mesajlara karşı ayrıca filitreleme yapılması gerekir.

4.1.4. Gelen Çağrıyı Ele Geçirme – Çağrı Yönlendirme

RegisterSS mesajı abonelere yeni hizmetler kaydetmek için kullanılan bir mesajdır. Bu hizmetlerden birisi de çağrı yönlendirmedir (Dryburgh, Hewet, 2005). Bir saldırgan registerSS mesajını kendi kontrolündeki numaraya çağrı yönlendirmek için kullanılır. İşi bittiğinde eraseSS mesajı ile mevcut yönlendirmeyi silerek gerçek aboneye tekrar yönlendirebilir. Bu yöntemle saldırgan gelen çağrıları alıp kaydedebilir.

4.1.5. SMS’i Ele Geçirme

updateLocation mesajı abonenin konumunu ağdaki konumunu güncellemek için kullanılır. Bu aynı zamanda abone cihazının hala ağa bağlı olduğunu belirtmek için de kullanılır. Saldırgan sahte updateLocation mesajı ile kendini kurbanın yerine kaydettirerek SMD’leri ele geçirebilir. SMS’ler birçok sistem ve web sitesi tarafından gönderilen şifreler ile kimlik doğrulaması yapmak için kullanılır.

Ne yazıkki updateLocation mesajı roaming kapsamında dış networklerden de gönderilebilir ve bunu önlenemeyebilir.

Şekil – Abone Konumunu Sahte Konum ile Güncellemek

Şekil – Saldırgan Abonenin SMS Mesajlarını Alır

4.2. Konum Takibi

İstihbarat faaliyetleri açısından hedefin konumu çok değerli bir bilgidir. Başka bir ülkedeki hedefinizin konumunu herhangi bir fiziksel takip aracı kullanmadan elde edebileceğinizi düşünün.

4.2.1. Konum Takibi – anyTimeInterrogation (ATI)

Abonenin HLR’sine bir anyTimeInterrogation mesajı gönderildiğinde bir abonenin bağlı olduğu VLR/MSC’ye gönderilen bir provideSubscriberInfo(PSI) mesajını tetikler. Bu diğer bilgilerle birlikte abonenin hücre kimliğini (Cell-ID) bilgisini de geri döndürür.

Saldırgan bu mesajı Cell-ID’yi elde etmek için kullanabilir. Daha sonra bu hücre bilgisi internette açık olarak paylaşılan hücre haritaları ile coğrafi konuma çevrilebilir (Engel, 2014, p13).

Şekil – Hedefin Konumunu Elde Etmek için anyTimeInterrogation Mesajının Suistimal Edilmesi

Neyse ki anyTimeInterrogation mesajı dış ağlardan etkilenme durumu yoktur. Operatör ağının girişinde filtrelenebilir.

4.2.2. Konum Takibi – provideSubscriberInfo (PSI)

Bu örnekte ATI mesajları filitrelenmiştir, saldırgan hala abonenin bağlı olduğu MSC/VLR’ye doğrudan provideSubscriberInfo mesajı gönderebilir.

Saldırgan ilk olarak IMSI’yi bulmaya ve MSC’nin adresine gerek duyacaktır. MSC’nin adresini, MSC’nin Global Title (GT) adresini geri döndüren sendRoutingInfoForSM gibi bir mesaj kullanarak elde eder. (Engel, 2014, p17)

Normal şartlarda PSI mesajı abonenin yer aldığı operatörün ağı dışından alınmaz; fakat dış operatör abonesi dolaşım (roaming) esnasında asıl operatörün ağına girerse, dış operatör tarafından alınabilir durumdadır.

Şekil – provideSubscriberInfo Kullanılarak Hücre Kimliğinin (ID) Elde Edilmesi

4.2.3. Konum Takibi – provideSubscriberLocation

provideSubscriberLocation (PSL) mesajı Gateway Mobile Location Center (GMLC) tarafından abonenin konumunu sağlamak için meşru olarak kullanılır. MSC’nin GMLC sunucunun kimliğini doğrulama yeteneği yoktur fakat gönderenin GT adresini doğrulayabilir (Engel,2014, p24)

Şekil – Konum Servisleri

Ne yazıkki saldırgan hala PSL mesajı göndermek için GMLC’nin adresini taklit edebilir durumdadır.

