Akıllı Telefonlar Nasıl Hack’lenir?

“İçten sevgi dışında hiçbir şey bir yuvaya gerçek anlamda bir güvenlik hissi veremez.” Billy Graham

Suçlular daima insanların olduğu yerlere giderler — Kriminoloji dersinde daha ilk gün öğrendiğimiz konu buydu. Kriminal zihniyet çok basittir ve parayı takip eder. En karizmatik ve zeki banka soyguncularından biri olan, kırk yıllık kriminal geçmişe sahip Willie Sutton’a “Neden banka soyuyorsunuz?” diye sorduklarında o da “Çünkü para bankada,” demişti. Evet, bu kadar basit…

Bugün artık bankacılığın geleceğinin mobil olacağını biliyoruz — dolayısıyla mobil alanın korsanların da hedefi haline geleceğini rahatlıkla söyleyebiliriz. Güvenlik eğilimlerine bakacak olursanız, saldırıların çeşit ve tür açısından mobil platformlara doğru güçlü bir kayış gösterdiğini görürsünüz. Şayet güvenlik altyapınızın temel taşlarından bir tanesi müşteri profili tabanlı izlemeler ise — bu şartlarda dolandırıcılık faaliyetlerinin tespiti çok zor olacaktır.

Kısacası; yaşadığım deneyimler, mobil güvenlik alanının çok hassas bir konu olduğunu gösteriyor. Bu sadece hizmet sağlamak konusunda değil, bu hizmetler kullananları da özel hayatında çok etkiliyor. Mobil telefonlar hayatımıza çok şey kattığından adeta hayatımızın bir parçası haline geldi. Bu telefonlar neredeyse 7/24 yanımızda. Kiminle ne konuştuğumuzu dinliyorlar, nereden gelip nereye gittiğimizi biliyorlar, arkadaşlarımız kim biliyorlar, resimlerimizi çekiyorlar, müzik zevkimizi tanıyorlar, Facebook hesabımızda girebiliyorlar, banka güvenlik bilgilerimizi biliyorlar, mesajlarımızı/e-postalarımızı okuyorlar ve daha başka birçok müthiş işler yapıyorlar — peki ama ne kadar güvenliler? Bizi, sevdiklerimizi ve şirketlerimizi mobil dünyanın tehlikelerine karşı nasıl koruyacaklar?

Mobil yaşam için en temel bazı risklerden başlayalım:

1.Virüsler, solucanlar, Truva atı programları ve diğer Mobile özgün tuzak yazılımlar

2.Hassas bilgilerin çalınması

3.Habersiz program indirme ve Güncelleme Saldırıları

4.Kablosuz iletişim ve Bluetooth yoklayıcıları yardımıyla kritik bilgilerin riske atılması

5.Cihazın çalınması, kaybedilmesi veya hasara uğraması

6.Dâhili bir ağa sanal bağlantı sağlamak için proxy adres olarak kullanılmaları

7.Taşınabilirlik nedeniyle veri kaybı / sızdırması

8.Uzaktan erişim yoluyla dolandırıcılık veya büyük miktarda hassas bilginin kopyalanması

9.Mobil hedefli saldırılarda hizmet maliyetlerinin artmasına ve hizmet aksaklığına neden olan korsan e-posta sağanağı

10.Cihazların çökmesine neden olan Tuzak Mesaj Hizmeti (SMS ve MMS) mesajları

Ve tabi ki… SOSYAL MÜHENDİSLİK!

Birkaç ay önce Siber Güvenlik konusunda bir sunum hazırlamıştım. Bunu arkadaşım Brett King ile paylaştım (Onu tanıyorsunuz! Dijital Bankacılık konusunda engin bir dehadır). Fikrini almak istemiştim. Sunumun ilk taslağını biraz karamsar bulmuştu ve bana, konuya daha pragmatik yaklaşmamı önerdi. Mesajın, “Güvenli olmadığı için dijitale yönelmeyin,” şeklinde yanlış anlaşılabileceğinden endişeliydi.
 
 Tabi ki amacım bu değildi. Ben sadece basit bir mesaj iletmek istedim: “Gelecek, dijital dünyaya ait olduğundan, kriminal alem de ister istemez mobil oyun alanına yönelecektir.” Brett’in de söylediği gibi, “Siber güvenlik konusuna gelince, ‘bağışıklık sistemi’ benzetmesini kullanmak en güzeli.” Bu gerçekten mükemmel bir tanım — Dijital Bankacılık için de işte bu bağışıklık sistemini geliştirmeye çalışmamız gerekir. Atılacak ilk adım; “Banka müşterisinin mobil cihazına korsanlar girmişse ne olur?” konusunu anlamak olacaktır. Ancak ondan sonra korsanların cihaza nasıl girdiğini ve bu konuda bizim ne yapabileceğimizi tartışmaya başlayabiliriz.

Mobil güvenlik konusunda yüzlerce sayfa makale yazabilirim. Ancak bunu yapmayacağım. Bunun yerine Akıllı Telefonlara saldırmanın arkasındaki motivasyonu özetlemekle yetineceğim. Mobil cihazlar beş farklı saldırının hedefi olabilir:
 
 1.Veri Çalma:

2.İzleme:

3.Zombi Saldırısı:

4.Finansal Riskler:

5.Faaliyetlerinizi Kontrol Etme:
 
 Özgün ve merkezi olarak kontrol edilen bazı işletim sistemleri diğerlerine göre daha güvenlidir. Ancak bütün bunlar, risksiz anlamına gelmemektedir. Korsanların resimlerden parmak izlerini çalabildiklerini veya uçaktaki kablosuz ağ yardımıyla uçakları kontrol edebileceklerini iddia ettikleri bir dünyada yaşıyoruz.

Dijital Bankacılık alanındaki bu ipucu konusuna noktayı koymadan önce, diğer bir Dijital Bankacılık dehası olan Chris Skinner’ın bir iç görüsünü paylaşmak isterim. Bir süre önce güvenlikle ilgili bir konuda Chris’le bir görüşmem oldu ve bu görüşmeye bloğuna yazdığı bir makalede yer verdi: “Güvensiz bir dünyada güvenlik nasıl sağlanır?” Konu mobil güvenlik ise üzerinde odaklanmamız gereken konu; “güvensiz bir dünyada güvenliği sağlama,” konusudur.

Yazan: Tolga Tavlaş