Wi-Fi ve KRACKS (Key Reinstallation Attack) Saldırısı Hakkında

 

 

WPA2 kablosuz ağ güvenliği kullanan cihazların büyük bir bölümünü etkileyen bir güvenlik açığı tespit edildi. Detaylarının Mathy Vanhoef tarafından krackattacks.com sitesinde açıklandığı, güvenlik zafiyetine göre. Herhangi bir kablosuz ağdaki var olan iletişimin saldırganın bilgisayarına yönlendirilerek deşifre edilebilmesi mümkün oluyor. Bu saldırıda Wi-Fi ile haberleşen iki cihazın (cihaz PC, USB Wifi Dongle ya da Mobil cihazlardan herhangi birisi olabilir) iletişiminde araya girilerek veriler elde ediliyor. Cihazların kendisine karşı yapılan bir saldırı söz konusu değil. Şuanda, kablosuz ağın parolasını elde etme ya da değiştirme gibi bir zafiyet söz konusu değil, sadece var olan kablosuz iletişim deşifre edilip kaydedilebilir.

Zafiyetten kurtulmak için tek çare kullanılan işletim sistemi ve cihaza (modem veya kablosuz erişim noktası) gerekli güvenlik yamasının uygulanması. Bu yamayı yayınlamayan üreticilerin cihazlarını kullanmaya devam etmek tüm verilerinizin yakındaki bir kişi tarafından elde edilmesi demek. Bu noktada bilinen ve ürün desteği iyi markaları tercih etmenin önemi bir kez daha ortaya çıkıyor. Eski ve Çinli üreticilere ait cihazların çöp olduğunu söyleyebilirim.

Bilgi işlemciler için konuyla ilgili bazı satır başları:

  • Bu güvenlik açığına karşı Windows bir yama (Windows 10 ve üstü işletim sistemleri için) yayınlamış durumda.
  • Temmuz’un 15’inde Free BSD geliştiricileri ile paylaşılan güvenlik açığı bu işletim sisteminde giderilmiş durumda.
  • Ortalama 2 yıllık yazılım güncelleştirmesi sunan Android yüklü cihazlar için durum daha vahim. Etkilenen cihazların oranı %41 olarak belirtilmiş.
  • Apple ürünlerinde (iOS, tvOS, watchOS, macOS) bu açık giderilmiş durumda.
  • Android 6.0 ve üzeri cihazlarda risk daha fazla.
  • Mathy Vanhoef konu ile ilgili yayınladığı teknik makale buradan indirilebilir.
  • WPA2 zaafiyetinin (CVE-2017-13082: Key Reinstall in FT Handshake (802.11r)) test araçlarının test sürümleri yayınlanmış durumda: https://github.com/vanhoefm/krackattacks-test-ap-ft
  • SANS’ın zafiyeti anlatan 70 dk’lık teknik videosu: https://www.youtube.com/watch?v=uozuwYi6Dtw&feature=youtu.be

Yazılım güncelleştirmesi alınamayan cihazlar ve işletim sistemlerinin güvenliğini kısmi olarak sağlamak için uygulanabilecek güvenlik tedbirleri şöyle:

  1. Yama yüklenemiyorsa açıktan korunmak için yerel ağ içinde VPN kullanın.
  2. Güvenlik duvarını yapılandırarak cihaz ve kablosuz erişim noktası arasındaki iletişimi sınırlayın.
  3. DHCP sunucuyu devre dışı bırakın ve elle IP yapılandırması uygulayın.
  4. Kablosuz ağın isminin (SSID) yayınlanmasını kapatın.
  5. Bu bir yönlendirme saldırısı olduğundan ağ cihazlarınızın MAC adreslerini statik olarak tanımlayın (persistent)
  6. HTTPS Everywhere tarayıcı eklentisini yükleyerek girilen sitelerin HTTPS ile ziyaret edilmesini zorlayabilirsiniz (strict https desteği olmayan uygulamalar için sslstrip’e karşı bir miktar koruma sağlar).

LTE ve IMSI Catcher Efsanesi

LTE ve IMSI Yakalayıcı Efsaneleri

Ravishankar Borgaonkar*, Altaf Shaik, N. Asokan#, Valtteri Niemi§, Jean-Pierre Seifert
* Aalto University
Email: [email protected]

Technische Universita ̈t Berlin and Telekom Innovation Laboratories
Email: (altaf329, jpseifert) @sec.t-labs.tu-berlin.de

# Aalto University and University of Helsinki
Email: [email protected]

§ University of Helsinki
Email – [email protected]

Çeviri: Özgür Koca, E-posta: [email protected], www.tankado.com

Özet

Mobil cihazlar, LTE ağ servislerinin kullanılabilirliği ve bant genişliğinin artması sayesinde insan hayatında bir zorunluluk haline gelmiştir. LTE (4G) iletişim protokolleri her zaman abonelerin konum mahremiyeti ve çeşitli ağ servislerinin bulunulabilirliği açısından bazı vaatleri yerine getirmiştir. Bu çalışmada LTE’nin ağ güvenlik protokolleri analiz edilerek bazı LTE güvenlik standartları ile LTE için kullanılan ağ cihazlarının çipsetlerinde sorunlar tespit edilmiştir. LTE cihazlara karşı yapılan istismarlar deneysel bir sahte baz istasyonu kullanılarak gerçekleştirilmiştir.

Sunuş

Akıllı telefonların ve yeni mobil uygulama ve hizmetlerin artmasıyla birlikte LTE’nin yüksek hızlı veri bağlantılarının vaat etmesi hayati sosyal faydalar sağlamada ve tüketici deneyimini zenginleştirmede hayati bir rol oynamaktadır. Ancak bu gelişmeler ve mobil cihazlara olan güven acil servis ağları ve mobil ekosistem boyunca yeni gizlilik ve erişilebilirlik sorunlarının ortaya çıkmasına neden olmuştur.

Mobil iletişim ağlarındaki güvenlik, her nesilde artmaktadır. 3G, IMSI Catcher’ların kullanıldığı sahte baz istasyonu saldırıları yapmayı zorlaştıran karşılıklı kimlik doğrulama özelliğini getirmiştir. LTE ise pek çok sinyal protokolünü, kimlik doğrulama ve bütünlük koruması ekleyerek güvenlik açısından sıkılaştırmıştır. Genel kabul gören inanç da, LTE güvenlik açısından sağlamdır ve özellikle sahte baz istasyonu saldırılarının gerçekleştirilmesi zordur.

Bu çalışmada, LTE 3GPP belirtiminde ve baz bandı yonga setlerinde farklı sorunları keşfettik. Bu sorunlar, bir saldırganın LTE abonelerini izlemek için sahte baz istasyonu saldırıları düzenlemesine ve seçilen ağ hizmetlerini reddetmesine izin verir. Ticari LTE telefonlara yönelik bu saldırıları düşük maliyetle ve gerçek bir operatör ağı için de değerlendirdik. Ek olarak, abonelerin pasif izleme işlemine yardımcı olmaktan sorumlu LTE ağ yapılandırması sorunlarını ele alacağız.

Bu döküman şu şekilde yapılandırılmıştır. Birinci bölümde, abonelerin konumları hakkında bilgi sızdıran aldırılar gösterilmiştir. LTE şebekelerine bağlı abonelere yönelik hizmet reddi saldırıları Bölüm 2’de tartışılmıştır. Etik hususlar ve deney düzeneği 3. bölümde sunulmuştur. Dördüncü bölümde de sonuçlar değerlendirilmiştir.

Konum Bilgisi Saldırıları

Zaten 2G (GSM) şebekeleri konum gizliliği önem verilerek tasarlanmıştır. Bir mobil cihaz bir şebekeye bağlandığında, ona TMSI adında geçici bir tanımlayıcı verilir (TMSI – Geçici Mobil Abone Kimliği diye bilinir). Mobil cihaz ve şebeke arasındaki tüm sinyal mesajları, bundan sonra kullanıcının kalıcı tanımlayıcıları yerine sadece TMSI’ye kullanılarak yapılır (Telefon numaraları veya IMSI’ler gibi – Uluslararası Mobil Abone Kimliği). TMSI’ler sıklıkla rastgele değerler ile güncellenirler (örneğin mobil cihaz konum değiştirdiğinde). Bunun amacı, bir saldırganın radyo iletişimini pasif bir şekilde izleyerek, TMSI’leri belirli bir kullanıcının sabit kimlik tanımlayıcısı ile ilişkilendirememesi ve konumunu takip edememesi içindir. Birkaç yıl önce Dennis Foo Kune ve arkadaşları, 2G (GSM) şebekesinde saldırganın, hedef kullanıcıya ait bir telefon numarasını kullanarak bir sayfalama (paging) isteğini tetikleyebilen bir mesajın (sessiz bir metin mesajı göndererek veya bir çağrıyı başlatarak ve hızlı bir şekilde sonlandırarak) gönderilebileceğini gösterdiler [2]. Sayfalama istek mesajları TMSI numaralarını içerir. Böylece TMSI numarası ile hedefin telefon numarası ilişkilendirilmiş olur.

Çağrı isteklerinin, şaşırtıcı bir şekilde sosyal ağ mesajlaşma uygulamalarının kullanıldığı yeni bir yöntem ile etkilenebileceğini keşfettik. Örneğin, Facebook arkadaşınız olmayan birisi size anlık ileti gönderirse, Facebook spam koruması mekanizması gereği olarak mesajı sessizce “Diğer” klasörüne koyacaktır (spamcı Facebook’a 1 Avro ödemediyse). LTE destekli akıllı telefonunuzda Facebook Messenger yüklü ise, gelen Facebook mesajının oluşturduğu trafik, telefonunuzun konumunun izlemesine ve TMSI’nizin Facebook kimliğiniz ile ilişkilendirilmesine izin veren bir sayfalama isteği gönderir (paging request).Konunun daha da kötü yanı TMSI numaraları yeterince sık güncellenmez. Örneğin bir kentsel alanda birden fazla mobil operatörün atadğı TMSI’lerin geçerlilik süresini üç gün olarak gözlemledik. Başka bir deyişle, saldırgan TMSI’nızı bildikten sonra hareketlerinizi pasif olarak üç güne kadar takip edebilir.

Sahte baz istasyonu kullanan aktif bir saldırgan daha da iyi olabilir. LTE erişim ağı protokolleri, ağ hatalarını gidermek, arızaları tespit etmek ve gidermek için çeşitli raporlama mekanizmaları içerir. Örneğin, başarısız bir bağlantı sonrasında, bir baz istasyonu bir LTE cihazından en son hangi baz istasyonlarını hangi sinyal gücüyle gördüğünün raporunu ister. Bir saldırgan böyle bir raporu yakaladığında bu bilgiyi cihazın konumunu bulmak için kullanabilir. Baz istasyonlarının GPS konumları kamuya açık olarak yayınlanmaktadır. Aslında test ettiğimiz en az bir cihaz GPS konumunu tam olarak bildirdi. Arıza giderme mekanizmaları büyük mobil ağların güvenilir çalışması için gereklidir. LTE tasarımcıları, potansiyel kullanıcı gizliliği kaybı ve şebeke güvenilirliğinin sağlanabilmesi arasında dengeli ve zor bir tasarıma sahiptirler.

2. Servis Dışı Bırakma Saldırıları

Başka bir ülkeye seyahat ettiğinizi ve mobil aboneliğinizin dolaşım izni olmadığını hayal edin. Telefonunuz gittiğiniz yerdeki operatöre bağlanmaya çalıştığında bu ağı kullanma izniniz yok şeklinde bir red mesajı alacaktır (“Dolaşıma İzin Verilmedi” gibi). Telefonunuz bu cevabı kesin bir talimat olarak kabul eder siz cihazınızı yeniden başlatıncaya kadar bir daha bağlanmayı denemez. Bu telefonunuzun abonesi olmadığı bir ağa bağlanmayı sürekli deneyerek batarya tüketmesinin önüne geçmek içindir. Aynı zamanda havada gereksiz sinyalleşmelerin dolaşmasını da engeller. Tasarımdaki bu tercih güvenilirlik ve performansdan kaynaklanır. Tahmin edebileceğiniz gibi: bir saldırganın etkin bir şekilde 2G’den hizmet alabilmesi için 4G cihaza verilen 3G ve 4G hizmetlerini engelleyebileceğini göstereceğiz. LTE bağlantısı kurulum aşamasında karşılıklı anlaşılan parametreler zayıftır açısından 2G ile iletişim kurulduğunda zafiyetler doğurur.

3. Deneysel Kurulum ve Hususlar

Saldırıların fizibilitesini yapabilmek için, açık kaynaklı yazılım ve kolaylıkla temin edilebilen donanımsal araçlardan yararlanarak sahte bir baz istasyonu kurduk. Bir LTE test ağı oluşturmak için baz istasyonu görevi gören bir USRP B210 cihazı [3] kullandık. Yazılım tarafında ise ticari LTE cihazlarıyla iletişim kurabilmek için OpenLTE [4] ve srsLTE [5] paketlerinde değişiklik yaparak kullandık. Aşağıdaki fotograf kurulumu göstermektedir:

Denemelerimizin çevredeki diğer telefon kullanıcılarıyla etkileşimini önlemek için önlemler aldık. Aktif saldırılar bir Faraday kafesde [6] yürütülürken, pasif saldırılar için normal kullanıcılara hizmet kesintisi yapmamaya özen gösterdik. Sadece önceden belirlenmiş test cihazlarımızı bir saldırıya maruz bıraktık. Kullandığımız tekniklerin daha ayrıntılı açıklaması [1] ‘de bulunabilir. Tespit ettiğimiz güvenlik açıklarını baz bant yonga seti üreticilerine ve standardizasyon kurumlarına bildirdik.

4. Sonuçlar

Bu çalışma ile LTE standartlarında ve baz bant yonga setlerinde, sahte bir baz istasyonu kullanarak abonelerin izlenmesine ve hizmet reddine olanak tanıyan yeni güvenlik açıklarını gösterdik. Saldırı tekniklerimizi birçok LTE cihazı üzerinde test ettik. Ayrıca, deneysel kurulumumuzda Facebook gibi popüler sosyal uygulamalar kullanılarak gizlilik saldırılarının nasıl gerçekleştirilebileceğini gösterdik. Araştırma raporumuz [1] daha teknik ayrıntılar sunmaktadır. Çalışmalarımızla ilgili güncel bilgiler için proje web sitesini ziyaret edebilirsiniz (https://sesy.org/).

Referanslar

1. http://arxiv.org/abs/1510.07563
2. http://www.internetsociety.org/location-leaks-over-gsm-air-interface
3. http://www.ettus.com/product/details/UB210-KIT
4. http://openlte.sourceforge.net/
5. https://github.com/srsLTE/srsLTE
6. http://www.gamry.com/application-notes/instrumentation/faradaycage

SS7’nin Düşüşü: Kritik Güvenlik Kontrolleri İşe Yarayabilir mi?

SS7’NİN DÜŞÜŞÜ – KRİTİK GÜVENLİK KONTROLLERİ İŞE YARAYABİLİR Mİ?

GIAC (GCCC) Gold Certification
Author: Hassan Mourad, [email protected]
Translate: Özgür Koca, [email protected]

Advisor: Stephen Northcutt

Özet

SS7 iletişim ağı yapısı gereği operatörlerin kapalı ağları içerisinde düğümlerin birbirine doğal güvenleri söz konusudur. Bu kapalı ağa dahil olabilen saldırgan bu doğal güven hiyerarşisini, kullanıcının konumunu belirleme, çağrısını dinleme ve sistemi servis dışı bıkramaya kadar saldırılar düzenleyebilir. Bu güven ilişkisi ülkesel ve global ölçeklerde operatörler arasında da geçerlidir. Operatör ağına sızan birisi roaming özelliğinden ötürü otomatik olarak dünyadaki tüm operatörlerin ağları üzerinde de erişim kazanır. SS7 kapalı ve güvene dayalı bir ağ olduğu için bu konuda yapılan güvenlik araştırmaları sınırlı kalmıştır.

  1. Sunuş

2014’ün ağustos ayında Washington Post gazetesinde dünyadaki herhangi bir cep telefonu kullanıcısını takip etme ile ilgili bir haber yayınlamıştı (Timberg 2014). Özellikle SS7’nin kullanıcıları takip etmeye izin veren açıklar telekom cihaz üreticileri tarafından kullanılabilmektedir. Aynı makalede üreticilerin cihaz broşürlerinde abone lokasyonunu nasıl bulduklarını anlattıklarına da değinilmektedir.

2014’ün sonlarına doğru Berlin’de Chaos Communication Congress’de SS7’nin birçok zafiyeti, araştırmacılar tarafından gözler önüne serildi. Bunlardan biri de P1 Security araştırma grubunun oluşturduğu dünya SS7 güvenlik haritasıdır. “Laurent Ghigonis and Alexandre De Oliveira from P1 Security presented their SS7 global security map(P1 Security, 2014)”

SS7 ağlarında güven yapısı operatörler arasında belli kurallar ile oluşturulmuş, sonuç olarak birbirlerine güven ilişkisi ile bağlı kapalı ve güvenilir bir ağ olarak kabul edilir. Bu güven ilişkisi açıkça artık geçerli değildir ve bu tür ağlardaki güvenlik boşluklarını analiz etmek ve bu boşlukları kapatmak için gerekli kontrolleri uygulamak için acil bir ihtiyaç oluşmuştur.

Bu açıkça artık geçerli değildir ve bu tür ağlardaki güvenlik boşluklarını analiz etmek ve bu boşlukları kapatmak için gerekli kontrolleri uygulamak için acil bir ihtiyaç artmaktadır.