4.3. Dolandırıcılık

Daha önce bahsedildiği gibi SS7 mobil operatörlere bağlı bir durum olmadığı için güvensiz operatörler üzerinden gerçekleştirilen erişimler artmaktadır.

Bu durum abone üzerinden birçok haksız işlem yapmak için birçok fırsat yaratır. Bu bölümde oluşan dolandırıcılık fırsatları açıklanacaktır.

4.3.1. USSD dolandırıcılığı – processUnstructuredSS

USSD diğer birçok servis gibi operatör tarafından aboneye şifre alma, ödeme yapma ve kredi transferi gibi çeşitli ticari hizmetler vermek için kullanılan bir protokoldür. Tipik olarak abone belli bir işlemi yapmak için bir USSD kodu gönderir.

processUnstructuredSS mesajı kullanılarak saldırgan abonenin yerine USSD kodları göndererek hedef üzerinden muhtemelen kredi ve para transfer işlemi yapmaya yetki alabilir (Engel, 2014, p44).

Şekil – USSD Kodu Kullanılarak Dolandırıcılık

Ne yazıkki birçok durumda operatör dış operatörlerden bu mesajları girişine izin verir, bu durumda başka bir ülkeyi ziyaret eden dolaşımda (roamin) olan aboneler bu servislere erişmeye gerek duyacağından operatörün dış hattında filtrelenmesi çok zordur.

4.3.2. Birinci sınıf dolandırıcılık – Çağrı yönlendirme

Çağrı ele geçirmede olduğu gibi, registerSS mesajı ele geçirilen numaraının yerine ücretli bir numaraya çağrıyı yönlendirmeyi yapılandırmak için de kullanılabilir

4.4. Servis dışı bırakma

Saldırganın belli bir abonenin aldığı şebeke hizmetini engellemek için kullanabileceği birçok yol vardır. Saldırgan insertSubscriberData veya deleteSubscriberData kullanılarak abonenin önemli servisleri veya hiçbir çağrıyı almamasını sağlayabilir. Saldırgan cancelLocation mesajını kullanarak abonenin ağ ile olan bağlantısını kesebilir, böylece çağrıla ve SMS’ler ulaştırılamaz (Engel,!2014,!p30)

Şekil – SS7 Kullanılarak Servis Dışı Bırakma

Düşünülmesi gereken bir nokta da; SS7 güvenliğinde yapılacak küçük bir araştırma ile SS7 uygulamalarının güvenlik zafiyetlerinden uzak olmadığını görebilirsiniz.

5. Zaafiyetlerin sınıflandırılması

Bir önceki bölümde açıklanan saldırıların gerçekleştirilebilmesi için kullanım amallarına göre farklı SS7 mesajlarının sınıflandırılmasına ve açıklanmasına gerek vardır. Önceki bölümde açıklanan saldırıları gerçekleştirmeyi sağlayan mesajları 3 kategoride sınıflandırabiliriz:

  • Kategori 1: Dış operatör ağları üzerinden kullanılması meşru olmaya mesajlar.
  • Kategori 2: Operatörün kendi aboneleri için gerekli olmayan fakat dolaşımdaki yabancı abonelerin alması gereken mesajlar.
  • Kategori 3: Dış operatör ağları üzerinden alınması gereken mesajlar.

Aşağıdaki tablo farklı SS7 mesajlarını, kullanıldığı saldırı senaryolarını ve kategorilerini özetlemektedir.

