Etiket arşivi: iphone

Bir pizza dilimi için kaç tane “kişisel bilgi” feda edebilirsiniz?

19 Nisan 2018 Ergün Varlık Yorum yapın

Evde geçirilen oldukça sönük bir akşam bile kişisel bilgilerimizin teknoloji şirketlerine devredilmesi anlamına gelebilir. Akıllı telefonlar, Facebook hesapları ve bizi modern hayata bağlayan diğer teknolojik ürünler her geçen gün insanlara daha çok şey yapmaları noktasında yardımcı oluyor. Ancak aynı zamanda hakkımızda, düşündüğümüzden çok daha fazla bilgi topluyor.

Facebook’un kullanıcı bilgilerini usulsüz kullanımına ilişkin yaşanan kriz, kendi kendimize şu soruyu sormamıza neden oldu: “Hangi bilgilerimi teslim ediyorum?”

The Wall Street Journal gazetesi sadece pizza siparişi yaparken bile, dış dünya ile farkında olmadan ne kadar çok bilgi paylaşımı yapıldığını ortaya koyan bir analiz yayınladı. Gazete, analizi yaparken Sally ve Kristen adını verdiği rastgele iki arkadaşın pizza-sinema akşamı yapmak üzere bir araya gelmesi üzerine bir senaryo kurguladı. İki arkadaşın birlikte bir akşam geçirmesinin bilgi paylaşımı açısından bedeli şu şekilde özetlenmiş.

Planlama süreci: Sally, akıllı cep telefonu ile Kristen ile mesajlaşmaya başlar. Sally ve Kristen mesajlaşırken Apple’ın iMessage uygulamasını kullanmaktadır. Mesajlar şifreli olduğu için Apple mesaj içeriğini asla göremez. Mesajlar gönderildiğinde Apple ‘zaman damgası gibi’ bilinmeyen üst verileri yakalar ve analiz eder. Bu sunucuların gelecekteki trafik için yeterli bant genişliği olduğuna emin olmak için kullanılır.

Sipariş süreci: Kristen dairesini temizleyince Amazon Echo cihazına döner ve şöyle der: “Alexa Domino’s’u aç ve bir sipariş ver. Echo’da yüklü olan Domino’s uygulaması Kristen’in kayıtlı kredi kartı bilgilerini alır. Alexa, “1234 ile biten Visa kartını mı kullanmak istiyorsun?” diye sorar. Kayıtlı kredi kartı bilgisi pizza alımını tamamlamak üzere kullanılır. Alexa etkileşime giriş yapar ve Domino’s Alexa’nın söylediklerini deşifre edip bir metin oluşturur.

Yolculuk süreci: Sally arabasına atlar ve Google Maps uygulamasını açıp Kristen’ın evine doğru yol alır. Uygulama, Sally’nin yolculuk sırasında bulunduğu konumları belirlemek için iPhone’un sensörlerini kullanır. Hız için ivme ölçer, yön için cayroskoptan faydalanır. Google çok trafik olup olmadığını belirlemek için yakınlardaki sürücülere dair bilgilerin yanı sıra Sally’nin hız ve konumuna ilişkin verileri de toplar.

Fotoğraf: Sally, Kristen’in evine ulaşır ve birlikte bir fotoğraf çektirmeyi teklif eder. Sally fotoğrafı Facebook’a yükledikten sonra uygulama Kristen’in kullanılmasına izin verdiği yüz tanıma sistemine dayanarak onu etiketlemeyi önerir. Facebook fotoğraf yüklemek için kullanılan IP adresine dayanarak Sally’nin konum bilgisini toplayabilmiştir. Ki bu, yakınlarda gerçekleşen ve Sally’yi ilgilendirebilecek etkinlikleri kendisine önermek için kullanılabilmektedir. Bu konum bilgisi yine o lokasyondaki kişileri ilgilendirebilecek reklamları Sally’ye önermek için de kullanılabilmektedir. Sistem ayrıca uygunsuz bir içerik olmadığından emin olmak için fotoğrafı analiz etmektedir.

