Temel Seviye Arduino (Mikrodenetleyici) Kursu Test Sınavı Soruları

Bir süre önce tamamladığımız 30 saatlik kursun sınav sorularını paylaşıyorum. Telif hakkı yoktur, güle güle kullanabilirsiniz. Sınavın cevap anahtarını ise sayfanın sonundaki bağlantıdan indirebilirsiniz.

  1. Açık kaynak Arduino geliştirme kartları hangi ülke tarafından geliştirilmektedir?a)KKTC b) Belarus   c) İtalya  d) Türkiye
  2. Açık kaynak Arduino geliştirme kartlarında kullanılan mikrodenetleyici çipini hangi firma üretmektedir?
    AMD c) BEKO  d) ATMEL(MİCROCHİP)  e) Intel
  3. Arduino UNO geliştirme kartında kaç adet dijital giriş/çıkış pini vardır?
    a) 11 b) 12  c) 13  d)20
  4. Arduino UNO geliştirme kartında kaç adet analog giriş pini vardır?
    a) 4  b) 5  c) 6  d) 7
  5. Arduino UNO geliştirme kartında kaç adet analog çıkış pini vardır?
    a) 0  b) 1  c) 2  d) 3
  6. Arduino UNO geliştirme kartında kullanılan mikrodenetleyici hangisidir?
    a) AtMega328    b) Atmega2560
    c) Atmel378         d) ATmega328
  7. Arduino UNO da kullanılan ATmega328 mikrodenetleyici çipinin programı depolamak için kullandığı Flash hafızanın boyutu ne kadardır?
    a) 8bit b) 16Byte  c) 2KB   d) 32KB
  8. Arduino UNO da kullanılan ATmega328 mikrodenetleyici çipinin saat frekansı (çalışma hızı) kaç Hz’dir?
    a) 16MHz b) 32MHz  c) 80MHz d) 2MHz
  9. Arduino geliştirme kartına enerji verildiği ilk anda sadece 1 kere çalışan alt programın adı nedir?
    a) begin() b) setup()  c) start()  d) loop()
  10. Arduino geliştirme kartı çalışmak için ihtiyaç duyduğu enerjiyi bir PC’nin USB portundan sağlayabilir. USB portundan sağlanan enerji kaç volttur?
    3v b) 5v  c) 9v  d)12v
  11. Arduino programında gecikme yaratmak için kullanılan komut hangisidir?
    A) pinMode() b) digitalWrite();  c) delay() d) for()
  12.  Aşağıdaki bekletme komutlarından hangisi arduino programının 1,5 saniye gecikmesine yol açar?
    a) delay(1.5); b) delay(150);
    c) delay(1500)  d) delay(1500);
  13. a) for (pin=0; pin<=13; pin++)
    b) for (pin=0, pin<=13, pin++)
    c) for (pin=0, pin<=13, pin=pin+1)
    d) for {pin=0; pin<=13; pin++}

14) Bir Arduino C programı için aşağıdakilerden hangisinde başlangıç değeri 100 olan sure adında bir değişken doğru tanımlanmıştır?
a) int sure=100;         b) int sure 100;
c) int sure<=100        d) int süre 100;

15) Standart arduino alt programlarından birisi olan setup() hakkında yazılanlardan hangisi yanlıştır?
a) Arduino programın çalışabilmesi için gerekli değildir
b) Arduino enerjilendiğinde bir kere çalışır.
c) Arduino enerjilendiğinde sürekli olarak çalışır.
d) Arduino kartı resetlendiğinde yeniden çalışır.

16) Standart arduino alt programlarından birisi olan loop() hakkında yazılanlardan hangisi yanlıştır?
a) Arduino programın çalışabilmesi için gereklidir.
b) Arduino enerjilendiğinde bir kere çalışır.
c) Arduino enerjilendiğinde sürekli olarak çalışır.
d) Arduino kartı resetlendiğinde yeniden çalışır.

17) Aşağıda for() döngüsü için söylenenlerden hangisi yanlıştır?
a) Diğer şıkların hepsi yanlıştır
b) Başlangıç ve bitiş değeri belli işlerin yapılması için kullanılır
c) Bir şarta bağlı olarak tekrarlanması gereken işlerin yerine getirilmesinde kullanılır.
d) Belli sayıda tekrar eden işlerin yaptırılması için kullanılır.

18) Arduino serisi mikrodenetleyicili geliştirme kartları için söylenenlerden hangisi yanlıştır?
a) Atmel firmasının ürettiği bir mikrodenetleyicidir.
b) ATmega serisi bir mikrodenetleyiciye sahiptir.
c) Elektronik ve programlamayı öğretmek ve sevdirmek için çıkartılmıştır.
d) Arduino serisinin ilk ve en temel geliştirme kartıdır.

19) Arduino’nun bir I/O pinini çıkış olarak ayarlamak için hangi ifade kullanılır?
a) INPUT                        c)OUTPUT
d)INPUT_PULLUP         e) INPUT_PULLDOWN

20) Arduino’nun bir I/O pinini giriş olarak ayarlamak için hangi sabit kullanılır?
a) pinMode                   c)OUTPUT
d)INPUT_PULLUP         e) INPUT_PULLDOWN

21) PULLUP terimi için söylenenlerden hangisi yanlıştır?
a) Bir direnç vasıtasıyla I/O pinindeki lojik belirsizliği gidermede kullanılır
b) Bir direnç Vdd/Vcc ile I/O pini arasına bağlandığında bağlı olduğu pini lojik-0’a çeker
c) Bir direnç  Vdd/Vcc ile I/O pini arasına bağlandığında o pini lojik-1’e çeker
d) Kullanıldığı devrenin ortak KATOT olması durumunda fazladan enerji tüketimine yol açar.

22) PULLDOWN terimi için söylenenlerden hangisi yanlıştır?
a) Bir direnç vasıtasıyla I/O pinindeki lojik belirsizliği giderdeme kullanılır
b) Bir direnç  GND ile I/O pini arasına bağlandığında o pini lojik-0’a çeker
c) Bir direnç  GND ile I/O pini arasına bağlandığında o pini lojik-1’e çeker
d) Kullanıldığı devrenin ortak ANOT olması durumunda fazladan enerji tüketimine yol açar.

23) Arduino C’de Bir I/O pininin giriş/çıkış modlarını ayarlamak için hangi komut kullanılır?
a) delay()  b) digitalRead()  c) pinMode()  d) digitalWrite()

24) Arduino Uno’nun analog pin grubu için söylenenlerden hangisi yanlıştır?
a) 6 adet analog giriş pini bulunur
b) Herbir girişin çözünürlüğü 10 bit’tir.
c) Lojik (1/0) giriş/çıkış için kullanılmaz
d) Dış ortamdan alınan anolog değerlerin dijitale çevrilmesi için kullanılır (ADC)

25) HC-HR04 sensörünün kullanım amacı aşağıdakilerden hangisidir?
a) Su seviyesi ölçmek
b) Ses şiddeti (dB) ölçmek
c) Mesafe ölçmek
d) Sıcaklık ölçmek

26) HC-HR04 ultrasonik mesafe sensörü kaç volt ile çalışır?
a) 1.2v     b)3.3v     c)9v     d)5v

27) HC-HR04 ultrasonik sensörünün pin bağlantı isimlendirmesi aşağıdakilerden hangisinde doğru verilmiştir?
a) Vcc-Trig-Echo-Gnd
b) Vcc-N/C-Data-Gnd
c) Vcc-In-Out-Gnd
d) Vcc-Latch-Data-Gnd

28) HC-HR04 ultrasonik mesafe sensörünün Trig isimli pini hangi amaçla kullanılır?
a) Ultrasonik (kulağımızın duyamayacağı) ses dalgasının sensörden gönderilmesini sağlar.
b)  Gönderilen ultrasonik (kulağımızın duyamayacağı) ses dalgasının geri döndüğü bilgisini  sağlar.
c) Sensörün enerji ile beslenmesini sağlar.
d) Sensörün şase bağlantısını sağlar.

29) HC-HR04 ultrasonik mesafe sensörünün Echo isimli pini hangi amaçla kullanılır?
a) Ultrasonik (kulağımızın duyamayacağı) ses dalgasının sensörden gönderilmesini sağlar.
b)  Gönderilen ultrasonik (kulağımızın duyamayacağı) ses dalgasının geri döndüğü bilgisini  sağlar.
c) Sensörün enerji ile beslemenmesini sağlar.
d) Sensörün şase bağlantısını sağlar.

30) Arduino C’de lojik giriş olarak ayarlanmış bir pin’in değerini okutmak için kullanılan komut aşağıdakilerden hangisinde doğru verilmiştir?
a) okunan = analogRead(D0);
b) okunan = analogWrite(D1)
c) okunan = digitalRead(D1);
d) okunan = digitalWrite(D1);

31) Aşağıda pulseIn(D0, LOW) komutu hakkında söylenenlerden hangisi doğrudur?
a) D0 lojik giriş pininin lojik 0’dan lojik 1’e geçme süresini ölçer
b) D0 lojik giriş pininin lojik 1’den lojik 0’a geçme süresini ölçer
c) D0 lojik giriş pininin önceki lojik durumundan bağımsız olarak 1’e gitme süresini ölçer
d) D0 lojik giriş pininin önceki lojik durumundan bağımsız olarak 0’a gitme süresini ölçer

32) Aşağıdakilerden hangisinde pulseIn() komutunun geriye döndürdüğü süre değerinin birimi doğru verilmiştir?
a) saniye  b) mili saniye c) mikro saniye d) nano saniye

33) Aşağıda Arduino C’de kullanılan Serial.begin(9600) komutu için verilen  bilgilerden hangisi doğrudur?
a) Mikrodenetleyicinin seri portunu 12KByte/sn hızında seri iletişim için başlatır.
b) Mikrodenetleyicinin seri portunu 1.2KByte/sn hızında seri iletişim için başlatır.
c) Mikrodenetleyicisinin seri portunu 1200 Byte/sn hızında seri iletişim için başlatır.
d) Mikrodenetleyicisinin seri portunu 96KByte/sn hızında seri iletişim için başlatır.

34)  Aşağıdaki Arduino C’ kodunun anlamı nedir?

// loop fonksiyonu tekrar ve tekrar sonsuza kadar çalışır

  1. a) Bir komuttur
    b) Tek satırlık açıklama/yorum ifadesidir
    c) Fonksiyon tanımıdır
    d) Karadenizin nefis muhlamasıdır

35) Aşağıdaki Arduino  Uno geliştirme kartı için verilen Arduino C kodu için şıklarda söylenenlerden hangisi doğrudur?

digitalWrite(14, HIGH);

  1. a) 14 numaralı dijital pin’i lojik 1 yapar
    b) 14 numaralı dijital pin’i 5v yapar
    c) 14 numaralı dijital pin’i lojik 0 yapar
    d) Diğer seçeneklerin hepsi yanlıştır36) 13 numaralı Dijital pini çıkış olarak ayarlayan Arduino C kodu aşağıdakilerden hangisinde doğru verilmiştir?
    a) digitalWrite(13, 1) b) pinMode(13, INPUT);
    c) pinMode(13, OUTPUT);  d) digitalRead(13, 1);

37) 13 numaralı Dijital pin’deki lojik değeri okuyan Arduino C komutu aşağıdakilerden hangisinde doğru verilmiştir?
a) digitalWrite(13, 1)  b) pinMode(13, INPUT);
c) pinMode(13, OUTPUT);  d) digitalRead(13);

38) Arduino Uno geliştirme kartında yer alan ADC (analog giriş) ‘lerin çözünürlüğü nedir?
a) 8bit b) 10bit c) 12bit d) 16bit

39) Aşağıda Fotodirenç için söylenenlerden hangisi yanlıştır?
a) Işık miktarı arttıkça direnci artar
b) Işık miktarı arttıkça direnci azalır
c) Işık miktarına göre direnci değişir
d) Pasif bir elektronik devre elemanıdır

40) Arduino Uno geliştirme kartında lehimli kaç adet  Gnd pini mevcuttur?
a) 1   b)2   c)3   d)4

E-Kitap: Assembly Dilinde Virüs Nasıl Yazılır?

Üniversite zamanlarında hocam Doç.Dr.Nurettin Topaloğlu’ndan edindiğim fotokopiyi öğrencim Murat AKAY’ın emeği ile PDF formuna dönüştürdük. Türkçe yazılmış kitap DOS exe’leri için assembly dilinde virüs yazma konusu işliyor.

Android Sistemlerden Delil Amaçlı İz Tespit Etme Yöntemleri

 

ÖZET

Cep telefonları, özellikle de akıllı telefonlar hayatımızda önemli bir rol oynamaktadır. Mobil cihaz pazarının muazzam büyümesiyle, onları suç faaliyetinde kullanma imkânı da sürekli artmaktadır. Android, piyasadaki son derece rekabetçi platformlardan biridir. Birçok üretici tarafından kullanılan Android, farklı cihaz modellerini çalıştırmak için kullanılmakta ve bu da güçlü bir çeşitliliğe neden olmaktadır. Böylece, Android tabanlı akıllı telefonların fiziksel imaj ediniminin zorluğu, özellikle son Android sürümünün kaynak kodunun çok geç yayınlanması ile daha da anlam kazanıyor. Sonuç olarak, en yeni sürüm işletim sistemine sahip mevcut akıllı telefonların, mevcut akıllı telefon adli araçları kullanılarak edinilmesi de güçleşiyor. Bu çalışmada, mantıksal ve fiziksel olarak edinme olanağı sunan (imaj alma) adli mobil cihaz araçlarının kapsamlı bir perspektifi verilmektedir. Ayrıca yazılım araçları kullanılarak gerçekleştirilen edinimlerin sınırlılıklarını aşmak için iki yeni yöntem de incelenmiştir. Birinci yöntem firmware güncelleme protokolünün zafiyetleri kullanılarak fiziksel imaj elde etmeyi incelerken, ikinci yöntemde anti-adli bilişim tedbirleri uygulanmış bir Android mobil cihazdan delil elde etmek için cihaz yönetim yazılımı Droidjack araştırılmıştır. Son olaradak da adli araştırmacının hedefinde olan veri setlerini / delil izlerini üreten Android uygulamaların programlama teknikleri açısında sunduğu veri mahremiyetleri incelenerek bir anti-adli bilişim perspektifi ortaya koyulmuştur.

 

 

İçindekiler Tablosu

1. GİRİŞ 1

2. ANDROID’İN MİMARİSİ 3

2.1. Linux Çekirdeği 3

2.2. Kütüphane ve Android Runtime 3

2.3. Uygulama Çerçevesi 3

2.4. Uygulama 4

3. VERİ EDİNİM PROSEDÜRLERİ 5

3.1. Erişim Kontrolü Prosedürü Olmadan Akıllı Telefonun Veri Edinimi 5

3.2. Erişim Kontrol Prosedürüyle Akıllı Telefonun Veri Edinimi 5

4. FİZİKSEL EDİNİM 7

4.1. Linux Bellek Çıkarıcı (LiME) 7

4.2. Android Fiziksel Döküm (APD) 8

4.2.1. Hawkeye 8

4.2.2. Adroid Memory Extractor (AMExtractor) 9

4.2.3. Androphsy 9

4.2.4. Android Digital Autopsy (ADA) 10

4.2.5. Cellebrite UFED 10

4.2.6. Oxygen Forensic Suite 10

4.2.7. XRY Physical 11

4.2.8. Device Seizure 11

4.2.9. MOBILedit! Forensic 11

4.2.10. ViaExtract 12

4.2.11. Examiner Plus (MPE +) 12

5. FİRMWARE PROTOKOLÜNE DAYALI EDİNİM 13

5.1. Ürün Yazılımı Güncelleme Protokollerine Dayalı Android Fiziksel Edinimi 16

5.2. Firmware Güncelleme Protokolü 16

5.3. LG Firmware Güncelleme Protokollerinin Analizi 17

5.4. LG Firmware Güncelleme Komutları 18

5.5. Android’in Fiziksel Edinimi 20

5.6. Desteklenen Modeller 21

5.7. Firmware Güncelleme Modunda Başlatma 21

5.8. Telefona Bağlanma ve Model Bilgisini Edinme 22

5.9. Fiziksel Edinim 22

5.10. Denemeler 23

5.11. Elde Edilmiş Görüntünün Bütünlüğünü Koruma 23

5.12. Edinme Hızı 24

5.13. Ekranı Kilitli Akıllı Telefonlardan Fiziksel Olarak Edinme (USB Debug devre dışı) 25

6. MOBİL CİHAZ YÖNETİM (MDM) YAZILIMI İLE DELİL ELDE ETME 27

6.1. Android Uygulama Geliştirme Terminolojisi 28

6.1.1. Etkinlikler (Activities) 29

6.1.2. Hizmetler (Service) 29

6.1.3. İçerik sağlayıcıları (Content Providers) 29

6.1.4. Yayın alıcıları (Broadcast Receiver) 29

6.1.5. İçerik gözlemcileri (Content Observers) 29

6.2. Android Uygulama Güvenliği 30

6.3. Kökleme (Rooting) 30

6.4. Akıllı Telefon Araştırmaları 31

6.5. Gizlilik endişeleri 32

6.6. Ticari MDM Ürünleri 32

6.7. DroidWatch MDM Yazılımı 33

6.7.1. Yerel depolama 35

6.7.2. 6.7.8. Şirket sunucusu 36

6.7.3. 6.7.9. Veri Akış Süreci 36

6.7.4. Veri Kümeleri 37

6.7.5. Analiz ve Değerlendirme 38

6.7.6. Genel Kullanım Eğilimleri 38

6.7.7. Şüpheli Kişiler ve İletişim 38

6.7.8. Konum izleme 40

6.7.9. İnternet geçmişi 40

6.7.10. Kötü amaçlı uygulamalar 41

6.7.11. Adli bilişim 41

6.7.12. Delilleri yok etme 42

6.7.13. Kanıt gizleme 42

6.7.14. Kanıt kaynaklarını değiştirme 42

6.7.15. Taklit kanıtları 43

6.8. AndroidWatch İleri Araştırma 43

6.9. Ek veri setleri 44

6.10. Koruma önleyici mekanizmalar 44

7. SONUÇ 46

GİRİŞ

Mobil cihazların kullanımı, özellikle akıllı telefonların kullanımındaki artış ile dijital suçlar da arttı. Akıllı telefonların ortaya çıkışı, insanların yaşama, çalışma ve oyun yapma biçimini tamamen değiştirmiştir. Bununla birlikte, suç işlemede akıllı telefon kullanım oranının artması ile adli araştırmacıların kanıt elde etmek için zanlıların akıllı telefonlarını mahkemelerde kullanımları da artmıştır. Akıllı telefonlardan elde edilen kanıtlar, mahkeme salonunda diğer kanıt şekillerinden farklı olarak, kabul edilebilmeleri için güvenilir olmalıdır.

Son birkaç yılda Android akıllı telefonları hedef alan önemli miktarda bellek edinimi araştırması yapıldı. Edinme amacı, silinen veriler de dahil olmak üzere yararlı bilgiler toplamak ve daha fazla analiz etmek ve mahkemeye sunmaktır. Adli mobil cihazlar için iki temel edinim yöntemi vardır: fiziksel ve mantıksal. Fiziksel edinme, silinen veriler de dahil olmak üzere tüm fiziksel depolama alanının bit kopyasıdır. Mantıksal edinim, bir dosya sisteminin bir parçası gibi mantıksal depolamayı elde eder. Yani elde edilen veriler edinim yapılan sistemin dosya sistemi tablosunun sağladıklarıdır. Akıllı telefonlarda saklanan veriler kırılgan olabilir, çünkü veriler üzerine yazılabilir veya silinebilir. Bu nedenle, silinen verileri elde etmek ve ayıklamak için mantıksal edinim yerine fiziksel edinim kullanma ihtiyacı vardır [1].

Fiziksel edinim araçları, sabitleştirilmiş ve yazılım tabanlı araçlara sınıflandırılmıştır. Donanım tabanlı yöntem, işletim sistemini fiziksel bir aygıtla bypass etmektir. Böylece hedef sistemin dosya yerleşim tablosunun sağlamadığı veriler gibi dez avantajlar ortadan kalkar. Özel bir iletişim portu, dahili belleği kopyalamak için özel bir donanımla açılır [2]. Android akıllı telefonlarda, JTAG test pinleri bir cihazın dahili belleğini almak için kullanılabilir [3]. Bununla birlikte, tüm Android akıllı telefonlarda JTAG test pinleri bulunmamaktadır. Yazılım tabanlı yöntem, dahili belleği elde etmek için hedef işletim sistemi üzerinde çalışan bir yazılım kullanmayı gerektirir [2]. Android akıllı telefonlarda bir seçenek de /dev/mem aygıtlarından veri edinmektir [3]. Maalesef bu yöntem yalnızca en fazla 896 MB RAM’li akıllı telefonlar için geçerlidir [4]. Kollar [5], fmem adında fiziksel edinim için /dev/mem aygıtını kullanan yüklenebilir bir çekirdek modülü geliştirdi. Ancak, bu modül tüm Android akıllı telefonlar için geçerli değildir [4].

Android akıllı telefonlardan fiziksel olarak veri edinmek için, genellikle akıllı telefonun, özel önyükleyici, özel kurtarma modu veya kök erişimi olan normal modda [6] önyüklemesi yapılmalıdır. Ardından, donanım cihazına veya sunucusuna (ör. Dizüstü veya masaüstü) imaj verisi göndermek için akıllı telefonda ilgili kodu çalıştırılır [6].

Akıllı telefon işlemci hızları, kullanılan kablo türleri ve aktarılan veri miktarı nedeniyle fiziksel olarak edinme süreci zaman alıcı olabilir. Bazen fiziki edinimin tamamlanması saatler alır. UFED ve Oxygen Forensic gibi ticari araçların çoğu USB üzerinden veri gönderir. Bununla birlikte, kopyalanan verilerin iletim hızı, USB’nin maksimum iletim hızını kullanmaz. Örnek vermek gerekirse, USB 2.0, maksimum 480 Mbps iletim hızına sahiptir, ancak en fazla 320 Mbps alır [7]. 2016’da piyasadaki en büyük Android akıllı telefonlar 128 GB’tır. Akıllı telefonlar büyümeye devam ederken, fiziksel olarak onları edinim süreleri de artacaktır [6].

Bu makalede, Android akıllı telefonlar için birçok farklı fiziksel edinim aracını analiz ettik ve maliyetleri, bütünlüğü, veri kurtarma, kullanışlılık, adli veri aşamalarını dışa aktarma yolları ve genel Android akıllı telefonu destekleme yöntemlerini karşılaştırdık.

ANDROID’İN MİMARİSİ

Android’in iç tasarımını ve mimarisini anlamak, Android’in esnekliğinden dolayı adli bir soruşturmada en önemli konulardan biridir. Android platformu, yeni sürümlerle zaman içinde değişiyor. Sürümler arasındaki farklılıklara göre, mimari de farklılaşmaktadır. Bununla birlikte, Android mimarisinin ana çekirdek bileşenleri aynıdır. Android mimarisi, Şekil-1’de gösterildiği gibi dört ana katmandan oluşur:

Linux Çekirdeği

Android çekirdeğini anlamak en önemli unsurdur, çünkü Android mimarisinin temelini oluşturmaktadır [8]. Bellek, ağ ve süreç yönetimi ve güvenlik gibi temel hizmetleri destekler. Ayrıca neredeyse tüm donanım için çeşitli sürücüler de barındırır [8, 9].

