Mar 01 2012

Akıllı Telefonlardaki Riskler

Posted by

ENISA ‘European Network and Security Agency’ – ‘Avrupa Ağ ve Bilgi Güvenliği Ajansı’ yaklaşık bir yıl önce 2010 senesi sonunda Akıllı Telefonlardaki riskleri anlatan bir rapor yayınladı. Rapor Dr.Giles Hogben ve Dr. Marnix Dekker tarafından onlarca şirketteki onlarca uzman görüşü ile hazırlanmış. Raporun amacı, giderek daha fazla kullanım alanı bulan akıllı telefonlardaki güvenlik ve mahremiyet risklerini dikkatlere sunmak olarak açıklandı. Bu rapordan bazı bilgileri aktarmak istiyorum.

Akıllı Telefonlardaki Riskler:

1. Veri sızıntısı : Çalınan ve kaybolan bir akıllı telefondaki koruma altında olmayan hafızadaki veriler üçüncü şahısların eline geçebilir.

2. Hatalı elden çıkarma : Hassas bilgiler silinmeden bir başkasına verilen akıllı telefondaki bilgiler saldırganın eline geçebilir.

3. İstemdışı veri ifşası : Akıllı telefonlardaki pek çok uygulama kişisel bilgilerin üçüncü şahıslara transferini engelleyecek ayarlara sahiptir. Ancak bu ayarların farkında olmayan kullanıcılar pek çok kişisel bilgiyi dışarıya açabilir.

4. Şifre çalma ‘phishing’ : Saldırgan sahte sms veya eposta uygulamaları ile kullanıcı bilgilerini – kullanıcı adı, şifresi, kredi kartı no gibi – ele geçirebilir.

5. Casus Yazılımlar ‘spyware’ : Akıllı telefona saldırgan tarafından kullanıcının farkında olmadığı bir casus yazılım yüklenebilir. Bu casus yazılım kişisel bilgileri dışarıya gönderebilir.

6. Sahte ağ geçidi : Saldırgan sahte bir ağ geçidi bağlantı noktası oluşturabilir. Bu ağ geçidine bağlanan akıllı telefondaki bilgileri elde edebilir.

7. Gözetim : Hedefteki akıllı telefon gözetim altına alınabilir.

8. Otomatik casus numara arama ‘diallerware’ : Saldırgan hedefteki akıllı telefona yüklemeyi başardığı bir yazılım aracılığı ile çeşitli sms veya telefon servislerini otomatik aratarak para kazanabilir.

9. Finansal kötü niyetli yazılım ‘malware’ : Kredi kartı bilgisi, çevrimiçi bankacılık bilgileri gibi veriyi çalmak üzere tasarlanmış bir yazılım finansal sorunlara yol açabilir.

10. Ağ trafiğinde sıkışıklık : Ağdaki trafiği yoğunlaştırarak kullanıcının ağa erişimini engelleyebilir.

Akıllı Telefonlardaki Avantajlar:

1. İzole birimler ‘sandbox’ : Pek çok akıllı telefon uygulamaları birbirlerinden izole birimlerde etkileşime girmeden çalıştırmaktadır.

2. Kontrol edilir yazılım dağıtımı : Güvenlik açığı olup olmadığı cihaz üreticisinin onayından geçtikten sonra yazılımın kullanıcılara ulaştırılması.

3. Uzaktan yazılım imhası : Güvenlik açığı olduğu tespit edilen yazılım akıllı telefona uzak erişim ile devre dışı bırakılabilir.

4. Yedekleme ve geri dönüş :  Pek çok akıllı telefon kendi üstünde iyi bir yedekleme ve yedekten geri dönüş uygulaması barındırmaktadır.

5. Ekstra kimlik denetimi : Akıllı telefonlar bilinen kimlik denetim yöntemlerinin üzerine akıllı kart okuyucular gibi tekniklerle bir güvenlik katmanı daha getirebilir.

6. Ekstra şifreleme imkanları : Akıllı telefonlar, bazı üçüncü parti yazılımlar aracılığı ile mobil operatörlerin sağladığı ses şifrelemenin üzerine bir katman daha şifreleme yapabilir.