Bu yazıda SS7’ye karşı saldırıları ve SS7 güvenlik açıklarını gidermek ve temel ağ güvenliğini artırmak için ilgili güvenlik denetimlerini yapmak maksadıyla kritik güvenlik kontrollerini inceleyeceğiz.

2. Çekirdek Ağ Mimarisi

3. No. 7 Sinyalleşme Sistemi

SS7 1980s in ITU-T Q.700 ile standardize edilmiş bir protokoller kümesidir. 1990 yılında yeni protokoller eklenmiştir. ETSI tarafından 2000 yılında 3GPP destek ve servisi eklenmiştir.

4. SS7 Saldırıları

SS7 doğası gereği kullanıcının konumu çağrı ve SMS detayları hakkında saldırılara açıktır. Finansal sistemler ve diğer kimlik doğrulama sistemleri de bu alt yapıya bağımlıdır ve SS7 tarafından yetkilendirilir.

4.1 Çağrı ve SMS Ele Geçirme

İletişimi ele geçirme konusu her zaman bir istihbarat faliyetinin ana amacı olmuştur. Kablolu telefonların ilk günlerinde saldırganın gidip gelen çağrıları dinlemesi için kabloya fiziksel olarak erişmesi gerekliydi.

Kablosuz iletişime geçildiğinde çağrılar bir radyo sinyali olarak havadan iletilmeye başlandı. Normalde havadan giden trafik şifrelenerek gönderilir. Şifreleme A5/1 ve A5/3 algoritmaları ile yapılır. Uzun süre önce A5/1’in kırıldığı ve ucuz radyo cihazları ve Rainbow tabloları ile çağrı transferinin deşifre edilebildiği kanıtlanmıştır (Nohl, Munant, 2010). Sonuç olarak operatörler bu zafiyetle başetmek için daha güvenli olan A5/3’ü kullanmaya başlamışlardır. Yine de SS7’nin çağrı ve sms izleme hakkında zafiyetleri olduğu yakın zamanda gösterilmiştir.

4.1.2 Çağrı yakalama ve kimlik sunma

Çağrı başlatılmadan önce kullanıcın kimliği gizli bir anahtar ile operatör tarafından teyit edilir. Bir çağrı bulunulan hücre içinde başlatıldığında ve kullanıcı konumunu değiştirdiğinde, çağrının başlatıldığı hücre üzerinden verilen yetkinin iletişimin güvenliği açısından operatör tarafından yeni hücreye de aktarılması gerekir. Bu aktarım sendIdentification isimli MAP mesajı ile gerçekleştirilir. Yeni hücre bu mesajı eski hücreye göndererek bir yetki ister (Dryburgh, Hewet, 2005). Bu yetkinin kapsamın havadaki trafiği şifreleyen anahtarın kendisidir.

Bir saldırı senaryosunda; kurbana fiziksel olarak yakın olan saldırgan havadaki görüşme trafiğini koklar ve kaydeder. Saldırgan SS7 ağı üzerinden yeni hücrenin adresini kullanarak eski hücreye kurbanın yerine sendIdentification mesajı göndererek şifreleme anahtarını elde eder (Nohl, 2014, p7).

Bu saldırının gerçekleşememesi için iletişimin sadece o ağın meşru cihazları tarafından yürütülmesi gerekir. SS7 ağına sızma zafiyet içeren bir operatörün ağı kullanılarak gerçekleştirilir. Dolayısıyla izinsiz cihazların global ölçekte işleyen SS7 ağına dahil olmalarının engellenmesi gerekir.

Şekil – Çağrı Elegeçirme için sendIdentification Mesajı Kullanımı

4.1.2 Interception – 3G IMSI Catcher

İkinci nesil şebekelerde cihaz operatör ağı ile bir güven ilişkisi kurmaz. Bağlandığı operatör ağının güvenli bir ağ mı yoksa sahte bir ağ olup olmadığını denetlemez. Hücresel şebeke mantığında cihaz (cep telefonu) tanıtıcı kimlik bilgisi doğru tanımlamış (örneğin operatör ismi. Vodafone, XXXcell vs) cihazdaki tanımla örtüşen sinyali en güçlü ağa cihaza bağlanma eğilimindedir (Strobel, 2007). Böylece cihaz yabancı bir ağa ya da saldırganın yakınlarında konuşlandırdığı bir radyo cihazının ağına otomatik olarak bağlanır.

3G ağlarda bu tür bir saldırı mümkün değildir. Bir çağrı kurulmadan önce ağ, çağrı yapana geri bağlanarak kimliğini teyit eder. Ancak saldırgan SS7 ağına bağlanarak sendAuthenticationInfo isimli MAP mesajını göndererek meşru ağın kimliğini öğrenebilir Nohl, 2014, p8). Saldırgan SS7 ağına erişimi genellikle global ölçekte zafiyate sahip bir operatör ağına bağlanarak gerçekleştirir. Ne yazıkki global ölçekte dolaşımı sağlamak için kullanılan bu özellik operatör dışı ağların denetim dışında olmasından dolayı sınırlandırılması mümkün değildir. Esas sorun SS7’nin global ölçekte kapalı bir ağ oluşturmak üzere tasarlanmasından kaynaklanır.

Şekil – sendAuthinticationInfo Mesajı ile 3G IMSI Yakalayıcı

4.1.3. Giden Çağrıların Ele Geçirilmesi – CAMEL gsmSCF

GSM Servis Kontrol İşlevi (gsmSCF), şu işlevleri yerine getirir: CAMEL mantıksal hizmeti SS7 ağı içerisindeki bağlantının başlatılması sürdürülmesini, değişimini ve iptalini sağlayan bir dizi olayların yönetimi yerine getirir (Engel, 2014, s31). Bu özellik alan kodunu değiştirmek veya uluslararası kod ekleyerek giden çağrıların numaraları değiştirmek için kullanılır.

Şekil – Hedef için gsmSCF adresini Manipüle Etmek

Şekil – Saldırganın Giden Çağrı Numarasını Yeniden Yazması

SS7 ağına erişen biri saldırgan insertSubscriberData mesajı ile kurbanın gsmSCF adresini kendi kontrolünde olan bir adres ile değiştirebilir (Engel, 2014,p34). Kurbanın giden çağrıyı yaptığı numarayı kendi numarası ile değiştiren saldırgan çağrıyı hedefine ulaşmadan ele geçirerip kaydedebilir (Engel, 2014, p35). Bu saldırının yapılabilmesi için saldırganın aynı operatör ağı üzerinde olması gerekmediğinden önlem için dış operatörlerden gelen bu mesajlara karşı ayrıca filitreleme yapılması gerekir.

4.1.4. Gelen Çağrıyı Ele Geçirme – Çağrı Yönlendirme

RegisterSS mesajı abonelere yeni hizmetler kaydetmek için kullanılan bir mesajdır. Bu hizmetlerden birisi de çağrı yönlendirmedir (Dryburgh, Hewet, 2005). Bir saldırgan registerSS mesajını kendi kontrolündeki numaraya çağrı yönlendirmek için kullanılır. İşi bittiğinde eraseSS mesajı ile mevcut yönlendirmeyi silerek gerçek aboneye tekrar yönlendirebilir. Bu yöntemle saldırgan gelen çağrıları alıp kaydedebilir.

4.1.5. SMS’i Ele Geçirme

updateLocation mesajı abonenin konumunu ağdaki konumunu güncellemek için kullanılır. Bu aynı zamanda abone cihazının hala ağa bağlı olduğunu belirtmek için de kullanılır. Saldırgan sahte updateLocation mesajı ile kendini kurbanın yerine kaydettirerek SMD’leri ele geçirebilir. SMS’ler birçok sistem ve web sitesi tarafından gönderilen şifreler ile kimlik doğrulaması yapmak için kullanılır.

Ne yazıkki updateLocation mesajı roaming kapsamında dış networklerden de gönderilebilir ve bunu önlenemeyebilir.

Şekil – Abone Konumunu Sahte Konum ile Güncellemek

Şekil – Saldırgan Abonenin SMS Mesajlarını Alır

4.2. Konum Takibi

İstihbarat faaliyetleri açısından hedefin konumu çok değerli bir bilgidir. Başka bir ülkedeki hedefinizin konumunu herhangi bir fiziksel takip aracı kullanmadan elde edebileceğinizi düşünün.

4.2.1. Konum Takibi – anyTimeInterrogation (ATI)

Abonenin HLR’sine bir anyTimeInterrogation mesajı gönderildiğinde bir abonenin bağlı olduğu VLR/MSC’ye gönderilen bir provideSubscriberInfo(PSI) mesajını tetikler. Bu diğer bilgilerle birlikte abonenin hücre kimliğini (Cell-ID) bilgisini de geri döndürür.

Saldırgan bu mesajı Cell-ID’yi elde etmek için kullanabilir. Daha sonra bu hücre bilgisi internette açık olarak paylaşılan hücre haritaları ile coğrafi konuma çevrilebilir (Engel, 2014, p13).

Şekil – Hedefin Konumunu Elde Etmek için anyTimeInterrogation Mesajının Suistimal Edilmesi

Neyse ki anyTimeInterrogation mesajı dış ağlardan etkilenme durumu yoktur. Operatör ağının girişinde filtrelenebilir.

4.2.2. Konum Takibi – provideSubscriberInfo (PSI)

Bu örnekte ATI mesajları filitrelenmiştir, saldırgan hala abonenin bağlı olduğu MSC/VLR’ye doğrudan provideSubscriberInfo mesajı gönderebilir.

Saldırgan ilk olarak IMSI’yi bulmaya ve MSC’nin adresine gerek duyacaktır. MSC’nin adresini, MSC’nin Global Title (GT) adresini geri döndüren sendRoutingInfoForSM gibi bir mesaj kullanarak elde eder. (Engel, 2014, p17)

Normal şartlarda PSI mesajı abonenin yer aldığı operatörün ağı dışından alınmaz; fakat dış operatör abonesi dolaşım (roaming) esnasında asıl operatörün ağına girerse, dış operatör tarafından alınabilir durumdadır.

Şekil – provideSubscriberInfo Kullanılarak Hücre Kimliğinin (ID) Elde Edilmesi

4.2.3. Konum Takibi – provideSubscriberLocation

provideSubscriberLocation (PSL) mesajı Gateway Mobile Location Center (GMLC) tarafından abonenin konumunu sağlamak için meşru olarak kullanılır. MSC’nin GMLC sunucunun kimliğini doğrulama yeteneği yoktur fakat gönderenin GT adresini doğrulayabilir (Engel,2014, p24)

Şekil – Konum Servisleri

Ne yazıkki saldırgan hala PSL mesajı göndermek için GMLC’nin adresini taklit edebilir durumdadır.

4.3. Dolandırıcılık

Daha önce bahsedildiği gibi SS7 mobil operatörlere bağlı bir durum olmadığı için güvensiz operatörler üzerinden gerçekleştirilen erişimler artmaktadır.

Bu durum abone üzerinden birçok haksız işlem yapmak için birçok fırsat yaratır. Bu bölümde oluşan dolandırıcılık fırsatları açıklanacaktır.

4.3.1. USSD dolandırıcılığı – processUnstructuredSS

USSD diğer birçok servis gibi operatör tarafından aboneye şifre alma, ödeme yapma ve kredi transferi gibi çeşitli ticari hizmetler vermek için kullanılan bir protokoldür. Tipik olarak abone belli bir işlemi yapmak için bir USSD kodu gönderir.

processUnstructuredSS mesajı kullanılarak saldırgan abonenin yerine USSD kodları göndererek hedef üzerinden muhtemelen kredi ve para transfer işlemi yapmaya yetki alabilir (Engel, 2014, p44).

Şekil – USSD Kodu Kullanılarak Dolandırıcılık

Ne yazıkki birçok durumda operatör dış operatörlerden bu mesajları girişine izin verir, bu durumda başka bir ülkeyi ziyaret eden dolaşımda (roamin) olan aboneler bu servislere erişmeye gerek duyacağından operatörün dış hattında filtrelenmesi çok zordur.

4.3.2. Birinci sınıf dolandırıcılık – Çağrı yönlendirme

Çağrı ele geçirmede olduğu gibi, registerSS mesajı ele geçirilen numaraının yerine ücretli bir numaraya çağrıyı yönlendirmeyi yapılandırmak için de kullanılabilir

4.4. Servis dışı bırakma

Saldırganın belli bir abonenin aldığı şebeke hizmetini engellemek için kullanabileceği birçok yol vardır. Saldırgan insertSubscriberData veya deleteSubscriberData kullanılarak abonenin önemli servisleri veya hiçbir çağrıyı almamasını sağlayabilir. Saldırgan cancelLocation mesajını kullanarak abonenin ağ ile olan bağlantısını kesebilir, böylece çağrıla ve SMS’ler ulaştırılamaz (Engel,!2014,!p30)

Şekil – SS7 Kullanılarak Servis Dışı Bırakma

Düşünülmesi gereken bir nokta da; SS7 güvenliğinde yapılacak küçük bir araştırma ile SS7 uygulamalarının güvenlik zafiyetlerinden uzak olmadığını görebilirsiniz.

5. Zaafiyetlerin sınıflandırılması

Bir önceki bölümde açıklanan saldırıların gerçekleştirilebilmesi için kullanım amallarına göre farklı SS7 mesajlarının sınıflandırılmasına ve açıklanmasına gerek vardır. Önceki bölümde açıklanan saldırıları gerçekleştirmeyi sağlayan mesajları 3 kategoride sınıflandırabiliriz:

  • Kategori 1: Dış operatör ağları üzerinden kullanılması meşru olmaya mesajlar.
  • Kategori 2: Operatörün kendi aboneleri için gerekli olmayan fakat dolaşımdaki yabancı abonelerin alması gereken mesajlar.
  • Kategori 3: Dış operatör ağları üzerinden alınması gereken mesajlar.

Aşağıdaki tablo farklı SS7 mesajlarını, kullanıldığı saldırı senaryolarını ve kategorilerini özetlemektedir.

Mesaj Saldırı Kategori
sendIdentification (SI) Interception Category 1
sendAuthenticatioInfo Interception Category3
insertSubscriberData+gsmSCF Interception (Outgoing) Category2
registerSS–eraseSS Interception (Incoming),Fraud Category3
updateLocation Interception(SMS), Denial of Service Category3
processUnstructuredSS Fraud Category3
insertSubscriberData Denial of Service Category2
deletedSubscriberData Denial of Service Category2
cancelLocation Denial of Service Category3
anyTimeInterrogation Tracking Category1
anyTImeModification Tracking Category1
provideSubscriberInformation Tracking Category2
provideSubscriberLocation Tracking Category1
sendRoutingInformation(USM,ULCS) Facilitates multiple attacks Category3


6. Kritik Güvenlik Kontrolleri (CSC)

“Etkin Siber Savunma için Kritik Kontroller, bugün yaygın olan çoğu saldırının siber savunması için alınması önerilen bir dizi aksiyonu ifade eder. Bunlar kamu ve özel sektörden yüzlerce güvenlik uzmanının oluşturduğu konsorsiyumlar tarafından geliştirilir ve sürdürülür” (Council on cyber security, 2015)

Bu belgenin içeriğinde, SS7’nin kendisi ve opratör ağları arasındaki güvenliği artırmak üzere daha önceki bölümlerde açıklanan saldırı türlerini engellemeye yönelik alınabilecek güvenlik önlemleri inceleyeceğiz.

6.1. Critical Security Control 13 – Boundary Defenses

CSC13 iç sistemleri sıkı yapılandırılmış bir ağı korumaya adanmıştır (Cole, Tarala, 2015, p. 1-67). Başka bir deyişle ağın sınırlarının belirlenmesidir. Savunma hattının düzgün bir şekilde çizilebilmesi için SS7’ye yönelik güvenlik duvarları ve IDS/IPSs sistemlerinin SS7/MAP trafiğinin anlamladırması, algılaması ve engellemesi gerekir.

Endüstri bu tür özellişmiş sistem ve cihazları üretmeye çalışırken biz IDS/IPS gibi geleneksel sistemler ile yardımcı özelleştirilmiş filtreler kullanarak tespit etmeye ve muhtemel saldırıları bloklamaya çalışırız. Örneğin birinci kategorideki saldırılar basitçe belli MAP mesajlarına bakılarak anlaşılabilir. Aşağıdaki örnekte sendIdentification mesajı kullanılarak gerçekleştirilen çağrı ele geçirme saldırısını tespit etmeye yönelik bir SNORT filtresi yer almaktadır.

alert ip $External_Operators any -> $STP any (msg:”Call Interception Attempt sendIdentification”; content:”sendIdentification”;

İkici kategori saldırılar için, tespit operatörün IMSI aralığında MAP mesajlarının var olup olmadığına bakan filtreler ile gerçekleştirilir. Bu tarz saldırıları tespit eden SNORT filtresi şuna benzer:

alert ip $External_Operators any -> $STP any (msg:”Location tracking provideSubscriberInformation”; content:”provideSubscriberInformation”; content: “6201XXXXXXXX”;

Yukarıdaki yöntemde sinyal trafiğinin IP üzerinden taşındığı varsayılmıştır (SIGTRAN) ancak bu fiziksel yapı TDM sinyalleşmesini IP tabanlı iletişime çeviren özel ekipmanlar ile TDM üzerinden de gerçekleştirilebilir.

Ne yazık ki üçüncü kategori MAP mesajları ile kullanıcının mevcut ve son konumu gibi ileri bilgiler ilişkilendirilmesini gerektirir. Bu önceden tanımlı sabit filtreler ile gerçekleştirilemeyebilir.