Kütüphane ve Android Runtime

Android, C/C++ [8] ile yazılmış kütüphaneler seti içerir. Standart CSystem Kütüphanesi, Medya Kütüphaneleri, 3D Kütüphaneler gibi kütüphaneler, sistem bileşenleri tarafından Uygulama Çerçevesi katmanı [9] vasıtasıyla kullanılır. Android çalışma zamanı (runtime) bölümü, Android için özel olarak tasarlanmış ve optimize edilmiş bir tür Java Sanal Makinesi olan Dalvik Sanal Makinesi (DVM) adı verilen önemli bir bileşen sunmaktadır [8]. Ayrıca, geliştiricilerin standart Java programlama dili [8] kullanarak Android uygulamaları yazabilmesini sağlayan çekirdek kütüphaneleri seti de sağlar. Çekirdek kütüphanelerin ve DVM’nin bir kümesi, çalışan her uygulamanın DVM’nin kendi örneğini bulundurduğu ve kendi işlemi içinde yürüdüğü bir Android çalışma zamanı oluşturur [9].

Uygulama Çerçevesi

Bu katman, Java uygulamalarına istismar edilebilecek birçok üst düzey hizmet sunmaktadır [8, 9]. Uygulama geliştiricileri, Çerçeve tarafından uygulanan güvenlik kısıtlamalarına her zaman saygı duyan geniş bir Uygulama Programlama Arabirimi (API) seti aracılığıyla hizmet sunabilir ve bunları sağlayabilirler [9].

Uygulama

En üst katman, Java Programlama Dili [10] ile yazılmış bir program demetini (ör. Iletişim yöneticisi, takvim, SMS programı, web tarayıcısı, bir e-posta istemcisi) içerir.


Şekil 1 – Android Mimarisi

 

VERİ EDİNİM PROSEDÜRLERİ

Adli incelemecilerin benimseyebileceği, Android akıllı telefonlardan veri toplama sürecinin farklı uygulama senaryoları vardır. Uygun prosedürü kullanarak, adli bilişim uzmanları akıllı telefondan maksimum bilgiyi alabilir, böylece elde edilen verilerin mümkün olduğunca daha güvenli ve en az müdahaleci bir şekilde analiz edip belgelendirilebilir. Adli inceleyici, hedef akıllı telefonda kayıtlı verileri korumak için gerekli prosedürleri izlemelidir [11].

Erişim Kontrolü Prosedürü Olmadan Akıllı Telefonun Veri Edinimi

En basit olan bir durum, çıkarılabilir hafıza kartı ile kilitli olmayan bir akıllı telefonun edinimidir. Daha önce de belirtildiği gibi, inceleyici ilk önce hafıza kartlarından veri çıkardıktan sonra kopyaları alınan adli inceleme kartlarını akıllı telefona tekrar takmalıdır. Ardından inceleyici Android akıllı telefonda süper kullanıcı ayrıcalıklarının durumunu kontrol etmelidir (super su, root). Etkinleştirilirse, inceleyici USB hata ayıklama aracı ADB’yi kullanarak dahili belleğinin bir kopyasını oluşturarak kısıtlama olmaksızın akıllı telefondaki depolanmış verilere erişebilir. Ancak, akıllı telefonda süper kullanıcı ayrıcalıkları devre dışı bırakılırsa, bu durumda bazı Android akıllı telefonlar bootloader modu veya kurtarma modu kullanılarak edinilebilir. İnceleyici, bu teknikleri bu tür akıllı telefonlara uygulama imkânını değerlendirmelidir. İncelemeciler tarafından kullanılabilen mevcut mobil cihaz adli araçları, Cellebrit UFED ve Oxygen Forensic gibi verileri edinmek için kullanıcı ayrıcalıklarını kullanmazlar. Bunun yerine Cellebrit UFED, bootloader modunu kullanır. Dahili belleğin tam bir kopyasını kurtarmak için etkili bir mobil aygıt adli aracı seçmek, adli bilişim görevlisine kalmıştır.

Erişim Kontrol Prosedürüyle Akıllı Telefonun Veri Edinimi

Android çalışma zamanı bölümü, Android için özel olarak tasarlanmış ve optimize edilmiş bir Java Sanal Makinesi türü olan Dalvik Sanal Makinesi (DVM) adı verilen önemli bir bileşen sunmaktadır [8]. Ayrıca, geliştiricilerin standart Java programlama dili [8] kullanarak Android uygulamaları yazabilmesini sağlayan çekirdek kütüphaneleri seti de sağlıyor. Çekirdek kütüphanelerin ve DVM’nin bir kümesi, çalışan her uygulamanın DVM’nin kendi örneğini bulundurduğu ve kendi işlemi içinde yürüdüğü bir Android çalışma zamanı oluşturur [9]. Android akıllı telefon, bir şifre veya desen gibi erişim kontrolü kullanarak kilitlenebilir. NIST’e göre [12], kilitli akıllı telefonlara erişmenin üç yolu vardır:

  1. Araştırmacının olası geçerli parolaları istediği araştırma yöntemi.
  2. Araştırmacının akıllı telefona erişmek için yıkıcı olmayan bir prosedürü gerçekleştirmesi gereken donanım yoluyla erişim. Bu yöntem üreticilerin ve yetkili servis merkezlerinin desteğini gerektirmektedir.
  3. Yazılımsal erişim yöntemleri, mobil cihaz modeline ve Android sürümüne bağlı olsa da genellikle en kolay yoldur.

İnceleyici kanıttan ödün vermekten kaçınmak için en az müdahaleci yöntemi kullanmalıdır. Akıllı telefon ele geçirildiğinde şifre veya model elde edilmişse, test edilmelidir. İnceleme başarılı olmazsa, akıllı telefonun bir ADB aracı kullanarak USB hata ayıklama bağlantılarını kabul edecek şekilde yapılandırılıp yapılandırılmadığını kontrol etmelidir. Başarılı olursa, edinme sürecini devam ettirmek için süper kullanıcı erişim denetimi ayrıcalıkları kazanmaya çalışmaktadır. Akıllı telefona süper kullanıcı erişim kontrolü için herhangi bir ayrıcalık olmadığında bile, denetçi, erişim kontrol sistemini atlamak için ADB aracı aracılığıyla uygulamalar yükleyebilir. Erişim kontrol sistemini atlamak mümkün olmadığı veya USB hata ayıklama erişiminin devre dışı bırakıldığı durumlarda, akıllı telefona takılabilen çıkarılabilir hafıza kartından veriler alınabilir.

FİZİKSEL EDİNİM

Daha önce bahsedildiği üzere edinimi gerçekleştirilecek cihazın kendi işletim sistemine ait dosya sistemi içerik sağlayıcısı aracılığı ile elde edilen edinimler mantıksal edinim olarak adlandırılır. Bu yöntemle edinilecek veriler disk ortamında bulunan verilerin birebir karşıklıkları değil işletim sisteminin sunduklarıdır. Böyle bir edinimde doğal olarak kullanıcı tarafından silinmiş dosyalar edinilemez.

Fiziksel edinim ise verilerin kayıt edildiği disk ortamına (RAM, eEPROM, ROM vb) işletim sistemi fonksiyonlarını devreden çıkartarak doğrudan erişmeyi ifade eder. Bu yöntemde dosya sistemi bilgileri kullanılsa da elde edilebilecek veri miktarı çok daha fazladır ve sistem hakkında birçok bilgi sunar. Fiziksel edinimde edinimi gerçekleştiren araç doğrudan disk verisini kendisi okur.

Linux Bellek Çıkarıcı (LiME)

LiME aracı 2012’de J. Sylve ve diğerleri tarafından piyasaya sürülmüştür. [4]. Android’den, uçucu belleği elde (RAM) etmek için kullanılan açık kaynaklı bir adli araçtır. LiME, bellek sayfalarını adli olarak sağlam bir şekilde elde edebilen dmd adlı yeni bir yüklenebilir çekirdek modülünü temel almaktadır. Akıllı telefondaki SD’ye veya ağ üzerinden hafızayı almayı destekler. Dmd modülü şööyle gibi çalışır: sistem RAM’inin fiziksel bellek adres aralıklarını öğrenmek, her bellek sayfasında fiziksel adresleri sanal adreslere çevirmek, tüm bellek sayfalarını okumak ve TCP soketinin SD’sine yazmak için çekirdek yapısını ayrıştırır. LiME aracı önemli özellikler sunar [13]: edinme yani hedef cihaza aktarmak için sadece dmd modülü gereklidir, bellek dökümü için çok az sayıda çekirdek işlevi gereklidir, dmd modülünün yüklenmesi asgari ayak izi oluşturur ve kullanıcı alanı ile minimum etkileşimi kurar. Sonuçlar sayfaların yaklaşık %99.46’sının TCP bağlantısı üzerinden doğru olarak yakalandığını ve sayfaların % 99.15’i SD karta doğru yazıldığını gösteriyor. Önerilen modül tüm Android cihazlarını destekliyor ancak yine de genel bir modül olarak değerlendirilmiyor. Ayrıca, Wächter [14], modelin belirlenmesi, Android sürümünün belirlenmesi, ekranı kilitleme, süper kullanıcı yetki istismarı, kaynakların kullanılabilirliği, çekirdek konfigürasyonu ve kanıt erozyonu nedeniyle LiME aracının kollukta adli olmasının pek çok nedenden dolayı mümkün olmadığı sonucuna varmıştır.

Android Fiziksel Döküm (APD)

APD, S. Yang ve ark. Tarafından geliştirilmiştir. [15]. Bu araç, Android akıllı telefonların bellenim güncelleme protokollerini analiz etmeye dayanmaktadır. Bu nedenle, Android cihazların önyükleme yükleyicisinin Android güncelleme protokolleri aracılığıyla dahili belleğe erişir. Hem bölüm hem de tüm belleğin dökümünü almayı destekliyor. APD’yi kullanarak edinilen verilerin biçimi, akıllı telefon adli analiz araçları aracılığıyla analiz edilebilen ham verilerdir. Yazarlar, önerilen yöntemin edinilen verilerin bütünlüğünü garanti ettiğini ispatladı. APD’nin veriyi yüksek hızda aldığını gösterdiler; UFED 4PC ortalama 120 dakika sürerken, 32 GB belleğin dökümünü almak yaklaşık 30 dakika aldı. APD, ekran kilidi nedeniyle kısıtlamaya rağmen yürütülebilir; Normal önyükleme modundan ziyade telefonu kapatarak ve bellenim güncelleme modunda yeniden başlatarak. APD aracı, en yeni Android modellerinin 80’inden fazlasını destekler. Bununla birlikte, yöntemin en büyük dezavantajı, yeni Android akıllı telefonlar her başlatıldığında üretici yazılımı güncelleme protokolünü analiz etmeyi gerektirmesidir.

Hawkeye

Hawkeye, Guido ve ark. Tarafından 2016 yılında fiziksel edinim amaçları için önerildi. [6]. Hawkeye’nin amacı, fiziksel edinim sırasında aktarılması gereken veri miktarını ve gereksiz verileri azaltmaya odaklanıyor. Böylece, toplam edinim süresini azaltır. Hawkeye, Android akıllı telefonları fiziksel döküm elde etmek için özel açılış veya kurtarma kipinde çalıştırıyor. Araç, tescilli marka aracını geçici olarak hedef akıllı telefonun RAM belleğine yükler. Araç temel hash ve bölümlerin bir listesini de sağlar. Araç, daha sonra USB aracılığıyla arka uç PMF mimarisine gerekli veri bloklarını belirleyip gönderecektir. Yazarlar birkaç nedenden ötürü PMF’yi seçtiler: resimleri otomatik olarak geri yazarak ham formata çevirme. Araç, bir bölümü veya akıllı telefonun dahili belleğini tam olarak alabilir. Hawkeye 16GB boyutunda dahili belleği 7 dk içinde başarıyla elde edebildi.

Adroid Memory Extractor (AMExtractor)

AMExtractor [3], Android cihazlardan uçucu hafıza (RAM) elde etmek için kullanılan bir araçtır. AMExtractor çekirdek alanında kod yürütmek için /dev/kmem aygıtını kullanır. Bu, yüklenebilir çekirdek modülünün kısıtlamasını önleyecek ve herhangi bir değişiklik yapmadan en son stok ROM’larda çalışma olanağı sağlayacaktır. AMExtractor hedef akıllı telefonun kaynak koduna ihtiyaç duymaz ve çoğu Android işletim sistemi sürümüyle uyumludur. Diğer araçların aksine AMExtractor, hedef akıllı telefonlar üzerinde minimum etkiye sahip olduğu için çekirdek modunda çalışır. Ayrıca, cihazı çekirdek modunda çalıştırmak, veri kopyalamayı en aza indirir ve gizli verileri kullanıcı modunda iken inceler. H. Yang ve ark. [3], AMExtractor kullanılarak elde edilen verilerin, LiME’yi kullanarak elde edilen verilerle neredeyse aynı olduğunu gösterdi.

Androphsy

ANDROPHSY, 2015 yılında I. Akarawita ve ark. tarafından geliştirilen açık kaynaklı bir araçtır. [16]. Dijital adli süreçlerin tüm safhalarını destekleyen ilk açık kaynak araçtır. ANDROPHSY mimarisi dört ana modülden oluşur: vaka işleme, edinme, analiz desteği ve raporlama modülü. Vaka işleme modülünde, özel durum için vaka oluşturma ve yedek arşiv işlevleri sağlanmaktadır. Edinim modülü fiziksel ve mantıksal edinim sağlar. Analiz modülünde, çıkarılan verilerin tam bir inceleme ve analizi. Ve son olarak raporlama modülü, PDF formatında bir rapor oluşturmayı sağlar. Bu aracı kullanmak için tek bir .jar dosyası ve yapılandırma komut dosyası ayrı ayrı kurulmalıdır. Bu araç ile fiziksel edinime odaklanan yazarlar, dd ve Android Debug Bridge (adb) komutları gibi düşük seviyeli Linux ve Android dahili adli işlevlerini ağırlıklı olarak kullanmışlardır. Adb komutları, Android akıllı telefonu ve USB üzerinden bağlı iş istasyonu arasındaki bağlantı ve iletişim süreçlerini yönetmek ve gerçekleştirmek için kullanılır. Dd komutu, ham görüntüleri fiziksel sürücülerden kurtarmak için kullanılan yerleşik bir komut satırı yardımcı programıdır. ANDROPHSY, veri değişimini en aza indirgemek için Linux çekirdeğini kök erişimi kazanmak için kullanır. Kimlik doğrulama ve gizlilik için kullanıcı erişim kontrolü ve vaka yönetimi sağlar. SD kartı edinim hedefi olarak kullanmaz. Bunun yerine, veriler TCP bağlantısı üzerinden aktarılır.

Android Digital Autopsy (ADA)

ADA, 2016 yılında R. Fasra ve diğerleri tarafından geliştirilen, açık kaynak kodlu bir dijital adli araçtır. [17]. Araç, fiziksel, mantıksal ve dosya sistemi edinimi gerçekleştirir. Yazarlar multimedya kartı (MMC) bölüm düzenine sahip bir cihaz kullandılar. Fiziksel edinme sürecini otomatikleştirmek için geliştirilmiş bir komut dosyası yazıldı. Komut dosyası veri bloklarını tanımlar, daha sonra kök erişimini kazandıktan sonra blokların RAW görüntülerini elde etmek için dd komutunu kullanır. Elde edilen veriler, daha sonra harici bir hafıza kartına, yani SD karta depolanmaktadır. Önerilen araçla birlikte, yazarlar ADA Analiz Aracı’nı geliştirdiler, ancak ne yazık ki bu mantıksal edinim içindir.

Cellebrite UFED

Cellebrite UFED [18], Android gibi çeşitli cihazlar ve platformlarda fiziksel, mantıksal, dosya sistemi ve şifre alımını gerçekleştiren ticari bir adli araçtır. Ayrıca, çözme, analiz ve raporlama da gerçekleştirir. UFED, tüm Android işletim sistemi sürümlerinden veri edinebilir.

Oxygen Forensic Suite

Oksijen Forensic Suite [19], çok çeşitli akıllı telefonları destekleyen önde gelen adli tıp araçlarından biridir. Bu, tüm dünyada 50’den fazla ülkede Yasa Uygulayıcılar, ordu, polis departmanlrı ve diğer hükümet yetkilileri tarafından kullanılır. Araştırmacılar, Android akıllı telefonlarının fiziksel olarak edinilmesini, gelişmiş incelemesini ve akıllı telefondan çıkarılan ham görüntülerin ve cihaz görüntülerinin analizini yapmalarını sağlar. Desteklenen akıllı telefonların tamamen otomatik bir şekilde edinilmesi ve analiz edilmesine olanak tanır. Yaklaşık 45 dakika içinde 16 GB akıllı telefon edinebilir. Akıllı telefon faaliyetlerini özetleyen denetmen için iyi tanımlanmış bir rapor sunar.

XRY Physical

MSAB [20], özütleme, analiz etme ve raporlama için ürünler sağlar. XRY Fiziksel araç, hedef cihazı değiştirmeden dahili belleğin ve çıkarılabilir medyanın çıkarılmasını destekler. Ayrıca, kullanıcıların bellek imajının karma değerlerini ve ayrıca tek tek çözülen dosyaları oluşturmalarına olanak tanır. XRY Fiziksel, işletim sistemini atlayarak hedef akıllı telefondan ham verileri kurtarır ve silinen verileri hedef akıllı telefondan daha derinlemesine gidip kurtarma şansı sunar. Fiziksel özütleme iki ayrı aşamaya ayrılır: ilk veri tabanı, ham veriler akıllı telefondan alınır ve kod çözme aşaması, burada araç veriyi otomatik olarak anlamlı bilgiler haline getirir. Çıkarılan veriler XAMN Spotlight tarafından görüntülenebilir.

Device Seizure

DS [21] fiziksel, mantıksal, dosya sistemi ve şifre elde etmeyi desteklemektedir. Edinilen tüm veriler hakkında eksiksiz bir analiz ve rapor sunar. Geniş platform ve cihaz yelpazesini destekler. Android için 4.4.2’ye kadar fiziksel imaj alımlarını destekler (sürüm 3 hariç). DS minimum sistem gereksiniminin düşük olması nedeniyle herhangi bir cihazda çalışabilir. Önemli kanıtlar için akıllı telefonun bellek dökümünü arayabilir [22].

MOBILedit! Forensic

MOBİLedit! Forensic [23], birkaç tıklamayla akıllı telefonda saklanan silinmiş veriler de dahil olmak üzere tüm verileri almak, aramak ve görüntülemeye izin verir. Bu araç, Android ve iOS tarafından desteklenen tüm akıllı telefonları destekleyebilir. Sıklıkla güncellenir ve daha fazla akıllı telefonu desteklemek için yeni özellikler eklenir. Araç, bu kanıtların elde ediliş şekli ve sunulması biçimini değiştirmiştir. Mahkeme salonunda sunulmaya hazır ayrıntılı adli raporlar üretir. Rapor herhangi bir dilde üretilebilir.

ViaExtract

ViaExtract [24] ViaForensics tarafından oluşturulan fiziksel ve mantıksal bir çıkarma aracıdır. Android akıllı telefonlar için rehberli veri toplama, güçlü analiz ve esnek raporlama özellikleri sunar. ViaExtract, yalnızca bir düğmeyi tıklatarak çoğu akıllı telefonun kök erişimini elde etmek için cihaz root’lama sihirbazını kullanır. Bu araç, incelemecilerin dahili ve harici depolamadan veri çıkarmak için şifreyi kırmalarına izin verir. Hızlı ve kullanımı kolay bir global arama özelliği sunar. Bu özellik, denetleyicinin, halihazırda açık olan tüm incelemelerde çıkarılan tüm içerik türlerini bir kerede aramasına izin verir. ViaExtract popüler Android akıllı telefonların çoğunda çalışır.

Examiner Plus (MPE +)

MPE + [25] gelişmiş akıllı telefon edinme ve analiz özelliklerine sahip bir mobil cihaz inceleme aracıdır. Geniş platform ve cihaz yelpazesini desteklemektedir. İncelemecilerin veriyi hızlı bir şekilde toplamasına, kolayca tespit etmesine ve etkili bir şekilde elde etmesine izin verir. DS gibi, MPE + da önemli bir kanıt için bir akıllı telefonun bellek dökümünü arayabilir [22]. Piyasada bulunan diğer araçlardan %30 daha hızlı iOS ve Android cihazlarından veri edinebilir. MPE +, sağlam ve üstün bir analiz araçları kümsesi içerir. Fiziksel edinimi gerçekleştirmek için, hedef telefona takılması gereken boş bir adli SD kartı, MPE + ‘nın ajanını geçici olarak saklar. Root yetkisi kazanmak için 3. Parti araçlara ihtiyaç duyar.

FİRMWARE PROTOKOLÜNE DAYALI EDİNİM

2014 yılının üçüncü çeyreğinde Android işletim sistemi, akıllı işletim sistemi pazar payının yaklaşık %84’ünü oluşturdu (Smartphone OS Pazar Payı 2014 yılının 3. çeyreği). Android akıllı telefon pazarının boyutu artık PC pazarınınkini aşıyor, sürekli olarak kişisel ve iş kullanımı için çeşitli teknolojiler ortaya çıkıyor (Bring your own device, 2014). Bu eğilim, silinen dosyaların geri getirilmesine ve analiz edilmesine yardımcı olmak için flash belleğin fiziksel olarak edinilmesine yönelik araştırmaların özellikle gerekli olduğu Android forensics’in önemini de arttırmaktadır.

Mevcut Android fiziksel edinim yöntemleri şu sorunlara sahiptir: İlk olarak, çoğu adli araç, Android çekirdeğinin güvenlik açıklarını suistimal ederek veya özel image (işletim sistemi) (Rooting (Android OS), 2014; Vidas ve diğerleri, 2011) kullanarak akıllı telefonlardan veri toplamaktadır. Bununla birlikte, bu güvenlik açıkları sürekli olarak kapatılmakta ve çoğunlukla fiziksel bellek dökümü zafiyetlerinin giderildiği daha güvenlikli sürümler haline gelmekte. Ayrıca güvenlik teknolojilerinin son uygulamaları (Secure boot, 2014; Samsung KNOX, 2014) akıllı telefonlardan veri edinmeyi daha da zorlaştırıyor. İkinci olarak, özel kurtarma görüntüsünün (recovery image) değiştirilmesine dayanan döküm yöntemi (Son ve ark., 2013), kullanıcı verilerinin bütünlüğünü dikkate alan tek yaklaşımdır. Bununla birlikte, bu yöntem, özel kurtarma görüntüsünü cihaza yazmayı gerektirdiğinden, tüm flash bellek dökümünün bütünlüğünü garanti etmemektedir. Üçüncüsü, mevcut adli araçlar, akıllı telefonlardan veri edinmek için Android Hata Ayıklama Köprüsü (ADB) protokolünü kullanıyor. Bu nedenle, ekran deseni veya kullanıcı şifresi ile kilitlenmiş akıllı telefonlardan veri edinmek zordur (USB hata ayıklama devre dışı). Bu sorunları çözmek için, Android akıllı telefonların firmware güncelleme protokollerini analiz etmeye dayanan yeni bir fiziksel edinim yöntemi önermekteyiz.