Film sırasında…

Kristen, Apple Tv’sini açar ve ‘Wonder Woman’ için arama yapar. Filmi satın alırlar. Apple daha sonra Kristen’in mutlaka satın alması gereken ‘Batman ve Superman: Dawn of Justice” gibi diğer filmleri önerir. Varsayılan ayar olarak Apple kişiselleştirilmiş öneriler sunmaktadır fakat kullanıcıların bu özelliği kapatması mümkün.

Apple, Kristen’in Apple kimliğini kontrol eder ve kayıtlı kredi kartı bilgisinden kendisini ücretlendirir. Apple ayrıca film indirmenin uygun hızda yapıldığından emin olmak için internet bant genişliği bilgisini de kullanır.

Sally ve Kristen bütün bu süreç boyunca potansiyel olarak en az 53 bilgiyi feda etmiş oluyor.

Senaryoda detaylandırılan veriler şirketlerin kullanım şartları ve gizlilik bildirimleri ve ilgili belgelere göre topladığı bilgileri yansıtıyor. Apple, Amazon, Google, Facebook ve Domino’s’un gizlilik ilkeleri toplamda 76 bin 69 kelime içeriyor. Bu kadar kelimeyi okumak, bir kişinin ortalama bir hızda okunduğunda 5 saatten fazla bir süreyi geçirmesi demek. Yani pratikte okunması pek mümkün olmayan bir uzunlukta…

Şirketler genelde bu bilgileri farklı amaçlarla topluyorlar. Mesela Apple sıklıkla kullanıcılardan bilgileri cihazlarını iyileştirmek için topluyor. Facebook ve Google ise hizmetlerini iyileştirmek ve reklam faaliyetlerini desteklemek için kişisel bilgileri topluyor.

Siber Bülten abone listesine kaydolmak için formu doldurunuz

Siber Güvenlik

İşlemcilerin güvenlik açığında akla takılan 6 soru

5 Ocak 2018 Ergün Varlık Yorum yapın

Dünyadaki bilgisayarların tamamı ve cep telefonu gibi diğer elektronik cihazların önemli bir kısmında, hackerların bu cihazlardaki bilgileri çalmasını sağlayabilecek güvenlik açıkları bulundu.

Araştırmacılar işlemcilerdeki güvenlik açığı nedeniyle işlenen bilgilerin güvenliğinin tehlikede olduğunu ortaya koydu. Henüz bu yöntemle çalınan bir bilgi olmadığı açıklandı.

1. Güvenlik açıklarında ne var?

İki ayrı güvenlik açığı bulundu. Bunlardan birine “Meltdown”, diğerine “Spectre” ismi verildi. Meltdown Intel çipleriyle çalışan laptop, masaüstü ve sunucu bilgisayarları etkiliyor.

Spectre ise daha geniş bir yelpazeyi etkiliyor. Intel’in yanı sıra ARM ve AMD’nin ürettiği işlemcileri kullanan akıllı telefonlar, tabletler ve bilgisayarlar da bundan etkileniyor.

Teknoloji danışmanlığı şirketi IDC’den kıdemli analist Bryan Ma, veri merkezleri ve buluta bağlanan cihazların da bundan etkilenebileceğini söylüyor.

2. Sorun ne kadar büyük?

Öncelikle, panik yapmaya gerek yok. İngiltere Ulusal Siber Güvenlik Merkezi, bu açığı kullanarak bir saldırı olduğuna dair bulguları olmadığını söyledi. Fakat bu açık kamuoyuyla paylaşıldıktan sonra bunun suiistimal edilebileceği endişesi bulunuyor.

BBC’nin edindiği bilgilere göre teknoloji endüstrisi en az 6 aydır bu sorunun farkındaydı. Geliştiricilerden güvenlik uzmanlarına kadar işe dahil olan herkes gizlilik anlaşması imzalamıştı. Plan, sorun çözülene kadar güvenlik açığının varlığını gizli tutmaktı.