6.2. Kritik Güvenli Kontrolü 14 – Bakım, İzleme & Denetim Günlüklerinin Analizi

CSC14, sistemler üzerindeki olayları sonradan analiz etmeyi ve sistemlerin durumunu anlamayı sağlayacak günlük kayıtlarının tutulmasını hedefler (Cole, Tarala, 2015, p102). Günlük kayıtları sistemler üzerinde neler olduğunu anlamak için çok değerlidir. Operatör ağının çekirdek bileşenlerini denetlemek kuruluşların log yönetimi işleminin bir parçasıdır.

Eğer mümkünse, belli MAP mesajlarının kullanımını kayıt altına alın, hem dahili loglama imkanları ile çekirdek ağ bileşenlerini hem de ağ trafiği kalitesi denetlemeye yönelik sistemlerin kayıtlarını beraber değerlendirin. Bu kayıtlar sonradan kategori 1 ve 2 deki anormallikleri tespit etmek, hem de kategori 3 saldırılarını ilişkilendirmek için analiz edilebilir.

Örneğin kısa bir süre içerisinde iç ağdan bir mesaj alındıktan sonra bir dış kaynaktan updateLocation mesajı alma arasında bir ilişki kurulabilir. Bu senaryo aslında kullanıcının kısa bir süre içerisinde yurtdışına gittiği anlamına geldiğinden normal değildir ve bu kullanıcıya karşı bir saldırı yapıldığına işaret edebilir.

6.3. Kritik Güvenli Kontrolü 19 – Güvenli Ağ Mühendisliği

İç ağlara yeni tehditlerle birlikte, güvenli ağ mühendisliği konusu mutlak bir gereklilik haline gelmiştir. Temel bir çekirdek ağ, risk altındaki farklı ağ bileşenleri doğru şekilde bölümlendirilmesi ile riskleri azaltabilir. CSC19 sağlam, güvenli ağ mühendisliği işlemleri ve ağ mimarisi konularına adanmıştır (Cole, Tarala, 2015, p103). Ağı farklı güven ilişkisi ve saldırılara maruz kalma seviyesine göre bölgelere ayırmak çekirdek ağın güvenliğini geliştirir. Dış ağdan STP’ye gelecek bir erişim HLR ve MSC gibi ağ bileşenlerinden ayrılmış olur.

6.4. Kritik Güvenli Kontrolü 20 – Sızma Testi ve Kırmızı Takım Pratikleri

Güvenli ve güvensiz iki SS7 ağı arasında kurulan ara bağlantının güvenlik açısından sınırları açıkça belirlenmelidir. CSC20 ticari sistemlerdeki potansiyel sistem zayıflıklarını tanımlamak ve sistemin topyekün güvenliğini geliştirmeye adanmıştır. Zayıflıkları tanımlamaya ek olarak, kırmızı takım pratikleri güvenlik izleme kusurlarını, karşılık verme prosedürlerindeki boşlukları ve çalışanların fazla güvenme durumlarını açığa çıkartır Cole, Tarala, 2015, p1-127).

İç ağa karşı yapılacak harici ve dahili saldırı testleri yapılmalıdır. Ağın bu bölümünün kritikliği dikkate alındığında, ürün ortamını test eden bir test yatağı oluşturulması şiddetle tavsiye edilir.

6.5. Kritik Güvenli Kontrolü 4 – Güvenlik Açıklarını Sürekli Değerlendirme ve İyileştirme

Harici kaynaklara erişimin artması ile SS7 güvenliği araştırmacılarının sayısının artması, yakın gelecekte daha fazla zafiyetin açığa çıkmasına neden olacaktır.

Milyonlarca kullanıcının hizmet almasını engelleme potansiyeli açısından SS7 zafiyetleri siber savaşta ulus devletler arasında büyük bir silah haline gelebilecektir. SS7 zafiyetlerini belirleyecek araçları ve teknolojileri geliştirmek ve bu sürecin sürekliliğini sağlamaya gerek vardır.

CSC4 bilinen zayıflıkları iyileştirerek sistemlerin korumayı amaçlar. (Cole,Tarala, 2015, p1-63) Bu kuruluşların çekirdek ağ bileşenlerini de içine alan zafiyet yönetim programlarını genişletmeleri çok önemlidir. Kritik yamalar, risk seviyelerine göre mümkün olan en kısa sürelerde test ortamlarında denendikten sonra ve üretim ortamına uygulanmalıdır.

6.6. Kritik Güvenlik Kontrolü 18 – Acil Durumlara Tepki ve Yönetim

SS7 ağlarının doğası göz önüne alındığında, SS7 güvenlik araştırmaları ve uygun bir savunma inşa etmek acil durum gerçekleştiğinde kaçınılmaz olur.

Acil durum kabiliyetlerini geliştirmek çekirdek ağ bölgesindeki olaylara uygun tepkileri vermek için çok önemlidir.

CSC18, acil durum ekipleri kurarak veri kaybı risklerini azaltmayı, kurumların anlamlı süreler içinde acil olayları tanımlama ve tepki verme yeteneklerini geliştirmeyi hedefler. (Cole, Tarala, 2015, p1-83)

Acil durum tepki ekibinin iç ağ bölgesinde uzmanlık alanı prosedürleri uygulamanın yanında acil durumları ele alması da önemlidir. Düzenli talimler farklı saldırı senaryoları için tepki becerilerini değerlendirmek için faydalıdır. (örn: Servis dışı bırakma, Yetkisi Erişim, MAP mesaj suistimali, vb.)

6.7. Kritik Güvenlik Kontrolü 3 – İş bilgisayarları, Sunucular ve Mobil Aaygıtların, Yazılım ve Donanımlarının Güvenli Yapılandırması

CSC3, güvenli yazılım yapılandırması kullanarak sistemleri korumayı hedefler (Cole, Tarala, 2015, p1-27). Çekirdek ağ bileşenleri bu konuda istisnaya sahip değildir. İster işletim sistemlerinin standart güvenli yapılandırmasından emin olunmalıdır. Normal sıkılaştırma faaliyetleri şöyledir: Kullanılmayan servisleri devre dışı bırak, kullanılmayan hesapları kaldır, son yamaları uygula, açık ve kullanılmayan portları kapat.

Benzer sıkılaştırma, hassas bilgileri içeren veri tabanlarına da yapılmalıdır. Çekirdek ağ bileşenlerinin yönetimi güvenli bir kanal üzerinde gerçekleştirilmelidir. Telnet ve VNC gibi açık metin protokoller bu kritik elemanları yönetmek için kullanılmamalıdır. Kullanılmayan MAP işlevleri ilgili ağ cihazı üzerinde devre dışı bırakılmalı sadece gerekli mesajlara izin verilmelidir.

7. Sonuç

Geçmişten miras kalan bir protokol olarak, SS7 güvenlik hassasiyetiyle geliştirilmemiştir. SIP ve DIAMETER gibi sinyalleşme protokolleri hiç bir zaman iyi bir güvenlik kontrol sunamadığı gibi hala belli güvenlik sorunlarını bulundurmaya devam etmektedir.
Çekirdek ağ bileşenleri de yeni güvenlik tehditleri düşünülerek de imal edilmedi. Hali hazırdaki ve gelecekteki tehdirler için özelleşmiş güvenlik çözümlerine ihtiyaç olduğu nettir. Fakat telekom ağlarındaki değişim ticari IT ağağlarına göre daha yavaştır çünkü sistemleri kullanan milyonlarca kullanıcısı vardır. Operatör ağları için yeni savunma çözümleri ile tanışmamız çok uzun zaman alacaktır.

Bu oluncaya kadar elimizdeki güvenlik çözümlerine odaklanmak ve mevcut tehditleri azlatmak mutlak bir gerekliliktir. Kritik güvenlik kontrolleri, hali hazırdaki güvenlik zafiyetlerine karşı iyi bir güvenlik çatısı olarak kendini göstermektedir.

Makaleyi yazan: Hassan Mourad, [email protected]
Çeviri: Özgür Koca, [email protected], www.tankado.com

Referanslar
Timberg, C. (2014, August 24). For sale: Systems that can secretly track where
cellphone users go around the globe. Washington Post. Retrieved from
http://www.washingtonpost.com/business/technology/for-sale-systems-that-cansecretly-track-where-cellphone-users-go-around-the-globe/2014/08/24/f0700e8af003-11e3-bf76-447a5df6411f_story.html
Washington Post (2013, Jan). Skylock Product Description 2013. Retrieved from:
http://apps.washingtonpost.com/g/page/business/skylock-product-description-
2013/1276/
Engel, T. (2014, December). SS7: Locate, Track & Manipulate. [Video file] Retrieved
from: https://www.youtube.com/watch?v=lQ0I5tl0YLY
Nohl K. (2014, December). Mobile Self Defense. [Video file] Retrieved from:
https://www.youtube.com/watch?v=GeCkO0fWWqc
P1 Security (2014, December). SS7 Map. Retrieved from: http://ss7map.p1sec.com/
3rd Generation Partnership project (2015, June 21). Mobile-services Switching Center. In
TS 23.002 Network Architecture, Release 13, p26. Retrieved from:
http://www.3gpp.org/ftp/Specs/archive/23_series/23.002/23002-d20.zip
3rd Generation Partnership project (2015, June 21). The Home Subscriber Server. In TS
23.002 Network Architecture, Release 13, p22. Retrieved from:
http://www.3gpp.org/ftp/Specs/archive/23_series/23.002/23002-d20.zip
The Fall of SS7 – How Can the Critical Security Controls Help? 2 ! 3
Hassan!Mourad,[email protected]! ! !
3rd Generation Partnership project (2015, June 21). The Authentication Center. In TS
23.002 Network Architecture, Release 13, p23. Retrieved from:
http://www.3gpp.org/ftp/Specs/archive/23_series/23.002/23002-d20.zip
3rd Generation Partnership project (2015, June 21). The Visitor Location Register. In TS
23.002 Network Architecture, Release 13, p25. Retrieved from:
http://www.3gpp.org/ftp/Specs/archive/23_series/23.002/23002-d20.zip
3rd Generation Partnership project (2015, June 21). The Short Message Service Gateway.
In TS 23.002 Network Architecture, Release 13, p26. Retrieved from:
http://www.3gpp.org/ftp/Specs/archive/23_series/23.002/23002-d20.zip
Dryburgh L., Hewet J. (2005, June). SS7 Network Architecture. In Signaling System No.
7 (SS7/C7): Protocol, Architecture, and Services. (Chapter 7) Retrieved from:
https://www.informit.com/library/content.aspx?b=Signaling_System_No_7&seq
Num=26
Dryburgh L., Hewet J. (2005, June). MAP Operations. In Signaling System No. 7
(SS7/C7): Protocol, Architecture, and Services. (Chapter 13) Retrieved from:
https://www.informit.com/library/content.aspx?b=Signaling_System_No_7&seq
Num=115
IETF (1999, October). Framework Architecture for Signaling Transport. Retrieved from:
https://www.ietf.org/rfc/rfc2719.txt
Nohl K., Munaut S. (2010, December). GSM Sniffing. [pdf document] Retrieved from:
https://events.ccc.de/congress/2010/Fahrplan/attachments/1783_101228.27C3.GS
M-Sniffing.Nohl_Munaut.pdf
The Fall of SS7 – How Can the Critical Security Controls Help?
Hassan!Mourad,[email protected]! ! !
Dryburgh L., Hewet J. (2005, June). Mobility Management. In Signaling System No. 7
(SS7/C7): Protocol, Architecture, and Services. (Chapter 13) Retrieved from:
https://www.informit.com/library/content.aspx?b=Signaling_System_No_7&seq
Num=116
Nohl K. (2014, December). Mobile Self Defense, p.7. [pdf document] Retrieved from:
https://events.ccc.de/congress/2014/Fahrplan/system/attachments/2493/original/M
obile_Self_Defense-Karsten_Nohl-31C3-v1.pdf
Strobel D. (2007, July). IMSI Catcher. [pdf document] Retrieved from:
http://www.emsec.rub.de/media/crypto/attachments/files/2011/04/slides_imsi_cat
cher.pdf
Nohl K. (2014, December). Mobile Self Defense, p.8. [pdf document] Retrieved from:
https://events.ccc.de/congress/2014/Fahrplan/system/attachments/2493/original/M
obile_Self_Defense-Karsten_Nohl-31C3-v1.pdf
Engel, T. (2014, December). CAMEL. In SS7: Locate, Track & Manipulate, p31. [pdf
document] Retrieved from: http://berlin.ccc.de/~tobias/31c3-ss7-locate-trackmanipulate.pdf
Engel, T. (2014, December). Intercepting calls with CAMEL. In SS7: Locate, Track &
Manipulate, p34. [pdf document] Retrieved from:
http://berlin.ccc.de/~tobias/31c3-ss7-locate-track-manipulate.pdf
Dryburgh L., Hewet J. (2005, June). Supplementary Services. In Signaling System No. 7
(SS7/C7): Protocol, Architecture, and Services. (Chapter 13) Retrieved from:
https://www.informit.com/library/content.aspx?b=Signaling_System_No_7&seq
Num=119
The Fall of SS7 – How Can the Critical Security Controls Help?
Hassan!Mourad,[email protected]! ! !
Engel, T. (2014, December). HLR: Stealing Subscriber. In SS7: Locate, Track &
Manipulate, p42. [pdf document] Retrieved from:
http://berlin.ccc.de/~tobias/31c3-ss7-locate-track-manipulate.pdf
Engel, T. (2014, December). Cell level tracking with SS7/MAP. In SS7: Locate, Track &
Manipulate, p13. [pdf document] Retrieved from:
http://berlin.ccc.de/~tobias/31c3-ss7-locate-track-manipulate.pdf
Engel, T. (2014, December). Location Services. In SS7: Locate, Track & Manipulate,
p24. [pdf document] Retrieved from: http://berlin.ccc.de/~tobias/31c3-ss7-locatetrack-manipulate.pdf
Engel, T. (2014, December). HLR: Supplementary Services. In SS7: Locate, Track &
Manipulate, p44. [pdf document] Retrieved from:
http://berlin.ccc.de/~tobias/31c3-ss7-locate-track-manipulate.pdf
Engel, T. (2014, December). Denial of Service. In SS7: Locate, Track & Manipulate,
p.30. [pdf document] Retrieved from: http://berlin.ccc.de/~tobias/31c3-ss7-locatetrack-manipulate.pdf
Council on Cyber Security (2015). The critical security controls. Retrieved from:
http://www.counciloncybersecurity.org/critical-controls/
Cole E., Tarala J. (2015). Critical Security Control 13 – Boundary Defenses. In
Implementing and auditing the critical security controls – In depth – Book4, p.1
Cole E., Tarala J. (2015). Critical Security Control 14 – Maintenance, Monitoring &
Analysis of Audit Logs. In Implementing and auditing the critical security
controls – In depth – Book4, p.1-102
The Fall of SS7 – How Can the Critical Security Controls Help?
Hassan!Mourad,[email protected]! ! !
Cole E., Tarala J. (2015). Critical Security Control 19 – Secure Network Engineering. In
Implementing and auditing the critical security controls – In depth – Book5, p.1-
103
Cole E., Tarala J. (2015). Critical Security Control 20 – Penetration Test and Red Team
Exercises. In Implementing and auditing the critical security controls – In depth –
Book5, p.1-127
Cole E., Tarala J. (2015). Critical Security Control 4 – Continuous Vulnerability
Assessment and Remediation. In Implementing and auditing the critical security
controls – In depth – Book2, p.1-63
Cole E., Tarala J. (2015). Critical Security Control 18 – Incident Response and
Management. In Implementing and auditing the critical security controls – In
depth – Book2, p.1-27
Cole E., Tarala J. (2015). Critical Security Control 3 – Secure Configurations for
Hardware and Software on Mobile Devices, Laptops, Workstations & Servers. In
Implementing and auditing the critical security controls – In depth – Book5, p.1- 83

Kısaltmalar

– AuC: Authentication Center
– ATI: Any Time Interrogation
– CN: Core Network
– GMLC: Gateway Mobile Location Center
– gsmSCF: GSM Service Control Function
– GT: Global Title
– HSS: Home Subscriber Server
– HLR: Home Location Register
– MSC: mobile Switching Center
– PSI: Provide Subscriber Information
– PSL: Provide Subscriber Location
– SMS-GW: Short Message Service Gateway
– SRI-SM: Send Routing Information – Short Message
– VLR: Visitor Location Register

 

Kablosuz Ağ Güvenliği

Kablosuz Ağ Güvenliği

Kablosuz ortamlar radyo dalgalarını (HomeRF), kızılötesi ışınları(Infrared Data Association-IrDA), mikro dalgaları (BlueTooth) kullanarak veri iletirler ve alırlar. Bu ortamda fiziksel bağlantıya ihtiyaç yoktur. Kablolu network sisteminin uygun olmadığı (kablolamanın zor olduğu yerlerde) durumlarda bu ortamı kullanmak iyi bir seçenektir. (Sarıöz)

Kablosuz teknoloji esnekliğinden dolayın kullanım alanın genişliği yanında birçok güvenlik ihtiyacını da beraberinde getirir. Kablosuz ağ standartlarını güvenlik ihtiyacını da içerisine alan bazı temel işlevleri yerine getirmesi gerekir. Bunlar: (Frankel, Eyt, Owens, & Scarfone, 2007)

  • Mahremiyet: Kablosuz ağ yetkisiz erişimlerden korunmaya gereksinim duyar.
  • Bütünlük: Verinin havadan seyahati süresince müdahaleye uğramaması ve bozulmaması sağlanarak bütünlüğünün sağlanması gerekir.
  • Bulunurluk: Kablosuz aygıtlar ihtiyaç olduğu her an iletişime hazır olmalıdır.
  • Erişim kontrolü: Ağ içerisindeki kablosuz cihazlara ve bilgi kaynaklarına erişimin güvenlik politikaları ile kısıtlanması gerekir.

