Yazılar

ABD ile İngiltere, Türkiye E-Pasaport ve dünyanın en büyük SIM üreticisini hackledi

abd-ingiltere-turkiye-epasaport-ve-simkart-ureticisini-hacklediNSA ile GCHQ’nun dünyanın en büyük SIM kart üreticisi olarak bilinen Gemalto’nun iç ağına kadar sızdığı ortaya çıktı.

Edward Snowden’ın ifşa ettiği son bilgi ve belgelere göre NSA ve GCHQ’nun ortak yaptığı çalışma sonucu böyle bir durumun yaşandığı belirtiliyor. Dokümanlarda sunumun 2010 yılında yapıldığı, bu hack olayı sonucu dünya üzerindeki mobil ses ve veri trafiğinin büyük kısmının takip edildiği ortaya çıktı.

Gizli servisler tarafından hedef alınan firma ise Gemalto adında uluslararası bir üretici. Firmanın merkezi Hollanda’da ve işleri mobil cihazlarda kullanılmak üzere SIM kartlar, yeni nesil kredi kartları üretmek. Müşterileri arasında Türk GSM operatörleri, AT&T, T-Mobile, Verizone, Sprint ve dünyanın çeşitli bölgelerinden 450 mobil operatör bulunuyor. SIM kartlar Avrupa, Amerika bölgesi dışında Afganistan, İran, Hindistan, Yemen, Sırbistan, Tacikistan gibi ülkelerde de kullanılıyor.

Gemalto firması 85 ülkede bulunuyor ve 40 kadar üretim tesisi var. Firmanın yönetim merkezlerinden üçü ABD, Teksas’ta yine en büyük fabrikası da Pensilvanya’da bulunuyor. Gemalto yılık 2 milyar adet SIM kart üretiyor. Aynı zamanda Gemalto firmasını Türkiye’de yapılan ve sonrasında yılan hikayesine dönen e-pasaport ihalesinden de hatırlıyoruz. Firmanın ihaleden çıkarılma sebebi “güvensiz” bulunması yani çip şifrelerin kırılabiliyor olması idi. İlk ihaleden sonra Çin’li IRIS firması ile Gemalto yarıştı. Fakat sonunda 5 milyon adetlik e-pasaport ihalesini Gemalto firması kazanmıştı.

Peki bu çalınan SIM kart şifre anahtarlarıyla neler yapılabilir? Her iki gizli serviste bu SIM kartları kullarak ses ve veri abd-ingiltere-turkiye-epasaport-ve-simkart-ureticisini-hackledi-3iletişimi yapan özel/kamu kullanıcıların iletişimini takip edebiliyor. SIM kart üzerinde hali hazırda bulunan anahtar iz bırakmadan bu takibin gerçekleşmesine imkan tanıyor. Üstelik bu anahtarlara sahip iki gizli serviste önceden gerçekleşmiş fakat şifreli olduğu için çözülemeyen telefon konuşmalarını da çözmeye yarıyor. 2010 yılında yapılan sunum dosyalarına göre pratikte 2010 yılından bugüne kadar telefon ses ve veri trafiğinin NSA ile GCHQ’nun takibinde olduğu söylenebilir.

Peki NSA bunu ne kadarlık bir kapasite ile gerçekleştiriyor biraz ona bakmak gerekli. 2009’da yayınlanan NSA’e ait gizli belgelerde kurumun saniyede 12 ile 22 milyon arası anahtar kırdığı belirtilmişti. Gizli servis gelecekte bu rakamın saniyede 50 milyon olacağını öngörüyordu. Sadece bu değil. GCHQ takibinde içerisinde GSM ile ilgili teknik terimler geçen 150 kadar e-posta adresini ayıklamıştı. Çıkardıkları Çin’li üretici Huawei, MTN Irancell, Belgacom gibi firmalarda çalışıp bu adresler içerisinde Hotmail, Gmail kullanan kişiler ise ayrıca teknik takibe alınarak izlendiler. Aynı şekilde Gemalto’nun çalışanlarının da detaylı olarak izlenerek teker teker hacklendikleri görülüyor.

abd-ingiltere-turkiye-epasaport-ve-simkart-ureticisini-hackledi-2

Siber suçlular IMEI numarası değiştirme servisi sunuyor

Siber suçlular her gün yeni yöntemler, taktikler geliştiriyorlar. Bunları servis olarak sundukları suç amaçlı siber operasyonlarda da uygulamakta geri kalmıyorlar. IMEI modifikasyonu da bunlardan biri.

Daha önce TDoS servislerinden bahsetmiş, telefon/mobil sistemlerin istismar edilmesiyle ilgili detayları sunmuştuk. Bu sefer siber suçluların anonim kalmak için başvurduğu yöntemlerden birini göreceğiz. Bu serviste ister sunulan TDoS servislerini IMEI numaraları modifiye edilmiş ekipmanlar üzerinden alıyorsunuz, isterseniz de mobil telefon/USB 3G cihazınızın IMEI numaralarını değiştirtebiliyorsunuz.

imei-numarasi-degistirme-servisi

imei-numarasi-degistirme-servisi-2

imei-numarasi-degistirme-servisi-3

Telefon hatlarına çok noktadan saldırı: TDoS

Siber mafyanın gündeminde şu sıralar TDoS (Telephony Denial of Service) hızlı bir yükselişte. Üst üste yeni araçlar yazılıyor ve bunlar çeşitli dışarıya kapalı platformlardan siber suçlulara satılıyor.