7. Çeşitlilik : Donanım ve yazılım olarak pek çok farklı üretici değişik akıllı telefonlar ürettiği için saldırganların sadece bir yöntem geliştirerek bütün akıllı telefonları hedeflemesi olası değildir.

Kullanıcılar için tavsiyeler:

1. Otomatik kilitleme :  Belirli bir süre kullanılmadığında akıllı telefonu kilitlenecek şekilde ayarlayın.

2. İtibar kontrolü : Akıllı telefona bir yazılım veya servis yüklemeden önce güvenilir olup olmadığını muhakkak araştırın. Güvenilir bir kaynaktan gelmeyen hiçbir yazılım veya servisi yüklemeyin ve kullanmayın.

3. Erişim haklarını dikkatle gözden geçirin :  Herhangi bir uygulama veya servis kurulumu esnasında hangi bilgilere nasıl erişim izni verdiğinizi dikkatlice seçin.

4. Sıfırlama ve silme : Akıllı telefonu imha etme veya geri dönüşüme vermeden önce muhakkak tüm bilgileri ve ayarları sıfırlayıp, silin.

Çalışanlar için tavsiyeler:

1. Kullanım dışı bırakırken : Bir akıllı telefonu kullanmayacağınızda veya geri dönüşüme vereceğinizde şirket içinde belirlenmiş kullanım dışı bırakma yordamlarını uygulayın ve hafıza temizlemeyi gerçekleştirin.

2. Uygulama kurulumu : Eğer hassas şirket bilgilerine akıllı telefondak erişecekseniz hangi uygulamalara bu izni vereceğinizi bir beyaz liste ile tanımlayın ve bunun liste dışındaki uygulamaları devre dışı bırakın.

3. Gizlilik : Akıllı telefon dahili ve çıkarılabilir hafızası için hafıza şifreleme uygulamaları kullanın.

Resmi görevliler için tavsiyeler:

1. Veriyi yerleşik tutmayın : Hassas bilgileri akıllı telefon üzerinde tutmayın. Hassas verilere çevrimiçi ağ üzerinden erişin ve bu esnada ön bellek kullanmayan uygulamaları tercih edin.

2. Şifreleme yazılımı : Çok yüksek gizlilik seviyeli kullanım için son kullanıcıdan son kullanıcıya çağrı arama ve sms şifreleme yöntemleri kullanın.

3. Dönemsel geri yükleme : Akıllı telefonları belli dönemlerde tamamen silip, sıfırlayıp, özel olarak hazırlanmış ve test edilmiş imajı yükleyerek yenileyin.

Bu tavsiyeler doğal olarak herkes için geçerli. Bir başka deyişle kullanıcılar için verilen tavsiyeler çalışanlar için, kullanıcılar ve çalışanlar için verilen tavsiyeler de resmi görevliler için dikkate alınmalı.

Benim ekleyeceğim iki konu var:

  1. Tamire vereceğiniz zaman yukarıda yazılanları uygulayın.
  2. Akıllı telefonunuzu gözünüzün önünden ayırıp, birisine vermeyin. Geri geldiğinde içinde ne olduğunu bilemeyeceğinizi unutmayın. Çin ve Rusya gibi ülkelere seyahat eden Amerikan şirketi çalışanlarının ülkelerine geri döndüklerinde taşınabilir bilgisayar ve akıllı telefonlarının şirkette kullanıma alınmadan ciddi güvenlik testlerinden geçtiğini hatta pek çok kez bir daha kullanılmasına izin verilmediğini aklınızda tutun.

Görüş ve düşüncelerinizi bana iletin ki, neyi doğru neyi yanlış yapıyoruz görelim. Tüm güzellikler sizlerle olsun. Bilgi paylaştıkça çoğalır. Sağlıcakla kalın.

İstanbul – 1.Mart.2012

Telepati ‘Saydam’ köşesinde Mart 2012 ‘de yayınlanmıştır.

Filed under : Telepati Yazıları | Comments Off on Akıllı Telefonlardaki Riskler