Mobil cihazlar, iletişim teknolojileri pazarında yaygın kullanım sebebiyle ilk akla gelendir.
Artan kullanım oranı ile mobil cihazlarda bilgi güvenliğine daha fazla ihtiyaç duyulmaya başlanmıştır. Bu cihazlara yönelik yapılan saldırılar karşısında taşınan bilgilerin güvenliğinin sağlanması gerekmektedir.
Mobil cihazlardaki güvenlik açıkları veya kötücül yazılım barındıran uygulamaların yüklemesi ile kişisel bilgi ve haberleşme güvenliğini tehdit eden durumlar oluşmaktadır. Son kullanıcıların, Cep telefonlarına yönelik saldırı yöntemlerine dair temel bilgileri öğrenmesi ile kişisel güvenlik seviyesinin artabileceği düşünülmektedir.
İçerik:
• [1] Mobil uygulamalarda kullanım yoğunluğu,
• [2] Türkiye ve Avrupa ülkelerine ait mobil Penetrasyon grafiği,
• [3] Mobil Saldırı-Atak çeşitleri,
• [4] Mobil Uygulamalarda olabilecek açık türleri,
• [5] Mobil Uygulamalarda güvenlik açıkları,
• [6] Mobil kötü amaçlı yazılımlar, türleri ve İstatistikleri
• [7] Cep telefonlarında kurumsal bilgi güvenliğinin önemi
• [8] Mobil Cihazlarda bilgi güvenliği için öneriler
Mobil Kullanıcı Sayısı 2019:
Dünya çapında cep telefonu kullananların sayısı 2018’de 100 milyon artarken, dünya toplamı Ocak 2019’a kadar 5,1 milyardan fazla kişiye ulaştı. Bu rakam dünya çapındaki mobil kullanıcı sayısını yüzde 67’ye çıkardı. Bu rakam, toplam küresel nüfusun üçte ikisinden fazlasıdır. [1]
Türkiye ve bazı Avrupa ülkelerine ait mobil Penetrasyon:
2018 yılı birinci çeyreği itibarıyla Avrupa ülkeleri içinde en yüksek mobil penetrasyon oranına sahip ülkeler Finlandiya, Danimarka, Yunanistan, Avusturya ve Portekiz olarak görülmektedir. İncelenen ülkelerin ortalama mobil penetrasyon oranı yaklaşık olarak %132’dir. Türkiye’de ise Mart 2018 itibariyle mobil penetrasyon oranı %98 seviyesindedir. [2]
Mobil Saldırı-Atak çeşitleri: [3]
Mobil uygulamalarda olabilecek açık türleri: [4]
Mobil Uygulamalarda güvenlik açıkları: [5], [6]
• Yazılımda koruma eksikliği, Sistemdeki veri koruma ve şifrelemedeki yetersizlik surumu.
Uygulamanın farklı cihazlarda, kök dosyasına erişmesini engelleyecek, risk azaltma katmanı eklenmelidir. Uygulama çalışırken (Runtime da) hassas bilgi mümkün mertebe cihazda kayıt edilmemeli. Veri çalışma anında işlenip, uygulama kapatıldığında yok edilmelidir. Yine de saklanması gereken veriler olması durumunda bu veriler şifrelenerek dokümanlar klasöründe saklanmalıdır. Şifreler ise iOS ta KeyChain, Android de ise KeyStore da tutulmalıdır.
• Yetersiz Aktarım Katmanı Koruması, Hassas iletişimleri korumak gerektiğinde uygulamalar sıklıkla ağ trafiğini şifreleyemez. Şifreleme (genellikle TLS), kimliği doğrulanmış tüm bağlantılarda, özellikle İnternet erişimi olan web sayfalarında kullanılmalıdır. Arka uç bağlantıları da şifrelenmeli veya bir kimlik doğrulama veya oturum belirtecini uygulama ana bilgisayarıyla aynı ağdaki kötü amaçlı aktörlere maruz bırakma riski vardır.
Kredi kartı veya sağlık bilgisi gibi hassas veriler iletildiğinde şifreleme kullanılmalıdır. Düz metne geri düşen veya şifreleme modundan çıkarılmış olan uygulamalar saldırganlar tarafından kötüye kullanılabilir.
• Fazladan bilgi paylaşımı, Bir uygulamanın web uygulamasının teknik detayları, sunucu sürümü veya kullanıcıya özel veriler gibi hassas verilerin paylaşımı bir uygulama zayıflığıdır. Paylaşılmamalıdır.
