Hack’lenemeyen Cihazlar
23 Mayıs 2019 Perşembe
80’li yillarda tanistigimiz Görevimiz Tehlike dizisinin tutkunlari su sahneyi hemen hatirlayacaktir: Takim lideri Jim’e o yillarin yeni teknoloji harikasi CD ile yeni bir görev bildirimi yapildiktan sonra dijital bir ses “Bu disk bes saniye içinde kendi kendini yok edecektir” uyarisini yapar ve bes saniye sonra disk arkasinda dumanlar biraka biraka yok olur.
Geçenlerde Alman mühendisler tam da bu klasik sahneyi animsatacak bir bulusa imza attilar. Mühendisler son derece güvenli yeni bir dijital zarf üretmeyi basardilar, öyle ki bu zarf içindeki veriye sizma ihtimali oldugunda veriyi yok ederek hack’lenmesini imkânsizlastiriyor. Fraunhofer Uygulamali ve Entegre Güvenlik Enstitüsü’nden (AISEC) Vincent Immler, Johannes Obermaier ve Jan Koenig’in de dahil oldugu ekip bu üstün güvenlikli veri saklama zarflarini Washington’da gerçeklesen Donanim Odakli Güvenlik ve Güven Sempozyumu (IEEE-HOST)’nda tanitti.
Bu cihazda modern kripto cihazlarinda oldugu gibi sifreli anahtarlar depolaniyor ya da açilabiliyor, tek fark burada casus filmlerinde görülebilen o x-isinlari, milimetrik matkaplarla delme, elektromanyetik yöntemlerle hack’lemek gibi denemeler ise yaramiyor.
Donanim güvenlik modülü (HSM) olarak adlandirilan bu aygit, içerisinde mikrometre boyutunda kablolarla döseli gücü pilinden alan özel bir katman tarafindan korunuyor. Içindeki sifreli veri, cihazin degisken hafizasinda saklaniyor. Cihazin bu degisken hafizasi üzerinde kirabilmek için 1 dakika bile ugrasilsa kendini hemen siliyor. Cihaz disaridan da koruma kaplamasi ile güvenligi artirilmis fiziksel bir formda geliyor. Örnegin milimetrik matkaplarla en ufak delik açmak bile içeride kisa devreye sebep olurken elektromanyetik müdahaleler de sistem tarafindan aninda tespit ediliyor.
Müdahale Aninda Veri Yok Oluyor
Daha önce birileri HSM’lerden birine sizabildi mi veya sistem hacklendi mi bunu bilmek güç çünkü böyle bir sey olduysa da firma muhtemelen bundan bahsetmek istemeyecektir. Fakat, Almanya Münih’ten üç mühendis, HSM’lerin daha iyilerini yapabileceklerini söylüyor. Bu gelistiriciler, mevcut sistemdeki pillere ve hafizaya mecbur olan düzenin potansiyel bazi problemler dogurdugunu düsünüyor.
AISEC Direktörü ve Münih Teknik Üniversitesi Bilgi Teknolojileri Güvenlik Baskani Georg Sigl’e göre direnç degistiren bir müdahale, cihazdaki gizli veriyi aninda yok ediyor. Ancak HSM’nin bataryasi burada kritik rol oynuyor. Eger batarya biterse; geçmis olsun. Içeride ne varsa yok oldu diyebiliriz. Bu durumda sistemin bilgileri saklama ömrü pilin ömrüyle kisitli olmus oluyor. Bataryaya bu hayati baglilik, sistemin çalisabilecegi ortamlari sinirliyor. Pilin sarj olmasi için de güvenli bir bilgisayar merkezine gidilmeli. Cihazin merkeze yolculugu esnasinda çok soguga maruz kalirsa batarya ölebilir ya da içeride devreler istenmeyen bir islem yapabilir. Böyle bir islem olursa sistem sifreli anahtarlari yok edebilir ki bunlar HSM’nin içine gömülü anahtarlardir ve silinirlerse geri dönüsü olmayan yola da girilmis demektir. AISEC’in Fiziksel Güvenlik Baskani Matthias Hiller’e göre, kararli bir ortam arayisi bu cihazin kolayca transfer edilebilmesini zorlastiriyor, mesela hareket halindeki araçlarda ya da insanin üzerinde tasinamiyor.
Sistem Kapaninca Çalinabilecek Veri Olmuyor
Bu sorunlara çözüm olarak B-Trepid ismi verilen bir katman gelistirildi. Burada B-Trepid, sistemin olusturdugu sifreli anahtar ile zarfin kendi yapisinin bizzat olusturdugu sifreli anahtari degistiriyor. Artik zarfin ürettigi dirençler ile (batarya kullanarak) yaratilan sifre yerine B-Trepid, zarfin distan içe katmanlari arasindaki direnç farklarini hesaplayarak ortaya yeni bir sifreli anahtar çikariyor. Bu femtofarad dirençler zarftan zarfa (incecik katmanlar olarak düsünülebilir) aktarilirken tahmin edilemez yollar kullaniyor ve her zarfin kopyasi olmayan benzersiz bir imzasi olmus oluyor. Pratikte nasil olusturuldugu belirsiz olan bu imza klonlanamaz hale gelip bir kriptografik anahtar formunu aliyor.