Yazılım (S/W) tabanlı ve donanım (H/W) tabanlı edinme yöntemleri esas olarak Android akıllı telefonlardan veri edinmek için kullanılmaktadır. S/W tabanlı edinme yöntemleri, mantıksal edinim ve fiziksel edinim olarak ikiye ayrılmıştır. Mantıksal edinim yöntemleri, bir akıllı telefonda depolanan kullanıcı verilerini ADB Yedekleme (Android Backup Extractor, 2014) veya İçerik Sağlayıcı (Hoog, 2011) aracılığıyla edinir. Bununla birlikte, bu yöntem yalnızca arama geçmişi ve resimler gibi kayıtlı dosyaları alır ve silinen dosyaları elde etmek için kullanılamaz. Fiziksel edinme yöntemleri, genel olarak USB kablosunu taktıktan sonra verileri doğrudan akıllı telefonun flash belleğinden çıkarır. Flaş belleğinin fiziksel olarak dökümünü gerçekleştirmek için öncelikle bir yönetici ayrıcalığı edinmek için root’lama işlemi gerçekleştirilmelidir. Root’lamaya dayalı edinim çalışmaları, bilimsel çalışmalarda ortaya konmuştur (Hoog, 2009; Lessard and Kessler, 2010). Bu çalışmalar, HTC akıllı telefonlarını geliştiren ve ADB kabuğu kullanan edinim yöntemleri de dahil olmak üzere Android adli bilişim konularını tartışır. Bununla birlikte bu yöntemler yalnızca USB hata ayıklama modu etkinleştirildiğinde veri edinmek için kullanılabilir. Ticari adli araçlar (Oksijen Forensic, 2014; AccessData MPE+, 2014; MSAB XRY, 2015) de bu yöntemi kullanmaktadır. Ancak, akıllı telefon açıldıktan sonra root’lama işlemi gerçekleştirildiğinden; Veri edinildiğinde bütünlük zarar görür. Buna ek olarak, Android işletim sistemi yeni bir sürümle güncellendiğinde, root’lamaya izin veren mevcut güvenlik açıklarına düzeltme eklenir ki bu nedenle, Android OS güncellendiğinde yeni bir root’lama tekniği bulunmalıdır. Cellebrite UFED 4PC (2015), kötüye kullanma yoluyla (exploit) temelde bir ADB fiziksel bellek dökümünü desteklerken bazı Samsung modelleri, özel bir önyükleme yükleyicisi aracılığıyla fiziksel bellek dökümünü desteklemektedir. Bununla birlikte, bu yöntemde, her modelin fiziksel bellek dökümü için ortak bir yükleyici yüklemek yerine farklı bir önyükleyici yüklenmesinin gerektiği bir sorunu vardır.

Bununla birlikte, USB hata ayıklama genellikle devre dışı olduğu için, desen kilidi veya kullanıcı şifresi ayarlandıysa bu yöntem geçerli değildir. Dahası, Secure Boot ve Samsung KNOX teknolojileri son zamanlarda Android’e uygulandığında, gelecekte bu edinim yöntemini kullanırken zorlaşacak olan özel imajların yazılması konusunda kısıtlamalar gelecektir.

Flash cihazları (RIFF Box, 2014, ORT aracı, 2014; Z3X box, 2014) mobil cihazlardan veri çıkarmak için de kullanılır. Bununla birlikte, bu araçların ana işlevi S/W hasarına uğramış kırılmış telefonları düzeltmektir. Dolayısıyla bu araçlar genel adli araçlar olarak düşünülmez.

H/W tabanlı edinme yöntemleri, JTAG tabanlı edinimi (Kim ve ark., 2008; Breeuwsma ve ark., 2007) ve Chip-off tabanlı edinimi (Jovanovic, 2012) içerir. JTAG tabanlı erişim yöntemi, akıllı telefonun PCB kartı üzerindeki JTAG hata ayıklama ara yüzünü kullanarak verileri flaş bellekten okur ve kopyasını çıkartır. Chip-off tabanlı yöntem, flash bellek yongalarını akıllı kartların PCB kartından fiziksel olarak ayırmayı ve flash belleğin ham verisini kopyalamayı temel alır. JTAG tabanlı edinme yöntemi sorunludur çünkü tüm akıllı telefonlar JTAG soketine sahip değildir ve veri edinmek uzun sürer. Chip-off tabanlı bilgi toplama yöntemi, flash belleği ayırdığı için sınırlı durumlarda kullanılır ve uygulanması ayrı bir uzmanlık gerektirir.

Flash bellek, esasen akıllı telefonlara veri depolamak için kullanılır. Flaş bellek fiziksel olarak küçük olduğundan ve çok miktarda veri depolayabildiğinden, akıllı telefonlar ve gömülü cihazlarda yaygın olarak kullanılmaktadır. Son zamanlarda, NAND flaşının ve bir denetleyiciyi ile aynı pakete entegre edildiği bir gömülü Multi-Media Card (eMMC), EXT4 dosya sistemini kullanarak depolanan verileri yönetmektedir. Ayrıca, BOOT, RECOVERY, SYSTEM ve USERDATA gibi bölümleri kurar ve çalıştırır. Tüm flash belleğin fiziksel dökümünden önce bir yönetici ayrıcalığı edinilmelidir. Yönetici ayrıcalığını elde etmek için BOOT bölümünde özel bir image üzerine yazılır ve bir uygulama (SuperUser.apk) veya bir binary dosya (/system/su) SİSTEM bölümüne kaydedilir. Buna ek olarak, yönetici ayrıcalığı, kurtarma modunda elde edilen root yetkisi ile veya Android işletim sistemindeki güvenlik açıklarından yararlanma yoluyla elde edilir. Genel olarak, Google’ın FASTBOOT (Android software development-fastboot, 2014) adlı özel bir imajı flash’a yazma için kullanılır. Her bir üretici kendi firmware güncelleme programlarını (Samsung Kies, 2014; Samsung Odin, 2014; LG Yazılım ve araçları İndirme, 2014; Pantech SelfUpgrade, 2014; HTC Sync Yöneticisi, 2014; Sony PC Companion, 2014; Xiaomi Xiaomi Smartphone için MiFlash’i İndirin) , 2015) kullanır. Google tarafından sağlanan FASTBOOT aracılığıyla basitçe firmware yazılmasını önlemek için bir protokol yayınlanmamış olduğundan sadece orijinal üretici yazılımı flash’a yazabilir. Ürün yazılımı güncelleme işlemi, yalnızca akıllı telefonlar yazılım güncelleme veya indirme modu adı verilen özel bir mod’a girdiğinde çalışır. Bu modda yalnızca ön yükleyici ve USB işlevi çalışabilir ve yeni bir sistem firmware’i (ya da işletim sistemi) yazılabilir. Güncelleme işlemleri ve komutları, IDA Pro (HexRays, 2015) gibi bir araç kullanarak önyükleyici (boot loader) ve firmware güncelleme programının tersine mühendisliği ile analiz edilebilir.

Ürün Yazılımı Güncelleme Protokollerine Dayalı Android Fiziksel Edinimi

Adli bakış açısından, kullanıcı verilerini içeren flash bellek, veri edinimi sırasında ana hedeftir. Bu işlem, mantıksal bir edinim yöntemi yerine tüm flash belleği elde etmek için fiziksel bir edinim yöntemini gerektirir. Üretici yazılımı, güncelleme işlemi sırasında, Android OS ya da S/W sorunlarını gidermek için flash belleğine yazılır. Flaş belleğine doğrudan S / W aracılığıyla erişmenin tek yolu bir firmware güncelleme protokolüdür ve bundan dolayı firmware güncelleme işleminde kullanılan komutları analiz ederek yeni bir fiziksel bellek edinme yöntemi türetebiliriz.

Şimdiye kadar var olan adli edinim/imaj alma araçlarının sorunlarını çözmek için yazılım güncelleme protokollerini analiz eden bir araştırma yoktu. Bu çalışmada, LG, Pantech ve Samsung akıllı telefonları tarafından kullanılan üretici yazılımı güncelleme protokollerini analiz ettik. LG ve Pantech modellerinde, flash belleğe doğrudan erişim ve yazma komutlarının yanı sıra flash belleğin kopyasını çıkartmak için kullanılabilecek okuma komutlarının da yer aldığını gördük. Samsung modellerinde, flash belleğin dökümünü almak için daha önceden okuma komutlarının bulunduğunu doğruladık, ancak yeni versiyonlarda kaldırıldığını gördük. Bu analitik sonuçlara dayanarak, Android akıllı telefonlar için yeni bir fiziksel edinim yöntemi öneriyoruz.

Firmware Güncelleme Protokolü

Bir Android akıllı telefon açıldığında veya yeniden başlatıldığında, ROM’un 0. Adresinden itibaren yüklü bir proses çalıştırılır ve CPU yapılandırması da dahil olmak üzere başlatma işlemleri gerçekleştirilir. Sonra, önyükleyici belleğe yüklenir ve H/W (donanımlar) başlatılır ve NAND ve USB gibi bileşenler kullanım için yapılandırılır. Bootloader uygulaması, Initial BootLoader (IBL), Primary BootLoader (PBL), Secondary BootLoader (SBL) gibi bir çok aşamadan geçerek Android modeline bağlı olarak SBL önyükleme yükleyicisinde veya ABOOT önyükleme yükleyicisinde bir firmware güncelleme protokolü çalıştırılır.

Bir tersine mühendislik aracını kullanarak, önyükleme yükleyicisini analiz etmek ve firmware güncellemeleri için kullanılan komutları tanımlamak mümkündür. Yazılımı güncellemek veya flash belleğe erişerek veri edinmek için akıllı telefon normal önyükleme modundan ziyade yazılım güncelleme modunda olmalıdır. Bu modda yalnızca önyükleyici ve USB modülü etkinleştirildiğinden, edinilen verilerin bütünlüğü, fiziksel edinme işleminden sonra bile birçok kez garanti edilir. Dolayısıyla, incelemesi yapılan kanıt telefonu, güç kapalıyken bellenim güncelleme modunda önyüklenir ve daha sonra fiziki edinme yapılırsa, flaş belleğin bir görüntüsünü almak için bütünlük korunabilir. Şekil. 1, Samsung, LG ve Pantech akıllı telefonlar yazılım güncelleme modunda önyüklendiğindeki ekran görüntülerini göstermektedir. Üretici yazılımı güncelleme moduna girerken kullanılan yazılım güncelleme modunu ve yöntemlerini belirten terimler, üreticiler arasında farklılık gösterir.


Şekil 1 – Firmware güncelleme modları (Samsung, LG, Pantech)

Tablo 1, bir akıllı telefon önyükleme yapıldığında firmware güncelleme moduna girme yöntemlerini göstermektedir. USB Jig, akıllı telefonlar için firmware güncelleme moduna giren basit bir devredir. Samsung ve LG akıllı telefonlar, microUSB konektörünün 4 ve 5 numaralı pinleri arasında 300 K ve 910 KOhm’luk dirençlere (XDA geliştiricileri, 2012a, 2012b) göre yazılım güncelleme moduna girilebilir. Bu USB İzolasyon kabloları, Orijinal Donanım Üreticisi (OEM) kilidini açmak gibi mevcut sınırlamaların üstesinden gelmek için kullanılamaz.

LG Firmware Güncelleme Protokollerinin Analizi

LG akıllı telefonlar için, LG tarafından sağlanan önyükleyici ve güncelleme programını (LG Software & Tools Download, 2014) ayrıştırarak firmware güncelleme süreçlerini ve komutlarını analiz ettik ve flaşın kopyasını almak için kullanılan okuma komutunu tespit ettik.

LG Firmware Güncelleme Komutları

LG firmware güncelleme protokolü, bir komut paketi gönderme ve bir cevap paketi alma şeklinde çalışır. Paketler, HDLC bayrağı (0x7E) ve ardından paket veri ve Döngüsel Yedekleme Kontrolü (CRC) -16’dan başlayan ve HDLC bayrağı (0x7E) ile biten Üst Düzey Veri Bağlantısı Kontrolü (HDLC) çerçeve yapısını kullanır. Şekil. 2 LG telefonlarının firmware güncelleme komutunu yapısını göstermektedir.

Model Modun adı Tuş bileşimi
Samsung Galaxy ODIN Aynı anda, Ses Azaltma, Ev ve Güç tuşuna basıp basılı tutun (ardından Ses Seviyesini Artır tuşuna basın) veya 300 Kohm USB Jig bağlayın
LG Optimus DOWNLOAD Sesi Açma tuşunu basılı tutun telefonu mikroUSB kablosuyla bilgisayara takın veya 910 K ohm USB Jig bağlayın
Pantech Vega PDL Download Ses Seviyesini Arttır, Ses Azalt, Ev ve Güç tuşuna aynı anda basılı tutun
Google Nexus 4/5 DOWNLOAD Sesi Açma tuşunu basılı tutun telefonu mikroUSB kablosuyla bilgisayara takın veya 910 K ohm USB Jig bağlayın.

Tablo 1 – Firmware güncelleme (download) moduna girme yöntemleri


Şekil 2 – LG Firmware güncelleme komut yapısı

LG firmware güncelleme moduna girdikten sonra, cihaz bilgilerini, GUID Partition Table (GPT) bölüm bilgilerini ve hafıza bilgilerini edinme komutları kullanılabilir. Tablo 2 LG firmware güncelleme komutlarını göstermektedir.

LG firmware güncelleme işlemleri aşağıdaki gibidir.

  1. Cihaz bilgisini alın: 0x00.
  2. İndirme moduna geç: 0x3A.
  3. Sorgu özellikleri (Protokol ver., Vb.): 0x2F.
  4. Partition bilgisini alın: 0x30.
  5. Fabrika bilgilerini alın: 0xFA.
  6. Sektör yazın (Birincil GPT): 0x39.
  7. Bölümü yazmaya devam edin: 0x39.
  8. İndirme tamamlandı: 0x38.
  9. Sistemi yeniden başlatın: 0x0A.
      1. LG flash bellek döküm komutu

Önyükleme yükleyicisinde firmware güncelleme komutlarının tersine mühendisliği ile elde edilen sonuçlara dayanarak, Tablo 2’de gösterilenlere ek olarak flaş bellek için okuma komutlarını belirledik. Şekil 2 LG Optimus G modelinde (LG-E975) SBL3 önyükleme yükleyicisinin tersine mühendislikle elde edilen flash bellek için okuma komutunu (0x50) göstermektedir.

Firmware güncelleme moduna Tablo 1’de açıklanan işleme göre girildikten sonra, flash bellek ve GPT bölüm bilgisi boyutunu elde etmek için flash bellek bilgisi edinme (0x30) komutu gönderilir. Elde edilen bilgi, flash bellek boyutunu, bölüm sayısını, başlangıç ​​adresini, bitiş adresini ve her bir bölümün adını içerir. Flash bellek (0x50) için okuma komutu başlangıç ​​adresi ve döküm boyutu ile gönderilir ve daha sonra istenen boyut kadar flaş bellek verilerisi elde edilebilir.

Komut Açıklama
0x00 Cihaz bilgisini al (model, derleme tarihi)
0x3A Download moduna git
0x2F Protokol ve algoritma versiyonunu getir
0x30 MMC ve bölüm tablosu bilgisini getir
0xFA Fabrika bilgilerini getir (IMEI, MAC adresi)
0x12 RAM belleği oku
0x39 Flash belleği yaz
0x0A Sistemi resetle

Tablo 2 – LG firmware güncelleme komutları


Şekil 3 – . LG SBL3 ön yükleyicisinin tersine mühendislik yapılması



Şekil 4- LG okuma komutu formatı (0x50)

Şekil 4, flaş belleğin içini okuma komutunun (0x50) biçimini gösterir. Şekil 5, bir veri toplama örneğini göstermektedir. Tüm modellerin fiziksel olarak edinilmesi, Android işletim sisteminden ve çekirdek sürümünden bağımsız olarak okuma komutu kullanılarak gerçekleştirilebilir. Dahası, yazılım güncelleme modunda önyükleme yapıldığından, döküm görüntüsünün bütünlüğü daima korunur.

Android’in Fiziksel Edinimi

Makalede önerilen edinim yöntemini kullanarak, C++ ‘da Android Physical Dump (APD) adlı bir edinim aracı geliştirdik. Şekil 10 APD aracını göstermektedir. Bir USB kablosuyla bağlandıktan sonra fiziksel olarak edinme butonları tıklanır.

Desteklenen Modeller

APD aracı şu anda en yeni Android modellerinin 80’inden fazlasını destekliyor. Şu anda, APD, LG Optimus, Pantech Vega ve Google Nexus modellerinden fiziksel çöplükler yapabilir. Desteklenen modellerin temsili örnekleri şunlardır: LG G3, G2, G, Pantech R3, Iron2, Nexus 4/5 ve G Watch.


Şekil 10 – Android Physical Dump (APD)

Firmware Güncelleme Modunda Başlatma

İlk fiziksel döküm adımında, cihaz yazılım güncellemesi modunda önyüklenir. Akıllı telefonlar, AT komutu veya indirme modu komutu aracılığıyla firmware güncelleme moduna girebilir. Bununla birlikte, fiziksel bellek döküm alma işlemi, normal bir önyükleme sonrasında gerçekleştirilirse, edinilen verilerin hash değeri değişebilir. Bu nedenle, telefon ele geçtikten sonra kapatılması ve ürün yazılımı güncelleme moduyla önyüklemesi yapılmalıdır.

Telefona Bağlanma ve Model Bilgisini Edinme

Bir USB kablosu kullanarak akıllı telefona bağlayın. USB sürücüsü önceden kurulmuş olmalıdır. USB sürücüsü üreticinin web sayfasından indirilebilir. Bir USB kablosu bağladıktan sonra, Model ve GPT bilgilerini al düğmesini seçin. Kullanıcı yalnızca üreticiyi seçerse, akıllı telefon model adı otomatik olarak görüntülenir.

Model bilgilerini aldıktan sonra, GPT bölüm bilgisi komutu gönderilerek bölüm bilgisi elde edilir. Şek. 10’da, pencere her bölüm için bölüm adını, başlangıç ​​adresini ve bitiş adresini sunar.

Fiziksel Edinim

APD aracı, bir bölüm dökümünü ve tüm flash bellek dökümünü gerçekleştirmek için uygulanmıştır. Seçilen Bölümleri edinme düğmesi tıklandıktan sonra, ilgili bölümün fiziksel bir dökümü gerçekleştirilir. Döküm işlemi bittikten sonra, döküm görüntüsünün döküm süresi ve MD5 hash değeri Döküm Günlük penceresinde görüntülenir.

Full Dump butonu tüm flash belleği almak için seçilir. Fiziksel edinme işlemi, edinilen GPT bölüm bilgisindeki flash belleğin başlangıç ​​ve bitiş adreslerini kullanarak yürütülür. Edinim işlemi tamamlandıktan sonra, araştırmacı bilgileri, edinim aracı bilgileri ve döküm bilgisi Şekil 10’da gösterildiği gibi görüntülenir. Döküm bilgileri, hesaplanan MD5 hash değerini ve döküm görüntüsünün başlangıç ​​zamanı ve bitiş süresini gösterir. Hash değerinin hesaplanması, döküm imajının bütünlüğünü kontrol etmek için önemlidir.

APD aracını kullanarak elde edilen dosya ham veri formatıdır ve akıllı telefon adli araçları (Cellebrite UFED Fiziksel Analiz Cihazı 2015, Rehberlik EnCase, 2014, R-Linux, 2014) aracılığıyla analiz edilebilir.

Denemeler

Android adli bilişim alanında en önemli faktörler, desen kilidi ve kullanıcı şifresi nedeniyle adli imajının bütünlüğünü, hızlı kanıt toplama ve alınan flash imajının bütünlüğünü garanti altına almaktadır. Bu üç faktöre dayanarak, bu çalışmada önerilen APD aracını en yeni Android akıllı telefonlarını kullanarak mevcut edinim yöntemleriyle karşılaştırdık. Karşılaştırılan araçlar arasında, özel kurtarma görüntüsünü temel alan iyi bilinen Cellebrite UFED 4PC, döküm yöntemi ve root’la istismarı yoluyla ADB fiziksel dökümü ve JTAG tabanlı edinim vardı. Tablo 5, elde edilen deneysel sonuçları göstermektedir. G3 (F400S, D851), Optimus G (F180S, E975), R3 (IM-A850S), Iron2 (IM-A910S) ve Nexus 4/5 (E960, D821) gibi farklı modeller kullanılmıştır. Flaş belleğini APD aracı ile dışarı alma işlemini tamamladıktan sonra, alınan imajın kalitesini belirlemek için elde edilen imaj Cellebrite UFED Fiziksel Analiz Cihazı (2015) kullanarak karşılaştırılmıştır.

Elde Edilmiş Görüntünün Bütünlüğünü Koruma

Bir önceki çalışmada (Son ve ark., 2013), kullanıcı verileri bütünlüğü bir JTAG tabanlı edinim yöntemi ile kontrol edildi. Bu yöntem, kullanıcı verilerinin bütünlüğünü sağlar, çünkü yalnızca özel imajı flash belleğe yazılmıştır. Bununla birlikte, flash belleğin kurtarma bölümü değiştirildiğinden, tüm flash belleğin bütünlüğü hasar görür. Edinim işlemi sırasında kullanılan Cellebrite UFED 4PC ile bütünlük de hasar görüyor çünkü edinim işlemi normal açılıştan sonra gerçekleştirilmektedir.

Buna karşılık, önerilen erişim yöntemi, tüm flash belleğin bütünlüğünü korumaktadır. Yazılım güncelleme modunda önyüklenir ve fiziksel bilgi edinme, flash bellek okuma komutunu kullanarak gerçekleştirilir. Böylece, tüm flash belleğin bütünlüğünün muhafaza edilip edilmediğini teyit etmek için JTAG tabanlı edinim yöntemini karşılaştırrılabilir. Sonuçların doğruluğunu sağlamak için, deney işlemi bir önceki çalışmada olduğu gibi yerine getirilmiştir (Son ve ark., 2013). Beş kez flash bellek edinimi gerçekleştirildikten sonra edinilen görüntülerin karma değerleri karşılaştırılmıştır.

Edinme Hızı

Akıllı telefonların kullanımındaki hızlı artış nedeniyle, analiz edilmesi gereken akıllı telefonların sayısı da hızla artıyor. İncelenmesi gereken telefonlarının sayısı büyük olduğundan, alanda 8 saati aşan bir edinme zamanı gerektiren JTAG tabanlı erişim yöntemini kullanmak kolay değildir. Bu nedenle, hızlı S/W tabanlı edinim yöntemleri sıklıkla kullanılır. Tüm flash bellek için edinme süresini karşılaştıran sonuçlar Tablo 5’te gösterilmiştir. Sonuçlar, 8 modelin edinme sürelerinin ortalama değerlerini temsil etmektedir. Önerilen yöntem, verileri bir bilgisayara göndermek için akıllı telefonun maksimum boyutunu ayarlayabildiğinden, diğer yöntemlerle edinme süresinden yaklaşık dört kat daha hızlıdır. 32 GB flaş bellek elde etmek için ortalama olarak 30 dakika gerekiyordu.