• Uygulamalara fazladan verilen erişimler, Bir uygulama, kullanıcının bir işlev gerçekleştirmesini veya verilere güvenlik ilkesiyle tutarlı bir şekilde erişmesini sağlamak için yeterli yetkilendirme denetimi yapmadığında yetersiz Yetkilendirme sonucunu oluştur. Yetkilendirme prosedürleri, bir kullanıcının, hizmetin veya uygulamanın yapmasına izin verilenleri zorlamalıdır.
• Uygun Olmayan Sertifika Doğrulama, Erişim ve uygulamalar, SSL / TLS sertifikalarını sertifika doğrulama sistemi kullanmalı. Sertifika doğrulanamıyorsa veya sağlanamıyorsa, istemci bağlantıyı bırakacak şekilde yapılandırılmalıdır. Sertifikanın doğru şekilde onaylanmadığı bir bağlantı üzerinden alınıp verilen veriler, yetkisiz erişime veya değişikliğe maruz kalabilir. Uygulamanızın sertifika doğrulamasının, güvenilir bir Sertifika Yetkilisi gibi güvenilir bir kaynaktan yapıldığından emin olunmalıdır. Cihazın kendi SSL sertifika listesi (Certificate Store) yerine, uygulama içerisine eklenmiş hedef sunucu ile uyumlu sertifika kullanılmalıdır.
• Şifreleme zayıflığı, Bir saldırganın sistemde bir kullanıcı olup olmadığını belirlemesi için sayısız yol vardır. Bunlardan biride kaba kuvvet saldırısıdır. Çok sayıda olası değeri denemek için otomatik bir işlem kullanarak bilinmeyen bir değeri belirleme yöntemidir. Mesela, 8 karakterlik alfa sayısal bir şifre 2,8 trilyon olası değere sahip olabilirken, birçok kişi şifrelerini ortak kelimelerden ve terimlerden oluşan çok daha küçük bir alt kümeden seçmektedir.
• Oturumdan çıkmadan sayfa kapatma, Bir kullanıcı uygulamadan çıktıktan sonra, oturum sırasında kullanılan tanımlayıcıların geçersiz kılınmasını sağlaması gerekir. Sunucu, oturum tanımlayıcılarını geçersiz kılmazsa, Bir açık sebebiyle erişim sağlayan diğer kullanıcıların bu tanıtıcıyı kimliğine bürünerek onun adına eylemler gerçekleştirmek için bu kimlikleri kullanması mümkündür. Uygulamada oturum kapatma düğmesinin kullanılarak erişimi sonlandırması gereklidir.
• Bilgi Sızıntısı - Uygulama Önbelleği, Uygulama önbelleklerinden hassas veriler sızabilir. Mobil cihazlar, güvenli veri depolama konusunda önlemleri almazsak biraz sıkıntılıdır. Cihazlar kolayca kaybolabilir veya çalınabilir. Birçok kullanıcıda cihazlarını kilitlemez. Unutmamalıdır ki, Önbelleğe alınmış veriler, fiziksel cihaz müdahalesi yapan servis veya kişiler tarafından görüntülenebilir.
• Yazılımsal Koruma - Yetersiz Kod Gizliliği, En yaygın telefon işletim sistemi olan Android / Java'ya özgüdür. Java uygulamalarının tersine mühendislikten daha iyi korunması için, kodu karıştırmak veya gizlemek için çeşitli araçlar geliştirilmiştir. Google, Android SDK'nın bir parçası olarak bu araçlardan en popüler olan ProGuard'ı içeriyor. ProGuard aracı, kullanılmayan kodu kaldırarak ve sınıfları, alanları ve yöntemleri anlamsal olarak belirsiz adlarla yeniden adlandırarak kodunuzu küçültür, optimize eder ve gizler.
ProGuard Android yapı sistemine entegre edilmiştir, bu nedenle manuel olarak çağırmanıza gerek yoktur. ProGuard yalnızca uygulamanızı sürüm modunda oluşturduğunuzda çalışır, bu nedenle uygulamanızı hata ayıklama modunda oluştururken gizlenmiş kodla uğraşmanız gerekmez. ProGuard'ın çalıştırılması tamamen isteğe bağlıdır, ancak şiddetle tavsiye edilir ve bu sistemlerdeki güvenlik duruşunuza yardımcı olabilir.