Şekil – Kablosuz Ağ Teknolojisi

Kablosuz ağların maruz kaldığı güvenlik riskleri şu başlıklarla ayrıştırılabilir:

  • Kablolu ağa sızma
  • Trafiğin dinlenip verinin çözülmesi
  • Ağ topolojisinin ortaya çıkması
  • İstemcilerin yetkisi dışındaki erişim noktalarına bağlanması
  • İstenmeyen yerlere servis verme
  • Servis dışı bırakma (DOS – Denial of Service)
  1. Kablosuz Ağlara Giriş

Kablosuz erişim teknolojisi internet kullanıcılarının sayısına paralel olarak hem ofis hem de kurumsal ortamlarda gittikçe yaygınlaşmaktadır. Kablosuz erişim teknolojisi kullanılarak gerçekleştirilen kablosuz ağ (WLAN) bir yerel alan ağı türüdür ve veri iletimi ağ destekli cihazlar arasında yüksek frekanslı radyo dalgaları kullanılarak gerçekleştirilir. (HKSAR, Dec 2010)

https://darron.net/wp-content/uploads/sites/6/2013/12/wireless_network.jpg

Şekil – Kablosuz Ağlar

Kablosuz ağların bilgi kaynaklarına erişimi kolaylaştıran birçok avantajları vardır. Bir kablosuz ağ yapılandırmak kolay, hızlı ve düşük maliyetlidir. Bununla birlikte kablosuz teknolojisi mevcut bilgi güvenliği risklerine ek olarak yeni tehditleri de beraberinde getirir. Örneğin radyo frekanslarını kullanarak havadan gerçekleştirilen iletişimin ele geçirilme riski kablolu ağlara göre daha yüksek risk taşır. Eğer mesaj şifrelenememişse veya zayıf bir algoritma ile şifrelenmişse bir saldırgan onu okuyabilir ve mahremiyet sekteye uğrar. Bununla bağlantılı olarak kablosuz ağlar, kablolu ağlara ek olarak çeşitli güvenlik tehditleriyle karşı karşıyadır. Bunlar iletim sırasında, verinin mahremiyetini garanti altına almak, verinin bütünlüğünü sağlamak ve mevcut ağ altyapıları ile güvenlik açısından tam olarak uyumunu gerçekleştirebilmek olarak sıralanabilir. (Min-kyu Choi & Min-kyu , July, 2008, Vol. 3, No. 3)

    1. Kablosuz Ağlar Üzerindeki Saldırılar

Kablosuz iletişim teknolojileri her geçen gün toplumsal yaşam içerisindeki yerini daha da belirginleştirmektedir. Günümüz şartlarında teknoloji ile ilişkili olan herkes her geçen gün önemi artan bu teknolojiler hakkında bilgi sahibi olmak ve temel ihtiyaçları için pratik uygulamalar yapabilmek zorundadır.

Kablosuz ağlar, RF (Radyo Frekansı) teknolojisini kullanarak havadan bilgi alış verişi yapan esnek bir iletişim sistemidir. Kablosuz yerel ağlar kablolu iletişime alternatif olarak uygulanan RF olup, 3Hz ile 300GHz aralığındaki frekanslara verilen genel isimdir. Günümüz kablosuz küçük yerel ağların (Wireless Local Area Network – WLAN) kurulmasında temel ağ cihazı olarak erişim noktası (Access point) elemanı kullanılmaktadır.

Bilişim ağ sistemlerinde, ağ güvenliğini tehdit edebilecek birçok unsur vardır. Bu unsurlar ağdaki veri paketlerinin dinlenmesi, hizmet dışı bırakma saldırıları, ortadaki adam saldırıları, parola saldırıları, yazılımlardaki zafiyetlerin kötüye kullanımı, zararlı kodlar (virüs, trojan, solucan vb.) ve sosyal mühendislik zafiyetleri şeklinde sayılabilir.

Kablosuz ağlara izinsiz erişim sağlamak isteyen kullanıcı profilleri genel olarak meraklı kullanıcılar, başkasının internetini kullanmak isteyenler ve hacker/crackerlar olabilir. Bu kullanıcıların saldırı ve izinsiz girişimlerini engellemek için birçok seçenek bulunmaktadır. İnternet erişimi için kurulan erişim noktası cihazlarının, varsayılan ara yüz erişim şifrelerinin değiştirilmemesi de güvenlik zafiyetlerine sebep olabilmektedir. (Gündüz & Daş, 2014)

Şekil – Kablosuz Ağ Güvenliğini Tehdit Edebilecek Unsurlar

    1. Kablosuz Ağ Destek Kuruluşları

Kablosuz ağlara destek veren birçok kuruluş bulunmaktadır. Bunlardan en çok bilineni Wi-Fi Aliance’dır. Wi-Fi Alliance (www.wi-fi.org) kablosuz aygıt üreticilerine IEEE 802.11’in kabul edilen güvenlik standartlarında uygun ürünler üretebilmeleri için sertifikasyon programları sunmaktadır. Bu sertifikasyonları geçen ürünlere Wi-Fi Certified imzası vermektedir.

Bir diğer önemli kuruluş ise FCC (Federal Communications Commission)’dir. Kablosuz iletişim yapacak olan cihazların hangi frekans aralıklarını kullanarak çalışacakları FCC tarafından tahsis edilir. Diğer taraftan FCC özel kullanımlar için ayrılan birçok frekans bandını özel kullanımları için ilgili kuruluşlara lisanslama görevini de yerine getirir. 802.11 standardında tanımlanan kablosuz iletişim bu tür özel bir lisanslamayı gerektirmeyen türdendir. (Sheila Frankel , Bernard Eydt , Les Owens , & Karen Scarfone )

    1. Kablosuz Ağ Neden Kablolu Ağın Yerine Kullanılır

Bilgi transfer hızları birçok yerel ağ için yeterlidir durumdadır. Günümüz kablosuz cihazları GigaBit seviyelerindeki hızlarla iletişim kurabilmektedir. Açık alanda ve kapalı alanlardaki yüzlerce metreye varan menzil mesafeleri kablolama maliyetini ortadan kaldırır. Mevcut ağlar ile entegrasyonu oldukça kolaydır. (Koca, FDE (Full Disc Encription) Korumasına Sahip Bilgisayarlarda Ağ Koklama Yoluyla Delil Elde Edilmesi, 2016)

  1. IEEE 802.11 Radyo Frekans Ağı

IEEE 802.11, bilgisayar haberleşmesinde bir dizi Telsiz Yerel Ağ (TYA / WLAN) standardına verilen isimdir. Bu standart 1997 senesinden beri, uluslararası bir sivil toplum örgütü olan, Elektrik ve Elektronik Mühendisleri Enstitüsü (EEME / IEEE) tarafından geliştirilmektedir. IEEE kısaltması bu kuruluşu belirtmektedir.

https://grouper.ieee.org/groups/802/11/ieee802-11-logo.jpg

Şekil – IEEE 802.11

802.11 standardının gelişimi ile IEEE nin 11 inci çalışma grubu ilgilenmektedir. Bu çalışma grubu aynı zamanda Metropolitan Ağ Standartları (MA / MAN) ile ilgili çalışma yapmaktadır.

IEEE 802.11x terimi, bu standartta yapılan değişikleri temsil etmektedir. Bu yapılan değişikliklere rağmen 802.11 ailesi aynı temel iletişim kurallarını kullanıyor. Yapılan değişikler arasında en önemli kabul edilenleri 802.11b ve 802.11g’dir. Bunların diğer değişiklerden (c-f,h,j) farklı kabul edilmesinin en temel sebebi, toplum tarafından daha fazla benimsenmiş ve kullanılmış olmalarıdır. Her yeni yapılan değişiklik ile 802.11 iletişim standardının güvenlik özellikleri ve kapsama mesafesi artmaktadır. (IEEE 802.11, 20 Şubat 2016 )

https://arabia.ni.com/sites/default/files/images/arabia/table%201.PNG

Şekil – 802.11 Standartları Frekans ve İletim Hızları

    1. Kablosuz Bileşenler

https://www.digitalsolutions.az/wp-content/uploads/wireless-topologies.png

Şekil – Kablosuz Ağ Bileşenleri

Bir kablosuz ağ birçok bileşenden oluşur:

https://webobjects2.cdw.com/is/image/CDW/2902932?$product-main$

Şekil – Kablosuz Erişim Noktası (Access Point)

Erişim noktası (Access Point): Kablosuz LAN kurulması için merkezi konumda olan ve kapsama alanı içerisindeki tüm trafiği yöneten erişim cihazı köprüleme mantığıyla çalışır. Kablosuz erişimler, üzerinde bulunan antenlerle havadan, kablolu ağa bütünleştirilmesi de ethernet gibi LAN teknolojisiyle yapılır. Uç sistemlerden daha yükseğe monte edilmesi yararlıdır. Erişim noktası cihazları kuruluma ve teknolojiye dayanarak 10 metrelerden 500 metreye kapsama alanına sahip olabilmekteyken, 10 ile 250 arasında kullanıcıyı desteklemektedir. Bir erişim noktası cihazının kapsama alanındaki uç sistemlerin sayısı arttıkça tıkanma olasılığı artar ve kablosuz ağın başarımı düşer. Bu sebeple hem kapsama alanını genişletmek hem de erişim cihazı başına düşün kullanıcı sayısını azaltmak için aynı ağ içerisinde birden çok erişim cihazı kullanılabilir.

https://common.ziffdavisinternet.com/encyclopedia_images/_WIFIAD.JPG

Şekil – PCI ve USB Kablosuz Ağ Adaptörleri

Kablosuz USB/PCMCI/PCI Adaptörü: Bir başka kablosuz bilgisayar ağı parçası, son kullanıcıların bilgisayarlarına takılabilen WLAN arayüzü ve dahili alıcı verici anteni bulunan bir USB veya PCI/PCMCI kartıdır. Gerektiği durumlarda güçlü antenlerin de takılabilmesi için üzerinde yuvası bulunan bu kart, köprü cihazlarının kablosuz ağ bağdaştırıcısı olarak kullanılabildiği gibi PCI veya USB yuvaları aracılığı ile günümüz kişisel bilgisayarlarına da takılabilmektedir. Bir kablosuz erişim cihazı, kablosuz PCMCI veya USB adaptörü edinirken şu özelliklere dikkat edilmelidir.

  • Standartlar: Cihazın desteklediği kablosuz LAN standartları (a/b/g/n/ca)
  • Veri transfer değerleri: Veri transferi yapabildiği hız değerleri
  • Ağ bağlantısı tipi: Desteklediği ağ bağlantı tipi (Infrastructure ve Ad-hoc)
  • Çalışma modları: Çalışabildiği kablosuz bağlantı modları (Erişim Noktası, AP-to-AP Bridge, Point-to-MultiPoint Bridge (köprü), Wireless Repeater (WDS), Wireless Client
  • Verici çıkış gücü: Cihazın verici gücü (db veya mW olarak)
  • Alıcı hassasiyeti: Cihazın alıcı hassasiyeti (db olarak)
  • Dış anten tipi: Cihaza takılabilen anten tipi ve sayısı
  • Güvenlik: Cihazın desteklediği güvenlik modları (64-bit, 128-bit 152-bit WEP şifreleme, WPA, 802.x vb.)
  • Çalışma menzili: Cihazın iletişim kurabildiği menzili (Kapalı alanda, açık alanda)

(523EO0320, Ankara, 2011)

Anten tüm kablosuz ağ bileşenlerinin olmazsa olmazı en önemli parçasıdır. Anten iletişimin dış dünyaya açılan penceresi gibidir. Çok hızlı ve gelişmiş bir kablosuz cihaza sahip olabilirsiniz fakat iyi bir anten olmadan bu cihazın hiçbir anlamı yoktur.

https://cdn2.geckoandfly.com/wp-content/uploads/2015/11/omni-vs-directional-antenna.jpg

Şekil – Yönlendirilmemiş (Omni-directional) ve Yönlendirilmiş (Directional) Antenler

802.11 standardındaki cihazlar temel olarak iki tür anten kullanmaktadır. Noktadan çok noktaya iletim için “omndirectional” ve noktadan noktaya iletişim için yönlendirilmiş “directional” anten için tipik olarak erişim mesafesi 45 m civarındadır. Yerel düzenlemelerin elverdiği durumlarda yüksek kazançlı antenler ve güçlendiricilerle mesafe 40 km ve üstüne çıkabilir. Noktadan noktaya iletim için kullanılan antenler LAN’ lar arası köprüleme için tercih edilmekte olup görüş hizasının sağlanmasını gerektirir. “Omnidirectional” uygulamalarda erişim cihazının (baz istasyonunun) yerleşimi çok önemlidir. Radyo frekans girişimlerine dikkat edilmelidir. (From Wikipedia)

    1. Veri Hatalarını Yakalamak

IEEE 802.11 güvenlik standardı içerisinde tanımlanmış olan ARQ (Automatic Repeat Request) radyo dalgası girişimlerinden kaynaklanan iletişim hatalarını azaltmak için kullanılan bir hata yakalama yöntemidir.

    1. Aktarım Hızları

Kablosuz ağlar gelişim süresi boyunca birçok fiziksel iyileştirmeye maruz kalmıştır. Genel olarak b u iyileştirmelerin bir kısmı artan veri aktarım hızı ihtiyacını ve buna bağlı olarak ihtiyaç duyulan güvenlik özelliklerini karşılamak üzerine olmuştur. (Koca, FDE (Full Disc Encription) Korumasına Sahip Bilgisayarlarda Ağ Koklama Yoluyla Delil Elde Edilmesi, 2016)

Kategori /Standart Max. Veri Oranı

(Data Rate)

Frekans (Hz) Mesafe (Bina İçi) Mesafe (Bina Dışı)
IEEE 802.11 (1997) 2 Mbps 2.4GHz 20 m 100 m
IEEE 802.11a (Wi-Fi) 54 Mbps 5.2GHz 35 m 120 m
IEEE 802.11b (Wi-Fi) 11 Mbps 2.4GHz 38 m 140 m
IEEE 802.11g (Wi-Fi) 54 Mbps 2.4GHz 38 m 140 m
IEEE 802.11n

(Haziran 2009)

248 Mbps 2.4GHz,

5.2GHz

70 m 250 m
IEEE 802.11y

(Haziran 2008)

54 Mbps 3.7GHz 50 m 5000 m
IEEE 802.16 (WiMAX) 70 Mbps 10-66 Ghz ? 50 000 m
IEEE 802.16a

(WiMAX)

70 Mbps 2-11 Ghz ? ?
HiperLAN1 20 Mbps 5.2GHz ? ?
HiperLAN2 54 Mbps 5.2GHz ? ?
HomeRF 10 Mbps 2.4 Ghz 45 m
Bluetooth 1 Mbps 2.4 Ghz 10 m

Şekil – Kablosuz Standartlarına Bağlı Olarak Erişm Hızları ve Kapsama Alanları

    1. 802.11 Ağ Topolojileri

IEEE 802.11 kablosuz ağ standardı; IBSS (Independent Basic Service Set) ve ESS (Extended Service Set) olmak üzere iki topolojiye sahiptir.

Fig09-04

Şekil – IBSS (Bağımsız Temel Servis Kümesi) Topolojisi

IBSS (Bağımsız Temel Servis Kümesi): İki veya daha fazla kablosuz cihaz birlikte iletişim kurabilir. Bir erişim noktası kullanılmaz. Kablosuz adaptöre sahip bilgisayarlar Ad-hoc denilen eşler arası bağlantı yöntemiyle iletişim kurabilir.

Fig09-05

Şekil – ESS (Gelişmiş Hizmet Kümesi) Topolojisi
ESS (Gelişmiş Hizmet Kümesi): Bir veya daha fazla kablosuz erişim noktası daha büyük bir hizmet alanı sunar.

  1. Bluetooth Radyo Frekans Ağı

Bluetooth kablosuz erişim teknolojisi küçük kişisel ağlar oluşturmak amacıyla birçok cihaz ile birlikte tümleşik olarak gelir. Yakın mesafede iletişim kurması gereken ve batarya ile beslenen cihazlar için uygun bir teknolojidir. Daha çok klavyelerin, yazıcıların ve el cihazlarının yakın mesafede bağlantı kurması için kullanılır. 2000’li yılların başlarında çok dar kapsamda kullanılmaya başlanan bluetooth teknolojisi akıllı telefonların yaygınlaşması ile birlikte artık otomobiller, GPS konum paylaşım sistemleri, ses aktarım cihazları (kablosuz hoparlörler) ve güvenlik amaçlı cihazlarda yaygın olarak kullanım bulmuştur.

En önemli özellikleri;

  • Düşük maliyet
  • Düşük güç tüketimi
  • Kararlı ses ve veri haberleşmesi sağlaması
  • Açık standart yapısı
  • Tüm dünyada uyumlu olması

Bluetooth dar kapsamı nedeniyle küçük ağların oluşturulmasında kullanıldığından güvenlik özelliklerinin gelişimi de buna paralel olarak zayıf kalmıştır. Bu teknolojinin ana amacı kısa mesafeler içerisinde düşük güç tüketimine sahip olan ağlar oluşturmaktır. Kablosuz ağ teknolojilerinin zafiyetlerine ortak olarak bluetooth iletişimi kolayca dinlenilebilir, parolası çözülebilir ve sahteleri oluşturulabilir. Ancak bu güvenlik riskleri yaklaşık olarak 10 metre çaptaki bir alanda geçerli olur. (Wally, 2010)

Bluetooth teknolojisine yönelik olarak bazı saldırı yöntemleri ve tedbirleri şöyle sıralanabilir: (Güney)

Bluejacking:

  • Bluejacking bir kullanıcının menzil dahilindeki başka bir kullanıcıya isimsiz olarak kartvizit göndermesidir.
  • Telefonunuzun verilerinde herhangi bir değişiklik İÇERMEZ. Genellikle kartvizitler mesaj veya fıkradan oluşurlar ve bluejacker’lar, sadece alıcıdan yaratıcı bir yanıt beklerler.
  • Bluejackerların cesaretini kırmak için, basitçe kartviziti reddedin ya da tamamen kurtulmak için, telefonunuzu keşfedilemez konumuna ayarlayın.