Açıklanan yöntem Cellebrite
UFED 4P
Özel kurtarma modu Root’larak ADB ile döküm alma JTAG yöntemi
Bütünlük garantisi 0 0 X X 0
Imaj alma hızı (32GB) 30 dk. 120 dk. 120 dk. 180 dk. 480 dk. a
Ekran kilitli akıllı telefonun imajı alma 0 0 X X 0
a JTAG tabanlı edinme yönteminde cihazı sökme ve adaptörü bağlantı süresi hariç tutulmuştur

Tablo 5 – Deney sonuçları

Ekranı Kilitli Akıllı Telefonlardan Fiziksel Olarak Edinme (USB Debug devre dışı)

Çoğu S/W tabanlı adli araç, fiziksel edinim için ADB protokolünü kullanır. ADB protokolünü kullanmak için akıllı telefonda USB hata ayıklamasının etkinleştirilmesi gerekir. Bununla birlikte, tüm Android akıllı telefonlar güvenlik nedenlerinden ötürü varsayılan olarak USB hata ayıklaması devre dışı bırakılmış olarak teslim edilir. Böylece, mevcut kazanım yöntemlerini uygulamak için USB hata ayıklamasının etkinleştirilmesi gerekir. Bu nedenle, bir desen veya kullanıcı şifresi tarafından kilitlenmiş (USB hata ayıklamalı devre dışı bırakılmış) bir akıllı telefondaki mevcut yöntemlerden birini kullanarak fiziksel edinimi gerçekleştirmek imkansızdır. Bu eksiklik, Android’in fiziksel edinimi alanında çözülmesi gereken önemli bir konudur. Bununla birlikte, önerilen yöntem bu sorunun üstesinden gelmektedir. Ekranı kilitli bir akıllı telefon olsa bile, telefon kapalıyken ve firmware güncelleme modunda yeniden başlatıldıktan sonra fiziksel olarak edinme gerçekleştirmek mümkündür.

Forensic Aracı Açık
Kaynak
Kullanıcı
Dostu
Ekran Kilitli Cihazdan Kurtarma Bütünlük Bölüm Dışarı
Veri
Aktarma
Adli Bilişim Süreçleri
Uyumu
Genel Amaçlı
LiME E H Bilgi yok Yüksek H TCP SD Kart H H
AMExtractor E H H Yüksek H TCP H H
APD H H E E E Bilgi yok H H
Hawkeye H H H E E Bilgi yok H H
ANDROPHSy E H E E E TCP E E
ADA E E H E H SD Kart H H
UFED H H E E H SD Kart, USB Flash Bellek E H
Oxygen H E E E H USB bağlantısı, Bluetooth E H
MSAB
XRY/XACT
H E E E H USB Bağlantısı E H
DS H E E E H USB Bağlantısı E H
MOBILedit! H E H E H USB Kablo, TCP E H
ViaExtract H E E Bilgi Yok H Bilgi Yok E H
MPE+ H E E H H Kablolar, Infrared, Bluetooth E H

Tablo -1: Adli Bilişim Araçlarının Karşılaştırmalı Tablosu

MOBİL CİHAZ YÖNETİM (MDM) YAZILIMI İLE DELİL ELDE ETME

MDM , Mobile Device Management (Mobil Cihaz Yönetimi) ifadesinin kısaltması olup, işletmelerin bilgi güvenliği için kullandığı en önemli teknolojidir. Mobil Cihaz Yönetim yazılımı akıllı telefonların yaygınlaşması ile birlikte kurumların cihazlarının güvenliğini sağlamak için tercih ettiği yazılımlardan olmuştur. Bir MDM yazılımı cihazın uzaktan izlenebilmesine ve yönetilebilmesine olanak tanır. Diğer taraftan MDM, akıllı telefon endüstrisinin bıraktığı güvenlik boşluklarına hitap eden hızla gelişen bir satış sektörüdür. Hükümetler ve endüstrideki mobil cihaz eğilimleri göz önüne alındığında, bir işletmede akıllı telefonu güvence altına alma gerekliliği ortaya çıkmaktadır. Bir kuruluşta güvenilmeyen cihazlara izin verilmesinin doğasında olan riskler nedeniyle MDM sistemlerine olan ihtiyacı artmaktadır. Kuruluşlar, mobil cihaz risklerini azaltmak için mobil cihaz güvenlik politikalarının sıkı bir şekilde uygulanmasına ihtiyaç duymaktadır.

MDM, dağıtım, güvenceye alma, izleme ve entegrasyon işlemlerinin yapıldığı idari alandır ve işletmelere temel olarak, iş yerlerindeki mobil aygıtların (akıllı telefon, tablet, vb.) yönetimine dair hizmetler sunar. Aşağıdaki işlevler sayesinde işletmeler, kullanıcıların çalışmalarını kesintiye uğratmadan, kablosuz bağlantı yoluyla mobil cihazları hızlı ve etkin bir şekilde yönetebilir:


a) Güvenlik Yönetimi:
Mobil cihazın çalınması veya kaybedilmesi halinde, güvenlik önlemi olarak tüm kurumsal veriler uzaktan kaldırılabilir ve silinebilir.

b) Politika Yönetimi: Kurumsal verileri (kamerayı kapatmak, ekran görüntüsü aldırmamak, ekran kilidi ve parola kilidini zorunlu kılmak, vb. yoluyla) güvence altına almak amacıyla işletmelere yönelik bilgi güvenliği düzenlemelerini mobil cihazlara otomatik olarak dağıtır.

c) Yazılım Dağıtımı: İşletmelerin, uyguladıkları bilgi güvenliği politikasını esas alarak, kurulum için gerekli uygulamaları mobil cihazlara dağıtmasına olanak sağlar ve tekil kurulum yapma zorluğundan kurtarır.

d) Envanter Yönetimi: Cihazdaki yazılım ve donanım verilerini düzenli olarak toplar ve kullanıcıların uygulamaları nasıl kullandıklarını izler.

Birkaç lider MDM ürünü üzerine yapılan araştırma, kurumsal düzeyde Android cihazlardan otomatik olarak adli veri koleksiyonları elde etmede genel bir özellik eksikliği ortaya çıkardı. Bu verilerin bulunması, olayların yanıtı, güvenlik denetimi, proaktif güvenlik izleme ve adli soruşturmalar da dahil olmak üzere kuruluşlar arasında bulunan ortak güvenlik uygulamalarına yardımcı olacaktır. 2010/2011 Bilgisayar Güvenlik Enstitüsü Bilgisayar Suçları ve Güvenliği Anketi’ne göre, çeşitli şirketlerden gelenlerin %61.5’i iç denetimlerin bir güvenlik mekanizması olarak kuruluşlarında yapıldığını bildirdi. Buna ek olarak,%44 veri-kayıp önleme ve kullanıcı içerikli izleme programlarının bulunduğunu bildirmiştir (Richardson, 2010). Bu istatistikler, birçok organizasyonun içeriden öğrenebilecekleri tehditlerle ilgili kurumsal risklerin farkında olduğunu ve bunları hafifletmek için gerekli önlemleri aldıklarını göstermektedir; Ancak, Android akıllı telefonu izlemek için teknoloji eksikliği göz önüne alındığında, bu cihazlarda gerçekleştirilen birçok işlem denetlenmemektedir. İzleme seçeneklerinin olmaması, bu verilerin iç soruşturmalarda yaratacağı önemli etkiyle birlikte, bu çalışmanın konusu olan DroidWatch adlı bir prototip çözüm önerisi ve geliştirilmesine yol açtı.
Bu makale, politika ihlalleri, fikri mülkiyet hırsızlığı, yanlış kullanım, zimmete para geçirme, sabotaj ve casusluk da dahil olmak üzere iç soruşturmalar için kullanışlı verilerin toplanmasını otomatikleştiren bir Android uygulamasının (“uygulaması”) tasarlanması ve uygulanması üzerine odaklanmaktadır. Veriler, Gingerbread 2.3.6 çalıştıran bir Samsung Galaxy S II Epic 4G Dokunmatik Android akıllı telefonundan toplandı. Ardından PHP, MySQL, Apache ve Splunk çalıştıran uzak bir Ubuntu sunucusuna gönderildi. Anti-virüs, kök algılama ve uygulamanın sonlandırılmasına veya kaldırılmasına karşı korunma gibi özellikler, sistem ve kurumsal güvenlik için gereklidir, ancak bu araştırmanın kapsamı dışındadır. Uygulanan çalışma ile toplanan tüm veriler, kurumsal veya resmi ağlarda yaygın olanlara benzer bir kullanıcı onayı vasıtasıyla gerçekleşir. Veriler, köklü ayrıcalıklar veya Android mimarisinin kullanılmasıyla elde edilemez.

Android Uygulama Geliştirme Terminolojisi

Android uygulama bileşenleri, bir uygulamanın davranışını tanımlamaya yardımcı olan Android çerçeve bloklarından oluşur (framework blocks) (Google. (N.d.). Uygulama temelleri). DroidWatch içinde şu uygulama bileşenleri kullanılmaktadır: etkinlikler, hizmetler, içerik sağlayıcıları, yayın alıcıları, içerik gözlemcileri ve alarmlar. Aşağıda açıklanan her bileşen, farklı ve kullanışlı bir amaca hizmet eder.

Etkinlikler (Activities)

Bir kullanıcı arabirimini uygulayan bağımsız ekranlardır. Bilgi görüntüler, kullanıcı etkileşimini ister ve diğer etkinlikleri başlatırlar (Google. (N.d.). Uygulama temelleri). DroidWatch’da etkinlikler nadiren kullanılır; Genel kullanıcı deneyimini etkilememek için, çalışmaların çoğu arka planda gerçekleşir.

Hizmetler (Service)

Kullanıcı etkileşimi gerektirmeyen uzun süre devam eden işlemlerdir. Etkinlikler gibi diğer uygulama bileşenleri, diğer uygulamalar ve hizmetler çalışırken bile hizmet başlatabilir ve devam ettirebilir (Google. (N.d.) Uygulama temel bilgileri). DroidWatch, veri koleksiyonlarını ve aktarımları gerçekleştirmek için sürekli olarak bir servis kullanır.

İçerik sağlayıcıları (Content Providers)

Uygulama verisinin erişimini ve paylaşımını yöneten uygulama bileşenidir. Ön tanımlı tekil kaynak tanımlayıcıları (URI) aracılığıyla içerik sağlayıcılarıyla arabirimlenerek kullanılır (Google. (N.d.). Uygulama temelleri). DroidWatch içerik sağlayıcıları iki şekilde kullanır:

1. Diğer uygulamalar içinde saklanan verileri okurken

2. DroidWatch uygulaması içinde depolanan verileri okuyup yazar iken

Yayın alıcıları (Broadcast Receiver)

Bir Android cihazdaki yayın sistemi olaylarını işleyen ve bunlara yanıt veren uygulama bileşenleri (Google. (N.d.). Uygulama temelleri) ‘dir. Gelen Kısa Mesaj Servisi (SMS) mesajları ve uygulama yüklemesi gibi olayları tespit etmek için DroidWatch da kullanılırlar.

İçerik gözlemcileri (Content Observers)

İçerik sağlayıcılarla ilişkili olduğunda, hedeflenen bir veritabanı altında yatan veri kümesinin içeriği değiştiğinde bildirim alırlar (Google. (N.d.) ContentObserver). DroidWatch bunu verilerin gerçek zamanlı değişikliklerini algılamak için kullanır.

6.1.6. Alarmlar (Alarms), periyodik olarak içerik sağlayıcıları sorgulamak ve yeni veriler çekmek için DroidWatch’ta yapılandırılan, cron işlerine (cronjobs) benzer şekilde zamanlanmış işlemlerdir. Güvenilirdir ve yalnızca belirlenen zamanlarda çalışırlar.

Android Uygulama Güvenliği

Google’ın Android uygulamaları güvenlik modeli, bir uygulamanın AndroidManifest.xml dosyasında (daha sonra “AndroidManifest” olarak anılacaktır) izin beyanını içerir. Varsayılan olarak, istenen izinlere sahip olmayan bir uygulama, “diğer uygulamaları, işletim sistemini veya kullanıcıyı olumsuz yönde etkileyecek her hangi bir işlemi gerçekleştiremez” (Google. (N.d.) İzinler). Bu, bir uygulamanın diğer uygulamaların özel verilerine erişememesi, şebeke servislerini kullanamaması, dahili / harici hafızaya yazamaması veya diğer temel işlevleri yerine getirememesi anlamına gelir. Yeni indirilen bir uygulama, yüklenmeden önce kabul edilmiş olması için kullanıcıya bildirilen izinlerini sunmalıdır. Bu durum Android 5 ile değişmiştir. Yeni güvenlik modeline göre önemli (tehlikeli kategorideki) izinlerin çoğu uygulama ilgili izini gerektiren bir işlem yaptığı sırada talep edilir. Böylece işletim sistemi çalışma zamanında kullanıcıdan ilgili işlem için izin vermesini ister.

Kökleme (Rooting)

Köklendirme, kullanıcıların normal kullanıcı kipi altında normalden daha yüksek ayrıcalıklı işlevler gerçekleştirmesine olanak tanır. Yasal veya gayri meşru amaçlar için kullanılabilir. Kullanıcılar, güvenlik kısıtlamalarını atlamak veya DroidWatch gibi bir uygulama aracılığıyla toplanan verilere müdahale etmek isteyebilir. Kök erişimi meşru olarak da kullanılabilir.( J. Grover / Digital Investigation 10 (2013) S12-S20 S13 adli araştırmacılar tarafından bir cihazdan veri çıkarılması) Ancak, mümkün olduğunca bundan kaçınılmalıdır. Süreç tipik olarak belirli bir aygıtta veya işletim sisteminde bir güvenlik açığını kullanır ve daha fazla güvenlik açıklarına neden olabilir. Köklendirme, bir cihazın bölümlerini de değiştirir (adli bilişim uygulamalarıyla çelişen bir eylem); Bununla birlikte, gerekli koşulların ve verilerin türüne bağlı olarak köklenme kaçınılmaz olabilir (Vidas ve diğerleri, 2011). Kök erişimi, DroidWatch gibi bir uygulamanın özellik sayısını artırabilir; bunun sonucu olarak sistemin güvenliğini zayıflatabilir, birlikte çalışabilirliği düşürebilir ve akıllı telefon sağlayıcının garantisini tehlikeye sokabilir.

Akıllı Telefon Araştırmaları

Suçları araştırmaya ve hassas hükümet bilgilerini yetkisiz erişimden korumak için yetkilendirilmiş mobil güvenlikte birincil oyuncular kolluk kuvvetleri ve devlet kurumlarıdır. Şirketler ayrıca ticari casusluk, finansal hırsızlık ve fikri mülkiyet hırsızlığına karşı kendilerini korumak için mobil güvenlikle çok ilgilidirler. Boşanma kararları, velayet savaşları, emlak anlaşmazlıkları vb. alanlardaki özel menfaatler de bu alandaki ilerlemelerden kazançlı çıkmaktadır (Hoog, 2011). Sonuç olarak, akıllı telefonların izlenmesinden menfaat sağlayacak soruşturma türleri, kanun uygulama soruşturmaları, iç soruşturmalar ve özel soruşturmalardır. Bu araştırma, potansiyel politika ihlallerini, fikri mülkiyet hırsızlığını, kötüye kullanım, zimmete para geçirme, sabotaj, casusluk ve diğer soruşturmaları araştırmak için bir organizasyonda sözleşmeli veya başka bir şekilde (örneğin, adli olay inceleyicileri, güvenlik denetçileri vb.) personel tarafından gerçekleştirilen dahili soruşturmalar üzerine yoğunlaşmaktadır. Dahili araştırmacıların kolluk soruşturmalarının sıkı adli muamele ve koruma prosedürlerine uymaları gerekmez, ancak genellikle yaygın olarak uygulanan adli bilişim tekniklerine ve kurallarına uymaya çalışılmalıdır. Dahili araştırmalar için değerli akıllı telefon verileri elde etmek için, geleneksel olarak bir cihaza fiziksel olarak erişmek gereklidir. Buna bir istisna olan EnCase Enterprise, Ekim 2012 tarihinden itibaren bir ağ üzerinden Android cihazların uzaktan adli görüntülerini çıkarabilimektedir. Bazı MDM’ler ayrıca sınırlı izleme, ancak araştırmacıların ihtiyaçlarını etkin bir şekilde ele alacak kadar yeterli değildir. Bir mobil cihazın fiziksel olarak alındığı varsayılarak, araştırmacılar, cihazın mevcut durumunun mantıksal veya fiziksel anlık görüntüsünü almak için çeşitli araçlar kullanabilirler. Andrew Hoog, (Hoog, 2011), Android akıllı telefonlardan bilgi toplamak için mevcut araçların çoğunu listeliyor. Cihazların bazıları taşınabilir donanım aygıtları ve diğerleri yazılım ürünleridir; Bununla birlikte, hepsi evrensel bir seri veri yolu (USB) bağlantısı üzerinden çalışır ve çalışması için akıllı telefona fiziksel erişim gerektirir. Buna ek olarak, araçların birçoğu kök erişim gerektirir (Valle, 2013).

Gizlilik endişeleri

DroidWatch, kullanıcıları gizlilik beklentileri hakkında bilgilendirmek ve onaylarını almak için bir telefonun önyükleme işlemi sırasında bir kullanıcı onayı bayrağı görüntüler (izin kartı afişinin uygulanmasına ilişkin daha fazla ayrıntı Bölüm 4.1.2’de bulunur). Bu, uygulamanın bir casus yazılım sınıflandırmasını önlemesine yardımcı olur ve sistem hatalarını engelleyebilir. Tablo 1’de, geçerli bazı mobil cihaz gizlilik davaları listelenmiştir. Kullanıcıları DroidWatch’ta izleme politikaları hakkında bilgilendirmek için istenen izinlerin kabul edilebilir kullanımı, ABD v. Ziegler’de (ABD Temyiz Mahkemesi, 2007) karar veren ABD Temyiz Mahkemesinden alınabilir. Potansiyel BYOD etkileri ile ilgili argümanlar, ABD Büyük Anayasa Mahkemesi davası Ontario v. Quon kararından (ABD Yüksek Mahkemesi, 2010) alınarak yapılabilir.

Sonuç olarak, bir organizasyon, DroidWatch gibi izleme uygulamalarını, şahsen sahip olunanlar da dahil olmak üzere tüm kurumsal akıllı telefonlara kurma hakkına sahip olduğunu düşünebilir; çünkü telefonlar özel olarak kontrol edilen ağında çalışırlar. Carrier IQ davası, bu yazının yazıldığı tarih itibariyle halen beklemede olmasına rağmen, kullanıcı verilerinin kullanıcı onayı olmadan akıllı telefonda izlenmesinden kaynaklanabilecek yasal sorunlara örnek teşkil etmektedir (Davis, 2012).

Ticari MDM Ürünleri

Üçüncü taraf MDM ürünleri mobil cihazlarla bir şirketin genel güvenliğini artırır; Bununla birlikte, çoğu MDM’de derinlemesine kullanıcı izleme özellikleri yoktur. Zenprise, AirWatch ve MobileIron gibi bazı önde gelen MDM seçenekleri, sınırlı izleme yetenekleri (ör., GPS izleme ve SMS izleme) sunmaktadır, ancak dahili araştırmalara yardımcı olan diğer mevcut veri setlerini toplamayı başaramamaktadır. Araştırılan MDM ürünlerinin Juniper Pulse Mobil Güvenlik Paketi (v.3.0R3) en çok kullanıcı izleme yetenekleri sundu ve bu araştırmanın bir parçası olarak değerlendirildi. Bulgular, ürünün DroidWatch’ta kapsanan veri kümelerinin yaklaşık %50’sini topladığını gösterdi; Bununla birlikte, verilerin depolanması ve Juniper kontrollü sistemler tarafından barındırılması gerekir. Bu, bir kuruluşun denetim verilerini dahili olarak saklama şartını engelleyebilir.

Kişisel “casus” uygulamalar (örn., Mobistealth, StealthGenie, FlexiSpy ve Mobile Spy) gibi piyasada bulunan diğer ürünler, DroidWatch ile aynı veri kümelerinin çoğunu toplayabilir, ancak yükseltilmiş ayrıcalıklar için gereksinimler ve eksiklikler gibi sınırlayıcı faktörlere sahiptir. Ayrıca kurumsal depolama ve analiz yetenekleri açısından kullanıcı bilgisi olmadan kişisel bilgiler toplayan, genellikle casus yazılım olarak sınıflandırılırlar (Juniper Networks, 2012).

U.S. v Ziegler (2007) Kullanıcıların politikadan haberdar olması durumunda bir kuruluş kendi ekipmanını izleme hakkına sahiptir
City of Ontario v. Quon
(2010)
Denetlemeler, bir çalışan tarafından ödenen ek ücret ödemeleri bile şirket tarafından sağlanan bir cihaz üzerinde gerçekleştirilebilir
Carrier IQ Mevcut değil. Bekliyor.

Tablo-1: Mobil cihaz mahremiyet davaları
Uzaktan kurumsal adli delil toplama araçları da kuruluşun güvenliğini artırmayı hedeflemektedir. Google Rapig Response (GRR), adli araştırmacılara ve olaya müdahale eden kişilere, adli olarak bir ağ üzerinden çok sayıda makinadan kanıt elde etmesini sağlar (Cohen ve diğerleri, 2011). GRR’ye benzer ticari çözümler EnCase Enterprise, AccessData Enterprise, F-Response Enterprise Edition ve Mandiant Intelligent Response‘dır. EnCase Enterprise, Android’i desteklerken, diğerleri şu anda bunu desteklemez. Sözü edilen uzaktan adli araçlar, verileri sürekli olarak toplamayıp depolamadıkları için DroidWatch’tan farklıdır. Bunun yerine, operatöre talimat verildiğinde verilerin bir kerelik fotoğraflarını çekerler. DroidWatch kodu bu araçların yeteneklerini genişletmek için kullanılabilir.

DroidWatch MDM Yazılımı

Bu araştırmayı çeşitli bilimsel çabalar şekillendirmiştir. Lee ve diğerleri tarafından önerilen bir sistem; bir akıllı telefondan Android Uygulama Programlama Arayüzünü (API) kullanarak aynı SDCard’a hızlıca veri çıkarmak için bir Secure Digital Card (SDCard) üzerinde bulunan bir Android uygulamasını kullanıyor (Lee ve ark., 2009 ). Verilerin toplanmasına yönelik bu mantıklı yaklaşım, sisteminin bir cihazı sürekli olarak izlemesi dışında DroidWatch’a benzer. Bununla birlikte, çalışma sırasında kök ayrıcalıkları olmadan elde edilebilen çeşitli veri setlerini vurgulamaktadır. ViaForensics tarafından açık kaynaklı ürün olarak piyasaya sürülen AFLogical benzer bir yaklaşım benimser. Ayrıca, özel bir SDCard kullanır ve alınan veri kümelerinin sayısını genişletir (Hoog, 2010). Yang ve ark.’nın takip çalışmaları SDCards için bulut bilgi işleminin yerini almasını önerdi; Bununla birlikte, araştırmaları bir cihaza fiziksel olarak erişmeyi gerektirir ve sürekli veri toplamaz (Yang ve Lai, 2012).

Villan ve ark. , Sanal bir ağ bilgisine (VNC) benzer gerçek zamanlı izleme gerçekleştiren yerli bir Android uygulamasını, bir akıllı telefon üzerinde kök ayrıcalıkları kullanmadan gerçekleştirdi (Villan ve Esteve, 2011). Araştırma kullanıcıların ekranını kullanılabilirlik amacıyla uzak bir yere akıtmayı (yani, kurumsal yardım masalarında kullanmak için) akıtmayı içerir ancak bir kullanıcının ekranını izleyebilme özelliği DroidWatch’ta gelecekteki bir özellik olarak uygulanabilir. Shields ve ark. Tarafından sunulan araştırma. Yeni bir nesne parmak izi yaklaşımı (Shields ve ark., 2011) kullanarak sürekli ve proaktif bir şekilde bir ağ üzerinden gerçek adli bilişim edinimlerini gerçekleştiren ilk sistem olan Proaktif Nesne Parmak İzi ve Depolama (PROOFS) adında bir edinim ve izleme sistemi başlattı. PROOFS, Android akıllı telefonlarda çalışmazken, bir izleme aracının adli olarak kabul edilmesi gereken kriterlerini vurgulamaktadır. DroidWatch ile ilgili gelecekteki çalışmalar, bu kriterlerden bazılarının dahil edilmesini içerir.