Mesaj Saldırı Kategori
sendIdentification (SI) Interception Category 1
sendAuthenticatioInfo Interception Category3
insertSubscriberData+gsmSCF Interception (Outgoing) Category2
registerSS–eraseSS Interception (Incoming),Fraud Category3
updateLocation Interception(SMS), Denial of Service Category3
processUnstructuredSS Fraud Category3
insertSubscriberData Denial of Service Category2
deletedSubscriberData Denial of Service Category2
cancelLocation Denial of Service Category3
anyTimeInterrogation Tracking Category1
anyTImeModification Tracking Category1
provideSubscriberInformation Tracking Category2
provideSubscriberLocation Tracking Category1
sendRoutingInformation(USM,ULCS) Facilitates multiple attacks Category3


6. Kritik Güvenlik Kontrolleri (CSC)

“Etkin Siber Savunma için Kritik Kontroller, bugün yaygın olan çoğu saldırının siber savunması için alınması önerilen bir dizi aksiyonu ifade eder. Bunlar kamu ve özel sektörden yüzlerce güvenlik uzmanının oluşturduğu konsorsiyumlar tarafından geliştirilir ve sürdürülür” (Council on cyber security, 2015)

Bu belgenin içeriğinde, SS7’nin kendisi ve opratör ağları arasındaki güvenliği artırmak üzere daha önceki bölümlerde açıklanan saldırı türlerini engellemeye yönelik alınabilecek güvenlik önlemleri inceleyeceğiz.

6.1. Critical Security Control 13 – Boundary Defenses

CSC13 iç sistemleri sıkı yapılandırılmış bir ağı korumaya adanmıştır (Cole, Tarala, 2015, p. 1-67). Başka bir deyişle ağın sınırlarının belirlenmesidir. Savunma hattının düzgün bir şekilde çizilebilmesi için SS7’ye yönelik güvenlik duvarları ve IDS/IPSs sistemlerinin SS7/MAP trafiğinin anlamladırması, algılaması ve engellemesi gerekir.

Endüstri bu tür özellişmiş sistem ve cihazları üretmeye çalışırken biz IDS/IPS gibi geleneksel sistemler ile yardımcı özelleştirilmiş filtreler kullanarak tespit etmeye ve muhtemel saldırıları bloklamaya çalışırız. Örneğin birinci kategorideki saldırılar basitçe belli MAP mesajlarına bakılarak anlaşılabilir. Aşağıdaki örnekte sendIdentification mesajı kullanılarak gerçekleştirilen çağrı ele geçirme saldırısını tespit etmeye yönelik bir SNORT filtresi yer almaktadır.

alert ip $External_Operators any -> $STP any (msg:”Call Interception Attempt sendIdentification”; content:”sendIdentification”;

İkici kategori saldırılar için, tespit operatörün IMSI aralığında MAP mesajlarının var olup olmadığına bakan filtreler ile gerçekleştirilir. Bu tarz saldırıları tespit eden SNORT filtresi şuna benzer:

alert ip $External_Operators any -> $STP any (msg:”Location tracking provideSubscriberInformation”; content:”provideSubscriberInformation”; content: “6201XXXXXXXX”;

Yukarıdaki yöntemde sinyal trafiğinin IP üzerinden taşındığı varsayılmıştır (SIGTRAN) ancak bu fiziksel yapı TDM sinyalleşmesini IP tabanlı iletişime çeviren özel ekipmanlar ile TDM üzerinden de gerçekleştirilebilir.

Ne yazık ki üçüncü kategori MAP mesajları ile kullanıcının mevcut ve son konumu gibi ileri bilgiler ilişkilendirilmesini gerektirir. Bu önceden tanımlı sabit filtreler ile gerçekleştirilemeyebilir.

6.2. Kritik Güvenli Kontrolü 14 – Bakım, İzleme & Denetim Günlüklerinin Analizi

CSC14, sistemler üzerindeki olayları sonradan analiz etmeyi ve sistemlerin durumunu anlamayı sağlayacak günlük kayıtlarının tutulmasını hedefler (Cole, Tarala, 2015, p102). Günlük kayıtları sistemler üzerinde neler olduğunu anlamak için çok değerlidir. Operatör ağının çekirdek bileşenlerini denetlemek kuruluşların log yönetimi işleminin bir parçasıdır.