Dünyada 1,5 milyardan bilgisayar bulunuyor ve IDC hesaplamalarına göre bunların yüzde 90’ı Intel işlemcilerle çalışıyor. Bu da güvenlik açığının devasa boyutlarda bilgisayarı etkilediğini gösteriyor.

3. Hangi bilgiler tehlikede?

Bu güvenlik açıkları hackerların bilgisayarların hafızalarında bulunan bilgileri okumasını, şifre ve kredi kartı verileri gibi verileri çalmasını sağlayabilir. ABI Research’ten teknoloji analisti Jake Saunders hangi bilgilerin risk altında olduğunun muğlak olduğunu söylerken bu bilginin kamuyla paylaşılmasının ardından esas sorunun bunu kullanabilecek hackerlar olduğunu belirtiyor.

4. Bilgisayarımı nasıl koruyabilirim?

Donanım ve işletim sistemi üreticileri bu açığı kapatmak için yamalar veya güncellemeler yayınlıyor. Bunlar yayınlandığında indirmek cihazlarınızı koruyacaktır. Üç büyük işletim sistemi üreticisi Microsoft, Apple ve Linux işletim sistemlerine güncelleme yayınlama sürecinde.

Meltdown açığı

Apple macOS’un eski sürümleri için ne zaman güncelleme yayınlayacağını açıklamasa da son versiyon olan 10.13.2’nin güvenli olduğunu açıkladı. Microsoft ise 4 Ocak’ta yayınladığı güncellemeyle Windows 10’daki açığı “yamadı”. Önümüzdeki günlerde Windows 7 ve 8 için de güncelleme yayımlayacağını duyurdu.

Google, Android işletim sisteminin son versiyonunun ve Gmail’ın güvenli olduğunu açıkladı. Chromebook kullanıcılarının ise gelecekte yayınlanacak bir güncellemeyi yüklemesi gerekecek. Google, Chrome tarayıcısı için güncelleme tarihini ise 23 Ocak olarak duyurdu.

iPhone ve iPad’lerin bu açıktan etkilenip etkilenmediği ise henüz bilinmiyor.

Amazon Web Services ve Google Cloud gibi bulut sistemleri ise sitemlerinin çoğunu güncellediklerini, kalanını da kısa süre içinde güncelleyeceklerini duyurdu.

Spectre açığı

Öte yandan Spectre güvenlik açığını yamamanın çok daha zor olduğu tahmin ediliyor. Bu açıktan etkilenen cihazlar için henüz bir güncelleme açıklanamadı.

5. Güncellemeler bilgisayarımı yavaşlatacak mı?

Bazı araştırmacılar güncellemelerin bilgisayarları yüzde 30’a varan oranda yavaşlatacağını öne sürüyor. Fakat Intel, bunun abartılı bir iddia olduğunu, cihazların performanslarının nasıl etkileneceğinin kullanım şekline göre değişmekle birlikte çoğu kullanıcının performansta bir fark hissetmeyeceğini açıkladı.

6. Endüstri nasıl yanıt verecek?

Uzmanlara göre Meltdown ve Spectre açıkları, bilgisayar çiplerinin tasarımıyla ilgili temel bir sorundan kaynaklandığı için bu teknolojilerin önümüzdeki yıllarda üretim teknikleri üzerine ciddi şekilde değişiklik yapılması gerekecek.

Bilgisayar güvenliği araştırmacısı Rob Graham, “Bu çok büyük bir olay” diyor ve ekliyor: “İşletim sistemleri ve işlemcileri baştan tasarlamamız gerekecek.”

Kaynak: BBC Türkçe

Siber Bülten abone listesine kaydolmak için doldurunuz

Vault7

CIA, Apple’a Dark Matter ile sızmış

13 Kasım 2017 Ergün Varlık Yorum yapın

Wikileaks tarafından 23 mart 2017 tarihinde yayınlanan Vault 7 belgesi CIA’in iPhone başta olmak üzere Apple cihazlarına nasıl sızdığına dair detaylar içeriyor.

