E-Siber.com
M. Mekin Pesen
Sitede 1775 okunmaya de─čer yaz─▒ var.

├?ifreli Mesajla├żma Uygulamalar├Ż Bilgi S├Żzd├Żr├Żyor

Ak├Żll├Ż telefonlar├Żn yayg├Żnla├żmas├Żyla birlikte oldukça revaç gören mobil mesajla├żma uygulamalar├Ż SMS'i geçip ana ileti├żim yolu olmu├żtur. WhatsApp günde 50 milyar mesaj ta├ż├Żrken, Apple iMessage da 40 milyar mesaj├Ż görmü├żtür. Fakat bu kadar ilgi gören ve "güvenli" oldu├░u söylenen "ücretsiz" uygulamalar gizlili├░i ihlal eden bir sürü veri s├Żzd├Żr├Żyormu├ż.

 

Kullan├Żc├Żlar├Żn haberle├żmede gizlili├░ini sa├░lamak için uçtan uca ve ta├ż├Żma katman├Żnda ├żifreleme yapan ├żifreli mobil mesajla├żma uygulamalar├Ż, normalde bu servisleri sa├░layanlar için bile ├żifrelemenin gere├░i olarak dinleme olana├░├Ż elde edememeleri anlam├Żna gelmektedir. Fakat içinde Apple iMessage, WhatsApp, Viber ve Telegram'├Żn sorguland├Ż├░├Ż son yap├Żlan bir ara├żt├Żrmaya göre haberle├żmeyi dinleyen birileri mesajla├żma trafi├░inde sadece gidip gelen ├żifreli paketleri gözlemleyerek bile kullan├Żc├Żn├Żn hareketleri, mesajlarda kullan├Żlan dil ve mesaj├Żn uzunlu├░u gibi çok önemli meta verileri %96 do├░ruluk oran├Żnda elde edebiliyormu├ż.

 

Ara├żt├Żrmaya göre Apple iMessage, WhatsApp, Viber ve Telegram gibi oldukça popüler olan ve ├żifreleme yöntemleri kulland├Żklar├Żn├Ż belirten mobil mesajla├żma uygulamalar├Ż kullan├Żc├Ż gizlili├░ini ihlal eden vahim hatalar bar├Żnd├Żr├Żyor. Ayr├Żca bunun yan├Żnda bir önceki yaz├Żm├Żzda da ifade etti├░imiz gibi bu mesajla├żma uygulamalar├Żndaki kriptolojik implementasyon hatalar├Ż da sözde "güvenli" mesajla├żma uygulamalar├Żn├Żn birer gizlilik katili oldu├░unun en aç├Żk delilidir.

Daha önceleri VoIP ve HTTP tünellerini örneklerinde oldu├░u gibi son model ├żifreleme yöntemlerinin mesaj├Żn içeri├░i için herhangi bir gizlilik garantisi sunmad├Ż├░├Ż ortaya ç├Żkm├Ż├żt├Ż. Bu sefer de ara├żt├Żrmac├Żlar ├żifreli mobil mesajla├żma uygulamalar├Żn├Żn;

  • bilgi s├Żz├Żnt├Żlar├Żn├Żn geni├żli├░ini ve derinli├░ini anlamak
  • sald├Żr├Żlar├Żn servisler aras├Żnda genellenebilir olup olmad├Ż├░├Żn├Ż belirlemek
  • ve bu s├Żz├Żnt├Żlara kar├ż├Ż korumalar├Żn potansiyel maliyetlerini hesaplamak

için network trafi├░ini izleyerek analiz ettiler. Ara├żt├Żrmada temelde Appler iMessage ba├░lam├Żnda gerçekle├żtirilen analiz ve sald├Żr├Żlar WhatsApp, Viber ve Telegram'a da geni├żletilip genelle├żtirildi. Çünkü ara├żt├Żrmac├Żlar kullan├Żc├Ż eylemleri ile ç├Żkan ├żifreli paketler aras├Żndaki kararsal ili├żkiyi hedeflediler.