Eğer mümkünse, belli MAP mesajlarının kullanımını kayıt altına alın, hem dahili loglama imkanları ile çekirdek ağ bileşenlerini hem de ağ trafiği kalitesi denetlemeye yönelik sistemlerin kayıtlarını beraber değerlendirin. Bu kayıtlar sonradan kategori 1 ve 2 deki anormallikleri tespit etmek, hem de kategori 3 saldırılarını ilişkilendirmek için analiz edilebilir.

Örneğin kısa bir süre içerisinde iç ağdan bir mesaj alındıktan sonra bir dış kaynaktan updateLocation mesajı alma arasında bir ilişki kurulabilir. Bu senaryo aslında kullanıcının kısa bir süre içerisinde yurtdışına gittiği anlamına geldiğinden normal değildir ve bu kullanıcıya karşı bir saldırı yapıldığına işaret edebilir.

6.3. Kritik Güvenli Kontrolü 19 – Güvenli Ağ Mühendisliği

İç ağlara yeni tehditlerle birlikte, güvenli ağ mühendisliği konusu mutlak bir gereklilik haline gelmiştir. Temel bir çekirdek ağ, risk altındaki farklı ağ bileşenleri doğru şekilde bölümlendirilmesi ile riskleri azaltabilir. CSC19 sağlam, güvenli ağ mühendisliği işlemleri ve ağ mimarisi konularına adanmıştır (Cole, Tarala, 2015, p103). Ağı farklı güven ilişkisi ve saldırılara maruz kalma seviyesine göre bölgelere ayırmak çekirdek ağın güvenliğini geliştirir. Dış ağdan STP’ye gelecek bir erişim HLR ve MSC gibi ağ bileşenlerinden ayrılmış olur.

6.4. Kritik Güvenli Kontrolü 20 – Sızma Testi ve Kırmızı Takım Pratikleri

Güvenli ve güvensiz iki SS7 ağı arasında kurulan ara bağlantının güvenlik açısından sınırları açıkça belirlenmelidir. CSC20 ticari sistemlerdeki potansiyel sistem zayıflıklarını tanımlamak ve sistemin topyekün güvenliğini geliştirmeye adanmıştır. Zayıflıkları tanımlamaya ek olarak, kırmızı takım pratikleri güvenlik izleme kusurlarını, karşılık verme prosedürlerindeki boşlukları ve çalışanların fazla güvenme durumlarını açığa çıkartır Cole, Tarala, 2015, p1-127).

İç ağa karşı yapılacak harici ve dahili saldırı testleri yapılmalıdır. Ağın bu bölümünün kritikliği dikkate alındığında, ürün ortamını test eden bir test yatağı oluşturulması şiddetle tavsiye edilir.

6.5. Kritik Güvenli Kontrolü 4 – Güvenlik Açıklarını Sürekli Değerlendirme ve İyileştirme

Harici kaynaklara erişimin artması ile SS7 güvenliği araştırmacılarının sayısının artması, yakın gelecekte daha fazla zafiyetin açığa çıkmasına neden olacaktır.

Milyonlarca kullanıcının hizmet almasını engelleme potansiyeli açısından SS7 zafiyetleri siber savaşta ulus devletler arasında büyük bir silah haline gelebilecektir. SS7 zafiyetlerini belirleyecek araçları ve teknolojileri geliştirmek ve bu sürecin sürekliliğini sağlamaya gerek vardır.

CSC4 bilinen zayıflıkları iyileştirerek sistemlerin korumayı amaçlar. (Cole,Tarala, 2015, p1-63) Bu kuruluşların çekirdek ağ bileşenlerini de içine alan zafiyet yönetim programlarını genişletmeleri çok önemlidir. Kritik yamalar, risk seviyelerine göre mümkün olan en kısa sürelerde test ortamlarında denendikten sonra ve üretim ortamına uygulanmalıdır.

6.6. Kritik Güvenlik Kontrolü 18 – Acil Durumlara Tepki ve Yönetim

SS7 ağlarının doğası göz önüne alındığında, SS7 güvenlik araştırmaları ve uygun bir savunma inşa etmek acil durum gerçekleştiğinde kaçınılmaz olur.