Mobil kötü amaçlı yazılımlar, türleri ve İstatistikleri: [7]
Akıllı telefonlar, tabletler ve akıllı saatler gibi mobil cihazlara saldırmak için özel olarak yazılmış kötü amaçlı bir yazılımdır. Mobil kötü amaçlı yazılım geliştiricilerin, veri çalmak, kullanıcıları hizmetlere kaydettirmek ve kabul etmedikleri hizmetler için ücret talep etmek veya bir cihazı veya verileri kilitlemek ve piyasaya sürülmesini talep etmek için ücret talep etmek de dahil olmak üzere bir veya birkaç hedefi olabilir.
En yaygın mobil kötü amaçlı yazılım saldırıları virüs, solucan, mobil bot, mobil phishing saldırısı, fidye, casus yazılım ve Truva atlarını içerir. Bazı mobil kötü amaçlı yazılımlar birden fazla saldırı türünü birleştirir. Bilgisayar solucanı, virüslü sistemlerde etkin kalırken diğer aygıtlara da zarar veren bir kötü amaçlı yazılım türüdür. Kısa mesaj servisi (SMS) veya Multimedya Mesajlaşma Servisi (MMS) metin mesajlarıyla iletebilir ve genellikle komutları çalıştırmak için kullanıcı etkileşimi gerektirmez.
Mobil bot, bir kullanıcı bir cihaza yüklediğinde otomatik olarak çalışan bir kötü amaçlı yazılım türüdür. Cihaza ve içeriğine tam erişim kazanır ve bir veya daha fazla komut ve kontrol sunucusuyla iletişim kurmaya ve talimat almaya başlar. Botmaster olarak adlandırılan bir siber suçlu, virüslü cihazları mobil botlar ağına (botnet) ekler ve yönetir.
Mobil kimlik avı saldırıları genellikle e-posta veya SMS metin mesajları biçiminde gelir. Bazen SMiShing olarak da adlandırılan SMS phishing, kurbanları hesap kimlik bilgilerini ifşa etmeye veya kötü amaçlı yazılım yüklemeye ikna etmek için metin mesajlaşmasını kullanır.
Ramsonware, bir kurbanın cihazındaki veya cihazın kendisindeki verileri, genellikle şifreleme yoluyla kilitleyen ve verilerin veya cihazın şifresi çözülmeden ve mağdurun erişimine erişilmeden önce ödeme yapılmasını gerektiren bir kötü amaçlı yazılım türüdür.
Casus yazılım, takvim uygulamaları, şifreler, e-posta hesapları, notlar ve diğer kişisel veri kaynakları ile senkronize olur, bu verileri toplar ve uzak bir sunucuya gönderir. Genellikle ücretsiz yazılım indirmelerine veya kullanıcılar tarafından tıklanan bağlantılara eklenir.
Kablosuz Uygulama Protokolü (WAP) tıklayıcıları, ücretleri doğrudan kullanıcının cep telefonu faturasına borçlandırmak için WAP faturalandırmasını kullanan Trojan virüsleridir. Mobil şebeke operatörleri ücretli servisler veya abonelikler için WAP faturalandırmasını kullanır. Bu ödeme şekli, kredi kartı kaydetme veya hesap açma gereğini ortadan kaldırarak doğrudan kullanıcının hizmet hesabına ücret alır. Bir WAP tıklayıcısı gizlice bir siber suç hizmetine abone olur ve mobil cihaz sahibinin hesabını tahsil eder. Mobil yazılımların toplam sayısı 2018’de yüzde 40’a yükseldi. G DATA Analistler 2018’in üçüncü çeyreğinin sonuna kadar yaklaşık 3,2 milyon kötü amaçlı uygulama tespit ettiler.
Cep telefonlarında kurumsal bilgi güvenliğinin önemi: [8]
Elektronik ortamlarda yapılan işlemlerin birçoğu, cep telefonları kullanılarak da yapılabilmektedir.
Günümüzde artık mobil telefonlarla sosyal medya ile birlikte, bilgisayarda saklanan bilgilere göre daha fazla kişisel ve önem derecesi yüksek bilgi içermektedir.
Kurumsal bilgi güvenliği, bilginin üretildiği, işlendiği ve saklandığı her ortamda sağlanmak zorundadır. Dikkate almamız gereken faktörlerin arasında, Mevcut yazılımlar, donanımlar, ortamlar ve insan kaynaklarıdır.
