|
Kişisel bilgisayarlarla akıllı mobil cihazlar arasındaki çizgi bulanıklaşmaya başladı. Mobil cihazlar için üretilen donanımlar ve işletim sistemleri nerdeyse bilgisayarlarla aynı yeteneklere ulaştı. Bu durum beraberinde güvenlik sorunlarını da getirdi. Mobil cihazlara olan talebin çok büyük olması, insanların artık çoğu önemli işini bu cihazlardan gerçekleştirmesi ve önemli kişisel verilerini saklaması riski de arttırmaktadır. Mobil cihazları tehdit eden başlıca saldırı yöntemlerini; malware (kötücül yazılım), direct attacks (doğrudan saldırı), data interception (araya girme), exploitation (zafiyeti kullanma) ve social engineering (sosyal mühendislik) olarak sıralayabiliriz. Bu yazıda tehditleri, mobil işletim sistemlerinin artılarını/eksilerini, analiz yöntemlerini ve mobil cihazlarda güvenlik çözümlerini anlatılmaya çalışılacaktır.
İlk malware (kötücül yazılım) 2004 yılında Symbian işletim sisteminde tespit edilmiştir. Bu tarihten sonra mobil platformların farklılaşmasıyla ve gelişmesiyle birlikte malware örnekleri hızla arttı ve kabiliyetlerini geliştirdi. Mobil pazarına bakacak olursak 2013 yılının 1.yarısında yapılan araştırmaya göre mobil cihaz satışlarında dağılım şu şekildedir;
Şekil 1 Dünya Genelinde Mobil Cihaz Satış Oranları 2011
Mobil cihazlardaki bu satış oranları doğrudan saldırı oranlarını da etkilemektedir. Son yıllara kadar sadece symbian işletim sistemleri için yazılmış malware örneklerine rastlarken pazar payındaki değişimle birlikte Android ve İOS işletim sistemleri içinde malware örnekleri görülmeye başlanmıştır. Tabiki tek etken bu değildir. Cihazlardaki geliştirme(development) sırasında ki hatalardan dolayı oluşan açıklıklar, kaynak kodunun(source code) erişilebilir olması, güvenlik mekanizmalarının yetersiz olması gibi etkenlerde saldırı çeşitliliğinin artmasına neden olmaktadır.
Saldırı Çeşitleri
Mobil cihazlarda gerçekleşen başlıca saldırı tipleri; Malware, Direct Attacks, Data Interception, Exploitation ve Social Engineering olarak sıralanmaktadır. Bu atakların çoğunda daha önceden tespit edilmiş açıklıklar (vulnerabilities) ve bu açıklıkları kullanan kod parçaları (exploit) kullanılmaktadır.
Malware (Kötücül Yazılım)
Malware; virüs, worm (solucan), trojan ve spyware (casus yazılım) olarak bilinen zararlı yazılımların tümüne verilen isimdir. Bu zararlı yazılımların etkili olmasının nedeni mobil cihazlar hızla yayılırken bu cihazlar için gerekli güvenlik yazılımlarının bu oranda geliştirilmemesi ve yaygın olmamasıdır. Bilgisayarlarda olduğu gibi mobil cihazlarda da bu yazılımlar cihazdan cihaza bulaşabilir ve kendini otomatik kopyalayabiliyorlar. Bu zararlı yazılımlar İnternet, cihazın bağlandığı bilgisayar üzerinden, MMS mesajı, depolama birimleri (SD,MMC cards) ve mobil cihazlar arasındaki veri aktarımı (wireless,bluetooth, infrared) ile yayılabilmektedir. Kötücül yazılımlar yayılarak bulaştıkları cihazlarda sms atma, veri toplama, çağrı kayıtlarını loglama, klavye girişlerini kaydetme (keylogger), yasadışı yazılım yükleme, cihazdaki sertifikaları ele geçirme, ortam dinleme, GPS konum bilgisini kaydetme gibi faaliyetleri gerçekleştirerek kullanıcıya zarar verirler ve bilgilerini izinsiz ele geçirirler.
Direct Attacks
Doğrudan Saldırı olarak adlandırılan bu yöntemde saldırgan bilinen bir uygulama açıklığını (application vulnerability) ya da işletim sistemindeki açıklığı (os vulnerability) kullanarak yetkisiz erişim sağlamayı ve bilgi elde etmeyi hedefler. Geçen yıl Android kullanıcıları Adobe Flash Player uygulamasına ait güncelleme (update) yazılımındaki bir açıklık nedeniyle cihazın tamamen kullanılamaz hale gelmesine neden olan bir saldırıya maruz kalmışlardır. Doğrudan saldırı yöntemi malware’den farklıdır çünkü bu yöntemde cihaza herhangi bir yazılım yüklenmez. Bu yöntemde bir zayıflık bulunur ve bu zayıflık nedeniyle sistemin normal bir etkileşime beklenenin dışında bir tepki vermesi ile zarara uğratılır.
IBM-X Force ekibinin raporuna göre doğrudan saldırı yönteminde en çok SQL enjeksiyonu(SQL injection) ve dışarıdan bağlantıları kabul eden servis zafiyetleri kullanılmıştır. Bu zafiyetler en fazla doküman okuma uygulamaları ve multimedya uygulamalarında görülmüştür. IBM’in raporuna göre sadece istemci (client) tarafında değil cihazların eriştiği web siteleri (FORTUNE 500 deki şirketlerin web sayfaları) nin %40‘ında javascript açıklıkları olduğu tespit edilmiştir.