Acil durum kabiliyetlerini geliştirmek çekirdek ağ bölgesindeki olaylara uygun tepkileri vermek için çok önemlidir.

CSC18, acil durum ekipleri kurarak veri kaybı risklerini azaltmayı, kurumların anlamlı süreler içinde acil olayları tanımlama ve tepki verme yeteneklerini geliştirmeyi hedefler. (Cole, Tarala, 2015, p1-83)

Acil durum tepki ekibinin iç ağ bölgesinde uzmanlık alanı prosedürleri uygulamanın yanında acil durumları ele alması da önemlidir. Düzenli talimler farklı saldırı senaryoları için tepki becerilerini değerlendirmek için faydalıdır. (örn: Servis dışı bırakma, Yetkisi Erişim, MAP mesaj suistimali, vb.)

6.7. Kritik Güvenlik Kontrolü 3 – İş bilgisayarları, Sunucular ve Mobil Aaygıtların, Yazılım ve Donanımlarının Güvenli Yapılandırması

CSC3, güvenli yazılım yapılandırması kullanarak sistemleri korumayı hedefler (Cole, Tarala, 2015, p1-27). Çekirdek ağ bileşenleri bu konuda istisnaya sahip değildir. İster işletim sistemlerinin standart güvenli yapılandırmasından emin olunmalıdır. Normal sıkılaştırma faaliyetleri şöyledir: Kullanılmayan servisleri devre dışı bırak, kullanılmayan hesapları kaldır, son yamaları uygula, açık ve kullanılmayan portları kapat.

Benzer sıkılaştırma, hassas bilgileri içeren veri tabanlarına da yapılmalıdır. Çekirdek ağ bileşenlerinin yönetimi güvenli bir kanal üzerinde gerçekleştirilmelidir. Telnet ve VNC gibi açık metin protokoller bu kritik elemanları yönetmek için kullanılmamalıdır. Kullanılmayan MAP işlevleri ilgili ağ cihazı üzerinde devre dışı bırakılmalı sadece gerekli mesajlara izin verilmelidir.

7. Sonuç

Geçmişten miras kalan bir protokol olarak, SS7 güvenlik hassasiyetiyle geliştirilmemiştir. SIP ve DIAMETER gibi sinyalleşme protokolleri hiç bir zaman iyi bir güvenlik kontrol sunamadığı gibi hala belli güvenlik sorunlarını bulundurmaya devam etmektedir.
Çekirdek ağ bileşenleri de yeni güvenlik tehditleri düşünülerek de imal edilmedi. Hali hazırdaki ve gelecekteki tehdirler için özelleşmiş güvenlik çözümlerine ihtiyaç olduğu nettir. Fakat telekom ağlarındaki değişim ticari IT ağağlarına göre daha yavaştır çünkü sistemleri kullanan milyonlarca kullanıcısı vardır. Operatör ağları için yeni savunma çözümleri ile tanışmamız çok uzun zaman alacaktır.

Bu oluncaya kadar elimizdeki güvenlik çözümlerine odaklanmak ve mevcut tehditleri azlatmak mutlak bir gerekliliktir. Kritik güvenlik kontrolleri, hali hazırdaki güvenlik zafiyetlerine karşı iyi bir güvenlik çatısı olarak kendini göstermektedir.

Makaleyi yazan: Hassan Mourad, [email protected]
Çeviri: Özgür Koca, [email protected], www.tankado.com