 

├?u a├żamada kar├ż├Żl├Żkl├Ż olarak gönderilen mesajlar├Żn içeri├░i hariç olarak (yak├Żn bir gelecekte bunun da mümkün olaca├░├Ż söyleniyor) mesajlar├Żn yaz├Żld├Ż├░├Ż dil, mesajlar├Żn uzunlu├░u ve kullan├Żc├Żlar├Żn hareketleri %100'e yak├Żn bir ├żekilde harici araya girenler taraf├Żndan tespit edilebiliyor. Ara├żt├Żrmac├Żlar ├żifreli mobil mesajla├żma uygulamalar├Żndan bu tür kitlesel verilerin s├Żzmas├Żna kar├ż├Ż al├Żnabilecek en iyi önlemin de ├żifrelemede mesajlara rastgele dolgu (random padding) ekleme yönteminin kullan├Żlmas├Żndan geçti├░ini belirtiyorlar.

 

Ara├żt├Żrmac├Żlar her bir mesaj için uygulanacak "random padding" ile her bir mesaj için servis sa├░lay├Żc├Żlar├Żna fazladan %300'lük bir ek maliyet getirece├░ini belirtiyorlar. Bu tek bir kullan├Żc├Ż için ihmal edilebilir düzeyde olsa da, günlük 40-50 milyar mesaj ta├ż├Żyan bir altyap├Żya günde en az├Żndan fazladan terabaytlarca ek veri ve i├żlem yükü getirece├░inden, "ücretsiz" mesajla├żma hizmeti sunan servislerin bunun için kullan├Żc├Żlar├Żna kendisini feda edece├░ini beklemek gerçekten safl├Żk olacakt├Żr.

 

Fakat ├żifreli mobil mesajla├żma uygulamalar├Ż e├░er bu haliyle de b├Żrak├Żl├Żrsa, devletler, istihbarat örgütleri, uluslarars├Ż siber suç ├żebekeleri ve hatta merakl├Ż kullan├Żc├Żlar├Żn istedikleri ki├żilerin ├żifreli mesajla├żmalar├Żna dair kritik meta verileri elde etmeleri i├żten bile olmayacak. Ara├żt├Żrman├Żn detaylar├Żn├Ż merak edenler ileti├żime geçmeleri halinde ilgili belgeye ula├żabilir.

 

Ayr├Żca konuyla ba├░lant├Żl├Ż olarak ilgilenebilece├░iniz di├░er yaz├Żlar:


· · ·
Yazan: | 07.03.2014 | 2926 kez okundu.

Yaz─▒lar E-Posta Kutunuza Gelsin:

Bu yaz─▒y─▒ izinsiz olarak al─▒p ba┼čka herhangi bir yerde yay─▒nlayamazs─▒n─▒z (Bkz "dijital at h─▒rs─▒z─▒" kimdir?). Yaz─▒lar─▒n ba┼čka yerlerde yay─▒nlanmas─▒na ├╝creti mukabili izin veriyoruz. Yaz─▒lar─▒ izinsiz olarak ba┼čka bir yerde yay─▒nlaman─▒z, her t├╝rl├╝ hukuki sonucu kabul etti─činiz manas─▒na gelir. Yaz─▒lar─▒ izin almak ve kaynak g├Âstermek kayd─▒yla sadece kamu kurumlar─▒ ve akademik ara┼čt─▒rmac─▒lar ├╝cretsiz olarak kullanabilir. Bunlar─▒n d─▒┼č─▒nda kalan herkes ├╝cret ├Âder. Detaylar i├žin bize ula┼č─▒n.

Yorum altyap─▒s─▒: Disqus

Yukarı Çık

M. MEK─░N PESEN
© 2007-2015 E-S─░BER B─░LG─░-─░LET─░┼×─░M TEKNOLOJ─░LER─░
E-Siber.com | E-Siber.net | ESiber.com | ESiber.net | RSS | Facebook | Twitter | E-Posta Aboneli─či
IP: 54.81.44.47 | Y├╝klenme: 0.338 saniye. | Hakk─▒m─▒zda | ─░leti┼čim | Reklam Verin | Site Politikalar─▒ | At─▒flar