Professional Documents
Culture Documents
Mobi̇l Ortamlarda Bi̇lgi̇ Ve Haberleşme Güvenli̇ği̇ Üzeri̇ne Bi̇r İnceleme
Mobi̇l Ortamlarda Bi̇lgi̇ Ve Haberleşme Güvenli̇ği̇ Üzeri̇ne Bi̇r İnceleme
[2], Trkiyede bu yl sonunda 70 milyon 800 bin olmas beklenen mobil telefon kullanc says 2010 ylnda 81 milyon 700 bine ulaacaktr. Bu sre ierisinde, Bulgaristan, Danimarka, Finlandiya, Fransa,
rlanda, Hollanda, Polonya, Trkiye, ngiltere, ek
Cumhuriyeti, Almanya, Macaristan, talya, Rusya,
spanya ve Ukraynay kapsayan aratrmann
. Sarolu ve H. Bulut
500
Yukarda saylan maddelerden de aka grlebilecei gibi mobil ve kablosuz teknolojiler kullanclara ok farkl hizmeti kolaylkla sunarken, pek ok
tehlikeyi de beraberinde getirmektedir. Bu da mobil
ortam gvenliini salamak iin yksek seviyede bir
gvenlik altyaps gelitirmeyi, eitli gvenlik politika ve stratejileri belirlemeyi ve uygulamay zorunlu
klmaktadr.
Bu makalenin 2. blmnde mobil tehditler gzden
geirilmi, karlalabilecek tehdit ve tehlikeler zet
olarak verilmi, zellikle casus yazlmlar, dorudan
saldrlar ile veri iletiimini dinleme detayl olarak
sunulmutur. 3. Blmde ise mobil ortamlardaki tehdit ve tehlikeler ksaca gzden geirilerek alnmas
gerekli nlemler ile nerilerimiz sunulmutur.
2. MOBL TEHDTLER (MOBILE THREATS)
Bilgisayar teknolojileri geliip yaygnlatka, gnlk
i ve ilemler elektronik ortamlara tanmakta ve kolaylamaktadr. Bunun sonucu olarak elektronik
ortamlarda tanan bilgilerin gvenliinin nemi ve
karlalan tehditler, gerek say gerekse eitlilik
asndan artmaktadr. Ktcl (malware) ve casus
(spyware) yazlmlar ise bunlarn en banda gelmektedir. En nemli tehditlerden olan ktcl ve casus
yazlmlar zerine lkemizde yaplan bir kitap almasnda; bu yazlmlar snflandrlm; sahip olduklar temel zellikler ve tadklar riskler detayl olarak
sunulmutur [7]. Canbek ve Sagiroglu [7] tarafndan
hazrlanan bu kitabn, kt niyetli olarak gelitirilen
yazlm trlerinin daha iyi bilinmesi, tannmas ve
gerekli nlemlerin alnmasna byk katklar salayaca deerlendirilmektedir.
Ktcl yazlm (malware, ngilizce malicious
softwarein ksaltlm), bulat bir sistemde veya
a zerindeki dier makinelerde zarara yol amak
veya almalarn aksatmak amacyla hazrlanm
yazlmlarn genel addr [8]. Bu ktcl yazlmlar;
. Sarolu ve H. Bulut
501
. Sarolu ve H. Bulut
Ktcl yazlmn ad
Virsl MMS
says/nceki
peryotla fark
5498 (+765)
854 (+404)
Worm.SymbOS.ComWar.a
Worm.SymbOS.ComWar.c
Trojan1
SMS.J2ME.RedBrowser.b
18 - 24 Haziran 2006 Verisi
Virsl MMS
says/nceki
peryotla fark
Worm.SymbOS.ComWar.a 4564 (-934)
Worm.SymbOS.ComWar.c 756 (-98)
25 Haziran - 1 Temmuz 2006 Verisi
Ktcl yazlmn ad
Virsl MMS
says/nceki
peryotla fark
Worm.SymbOS.ComWar.a 4837 (+273)
Worm.SymbOS.ComWar.c 698 (-58)
Worm.SymbOS.ComWar.d 6 (+6)
1 Temmuz 7 Temmuz 2006 Verisi
Ktcl yazlmn ad
502
Mteri numaralarnn tutulduu ortak veritabanlarna erimek bir baka yoldur. Artk, bankalarn
ou SMS uyar hizmeti vermektedir ve buradaki
veritabanlar aratrmaya balamak iin iyi bir
balang olabilir. Tandklar bu tr ilemleri
yapmay kolaylatrarak, mobil numaralar elde
etmeyi kolaylatrabilir.