Referanslar
Timberg, C. (2014, August 24). For sale: Systems that can secretly track where
cellphone users go around the globe. Washington Post. Retrieved from
http://www.washingtonpost.com/business/technology/for-sale-systems-that-cansecretly-track-where-cellphone-users-go-around-the-globe/2014/08/24/f0700e8af003-11e3-bf76-447a5df6411f_story.html
Washington Post (2013, Jan). Skylock Product Description 2013. Retrieved from:
http://apps.washingtonpost.com/g/page/business/skylock-product-description-
2013/1276/
Engel, T. (2014, December). SS7: Locate, Track & Manipulate. [Video file] Retrieved
from: https://www.youtube.com/watch?v=lQ0I5tl0YLY
Nohl K. (2014, December). Mobile Self Defense. [Video file] Retrieved from:
https://www.youtube.com/watch?v=GeCkO0fWWqc
P1 Security (2014, December). SS7 Map. Retrieved from: http://ss7map.p1sec.com/
3rd Generation Partnership project (2015, June 21). Mobile-services Switching Center. In
TS 23.002 Network Architecture, Release 13, p26. Retrieved from:
http://www.3gpp.org/ftp/Specs/archive/23_series/23.002/23002-d20.zip
3rd Generation Partnership project (2015, June 21). The Home Subscriber Server. In TS
23.002 Network Architecture, Release 13, p22. Retrieved from:
http://www.3gpp.org/ftp/Specs/archive/23_series/23.002/23002-d20.zip
The Fall of SS7 – How Can the Critical Security Controls Help? 2 ! 3
Hassan!Mourad,[email protected]! ! !
3rd Generation Partnership project (2015, June 21). The Authentication Center. In TS
23.002 Network Architecture, Release 13, p23. Retrieved from:
http://www.3gpp.org/ftp/Specs/archive/23_series/23.002/23002-d20.zip
3rd Generation Partnership project (2015, June 21). The Visitor Location Register. In TS
23.002 Network Architecture, Release 13, p25. Retrieved from:
http://www.3gpp.org/ftp/Specs/archive/23_series/23.002/23002-d20.zip
3rd Generation Partnership project (2015, June 21). The Short Message Service Gateway.
In TS 23.002 Network Architecture, Release 13, p26. Retrieved from:
http://www.3gpp.org/ftp/Specs/archive/23_series/23.002/23002-d20.zip
Dryburgh L., Hewet J. (2005, June). SS7 Network Architecture. In Signaling System No.
7 (SS7/C7): Protocol, Architecture, and Services. (Chapter 7) Retrieved from:
https://www.informit.com/library/content.aspx?b=Signaling_System_No_7&seq
Num=26
Dryburgh L., Hewet J. (2005, June). MAP Operations. In Signaling System No. 7
(SS7/C7): Protocol, Architecture, and Services. (Chapter 13) Retrieved from:
https://www.informit.com/library/content.aspx?b=Signaling_System_No_7&seq
Num=115
IETF (1999, October). Framework Architecture for Signaling Transport. Retrieved from:
https://www.ietf.org/rfc/rfc2719.txt
Nohl K., Munaut S. (2010, December). GSM Sniffing. [pdf document] Retrieved from:
https://events.ccc.de/congress/2010/Fahrplan/attachments/1783_101228.27C3.GS
M-Sniffing.Nohl_Munaut.pdf
The Fall of SS7 – How Can the Critical Security Controls Help?
Hassan!Mourad,[email protected]! ! !
Dryburgh L., Hewet J. (2005, June). Mobility Management. In Signaling System No. 7
(SS7/C7): Protocol, Architecture, and Services. (Chapter 13) Retrieved from:
https://www.informit.com/library/content.aspx?b=Signaling_System_No_7&seq
Num=116
Nohl K. (2014, December). Mobile Self Defense, p.7. [pdf document] Retrieved from:
https://events.ccc.de/congress/2014/Fahrplan/system/attachments/2493/original/M
obile_Self_Defense-Karsten_Nohl-31C3-v1.pdf
Strobel D. (2007, July). IMSI Catcher. [pdf document] Retrieved from:
http://www.emsec.rub.de/media/crypto/attachments/files/2011/04/slides_imsi_cat
cher.pdf
Nohl K. (2014, December). Mobile Self Defense, p.8. [pdf document] Retrieved from:
https://events.ccc.de/congress/2014/Fahrplan/system/attachments/2493/original/M
obile_Self_Defense-Karsten_Nohl-31C3-v1.pdf
