Kobil mIDentity…

Geçtiğimiz günlerde Kobil mIDentity USB aygıtını inceleme fırsatını yakaladım. Nedir bu midentity diyecek olursanız kabaca birden fazla işlemi güvenli bir şekilde gerçekleştirebilen bir aygıt olarak piyasaya sürülmüş, şifrenizi, sertifikanızı, OTP’nizi, doman şifrenizi vb.lerini sadece pin girerek sistemlere kendinizi doğrulatmanızı sağlayan akıllı bir aygıt olarak düşünebilirsiniz. Kullanım alanlarına bakacak olursak, internet bankacılığına girişten, iş e-postalarınızı ve dosyalarınızı şifrelemeye ve imzalamaya kadar bir çok alanda kullanabiliyorsunuz. Ürün hakkında daha detaylı bilgi almak için buraya tıklayabilirsiniz.

Gelelim bizi asıl ilgilendiren kısma, bu kadar marifetli bir aygıt olmasına rağmen her işlemi aynı ölçüde güvenli olarak yerine getirebiliyor mu ?

İncelediğim aygıt demo aygıtı olduğu için PIN’i önceden belirlenmiş, sertifikaları yüklenmiş ve autorun ile çalıştırıldığında Kobil tarafından hazırlanmış bir demo sayfasına yönleniyor ve bu sayfada aygıtı test etmeye imkan tanıyordu.

Demo sayfasına girdikten sonra Kobil’in reklam sayfası ile karşılaşıyorsunuz ve bu sayfayı geçtikten sonra hemen karşınıza aygıtı denemek için türlü sayfalar sizi karşılıyor, güvenli giriş, dosya şifreleme, pin değiştirme ve puk değiştirme.

Güvenli giriş, internet bankacılığında kullanılan mobil imza ile aynı olduğu için ve size sunucu tarafından verilen bir metni aygıt ile imzalayarak karşı tarafa göndermeniz istendiği için sunucu ile aygıt arasına girmeniz ve imzalanan metni değiştirmeniz ve sunucuya göndermeniz durumunda haliylen hatalı imza uyarısı ile karşılaşıyorsunuz, bu kısımda herhangi bir sorun ile karşılaşmadım.

Dosya imzalama ise uygulama üzerindeki göz at butonuna basarak diskiniz üzerinde yer alan herhangi bir dosyayı seçiyorsunuz, pin girerek aygıta imzalatıyorsunuz ve daha sonrasında sunucuya gönderdiğinizde sunucu dosya ile imzayı karşılaştırarak sizin bu dosyayı imzaladığınızı teyit etmiş oluyor. Güvenli girişte olduğu gibi işlem sunucu tarafından başlatılmıyor aksine bu defa istemci imzalama işlemini başlatıyor ve aygıt ile imzalayıp gönderiyor. Aynen bende şuan sizin aklınızdan geçirdiğiniz gibi “istemci tarafından başlatılan bir işlem bir şekilde bypass edilir mi?” düşüncesi ile işe koyuldum ve bir trojan hayal ettim.

Trojanımız biz X dosyasını seçsekte o gidip memoryden gidip Y dosyası ile değiştirse, ön yüzde X dosyası gözükmesine rağmen arka tarafta Y dosyası imzalansa ve sunucuya gönderilse bizim haberimiz olur mu ? Sunucu size sen bu dosyayı imzaladın diye transfer işlemi tamamlandıktan sonra gösterse dahi trojan Man-in-the-Browseryeteneğine sahipse sunucu tarafından gelen yanıtıda değişterecek ve haberimiz olmayacaktır.

İstemci tarafında başlatılan ve gerçekleştirilen dosya imzalama işleminde bu sorun var ise peki ya istemci tarafında başlatılan diğer bir işlem olan internet bankacılığı işlem imzalamada da aynı sorun yaşanır mı yaşanmaz mı sorusunun yanıtını size bırakıyor, Kobil’in kısa zaman içerisinde bu tür basit müdahaleleri engellemek için ek kontroller uygulamasını ümit ediyorum. (Not: Kullandığım aygıtta yer alan uygulamalar 2008 yılındaki sürüme ait, belki bu geçen zaman zarfında bu sorunlar ortadan kalkmış olabilir, bu nedenle son sürüme güncellemenizi her durumda öneriyorum.)