Sosyal alar dier bir gncel yaklam olup biraz
programlama becerisi gerektirir. Birok insan,
profillerinde mobil numarasna da yer vermektedir. Kk bir ara, belli bir topluluk ya da belli
bir arkada listesindeki tm mobil numaralar
ortaya karabilir.
Bir mobil solucan ya da virs kullanma dier bir
yaklamdr. Bunlar mobil telefondan balant
listesini okuyabilir ve kullanclarn haberi olmadan tm bilgileri merkezi bir sunucuya gnderebilir. Baz bluetooth solucanlar bunu yapabilmektedir.
Yeterince numara elde ettikten sonra, gerek numaralar tespit etmek iin listenin filtre edilmesi gerekir.
Sahte bir gnderici IDsi ile tm numaralara bir metin
mesaj gnderip teslim raporlarn bekleyerek bu i
gerekletirilebilir. Bundan sonra mesajn ulat tm
numaralara e zamanl olarak SMS gnderilebilir.
Bunun iin bir SMPP (Short Message Peer-to-Peer
Protocol) a geidi gereklidir [20]. Gnmzde pekok firmann bu tr hizmetleri verdiini belirtmekte
fayda gryoruz. Bu durum ise ou zaman, gnderilen mesaj saana (SPAM) ve SMS saysnn artmasna ve SMS DoS saldrlarnn yaplmasna olanak
tanmaktadr. Son yllarda ticari ya da reklam amal
olarak, mobil kullanclara gnderilen istenmeyen
mesaj saana saysnda byk art olmutur.
Amerikada mobil telefon kullanclar 2007 ylnda
1.1 milyon mesaj saana alrken, bu rakamn 2008
ylnda 1.5 milyona ulaaca tahmin edilmektedir
[21].
Mobil cihazn gc pili ile snrldr. Bu yzden mobil
cihazlar donanm ve yazlmyla birlikte pil mrnn
uzun olmas iin enerji tketimi en az olacak ekilde
tasarlanrlar. G ynetim sistemleri aktif, bota ve
uykuda olmak zere deiik durumlara sahiptir. Aktif
durumda cihaz, dier iki durumun aksine, eitli
ilemleri yrtmekle meguldr ve bu yzden daha
fazla enerji harcar. Eer bir saldrgan cihaz srekli
aktif durumda tutabilirse, pil mr beklenenden daha
ksa olur [15]. rnein [22] nolu kaynakta MMS
hizmetinin gvenlik andan yararlanarak, mobil
cihazn pilini normalden 2 kat daha hzl bitiren ve
dolaysyla i saati bitiminden nce, mobil cihaz
kullanlamaz hale getiren bir saldrya rnek verilmitir. Mobil cihazn pilini bitirmek iin birden fazla yol
vardr ve bunlar genel olarak ana metot altnda
toplanrlar [23]:
1. A hizmeti istek saldrlar (network service
request attacks), saldrgan hedef cihazn srekli bir
. Sarolu ve H. Bulut
503
. Sarolu ve H. Bulut
504
Mobil teknolojilerin geliim hz ile beraber cep telefonu kullanmnn yksek seviyelere ulat gnmzde, e-devlet uygulamalar ve dier kurumsal uygulamalar mobil cihazlar zerinden verilmeye balanm, mobil ortamlardan faydalanma oran gerek bireysel gerekse kurumsal adan bakldnda hzla artmaktadr. Kullanlan uygulamalar zamanla daha ok
fonksiyonellik iermekte, kullanclara ok daha eitli ve kaliteli hizmet vermekte, bununla beraber, teknik
adan bakldnda uygulama boyutu bymekte ve
karmaklk artmaktadr. Bu ise pek ok gvenlik
a ve uygulama hatasn beraberinde getirmektedir.