Bilginin korunmasına çalışıldığı ilk günden itibaren güvenlik zincirinin en zayıf halkasını her zaman insanlardır.
Kurumsal bilgi güvenliği yönetim sistemleri çatısı altında yapılacak olan eğitim ve bilinçlendirme çalışmaları kurumsal bilgi güvenliğini genel olarak incelemek, mevcut çalışmaları özetlemek, kurumsal bilgi güvenliğinin kurumlarda etkin bir şekilde hayata geçirilmesini sağlamalıyız.
Kurumsal bilgi güvenliği, Kurumların bilgi varlıklarının tespit edilerek zafiyetlerinin belirlenmesi ve istenmeyen tehdit ve tehlikelerden korunması amacıyla gerekli güvenlik analizlerinin yapılarak önlemlerinin alınmasıdır.
Bilgi Güvenliği Yönetim Sistemleri (BGYS); insanları, süreçleri ve bilgi sistemlerini içine alan ve üst yönetim tarafından desteklenen bir yönetim sistemidir. Kurumlar açısından önemli bilgilerin ve bilgi sistemlerinin korunabilmesi, risklerin en aza indirilmesi ve sürekliliğinin sağlanması, BGYS’nin kurumlarda hayata geçirilmesiyle mümkün olmaktadır.
BGYS’nin kurulmasıyla; olası risk ve tehditlerin tespit edilmesi, güvenlik politikalarının oluşturulması, denetimlerin ve uygulamaların kontrolü, uygun yöntemlerin geliştirilmesi, örgütsel yapılar kurulması ve yazılım/donanım fonksiyonlarının sağlanması gibi bir dizi denetimin birbirini tamamlayacak şekilde gerçekleştirilmesi anlamına gelmektedir.
Bilgi güvenliğinin sağlanmasında, dikkat edilmesi gereken hususlar;
• Kurumsal bilgi güvenliğini sağlamanın dinamik bir süreç olup süreklilik arz eder.
• Kurumsal bilgi güvenliğinin sadece teknolojiyle sağlanır yaklaşımından uzaklaşılarak İnsan, Eğitim ve Teknoloji üçgeninde yeni bir yaklaşımla sağlanması gerektiği,
• Uluslararası standartlara uygun olarak yapılması ve uygulanması gerektiği,
• Standartlar yüksek seviyede bir güvenliği garanti etse de bazen standartlarında yetersiz kalabileceği,
• Kurumsal bilgi güvenliği seviyesinin güncel durumunun belirlenmesi amacıyla iç ve dış ortamlardan zaman zaman bağımsız uzman kuruluşlar tarafından denetlenmesi gerektiği,
• Kurumsal bilgi güvenliğinin yönetilmesinin zorunlu bir süreç olduğu ve her zaman iyileştirmelere ihtiyaç duyulduğu ve En zayıf halka kadar güvende olunacağı varsayımıyla hareket edilerek gerekli önlemlerin alınması gerektiği bilinmeli ve uygulanmalıdır.
Mobil Cihazlarda bilgi güvenliği için öneriler: [9], [10]
Kaynaklar:
[1] https://wearesocial.com/blog/2019/01/digital-2019-global-internet-use-accelerates
[2] https://www.btk.gov.tr/uploads/pages/pazar-verileri/2018-1ceyrekraporu-kurumdisi.pdf (Sayfa 61)
[3] http://dergipark.gov.tr/download/article-file/334719
[İstanbul Ticaret Üniversitesi Fen Bilimleri Dergisi, 15(30), Güz 2016 (Sayfa 61)]
[4] https://blog.lookout.com/mobile-risk-matrix-vulnerabilities
[5] https://www.whitehatsec.com/blog/top-10-vulnerabilities-in-mobile-applications
[6] https://webrazzi.com/2014/10/17/mobil-uygulamalarda-en-cok-yapilan-10-guvenlik-hatasi
[7]https://www.gdatasoftware.com/blog/2018/11/31255-cyber-attacks-on-android-devices-on-the-rise
[8] http://dergipark.gov.tr/download/article-file/75726
[Gazi Üniv. Müh. Mim. Fak. Der. Cilt 23, No 2, 2008 (Sayfa 507, 508, 509, 520 )]
[9] http://dergipark.gov.tr/download/article-file/75515
[Gazi Üniv. Müh. Mim. Fak. Der. Cilt 24, No 3, 2009 (Sayfa 505)]
[10] https://sibertehdit.com/cep-telefonlarinda-guvenlik-onlemi