Engel, T. (2014, December). CAMEL. In SS7: Locate, Track & Manipulate, p31. [pdf
document] Retrieved from: http://berlin.ccc.de/~tobias/31c3-ss7-locate-trackmanipulate.pdf
Engel, T. (2014, December). Intercepting calls with CAMEL. In SS7: Locate, Track &
Manipulate, p34. [pdf document] Retrieved from:
http://berlin.ccc.de/~tobias/31c3-ss7-locate-track-manipulate.pdf
Dryburgh L., Hewet J. (2005, June). Supplementary Services. In Signaling System No. 7
(SS7/C7): Protocol, Architecture, and Services. (Chapter 13) Retrieved from:
https://www.informit.com/library/content.aspx?b=Signaling_System_No_7&seq
Num=119
The Fall of SS7 – How Can the Critical Security Controls Help?
Hassan!Mourad,[email protected]! ! !
Engel, T. (2014, December). HLR: Stealing Subscriber. In SS7: Locate, Track &
Manipulate, p42. [pdf document] Retrieved from:
http://berlin.ccc.de/~tobias/31c3-ss7-locate-track-manipulate.pdf
Engel, T. (2014, December). Cell level tracking with SS7/MAP. In SS7: Locate, Track &
Manipulate, p13. [pdf document] Retrieved from:
http://berlin.ccc.de/~tobias/31c3-ss7-locate-track-manipulate.pdf
Engel, T. (2014, December). Location Services. In SS7: Locate, Track & Manipulate,
p24. [pdf document] Retrieved from: http://berlin.ccc.de/~tobias/31c3-ss7-locatetrack-manipulate.pdf
Engel, T. (2014, December). HLR: Supplementary Services. In SS7: Locate, Track &
Manipulate, p44. [pdf document] Retrieved from:
http://berlin.ccc.de/~tobias/31c3-ss7-locate-track-manipulate.pdf
Engel, T. (2014, December). Denial of Service. In SS7: Locate, Track & Manipulate,
p.30. [pdf document] Retrieved from: http://berlin.ccc.de/~tobias/31c3-ss7-locatetrack-manipulate.pdf
Council on Cyber Security (2015). The critical security controls. Retrieved from:
http://www.counciloncybersecurity.org/critical-controls/
Cole E., Tarala J. (2015). Critical Security Control 13 – Boundary Defenses. In
Implementing and auditing the critical security controls – In depth – Book4, p.1
Cole E., Tarala J. (2015). Critical Security Control 14 – Maintenance, Monitoring &
Analysis of Audit Logs. In Implementing and auditing the critical security
controls – In depth – Book4, p.1-102
The Fall of SS7 – How Can the Critical Security Controls Help?
Hassan!Mourad,[email protected]! ! !
Cole E., Tarala J. (2015). Critical Security Control 19 – Secure Network Engineering. In
Implementing and auditing the critical security controls – In depth – Book5, p.1-
103
Cole E., Tarala J. (2015). Critical Security Control 20 – Penetration Test and Red Team
Exercises. In Implementing and auditing the critical security controls – In depth –
Book5, p.1-127
Cole E., Tarala J. (2015). Critical Security Control 4 – Continuous Vulnerability
Assessment and Remediation. In Implementing and auditing the critical security
controls – In depth – Book2, p.1-63
Cole E., Tarala J. (2015). Critical Security Control 18 – Incident Response and
Management. In Implementing and auditing the critical security controls – In
depth – Book2, p.1-27
Cole E., Tarala J. (2015). Critical Security Control 3 – Secure Configurations for
Hardware and Software on Mobile Devices, Laptops, Workstations & Servers. In
Implementing and auditing the critical security controls – In depth – Book5, p.1- 83

Kısaltmalar

– AuC: Authentication Center
– ATI: Any Time Interrogation
– CN: Core Network
– GMLC: Gateway Mobile Location Center
– gsmSCF: GSM Service Control Function
– GT: Global Title
– HSS: Home Subscriber Server
– HLR: Home Location Register
– MSC: mobile Switching Center
– PSI: Provide Subscriber Information
– PSL: Provide Subscriber Location
– SMS-GW: Short Message Service Gateway
– SRI-SM: Send Routing Information – Short Message
– VLR: Visitor Location Register