Bu haberin ilk bölümünü buraya tıklayarak okuyabilirsiniz.
Operatörlerin kafası karıştı
Nohl’a göre dolandırıcılar ve istihbarat örgütlerinin şu ana kadar bu güvenlik açığından haberi yoktu. Ancak şimdi cini lambasından çıkardığımıza göre, bilgisayar korsanları da teknik incelemeyi tamamlayarak SIM kartları 6 ay içinde kırmaya başlayabilirler. Hiç yoktan iyidir: 6 ay, mobil operatörler ve SIM kart üreticilerinin gerekli önlemleri alması için yeterli bir süre. Nitekim Nohl iki operatörün şimdiden tedbir almaya başladığını ve gelişmeleri Dünya GSM Birliği ile paylaşacağını söylüyor.
Aslında Nohl telekom sektörünün çözüm odaklı olduğunu düşünüyor:
“Şirketler güvenlik konularında işbirliği yapmaya şaşırtıcı ölçüde sıcak bakıyorlar, çünkü bu alan rekabete girmiyor. Örneğin bu alanda AT&T, T-Mobile ile rekabet etmiyor ama her ikisi de organize suçla mücadele ediyor.”
Ancak Amerika’daki karışık durum, özellikle de operatörlerin SIM kartların kırılmasıyla ilgili farklı tutumları dünya çapında sorunlar olabileceğine işaret ediyor: Verizon, SIM kartlarda eski şifreleme yöntemleri mi, yoksa yeni şifreleme yöntemleri mi kullandıkları konusunda bilgi vermiyor. Hem Verizon hem de AT&T Nohl’un araştırmasından haberdar olduklarını söylüyor, bununla birlikte kendi SIM kartlarında güvenlik açığı olmadığını özellikle belirtiyorlar. AT&T 10 yıldan uzun süredir 3DES kullandığını vurguluyor, Verizon ise hangi güvenlik önlemlerini aldıkları konusunda açıklama yapmıyor.
SIM kartların şifreleme sistemini NSA geliştirmiş
Dünya GSM Birliği bu konudaki kaygıları gidermek için bir açıklama yaptı:
“Eski standartlara göre üretilen az sayıda SIM kartta güvenlik açığı olabilir. Ancak, bir dizi gelişmiş hizmet desteklemek üzere tasarlanan günümüzün güvenli SIM kartlarının bundan etkileneceğine dair kanıt yok.”
Nohl’un GSMA’e verdiği tek cevap, dünyada birçok operatör olduğu ve hepsinin farklı SIM kartlarda farklı şifreleme standartları kullandığı şeklinde… Örneğin Avrupa Birliği’nde faaliyet gösteren ve güvenli SIM kart kullanan bir operatör aynı zamanda Türkiye’de faaliyet gösteriyorsa, bu operatörün ülkemizde de güvenli SIM kart kullandığına dair bir garanti yok. Bu durumda, operatörlerin kamuoyuna SIM kartlarda hangi şifreleme yöntemlerini kullandıklarını açıklaması faydalı olacaktır. DES kullanan operatörlerin 3DES’e geçmesi büyük önem taşıyor.
Operatörlerin ortak bir standart kullanmadığını bilen Nohl, durumun ciddiyetini vurgulamak için
“Bana herhangi bir telefon numarası verin, birkaç dakika içinde kontrolü uzaktan ele geçirerek size SIM kartın kopyasını çıkarayım”
diyor. ABD’de AT&T şirketi ve Almanya’da faaliyet gösteren dört büyük operatör güvenli SIM kart kullanıyor. Diğer ülkelerdeki operatörlerin ne kullandığı ise belirsiz ve Nohl, hangi operatöre ait olursa olsun, eski şifreleme tekniklerini kullanan bütün SIM kartları kırabildiğini söylüyor.
SIM kartlar kendi işletim sistemini kullanan mini bilgisayarlar sayılır. IBM’in 1970’lerde tasarladığı DES şifreleme standardı eskidi ama yeni şifreleme standartlarını da NSA’in (Ulusal Güvenlik Ajansı) geliştirdiğini biliyoruz. Bunu PRISM teknik takip skandalıyla birlikte düşünürsek insanın kafasında çeşitli sorular uyanıyor.
SIM kartları nasıl kırıyorlar?
Bugün dünyadaki 5 ila 6 milyar SIM kart “Java Card” denilen bir yazılım dili ile programlanıyor. Roaming, veri dolaşımı, numara taşıma vb. hizmetler hep bu yazılım üzerinden sunuluyor. Operatörler bu yazılımı kullanarak SIM kartınızla iletişim kuruyor. Peki operatörler SIM kartla nasıl “konuşuyor”? Bunun için cihazınıza telefonun ekranında göremeyeceğiniz özel bir SMS yolluyorlar (OTA kablosuz programlama yöntemi).
2011 yılında OTA protokolünü inceleyen Nohl ve ekibi, eski şifreleme tekniklerini kullanan SIM kartların OTA üzerinden yollanan komutları yanlış bir şifreleme imzası nedeniyle reddettiğini gördüler. Üstelik bazı SIM kartlar, komutu reddettiklerini gösteren hata mesajına kendi şifreli imzalarını da ekliyordu!
İşte SIM kartların bu şifreli imzasını alır ve “gökkuşağı tabloları” adlı sektörde iyi bilinen bir şifre tekniğini kullanırsınız, SIM kartına ait şifreyi 1 dakika içinde kırabilirsiniz. Operatörler telefonunuzdaki SIM kartı bu şifreyle yönetiyorlar ve her kartın şifresi farklı.
