ABD Ulusal Güvenlik Ajansı NSA’in yol açtığı PRISM izleme skandalı, devletin kullandığımız bilgisayarlar ve telefonları pratikte sürekli bizi gözetleyen birer “mobil casusa” dönüştürdüğünü ortaya koydu. Bize özel reklamlar göstermek için internette hangi sayfaları gezdiğimizin bile kolaylıkla takip edilebildiği bu Cesur Yeni Dünyada, bildiğimiz şekliyle gizlilik ve mahremiyet artık mümkün değil. Ancak dahası var: Alman kriptografi uzmanı Karsten Nohl, telefon ve tabletlerin SIM kartlarını da kırabileceğini gösterdi.
SIM kart kırılırsa ne olur?
Hemen cevap verelim: SIM kartınızı kıran (Frenk üzümüyle Hackleyen) bir kişi, telefonla siz ne yapabiliyorsunuz onu yapar, yani telefonu kendi cihazı gibi kullanır. Telefon rehberinize, kişiler listenize erişebilir. Dolandırıcılık amacıyla yurtdışı telefon numaralarını arayarak, size milyarlarca TL’lik fahiş faturalar gelmesine neden olur ve sizin adınıza ücretli SMS hizmetlerini kullanır.
Ayrıca iPhone, Android, Windows Phone 8 gibi akıllı telefonlardaki kullanıcı hesaplarınıza erişebilir. Böylece, Dropbox ve Drive gibi hizmetlerle bulutta tuttuğunuz bütün dosyalara, şirketinizin ticari sırlarına, özel notlarınıza ulaşabilir ve Gmail gibi hizmetler üzerinden gönderdiğiniz e-posta iletilerini okuyabilir. Hatta login bilgilerinizi öğrenerek Twitter ve Facebook hesaplarınızı ele geçirebilir.
Şansımıza, Karsten Nohl’a göre, şimdilik sadece 40 yıl öncesinin şifreleme yöntemlerini kullanan eski SIM kartları kırmak mümkün. Ancak bu da az rakam değil. Dünyadaki SIM kartların 8’de biri bilgisayar korsanlarının, istihbarat örgütlerinin ve mafya üyelerinin hedefi olabilir (toplam 625 milyon cihaz risk altında).
Büyük Biraderden korku senaryoları
Doğrusu, Snowden’in PRISM skandalı dünyayı sarstığında son bir umudum vardı: Telefonların SIM kartları güvende olduğu sürece, Büyük Biraderin ulaşamayacağı bir mahremiyet köşesi olacak diye düşünüyordum ama bunun da mümkün olmadığını gördük.
Alman şifreyazım uzmanı Karsten Nohl, üç yıl süren araştırmaların ardından, milyonlarca SIM kartı etkileyen bir takım şifreleme ve yazılım açıkları bularak telefonların SIM kartlarını kırmayı başardı. Bu da Büyük Birader olarak adlandırılan devletin ve dolandırıcılık örgütlerinin telefonları dinlemesi için yeni bir imkan yaratıyor.
Nohl son on yılın en büyük yazılım kırma başarısı (hacking) olarak nitelendirilebilecek bulgularını, 31 Temmuz 2013 tarihinde Las Vegas’ta düzenlenecek olan Black Hat güvenlik konferansında açıklayacak. Nohl ve ekibi yaklaşık 1000 SIM kartı inceledikten sonra, bu kartları telefona gizli bir SMS göndererek kırmanın yolunu buldular.
NFC temassız ödeme modeli büyük risk altında
SIM kartlarda iki güvenlik açığı var ve bunların ikisi de hatalı yazılım kodları ve eski şifreleme algoritmalarından kaynaklanıyor. NFC destekleyen telefonları kullanarak temassız ödemeyle alışveriş yapmak özellikle Afrika’da çok yaygın. Ancak, Türkiye’de de telefonların SIM kartını kıran bilgisayar korsanları bizim adımıza alışveriş yapabilir. Üstelik cep telefonu operatörleri bu alışverişlerin izini sürmekte ve suçluları yakalamakta zorlanabilir.
Bütün sorun SIM kartları şifrelemekte kullanılan eski bir yöntemde: 1970’lerden kalma 1. kuşak Veri Şifreleme Standardını (DES) kullanan SIM kartları kırmak mümkün. Ancak dünyadaki telefon tabletlerin büyük kısmında 3. kuşak DES (3DES) kullanılıyor. Kısacası yeni SIM kartlarda, 3G ve 4G destekleyen birçok kartta, mikro ve nano SIM’lerde bu güvenlik açığı yok (gerçi başka bir açık var ve aşağıda değineceğim üzere bu ikinci açık daha tehlikeli).
SIM kartları cep telefonu operatörleri üretmiyor. Dünyada operatörlere SIM kart sağlayan Gemalto ve Oberthur Technologies gibi büyük üreticiler var. Her iki üretici de son yıllarda mobil cihazların yaygınlaşmasıyla birlikte SIM kart işinden milyarlarca dolar kazanarak zengin oldular. ABI Research analiz uzmanı John Devlin, günümüzde 5 ila 6 milyar SIM kart kullanıldığını söylüyor.
SIM kart pazarı son zamanlarda duraklama evresine girdi, çünkü CMDA destekleyen tablet ve telefonlar SIM kart kullanmıyor. SIM kart desteği sunmayan ve daha çok ABD’de yaygın olan bu cihazları Türkiye’ye getirip kullanmak da ayrı bir sorun (örneğin Motorola Xoom tabletlerin eski modelleri). Yine de Türkiye’de SIM kart kullanılıyor ve bu problem bizi doğrudan ilgilendiriyor.
Devlin SIM kartlarla ilgili asıl sorunu şöyle ifade ediyor: “SIM’lerin telefonun en güvenli parçası olduğu düşünülüyordu ve bu kartların mülkiyeti operatörlere ait olduğu için, SIM kartlar operatör ile abone arasındaki ilişkinin temelini oluşturuyordu”.
Yarın bu haberin devamını buraya tıklayarak okuyabilirsiniz.