Data Interception
Hızla kullanımı artan yöntemlerden birisi de veri iletişiminde araya girme (data interception) yöntemidir. Bu yöntemde ağ üzerindeki paketler toplanarak analiz edilir, protokollerine göre ayrıştırılır ve gerekiyorsa şifreli trafik çözülerek aktarılan veri ele geçirilir. Kablolu ağlarda bu yöntemi kullanmak için Wireshark isimli uygulama yaygın olarak kullanılan bir araçtır. Kablosuz ağlarda ise Cain&Abel gibi uygulamalarla paketler toplanarak kablosuz ağa sızma ve aktarılan veri trafiği içerisinden bilgi elde etmek mümkündür.
Exploitation and Social Engineering
Mobil cihazlardan bilgi elde edilmesinde sosyal mühendislik ve cihazlarda yapılan açıklık kullanma (exploitation) yöntemleri de kullanılmaktadır. Örnek olarak bilinmeyen bir numaradan gelen sms ile oltalama (phishing) saldırısına maruz kalabilirsiniz. Bu teknikle saldırgan sizden gizli bilgilerinizi alabilir. Cihazlarda yapılan android için “root” ve ios için “jailbreak” işlemleri, (bu yöntemler işletim sistemindeki açıklıklar kullanılarak yetki yükseltmesi yapılmasını sağlar) işletim sisteminde en üst düzey yetki seviyesine erişilmesine ve mobil işletim sisteminin koruma amaçlı mekanizmalarının devre dışı kalmasına neden olur.
Mobil İşletim Sistemlerinin Güvenlik Açısından Karşılaştırması
Mobil cihazlarda yaygın olarak kullanılan işletim sistemleri Android, IOS, Blackberry OS ve Windows Mobile OS olarak sıralanabilir. Yazıda Pazar payının %90‘lık kısmını kapsadığı için Android ve Apple IOS işletim sistemleri ele alınacaktır.
Android OS
Yeni cihazlarda yaygın olarak kullanılan bu işletim sistemi Google’ın bir ürünü olup en büyük özelliği açık kaynak kodlu olmasıdır. Bu durum bu işletim sisteminin cep telefonlarına üreticiler tarafından yüklenen versiyonundan farklı versiyonların oluşturulup değiştirilebilmesine olanak sağlamaktadır. Bu durum kullanıcılara esneklik sağlamasıyla birlikte doğal olarak güvenlik zafiyetlerini de beraberinde getirmiştir. Genel mimarisi Şekil 2‘de görüldüğü gibi bir linux kernel üzerine kurulmuş katmanlı bir yapıdan ibarettir. Cihaz üreticileri yüklü işletim sisteminin(ROM) değiştirilmesini engellemek için farklı yöntemler kullanmışlardır. Android işletim sisteminde “Android Security Program” ve “Android Platform Security” olmak üzere temelde iki farklı güvenlik tedbiri mevcuttur.
Android Security Program
Android Güvenlik Programı (Android Security Program), işletim sistemi için geliştirilen uygulamalar, firmware ve donanımın ana hatlarını ve standartlarını belirler. Bu yapının ana bileşenleri:
- Tasarımı Gözden Geçirme (Design Review): Her büyük özelli (major feature) uygun güvenlik sisteminin mimarisine bütünleşmiş kontrolleri ile mühendislik ve güvenlik ekipleri tarafından gözden geçirilir.
- Penetrasyon Testi ve Kod İnceleme (Penetration Testing and Code Review): Android Güvenlik Ekibi, Google’ın Bilgi Güvenliği Mühendisliği ekibi ve bağımsız danışmanlar tarafından gerçekleştirilen Güçlü güvenlik değerlendirmeleri.
- Açık Kaynak ve Topluluk Gözden Geçirme (Open Source and Community Review): Linux çekirdeğinin ve Android işletim sisteminin açık kaynak kodlu olması şirket dışındaki gönüllü gruplarında güvenlik analizleri yapmasına olanak sağlar.
- Olay Müdahale (Incident Response): Google ekibi güvenlik olaylarını takip eder ve Linux çekirdeğinde yada Android işletim sisteminde ortaya çıkan bir açıklığa karşı güncellemeleri ve yamaları yayınlayarak açıklığın etkisini kapatmaya çalışır.
Özetle, Android güvenlik programı bir döngü içerisinde her aşamada güvenliği ele alarak mevcut ya da çıkabilecek tüm zafiyetleri minimize etmeye çalışır.
Android Platform Security Architecture
Bu güvenlik modeli ile sunulan işletim sistemi kodunun içerisine uygulanan somut güvenlik adımları tanımlanmıştır. Başlıca bileşenleri:
- Linux Kernel Security: 2003 yılından beri stabil ve güvenli kabul edilen Linux 2.6 çekirdek versiyonu kullanılmıştır. Bu çekirdek işletim sistemi kendi içinde kullanıcı bazlı yetkilendirme, süreç (process) izolasyonu, Süreçler arası iletişim güvenliği (IPC) gibi mekanizmaları bulundurmaktadır. Bunun dışında bu versiyonda güvenli görülmeyen kısımlar çıkarılmıştır.
- Application Sandbox: Android’in sağladığı en önemli güvenlik yöntemlerinden birisi olan “application sandbox” ile her bir uygulama ayrı bir sanal makine üzerinde (Dalvik Virtual Machine) çalışarak uygulamaların birbirinden yalıtılması sağlanmıştır. Bu yöntemle sistem kaynaklarına erişim kontrollü hale getirilmiştir. Uygulama kendi sandbox’ı dışında herhangi bir erişim sağlayamaz fakat cihazda “root” işlemi uygulanarak hak yükseltmesi yapılmışsa bu koruma devre dışı kalır.
|
dssteknoloji
İSTİHBARAT SAHASI 
Yorum yazabilmek için oturum açmalısınız.