Bluesnarfing:

  • Bluesnarfing, yetenekli bir hacker’ın, kullanıcısının izni veya bilgisi olmadan cep telefonu üzerindeki telefon rehberi, resimler, takvim ve EMEI (Uluslararası Mobil Ekipman Kimliği) gibi verilere ulaşmasını içerir.

Bluebugging:

  • Bluebugging, yetenekli bir kişinin, sahibinin bilgisi veya onayı olmadan bir cep telefonunun komutlarına ulaşmasını içerir. Bu, hackerın, çağrı yapmasına veya mesaj göndermesine, takvim veya telefon rehberini okumasına ve not yazmasına, telefon konuşmalarını dinlemesine ve İnternete bağlanmasına imkan verir.

Car Whisperer:

  • Bluetooth destekli araba ses sistemlerinden ses verisi çalma.

Bluetooth teknolojisinin sahip olduğu yapısal zafiyetler şöyle sıralanabilir:

Anahtarların güvensizliği

  • Aynı cihaz adını alan kullanıcılar içinde geçerli olup yerine geçme durumunda yetkisiz erişim ortaya çıkmaktadır.
  • Giriş anahtar kodunun 1-16 bayt arasında herhangi bir değer alabilmesi, giriş anahtar kodunun seçiminde zayıf anahtar üretimi için bir etken oluşturmaktadır.
  • Kimlik doğrulamasında sadece cihazın kimliği doğrulanmakta, kullanıcı için herhangi bir kimlik doğrulaması yapılamamaktadır.

Safer+ algoritması yetersizliği

  • Kimlik doğrulama ve tüm anahtarların üretilmesi aşamasında kullanılan Safer + Bluetooth algoritması, günümüz şartlarında artık yeterince güvenli sayılmamaktadır.

Aradaki Adam Problemi

  • Açık anahtar algoritması kullanılmadığından aradaki adam saldırısına karsı savunmasızdır.

Tekrarlama Saldırısı

  • 79 kanal birden dinlenirse tekrarlama saldırısı olabilir.

Hizmet engelleme saldırısı

  • Bluetooth hizmeti engelleme saldırılarına karşı bir önlem alınmamıştır.Bu durum batarya ile çalışan cihazlar için güvenlik açığı meydana getirmektedir.

Bluetooth güvenliğini artırmaya yönelik alınması gerekli tedbirler:

(Güney)

  • Bluetooth ayarınızı “keşfedilemez” modunda tutun (iletim devre dışı bırakılır) ve yalnızca kullandığınız zamanlarda “keşfedilebilir” moda geçin. Cep telefonunuzu veya PDA’nızı keşfedilebilir modda bırakmak, aygıtı tehlikeli biçimde Bluetooth iletimine açık bırakır — yürüyüşe çıktığınız sırada, araba kullanırken ve hatta işyerinizde dolaşırken 10 metre uzaktaki herhangi bir Bluetooth kullanıcısı sinyalinizi alabilir ve bu sinyali kullanarak aygıtınıza erişebilir.
  • Güçlü bir PIN kodu kullanın. Beş basamak veya daha uzun kodlar daha zor çözülür.
  • Kablosuz aygıtlarınızda önemli verilerinizi saklamaktan kaçının; Sosyal güvenlik numaranız, kredi kartı numaralarınız ve parolalarınız gibi bilgileri saklamayın.
  • Bluetooth gelişmeleri ve güvenlik sorunları konusunda güncel bilgileri edinin. Yazılım güncelleştirmeleri veya belirli güvenlik açıkları için aygıt üreticinize düzenli olarak başvurun.

(Güney)

 

  1. Kablosuz Ağ Saldırılarının Anatomisi

Bir saldırgan herhangi bir tür saldırı yapmadan önce etrafta ne türde kablosuz cihazlar olduğunu öğrenmek ister. Bu esas hedefe ulaşmak için yapılan ilk saldırıdır ve kablosuz aygıt taraması olarak adlandırılır. Pasif ve aktif olmak üzere iki şekilde gerçekleştirilir. Aktif taramada saldırgan erişebildiği tüm kablosuz cihazlara bir yoklama (probe) paketi gönderir ve cevabını bekler. Gelen cevaplar ile saldırgan etrafta hangi kablosuz cihazların bulunduğunu öğrenir. Eğer ağdaki kablosuz cihazlar probe isteklerine cevap vermemek üzere yapılandırılmışsa saldırgan buradan bir şey elde edemez. Pasif taramada ise saldırgan herhangi bir paket göndermeden sadece tüm kanallardaki tüm kablosuz paketleri dinler. Burada saldırganın kablosuz cihazının iletim gücünün bir önemi yoktur. Eğer hedef kablosuz cihaz o anda veri iletimi yapmıyorsa tespit edilemeyecektir. NetStumbler adlı araç aktif tarama yapan bir program iken Kismet pasif tarama gerçekleştirmektedir. (Low, 2005)

https://archive.oreilly.com/wireless/2004/05/27/graphics/image002.jpg

Şekil – Network Stumbler Aktif Kablosuz Ağ Tarama Yazılımı

https://n0where.net/wp-content/uploads/2011/04/kis2.png

Şekil – Kismet Kablosuz Ağ Pasif Tarama Yazılımı

Taramanın sonucunda bir hedef belirlenmişse, saldırgan Kismet ve Airodump gibi programları kullanarak bilgi toplamaya başlar. Bilgiler daha sonra incelenmek üzere bir disk dosyasına pcap formatında kaydedilebilir.

Eğer trafik şifreli değilse, saldırgan MAC ve IP adreslerini gibi ağ parametrelerini görebilir. Eğer trafik WEP ile şifrelenmişse birçok WEP cracker’dan birini kullanarak şifreyi kırabilir. Bu durumda Airodump aracı şifreli trafiği kaydetmek, aircrack ise kayıt dosyasından offline olarak kırmak için kullanılır. Şifrenin kırılabilmesi için yeterli miktarda paketin yakalanması gerekir. WEPWedgie araçlar fazladan paket trafiği yaratmak için kullanılabilir. Aynı işlem WPA üzerinde de gerçekleştirilebilir. Yalnızca WPA’nın şifreleme anahtarı yeterince uzun olduğu için daha fazla zaman alır. (Low, 2005)

Şekil – Aircrack Wireless Şifre Kırma Aracı

    1. Sahte Erişim Noktaları


Diğer bir tehlike de saldırganın trafik izleme için zahmete girmeden ortamda bulunan erişim noktalarından birinin ismini taklit ederek sahte erişim noktası oluşturmasıdır. Böylece bazı kullanıcılar aslıyla aynı isme sahip belki daha iyi çeken sahte erişim noktasına bağlanacak ve buradan işlemlerini yapacaktır. Bu da bir saldırgan için ağına bağlanan tüm istemciler üzerinde mutlak hakimiyet anlamına gelir. Bu tür sahte erişim noktalarına Soft-AP (Software Access Point) yani yazılımsal kablosuz erişim noktası adı verilmektedir. (Min-kyu Choi & Min-kyu , July, 2008, Vol. 3, No. 3)

https://4.bp.blogspot.com/--9nCK-q-6XI/UYbZxlbkD_I/AAAAAAAAAHY/k9_zgrbfasA/s1600/Fake+access+point.png

Şekil – Sahte Kablosuz Erişim Noktası

    1. Uzun Menzilli Anten Saldırıları

Kablosuz ağlar için mevcut olan saldırı vektörleri, uzun mesafeli yönlendirilmiş (directional) antenler ile çok daha uzun mesafeler içinde gerçekleştirilebilir. Böyle bir durumda kablosuz ağın yayın yaptığı alanın daraltılması gerekir. Çoğu modern kablosuz aygıt, yayın gücünü ihtiyaca göre kendi ayarlarken, bazıları yönetim panellerinden bu gücün ayarlanabilmesine olanak tanır. (Koca, FDE (Full Disc Encription) Korumasına Sahip Bilgisayarlarda Ağ Koklama Yoluyla Delil Elde Edilmesi, 2016)

Şekil – Çeşitli Yönlendirilmiş Antenlerin Kapsama Alanları ve Bir Yönlendirilmiş Anten

    1. Ortadaki Adam Saldırıları (MITM)


ARP Spoofing saldırısı OSI’nin 2. katmanında (Datalink Katmanı) çalışan ARP protokolünün bir güvenlik zafiyetinden faydalanır. ARP mantıksal adreslerin (Network Katmanı) yani IP adreslerinin, fiziksel adreslere (DataLink Layer) yani MAC adreslerine dönüştürülmesi/çözümlenmesi için kullanılan bir protokoldür. Protokolün çalışması şu şekilde gerçekleşir: OSI’nin 2. Katmanında yer alan ethernet kartı, wireless router ve switch’ler sadece MAC adreslerini kullanarak iletişim kurabilirler. OSI’nin daha üst katmanlarında tüm işler IP adresleri ile halledildiği için IP adreslerinin MAC adreslerine dönüştürülmesi gerekir. IP adresi bilinen bir bilgisayarın MAC adresini öğrenmek için ilgili bilgisayar tüm ağa bir ARP REQUEST isteği yayınlar yani broadcast eder. Bu istek bir erhetnet frame’i içerisine yerleştirilerek ağdaki tüm bilgisayarlara ulaştırılır. IP adresinin sahibi olan bilgisayar bu isteği içerisine kendi MAC adresini yerleştirdiği nir ARP REPLY çerçevesi ile sadece isteği yapan bilgisayara yanıtlar. İsteği yapan bilgisayarda ilgili IP<->MAC eşlemesini kendi ARP tablosuna (ARP önbelleğine) kaydeder ve iki dakika boyunca burada saklar ve tekrar aynı IP adresi için ARP REQEST mesajı göndermez.

ARP Spoof’ing saldırısı tam da bu işleyiş içerisinde yerini alır. ARP protokolünün tasarımı gereği tüm ARP REPLY çerçeve paketleri koşulsuz olarak işleme konulur. Yani bir bilgisayar ARP REQUEST isteği göndermediği halde kendisine gelen tüm ARP REPLY cevaplarını doğru kabul eder ve ARP tablosunu bunlarla günceller. MITIM saldırısı yapmak isteyen kişi sürekli olarak hedef bilgisayarı ARP REPLY bombardımana tabi tutar ve ARP önbelleğini istedi MAC adresi ile güncel kalmasını sağlar.

Şekil – ARP REQUEST ve ARP REPLY Çerçeve Paketlerinin Yapısı

Bu örnekte network’e bağlı bir olay yeri inceleyicisi gateway’in IP adresini ve kendi mac adresini içeren ARP REPLY anonsları yaparak diğer cihazların mac adres tablosunu güncellemekte ve artık default gateway’e (Modem/Router) ulaşmak istediğinde gitmesi gereken cihaz olarak olay yeri bilgisayarını görmesini sağlamaktadır.

Olay yeri inceleyicisi internete çıkmak için kendisine gelen bu paketleri dinleyip okuyabilir. Bu paketleri gerçek default gateway adresine yönlendir. Router da internet üzerinden gelen cevapları tekrar olay yeri inceleyicisine gönderir. Çünkü router’a bu istek paketlerini gönderen cihaz olay yeri inceleyicisiın cihazıdır. Olay yeri inceleyicisi yine bu cevap paketlerini de inceleyerek gerçek sahibine yönlendirir. Bu işlem sırasında gidip gelen tüm paketler kendi üzerinden geçtiği için şifreleme kullanılmadı ise tüm paketlerin içeriğine erişebilir.

Şekil – ARP Spoofing ile Hedef Bilgisayarın Trafiğinin Ele Geçirilmesi

ARP spoofing saldırısı ile ağ trafiğini ele geçirmek için Bettercap adlı MITM (ortadaki adam) saldırı aracından faydalanılabilir. Bettercap bilgisayar ağlarında MITM saldırısı yaparak, HTTP, HTTPS ve TCP trafiklerini kaydetmek ve canlı olarak değiştirmek için geliştirilmiş açık kaynak kodlu esnek bir araçtır.

[email protected] ~ $ apt-get update
[email protected] ~ $ apt-get install bettercap
[email protected] ~ $ bettercap -T 192.168.0.100 -X –sniffer-output evidence.pcap

_ _ _
| |__ ___| |_| |_ ___ _ __ ___ __ _ _ __
| ‘_ \ / _ \ __| __/ _ \ ‘__/ __/ _` | ‘_ \
| |_) | __/ |_| || __/ | | (_| (_| | |_) |
|_.__/ \___|\__|\__\___|_| \___\__,_| .__/
|_| v1.5.3

http://bettercap.org/

[I] Starting [ spoofing:✔ discovery:✘ sniffer:✔ tcp-proxy:✘ http-proxy:✘ https-proxy:✘ sslstrip:✘ http-server:✘ dns-server:✘ ] …

[I] [eth0] 192.168.0.199 : 00:0C:29:78:5C:02 / eth0 ( VMware )
[I] [GATEWAY] 192.168.0.1 : FC:4A:E9:3A:08:84 ( Castlenet Technology )
[I] [SNIFFER] Saving packets to /root/Desktop/evidences/evidence1.pcap .
[I] [TARGET] 192.168.0.100 : 50:E5:49:C5:49:0D ( Giga-byte Technology )

Şekil – Bettercap’in Kurulumu ve Çalıştırılması
Yukarıdaki komutlar ile paket listeleri güncellenmiş ardından apt-get paket yükleycisi ile bettercap aracının kurulumu yapılmıştır.

bettercap aracının –T (target) parametresine verilen wireless ağındaki 192.168.0.100 IP adresi ile olay kablosuz ağın ağ geçidi ile olan trafiği saldırganın bilgisayarına yönlendirilmiş tüm ağ ve internet trafiği evidence.pcap paket dosyasına kaydedilmesi sağlanmıştır. Yaklaşık olarak 2 saatlik kayıtın sonunda 15GB’lık bir paket dosyası oluşmuştur. Bettercap çalıştığı süre boyunca sürekli hedef bilgisayara içerisinde Modem’in IP adresi 192.168.0.1 ve kendi MAC adresi olan ARP REPLY mesajları göndermektedir. (Koca, Adli Bilişim Açısından, Tam Disk Şifrelemesine (FDE) Sahip Bilgisayarlardan Ağın Koklanması (Sniffing) Yoluyla Delil Elde Etme , 2016)

    1. Kablosuz İletişimin Tuzağa Düşürülmesi

Bu yöntemde hedef kablosuz ağ ile aynı isimde bir Soft-AP oluşturulur. Yöntem sahte erişim noktalarındaki ile benzerdir. Hedef kablosuz ağa aynı kanaldan yüksek güçte yayın yapılarak frekans çakışmasının gerçekleştirilmesi sağlanır bu durumda erişim noktası mevcut istemciler ile bağlantısını kesmek zorunda kalır ve saldırgan aynı isimle komşu kanaldan yayınlandığı kendi kablosuz erişim noktasını devreye sokar. Böylece hem mevcut kullanıcıların bağlantısı kesilmiş olur hem de saldırgan kullanıcıları kendi ağına bağlanmaya zorlamış olur. (S.A.Arunmozhi & Y.Venkataramani, 2011)

https://dalewifisec.files.wordpress.com/2013/05/eviltwin_ap1.png

Şekil – Kullanıcıların Sahte Kablosuz Erişim Noktasına Bağlanmaya Zorlama Saldırısı

Bir başka yöntemde saldırgan çok sayıda kablosuz ağ istemcisi ile kablosuz erişim noktasına bağlanmaya çalışır. Kablosuz erişim noktasının işlem gücü ve sistem kaynakları bu sayıyı kotaramamaya başlayınca servis dışı kalır. Saldırgan yine aynı yöntemle; yan kanaldan aynı kablosuz ağ ismiyle kendi erişim noktasını devreye alır. (S.A.Arunmozhi & Y.Venkataramani, 2011)

    1. WPS (Wireless Protected Setup) Saldırısı


WPS (WiFi Protected Setup) ; kablosuz ağ cihazının ayarlarının son kullanıcı tarafından kolayca yapılabilmesini sağlayan ve Wi-Fi alliance tarafından zorunlu kılınmış bir özelliktir.

WPS, özellikle ev kullanıcılarının kablosuz ağ güvenliğini kolayca sağlamaları için düşünülmüş bir standarttır. WPS modu, kablosuz ağ adı ve şifreye gerek duymadan, otomatik olarak ağa WPS ile bağlanmaya çalışan kullanıcılara gerekli kablosuz ağ bilgilerinizi iletir ve kablosuz bağlantı sağlanır.

WPS’in amacı, kablosuz ağda güvenlik hakkında çok fazla bilgi sahibi olmayan kullanıcıların basitçe güvenliği sağlanmış bir ağa bağlanmalarına yardım etmektir. Böylece dolaylı yoldan bir güvenlik önlemi haline de gelir; WPS gibi bir destek olmadığı durumda çoğu zaman kullanıcılar güvenliğin getirdiği ek karmaşıklıktan dolayı kablosuz ağlarının güvenliğini toptan kaldırma eğilimi taşırlar.

WPS’nin iki türlü kullanımı vardır. Kablosuz cihazlar üzerindeki WPS butonlarına aynı anda basıldığında iki cihaz otomatik olarak kablosuz iletişim konusunda anlaşır ve bağlantı kurar.

https://www.edimax.com/images/Image/productimage/wireless/News/BR-6478AC_WPS.jpg

Şekil – WPS Destekli Cihazın Kullanılması

Diğer WPS kullanımında ise cihazın altındaki etikette yazan “WPS Pin Code” kablosuz parolası olarak istemciye girilir.

