şahsi dataların çalınmasında ‘PDF’ ayrıntısı STM’nin teknolojik fikir merkezi “ThinkTech”, nisan-haziran dönemini kapsayan yeni Siber Tehdit Durum Raporu’nu deklare etti.
13 husus başlığının yer aldığı raporda, günlük işlerin çoğunun yapıldığı taşınabilir aygıtların güvenliğini gaye alabilecek kimi hücumlara ve bunlara karşı geliştirilen tedbirlere yer verildi.
Raporda, taşınabilir aygıtlardaki güvenlik uygulamalarına yönelik gerçek dünya akınlarının büyük bir kısmının yan kanal tahlili (Side Channel Analysis-SCA) yolunu izlediği açıklandı.
Kelam konusu taarruzlarda, bir çipin güç tüketimi, elektromanyetik yayılımları yahut bir işlemcinin reaksiyon mühleti üzere fizikî niceliklerinin ölçülüp, işlendiğine dikkati çekilirken, giderek daha ucuz hale gelen süreç gücü yardımıyla, aktüel hücumlarda yan kanal tahlili için ileri makine öğrenmesi ve derin öğrenme algoritmalarının kullanıldığı kaydedildi.
Bir yan kanal tahlil tekniği olan TEMPEST’e değinilen raporda, akıllı telefonlardaki hareket sensörü aracılığıyla kullanıcının tuş vuruşlarının bu yolla kolay kolay algılanabildiği, içeriği bir bilgisayardan yahut öbür bir ekrandan çarçabuk saptanabildiği tabir edildi. Yan kanal tahlili kullanılarak yapılan akınların, taşınabilir aygıtlar için büyük bir tehdit oluşturduğu vurgulandı.
PDF’LERDE GÜVENLİK AÇIĞIYLA FERDÎ BİLGİLER ÇALINABİLİYOR
STM raporunda, akademik makaleler, faturalar, kontratlar ve yazıların çarçabuk paylaşıldığı, dünyada en yaygın kullanılan doküman alışverişi formatı?PDF’nin (Portable Document Format) arka niyetli kullanması da ele alındı. Hem mobil tıpkı vakitte web ortamlarında kullanılabilen PDF’lere yönelik 4 farklı atak tipi incelendi. Bunlar şöyleki sıralandı:
– Denial of Service (DoS) Taarruzları: PDF evrakının açıldığı bilgisayarın kaynaklarını tüketen ataklar,
– Bilgi İfşası Taarruzları: PDF dokümanının açıldığı bilgisayar ve sahibi hakkında bilgiler toplayan hücumlar,
– Bilgi Manipülasyonu Taarruzları: PDF evrakındaki ve belgenin açıldığı bilgisayardaki dataları değiştirebilen yahut maskeleyebilen akınlar,
– Kod Çalıştırma (Code Execution) Atakları: PDF evrakının açıldığı bilgisayarda gizlice kod çalıştırabilen hücumlar.
Raporda bu taarruzlara karşı alınabilecek tedbirler de sıralandı. Buna nazaran, DoS taarruzlarına niçiniyet veren sonsuz döngülere tahlil olarak PDF işleme standartlarının güncellenmesi, PDF formatı kendine referans verebilen objelerden arındırılması, standartların güncellenmesiyle içerik maskeleme ataklarının da önlenmesi gerektiği vurgulandı. Ayrıyeten raporda, PDF sürece araçlarının erişebilecekleri sistem kaynakları bakımından da kısıtlanması gerektiği, JavaScript tabanlı taarruz varyantlarının sıklığı sebebiyle PDF belgelerinin JavaScript’ten büsbütün arındırılması ya da PDF evraklarında kısıtlı miktarda JavaScript programlama kapasitesine erişim verilmesi gerektiği söz edildi.
AKILLI TELEFONLARA YÖNELİK YENİ ATAK METODU: “CHARGER-SURFİNG”
Hava alanları, oteller, parklar, hastaneler üzere genel kullanıma açık alanlardaki fiyatsız yahut fiyatlı şarj istasyonlarının sayısındaki artışa dikkati çekilen raporda, bu tıp şarj alanlarındaki USB orta yüzlerinin sağladıkları kolaylığa karşın, kullanıcının denetimi altında olmadığından biroldukça tehlikeyi de birlikteinde getirdiği kaydedildi.
Raporda, akıllı telefonların güç sızıntısından yararlanan yeni bir taarruz metodu olan Charger-Surfing’e işaret edilerek, dokunmatik ekranda oynatılan animasyonların pozisyonunu ortaya çıkarmak ve kullanıcının parolası gibi hassas ayrıntıları çalmak için izlenen bu prosedürde, şarj olan bir akıllı telefonun güç izleri üzerinden sinyal sürece sayesinde hangi düğmelere basıldığının belirlendiği açıklandı.
Atağın gerçekleştirilmesi için, taşınabilir ve düşük maliyetli bir güç izi dinleme aygıtının kullanıcıdan habersiz biçimde şarj istasyonuna yerleştirilmesinin kâfi olduğu belirtilen raporda, bu yolla 4 basamaklı bir giriş parolasının yüzde 99,3, 6 basamaklı bir parolanın ise yüzde 96,9 doğrulukla tespit edilebildiği kaydedildi.