Sonuç olarak dosya imzalamayı gerçekleştiren bir trojan tabiiki yazmadım ancak pratikte nasıl gerçekleştirilebileceğine dair ufak bir video hazırladım, iyi seyirler…

[2010-01-28 19:03:46] Güncelleme: mIDentity’nin yeni sürümünde memory’e müdahale edilmesi engellenmiş, kontrol ettim ancak aşmak için uğraşmadım. İmzalama işlemi işletim sistemi üzerinden başlatıldığı sürece her zaman aşılma riski olacaktır.

image_pdfShow this post in PDF formatimage_printPrint this page
2 comments
  1. Merhaba Mert Bey,

    Öncelikle yaptığınız çalışmalar için tebrikler. Ben bilgisayar mühendisiyim ve 10 yıldır KOBIL de çalışıyorum. Hem yaptığınız çalışma hakkında görüşlerimizi paylaşmak, hemde online bankacılık alanındaki risklere dikkat çekmek istiyorum.

    mIDentity nin yeni sürümlerinde “güçlendirilmiş web tarayıcısı” pek çok “memory attack” lara karşı önlem alındı ve bu geliştirmeler üzerinde aynı hacker lar gibi hiç durmadan çalışılmaya devam ediliyor. Cihazların uzaktan güvenli güncelleme özelliği sayesinde anti-virüs yazılımları gibi yeni saldırılara karşı önlemler sürekli arttırılıyor. Güvenlik canlı ve sürdürülebilir oluyor.

    Ancak sabit disk üzerinde duran free-form (word, excel, pdf…) bir dosyayı müşteri seçip, imzalayıp, web üzerinden upload etmek isterse, esas risk bu dosyanın içeriğinin değiştirilip değiştirilmediğidir. Sizin gösterdiğiniz Firefox hafızasına girişi engellesek bile (dosya ismini korumak için), sabit disk üzerinde duran bir dosyanın imzalanmadan önce içeriğinin ne olduğunu, kötü niyetli kişilerce değiştirilip değiştirilemediğini bilemeyiz.

    Bugün Windows üzerinde gelen IE nin hafızasına bahsettiğiniz yöntem ile girdiğinizde, müşterinin yapmak istediği işlemler için ne şifrematikler, ne SMS OTP, ne de cep telefonlarında çalışan java-soft-OTP ler bir çare olacaktır. Çözüm ancak işlem imzalama metodları ile mümkün. İşlem imzalamada ise gördüğün şeyi imzalamak önemli (What You See Is What You Sign – WYSIWYS). Bunun içinde Dünya’da KOBIL gibi güvenlik alanındaki üretici şirketler 2 method üzerinde duruyor.

    1- OPTIC sensörler ile işlem verisini okuyup kendi ekranında gösteren offline cihazlar. Gelişmiş TDS özellikli OTP cihazları. Web sitemizde SecOPTIC ürününe bakabilirsiniz.

    2- mIDentity gibi üzerinde güçlendirilmiş web tarayıcısı, imza kartı olan ve uzaktan güncelleme yöntemiyle güvenliği sürdürülebilir kılan teknolojiler.

    Manuel işlem girişine izin veren PINPAD li offline cihazlar ise kullanım zorlukları nedeniyle piyasada kabul görmemektedir.

    Email adresimden dilediğiniz zaman bana ulaşabilirsiniz.

    iyi çalışmalar dilerim…

    1. Samimi paylaşımınız için teşekkürler Ümit Bey. Sizinde belirttiğiniz gibi bu ve benzer saldırılara karşı tek güvenli çözüm işlem imzalama gibi görünüyor.

Leave a Reply

Your email address will not be published. Required fields are marked *

You May Also Like
Read More

e-Devlet Hacklendi mi?

If you are looking for an English version of this article, please visit here. Öncelikle yazının sonunda söyleyeceğimi başta söyleyeyim, “Hayır, hack-len-me-di!” Peki bu durumda vatandaş olarak rahat bir nefes alabilir misiniz ? Maalesef hayır. Bunun sebebini de yazının devamında okuyabilirsiniz. Zaman zaman hortlayan “e-Devlet Hacklendi!”, “e-Devlet verileri çalındı!”, “85…
Read More
Read More

WhatsApp Dolandırıcıları

If you are looking for an English version of this article, please visit here. Başlangıç Son günlerde hemen hemen WhatsApp uygulaması kullanan herkesi rahatsız eden yabancı cep telefonu numaralarından gelen çağrılardan, mesajlardan ben de yakın zamanda nasibimi aldım ve tabii ki diğer dolandırıcılıklarla ilgili yazılarımda (Kripto Para Dolandırıcıları, LinkedIn Dolandırıcıları,…
Read More
Read More

LinkedIn Dolandırıcıları

If you are looking for an English version of this article, please visit here. Uzun yıllardan beri sosyal ağları ve medyayı etkin kullanan bir siber güvenlik araştırmacısı olarak bağlantılarım arasında yer alanlarınız özellikle hafta içi LinkedIn ve Twitter üzerinden okuduğum ve beğendiğim siber güvenlik makalelerini, haberleri paylaştıklarımı farkediyorlardır. Twitter hesabımın…
Read More
Read More

Profilime Kim Baktı?

If you are looking for an English version of this article, please visit here. 23 Eylül 2020 tarihinde Twitter’da siber güvenlik ile ilgili haberlere göz gezdirirken gündem olan başlıklarda #profilimekimbaktı etiketi dikkatimi çekti. Beni oldukça şüphelendiren bu etiketin gündem olmasının arkasında yatan sebebi bulmak için bu etiketi paylaşan hesaplara göz…
Read More