B-Trepid bir bilgisayar agina baglanip açildiginda sistem içinde görülebilir ne kadar veri varsa hepsini korumak için bu klonlanamayan anahtar sifreden olusturuyor. Sistem kapali oldugunda ise bir anahtar olusturmuyor, dolayisiyla çalinabilecek bir veri de olmuyor. Böylece sistem sonraki ag baglantisi yapilana kadar kapali kaldigi sürece hiç batarya harcamamis oluyor. Fiziksel bir müdahale yapildiginda ise (Sigl’in ekibi 0.3 mm’lik bir matkapla iç devrelere ulasmak için cihazi delmeye çalisti) dirençler ve kapasiteler aninda degisiyor. Bu degisim ise içerideki herhangi bir veriyi otomatik olarak okunamaz hale getiriyor. Sigl su an bu hack’lenemez veri saklama kutularinin prototiplerini ürettiklerini ve konseptin düzgün çalistigini söylüyor. Sirada zarfin seri üretimine geçmek ve bilisim sistemlerine entegrasyonunu saglamak için gelistirmeye devam etmek var. Yakinda daha zor kirilabilen, daha karmasik devrelerin ve mühendisliklerin korudugu güvenlik sistemlerine sahip olmamiz mümkün görünüyor.
Rübik Küp Gibi Çözülmesi Güç Bilgisayar
Aslinda hack’lenemeyen cihazlar fikri yeni degil. Pek çok alandan uzmanlar benzer cihazlar gelistirebilmek için uzun zamandir çalismalar yapiyor. The Defense Advanced Research Projects Agency’nin (DARPA) 3.6 milyon dolarlik hibesi sayesinde Michigan Üniversitesi arastirmacilari, hack’lenmesi zor bir bilgisayar üzerinde çalisiyor örnegin. 2018’in bahar aylarinda DARPA, Sistem Güvenligi Entegre Donanim ve Yazilim (SSITH) programini duyurdu. Adindan da anlasilacagi gibi, programin misyonu, donanim düzeyinde uygulanan siber güvenlik çözümleri yaratmak. Michigan Üniversitesi’nin MORPHEUS projesi adindaki güçlendirilmis bu bilgisayari da, SSITH programinda hibe almis dokuz fikirden biri.
Üniversite ekibi, bilgileri hizli ve rastgele hareket ettirebilen ve imha edebilen bir bilgisayar yaratmayi planliyor. Bu yöntem, hacker’lardan hayati verileri gizleyebilir ve siber saldirilarinin basarisini azaltabilir.
ECNMag’de yer alan makalede, MORPHEUS Projesi lideri, Michigan Üniversitesi Bilgisayar Bilimi ve Mühendisligi Profesörü Todd Austin, “Bilgisayari çözülemeyen bir bulmaca gibi tasarliyoruz. Bir rübik küp çözmeye çalistiginizi düsünün, gözünüzü her kirptiginizda tekrar karistiriyoruz” diyor ve ekliyor: “Projeyle ilgili asil heyecan verici olan sey, yarin karsilasabilecegimiz zayif, hassas noktalari simdiden düzeltebilmesi.”
Apple, Hack’lenemeyen Telefon Üzerinde Çalisiyor
Hack’lenemeyen cihaz üretimiyle ilgilenen bir baska kurum da Apple. Apple’a yakin bazi kaynaklar, 2016’da kendilerinin bile bilgilere ulasamayacaklari bir telefon üretmeyi hedeflediklerini açiklamisti. FBI, San Bernardino saldirganlarindan Syed Farook’a ait olan iPhone’un bilgilerine ulasmak için Apple’dan yardim istemis, sirket ise bu talebi yerine getirmeyecegini açiklamisti. Bunun üzerine FBI, Apple’in güvenlik önlemlerini geçmek için mahkeme emri çikartmis, Apple ise bunun diger müsterilerinin gizliligini tehlikeye atacagi için emri uygulamayacagini açiklamisti. New York Times’da yer alan habere göre ise Apple bugünlerde ülkede bazi güçleri karsisina alsa da iPhone’u hack’lenemeyecek bir forma getirmek için ugrasiyor. Firma bunun için hem yazilimsal hem donanimsal bir gelistirme içinde.
Siber Güvenlik Sirketi Suçlularla Isbirligi Yapti
Bu arada Ekim 2017’de Kanada’da ilginç bir gelisme yasandi. Siber güvenlik sirketi Phantom Secure’un CEO’su olan Vincent Ramos, suçlulara uyusturucu kaçakçilarina hack’lenemeyen Blackberry telefonlar sattigi iddiasiyla gözaltina alindi. Güvenlik seviyesi, fabrika çikisli bir Blackberry’den daha üst düzey olan bu akilli telefonlar, suç örgütlerince güvenlik güçlerinin radarina girmeden islerini yürütmek için kullaniliyor.