Dark Matter adlı belgelerde CIA’in Apple araçlarına yönelik hackleme tekniklerinden bahsediliyor. CIA’in Gömülü Geliştirme Şubesi (EDB) tarafından geliştirilen hackleme araçlarından en önemlisi ‘NightSkies’ adını taşıyor ve tarihi 2008’e kadar dayanıyor. CIA’nin cihaz piyasaya sürüldükten bir yıl sonra, yani 2008 yılından beri iPhone’u hedef aldığı belirtiliyor.

WikiLeaks NightSkies’ın açık bir şekilde henüz çok yeni olan iPhone’lara yüklendiğini ifade ediyor. CIA ajanlarının bunu gerçekleştirmek için Apple’ın tedarik zincirine erişim hakkı kazanıp kazanmadığı ise net değil. Ancak Wikileaks bunun olası olduğunu ifade ediyor.

İlgili haber>> ABD backdoor istedi, Apple red etti; şimdi ne olacak?

Wikileaks ayrıca NightSkies’ın CIA’e iPhoneları tamamen uzaktan kumanda etme imkanı verdiğini, mesajlar, arama kayıtları ve rehber gibi dosyalara erişim hakkı tanıdığını iddia ediyor.

Dark Matter belgesinde ayrıca Sonic Screwdriver adlı bir hackleme aracından daha bahsediliyor. Bu hackleme aracına, Doctor Who dizisinden esinlenilerek isim koyulmuş. Sonic Screwdriver, Apple’a ait bir laptop ya da masa üstü başlatıldığında çevresel aygıtlardaki yürütme kodunu çalıştıran mekanizma olarak tanımlanmış. Tarihi 2012’ye giden araç, ajanların bir Mac’i Thunderbolt adı verilen bir Ethernet adaptörü kullanarak nasıl hacklediğini ortaya koyuyor. 2009 tarihli ‘DarkSeaSkies’ tekniği ise MacBook Air için geliştirilmiş.

Dark Matter” arşivinde 2009 ve 2013 yılları arasındaki belgeler yer alıyor. Apple, “ilk çözümleme temelinde iPhone’nun güvenlik açığı yalnızca iPhone 3G’yi etkiledi ve 2009’da iPhone 3GS piyasaya sürüldüğünde düzeltildi” şeklinde ikinci bir bildiri yayınladı. Buna ek olarak, bir ön değerlendirme “iddia edilen Mac zayıflıkları daha önce 2013’ten sonra başlatılan tüm Mac’lerde düzeltildi” idi.

WikiLeaks ise Apple’ın güvenlik kusurlarını düzeltme durumunu “yinelenen” olarak nitelendirdi: “Apple’ın Dark Matter’da açıklanan” açıklarının “değişmez” olduğu” iddiasını yineledi.

Siber Güvenlik

Tor’da güvenlik zafiyeti bulanlara 1 Milyon $

18 Eylül 2017 Ergün Varlık Yorum yapın

Güvenlik zaafiyeti ve istismar satın almak üzere 2015 yılında kurulan Zerodium, geçen hafta yaptığı duyuruda, kullanıcıların isimsiz bir ağa katılmasını ve bu sayede mahremiyetlerin korunmasını sağlayan web tarayıcısı Tor’da bulunan sıfırıncı gün açıklıklarını bildirenlere toplamda 1 milyon dolarlık ödül vereceğini açıkladı.

Geçtiğimiz yıl iPhone’a sızmayı sağlayacak istismarı bulana 1 milyon dolar ödeme yapacağını açıklayarak tartışmalara neden olan şirket, tespit edilen güvenlik zafiyetlerini hükümetteki müşterilerine satmayı planlıyor. Bu şekilde Tor’u uyuşturucu satışı ve çocuk istismarı için kullanan insanları belirleyebileceğini ve “dünyanın hepimiz için daha iyi ve daha güvenli bir yer hâline getirebileceğini” iddia ediyor.