TerraMedusa Blog’da daha önce de bu tehditin detaylarını işlemiştik. Bu sefer bu konuda iddialı olan bir araca göz atacağız. Siber suçluların yayınladığı yeni araçlardan biri 3G USB/GSM/SIM kart tabanlı TDoS saldırı uygulaması ile hem maliyetleri düşük tutuyor, hem de saldırılarının etkinliğini üst seviyeye çıkarıyor.

Temin ettikleri çok sayıda Anonymous Sim Kart üzerinden rahatlıkla bu saldırıları gerçekleştirebiliyorlar.

3G USB Modem/GSM/SIM kartı tabanlı TDoS aracı ekran görüntüleri;

telefon-hatlari-cok-noktadan-saldiri-3g-gsm-cep

telefon-hatlari-cok-noktadan-saldiri-3g-gsm-cep2

TDoS saldırıları için sunulan örnek 3G USB Modemler;

telefon-hatlari-cok-noktadan-saldiri-3g-gsm-cep3

Mobilde Android botnet problemi

android-sms-spam-botnetAraştırmacılar, tüm büyük ABD mobil ağlarında çalışan, tehlikeli cihazlardan oluşan ve SMS spam iletmek amacıyla kullanılan bilinen ilk Android botnetin tespit edildiğini açıkladılar.

Aralık ayının başlarında yapılan tespite göre; botnet, kullanıcıların farkında olmadan yükledikleri SpamSoldier adlı trojan içeren zararlı bir oyun uygulaması indirmeleriyle büyüyor. Virüs bulaşmış cihazlar bir komuta-kontrol sunucusu ile bağlantıya geçerek 100’den fazla telefon numarasına SMS göndermeyi sağlayan talimatlar alıyor.

Bu numaralara gönderilen mesajlarla birlikte, virüslü telefonlar yaklaşık bir dakika içerisinde yeni bir hedef listesine ulaşmış oluyor. Bu kötü amaçlı yazılım, bilinmeyen numaralardan gelen ve giden mesajları da engelleyerek, kurbanlarının diğer kullanıcılar veya mobil servis sağlayıcılar tarafından spam yaydıkları konusunda uyarılmasının da önüne geçmiş oluyor. Bu botnetin kurucuları, kurbanlarını sahte hediye çeki vaat eden linkler yoluyla kişisel bilgi talebinde bulunan dolandırıcı pazarlama sitelerine yönlendirmek başta olmak üzere buna benzer pek çok strateji kullanarak kazanım sağlıyorlar.

Tipik bir SMS spam tekniğinde, spammer bir mağazaya gider ve hazır SIM kartlardan alarak bunları spam mesajlar göndermek için kullanır. Teknolojinin bu metodu yakalamasıyla spammerların bu yolla elde ettiği kazanımlar çok çok azaldı. SpamSoldier kampanyasında, dolandırıcılar spam masraflarını kurbanlarının omuzlarına yüklüyorlar. Botnet, geleneksel PC ortamındaki benzerlerine nazaran daha “ilkel” olarak tanımlanabilir ama bu taktik saldırganlar tarafından kullanılacak bir gelecek modeli gibi görünüyor.

Şu ana kadar 800’den fazla spam gönderen numara tespit edildi ve virüs bulaşmış cihaz sayısının 1000 civarında olduğunu düşünülüyor. Ağlarında Spamsoldier sms-spam-botnet-mesajmesajlarının giriş çıkışına rastlanan ABD servis sağlayıcıları arasında Verizon, AT&T, Sprint ve T-Mobile yer alıyor. Mobil operatorlerden gelen yorum ise, düşük seviyede kötü amaçlı yazılım oluşumlarına rastlandığını doğruladı ve kullanıcı ya da servis sağlayıcılar tarafından fark edilmediği takdirde daha büyük olumsuzluklar yaşanabileceğini gösteriyor.  İlk negatif etki, gönderilen çok fazla sayıdaki SMS’ten dolayı kurbanlarının yükümlü olacağı borçlara ilaveten servis sağlayıcı ağlarında oluşacak potansiyel yavaşlama. Servis sağlayıcıların bu tür bir sorunu tespit edip gidermekte çok hızlı davranamayacakları olası bir durum ve bundan dolayı kullanıcılara uygulanacak ilk standart prosedür olarak telefonun mesaj gönderme işlevini devre dışı bırakmaları.

Android platformunun sahibi Google ise bu konuda yorum yapmaktan kaçınıyor ki geçtiğimiz temmuz ayında Android cihazlarda açığa çıkan spam botnet varlığına ilişkin çelişkili raporları da aynı şekilde inkar etmişlerdi. Google her nasılsa bu spam mesajların virüslü bilgisayarlar ve sahte mobil imzalar kullanılarak Android uygulamalarından biri olan Yahoo Mail’e yönelik yapılan kötü amaçlı bir saldırı olduğu sonuca varmıştı. Anlaşılan ileriki zamanlarda Google bile Android üzerinde dolaşan tehdit bulutlarını inkar edemeyecek gibi gözüküyor.

Portföy Ögeleri