Android platformundaki eski anti-adli bilişim çalışması, DroidWatch’ın nasıl tehlikeye atıldığını veya engelleneceğini değerlendirmede etkili oldu. Birkaç genel anti-adli kavramlar, Distefano ve diğerleri tarafından Android’e aktarıldı ve DroidWatch uygulamasının anti-adli değerlendirmesi sırasında bir rehber olarak görev yaptı (Bölüm 4.3) (Distefano ve ark., 2010). Azadegan ve arkadaşlarının yaptığı araştırma. Ek anti-adli bilişim konsepti sundu ve ayrıca yukarıda anılan DroidWatch değerlendirmesine dahil edildi (Azadegan ve ark., 2012).

droidwatch_art

Şekil-1: DroidWatch sistem mimarisi

Broadcast Receiver →Content Observer→Alarm

Şekil-2: Tasarım Stratejisi

Strateji, göreceli olarak kolay uygulanabilirlik, gerçek zamanlı bildirimleri işleme yeteneği ve yanlış pozitif ve çoğaltılması konularına odaklanmaktadır. İlk önce, sistem yayınları üretip üretmediğini belirlemek için veri setleri analiz edilmelidir. Eğer yaparlarsa, yayın alıcıları koleksiyonlar için uygulama bileşeni olarak düşünülmelidir. Yayınlar mevcut değilse, içerik gözlemcilerini uygulamaya geçirmeyi düşünün. Yayınlar ve içerik gözlemcileri hedeflenen veri koleksiyonları için kullanılamıyor veya etkisiz ise alarmlar kullanılmalıdır.

Yerel depolama

Tüm toplanan veriler telefonda yerel bir SQLite veritabanında geçici olarak saklanır ve sadece DroidWatch uygulaması tarafından erişilebilir olacak şekilde yapılandırılır. Standart Yapısal Sorgulama Dili (SQL) veritabanı fonksiyonları, özel bir DroidWatch içerik sağlayıcısı tarafından işlenir. Bu, her bir DroidWatch koleksiyonunun iş parçacığına göre güvenli ve yapılandırılmış bir biçimde gerçekleştirilmesini sağlar. Zamanlanmış bir alarm periyodik olarak yerel SQLite veritabanı dosyasını güvenli köprü metni aktarım protokolü (HTTPS) POST üzerinden işlenmek üzere kuruluş sunucusuna aktarır. Aktarım işlemi, veritabanı dosyasının nispeten küçük boyutunun (ortalama 75 kilobayt) yardımıyla bir kullanıcının deneyimine en az etkisi olan arka planda çalışacak şekilde tasarlanmıştır.

6.7.8. Şirket sunucusu

Toplanan verilerin aktığı kurumsal sunucu prototipi, Apache, PHP, MySQL ve Splunk çalıştıran özel yerel bir ağdaki Ubuntu sanal makinesidir. Apache kendinden imzalı bir güvenli soket katmanı (SSL) sertifikasıyla yapılandırılmış ve DroidWatch uygulaması içinde bir varlık dosyası olarak dahil edilmiştir. Bu, bir HTTPS bağlantısı üzerinden veri aktarılmasına izin verir. PHP kodu, SQLite dosya yüklemelerini yönetir ve olayları bir MySQL veritabanına ayıklar. Splunk, periyodik olarak MySQL veritabanından veri çeker ve analiz ve raporlama için olayları arabiriminde kullanılabilir duruma getirir.

6.7.9. Veri Akış Süreci

DroidWatch uygulaması içindeki veri akış süreci (Şekil 3) sürekli bir işlemdir, transferler her 2 saatte bir denenir (bu değer konfigüre edilebilir). Kurumsal sunucuya başarılı bir şekilde aktarıldıktan sonra, aktarmadan önce tarihli olaylar yerel telefon veritabanından silinir ve bu da o veritabanının boyutunu en aza indirir. Başarısız olan dosya aktarımları günlüğe kaydedilir ve herhangi bir etkinliğin silinmesine yol açmaz.

data_process_flow

Şekil-3: Veri İşleme Akış Diyagramı

 

Cihaz hesabı bilgileri, DroidWatch hizmeti başlatıldıktan sonra doğrudan Android API üzerinden toplanır.

Data set App component used
Broadcast
receiver
Content
observe
Alarm
App install/removal x
Browser navigation x
Browser search x
Calendar event x
Call log x
Contact list x
Device acconta
Device ID x
GPS location x
GPS location setting x
MMS x x
Pictre gallery x
Screen lock stats x
SMS x x
Third-party app log x

a Cihaz hesabı bilgileri, DroidWatch hizmeti başlatıldığında doğrudan Android API aracılığıyla toplanır
Tablo-2: Toplanan Veri Seti

Veri Kümeleri

Tablo 2, DroidWatch tarafından toplanan veri setlerini listeler. Bu veri setleri, mevcut içerik sağlayıcıları, iç araştırma için ihtiyaçlar ve erişilebilirlik seviyesine (yani kök gerekmez) bağlı olarak seçildi. Her veri kümesi, derleme aralıklarının ayarlanmasını sağlayan (yani, sistemin koleksiyonlar arasında ne kadar süre beklediğini) uygulama kaynak kodundaki bir varlık dosyası olan droidwatch.properties aracılığıyla yapılandırılabilir. Kuruluşlar, karşılık gelen aralık değerini sıfıra ayarlayarak bir veri kümesinin atlamasını seçebilirler. On beş benzersiz veri setine erişilebilir; İki veri kümesi ve hesap şifresi araştırılmıştır ancak kullanılmamıştır (aşağıda açıklanmıştır). E-posta uygulamasına erişmek için kullanılan mekanizmalar standart Android Yazılım Geliştirme Seti’nin (SDK) parçası değildir (CommonsWare, 2010). Buna ek olarak, e-posta uygulaması, üçüncü parti uygulamaların özel verilere erişmesini yasaklayan bir signatureOrSystem izniyle sınırlandırılmıştır (Android Open Source Project, 2008). Hesap şifreleri benzer korumalarla korunmaktadır; Arama uygulaması, AndroidManifest’te AUTHENTICATE_ACCOUNTS yetkisine izin vermeli ve kullanıcı kimliğini istediğiniz hesaba (Google (N.D.). Hesap Yöneticisi) eşleştirmelidir. Bazı veri setleri, koleksiyonları gerçekleştirmek için birden fazla uygulama bileşeni kullanıyordu. Örneğin, Multimedya Mesaj Servisi (MMS) mesajları, bir yayın alıcısı ve bir alarm kullanılarak algılanır; Kullanılan bileşen mesaj odaklıdır.

Analiz ve Değerlendirme

Bu bölüm, DroidWatch denemesinin sonuçlarını açıklar ve bunları iç araştırmanın yardımcı olabileceği durumlara uygular. Senaryo dosyası deneyleri, mevcut veri kümelerine ve yazarın önceki iş deneyimine dayanır. Tüm sonuçlar tek bir cihazdan ve kullanıcıdan elde edilmiştir. Splunk’ın maliyeti (günlük 500 megabite kadar ücretsiz) nedeniyle bu araştırma için kullanıldığını unutmayın, diğer ürünler benzer işlevleri yerine getirebilir.

Şekil 4, Splunk’ta kaydedilen günlük olayların sayısını, veri seti ile ayrılmış olarak, tek bir gün aralığı boyunca göstermektedir. Örnek, bir cihaz tarafından üretilen 442 gün içeriyor ve kaydedilen nispeten az sayıda olayı vurguluyor. Günlük toplamlar kullanım alışkanlıklarına göre değişir; Ağır biçimde kullanılan bir cihaz, günlük toplamda bir artış görür. Deney sırasında kullanıcı deneyimi veya artan pil tüketimi üzerinde olumsuz bir etkisi yoktur.

Genel Kullanım Eğilimleri

Splunk’teki “Ekran Kilidi Açılmamış” arama, etkin telefon kullanımını gösteren kullanıcı eylemlerinin zaman çizelgesini (örn. PIN kodu, hareket veya parola girdileri) görüntüler. Birkaç güne kadar elde edilen sonuçlar Şekil 2’de görülebilir. Bu veriler belirli bir zamanda telefon etkinliğini belirlemek, maskeli kullanıcıları (ilk atanmış kullanıcı dışındaki kullanıcılar) bulmak veya çalışanlar için kullanım desenleri oluşturmak için kullanılabilir.

Şüpheli Kişiler ve İletişim

Bir kuruluşu riske atan kişilerin veya telefon numaralarının adlarını, arama yaparak veya bunları Splunk tetikleyicilerine (Splunk Enterprise’da bulunur) bulabilirsiniz. Bunlar, bir şirketin telefon defterinin dışındaki numaralar veya kara listeye girmiş insanlar olabilir. Kaydedilen SMS ve MMS içeriği de şüpheli etkinlikler için aranabilir. DroidWatch’te gelen SMS, zaman damgasını ham SMS olarak işleyerek üçüncü parti bir zaman kaynağı olarak da hizmet edebilir. SMS yapısında gömülü olan zaman, telefonun zamanına bağlı değildir (Casey, 2009). Bu verilerin analizi sırasında karşılaşılan bazı sorunlar şunlardı:

detected_screen_unlocks
Şekil-5 :Algılanan ekran kilidi açma aksiyonları (Splunk)

• Birden fazla kişiye gönderilen mesajlar, günlüklerde yalnızca bir alıcı listeledi.

• Gelen SMS’lerde saat dilimleri eksik.

• MMS mesaj metni mevcut değildi.

Bir fotoğraf cihaz kamerasıyla çekilip hemen MMS ile gönderildiğinde, etkinlik koşullara bağlı olarak daha fazla soruşturma yapılmasını gerektirebilir. Şekil 6, 22 Aralık 2012 Cumartesi günü 03.20’de çekilen bir resim günlüğünü gösteren bir aramayı göstermektedir. Kullanıcının ofiste ve yalnız olduğunu tespit edilirse (muhtemelen GPS izleme yoluyla) bir veri sızıntısının olup olmadığını belirlemek için daha fazla analiz gerekli olabilir.


Şekil-4: 24 saatte kaydedilen olaylar

 

Şekil-6: Fotoğraf ve MMS arama sonuçları

Konum izleme

DroidWatch tarafından kaydedilen bilinen son konumlar arasında cihaz kimliği, enlem, boylam ve yakalama süresi bulunur. DroidWatch’ın konumları toplamak için kullandığı yaklaşım pil ömrünü korur ancak kaydedilen yerlerin seyrek kaydedilmesine neden olur. Yedi günlük süre boyunca yalnızca dört yer olduğu bildirildi. GPS sağlayıcı ayarı etkinleştirilmiş olsa da, GPS aktif olarak kullanılmadıkça bilinen en son konumlar bir cihazda saklanmaz (diğer bir deyişle, Google Haritalar uygulaması mevcut konumu görüntülemek için açılır). Ayrıca bir telefonun son bilinen konum değeri, cihazın yeniden başlatılması üzerine silinir ve kaydedilen bir koordinat kümesinin kaydedilmeden önce kaybolmasına neden olur.

Konum sağlayıcı ayarında yapılan değişiklikler izleme için de kullanılabilir. Telefonun fiziksel konum verileri daha güvenilir hale gelirse, bu veriler potansiyel olarak yararlı olur. GPS ayarı manuel olarak kapatıldığında bir cihazın konumunun tanımlanmasına izin verir.

Kaydedilen takvim olayları araştırmacılara da faydalıdır. Bir kullanıcının randevuları için yapılan aramalar, geçmişteki kontrol, gözetim planlaması veya seyahat planlarını belirleme konusunda yardımcı olabilir.

İnternet geçmişi

DroidWatch, yerleşik Android Web tarayıcısı içinde gerçekleştirilen etkinlikleri toplar ve kullanılabilir duruma getirir. Bir İnternet geçmişi etkinliği, alınan eylemi (ör. Göz atma veya arama), arama terimini veya URL’yi, etkinlik saatini ve ilişkilendirilmiş cihaz kimliği içerir. Bu bilgiler, bir şirkette şüpheli tarayıcı kullanımını tanımlamak için kullanılabilir (örneğin, fikri mülkiyetlerin harici web sitelerine yüklenmesi). Tarayıcı aramaları, tespit edilen işlemlerin ardındaki kullanıcının olası niyetlerini daha iyi tahmin edebilmek için ayrıştırılabilir.

Kötü amaçlı uygulamalar

Yüklü uygulamalar için bir denetim, bir cihazın kötü amaçlı yazılım veya diğer endişe uyarıları içerdiğini ortaya çıkarabilir. Bu, dahili bir soruşturma sırasında ek endişeler ve güvenlik önlemleri alınmasını garanti eder. Sağlanan DroidWatch sonuç alanlarına, uygulamanın adı, gerçekleştirilen eylem ve kurulum / kaldırma tarihi dahil. Üçüncü taraf uygulama günlükleri de DroidWatch tarafından toplanır. Birkaç filtreleme mekanizması, günlükleri, yalnızca telefonda yerleşik olmayan uygulamalar tarafından üretilenlere sınırlar. Filtreleme mükemmel olmadığı halde, toplanan uygulama günlüklerinin toplam miktarı, gün başına 337 günlük (10.000’i aşan) daha yönetilebilir bir ortalamaya düşürüldü.

Adli bilişim

İzleyen bölümler, anti-adli bilişim kategorileri, Android antiforensi alanında yapılan önceki çalışmalardan alınmış ve anti-adli olabilecek güvenlik açıkları için DroidWatch uygulamasını değerlendirmek için kullanılıyor. Kanıtları gizleme (Bölüm 4.3.2), kanıt kaynaklarını değiştirme (Bölüm 4.3.3), kanıtları taklit etme (Bölüm 4.3.4) ve adli bilişim araçlarını tespit etme (Kısım 4.3.5) kategorileri kanıtları yok ediyor (Bölüm 4.3.1) (Distefano ve diğerleri, 2010; Azadegan ve diğerleri, 2012). DroidWatch’in mevcut haliyle, kök saldırılarına, uygulamanın kaldırılmasına ve işlem sonlanmalarına karşı tamamen duyarlı olduğunu unutmayın. Kök algılama ve uygulama yükleme politikalarının uygulanması gibi MDM’ler tarafından sunulan dış koruma, DroidWatch’ta veri bütünlüğünü sağlamaya dayanır.

Delilleri yok etme

Yayın alıcıları ve içerik gözlemcileri aracılığıyla toplanan veri setleri, olay ortaya çıktıkça her olayın kopyası DroidWatch’ın özel saklama alanına kaydedildiğinden, kanıt imha yöntemlerine karşı muhtemel değildir. Bununla birlikte, kanıtları kaldırmak mümkün olabileceğinden (örneğin, giden MMS mesajları, üçüncü taraf uygulama günlükleri, takvim etkinlikleri, tarayıcı gezintileri, tarayıcı aramaları ve bilinen en son GPS konumları) alarmlardan alınan veri setleri tahribat taktiklerinden etkilenir. Bir sonraki planlanan koleksiyona başlamadan önce. DroidWatch ile ilgili endişe, uygulamaların yükleme sonrasında özel niyet filtresi öncelikleri için kayıt yapabilmesidir. Maksimum maksat filtre öncelik değeri olan 231-1 kullanan bir uygulama, başka bir uygulama tarafından yayınlanmadan önce yayını engelleme ve bırakma özelliğine sahiptir. DroidWatch, bir araştırma prototibi olarak durumundan dolayı varsayılan intent-filter öncelik değerini kullanır.

Kanıt gizleme

Zamanlanmış alarmlar yoluyla toplanan veri setleri veri gizleme taktiklerinden etkilenenler arasındadır. Son gönderilen birkaç MMS iletisini gizlemek isteyen bir kullanıcı, bunları DroidWatch toplama işleminden yönlendirmek için el ile aktarma yöntemlerini kullanabilir. Yukarıda bahsedilen uygulamalar için özel amaçlı filtre öncelikleri kaydetme özelliği, benzer bir şekilde, uygulamanın yayınların engellenmesi ve yeniden yönlendirilmesi yoluyla verileri gizleyebilmesini sağlar. Örneğin, meşru bir üçüncü parti SMS uygulaması olan GoSMS, gelen SMS mesajlarını aktarmak ve sistem bildirimlerinin çoğaltılmasını ortadan kaldırmak için olası en üst düzey filtre önceliğini kaydetmektedir (Kovacevic, 2011).

Kanıt kaynaklarını değiştirme

Kanıt kaynaklarını değiştirmek, bir veri kümesini bir toplama işlemini engellemek için değiştirmeyi içerir (Distefano ve diğerleri, 2010). Bu, DroidWatch için başka bir endişe alanı. Alarmlar tarafından toplanan veriler duyarlıdır çünkü süreçler, mevcut bir veri setinde belirli değerlere dayanır. Örneğin, yeni giden mesajlar için MMS içerik sağlayıcısı aracılığıyla tarama yapılırken “msg_box” alanı, gönderilen / giden MMS’i temsil eden “2” ile iletinin yönünü belirtir. Bu alanın değeri “5” olarak değiştirilirse, ileti toplama işlemi sırasında yoksayılır.

Taklit kanıtları

Mobil cihazlardaki sahteciliğe dayalı kanıt, araştırmacıların kafasını karıştırmak veya kaçmak için mevcut veri setlerine hayali veri ekleme işlemlerini içerir. DroidWatch koleksiyonları bu açıdan savunmasızdır, çünkü sahte girişleri gerçek olanlardan ayırmak için herhangi bir kontrol gerçekleştirilmez. DroidWatch için bir başka endişe olan hizmet reddi saldırısında kısa sürede büyük miktarda hayali veri eklenmesi. Yeterli veri bir telefona yüklenirse, uygulamanın düzgün çalışması durabilir.

6.7.22. Adli bilişim araçlarının tespit edilmesi

Adli bilişim araçları tarafından gerçekleştirilen adli bilişim araçlarının araştırılmasının doğrudan DroidWatch için geçerli olmadığı tespit edildi (Azadegan et al., 2012). Onlar, Android telefonlarında bazı tanınmış adli bilişim araçlarının ilk bağlantı imzalarını dinlemeye odaklandı. DroidWatch, geleneksel adli bilişim araçlarının aksine izlemeyi gerçekleştirir ve bir cihaza fiziksel olarak erişmek için herhangi bir ilk bağlantı imzası veya gereksinimi yoktur. Bununla birlikte, imza tespit fikri, DroidWatch’ın tarifeli transferlerine uygulanabilir.

AndroidWatch İleri Araştırma

DroidWatch ile ilgili gelecekteki araştırmalar, uygulama ve kurumsal sunucu üzerinde çalışmayı içerir. Yaklaşan bölümler, ek veri setleri toplamak (Bölüm 5.1) ve anti-sabotaj mekanizmalarını uygulamak için önerilen gelişmeleri kapsar (Bölüm 5.2).

DroidWatch’ın gelecekteki iyileştirmelerinin yanı sıra DroidWatch’ın bir MDM çözümü içine entegrasyonu, Android güvenlik topluluğu için çok değerli olacaktır. Mevcut MDM sistemleri, dahili soruşturmalara yardımcı olabilecek kullanıcı izleme özelliklerine sahip değildir. Sağlam politikanın uygulanmasını, uzaktan cihaz yönetimini ve Android cihazlarda kapsamlı bir kullanıcı izlemesi kombinasyonu sağlayan genel kurumsal güvenlik sistemi, Android akıllı telefon dağıtımlarını düşünen hükümet ve endüstri kuruluşları arasındaki güvenlik endişelerini azaltmaya yardımcı olacaktır.

Ek veri setleri

Android adli bilişimi, her yeni işletim sistemi sürümüyle değişen gelişen bir alandır. Yeni veri setleri ve özellikleri ortaya çıktıkça, muhtemel bir izleme sistemine dahil edilmeleri için bunların bir araştırmaya katma değeri değerlendirilmelidir. Gelecekteki DroidWatch içerikleri şunları içerir: USB hata ayıklama ayarları, telefon yeniden başlatma, sesli posta günlükleri ve dumpsys, dumpstate ve dmesg’den ek uygulama ve çekirdek günlükleri.

Koruma önleyici mekanizmalar

Toplanan ve bir telefonda saklanan veriler, kullanıcıların ve uygulamaların müdahale etmesini önlemek için halihazırda Android yerleşik güvenlik modeli (Kısım 2.2) üzerinde çalışıyor. DroidWatch’ı daha sıkı hale getirmek için bazı yetenek önermeleri şunları içerir:

• Veritabanı olaylarının şifrelenmesi (sağlama toplamı ile)

• Yüksek niyetli filtre öncelik değerleri

• Log günlüğünü tutma

• Etkinliğe dayalı koleksiyonlar ve transferler

• Veritabanı karması

DroidWatch, veritabanındaki olayları şifrelemek, kullanıcıların önceden toplanan olayları görüntülemesine veya müdahalesini engellemeye yarayan bir mekanizma. Her olay bir sağlama toplamıyla eşleştirilebilir ve bir ortak anahtar altyapısı kullanılarak şifrelenebilir (kurumsal sunucuda depolanan özel anahtar ile). AndroidManifest’e maksimum niyet filtre öncelik değerlerini kaydetmek, iki uygulamanın aynı öncelik değerine kaydolması durumunda ne olacağını belirlemek için daha fazla araştırmaya ihtiyaç duyulmasına rağmen, uygulamaların sistem yayınlarını engellemesine engel olabilir. DroidWatch veritabanına “canlı tutma” mesajlarının periyodik olarak günlüğe kaydedilmesi servis kesintilerini vurgulamaktadır. Kütükler arasında zamandaki boşluklar varsa kurcalamaya neden olabilir. Olay tabanlı tetikleyiciler, daha rasgele bir aktarım kalıbı sağlayabilir ve zamanlanmış operasyonlara karşı zaman esaslı engeller girişimleri önleyebilir; Bununla birlikte, bu kabiliyetin etkinliği hakkında daha fazla araştırmaya ihtiyaç vardır.

SONUÇ

Fiziksel adli bilişim araçlarındaki artış ve Android akıllı telefonlarının pratik kullanımıyla birlikte, bu makale, yeni araçları mevcut araçlar ile karşılaştırmak isteyen araştırmacılar için ölçütler belirlemiştir. Aynı zamanda, araştırmacıları veya uygulayıcıları, güvenilir ve uygun fiziksel adli araçlar seçerek, fiziksel imajları elde etmek için daha etkili, interaktif ve uygun bir yol sağlar. Oxygen ve Cellebrite UFED gibi ticari adli araçlar, güvenilir, kullanımı kolay, birçok Android sürümünde kullanılabilir ve tüm adli bilişim süreçlerini destekler. Ancak, her Android akıllı telefonda, özellikle de hedef akıllı telefon kilitli olduğunda bunlar geçerli değildir. Dahası, kişisel kullanım için uygun değildir. Açık kaynak araçları ise genellikle kullanıcı dostu değil, sadece imaj edinim aşamasına odaklanır, ve Android akıllı telefonların sınırlı sürümünde kullanılabilir, ancak yine de güvenilirdir. Bir ilgi çekici açık kaynak kodlu adli bilişim aracı da ANDROPHSY, özellikleri ile ticari adli araçlar ile rekabet edebilir. Herhangi bir sürüm Android akıllı telefonun tüm belleğini elde etmek için kullanılmak üzere tasarlanmıştır. Bu mobil cihaz adli yaşam döngüsünü destekleyen ilk açık kaynak araçtır.