Şekil – Örnek Kablosuz Cihazların WPS Pin Numaraları

Türkiyede yapılan bir araştırmaya göre kullanıcıların yarısından fazlasının cihazında WPS özelliği aktif durumdadır. (Uraz Yavanoğlu, Cilt:1, No:1, S:11-19, 2015)

Şekil – Kablosuz Ağ Cihazlarının WPS Analizi (Ankara)

Saldırgan, WPS’de bulunan güvenlik zafiyetiyle hedefin (kablosuz cihaz/modem) PIN numarasını tahmin ederse WPA/WPA2 şifresini kırabilir. WPS’nin tasarımına göre azamı 10 saat içinde 11000 deneme yapılarak geçerli pin numarası bulunabilir. Bu sayı WPA2 parola deneme saldırısına göre çok düşüktür. Hedefteki kişinin WPA/WPA2 şifresi ne kadar karmaşık ve uzun hanelerden olursa olsun, PIN numarası tahmin edildiğinde cihazın şifresi kolayca elde edilebilir. Şifre kırmak için hem Linux ortamlarda hem de Windows ortamlarda yazılmış görsel bir çok programlar kullanılmaktadır. [1]

Özellikle wireless hacking için tasarlanmış wifislax işletim sistemi üzerinden GOYscript WPS tool’ u bu işlemi bir kaç dakika da yapabilmektedir. Wifislax üzerinde WPS mode özelliği üzerinden hacking yapılması için tasarlanmış bir çok araç da bulunmaktadır. (Uçar, 2012)

WiFiSlax’de bir komut satırı penceresi (terminal) açılarak aşağıdaki komut ile kablosuz cihaz monitör moduna alınır:

airmon-ng start wlan0

Başka bir terminal penceresi açılarak aşağıdaki komut yazılı ve etraftaki WPS destekli kablosuz cihazlar listelenir:

wash -i mon0

Desteklenen kablosuz cihazlardan pin numarası kırılmak istenen cihazın MAC numarası reaver komutuna aşağıdaki gibi parametre verilir:

[email protected] ~ $ reaver -i mon0 -c 6 -b 00:23:69:48:33:95 –vv

Reaver v1.4 WiFi Protected Setup Attack Tool

Copyright (c) 2011, Tactical Network Solutions, Craig Heffner <[email protected]>

[+] Switching mon0 to channel 9
[+] Waiting for beacon from 00:23:69:48:33:95
[+] Associated with 00:23:69:48:33:95 (ESSID: TANKADO)
[+] Trying pin 47128211
[+] Sending EAPOL START request
[+] Received identity request
[+] Sending identity response
[+] Received M1 message
[+] Sending M2 message
[+] Received M3 message

[+] Sending M4 message
[+] Received M5 message
[+] Sending M6 message
[+] Received M7 message
[+] Sending WSC NACK
[+] Sending WSC NACK
[+] Pin cracked in 9 seconds
[+] WPS PIN: ‘47128211
[+] WPA PSK: ‘benimgizliparolam876!#‘ ———— TATAAAA !!!
[+] AP SSID: ‘BGA’
[+] Nothing done, nothing to save.

Şekil – Bettercap’in Kurulumu ve Çalıştırılması

    1. Kablosuz Ağ Servis Dışı Bırakma Saldırısı

Kablosuz ağ cihazlarına kullandıkları kanaldan çok sayıda yapılacak istek kablosuz cihazın donanım kaynaklarını meşgul edip tüketeceğinden cihazın servis dışı kalmasına neden olur. Bu nedenle kablosuz cihazın SSID yani ağda görünen adı gizlenmeli, istemciler için MAC ID kısıtlaması getirilmelidir.

https://america.pink/images/1/2/2/8/8/9/9/en/3-denial-of-service-attack.jpg

Şekil – Kablosuz Ağ Servis Dışı Bırakma Saldırısı (DoS & DDoS)

  1. Kablosuz Ağ Güvenlik Önlemleri

Evinde kablosuz ağ kullananlar için temel seviyede güvenlik önlemi almak yeterli olacaktır. İlk olarak Kullandığımız erişim noktası cihazının adını(SSID) değiştirmeliyiz. Zira erişim noktasının adını varsayılan olarak bırakmamız cihazın yazılımında çıkacak bir güvenlik açığının ilk bizim donanımımızda denenmesi demektir. Yine benzer şekilde cihaz markası ve modelini bilen kötü niyetli birileri cihazın yönetim arabirimine ulaşarak varsayılan kullanıcı adı ve parolalarını deneyecektir. Bu sebeple alınan cihazların varsayılan değerleri özellikle yönetim arabirimine giriş için kullanılan hesap bilgileri mutlaka değiştirilmelidir. Cihaz destekliyorsa SSID yayınını da kesebiliriz. Sadece kendi belirlediğimiz istemcilere cihazın adını vererek bağlantı kurmasını sağlamak da iyi bir önlem olacaktır. Yine kullandığımız erişim noktasına bağlı olarak WEP ya da WPA kullanarak iletişimi şifrelemekte fayda var. WEP anahtarını seçerken de olabildiğince karışık bir anahtar seçmek bir nebze daha faydalı olacaktır.

Şirket ağlarında kullanılan erişim cihazları kesinlikle yerel ağla direkt haberleştirilmemelidir. Araya bir güvenlik duvarı konularak kablosuz ağ istemcilerinin yerel ağa girişleri sınırlandırılarak olası saldırı girişimlerinde iç ağımızın etkilenmesini önlemiş oluruz. Mac adresi tabanlı güvenlik kontrolü şirket ağlarından da alınması gereken temel güvenlik önlemlerindendir. Fakat sadece mac adresi tabanlı denetim yapıp bırakmak bir işe yaramayacaktır. Ağımızdaki MAC-IP değişikliklerini izleyen ve raporlayan bir araç da güvenliğin kontrolünü sağlamada önemli bir adım olarak karşımıza çıkıyor.

Kablosuz ağlardaki en büyük risklerden birisi erişim noktası cihazına ait ön tanımlı ayarların değiştirilmemesidir. Ön tanımlı ayarlar erişim noktası ismi, erişim noktası yönetim konsolunun herkese açık olması, yönetim arabirimine girişte kullanılan parola ve şifreli ağlarda ağın şifresidir. Yapılan araştırmalarda kullanıcıların çoğunun bu ayarları değiştirmediği görülmüştür. Kablosuz ağların güvenliğine dair yapılması gereken en temel iş ön tanımlı ayarların değiştirilmesidir.

Kablosuz ağlarda erişim noktasının adını (SSID) saklamak alınabilecek ilk temel güvenlik önlemlerinden biridir. Erişim noktaları ortamdaki kablosuz cihazların kendisini bulabilmesi için devamlı anons ederler. Teknik olarak bu anonslara “beacon frame” denir. Güvenlik önlemi olarak bu anonsları yaptırılmaması ve sadece erişim noktasının adını bilen cihazların kablosuz ağa dahil olması temel önlemlerdir biridir. Böylece Windows, Linux da dahil olmak üzere birçok işletim sistemi etraftaki kablosuz ağ cihazlarını ararken cihazınızı göremeyecek ve muhtemel saldırılardan korunmuş olacaksınız. SSID saklama her ne kadar bir önlem olsa da teknik kapasitesi belli bir düzeyin üzerindeki insanlar tarafından rahatlıklar öğrenilebilir. Erisim noktasının WEP ya da WPA protokollerini kullanması durumunda bile SSID’lerinin şifrelenmeden gönderildiğini düşünürsek ortamdaki kötü niyetli birinin özel araçlar kullanarak kablosuz erişim noktasının adını her durumda öğrenebilmesi mümkündür. (523EO0320, Ankara, 2011)
Standart kablosuz ağ güvenlik protokollerinde ağa giriş anahtarını bilen herkes kablosuz ağa dahil olabilir. Kullanıcılardan birinin WPA anahtarını başka birine vermesi/çaldırması sonucunda WPA kullanarak güvence altına alınan kablosuz ağda güvenlikten eser kalmayacaktır. Zira herkeste aynı anahtar olduğu için kimin ağa dahil olacağı bilinemez.
Yaygın kullanılan erişim noktası(AP) cihazlarında güvenlik amaçlı konulmuş bir özellik de MAC adresine göre ağa dahil olmadır. Burada yapılan kablosuz ağa dahil olması istenilen cihazların MAC adreslerinin belirlenerek erişim noktasına bildirilmesidir. Böylece tanımlanmamış MAC adresine sahip cihazlar kablosuz ağa bağlanamayacaktır. Yine kablosuz ağların doğal çalışma yapısında verilerin havada uçuştuğunu göz önüne alırsak ağa bağlı cihazların MAC adresleri -ağ şifreli dahi olsa- havadan geçecektir, burnu kuvvetli koku alan bir hacker bu paketleri yakalayarak izin verilmiş MAC adreslerini alabilir ve kendi MAC adresini kokladığı MAC adresi ile değiştirebilir.

Başkalarının ağınıza sızarak kişisel verilerinizi çalması ya da yasadışı bir eylemde bulunmaya kalkışması potansiyel bir tehlike oluşturur. Kablosuz ağların ve kablosuz teknolojiyi kullanan kişisel cihazların güvenliğinin sağlanması için birçok güvenlik üst katmanı geliştirilmiştir.

Bilgisayar ağlarında, kullanıcılardan, işletim sistemlerinden veya ağ protokollerinden kaynaklanan açıklar ile çok sık karşılaşılmaktadır. Güvenli bir bilgisayar ağı için mutlaka güvenlik politikaları oluşturmalıdır ve güvenlik sistemleri buna göre tercih edilmelidir. Ayrıca kullanıcılara gerektiği kadar erişim imkanı sağlanmalı ve kullanıcılar bu konular hakkında bilinçlendirilmelidir. Kablosuz ağlar için sunulan önemli güvenlik protokollerinden üçü WEP, WPA ve WPA2’ dir.

WEP (Wired Equivalent Privacy), kablosuz ağ bağlantılarında veri bağı katmanında çalışan kabloluya eş değerde mahremiyet sağlama iddiası ile ortaya çıkmış ve uzun zaman kullanılmış şifreleme yöntemidir. Standart olan WEP şifrelemesi WEP-64 olarak bilinir ve 40 bitlik bir şifreleme anahtarı kullanır. WEP ‘in güvenlik açıkları ve zafiyetleri bulunmaktadır. Bunlar:

  • Tekrar saldırılarını önleyemez.
  • Zayıf anahtarlar kullanılması, şifreleme anahtarının kolayca ele geçmesine neden olabilir.
  • Bazı kripto analiz yaklaşımları ile şifreleme anahtarı bilinmeden veri çözülebilir

Günümüzde bu şifreleme yetersiz kaldığından daha güvenli olan WPA şifreleme yöntemi ortaya çıkarılmıştır. WPA (Wireless Protected Access), WEP güvenlik protokolünün çok sayıdaki açıklarından dolayı, endüstrinin acil ihtiyacı için Wi-Fi Allieance tarafından oluşturulmuştur. WPA; WEP’in bilinen tüm güvenlik açıklarını kapatır. WPA şifreleme mekanizması şunları sunar:

  • Zayıf anahtarlar kullanılmamaktadır.
  • Veri bütünlük kontrol mekanizması olan MIC’i (Message Integrity Check) kullanır.
  • Anahtar temini ve dağıtımı için yeni bir metot getirir (802.1x).
  • Her çerçeve için yeni bir anahtar oluşturulur.

WPA2, kablosuz ağlarda güvenliği sağlamak amacıyla geliştirilen şifreleme sistemi WPA’nın daha geliştirilmiş sürümüdür.WPA2 IEEE 802.11i standardını referans alan ve sadece izin verilen kullanıcıların kablosuz aygıtlara erişebilmesini sağlayan güçlü bir şifreleme algoritması ve kimlik kontrol mekanizması (örn: Extensible Authentication Protocol veya EAP) donatılmış (örn: Advanced Encryption Standart veya AES) yeni bir kablosuz güvenlik protokolüdür. WPA2 ile beraber gelen yeni bir güvenlik özelliği de Client Isolation’dir. Bu özellik aktif edildiğinde aynı kablosuz ağ üzerinde bulunan kullanıcılar diğerlerinin iletişimini ele geçiremezler bu özellik MITM (Ortadaki Adam Saldırısı) saldırısını boşa çıkartır. (Min-kyu Choi & Min-kyu , July, 2008, Vol. 3, No. 3)

    1. Açık Sistem Kimlik Doğrulaması

WEP eski aygıtları desteklemek için kullanılmaya devam edilen, ancak artık önerilmeyen eski bir ağ güvenliği yöntemidir. WEP’yi etkinleştirdiğinizde bir ağ güvenlik anahtarı ayarlarsınız. Bu anahtar, ağınızdaki bilgisayarların birbirlerine gönderdiği bilgileri şifreler. Ancak, WEP güvenliğini kırmak görece daha kolaydır.

İki tür WEP vardır: açık sistem kimlik doğrulaması ve paylaşılan anahtar kimlik doğrulaması. Bunları her ikisi de çok güvenli olmasa da, paylaşılan anahtar kimlik doğrulaması aralarında daha az güvenli olandır. Kablosuz bilgisayarların ve kablosuz erişim noktalarının çoğu için paylaşılan anahtar kimlik doğrulaması statik WEP şifreleme anahtarıyla (ağınızı güvenli tutmak için kullandığınız anahtar) aynıdır. Başarılı bir paylaşılan anahtar kimlik doğrulamasının iletilerini yakalayan kötü niyetli kullanıcı, paylaşılan anahtar kimlik doğrulaması anahtarını saptamak amacıyla analiz araçlarını kullanabilir ve statik WEP şifrelemesi anahtarını saptayabilir. WEP şifrelemesi anahtarı saptandıktan sonra kötü niyetli kullanıcının artık ağınıza tam erişimi vardır. Bu nedenle, bu Windows sürümü WEP paylaşılan anahtar kimlik doğrulaması kullanılarak otomatik ağ kurulumunu desteklemez. (Kablosuz ağ için güvenlik anahtarı ayarlama, 2016)

    1. Anahtar Paylaşımlı Kimlik Doğrulaması

Önceden belirlenen gizli bir anahtar kablosuz ağa erişecek tüm aygıtlarla paylaşılır. Buna göre; (Kimlik doğrulama ve şifreleme, 2016)

  • WEP ile Açık sistem/Paylaşılan anahtar:
    • Bu anahtar ASCII veya onaltılık biçiminde girilmesi gereken 64 ya da 128 bitlik bir değerdir.
    • 64 (40) bit ASCII: 5 karakter kullanır. Örneğin, “WSLAN” (büyük küçük harf duyarlıdır).
    • 64 (40) bit onaltılık: 10 haneli onaltılık veri kullanır. Örneğin, “71f2234aba”.
    • 128 (104) bit ASCII: 13 karakter kullanır. Örneğin, “Wirelesscomms” (büyük küçük harf duyarlıdır).
    • 128 (104) bit onaltılık: 26 haneli onaltılık veri kullanır. Örneğin, “71f2234ab56cd709e5412aa2ba”.
  • WPA-PSK/WPA2-PSK ve TKIP veya AES ile paylaşılan anahtar:
    • 8 veya daha fazla karakter uzunluğunda, en fazla 63 karaktere kadar bir Pre-Shared Key (PSK) yani önceden paylaşılan anahtar kullanır.
  • LEAP Kullanıcı Kimliği ve Şifre kullanır:
    • Kullanıcı Kimliği: En fazla 64 karakter uzunluğunda
    • Şifre: En fazla 32 karakter uzunluğunda
  • EAP-FAST Kullanıcı Kimliği ve Şifre kullanır:
    • Kullanıcı Kimliği: 64 karakterden az uzunluktadır.
    • Şifre: 32 karakterden az uzunluktadır.
    1. Hizmet Takımı Tanımlayıcısı (SSID)

Her kablosuz yerel alan ağı (WLAN), kendini tanımlamak için benzersiz bir ağ adı kullanır. Bu ada SSID (Service Set Identifier – Hizmet Takımı Tanıtıcısı) de denir. WiFi bağdaştırıcınızı kurduğunuzda SSID değerini belirtmeniz gerekir. Varolan bir WLAN’a bağlandığınızda, bu ağın adını kullanmak zorundasınız. Kendi WLAN ağınızı kuruyorsanız, kendinize göre bir ad belirleyip her bilgisayarda bu adı kullanmanız gerekir. Ad için, harflerden ve sayılardan oluşan en çok 32 karakter kullanabilirsiniz. SSID ya da ağ adı, erişim noktasında ya da kablosuz yönlendiricide atanır. (Kablosuz Ağa Genel Bakış, 2016)

  1. Çalışma Bilgisayarlarındaki Kablosuz Ağ Arabirimlerinin Yapılandırılması
    1. Windows 7’de Kablosuz Bağlantı Güvenlik Yapılandırması

Güvenlik her zaman önemlidir; söz konusu kablosuz ağ olunca, ağ sinyaliniz evinizin sınırları dışına da gidebildiğinden, güvenlik daha da büyük önem taşır. Ağınızın güvenliğini sağlamazsanız, yakın civarda bilgisayarı olan kişiler, ağ bilgisayarlarınızda saklanan bilgilere erişebilir ve web’e girmek için Internet bağlantınızı kullanabilir. Ağınızın güvenliğinin sağlanmasına yardımcı olmak için aşağıdakileri yapın:

  • Varsayılan kullanıcı adını ve parolayı değiştirerek yönlendiricinizi koruyun. Çoğu yönlendirici üreticisinin, varsayılan ağ adının yanı sıra yönlendiricide varsayılan bir kullanıcı adı ve parolası vardır. Birileri siz bilmeden yönlendiricinize erişmek için bu bilgileri kullanabilir. Bu riski önlemek için, yönlendiricinizin varsayılan kullanıcı adını ve parolasını değiştirin. Yönergeler için, aygıtınızla birlikte gelen bilgileri kontrol edin.
  • Ağınız için bir güvenlik anahtarı oluşturun. Nasıl dosya dolaplarının anahtarları ve kasaların şifreleri varsa, yetkisiz erişimden korunmaları için kablosuz ağların da ağ güvenlik anahtarı vardır. Ağ güvenlik anahtarı oluşturmak için şu adımları izleyin:
    1. Ağ ve Paylaşım Merkezi’ni açmak için Başlat düğmesini  Başlat düğmesinin resmi  ve sonra Denetim Masası’nı tıklatın. Arama kutusuna ağ yazın ve Ağ ve Paylaşım Merkezi’ni tıklatın.
    2. Yeni bağlantı veya ağ kurun öğesini tıklatın.
    3. Yeni bir ağ kur’u ve sonra İleri’yi tıklatın.