İlgili haber>> “Tor”un açığını keşfedene 4 bin dolar

Windows ve mahremiyet odaklı bir Linux dağıtımı olan Tails işletim sistemindeki açıklıklarının da bulunmasını isteyen şirket, JavaScript’in engellendiği “yüksek” güvenlik önlemlerindeki güvenlik zafiyetlerini bulanlara büyük ödül verecek. Bunun yanı sıra Zerodium, Tor’da JavaScript’in etkin olduğu “düşük” güvenlik ayarlarında istismarların tespitine de büyük miktarda para ödülü vermeye hazırlanıyor.

JavaScript engelliyken hem Windows 10’da, hem de Tails 3.x’de işe yarayan, uzaktan kod çalıştırılmasını ve erişimin arttırılmasını sağlayan zafiyeti tespit edenler, 250.000 dolara kadar ödül kazanabilecek. Bulunan zafiyetin sadece bir işletim sisteminde kullanılması durumunda bile araştırmacıya 200.000 dolara kadar bir ödül verilecek.

JavaScript engelliyken uzaktan kod çalıştıran bir kullanımın tespitiyle 185.000 dolara kadar kazanç sağlanabilir. JavaScript’in etkin olduğu güvenlik açıklıklarında eğer iki durum da tespit edilmişse 125.000 dolara, tek durum tespit edilmişse 85.000 dolara kadar para ödülü alınabilecek. Tek bir işletim sisteminde uzaktan kod çalıştırma tespit eden ise minimum ödül olan 75.000 doları alacak.

Zerodium’un yaptığı açıklamaya göre bu istismarların gizlice çalışması gerekiyor, kullanıcı etkileşimine de sadece özel yapılmış bir sayfanın ziyareti sırasında izin veriliyor. Tor ağının kontrolü ya da yönlendirilmesiyle bulunan zafiyetler ile Tor ağına zarar verecek açıklıklar kabul edilmeyecek.

Zerodium, “Modern sistemlerde güvenlik zafiyetleri daha fazla ve daha etkili bir şekilde engelleniyor. Tarayıcıların güvenlik açıklıklarından yararlanmak her geçen gün daha da zorlaşıyor. Ama ne kadar zor olursa olsun araştırmacılar, yetenekleri ve JavaScript gibi programlar sayesinde tarayıcıları istismar etmenin yeni yollarını geliştirebiliyor” ifadelerini kullandı.

İlgili haber>> CIA, Mac bilgisayarlara sızmanın yolunu bulmuş

Tor Tarayıcı Ödülleri 30 Kasım’a kadar devam edecek. Ancak 1 milyon dolarlık ödenek dağıtılırsa daha erken bir tarihte sona erebilir.

Şirket, ilk kez 1 milyon dolarlık ödül dağıtmıyor. 2015 yılında iOS 9.1 sisteminde bilgisayara bağlı olmayan bir telefonda tarayıcı üzerinden yazılımı kıran bir hacker takımına bu miktarı ödediğini söylüyor.

Zerodium, popüler mesajlaşma ve elektronik posta uygulamalarını etkileyen, uzaktan kod çalıştırma ve erişimin arttırılmasını sağlayacak güvenlik açıklıklarının tespitine 500.000 dolara kadar ödeme yapacağını da geçen ay duyurdu.

Siber Bülten abone listesine kaydolmak için doldurunuz!

Çin, Siber Güvenlik

Çin Hong Kong protestocularını mobilden vurdu!

13 Ekim 2014 Ergün Varlık Yorum yapın

Hong Kong’daki Çin yönetimine karşı düzenlenen eylemlerde WhatsApp kullanan aktivistlerin telefonlarına protestoları daha rahat koordine etmeyi sağlayan bir program hakkında tanıtım mesajı ulaştı. Tanıtım adresine tıklayan göstericilerin indirdiği programın, muhtemelen Çin hükümeti tarafından geliştirilmiş, kullanıcıların telefonlarını hackleyen zararlı bir yazılım olduğu ortaya çıktı. San Francisco’daki Lacoon Mobile Security şirketi müşterilerinin ağlarında olağan dışı trafik gözlemleyince bu sahte programı incelemeye aldı. Programın veri gönderdiği sitelerin izini süren şirket araştırmacıları Iphone’lardan bilgi çalabilen nadir rastlanan bir zararlı yazılım ile karşılaştı.