Android akıllı telefonların firmware güncelleme protokollerini analiz ederek tüm flash belleği elde etmek mümkündür. Üreticiler tarafından sağlanan firmware güncelleme protokolleri önyükleme yükleyicisindeki açıklıklar kullanılarak bu yapılabilir. Üretici yazılımı güncelleme protokollerinin analitik sonuçlarına dayanarak, bazı flash bellek güncelleme protokollerinde flaş bellek okuma komutlarının yer aldığını ve dolayısıyla fiziksel edinimin gerçekleştirilebilmesi mümkündür. Bu yeni edinme yöntemine dayanarak, 80’in üzerinde en yeni Android modellinin flash belleğinin fiziksel olarak dışarı aktarılmasını destekleyen bir edinme programı geliştirilmiştir. Bu araç mevcut yöntemlerle karşılaştırıldığında, yeni yöntemin tüm flash belleğin bütünlüğünü koruduğu ve yüksek hızla edinimi gerçekleştirildiği kanıtlanmıştır. En güzel yanı; edinip yapılırken bir desen veya kullanıcı parolası ile ekran kilitlemesine bağlı kısıtlamaya takılmaksızın fiziksel edinme yapılabilir.

Kötü yanı her yeni Android akıllı telefonun güncelleme protokolünün analiz edilmesi gerektiğidir. Bununla birlikte, üretici yazılımı güncelleme protokolü tüm Android akıllı telefonların önyükleme yükleyicisinde uygulanır ve diğer taraftan her üretici tüm modellerine aynı üretici yazılımı güncelleme protokolünü uygular. Bu şekilde edinme yöntemi analiz edilerek üreticilerin tüm modelleri için fiziksel edinme gerçekleştirilmesine izin veren yazılım güncelleme protokolü bulunabilir. Bu nedenle, bu alanda sürekli araştırma yapılması gerekmektedir.

Mobil cihaz yönetimi aracılığıyla, Android sistemin kök ayrıcalıkları olmaksızın kurumsal ortamlarda sürekli Android cihazların izlenmesi ve korunması mümkündür. DroidWatch, türünün ilk açık kaynak sistemidir; Ancak, yeteneklerini genişletmek ve geliştirmek için daha fazla geliştirilmesi gerekmektedir. Güvenliği artırmak için anti-sabotaj mekanizmalarının da uygulanması gereklidir. Belirtildiği gibi, toplanan veri setleri çeşitli nedenlerle çeşitli iç tetkik türleri için yararlıdır. Bu araştırma, Android uygulamaları bileşenlerini izleme için önceliklendirmek adına kullanılabilecek, yeni bir geliştirme tasarım stratejisine katkıda bulunmaktadır. Son olarak, bu çalışma, varsayılan Android API aracılığıyla erişilebilen veri kümelerine erişmek için bir rehber işlevi görür.

Son çalışmada ise Android mobil uygulamalarının gizliliğini incelenmiş ve değerlendirilmiştir. Özellikle, açık kaynaklı adli bilişim araçlarını kullanarak Android mobil cihazların uçucu belleğindeki kimlik doğrulama bilgilerinin keşfedilip keşfedilemeyeceğini gösterilmiştir. Sonuçların analizi, incelenen Android uygulamalarının çoğunun uçucu bellekteki kimlik doğrulama bilgilerini kurtarma konusunda savunmasız olduğunu ortaya koydu. Mobil bankacılık uygulamaları gibi güvenlik öncelikli uygulamaların bile savunmasız olduğu kanıtlandı. Dahası, uçucu belleğin yalnızca kimlik doğrulama bilgilerini içermediğini cihazı yeniden başlatıldığında veya pilini çıkartıldığında dahi gözlemlendi. Ayrıca, uygulamanın kimlik doğrulama bilgilerinin tam olarak bir bellek dökümünde nerede bulunduğunu gösteren kalıp ve ifadelerin varlığını kanıtlanmıştır. Son olarak, kullanıcıların çeşitli web sitelerinde ve uygulamalarda aynı şifreyi tekrar kullanma eğiliminde olduklarını göz önüne alarak; tüm geliştiricilerin, uygulamanın kritikliğine bakılmaksızın, doğru ve güvenli programlama teknikleri ve yönergelerini kullanmaları gerektiği sonucuna varılmıştır. Kimlik doğrulama bilgisi keşfini engellemek ve mobil platformlar tarafından sağlanan gizlilik düzeyini arttırmak için, incelenen senaryolardan yararlanılmalıdır.

Referanslar

[1] T. B. Tajuddin and A. A. Manaf, “Forensic investigation and analysis on digital evidence discovery through physical acquisition on smartphone,” in 2015 World Congress on
Internet Security (WorldCIS), Dublin, 2015
[2] L. Cai, J. Sha, and W. Qian, “Study on forensic analysis of physical memory,” in Proc. of 2nd International Symposium on Computer, Communication, Control and Automation
(3CA 2013), 2013.
[3] H. Yang, , J. Zhuge, H. Liu, and W. Liu,”A tool for volatile memory acquisition from Android devices,” in Advances in Digital Forensics XII, New Delhi, Springer International
Publishing, 2016, pp. 365-378.
[4] J. Sylve, A. Case, L. Marziale, and G.G. Richard, “Acquisition and analysis of volatile memory from android devices,” Digital Investigation, vol. 8, no. 3, pp. 175-184, 2012.
[5] I. Kollár, “Forensic RAM dump image analyser,” MCS thesis, Charles Univ., Prague, Czech Republic, 2010.
[6] M. Guido, J. Buttner, and J. Grover, “Rapid differential forensic imaging of mobile devices,” Digital Investigation, vol. 18, pp. S46-S54, 2016.

[7] L. Spector, “USB 3.0 speed: real and imagined,” PCWorld,
2014. [Online]. Available: http://www.pcworld.com/article/2360306/usb-3-0-speedreal-and-imagined.html. Accessed: Oct. 17, 2016.

[8] C. A. Jayasinghe, “Android smart phone contact analyzer”,
MSIS dessirtation, 2015. Android Open Source Project.
[10]Azadegan S, Yu W, Sistani M, Acharya S. Novel anti-forensics approaches for smart phones. In Hawaii International Conference on System Sciences (pp. 5424–5431). Maui, HI: IEEE; 2012, January 4.
[11] Casey E. Top 7 ways investigators catch criminals using mobile device forensics. http://computer-forensics.sans.org/blog/2009/07/01/top-7-ways-investigators-catch-criminals-using-mobile-device-forensics; 2009, July 1.
[12] Citrix. IT organizations embrace bring-your-own devices.

http://www.citrix.com/site/resources/dynamic/additional/Citrix_BYO_Index_report.
pdf; 2011, July 22.
[13] Cohen MI, Bilby D, Caronni G. Distributed forensics and incident response
in the enterprise. In: Digital forensics research workshop 2011. New Orleans, LA: Elsevier; 2011S101–10; August 2011.
[14] CommonsWare. Access Android emails through content provider.
http://stackoverflow.com/questions/3811608/access-androidemails-through-content-provider; 2010, September 28.

D:\Documents And Settings\Downloads\4a4d916c8288dd55f7f55885e3032ccd374a8c6b (1).jpg

Gazi Gelecektir

PCB Tasarım Notları

PCB TASARIM NOTLARI

alt text

Tüm elemanların etiketlerini tek bir yönden bakıldığında okunabilecek şekilde yerleştirin.

Test sırasından kolaylık sağlaması için mikroişlemcilerin altındaki via’ları elemanın dışında tutmaya çalışın. Aksi durumda elemanlar yerleştirildikten sonra bu via’lara ulaşamayacaksınız.

PCB’nin üzerine model ve revizyon numarasını yazın.

Yolların ve via’ların birbirine çok yakın olması üretim zorluğunu artırır ve dolayısıyla maliyetin yükselmesine neden olur.

Yüksek frekanslı tasarımlarla çalışırken veri taşıyan hatların yol uzunluklarının aynı olmasına dikkat edin. Uzunlukları farklı yollar zamanlama farklılıklarına ve veri aktarım hatalarına neden olur.

Yüksek frekanslarda çalışan devrelerde T şeklinde alt yol çıkarmak sinyal gürültüsüne neden olur.

Yüksek frekanslı yolların üzerinden gittiği Ground plane veya power plane kesintiye uğramamalıdır. Bu durum empedans sorunlarına yol açar.

Yolları mümkün olduğunca kısa tutun yollar uzadıkça aralarında oluşacak empedans, kapasitans ve indüktans da artar.

Yollara köşe döndürürken 45 derecelik açılar kullanın . Keskin dönüşler elektro manyetik girişimlerin gücünü artırır.

Kalınlığı 25 thou’dan ince T birleşimleriniz varsa bu yollara “chamfer” eklemek 90 derecelik dönüşü engellemiş olacaktır.

Pad’lere teardrop eklemek pad ile yol arasındaki bağlantıyı iyileştirir ve daha güvenilir bir bağlantı sunar.

Yolları manuel yani elle çiziyorsanız öncelikle ana yolları uçtan uca hatlar şeklinde çizin, elemandan elemana yapılacak çizim ürümin zorlaşmasına ve PCB alanının etkin kullanılamamasına neden olabilir. Tasarıma başlamadan önce ana elemanlarınızı PCB’nin merkezine konumlandırarak ortak yolları belirleyin.

C:\Users\Can\AppData\Local\Temp\SNAGHTML1ae2553.PNG

C:\Users\Can\AppData\Local\Temp\SNAGHTML1af0507.PNG

PCB üzerindeki deliklerin çap genişliklerini aynı yapmaya çalışın. Seri üretim sırasında PCB delici robotun uç değiştirme sıklığı üretici tarafından fazladan fatura edilebilir.

Özellikle yüksek frekanslı devrelerde yolların taşıyabileceği sinyalin frekansı, endüktüf ve kapasitif etkilerden dolayı yolun uzunluğu ile doğru orantılıdır. Yukarıdaki şekilden görülebileceiği gibi yolun içinden veya üzerinden gittiği PCB ortamı (en alt katman ground olarak yayılmıştır) kapasitif etki göstererek sinyalin bozulmasına neden olur. Frekansı hesaplamak için şu hesaplayıcıyı kullanabilirsiniz: http://www1.sphere.ne.jp/i-lab/ilab/tool/ms_line_e.htm

Crostalk etkisi

Birbirine paralel iki yol arasındaki elektromanyetik etkileşim anlamına gelir. Yollardan biri saldırgan olarak değerlendirilirse diğeri kurban olarak ele alınır. Kurban endüktüf ve kapasitif olarak saldırgan yoldan etkilenir ve üzerinde sinyalin frekansına bağlı olarak ileri ve ters yönlü harmonik akımlar oluşur. Stripline yollarda kapasitif etki endüktüf etkiye yakın olup birbirini sönümlendirirken, microstrip yollarda kapasitif akım endüktif akımı sönümlendirmede zayıf kalır. Bitişik yollardaki crosstalk etkisini azaltmak için yollar birbirlerinden en az iki kat uzaklığa yerleştirilmelidir.


PCB üzerindeki farklı sinyal devrelerinin kendi (bağımsız) ground’larına sahip olması sinyal gürültüsü açısından tercih edilmelidir. Bağımsız ground’ların ortak bir ground’a bağlanması ise aşağıdaki gibi paralel irtibatlandırma ile yapılmalıdır.

Clock sinyali PCB üzerinde dağıtılırken, özellikle yüksek frekanslarda pulse gecikmesine neden olmamak için yolların eşit uzunlukta olmasına dikkat edilmelidir. Bu mümkün değilse yollara zikzak yaptırılarak eşit uzunluk sağlanmaya çalışılır.

Referanslar:

http://www.ftdichip.com/Support/Documents/AppNotes/AN_146_USB_Hardware_Design_Guidelines_for_FTDI_ICs.pdf

http://www.argenc.com.tr/pdf/AN01.PDF

http://www.analog.com/library/analogDialogue/cd/vol41n2.pdf

http://www.alternatezone.com/electronics/files/PCBDesignTutorialRevA.pdf

http://320volt.com/pcb-baski-devre-tasariminda-emc-uyumlulugu/

http://www.ti.com/lit/an/scaa082/scaa082.pdf

LTE ve IMSI Catcher Efsanesi

LTE ve IMSI Yakalayıcı Efsaneleri

Ravishankar Borgaonkar*, Altaf Shaik, N. Asokan#, Valtteri Niemi§, Jean-Pierre Seifert
* Aalto University
Email: [email protected]

Technische Universita ̈t Berlin and Telekom Innovation Laboratories
Email: (altaf329, jpseifert) @sec.t-labs.tu-berlin.de

# Aalto University and University of Helsinki
Email: [email protected]

§ University of Helsinki
Email – [email protected]

Çeviri: Özgür Koca, E-posta: [email protected], www.tankado.com

Özet

Mobil cihazlar, LTE ağ servislerinin kullanılabilirliği ve bant genişliğinin artması sayesinde insan hayatında bir zorunluluk haline gelmiştir. LTE (4G) iletişim protokolleri her zaman abonelerin konum mahremiyeti ve çeşitli ağ servislerinin bulunulabilirliği açısından bazı vaatleri yerine getirmiştir. Bu çalışmada LTE’nin ağ güvenlik protokolleri analiz edilerek bazı LTE güvenlik standartları ile LTE için kullanılan ağ cihazlarının çipsetlerinde sorunlar tespit edilmiştir. LTE cihazlara karşı yapılan istismarlar deneysel bir sahte baz istasyonu kullanılarak gerçekleştirilmiştir.

Sunuş

Akıllı telefonların ve yeni mobil uygulama ve hizmetlerin artmasıyla birlikte LTE’nin yüksek hızlı veri bağlantılarının vaat etmesi hayati sosyal faydalar sağlamada ve tüketici deneyimini zenginleştirmede hayati bir rol oynamaktadır. Ancak bu gelişmeler ve mobil cihazlara olan güven acil servis ağları ve mobil ekosistem boyunca yeni gizlilik ve erişilebilirlik sorunlarının ortaya çıkmasına neden olmuştur.

Mobil iletişim ağlarındaki güvenlik, her nesilde artmaktadır. 3G, IMSI Catcher’ların kullanıldığı sahte baz istasyonu saldırıları yapmayı zorlaştıran karşılıklı kimlik doğrulama özelliğini getirmiştir. LTE ise pek çok sinyal protokolünü, kimlik doğrulama ve bütünlük koruması ekleyerek güvenlik açısından sıkılaştırmıştır. Genel kabul gören inanç da, LTE güvenlik açısından sağlamdır ve özellikle sahte baz istasyonu saldırılarının gerçekleştirilmesi zordur.

Bu çalışmada, LTE 3GPP belirtiminde ve baz bandı yonga setlerinde farklı sorunları keşfettik. Bu sorunlar, bir saldırganın LTE abonelerini izlemek için sahte baz istasyonu saldırıları düzenlemesine ve seçilen ağ hizmetlerini reddetmesine izin verir. Ticari LTE telefonlara yönelik bu saldırıları düşük maliyetle ve gerçek bir operatör ağı için de değerlendirdik. Ek olarak, abonelerin pasif izleme işlemine yardımcı olmaktan sorumlu LTE ağ yapılandırması sorunlarını ele alacağız.

Bu döküman şu şekilde yapılandırılmıştır. Birinci bölümde, abonelerin konumları hakkında bilgi sızdıran aldırılar gösterilmiştir. LTE şebekelerine bağlı abonelere yönelik hizmet reddi saldırıları Bölüm 2’de tartışılmıştır. Etik hususlar ve deney düzeneği 3. bölümde sunulmuştur. Dördüncü bölümde de sonuçlar değerlendirilmiştir.

Konum Bilgisi Saldırıları

Zaten 2G (GSM) şebekeleri konum gizliliği önem verilerek tasarlanmıştır. Bir mobil cihaz bir şebekeye bağlandığında, ona TMSI adında geçici bir tanımlayıcı verilir (TMSI – Geçici Mobil Abone Kimliği diye bilinir). Mobil cihaz ve şebeke arasındaki tüm sinyal mesajları, bundan sonra kullanıcının kalıcı tanımlayıcıları yerine sadece TMSI’ye kullanılarak yapılır (Telefon numaraları veya IMSI’ler gibi – Uluslararası Mobil Abone Kimliği). TMSI’ler sıklıkla rastgele değerler ile güncellenirler (örneğin mobil cihaz konum değiştirdiğinde). Bunun amacı, bir saldırganın radyo iletişimini pasif bir şekilde izleyerek, TMSI’leri belirli bir kullanıcının sabit kimlik tanımlayıcısı ile ilişkilendirememesi ve konumunu takip edememesi içindir. Birkaç yıl önce Dennis Foo Kune ve arkadaşları, 2G (GSM) şebekesinde saldırganın, hedef kullanıcıya ait bir telefon numarasını kullanarak bir sayfalama (paging) isteğini tetikleyebilen bir mesajın (sessiz bir metin mesajı göndererek veya bir çağrıyı başlatarak ve hızlı bir şekilde sonlandırarak) gönderilebileceğini gösterdiler [2]. Sayfalama istek mesajları TMSI numaralarını içerir. Böylece TMSI numarası ile hedefin telefon numarası ilişkilendirilmiş olur.

Çağrı isteklerinin, şaşırtıcı bir şekilde sosyal ağ mesajlaşma uygulamalarının kullanıldığı yeni bir yöntem ile etkilenebileceğini keşfettik. Örneğin, Facebook arkadaşınız olmayan birisi size anlık ileti gönderirse, Facebook spam koruması mekanizması gereği olarak mesajı sessizce “Diğer” klasörüne koyacaktır (spamcı Facebook’a 1 Avro ödemediyse). LTE destekli akıllı telefonunuzda Facebook Messenger yüklü ise, gelen Facebook mesajının oluşturduğu trafik, telefonunuzun konumunun izlemesine ve TMSI’nizin Facebook kimliğiniz ile ilişkilendirilmesine izin veren bir sayfalama isteği gönderir (paging request).Konunun daha da kötü yanı TMSI numaraları yeterince sık güncellenmez. Örneğin bir kentsel alanda birden fazla mobil operatörün atadğı TMSI’lerin geçerlilik süresini üç gün olarak gözlemledik. Başka bir deyişle, saldırgan TMSI’nızı bildikten sonra hareketlerinizi pasif olarak üç güne kadar takip edebilir.

Sahte baz istasyonu kullanan aktif bir saldırgan daha da iyi olabilir. LTE erişim ağı protokolleri, ağ hatalarını gidermek, arızaları tespit etmek ve gidermek için çeşitli raporlama mekanizmaları içerir. Örneğin, başarısız bir bağlantı sonrasında, bir baz istasyonu bir LTE cihazından en son hangi baz istasyonlarını hangi sinyal gücüyle gördüğünün raporunu ister. Bir saldırgan böyle bir raporu yakaladığında bu bilgiyi cihazın konumunu bulmak için kullanabilir. Baz istasyonlarının GPS konumları kamuya açık olarak yayınlanmaktadır. Aslında test ettiğimiz en az bir cihaz GPS konumunu tam olarak bildirdi. Arıza giderme mekanizmaları büyük mobil ağların güvenilir çalışması için gereklidir. LTE tasarımcıları, potansiyel kullanıcı gizliliği kaybı ve şebeke güvenilirliğinin sağlanabilmesi arasında dengeli ve zor bir tasarıma sahiptirler.

2. Servis Dışı Bırakma Saldırıları

Başka bir ülkeye seyahat ettiğinizi ve mobil aboneliğinizin dolaşım izni olmadığını hayal edin. Telefonunuz gittiğiniz yerdeki operatöre bağlanmaya çalıştığında bu ağı kullanma izniniz yok şeklinde bir red mesajı alacaktır (“Dolaşıma İzin Verilmedi” gibi). Telefonunuz bu cevabı kesin bir talimat olarak kabul eder siz cihazınızı yeniden başlatıncaya kadar bir daha bağlanmayı denemez. Bu telefonunuzun abonesi olmadığı bir ağa bağlanmayı sürekli deneyerek batarya tüketmesinin önüne geçmek içindir. Aynı zamanda havada gereksiz sinyalleşmelerin dolaşmasını da engeller. Tasarımdaki bu tercih güvenilirlik ve performansdan kaynaklanır. Tahmin edebileceğiniz gibi: bir saldırganın etkin bir şekilde 2G’den hizmet alabilmesi için 4G cihaza verilen 3G ve 4G hizmetlerini engelleyebileceğini göstereceğiz. LTE bağlantısı kurulum aşamasında karşılıklı anlaşılan parametreler zayıftır açısından 2G ile iletişim kurulduğunda zafiyetler doğurur.

3. Deneysel Kurulum ve Hususlar

Saldırıların fizibilitesini yapabilmek için, açık kaynaklı yazılım ve kolaylıkla temin edilebilen donanımsal araçlardan yararlanarak sahte bir baz istasyonu kurduk. Bir LTE test ağı oluşturmak için baz istasyonu görevi gören bir USRP B210 cihazı [3] kullandık. Yazılım tarafında ise ticari LTE cihazlarıyla iletişim kurabilmek için OpenLTE [4] ve srsLTE [5] paketlerinde değişiklik yaparak kullandık. Aşağıdaki fotograf kurulumu göstermektedir:

Denemelerimizin çevredeki diğer telefon kullanıcılarıyla etkileşimini önlemek için önlemler aldık. Aktif saldırılar bir Faraday kafesde [6] yürütülürken, pasif saldırılar için normal kullanıcılara hizmet kesintisi yapmamaya özen gösterdik. Sadece önceden belirlenmiş test cihazlarımızı bir saldırıya maruz bıraktık. Kullandığımız tekniklerin daha ayrıntılı açıklaması [1] ‘de bulunabilir. Tespit ettiğimiz güvenlik açıklarını baz bant yonga seti üreticilerine ve standardizasyon kurumlarına bildirdik.

4. Sonuçlar

Bu çalışma ile LTE standartlarında ve baz bant yonga setlerinde, sahte bir baz istasyonu kullanarak abonelerin izlenmesine ve hizmet reddine olanak tanıyan yeni güvenlik açıklarını gösterdik. Saldırı tekniklerimizi birçok LTE cihazı üzerinde test ettik. Ayrıca, deneysel kurulumumuzda Facebook gibi popüler sosyal uygulamalar kullanılarak gizlilik saldırılarının nasıl gerçekleştirilebileceğini gösterdik. Araştırma raporumuz [1] daha teknik ayrıntılar sunmaktadır. Çalışmalarımızla ilgili güncel bilgiler için proje web sitesini ziyaret edebilirsiniz (https://sesy.org/).

Referanslar

1. http://arxiv.org/abs/1510.07563
2. http://www.internetsociety.org/location-leaks-over-gsm-air-interface
3. http://www.ettus.com/product/details/UB210-KIT
4. http://openlte.sourceforge.net/
5. https://github.com/srsLTE/srsLTE
6. http://www.gamry.com/application-notes/instrumentation/faradaycage

SS7’nin Düşüşü: Kritik Güvenlik Kontrolleri İşe Yarayabilir mi?