Bu yl yaynlanan mobil gvenlik raporuna gre, son
yllarda mobil cihaz reticileri hi olmad kadar
fazla mobil ktcl yazlm saldrlaryla karlamakta ve bunlar atlatmak iin daha fazla zaman ve para
harcamaktadr [38]. Ayrca kurumlarn artk nemli
ve hassas nitelikteki bilgi varlklarn mobil ortamlarda tad gz nne alndnda, bu alandaki
Gazi niv. Mh. Mim. Fak. Der. Cilt 24, No 3, 2009
. Sarolu ve H. Bulut
505
. Sarolu ve H. Bulut
Bugnn mobil gvenlik sistemleri, anti-virs yazlm, gvenlik duvar gibi geleneksel ltlere ek olarak baz mobil ktcl yazlm trlerini engellemek
iin, gelimi uygulama imzalama ve dier yaklamlar kullanmaktadr [36]. Uygulamalarn telefon rehberi dizinine ve dier belirli zelliklere eriimini
engelleme gibi yaklamlar, kullanc ve saldrganlar
iin ktcl yazlm ieren, onaylanmam uygulamalar kurmay daha zor hale getirmektedir. Mobil
kullanclar artk, geleneksel gvenlik ltlerini
uygulamann yan sra bu tr yeni yntemleri takip
edip, gvenlik bilin dzeylerini ykseltmeli ve
cihazlarn gncellemeleri gerekmektedir.
TEEKKR (ACKNOWLEGEMENT)
Bu alma Gazi niversitesi BAP tarafndan desteklenen Mobil Ortamlarda Ktcl Yazlmlar ve
Kar Tedbirler zerine Uygulama Gelitirme
06/2008-49 nolu Gazi niversitesi Bilimsel Aratrma Projesi kapsamnda yaplmtr. Yazarlar, Gazi
niversitesi BAP Bakanlna teekkr eder.
KAYNAKLAR (REFERENCES)
1.
2.
3.
4.
5.
6.
7.
8.
9.
506
http://www.internetworldstats.com/stats.htm
1Q08 Mobile Forecast: Turkey, 20072010,
http://www.researchandmarkets.com/reports/579
867/1q08_mobile_forecast_turkey_2007_2010
Sabit ve mobil telefon kullanclarnn profili
ve eilimlerinin belirlenmesi aratrmas,
Telekomnikasyon Kurumu, Son eriim tarihi:
Austos-2008,
http://www.tk.gov.tr/anket/telkullaniciprofil.htm
Soitinaho J., Security Threats of Mobile Service
User, TKK T-110.5290 Seminar on Network
Security, Helsinki University of Technology,
2007.
Jamaluddin J., Zotou N., Coulton P., "Mobile
phone vulnerabilities: a new generation of
malware", IEEE International Symposium on
Consumer Electronics, 2004, 199-202.
Sun J, Howie D, Koivisto A & Sauvola J A
hierarchical framework model of mobile
security. Proc. 12th IEEE International
Symposium on Personal, Indoor and Mobile
Radio Communication, San Diego, CA, 2001.
Canbek G., Sarolu ., Ktcl yazlmlar,
trleri, snflandrlmas ve gncel yazlmlar,
Bilgi ve Bilgisayar Gvenlii: Casus
Yazlmlar ve Korunma Yntemleri, Grafiker
Yaynclk, 213-253, 2006.
Calder A., Watkins S., It Governance: A
Manager's Guide to Data Security & BS
7799/ISO 17799, Kogan Page, pp.14, 163,
September 1, 2003.
Grimes R. A., Malicious Mobile Code, O'Reilly,
pp.3, 201-203, 226-228, 238-244, 467-468,
August 1, 2001.
. Sarolu ve H. Bulut
507