Program Iphone’a yüklendiği andan itibaren telefondaki rehber, mesajlaşma, arama kayıtları ve fotoğraflara ulaşabiliyor. Telefondaki kayıtları oynatma ve bilgileri başka bir adrese gönderme kabiliyetine sahip bu program Iphonelar’ın en hassas bölgelerinden birine, uygulamalar, email ve satın alma bilgilerinin bulunduğu anahtar dizinine erişiyor.

Hem iOS’un hem de Android’in zayıf noktaları var. iOS çalıştıran telefonları hacklemek kolay değil ancak, eğer telefonlar Apple’ın koyduğu, ne tür uygulamaların çalıştırılacağına ilişkin, engelleri aşması için kırıldıysa, başka bir deyişle ‘’jailbrake’’sürecinden geçirildiyse, bu mümkün. Zararlı yazılımın sinyal yolladığı siteyi inceleyen Lacoon şirketi araştırmacıları, yazılımın ‘’emir komuta’’ sunucusunun Çince yazıldığını gözlemlemiş. Programla ilgili, şirketin kurucularından ve CEO’su Michael Shaulov, ‘’Ne iOS’u hedef alan böylesine karmaşık bir şey ne de Çin izi taşıyan böyle bir şey görmemiştik’’ dedi. Shaulov’a göre bu veriler hackerların Çin hükümeti ile çalışıyor olabileceklerini işaret ediyor. Çin konsolosluğu konu hakkında yorum yapmadı.

Her ne kadar Lacoon bune benzer bir zararlı yazılımla daha önce karşı karşıya gelmediyse de, bu başka araştırmacılar için geçerli değil. Dallas merkezli siber istihbarat şirketi iSight Partners’tan John Hultquist’e gore, program Çin istihbarat servisinin Tibetli aktivistleri hedef alan casusluk yöntemlerine benzer. Geçen sene hackerlar Çin’deki Uygur topluluğunun bir konferansa katılan üyelerine uygulama gibi görünen zararlı yazılım yolladı. Programı kullananlar konferansla ilgili bilgileri gördüler, ancak yazılım arka planda telefon kayıtlarını ve telefonun mikrafonu ile çevrede konuşulanları kaydetti.

Mobil cihazlar için geliştirilen casusluk yazılımları öyle başarılı ki, Çin hükümeti ve ordusunun birbiri ile yarışan iki farklı yazılımı var. Hultquist durumu ‘’ Çin istihbarat toplama faailyetleri askeri bölgeler boyunca ilerliyor. Bu konuda çalışan bir çok grup olduğu görülüyor’’ şeklinde açıklıyor.

iSight, Çin haricinde Rus casusluk grubu Tsar Team’in de izini sürüyor. Grup ABD hükümet görevlilerinin, savunma şirketlerinin ve enerji şirketi yöneticilerini mobil casusluk yolu ile hedef almış. Grup Hultquist’e göre ABD ve AB ağlarında hareket eden grup cihatçıları hedef alıyor. Hultquist bu durumu ‘’Bir Çeçen cihatçıyı hedef almanın, telefonlarını dinleyip GPS ile yerini belirlemenin ne kadar da önemli bir araç olduğunu görebilirsiniz’’ şeklinde yorumladı.

Lacoon şirketi Hong Kong’da kullanılan programın iOS’u nasıl kırdığını belirleyemedi. Bir teoriye göre hackerlar Iphonelar’ın henüz bilinmeyen bir zayıflığını kullanarak cihazlara uzaktan erişebiliyorlar. Holtquist’a göre bu teori sadece bir spekülasyon, ancak yine de fikir olarak korkutucu.

Siber Bülten