SS7’NİN DÜŞÜŞÜ – KRİTİK GÜVENLİK KONTROLLERİ İŞE YARAYABİLİR Mİ?

GIAC (GCCC) Gold Certification
Author: Hassan Mourad, [email protected]
Translate: Özgür Koca, [email protected]

Advisor: Stephen Northcutt

Özet

SS7 iletişim ağı yapısı gereği operatörlerin kapalı ağları içerisinde düğümlerin birbirine doğal güvenleri söz konusudur. Bu kapalı ağa dahil olabilen saldırgan bu doğal güven hiyerarşisini, kullanıcının konumunu belirleme, çağrısını dinleme ve sistemi servis dışı bıkramaya kadar saldırılar düzenleyebilir. Bu güven ilişkisi ülkesel ve global ölçeklerde operatörler arasında da geçerlidir. Operatör ağına sızan birisi roaming özelliğinden ötürü otomatik olarak dünyadaki tüm operatörlerin ağları üzerinde de erişim kazanır. SS7 kapalı ve güvene dayalı bir ağ olduğu için bu konuda yapılan güvenlik araştırmaları sınırlı kalmıştır.

  1. Sunuş

2014’ün ağustos ayında Washington Post gazetesinde dünyadaki herhangi bir cep telefonu kullanıcısını takip etme ile ilgili bir haber yayınlamıştı (Timberg 2014). Özellikle SS7’nin kullanıcıları takip etmeye izin veren açıklar telekom cihaz üreticileri tarafından kullanılabilmektedir. Aynı makalede üreticilerin cihaz broşürlerinde abone lokasyonunu nasıl bulduklarını anlattıklarına da değinilmektedir.

2014’ün sonlarına doğru Berlin’de Chaos Communication Congress’de SS7’nin birçok zafiyeti, araştırmacılar tarafından gözler önüne serildi. Bunlardan biri de P1 Security araştırma grubunun oluşturduğu dünya SS7 güvenlik haritasıdır. “Laurent Ghigonis and Alexandre De Oliveira from P1 Security presented their SS7 global security map(P1 Security, 2014)”

SS7 ağlarında güven yapısı operatörler arasında belli kurallar ile oluşturulmuş, sonuç olarak birbirlerine güven ilişkisi ile bağlı kapalı ve güvenilir bir ağ olarak kabul edilir. Bu güven ilişkisi açıkça artık geçerli değildir ve bu tür ağlardaki güvenlik boşluklarını analiz etmek ve bu boşlukları kapatmak için gerekli kontrolleri uygulamak için acil bir ihtiyaç oluşmuştur.

Bu açıkça artık geçerli değildir ve bu tür ağlardaki güvenlik boşluklarını analiz etmek ve bu boşlukları kapatmak için gerekli kontrolleri uygulamak için acil bir ihtiyaç artmaktadır.

Bu yazıda SS7’ye karşı saldırıları ve SS7 güvenlik açıklarını gidermek ve temel ağ güvenliğini artırmak için ilgili güvenlik denetimlerini yapmak maksadıyla kritik güvenlik kontrollerini inceleyeceğiz.

2. Çekirdek Ağ Mimarisi

3. No. 7 Sinyalleşme Sistemi

SS7 1980s in ITU-T Q.700 ile standardize edilmiş bir protokoller kümesidir. 1990 yılında yeni protokoller eklenmiştir. ETSI tarafından 2000 yılında 3GPP destek ve servisi eklenmiştir.

4. SS7 Saldırıları

SS7 doğası gereği kullanıcının konumu çağrı ve SMS detayları hakkında saldırılara açıktır. Finansal sistemler ve diğer kimlik doğrulama sistemleri de bu alt yapıya bağımlıdır ve SS7 tarafından yetkilendirilir.

4.1 Çağrı ve SMS Ele Geçirme

İletişimi ele geçirme konusu her zaman bir istihbarat faliyetinin ana amacı olmuştur. Kablolu telefonların ilk günlerinde saldırganın gidip gelen çağrıları dinlemesi için kabloya fiziksel olarak erişmesi gerekliydi.

Kablosuz iletişime geçildiğinde çağrılar bir radyo sinyali olarak havadan iletilmeye başlandı. Normalde havadan giden trafik şifrelenerek gönderilir. Şifreleme A5/1 ve A5/3 algoritmaları ile yapılır. Uzun süre önce A5/1’in kırıldığı ve ucuz radyo cihazları ve Rainbow tabloları ile çağrı transferinin deşifre edilebildiği kanıtlanmıştır (Nohl, Munant, 2010). Sonuç olarak operatörler bu zafiyetle başetmek için daha güvenli olan A5/3’ü kullanmaya başlamışlardır. Yine de SS7’nin çağrı ve sms izleme hakkında zafiyetleri olduğu yakın zamanda gösterilmiştir.

4.1.2 Çağrı yakalama ve kimlik sunma

Çağrı başlatılmadan önce kullanıcın kimliği gizli bir anahtar ile operatör tarafından teyit edilir. Bir çağrı bulunulan hücre içinde başlatıldığında ve kullanıcı konumunu değiştirdiğinde, çağrının başlatıldığı hücre üzerinden verilen yetkinin iletişimin güvenliği açısından operatör tarafından yeni hücreye de aktarılması gerekir. Bu aktarım sendIdentification isimli MAP mesajı ile gerçekleştirilir. Yeni hücre bu mesajı eski hücreye göndererek bir yetki ister (Dryburgh, Hewet, 2005). Bu yetkinin kapsamın havadaki trafiği şifreleyen anahtarın kendisidir.

Bir saldırı senaryosunda; kurbana fiziksel olarak yakın olan saldırgan havadaki görüşme trafiğini koklar ve kaydeder. Saldırgan SS7 ağı üzerinden yeni hücrenin adresini kullanarak eski hücreye kurbanın yerine sendIdentification mesajı göndererek şifreleme anahtarını elde eder (Nohl, 2014, p7).

Bu saldırının gerçekleşememesi için iletişimin sadece o ağın meşru cihazları tarafından yürütülmesi gerekir. SS7 ağına sızma zafiyet içeren bir operatörün ağı kullanılarak gerçekleştirilir. Dolayısıyla izinsiz cihazların global ölçekte işleyen SS7 ağına dahil olmalarının engellenmesi gerekir.

Şekil – Çağrı Elegeçirme için sendIdentification Mesajı Kullanımı

4.1.2 Interception – 3G IMSI Catcher

İkinci nesil şebekelerde cihaz operatör ağı ile bir güven ilişkisi kurmaz. Bağlandığı operatör ağının güvenli bir ağ mı yoksa sahte bir ağ olup olmadığını denetlemez. Hücresel şebeke mantığında cihaz (cep telefonu) tanıtıcı kimlik bilgisi doğru tanımlamış (örneğin operatör ismi. Vodafone, XXXcell vs) cihazdaki tanımla örtüşen sinyali en güçlü ağa cihaza bağlanma eğilimindedir (Strobel, 2007). Böylece cihaz yabancı bir ağa ya da saldırganın yakınlarında konuşlandırdığı bir radyo cihazının ağına otomatik olarak bağlanır.

3G ağlarda bu tür bir saldırı mümkün değildir. Bir çağrı kurulmadan önce ağ, çağrı yapana geri bağlanarak kimliğini teyit eder. Ancak saldırgan SS7 ağına bağlanarak sendAuthenticationInfo isimli MAP mesajını göndererek meşru ağın kimliğini öğrenebilir Nohl, 2014, p8). Saldırgan SS7 ağına erişimi genellikle global ölçekte zafiyate sahip bir operatör ağına bağlanarak gerçekleştirir. Ne yazıkki global ölçekte dolaşımı sağlamak için kullanılan bu özellik operatör dışı ağların denetim dışında olmasından dolayı sınırlandırılması mümkün değildir. Esas sorun SS7’nin global ölçekte kapalı bir ağ oluşturmak üzere tasarlanmasından kaynaklanır.

Şekil – sendAuthinticationInfo Mesajı ile 3G IMSI Yakalayıcı

4.1.3. Giden Çağrıların Ele Geçirilmesi – CAMEL gsmSCF

GSM Servis Kontrol İşlevi (gsmSCF), şu işlevleri yerine getirir: CAMEL mantıksal hizmeti SS7 ağı içerisindeki bağlantının başlatılması sürdürülmesini, değişimini ve iptalini sağlayan bir dizi olayların yönetimi yerine getirir (Engel, 2014, s31). Bu özellik alan kodunu değiştirmek veya uluslararası kod ekleyerek giden çağrıların numaraları değiştirmek için kullanılır.

Şekil – Hedef için gsmSCF adresini Manipüle Etmek

Şekil – Saldırganın Giden Çağrı Numarasını Yeniden Yazması

SS7 ağına erişen biri saldırgan insertSubscriberData mesajı ile kurbanın gsmSCF adresini kendi kontrolünde olan bir adres ile değiştirebilir (Engel, 2014,p34). Kurbanın giden çağrıyı yaptığı numarayı kendi numarası ile değiştiren saldırgan çağrıyı hedefine ulaşmadan ele geçirerip kaydedebilir (Engel, 2014, p35). Bu saldırının yapılabilmesi için saldırganın aynı operatör ağı üzerinde olması gerekmediğinden önlem için dış operatörlerden gelen bu mesajlara karşı ayrıca filitreleme yapılması gerekir.

4.1.4. Gelen Çağrıyı Ele Geçirme – Çağrı Yönlendirme

RegisterSS mesajı abonelere yeni hizmetler kaydetmek için kullanılan bir mesajdır. Bu hizmetlerden birisi de çağrı yönlendirmedir (Dryburgh, Hewet, 2005). Bir saldırgan registerSS mesajını kendi kontrolündeki numaraya çağrı yönlendirmek için kullanılır. İşi bittiğinde eraseSS mesajı ile mevcut yönlendirmeyi silerek gerçek aboneye tekrar yönlendirebilir. Bu yöntemle saldırgan gelen çağrıları alıp kaydedebilir.

4.1.5. SMS’i Ele Geçirme

updateLocation mesajı abonenin konumunu ağdaki konumunu güncellemek için kullanılır. Bu aynı zamanda abone cihazının hala ağa bağlı olduğunu belirtmek için de kullanılır. Saldırgan sahte updateLocation mesajı ile kendini kurbanın yerine kaydettirerek SMD’leri ele geçirebilir. SMS’ler birçok sistem ve web sitesi tarafından gönderilen şifreler ile kimlik doğrulaması yapmak için kullanılır.

Ne yazıkki updateLocation mesajı roaming kapsamında dış networklerden de gönderilebilir ve bunu önlenemeyebilir.

Şekil – Abone Konumunu Sahte Konum ile Güncellemek

Şekil – Saldırgan Abonenin SMS Mesajlarını Alır

4.2. Konum Takibi

İstihbarat faaliyetleri açısından hedefin konumu çok değerli bir bilgidir. Başka bir ülkedeki hedefinizin konumunu herhangi bir fiziksel takip aracı kullanmadan elde edebileceğinizi düşünün.

4.2.1. Konum Takibi – anyTimeInterrogation (ATI)

Abonenin HLR’sine bir anyTimeInterrogation mesajı gönderildiğinde bir abonenin bağlı olduğu VLR/MSC’ye gönderilen bir provideSubscriberInfo(PSI) mesajını tetikler. Bu diğer bilgilerle birlikte abonenin hücre kimliğini (Cell-ID) bilgisini de geri döndürür.

Saldırgan bu mesajı Cell-ID’yi elde etmek için kullanabilir. Daha sonra bu hücre bilgisi internette açık olarak paylaşılan hücre haritaları ile coğrafi konuma çevrilebilir (Engel, 2014, p13).

Şekil – Hedefin Konumunu Elde Etmek için anyTimeInterrogation Mesajının Suistimal Edilmesi

Neyse ki anyTimeInterrogation mesajı dış ağlardan etkilenme durumu yoktur. Operatör ağının girişinde filtrelenebilir.

4.2.2. Konum Takibi – provideSubscriberInfo (PSI)

Bu örnekte ATI mesajları filitrelenmiştir, saldırgan hala abonenin bağlı olduğu MSC/VLR’ye doğrudan provideSubscriberInfo mesajı gönderebilir.

Saldırgan ilk olarak IMSI’yi bulmaya ve MSC’nin adresine gerek duyacaktır. MSC’nin adresini, MSC’nin Global Title (GT) adresini geri döndüren sendRoutingInfoForSM gibi bir mesaj kullanarak elde eder. (Engel, 2014, p17)

Normal şartlarda PSI mesajı abonenin yer aldığı operatörün ağı dışından alınmaz; fakat dış operatör abonesi dolaşım (roaming) esnasında asıl operatörün ağına girerse, dış operatör tarafından alınabilir durumdadır.

Şekil – provideSubscriberInfo Kullanılarak Hücre Kimliğinin (ID) Elde Edilmesi

4.2.3. Konum Takibi – provideSubscriberLocation

provideSubscriberLocation (PSL) mesajı Gateway Mobile Location Center (GMLC) tarafından abonenin konumunu sağlamak için meşru olarak kullanılır. MSC’nin GMLC sunucunun kimliğini doğrulama yeteneği yoktur fakat gönderenin GT adresini doğrulayabilir (Engel,2014, p24)

Şekil – Konum Servisleri

Ne yazıkki saldırgan hala PSL mesajı göndermek için GMLC’nin adresini taklit edebilir durumdadır.

4.3. Dolandırıcılık

Daha önce bahsedildiği gibi SS7 mobil operatörlere bağlı bir durum olmadığı için güvensiz operatörler üzerinden gerçekleştirilen erişimler artmaktadır.

Bu durum abone üzerinden birçok haksız işlem yapmak için birçok fırsat yaratır. Bu bölümde oluşan dolandırıcılık fırsatları açıklanacaktır.

4.3.1. USSD dolandırıcılığı – processUnstructuredSS

USSD diğer birçok servis gibi operatör tarafından aboneye şifre alma, ödeme yapma ve kredi transferi gibi çeşitli ticari hizmetler vermek için kullanılan bir protokoldür. Tipik olarak abone belli bir işlemi yapmak için bir USSD kodu gönderir.

processUnstructuredSS mesajı kullanılarak saldırgan abonenin yerine USSD kodları göndererek hedef üzerinden muhtemelen kredi ve para transfer işlemi yapmaya yetki alabilir (Engel, 2014, p44).

Şekil – USSD Kodu Kullanılarak Dolandırıcılık

Ne yazıkki birçok durumda operatör dış operatörlerden bu mesajları girişine izin verir, bu durumda başka bir ülkeyi ziyaret eden dolaşımda (roamin) olan aboneler bu servislere erişmeye gerek duyacağından operatörün dış hattında filtrelenmesi çok zordur.

4.3.2. Birinci sınıf dolandırıcılık – Çağrı yönlendirme

Çağrı ele geçirmede olduğu gibi, registerSS mesajı ele geçirilen numaraının yerine ücretli bir numaraya çağrıyı yönlendirmeyi yapılandırmak için de kullanılabilir

4.4. Servis dışı bırakma

Saldırganın belli bir abonenin aldığı şebeke hizmetini engellemek için kullanabileceği birçok yol vardır. Saldırgan insertSubscriberData veya deleteSubscriberData kullanılarak abonenin önemli servisleri veya hiçbir çağrıyı almamasını sağlayabilir. Saldırgan cancelLocation mesajını kullanarak abonenin ağ ile olan bağlantısını kesebilir, böylece çağrıla ve SMS’ler ulaştırılamaz (Engel,!2014,!p30)

Şekil – SS7 Kullanılarak Servis Dışı Bırakma

Düşünülmesi gereken bir nokta da; SS7 güvenliğinde yapılacak küçük bir araştırma ile SS7 uygulamalarının güvenlik zafiyetlerinden uzak olmadığını görebilirsiniz.

5. Zaafiyetlerin sınıflandırılması

Bir önceki bölümde açıklanan saldırıların gerçekleştirilebilmesi için kullanım amallarına göre farklı SS7 mesajlarının sınıflandırılmasına ve açıklanmasına gerek vardır. Önceki bölümde açıklanan saldırıları gerçekleştirmeyi sağlayan mesajları 3 kategoride sınıflandırabiliriz:

  • Kategori 1: Dış operatör ağları üzerinden kullanılması meşru olmaya mesajlar.
  • Kategori 2: Operatörün kendi aboneleri için gerekli olmayan fakat dolaşımdaki yabancı abonelerin alması gereken mesajlar.
  • Kategori 3: Dış operatör ağları üzerinden alınması gereken mesajlar.

Aşağıdaki tablo farklı SS7 mesajlarını, kullanıldığı saldırı senaryolarını ve kategorilerini özetlemektedir.

Mesaj Saldırı Kategori
sendIdentification (SI) Interception Category 1
sendAuthenticatioInfo Interception Category3
insertSubscriberData+gsmSCF Interception (Outgoing) Category2
registerSS–eraseSS Interception (Incoming),Fraud Category3
updateLocation Interception(SMS), Denial of Service Category3
processUnstructuredSS Fraud Category3
insertSubscriberData Denial of Service Category2
deletedSubscriberData Denial of Service Category2
cancelLocation Denial of Service Category3
anyTimeInterrogation Tracking Category1
anyTImeModification Tracking Category1
provideSubscriberInformation Tracking Category2
provideSubscriberLocation Tracking Category1
sendRoutingInformation(USM,ULCS) Facilitates multiple attacks Category3


6. Kritik Güvenlik Kontrolleri (CSC)

“Etkin Siber Savunma için Kritik Kontroller, bugün yaygın olan çoğu saldırının siber savunması için alınması önerilen bir dizi aksiyonu ifade eder. Bunlar kamu ve özel sektörden yüzlerce güvenlik uzmanının oluşturduğu konsorsiyumlar tarafından geliştirilir ve sürdürülür” (Council on cyber security, 2015)

Bu belgenin içeriğinde, SS7’nin kendisi ve opratör ağları arasındaki güvenliği artırmak üzere daha önceki bölümlerde açıklanan saldırı türlerini engellemeye yönelik alınabilecek güvenlik önlemleri inceleyeceğiz.

6.1. Critical Security Control 13 – Boundary Defenses

CSC13 iç sistemleri sıkı yapılandırılmış bir ağı korumaya adanmıştır (Cole, Tarala, 2015, p. 1-67). Başka bir deyişle ağın sınırlarının belirlenmesidir. Savunma hattının düzgün bir şekilde çizilebilmesi için SS7’ye yönelik güvenlik duvarları ve IDS/IPSs sistemlerinin SS7/MAP trafiğinin anlamladırması, algılaması ve engellemesi gerekir.

Endüstri bu tür özellişmiş sistem ve cihazları üretmeye çalışırken biz IDS/IPS gibi geleneksel sistemler ile yardımcı özelleştirilmiş filtreler kullanarak tespit etmeye ve muhtemel saldırıları bloklamaya çalışırız. Örneğin birinci kategorideki saldırılar basitçe belli MAP mesajlarına bakılarak anlaşılabilir. Aşağıdaki örnekte sendIdentification mesajı kullanılarak gerçekleştirilen çağrı ele geçirme saldırısını tespit etmeye yönelik bir SNORT filtresi yer almaktadır.

alert ip $External_Operators any -> $STP any (msg:”Call Interception Attempt sendIdentification”; content:”sendIdentification”;

İkici kategori saldırılar için, tespit operatörün IMSI aralığında MAP mesajlarının var olup olmadığına bakan filtreler ile gerçekleştirilir. Bu tarz saldırıları tespit eden SNORT filtresi şuna benzer:

alert ip $External_Operators any -> $STP any (msg:”Location tracking provideSubscriberInformation”; content:”provideSubscriberInformation”; content: “6201XXXXXXXX”;

Yukarıdaki yöntemde sinyal trafiğinin IP üzerinden taşındığı varsayılmıştır (SIGTRAN) ancak bu fiziksel yapı TDM sinyalleşmesini IP tabanlı iletişime çeviren özel ekipmanlar ile TDM üzerinden de gerçekleştirilebilir.

Ne yazık ki üçüncü kategori MAP mesajları ile kullanıcının mevcut ve son konumu gibi ileri bilgiler ilişkilendirilmesini gerektirir. Bu önceden tanımlı sabit filtreler ile gerçekleştirilemeyebilir.

6.2. Kritik Güvenli Kontrolü 14 – Bakım, İzleme & Denetim Günlüklerinin Analizi

CSC14, sistemler üzerindeki olayları sonradan analiz etmeyi ve sistemlerin durumunu anlamayı sağlayacak günlük kayıtlarının tutulmasını hedefler (Cole, Tarala, 2015, p102). Günlük kayıtları sistemler üzerinde neler olduğunu anlamak için çok değerlidir. Operatör ağının çekirdek bileşenlerini denetlemek kuruluşların log yönetimi işleminin bir parçasıdır.

Eğer mümkünse, belli MAP mesajlarının kullanımını kayıt altına alın, hem dahili loglama imkanları ile çekirdek ağ bileşenlerini hem de ağ trafiği kalitesi denetlemeye yönelik sistemlerin kayıtlarını beraber değerlendirin. Bu kayıtlar sonradan kategori 1 ve 2 deki anormallikleri tespit etmek, hem de kategori 3 saldırılarını ilişkilendirmek için analiz edilebilir.

Örneğin kısa bir süre içerisinde iç ağdan bir mesaj alındıktan sonra bir dış kaynaktan updateLocation mesajı alma arasında bir ilişki kurulabilir. Bu senaryo aslında kullanıcının kısa bir süre içerisinde yurtdışına gittiği anlamına geldiğinden normal değildir ve bu kullanıcıya karşı bir saldırı yapıldığına işaret edebilir.

6.3. Kritik Güvenli Kontrolü 19 – Güvenli Ağ Mühendisliği

İç ağlara yeni tehditlerle birlikte, güvenli ağ mühendisliği konusu mutlak bir gereklilik haline gelmiştir. Temel bir çekirdek ağ, risk altındaki farklı ağ bileşenleri doğru şekilde bölümlendirilmesi ile riskleri azaltabilir. CSC19 sağlam, güvenli ağ mühendisliği işlemleri ve ağ mimarisi konularına adanmıştır (Cole, Tarala, 2015, p103). Ağı farklı güven ilişkisi ve saldırılara maruz kalma seviyesine göre bölgelere ayırmak çekirdek ağın güvenliğini geliştirir. Dış ağdan STP’ye gelecek bir erişim HLR ve MSC gibi ağ bileşenlerinden ayrılmış olur.

6.4. Kritik Güvenli Kontrolü 20 – Sızma Testi ve Kırmızı Takım Pratikleri

Güvenli ve güvensiz iki SS7 ağı arasında kurulan ara bağlantının güvenlik açısından sınırları açıkça belirlenmelidir. CSC20 ticari sistemlerdeki potansiyel sistem zayıflıklarını tanımlamak ve sistemin topyekün güvenliğini geliştirmeye adanmıştır. Zayıflıkları tanımlamaya ek olarak, kırmızı takım pratikleri güvenlik izleme kusurlarını, karşılık verme prosedürlerindeki boşlukları ve çalışanların fazla güvenme durumlarını açığa çıkartır Cole, Tarala, 2015, p1-127).

İç ağa karşı yapılacak harici ve dahili saldırı testleri yapılmalıdır. Ağın bu bölümünün kritikliği dikkate alındığında, ürün ortamını test eden bir test yatağı oluşturulması şiddetle tavsiye edilir.