Bitcoin Için Hack’lenemeyen Telefon
Öte yandan Dünya Mobil Cihazlar Konferansi 2018’de SIKURPhone markali bir Android cihaz ilk “hacklenemeyen akilli telefon” iddiasiyla tanitildi. Cihazi üreten firma SIKUR’un açiklamasina göre 800 dolara satilacak bu cihaz özellikle Bitcoin ve diger kripto paralar için hack’lenemeyen cüzdanlar kullanacak. Bitcoin ticaretinde henüz hiçbir akilli cihazin iddia edemedigi tamamen güvenli olma iddiasini tasiyan cihaz kripto borsalarinda islem yapanlar için fiyati ile iPhone X’in rakibi olabilecegini gösteriyor.
Temassiz ATM, Hirsizliklarin Önüne Geçecek
Güvenlik ve hizli destek süphesiz banka ATM’leri için en önemli kriterlerden. Bugün elektrige erisimi olan hemen her yerlesim noktasinda insanlarin en yogun kullandigi ve aslinda birer akilli makine olan ATM’ler çesitli güvenlik tehditleriyle mücadele ediyor. Kullanicilarinin varliklarini korumak için PIN (sifre), biyometrik tarama gibi çesitli önlemleri olan ATM’lerde en büyük güvenlik açigi kart kopyalanmasina çare bulamamasi. En azindan bazi ATM’lerde bu güvenlik açigi yüzünden yüzlerce müsterinin kredi kartlari ATM’ye takildigi an içindeki bilgiler ve sifreler baska bir karta dijital olarak kopyalanabiliyor. Bu soruna çözüm olarak biyometrik veri ve mobil cihaz birlesiminden dogacak yeni bir onay sistemi öne sürülüyor. Güvenlik sirketi Veridium’un internet sitesindeki habere göre, artik bankalar akilli telefonumuzun bir QR kodu okumasi ile çalisan, ATM’ye dokunmadan yüzümüzü taniyacak sensörler ile güçlendirilmis bir sistem ile para alisverisine imkân verecek. ATM ekraninda bir defaya mahsus görüntülenecek ve ekranda 10 saniye kalacak özel QR kodu, cep telefonumuzun kamerasi taniyacak ve sisteme giris izni alabilecegiz. Ardindan yine ATM’ye dokunmadan bankacilik islemini mobil uygulama üzerinden gerçeklestirmek mümkün olacak. Bu sistemde kart olmadigi için kopyalanacak bir sey de olmayacak ve en azindan en yaygin ATM hack’leme yöntemi olan kart üzerinden dijital bilgi hirsizliginin önüne geçilmis olunacak.
Kuantum Cihazlar Daha Güvenli Baglanacak
Physical Review Letters’da yayimlanan bir makalede, bilim insanlari, üç ya da daha fazla kuantum cihazin güvenli bir sekilde iletisim kurmalarinin yeni yolunu anlatiyor. www.techexplorist.com sitesine konusan makalenin basyazari Dr. Ciarán Lee, “Kuantum bilgisayarlar tam olarak gelistirildiklerinde, güvenligi sadece matematiksel varsayimlara dayanan günümüz sifrelemelerinin çogunu yikacaklar” diyor. Peki bu güvenli iletisim nasil kuruluyor? Öncelikle kuantum cihazlarin güvenligi test ediliyor. Ardindan da cihazlar arasindaki baglantinin kuantum olup olmadigina ve baska bir yöntemle baglanamayacagina bakiliyor. Bu baglantilar, yazismalari karistiracak anahtarlari olusturmak için kullaniliyor. Anahtarlar öyle güvenli ki hiçbir programci içerige sizamiyor.
Kirilamayan Bilgisayar Çipi
2017’nin Agustos ayinda da New York Üniversitesi Abu Dhabi’den (NYU Abu Dhabi) arastirmacilar, bilgisayar donanimlarinin savunmasini desteklemek için hack’lenemeyen bir bilgisayar çipi gelistirdiklerini duyurmustu. NYU Abu Dhabi Mükemmelliyet Tasarimi Laboratuvari Yöneticisi Özgür Sinanoglu, Trojan olarak adlandirilan kötücül yazilimlarin bazen fabrikalarda ya da üretim laboratuvarlarinda bilgisayarlara fiziksel olarak yüklenebildigini ve bunun arka planda cihazlara serbest erisime olanak tanidigini belirtiyor. Gelistirilen bu çip ise gizli bir anahtara sahip ve bu erisimi engelleyebiliyor ve sadece yetkilendirilmis kullanicilar için islevsellik sagliyor. Sinanoglu, “Gizli anahtar olmadan çipler islevsel hale gelmiyor” diyor.
Kaynak : https://thinktech.stm.com.tr
https://spectrum.ieee.org/tech-talk/computing/hardware/the-unhackable-envelope
https://www.ecnmag.com/blog/2017/12/unhackable-computer-currently-under-development
https://www.veridiumid.com/blog/creating-an-unhackable-atm/
https://www.techexplorist.com/step-forward-toward-secure-unhackable-quantum-network/10474/