Sihirbaz, ağ adı ve güvenlik anahtarı oluşturma işlemi süresince size yol gösterecektir. Yönlendiriciniz destekliyorsa, sihirbaz varsayılan olarak WiFi Korumalı Erişim (WPA veya WPA2) güvenliğine ayarlar. WPA veya Kabloluya Eşdeğer Gizlilik (WEP) güvenliğinden daha iyi güvenlik sağladığından mümkünse WPA2 kullanmanız önerilir. WPA2 veya WPA ile parola da kullanabilirsiniz, böylece şifreli harf ve sayı sırasını hatırlamak zorunda kalmazsınız.

Yönlendirici veya erişim noktası sihirbazı kurulumunun resmi

Şekil – Windows 7’de güvenlik kablosuz ağ anahtarı oluşturma

Güvenlik anahtarınızı not edip güvenli bir yerde saklayın. Sihirbazdaki yönergeleri izleyerek güvenlik anahtarınızı bir USB flash sürücüsüne de kaydedebilirsiniz. (Kablosuz ağ kurma)

    1. Red Hat Linux’da Kablosuz Bağlantı Güvenlik Yapılandırması


Red Hat Linux’da mevcut bir erişim noktasına bağlanmanın en kolay yolu NetworkManager uygulamasına sağ tıklayıp açılan listeden bağlanılacak SSID (erişim noktası adı) adına tıklamaktır. Eğer kablosuz erişim noktasının güvenliği sağlanmış ise bir kimlik doğrulama diyaloğu görüntülenir.

Authenticating to a wireless access point

Şekil – Redhat Linux Kablosuz Erişim Noktası Kimlik Doğrulama Penceresi
NetworkManager ağın güvenliğini otomatik olarak tespit etmeye çalışır. Eğer birden fazla güvenlik (şifreleme) protokolü destekleniyorsa açılır listeden en uygununu tahmin etmeye çalışır. Bundan sonra parola kutusuna PSK’nın (önceden paylaştırılan anahtar) girilmesi gerekir. Seçili olan şifreleme protokolünün türüne uygun uzunlukta bir parola girildiğinde “Bağlan” düğmesi kendiliğinden aktif olur.

    1. MAC OS X’de Kablosuz Bağlantı Güvenlik Yapılandırması

Mac OS X, kullanmak istemediğinizde Wi-Fi (AirPort) kartınızı tamamen kapatmanıza olanak sağlar. Bazı durumlarda, Wi-Fi kartı kaza sonucu kapatılabilir. Wi-Fi arabiriminiz açık ve Wi-Fi ağına bağlıysa, Wi-Fi menüsü kalın harflerle görüntülenir. Wi-Fi menüsü ekranın sağ üst köşesinde yer alır.

AirPort menü çubuğu

Wi-Fi kapalıya, menüde Wi-Fi’yi Aç’ı seçin. (Simge menü çubuğunda hiç görüntülenmiyorsa, Apple menüsünden Sistem Tercihleri’ni seçin. Ağ simgesini tıklayın ve ardından Wi-Fi’yi seçin. “Wi-Fi durumunu menü çubuğunda göster”in yanındaki onay kutusunu işaretleyin)

Wi-Fi ağınız Wi-Fi menüsünde listelenmelidir. Mac’inizin ilişkilendirildiği Wi-Fi ağı aşağıda görüntülenen şekilde işaretlenmiştir:

https://support.apple.com/library/content/dam/edam/applecare/images/en_US/osx/wifi_network_list.png

Seçilmemişse, ağınızı seçin. Wi-Fi ağınızın güvenliği parolayla sağlanıyorsa, aşağıda gösterilen şekilde parola girmeniz istenir.

AirPort kimlik doğrulama

Şekil – Mac OS Wifi PSK ekranı

7. Kaynakça

IEEE 802.11. ( 20 Şubat 2016 ). wikipedia.org: https://tr.wikipedia.org/wiki/IEEE_802.11 adresinden alınmıştır

Kablosuz ağ için güvenlik anahtarı ayarlama. (2016). windows.microsoft.com: http://windows.microsoft.com/tr-tr/windows/set-security-key-wireless-network#1TC=windows-7 adresinden alınmıştır

Kablosuz Ağa Genel Bakış. (2016). support.elmark.com.p: http://support.elmark.com.pl/rgd/drivery/S15S/WLAN/INTEL/XP_VISTA/XP/Docs/TRK/wlanover.htm adresinden alınmıştır

Kimlik doğrulama ve şifreleme. (2016). support.brother.com: http://support.brother.com/g/s/id/htmldoc/mfc/cv_mfc8890dw/tr/html/nug/chapter3_2_2.html adresinden alınmıştır

523EO0320, M. . (Ankara, 2011). KABLOSUZ AĞLAR. BİLİŞİM TEKNOLOJİLERİ, http://megep.meb.gov.tr/mte_program_modul/moduller_pdf/Kablosuz%20A%C4%9Flar.pdf.

Frankel, S., Eyt, B., Owens, L., & Scarfone, K. (2007). NIST Establishing Wireless Robust Security Networks. U.S: NIST.

From Wikipedia, t. f. (tarih yok). Omnidirectional antenna. Radio frequency antenna types, https://en.wikipedia.org/wiki/Omnidirectional_antenna.

giderme, W.-F. W.-F. (2016). support.apple.com: https://support.apple.com/tr-tr/HT202222 adresinden alınmıştır

Gündüz, M., & Daş, R. (2014). Kablosuz Yerel Alan Ağlarını Sızma ve Temel Güvenlik Önlemleri. Uluslararası Bilgi Güvenliği ve Kriptoloji Konferansı.

Güney, E. (tarih yok). Bilgisayar Mühendisliği. İstanbul: İstanbul Teknik Üniversitesi Fen Bilimleri Enstitüsü Bilgisayar Mühendisliği.

HKSAR. (Dec 2010). WIRELESS NETWORKING SECURITY. The Government of the Hong Kong Special Administrative Region, http://www.infosec.gov.hk/english/technical/files/wireless.pdf.

Kablosuz ağ kurma. (tarih yok). windows.microsoft.com: http://windows.microsoft.com/tr-tr/windows/setting-wireless-network#1TC=windows-7 adresinden alınmıştır

Koca, Ö. (2016). Adli Bilişim Açısından, Tam Disk Şifrelemesine (FDE) Sahip Bilgisayarlardan Ağın Koklanması (Sniffing) Yoluyla Delil Elde Etme . Ankara: Özgür Koca.

Koca, Ö. (2016). FDE (Full Disc Encription) Korumasına Sahip Bilgisayarlarda Ağ Koklama Yoluyla Delil Elde Edilmesi. Samsun: Gazi Üniversitesi Bilişim Enstitüsü – Adli Bilişim Anabilim Dalı.

Low, C. (2005). Understanding Wireless Attacks and Detection. https://www.sans.org/reading-room/whitepapers/detection/understanding-wireless-attacks-detection-1633: SANS Institute InfoSec Reading Room.

Min-kyu Choi, R. J.-h.-h., & Min-kyu , C. (July, 2008, Vol. 3, No. 3). Wireless Network Security: Vulnerabilities, Threats and Countermeasures. International Journal of Multimedia and Ubiquitous Engineering, http://www.sersc.org/journals/IJMUE/vol3_no3_2008/8.pdf.

S.A.Arunmozhi, & Y.Venkataramani. (2011). DDoS Attack and Defense Scheme in Wireless. http://airccse.org/journal/nsa/0511ijnsa12.pdf: Saranathan College of Engineering, India.

Sarıöz, Ö. G. (tarih yok). Kablosuz Ağlar. BİLGİSAYAR TEKNOLOJİLERİ VE PROGRAMLAMA BÖLÜMÜ . Fatih Üniversitesi.

Sheila , F. (2007). Establishing Wireless Robust Security Networks: A Guide to IEEE 802.11i. United States: NIST (National Institute of Standards and Technology).

Sheila Frankel , Bernard Eydt , Les Owens , & Karen Scarfone . (tarih yok). Establishing Wireless Robust Security Networks: A Guide to IEEE 802.11i. U.S: NIST – National Institute of Standards and Technology .

Uçar, O. (2012). WPS Destekli Kablosuz Ağların WPA/WPA2 Parolasını Kırmak. Bilgi Güvenliği Akademisi: http://blog.bga.com.tr/2012/02/wps-destekli-kablosuz-aglarn-wpawpa2.html adresinden alınmıştır

Uraz Yavanoğlu, A. K. (Cilt:1, No:1, S:11-19, 2015). KABLOSUZ AĞ CİHAZI ERİŞİM GÜVENLİĞİ VE FARKINDALIK ANALİZİ: ANKARA ÖRNEĞİ. Uluslararası Bilgi Güvenliği Mühendisliği Dergisi, http://dergipark.ulakbim.gov.tr/bgmd/article/view/5000119300/5000137072.

Wally, M. (2010). The Wireless Computing Landscape. M. Wally içinde, The Wireless Revolution. Newyork: ORelly.

  1. WPS – https://en.wikipedia.org/wiki/Wi-Fi_Protected_Setup

LTE (4.5G) ağlarında DOS ve İzleme (Konum Takibi) Zafiyetleri

Mobil iletişim ağlarının güvenliği geçilen her nesil (Generation) ile daha güvenli bir seviyeye taşınmıştır. 3G ile sahte baz istasyonu kurmak ve kimlik doğrulamayı engellemek için aşılması güç yeni güvenlik önlemleri gelmiştir. Özellikle LTE’de sahte baz istasyonu kurmak ve uygulamak çok zor hale gelmiştir.

Buraya kadar güvenliği üst düzeyde tutmak servis sağlayıcının yapılandırdığı konfigürasyonun başarısı ile doğrudan ilişkilidir. Her durumda insan unsurundan kaynakalanan güvenlik zafiyetleri olabilmektedir. Bu Türkiye’deki operatörler için de geçerlidir. Yalnızca operatörün gerçekleştireceği mobil şebeke güvenlik yapılandırma zafiyetleri söz konusu değildir. Baseband donanım üreticilerinin chipset’lerinde dahi güvenlik zafiyetleri olabilmektedir.

Bu zafiyetler saldırganın, abonenin telefonun izlemesine olanak veren sahte baz istasyonu işletmesine ve istenilen ağın abone cihazı tarafından reddedilmesine olanak veren saldırılara dönüşebilir.

GSM’in 3G tasarımında lokasyon (cihazın bulunduğu cografi kordinat) gizliği ön plana çıkmıştır. Abone cihazı mobil ağa bağlandığında kendisine IMSI (International Mobile Subscriber Identity) yerine TMSI (Temporary Mobile Subscriber Identity ) adı verilen geçici bir ağ kimliği (TCP/IP yapısındaki IP adresine benzer) atanır. TMSI rasgele oluşturulan ve belli aralıklarla güncellenen bir kimlik numarasıdır. Böylece GSM ağını pasif olarak dinleyen bir saldırgan TMSI numarasından gerçek abone kimliğine ulaşamaz, cihazı takip edemez.

Dennis Foo Kune adlı araştırmacı tarafından bulunan teknik sayesinde; paging isteği ile abone cihaza göndereceği sessiz bir servis mesajı ile çağrı kesme işlemi yapılarak, saldırganın TMSI numarasından abonenin telefon numarasına ulaşılabildiği gösterilmiştir. Paging isteği geniş kapsamlı bir GSM bölgesinde aboneye çağrıyı ulaştırmak için abonenin hangi hücrede yer aldığını tespite yönelik bir broadcast mesajı olarak düşünülebilir. Örneğin akıllı telefonunda facebook veya whatsapp gibi online çalışan uygulamalar yüklü olan bir hedefe uygulama üzerinden mesaj gönderildiğinde LTE networkünde bir paging isteği broadcast edilir ve havayı dinleyen saldırgan cihazın yerini tespit edebilir. Benzer teknik whatsapp uygulamasında karşıdaki kişi size yazarken görüntülenen “xxx yazıyor…” mesajı ile de gerçekleştirebilir. Her mesajda LTE ağına bağlı cihaz için bir paging (konum bulma) isteği yayınlanır. Broadcast mesajlar LTE ağında kimlik doğrulamasız ve kriptosuz olarak seyahat eder. Benzer şekilde bu broadcast mesajlardan yararlanılarak sahte bir LTE baz istasyonu saldırgan tarafından işletilebilir.

Başka bir konum izleme açığı ise şöyle işler; LTE protokolleri GSM ağındaki sorunları izlemek, raporlamak ve düzeltmek için birçok fonksiyona sahiptir. LTE destekli abone cihazı sürekli olarak etrafındaki baz istasyonlarının (hücrelerin) sinyal ve gürültü seviyelerini izleyerek raporlar. TMSI numarası bilinen abonenin gönderdiği ölçüm raporları saldırgan tarafından incelenerek cihazın bulunduğu lokasyon tespit edilebilir. Bu raporlarda kurbanın etrafında bulunan baz istasyonlarına ait bilgiler yer almaktadır. Bu raporlama özelliği dev LTE ağlarında operatör tarafından abonelere en verimli iletişim hizmetinin sağlanması için temel ve itibar gören kıymetli bir veri sağlar. Bu şekilde LTE ağı en iyi hizmeti verecek şekilde kendi kendini yapılandırır ve hizmetini sürdürür. Gönderilen raporlarda cihaz ve ağ yapılandırması destekliyorsa cihazın GPS kordinatı da yer alabilir. Bu yönüyle LTE tasarımı kulllanıcının lokasyon mahremiyetini sekteye uğratan çözümü hayli zor bir zafiyete sahiptir.

lte-2016-10-17_02-07-58

GSM ağları üzerindeki bir DOS (Denial of Service) saldırısı uluslararası dolaşım adı verilen roaming özelliğinden kaynaklanır. Roaming ile abonesi olunan operatörün dışındaki farklı bir ülkede telefon şebekesinin kullanılabilmesi sağlanmıştır. Diyelimki Turkcell hattınızı Almanya’da da kullanmak istiyorsunuz bu durumda hattınızı roaming’e açtırmalısınız. Hattınızı roaming’e açtırmadığınız da telefonunun şebekeye bağlanmak isteyecek ve şebekeden alacağı “ROAMING NOT ALLOWED” yani red yanıtı ile tekrar bağlanmayı denemez. Normal şartlarda telefonunuz bunu ilk açıldığında veya uçak modundan normal moda geçtiğinizde bir defaya mahsus yapar ve daha sonra NOT ALLOWED ağda yeniden bir roaming sayılabilecek bir istekte bulunmaz. böyle olmasının nedeni batarya tüketimi içindir. Sürekli olarak roaming isteğinde bulunmak telefonun bataryasının kısa sürede tükenmesine ve havada gereksiz GSM sinyallerinin var olmasına neden olur.

Kullanıcı cihazı baz istasyonuna ağa dahil olma isteği gönderdiğinde bu istek açık şekilde gider. Bu istekte kullanıcı cihazının sesli görüşme yeteneğinin de olduğuna dair bilgi bilgi de yer alır. Korumasız olan bu mesajı ele geçiren saldırgan sesli görüşme bilgisini kaldırarak iseteği tekrarlar. Bu durumda kullanıcı cihazı SMS mesajlarını alıp gönderebilirken sesli çağrıları alıp gönderemez. Saldırganın bu atağı tekrarlamasına gerek yoktur. Kullanıcı cihazı bu durumdan kurtulmak için radyo alıcısını yeniden başlatmalıdır veya operatörün yapılandırmasına bağlı olarak 48 saate varan sürelerde rezervasyonun iptal olmasını beklemelidir.

LTE ağına bağlanma işlem süreci downgrade (seviye alçaltma) saldırılarına açıktır. Saldırganın bir GSM cihazını LTE ve 3G bağlantısını kopartarak, operatör ile 2G bağlantı kurmaya zorlayabilir. Bu durumda iletişim 2G’nin sahip olduğu güvenlik zafiyetleri ile yüzleşi ve MITM (ortadaki adam saldırısı) saldırısı gerçekleştirilebilir.