6.5. Kritik Güvenli Kontrolü 4 – Güvenlik Açıklarını Sürekli Değerlendirme ve İyileştirme

Harici kaynaklara erişimin artması ile SS7 güvenliği araştırmacılarının sayısının artması, yakın gelecekte daha fazla zafiyetin açığa çıkmasına neden olacaktır.

Milyonlarca kullanıcının hizmet almasını engelleme potansiyeli açısından SS7 zafiyetleri siber savaşta ulus devletler arasında büyük bir silah haline gelebilecektir. SS7 zafiyetlerini belirleyecek araçları ve teknolojileri geliştirmek ve bu sürecin sürekliliğini sağlamaya gerek vardır.

CSC4 bilinen zayıflıkları iyileştirerek sistemlerin korumayı amaçlar. (Cole,Tarala, 2015, p1-63) Bu kuruluşların çekirdek ağ bileşenlerini de içine alan zafiyet yönetim programlarını genişletmeleri çok önemlidir. Kritik yamalar, risk seviyelerine göre mümkün olan en kısa sürelerde test ortamlarında denendikten sonra ve üretim ortamına uygulanmalıdır.

6.6. Kritik Güvenlik Kontrolü 18 – Acil Durumlara Tepki ve Yönetim

SS7 ağlarının doğası göz önüne alındığında, SS7 güvenlik araştırmaları ve uygun bir savunma inşa etmek acil durum gerçekleştiğinde kaçınılmaz olur.

Acil durum kabiliyetlerini geliştirmek çekirdek ağ bölgesindeki olaylara uygun tepkileri vermek için çok önemlidir.

CSC18, acil durum ekipleri kurarak veri kaybı risklerini azaltmayı, kurumların anlamlı süreler içinde acil olayları tanımlama ve tepki verme yeteneklerini geliştirmeyi hedefler. (Cole, Tarala, 2015, p1-83)

Acil durum tepki ekibinin iç ağ bölgesinde uzmanlık alanı prosedürleri uygulamanın yanında acil durumları ele alması da önemlidir. Düzenli talimler farklı saldırı senaryoları için tepki becerilerini değerlendirmek için faydalıdır. (örn: Servis dışı bırakma, Yetkisi Erişim, MAP mesaj suistimali, vb.)

6.7. Kritik Güvenlik Kontrolü 3 – İş bilgisayarları, Sunucular ve Mobil Aaygıtların, Yazılım ve Donanımlarının Güvenli Yapılandırması

CSC3, güvenli yazılım yapılandırması kullanarak sistemleri korumayı hedefler (Cole, Tarala, 2015, p1-27). Çekirdek ağ bileşenleri bu konuda istisnaya sahip değildir. İster işletim sistemlerinin standart güvenli yapılandırmasından emin olunmalıdır. Normal sıkılaştırma faaliyetleri şöyledir: Kullanılmayan servisleri devre dışı bırak, kullanılmayan hesapları kaldır, son yamaları uygula, açık ve kullanılmayan portları kapat.

Benzer sıkılaştırma, hassas bilgileri içeren veri tabanlarına da yapılmalıdır. Çekirdek ağ bileşenlerinin yönetimi güvenli bir kanal üzerinde gerçekleştirilmelidir. Telnet ve VNC gibi açık metin protokoller bu kritik elemanları yönetmek için kullanılmamalıdır. Kullanılmayan MAP işlevleri ilgili ağ cihazı üzerinde devre dışı bırakılmalı sadece gerekli mesajlara izin verilmelidir.

7. Sonuç

Geçmişten miras kalan bir protokol olarak, SS7 güvenlik hassasiyetiyle geliştirilmemiştir. SIP ve DIAMETER gibi sinyalleşme protokolleri hiç bir zaman iyi bir güvenlik kontrol sunamadığı gibi hala belli güvenlik sorunlarını bulundurmaya devam etmektedir.
Çekirdek ağ bileşenleri de yeni güvenlik tehditleri düşünülerek de imal edilmedi. Hali hazırdaki ve gelecekteki tehdirler için özelleşmiş güvenlik çözümlerine ihtiyaç olduğu nettir. Fakat telekom ağlarındaki değişim ticari IT ağağlarına göre daha yavaştır çünkü sistemleri kullanan milyonlarca kullanıcısı vardır. Operatör ağları için yeni savunma çözümleri ile tanışmamız çok uzun zaman alacaktır.

Bu oluncaya kadar elimizdeki güvenlik çözümlerine odaklanmak ve mevcut tehditleri azlatmak mutlak bir gerekliliktir. Kritik güvenlik kontrolleri, hali hazırdaki güvenlik zafiyetlerine karşı iyi bir güvenlik çatısı olarak kendini göstermektedir.

Makaleyi yazan: Hassan Mourad, [email protected]
Çeviri: Özgür Koca, [email protected], www.tankado.com

Referanslar
Timberg, C. (2014, August 24). For sale: Systems that can secretly track where
cellphone users go around the globe. Washington Post. Retrieved from
http://www.washingtonpost.com/business/technology/for-sale-systems-that-cansecretly-track-where-cellphone-users-go-around-the-globe/2014/08/24/f0700e8af003-11e3-bf76-447a5df6411f_story.html
Washington Post (2013, Jan). Skylock Product Description 2013. Retrieved from:
http://apps.washingtonpost.com/g/page/business/skylock-product-description-
2013/1276/
Engel, T. (2014, December). SS7: Locate, Track & Manipulate. [Video file] Retrieved
from: https://www.youtube.com/watch?v=lQ0I5tl0YLY
Nohl K. (2014, December). Mobile Self Defense. [Video file] Retrieved from:
https://www.youtube.com/watch?v=GeCkO0fWWqc
P1 Security (2014, December). SS7 Map. Retrieved from: http://ss7map.p1sec.com/
3rd Generation Partnership project (2015, June 21). Mobile-services Switching Center. In
TS 23.002 Network Architecture, Release 13, p26. Retrieved from:
http://www.3gpp.org/ftp/Specs/archive/23_series/23.002/23002-d20.zip
3rd Generation Partnership project (2015, June 21). The Home Subscriber Server. In TS
23.002 Network Architecture, Release 13, p22. Retrieved from:
http://www.3gpp.org/ftp/Specs/archive/23_series/23.002/23002-d20.zip
The Fall of SS7 – How Can the Critical Security Controls Help? 2 ! 3
Hassan!Mourad,[email protected]! ! !
3rd Generation Partnership project (2015, June 21). The Authentication Center. In TS
23.002 Network Architecture, Release 13, p23. Retrieved from:
http://www.3gpp.org/ftp/Specs/archive/23_series/23.002/23002-d20.zip
3rd Generation Partnership project (2015, June 21). The Visitor Location Register. In TS
23.002 Network Architecture, Release 13, p25. Retrieved from:
http://www.3gpp.org/ftp/Specs/archive/23_series/23.002/23002-d20.zip
3rd Generation Partnership project (2015, June 21). The Short Message Service Gateway.
In TS 23.002 Network Architecture, Release 13, p26. Retrieved from:
http://www.3gpp.org/ftp/Specs/archive/23_series/23.002/23002-d20.zip
Dryburgh L., Hewet J. (2005, June). SS7 Network Architecture. In Signaling System No.
7 (SS7/C7): Protocol, Architecture, and Services. (Chapter 7) Retrieved from:
https://www.informit.com/library/content.aspx?b=Signaling_System_No_7&seq
Num=26
Dryburgh L., Hewet J. (2005, June). MAP Operations. In Signaling System No. 7
(SS7/C7): Protocol, Architecture, and Services. (Chapter 13) Retrieved from:
https://www.informit.com/library/content.aspx?b=Signaling_System_No_7&seq
Num=115
IETF (1999, October). Framework Architecture for Signaling Transport. Retrieved from:
https://www.ietf.org/rfc/rfc2719.txt
Nohl K., Munaut S. (2010, December). GSM Sniffing. [pdf document] Retrieved from:
https://events.ccc.de/congress/2010/Fahrplan/attachments/1783_101228.27C3.GS
M-Sniffing.Nohl_Munaut.pdf
The Fall of SS7 – How Can the Critical Security Controls Help?
Hassan!Mourad,[email protected]! ! !
Dryburgh L., Hewet J. (2005, June). Mobility Management. In Signaling System No. 7
(SS7/C7): Protocol, Architecture, and Services. (Chapter 13) Retrieved from:
https://www.informit.com/library/content.aspx?b=Signaling_System_No_7&seq
Num=116
Nohl K. (2014, December). Mobile Self Defense, p.7. [pdf document] Retrieved from:
https://events.ccc.de/congress/2014/Fahrplan/system/attachments/2493/original/M
obile_Self_Defense-Karsten_Nohl-31C3-v1.pdf
Strobel D. (2007, July). IMSI Catcher. [pdf document] Retrieved from:
http://www.emsec.rub.de/media/crypto/attachments/files/2011/04/slides_imsi_cat
cher.pdf
Nohl K. (2014, December). Mobile Self Defense, p.8. [pdf document] Retrieved from:
https://events.ccc.de/congress/2014/Fahrplan/system/attachments/2493/original/M
obile_Self_Defense-Karsten_Nohl-31C3-v1.pdf
Engel, T. (2014, December). CAMEL. In SS7: Locate, Track & Manipulate, p31. [pdf
document] Retrieved from: http://berlin.ccc.de/~tobias/31c3-ss7-locate-trackmanipulate.pdf
Engel, T. (2014, December). Intercepting calls with CAMEL. In SS7: Locate, Track &
Manipulate, p34. [pdf document] Retrieved from:
http://berlin.ccc.de/~tobias/31c3-ss7-locate-track-manipulate.pdf
Dryburgh L., Hewet J. (2005, June). Supplementary Services. In Signaling System No. 7
(SS7/C7): Protocol, Architecture, and Services. (Chapter 13) Retrieved from:
https://www.informit.com/library/content.aspx?b=Signaling_System_No_7&seq
Num=119
The Fall of SS7 – How Can the Critical Security Controls Help?
Hassan!Mourad,[email protected]! ! !
Engel, T. (2014, December). HLR: Stealing Subscriber. In SS7: Locate, Track &
Manipulate, p42. [pdf document] Retrieved from:
http://berlin.ccc.de/~tobias/31c3-ss7-locate-track-manipulate.pdf
Engel, T. (2014, December). Cell level tracking with SS7/MAP. In SS7: Locate, Track &
Manipulate, p13. [pdf document] Retrieved from:
http://berlin.ccc.de/~tobias/31c3-ss7-locate-track-manipulate.pdf
Engel, T. (2014, December). Location Services. In SS7: Locate, Track & Manipulate,
p24. [pdf document] Retrieved from: http://berlin.ccc.de/~tobias/31c3-ss7-locatetrack-manipulate.pdf
Engel, T. (2014, December). HLR: Supplementary Services. In SS7: Locate, Track &
Manipulate, p44. [pdf document] Retrieved from:
http://berlin.ccc.de/~tobias/31c3-ss7-locate-track-manipulate.pdf
Engel, T. (2014, December). Denial of Service. In SS7: Locate, Track & Manipulate,
p.30. [pdf document] Retrieved from: http://berlin.ccc.de/~tobias/31c3-ss7-locatetrack-manipulate.pdf
Council on Cyber Security (2015). The critical security controls. Retrieved from:
http://www.counciloncybersecurity.org/critical-controls/
Cole E., Tarala J. (2015). Critical Security Control 13 – Boundary Defenses. In
Implementing and auditing the critical security controls – In depth – Book4, p.1
Cole E., Tarala J. (2015). Critical Security Control 14 – Maintenance, Monitoring &
Analysis of Audit Logs. In Implementing and auditing the critical security
controls – In depth – Book4, p.1-102
The Fall of SS7 – How Can the Critical Security Controls Help?
Hassan!Mourad,[email protected]! ! !
Cole E., Tarala J. (2015). Critical Security Control 19 – Secure Network Engineering. In
Implementing and auditing the critical security controls – In depth – Book5, p.1-
103
Cole E., Tarala J. (2015). Critical Security Control 20 – Penetration Test and Red Team
Exercises. In Implementing and auditing the critical security controls – In depth –
Book5, p.1-127
Cole E., Tarala J. (2015). Critical Security Control 4 – Continuous Vulnerability
Assessment and Remediation. In Implementing and auditing the critical security
controls – In depth – Book2, p.1-63
Cole E., Tarala J. (2015). Critical Security Control 18 – Incident Response and
Management. In Implementing and auditing the critical security controls – In
depth – Book2, p.1-27
Cole E., Tarala J. (2015). Critical Security Control 3 – Secure Configurations for
Hardware and Software on Mobile Devices, Laptops, Workstations & Servers. In
Implementing and auditing the critical security controls – In depth – Book5, p.1- 83

Kısaltmalar

– AuC: Authentication Center
– ATI: Any Time Interrogation
– CN: Core Network
– GMLC: Gateway Mobile Location Center
– gsmSCF: GSM Service Control Function
– GT: Global Title
– HSS: Home Subscriber Server
– HLR: Home Location Register
– MSC: mobile Switching Center
– PSI: Provide Subscriber Information
– PSL: Provide Subscriber Location
– SMS-GW: Short Message Service Gateway
– SRI-SM: Send Routing Information – Short Message
– VLR: Visitor Location Register

 

BİLİŞİM SİSTEMLERİ ÜZERİNE ARAMA VE EL KOYMA TEDBİRİNE İLİŞKİN MEVZUAT VE UYGULAMADA YAŞANAN SORUNLAR

Tezin ilk bölümünde, genel olarak dijital delil ve dijital delil ile ilgili kavramlara değinilmiştir. Bilişimin sisteminin terminoloji ve uygulamadaki tanımlarına kısaca yer verilmiştir. Dijital delil tanımı, hash değeri önemi ve özelliklerinden bahsedilmiştir. Bununla ilgili terminolojik yaklaşımlarda bulunulmuştur. Devamında, bilişim sistemlerinin sağladığı avantaj ve dezavantajlar konusunda bilgi verilmiştir. Özellikle tezin ana konusunun temelini oluşturan bilişim suçu kavramı, tanımı, bu suç ile ilgili işleniş biçimleri ve bir takım örnekler verilmiştir.

Tezin ikinci bölümünde ise Türk Hukukunda ki bilişim suçları üzerinde durulmuştur.
Kanun koyucunun bilişim suçu olarak hangi eylemleri kabul ettiği, hangi eylemlere bilişim
vasıtalı suçlar olarak tanımladığı üzerinde durulmuştur. Bilişim suçlarının tanımları yapılarak,
madde metinlerinin neyi ifade ettiği ayrıntılı bir şekilde açıklanmıştır. Özellikle öğretide bu
suçlarda yaşanan bir takım tartışmaların neler olduğu konusuna değinilmiştir.

Tezin üçüncü bölümünde adli bilişim kavramı ve adli bilişim sürecinde yaşananlar anlatılmıştır. Adli bilişim alanında belli bir Standardizasyonun olup olmadığı, mevcut
durumun ne şekilde devam ettiği açıklanmıştır. Olay mahalline gidilmeden önce yapılması
gerekenler ile olay mahallinde ve sonrasında teknik açıdan yapılması gerekenlerin neler
olması gerektiği hususuna değinilmiştir. Adli bilişim evreleri tanımlanmıştır.

Tezin son bölümünde ise ana konumuz olan Ceza Muhakemesi açısından bilişim sistemleri üzerine arama ve el koyma mevzuatı irdelenmiştir. Özellikle Ceza Muhakemesi Kanunu 134. Maddesinde 6526 sayılı kanun ile yapılan son değişikler ve mevcut yasal düzenlemelerin yerinde olup olmadığı açıklanmaya çalışılmıştır. Mevcut kanun maddesinde yer alan hükümlerin hangi hususlarda yetersiz kaldığı, ne şekilde değiştirilmesi gerektiği yorumlanmıştır. Ayrıca CMK 134. Maddesi ile ilgili olarak yönetmelik maddeleri incelenmiş
ve mevcut hali ile neden yetersiz kaldığı açıklanmıştır. Bunun haricinde, Kanun maddeleri
ile uygulamada yaşanan sorunlar üzerinde durulmuştur. Emsal Yargıtay kararlarından kısaca
örnekler verilerek yan mevzuatlar incelenmiştir. Son olarak; haksız bir şekilde arama ve el
koyma tedbirine maruz kalan bir kişinin başvurabileceği hukuki haklarından bahsedilerek
tezin değerlendirme ve sonuç kısmına geçilmiştir.

PHP: Single File Audio Player

Tek Dosya PHP Ses Yürütücüsü, tarayıcı, çalma listesi ve arama yapısı ile sezgisel bir tarayıcı tabanlı ses çalardır. Yapılandırma veya programlama becerisine gerek duymaz. Müziğinize harika duyarlı bit HTML5 oynatıcı sunmak için dosyanın bir kopyasını web sunucunuza kopyalamanız yeterlidir.

Projenin sayfasına gitmek için buraya demo için buraya tıklayınız.

PHP: Single File PHP Gallery

Tek dosyadan oluşan bir resim galeri script’i, tek bir PHP dosyasındaki bir web galerisi. Tek yapmanız gereken, bir galeri yapmak için betiği resim içeren herhangi bir dizine kopyalamaktır. Alt dizinler alt galeriler olacak. Resimler ve dizinler için küçük resimler otomatik olarak oluşturulur. Tek Dosya PHP Galerisi herhangi bir yapılandırma veya programlama becerisi gerektirmez.

Projenin sayfasına gitmek için buraya demo sayfası için buraya tıklatın.

Android Adli Bilişim – Otomatikleştirilmiş veri toplama ve raporlama

Bu araştırmada, olaya müdahale eden, güvenlik denetçilerini, proaktif güvenlik izleyicilerini ve adli araştırmacıları ilgilendiren birçok veri setini sürekli olarak toplamak üzere Android akıllı telefonlar için kurumsal bir prototip izleme sistemi geliştirilmiştir. Kapsanan birçok veri seti, mevcut diğer kurumsal izleme araçlarında bulunamadı. Prototip sistemi ne kök ayrıcalıklarını ne de doğru işlem için Android mimarisinin çözümlemesini gerektirmez, böylece Android cihazları arasındaki birlikte çalışabilirliği artırır ve sistem için casus yazılım sınıflandırmasını önler. Kurcalamaya karşı savunmasız alanları belirlemek ve daha da güçlendirmek için sistemde bir anti-adli analiz yapıldı. Bu araştırmanın katkıları, türünün ilk açık kaynaklı Android kurumsal izleme çözümü, yükseltilmiş ayrıcalıklar olmadan koleksiyon amaçlı kullanılabilecek veri setlerinin kapsamlı bir rehberinin ve çeşitli Android uygulama bileşenlerini sahada uygulamak için yararlı yeni bir tasarım stratejisinin kullanıma sunulmasını içermektedir.

Akıllı Android Telefonlar İçin Fiziksel Adli Imaj Edinim Araçları

ÖZET

Cep telefonları, özellikle de akıllı telefonlar hayatımızda önemli bir rol oynamaktadır. Mobil cihaz pazarının muazzam büyümesiyle, onları suç faaliyetinde kullanma imkânı da sürekli artacak. Android, piyasadaki son derece rekabetçi platformlardan biridir. Birçok üretici tarafından kullanılan Android, farklı modelleri çalıştırmak için kullanılıyor ve bu da güçlü bir çeşitliliğe neden oluyor. Böylece, Android tabanlı akıllı telefonların fiziksel imaj ediniminin zorluğu, özellikle son Android sürümünün kaynak kodu çok geç yayınlanması ile ortaya çıkıyor. Sonuç olarak, en yeni sürüm belleğe sahip mevcut akıllı telefonlar, mevcut akıllı telefon adli araçları kullanılarak edinilemez. Bu yazıda, fiziksel olarak edinme olanağı sunan bazı mobil cihaz adli araçlarının kapsamlı bir perspektifi verilmektedir. Bu araçların karşılaştırmalı analizi, maliyet, bütünlük, veri kurtarma, kullanışlılık, adli veri aşamalarını dışa aktarma yolları ve genelleştirilmiş android akıllı telefonları destekleme yöntemlerini içeren farklı parametrelere dayanarak gerçekleştirilmiştir.

Android akıllı telefonların firmware(bellenim) güncelleme protokollerine dayalı yeni bir edinim yöntemi

Android 6’nın piyasaya sürüldüğü şu zamanlarda pazardaki iOS payı artmış olsa da, akıllı telefon pazarında, Android hakim işletim sistemi olmaya devam ediyor. Piyasaya sürülen çeşitli Android akıllı telefonlar için veri toplama ve analizini gerçekleştiren adli çalışmalar
yürütülmektedir. Bununla birlikte, yeni Android güvenlik teknolojilerinin uygulanması ile
mevcut adli yöntemleri kullanarak veri edinmek daha zor hale gelmektedir. Bu sorunu çözmek için, Android akıllı telefonların firmware (bellenim) güncelleme protokollerini analiz etmeye dayalı yeni bir inceleme yöntemi önermekteyiz. Android akıllı telefonların fiziksel olarak edinilmesi ile önyükleme yükleyicisinde (bootloader) yer alan firmware güncelleme protokolü, tersine mühendislik yapılarak flash bellek okuma işlemi gerçekleştirilebilir (imaj alma).


Deneysel sonuçlarımız, önerilen yöntemin ekran doğrulama kilidi aktif akıllı telefonlarla (USB
hata ayıklama devre dışı bırakılmış [USB Debug] olsa dahi) bütünlük garantisi, edinim hızı ve
fiziksel döküm açısından mevcut adli bilişim yöntemlerine göre daha üstün olduğunu
göstermektedir.

 

Adli Bilişim Açısından Android Mobil Uygulamalarının Gizliliğini Değerlendirmek

Bu çalışmada Android işletim sisteminin RAM adı verilen geçici/uçucu belleğinde yer alan çeşitli Android uygulamalarına ait kimlik doğrulama verilerinin elde edilmesine yönelik teknikler hakkında incelemeler yapılmıştır. Çalışma sırasında tamamen açık kaynak kodlu inceleme araçlarından yararlanılmıştır.  Birinci bölümde hassas kullanıcı verisi içerebilecek çeşitli kategorilerde 13 farklı Android uygulamasının kimlik doğrulama bilgileri, 30 farklı senaryo altında, mobil aygıtın fiziksel belleğinden ayıklanarak hassas verileri elde edilmiştir. İkinci bölümde elde edilen bellek dökümleri içerisinde, ilgili uygulamaların hassas verilerinin yer aldığı bellek konumları tespit edilmiştir.  Üçüncü bölümde ise toplanan veriler  ışığında Android mobil uygulamaların ve cihazların mahremiyeti ile ilgili bir dizi kritik gözlem sonucu ortaya koyulmuştur.

Mesleki Yabancı Dil Dersi (Bilişim Teknolojileri Kelime Bulmacaları)

 

Çoğu insan puzzle çözmeyi sever. Kelime bilgisi sınavlarını daha zevkli hale getirmek için puzzle şekline getirebilirsiniz. Böylece öğrenciler kelimeler hakkında daha fazla düşüneceklerinde ve daha kalıcı olacaktır. Aşağıda FindThatWord adlı ücretsiz program ile oluşturduğum kelime bulmacaları ve cevapları yer alıyor. Mesleki ingilizce dersinin modüllerinde geçen kelimelerden oluşturduğum 7 adet bulmacanın kaynak dosyalarını da program ile beraber veriyorum. Arşivin içinde png dosyalarını da bulabilirsiniz. Umarım faydalı olur.