13 husus başlığının yer aldığı raporda, günlük işlerin çoğunun yapıldığı taşınabilir aygıtların güvenliğini gaye alabilecek kimi hücumlara ve bunlara karşı geliştirilen tedbirlere yer verildi.
Raporda, taşınabilir aygıtlardaki güvenlik uygulamalarına yönelik gerçek dünya akınlarının büyük bir kısmının yan kanal tahlili (Side Channel Analysis-SCA) yolunu izlediği açıklandı.
Kelam konusu taarruzlarda, bir çipin güç tüketimi, elektromanyetik yayılımları yahut bir işlemcinin reaksiyon mühleti üzere fizikî niceliklerinin ölçülüp, işlendiğine dikkati çekilirken, giderek daha ucuz hale gelen süreç gücü yardımıyla, aktüel hücumlarda yan kanal tahlili için ileri makine öğrenmesi ve derin öğrenme algoritmalarının kullanıldığı kaydedildi.
Bir yan kanal tahlil tekniği olan TEMPEST’e değinilen raporda, akıllı telefonlardaki hareket sensörü aracılığıyla kullanıcının tuş vuruşlarının bu yolla kolay kolay algılanabildiği, içeriği bir bilgisayardan yahut öbür bir ekrandan çarçabuk saptanabildiği tabir edildi. Yan kanal tahlili kullanılarak yapılan akınların, taşınabilir aygıtlar için büyük bir tehdit oluşturduğu vurgulandı.
PDF’LERDE GÜVENLİK AÇIĞIYLA FERDÎ BİLGİLER ÇALINABİLİYOR
STM raporunda, akademik makaleler, faturalar, kontratlar ve yazıların çarçabuk paylaşıldığı, dünyada en yaygın kullanılan doküman alışverişi formatı?PDF’nin (Portable Document Format) arka niyetli kullanması da ele alındı. Hem mobil tıpkı vakitte web ortamlarında kullanılabilen PDF’lere yönelik 4 farklı atak tipi incelendi. Bunlar şöyleki sıralandı:
– Denial of Service (DoS) Taarruzları: PDF evrakının açıldığı bilgisayarın kaynaklarını tüketen ataklar,
– Bilgi İfşası Taarruzları: PDF dokümanının açıldığı bilgisayar ve sahibi hakkında bilgiler toplayan hücumlar,
– Bilgi Manipülasyonu Taarruzları: PDF evrakındaki ve belgenin açıldığı bilgisayardaki dataları değiştirebilen yahut maskeleyebilen akınlar,
– Kod Çalıştırma (Code Execution) Atakları: PDF evrakının açıldığı bilgisayarda gizlice kod çalıştırabilen hücumlar.
Raporda bu taarruzlara karşı alınabilecek tedbirler de sıralandı. Buna nazaran, DoS taarruzlarına niçiniyet veren sonsuz döngülere tahlil olarak PDF işleme standartlarının güncellenmesi, PDF formatı kendine referans verebilen objelerden arındırılması, standartların güncellenmesiyle içerik maskeleme ataklarının da önlenmesi gerektiği vurgulandı. Ayrıyeten raporda, PDF sürece araçlarının erişebilecekleri sistem kaynakları bakımından da kısıtlanması gerektiği, JavaScript tabanlı taarruz varyantlarının sıklığı sebebiyle PDF belgelerinin JavaScript’ten büsbütün arındırılması ya da PDF evraklarında kısıtlı miktarda JavaScript programlama kapasitesine erişim verilmesi gerektiği söz edildi.
AKILLI TELEFONLARA YÖNELİK YENİ ATAK METODU: “CHARGER-SURFİNG”
Hava alanları, oteller, parklar, hastaneler üzere genel kullanıma açık alanlardaki fiyatsız yahut fiyatlı şarj istasyonlarının sayısındaki artışa dikkati çekilen raporda, bu tıp şarj alanlarındaki USB orta yüzlerinin sağladıkları kolaylığa karşın, kullanıcının denetimi altında olmadığından biroldukça tehlikeyi de birlikteinde getirdiği kaydedildi.
Raporda, akıllı telefonların güç sızıntısından yararlanan yeni bir taarruz metodu olan Charger-Surfing’e işaret edilerek, dokunmatik ekranda oynatılan animasyonların pozisyonunu ortaya çıkarmak ve kullanıcının parolası gibi hassas ayrıntıları çalmak için izlenen bu prosedürde, şarj olan bir akıllı telefonun güç izleri üzerinden sinyal sürece sayesinde hangi düğmelere basıldığının belirlendiği açıklandı.
Atağın gerçekleştirilmesi için, taşınabilir ve düşük maliyetli bir güç izi dinleme aygıtının kullanıcıdan habersiz biçimde şarj istasyonuna yerleştirilmesinin kâfi olduğu belirtilen raporda, bu yolla 4 basamaklı bir giriş parolasının yüzde 99,3, 6 basamaklı bir parolanın ise yüzde 96,9 doğrulukla tespit edilebildiği kaydedildi.