 2016-10-17_02-10-21Kaynaklar:

SS7 (Signaling System 7) ve Tehdit Potansiyeli

Daha önce burada ülkemizin GSM şebeke güvenliği hakkında bazı bilgileri paylaşmıştım. Yeni edindiğim bilgilere göre; daha önce zafiyeti açıklanmış olan A51’in kullanımı, özellikle avrupa ülkelerinde büyük oranda terk edilmiş durumda. Ancak Afrika ve Çin gibi bazı geri kalmış bölgelerde hala daha kullanılmakta. (Diğer taraftan mevcut telefonların çok büyük bir kısmı sahte BTS ile A51’i kullanmaya da zorlanabilmekte ve gerçekleştiğinde kullanıcısına herhangi bir uyarı da vermemekte)

Ülkemizdeki operatörler 2016 itibari ile çoğunlukla A5/2 ve A5/3’ü, telefonun desteklemesi halinde ise de A5/4’ü kullanıyor.  Avrupadaki GSM (ve RF) alt yapısının standartlarını düzenleyen ETSI isimli organizasyon A5/4 ve A5/3 kullanımı standartlaştırmış durumda. Ülkemizdeki operatörler de bu organizasyonun birer üyesi.  A51 de olduğu gibi A54 ve A53 hakkında public olmuş bir güvenlik açığı yok, lakin bu sadece iletişim (bağlantı) ele geçirildiğinde kullanıcıyı koruyan bir şifreleme.

Bu şifreleme SS7 (uluslararası GSM şebekesi protokolleri) zafiyetlerine karşı bir koruma sağlamıyor. Evet havadaki sinyalleri koklayan saldırgan kriptolu veriyi çözemez (şimdilik) fakat 1975’den beri kullanılan SS7 sistemi,  giden çağrıları yönlendirme, gelen SMS’leri yakalama, GSM network’ü içinde kurbanın yerine geçme ve kurbanın coğrafi konumunu bulma gibi yönlendirmeye dayalı atraksiyonların suistimaline açık bir yapı sağlıyor.

SS7 çevir sesinden, görüşmelerin BSC/MSC düğümleri arasında yönlendirmesinden uluslararası operatörler arasındaki roaming’e kadar tüm network atraksiyonlarını düzenleyen çok eski (1975) bir protokoller kümesi. Saldırgan trafiğinizi decrypt edemez ama çağrılarınızı veya SMS’lerinizi yönlendirebilir. Bunu farklı bir kıtadan (Avustralya) dahi yapabilir yeterki IMSI (International Mobile Subscriber Identy) numaranızı bilsin ve SS7 networküne dahil olabilsin. Bigbrother’in (NSA) massive GSM intercaption efsanesi hiç de efsane değil. Snowden’in Wiki’sinde bununla ilgili (echolon) belgeler yayınlamıştı.

Tarihçe açısından SS7 (Signaling System 7) Nedir ?

Ortak Kanal İşaretleşme Sistemi No:7 (SS7 veya C7) Uluslararası Telekomünikasyon Birliği (ITU, International Telecommunication Union) Telekomünikasyon Standardizasyon Birimi (Telecommunication Standardization Sector, ITU-T) tarafndan tanımlanmış, küresel bir telekomünikasyon standardıdır. Standart, Kamusal Anahtarlamalı Telefon Ağındaki (PSTN) ağ birimlerinin sayısal bir işaretleşme ağı üzerinden kablosuz (Hücresel) ve karasal çağrı kurulumu, yönlendirilmesi ve denetimini sağlamak için yöntem ve protokolleri tanımlar. ITU’nun SS7 tanımlaması Amerikan Ulusal Standartlar Enstitüsü (American National Standards Institute, ANSI) ve Bell Communications Research (Telcordia Technologies) gibi Kuzey Amerika’da ve Avrupa Telekomünikasyon Standartlar Enstitüsü (European telecommunications Standards Institute, ETSI) gibi Avrupa’da kullan lan SS7 türevlerine olanak tanımaktadır.

SS7 ağı ve protokolleri;

  1. Temel çağrı kurulumu, yönetimi ve bitirilmesi,
  2. GSM gibi kablosuz hücresel hizmetler, kablosuz dolaşım (Roaming) ve mobil
    kullanıcı doğrulaması.
  3. Yerel Numara Taşınabilirliği (Local Number Portability, LNP)
  4. Karasal ücretsiz (Toll-free, 800/888) ve ücretli (Toll, 900) hizmetler.
  5. Çağrı yönlendirme, arayan tarafn numara/adının görüntülenmesi, telekonferans
  6. Dünya çapında yüksek servis sürekliliği ile güvenli iletişim

gibi amaçlarla kullanılır.

Sadede gelelim: Yani 1 dakikada WhatsApp veya Facebook Hesabı Nasıl Patlatılır

Amiyane sayılabilecek patlatma tabirini ilk defa underground faliyetleri olan bir öğrencimden duymuştum ve hoşuma gittiği için kullanıyorum :) Aşağıdaki video’da SS7 (Signaling System 7) zafiyetleri kullanılarak hedef telefonun IMSI (Uluslararası Mobil Abone Kimliği) numarası sahte bir baz istasyonu ile ele geçirilerek (Fake BTS, BTS rogue, IMSI catcher) kurbanın yerine geçiliyor. Bu uygulamada kısa bir süreliğine kurbanın IMSI numarası ile SS7 sinyal ağına yasadışı kayıt yapılarak kurbana gelemesi gereken SMS’ler saldırgana geliyor ve böylece hesap kurtarma için doğrulama kodu ele geçirilmiş oluyor. Bu yönteme karşı Whatsapp veya Facebook gibi SMS doğrulama kodlarını kullanan güvenlik mekanizmalarının bir önlem alma şansı yok. Çünkü zafiyet SS7 ile ilgili.

 Nasıl Yapılıyor?

Kaynaklar:

Türkiye GSM Güvenlik Raporu:

GSM Sistemi: https://www.tankado.com/cep-telefonu-gsm-sistemi-2/

Uluslararası Çağrı Kodları: http://www.yasinkaplan.com/tr/uluslararasi.html

Türkiye GSM Güvenlik Raporu (Turkcell, Vodafone ve Avea) ile Sınıfta Kaldı

Onur bu makalenin bağlantısını gönderdikten sonra GSM protokolünü kırma pratiklerinin bir hayli kolaylaştığını fark ettim. GSM şebekesinde havadan gidip gelen (Telefon-BS [Baz istasyonu]) veriler normal olarak şifrelenir. Aksi takdirde sabit olan frekans aralıklarına ayarlanan herhangi bir RF alıcısı ile sesli görüşme ve sms‘leri elde etmek çok kolay olurdu.

İşte tam da bu kolaylıktan bahsetmek gerekiyor. 2007 yılında GSM şifrelemesi için kullanılan A5/1 algoritmasının kırılması büyük yankı uyandırmıştı. Tam da o yıllarda cracker’lar arasında kızışmaya başlayan Rainbow Table oluşturma yarışları A5/1’in sonunu getirdi. Bunun sonucu olarak yaklaşık 20 yıllık teknoloji ve hali hazırda kullanılan milyarlarca telefon güvensiz hale geldi.

Bundan sonra üreticiler A5/1’in daha güvenli ve güncellenmiş sürümleri olan A5/2 ve A5/3 ü yeni cihazların firmware’lerine dahil etmeye başladılar. Fakat, bu yazının da konusunu oluşturan Türkiye GSM Güvenlik Raporu operatörlerin, üreticilerin aksine bu konuda pek de istekli olmadıklarını ortaya koyar nitelikte. Rapordan da görebileceğiniz üzere Avea ve Turkcell (2013 itibari ile) hala A5/1 uyumlu sistemler kullanmaya devam ediyorlar.

gsm_turkiye_guvenlik_2016-09-21_03-17-10

Avea ve Turkcell kullanıcıları için bu durum ne anlama geliyor [1]:

  1. Görüşme sırasında araya girilerek oturum kayıt altına alınabilir.
  2. Adınıza çağrı yapılabilir ve SMS gönderilebilir.
  3. Ortalama 150m hassasiyetle bulunduğunuz konumu öğrenilebilir [2].

Malesef tüm bu saldırılar yaklaşık $400’lık bir donanımla (HackRF One) SDR yazılımları kullanılarak kolayca gerçekleştirilebilir. Aşağıdaki video serisinde uygulamaları izleyebilirsiniz:

Araştırma raporuna gelecek olursak GSM saldırılarına karşı alınabilecek önlemlerin ilk başında gelen altyapıdaki algoritmanın son güncel olan A5/3 olarak güncellenmesini sadece Vodafone’nun yaptığı görülüyor. Hatta Vodafone’nın A5/3 kapsaması oldukça yaygınlaşmış durumda. Güvenlik önlemlerini almada AVEA ve Turkcell’in geride kaldığı raporda dikkat çekiyor. 3G şifrelemede hepsi iyiyken, yine 3G’de geçici mobil abone kimliği (TMSI) güncellemesinde sadece az olsa da Vodafone’nun yatırım yaptığı görülüyor. [1]

hangi_gsm_operatoru_hangi_a5_algoritmasini_kullaniyor2016-09-21_03-18-28

Veri sızıntısı ya da TEMPEST nedir ne değildir?

TEMPEST, yüksek lisans yaparken aldığım Bilgi Güvenliği (ISO 27001) dersinde ödev olarak sunumunu yaptığım konu. Türkçe’ye bir elektronik sistemden sızan verilerin fiziksel bağlantı olmadan toplanması, depolanması ve analiz edilerek bilgiye dönüştürülmesi olarak açıklanabilir.

Hiç bir fikri olmayanlar için biraz geyiğe vurarak, hem de kalıcı olmasını sağlamak adına, bu sunumda şunların cevaplarını bulabileceksiniz:

  • Karşı binadaki dairede, kız arkadaşı ile chatleşen adamın ne yazdığını okuyabilir miyim? Ne öğreneceksen!
  • Yan dairede babaannesi ile web cam’den hasret gideren kişinin ekranını görebilir miyim? Merak işte böyle bir şey.
  • Karşı masada laptop’a gömülmüş hacker kılıklı acaba klavyesine neler yazıyor, öğrenebilir miyim? Direkt suç ortağı.
  • Sokağın köşesinde kendinden geçmiş halde telefonla konuşan yeni ergeni dinleyebilir miyim? Anlamlı bir şeyler beklemiyorum ama merak işte!
  • Elektronik cüzdanımın private key’ini çok sağlam bir parola ile kript ettim acayip güvendeyim. Sen öyle san janım!
  • Sistemimin tüm fiziksel ağ bağlantılarını ayırdım hatta faraday kafesi içinde oturuyorum, artık güvende sayılırım sanırım. Daha neler! Duymamış olayım…

Geyik yapıyorsun hocam! Yok vallahi yapmıyorum, yeminlen… :)

Evet bunlar çoğu kişiye tamamen fantezi veya hayal ürünü gelebilir. Fakat hepsi gerçek (malesef), bu nedenle güvenli kalmak adına “Gidecek hiç bir yerimiz yok”. Sunuma ait dosyayı sayfanın sonundaki bağlantıdan indirebilirsiniz.

Cep Telefonunun Dinlendiği Nasıl Anlaşılır?

tapping

Tele-kulak tarafından dinlenildiğinizi öğrenmek için dikkat etmeniz gereken koşullar ve dinlemeyi engellemek için yapabileceğiniz formüller:

  • Eğer ‘Casus yazılım’ varsa, telefon kullanılmaya başladığında kaynağa istem dışı SMS gönderir.
  • Bu nedenle ilk yapmanız gereken, ayrıntılı fatura istemek. Faturada sizin bilmediğiniz SMS görürseniz, telefonunuzda casus yazılım bulunma ihtimali çok yüksek.
  • Cep telefonunuzu özellikle çok fazla kullanmadığınız zamanlarda normalden daha fazla şarj etmek durumunda kalıyorsanız, bu dinlendiğine dair önemli bir işaret olabilir.
  • Telefonunuzu kullanırken, cızırtı ve yankı duyuyorsanız, dinleniyor olabilirsiniz.
  • Konuşmalarınız derinden geliyorsa ve aynı olay gün içinde 2 kez tekrarlanırsa, yine dinlenme ihtimaliniz yüksektir.
  • Uzmanlar, dinlemelere karşı telefonunuzu sürekli olarak format atmanız gerektiğini söylüyor.
  • Yani, her sabah ‘Fabrika ayarlarına dön’ seçeneğini tercih ederek telefonunuzun casus yazılım tarafından dinlenmesini önleyebilirsiniz.
  • Telefonunuzu 1 saat boyunca masaya bırakın. Sonra elinizde tutun. Eğer sıcaklık hissediyorsanız, bu telefonunuzun dinlendiğini gösterir.
  • Bunu gün içinde birkaç saat sonra tekrarlayın. Sonuç aynı ise, yüzde 100 dinleniyorsunuz…
  • Telefonunuzdaki cızırtı ve yankı sesleri, dinlenme ihtimalinizi güçlendiren farklılıklar.
  • Bu gibi durumlarda telefonunuzu kapatın ve bataryayı birkaç dakika çıkartın.

Kaynak: Takvim

Elektromanyetik Dinleme ve Güvenlik (EDG)

Bilgisayarınızın klavyesinden, ekranından, modem kablosundan ve daha nice yerinden yayılan elektromayetik salınımlar klavyede bastığınız tuşlara, ekranınızdaki görüntüye ve modeminizle bilgisayarınız arasında geçen bilgilere bağıntılıdır. Yeterli donanıma sahip herhangi biri bu ışınları bir veya iki kilometreye varabilen bir mesafeden kaydedebilir ve ekranınızda ne göründüğünü, klavyenizde ne girdiğinizi veya modeminizden ne geçtiğini bu ışınları işleyerek tekrar oluşturabilir.

Bilgisayarınızın klavyesinden, ekranından, modem kablosundan ve daha nice yerinden yayılan elektromayetik salınımlar klavyede bastığınız tuşlara, ekranınızdaki görüntüye ve modeminizle bilgisayarınız arasında geçen bilgilere bağıntılıdır. Yeterli donanıma sahip herhangi biri bu ışınları bir veya iki kilometreye varabilen bir mesafeden kaydedebilir ve ekranınızda ne göründüğünü, klavyenizde ne girdiğinizi veya modeminizden ne geçtiğini bu ışınları işleyerek tekrar oluşturabilir.

Okumaya devam et “Elektromanyetik Dinleme ve Güvenlik (EDG)”

Cep Telefonu (GSM) Sistemi – 2

Üniversite zamanlarımdan kalma teknik dökümanlarımın arasında Elektronik Yüksek Mühendisi Fikret OTTEKİN’in yazmış olduğu aynı başlıktaki makalesini buldum. O zamanlar (2002), etrafta GSM konusuyla ilgili pek fazla kaynak yok iken bu belge Türkçe olması hasebiyle oldukça iyi bir kaynaktı. Elimdeki fotokopi biraz yıpranmış olduğundan net’de daha iyi bir sürümünü aradım fakat gördüm ki kutsal bilgi kaynağımız Google böyle bir belgeyi indekslememiş. Üzüldüm. Belki daha ne kıymetli dökümanlarınız var tozlu raflarınızın eskimiş klasörlerinde. Gün ışığına çıkartın onları, paylaşın internet ile. Ben de tam olarak böyle yaptım. Belgeyi tarayıp PDF biçimine dönüştürdüm. Şimdi paylaşıyorum onu sizin ile fakat sayfa sıraları karışmış özür… ;)

Google’a hitaben belgenin içeriğinden biraz bahsetmek gerekirse;
GSM kablosuz iletişim teknolojisinin geldiği en son noktayı yansıtmaktadır. Bu sistemin standartlarının ufak tefek değişiklikler ile, GSM’in ikinci nesil temsilcisi olan DCS (Digital Communication System) standartlarına dönüşeceği ve bu sistemlerin çok uzun yıllar güncelliğini koruyacağı düşünülürse GSM standartlarının önemi ortaya çıkar…Sistem işleticisi tarafından her abonenin SIM kartına Ki adı verilen bir kullanıcı anahtarı yerleştirilmiştir…GSM sisteminin toplam 124 taşıyıcıya sahip olduğunu daha önce belirtmiştik….

Ekranlarınız Gözaltında

Kullandığımız tüm elektronik cihazlar belirli frekanslarda “elektromanyetik dalga” oluşturur. Gerekli ekipmanlara sahip kişiler, bilgisayarınızdan çevreye yayılan elektromanyetik salınımları sayısal verilere dönüştürüp ekranınızı eşzamanlı olarak görüntüleyebilir. Ev ya da işyerinizde bilgisayarınızda çalışırken haberiniz bile olmadan ekranınızın uzaktan okunabileceğini biliyor muydunuz? Şu ana kadar, sadece klavyeden yazılanların izlenebileceği en fazla e-posta mesajlarınızın takip edileceğini hayal ederdiniz. Ancak o kadar basit değil. Kullandığımız tüm elektronik cihazlar belirli frekanslarda “elektromanyetik dalga” oluşturur. Bu dalgalar çeşitli yollarla kaydedilerek yeniden bilgiye ulaşılabilir. Okumaya devam et “Ekranlarınız Gözaltında”

Magnetic Movie: Manyetizmanın büyülü dünyası

Berkeley Üniversitesinin NASA uzay laboratuvarlarında yeni bir görüntüleme teknolojisi geliştirildi. Bu teknoloji ilei manyetik alanların canlı olarak görüntülenebilmesi mümkün oluyor.

Gelişen teknoloji kabloları giderek ortadan kaldırıyor. İçinde bulunduğumuz dünya da etrafımızı saran çok yoğun ve karışık manyetik alanlar var. Cep telefonları, TV, telsiz ve radyo dalgaları, bluetooth, wireless (802.11) gibi teknolojik ürünler değişik  frekanslarda ve şiddette radyo dalgaları yayımlarlar. Şuanda bulunduğunuz ortamda; iki sokak üste telefonuyla konuşan birisinin veya Rusya’da telsizi ile konuşan bir rus’un cihazından çıkan radyo dalgalarının bile olduğunu söyleyebilirim. Hayal gücünüzü kullanarak teknolojinin içinde bulunduğumuz dünyayı radyo dalgaları ile nekadar çok kuşattığını anlayabilirsiniz.