Riscure akıllı kart güvenlik firmasında üst düzey yönetici olarak çalışan Jasper Van Woudenberg’e göre SIM kartları kırmanın asıl tehlikesi burada yatıyor. SIM kartınızı kırarlarsa telefonun ROM’una değil, telefonun dahili belleğine de değil, doğrudan SIM kartına casus yazılım yükleyebilirler. Böylece SIM kartınız tam kapsamlı bir telefon dinleme cihazına dönüşür ve hangi telefona takarsanız o telefonu dinlemeye başlar. Bu durumda güvenlik açısından sık telefon değiştirmek de bir işe yaramaz. SIM kart aynı kaldığı sürece sizi takip etmeye devam ederler.
İkinci güvenlik açığı
SIM kartların tek sorunu sadece eski şifreleme yöntemleri değil. Bir de SIM kart üreticilerinin tasarım hatasından kaynaklanan ikinci bir sorun var ve bu sorun yüzünden yeni şifreleme yöntemi 3DES’i kullanan kartları da kırabilecekler. Sözün özü yeni SIM kartlar da risk altında:
SIM kartlardaki Java Card yazılımı “sandbox konsepti” ile çalışıyor. Örneğin telefonunuza temassız ödeme için Visa veya PayPal uygulamaları yüklendiğini düşünün. Sandbox konseptine göre, SIM karta yüklü Java Card yazılımı, telefonun ROM’una yüklü işletim sistemini veya telefonun dahili hafızasına yüklü temassız ödeme programlarını kesinlikle kullanamaz.
Ancak SIM kartlardaki ikinci güvenlik açığı buna izin veriyor; yani SIM kartınızı kırarak içine bilgisayar virüsü yükleyebilirler ve bu casus yazılım da telefonunuzdaki diğer yazılımları ele geçirebilir. SIM kart üzerinden bütün uygulamalarınıza, kullanıcı ayarlarınıza erişebilirler.
İşte bu yüzden yazının başında SIM kartınızı kırarlarsa Google / Google+ hesabınıza, Drive bulutta yedekleme şifrenize ve Gmail adresinizi de erişebilirler dedim. Böyle bir saldırının kurbanı olduğunuzu anlamanın tek bir yolu var: Telefonu SIM kartı kırarak dinliyorlarsa internet bağlantı hızınız yavaşlayacaktır. SIM kartı çıkarıp başka SIM kart takarak veya kartınızı çıkardıktan sonra, doğrudan Wi-Fi ile internete girerek durumu test edebilirsiniz.
Telefonları dinlemek için SIM karta özel bir casus yazılım yüklemeleri yeterli. Nohl, SIM kartları kırarak temassız ödeme programları ile diğer yazılımları ele geçirmeyi ve böylece internette yetkisiz alışveriş yapmayı başardı.
Peki nasıl? Nohl’un virüsü önce SIM karttaki Java Card yazılımına bulaştı. Sonra karta saçma bir soru sordu: 10 maddelik bir listedeki 12. maddeyi istemek gibi… Kafası karışan SIM kart, normalde bu tür siber saldırıları önlemek için kullanılan güvenlik kontrollerini durdurdu, güvenlik duvarını (firewall) kapattı ve bilgisayar virüsüne tam bellek erişimi sundu, kısacası SIM karta “root” erişimi sağladı. Bu durumda SIM kart kullanıcı olarak gizlice sizin yerinize geçer ve telefonunuzu sizden hebersiz kullanmaya başlar. Artık telefonu bilgisayar korsanları kontrol etmektedir.
Tehlikenin boyutları
Zayıf DES şifresi ve Java Card sandbox güvenlik açığını kullanan bilgisayar korsanları dünyadaki her 100 telefondan 13’ünün SIM kartını kırabilirler. Nohl durumun ciddiyetini göstermek için “10 dakikada 10 SIM kart kırabilirim” diyor ve SIM kart üreticilerinin Java Card açığına yol açtığını, eski model şifreleme kullanan telefon operatörlerinin ise şifre açığına sebep olduğunu ekliyor. Riscure’dan Van Woudenberg, Nohl’un yorumlarına katılıyor.
Temmuz 2013’te yapılan bu açıklama telekom sektörünü sarsarken, Gemalto CEO’su Olivier Piou da Businessweek’e1 yaptığı açıklamada, şirketinin ürettiği SIM kartların tümüyle güvenli olduğunu beyan etti. Ancak, Gemalto’nun Dünya GSM Birliği ile yakından çalışarak potansiyel sorunları incelemeye başladığı da duyuruldu.
Nohl henüz Java Card açığı ile 3DES şifreli bir kart kıramadı fakat kırması yakın ve bu sebeple, Gemalto ile Oberthur Technologies üretimi SIM kartları kullanan bütün telefon operatörlerinin en kısa sürede tedbir alması gerekiyor.
Mobil ödeme yöntemleri geleceğin bilgi ekonomisinin temelini oluşturan BitCoin sanal para biriminden tutun da NFC tabanlı temassız ödeme uygulamalarına kadar her alanda hızla yaygınlaşıyor. Bankaların gayet iyi farkına vardığı üzere, şirketlerin yeni hedefi olan Y kuşağı da her şeyden önce akıllı telefonlar ve tabletlerle alışveriş etmek istiyor. Dolayısıyla, SIM Kart ürecileri ve cep telefonu operatörlerinin SIM kartların kırılmasına izin veren güvenlik açıklarını kapatması gerekiyor. Yoksa hem özel hayatın gizliliği tehlikeye girecek hem de NFC temassız ödeme iş modeli daha pazarda yaygınlaşmadan iflas edecek.
No Security Issue on Mobile Payments Gemalto Says
Sim Cards Have Finally been Hacked and the Flaw Culd Affcet Millions of Phones