Gray Key'in Doğuşu

Tuncay ÖZER Tuncay ÖZER


Nisan 2019 Siber Güvenlik (12) 0


Gray Key'in Doğuşu

    2 Aralık 2015 tarihinde, ABD’nin California eyaletinde, San Bernardino bölgesinde 14 kişinin öldüğü 22 kişinin de yaralandığı bir “terör saldırısı” yaşanır. İsimleri Syed Rizwan Farook ve Tashfeen Malik olarak açıklanan, karı koca olan zanlıların kaçtığı araç saldırı olayından dört saat sonra polisler tarafından tespit edilir. Polisler ve saldırganlar arasında gerçekleşen silahlı çatışmada zanlılar öldürülür.

    Saldırganlardan Syed Rizwan Farook’un iPhone 5C model telefonu ABD Federal Soruşturma Bürosu (FBI) tarafından ele geçirilir. Birçok delil barındırabileceği düşünülerek iPhone 5C model telefonun kilidi FBI güvenlikbirimleri tarafından açılmaya çalışılır. 9 Şubat 2016 tarihinde FBI, kullanılan şifreleme teknolojilerinden dolayı iPhone’nun kilidini açamadığını duyurur. FBI, telefonun parolasını kırmak için ilk olarak Ulusal Güvenlik Ajansı’na (NSA) başvurur, buna karşılık NSA suçlular tarafından daha sık kullanılan modeller üzerinde böyle bir yetkinliklerinin olduğunu ancak iPhone üzerinde olmadığını belirtir. Sonuçta iPhone model telefonun güvenliğinin aşılması için Apple’ın yardımına ihtiyaç duyulur. iPhone model telefonlarda herhangi bir dosyaya ulaşmak için PIN kodu gereklidir. Standart iPhone’lar da PIN kodunun 10 kez yanlış girilmesi halinde telefon içinde yer alan bilgiler silinir ve fabrika ayarlarına geri dönülür. Bu güvenlik önleminden dolayı, FBI verileri kaybetmemek adına teknoloji devi Apple’dan telefona erişebilmek için iOS işletim sistemine arka kapı açmalarını ister. Yeni bir yazılım güncellemesi durumunda telefonların PIN kodunun 10 kez yanlış girilmesi halinde verilerin silinmesi özelliğinin engellenmesi söz konusu olabilecektir.

     Apple, FBI’ın bu talebine “Hayır” yanıtını verir. Adalet Bakanlığının kendisine baskı uygulamasına rağmen, Apple dijital ortamın mahremiyetini savunur ve yapılan zorlamalara karşı durur. Bunun ardından 28 Mart’ta Adalet Bakanlığı, FBI’ın iPhone’un kilidini açtığını ve Apple’dan iPhone parolasını kırma isteğini geri çektiğini açıklar. Dijital ortamın devleri Facebook, Twitter ve Google birbirlerine rakip de olsalar Apple’dan desteğini esirgemez. FBI, San Bernardino zanlısının radikal İslamcı örgütlerle bağlantılı olabileceği tahminiyle ulusal güvenlik adına böyle bir istekte bulunmuş, ancak Apple da diğer kullanıcıları düşünerek böyle bir güncellemenin sonuçlarının herkesi tehlikeye atacağını ve kişisel bilgi güvenliğine zarar vereceğini savunmuştur. Soruşturma süresi uzarken FBI’ın beklenmedik bir şekilde davadan çekilmesinin nedeni ise bir iddiaya göre İsrailli Cellebrite firmasının San Bernardino zanlısı Syed Rizwan Farook’un iPhone’unun kilidini açmak için FBI’a yardım ettiğidir. Cellebrite cihazlara erişmek için yüksek ihtimalle iOS güvenlik açıklarını kullanmaktadır. Cellebrite şirket içi kilit açma hizmeti sunan bir firmadır. Bu işlem için de cihaz başına 5000 dolar gibi bir ücret talep etmektedir. ABD hükümetinin mobil cihazların kilidini açması konusunda tercih ettiği şirket olan Cellebrite, müşterilerine iOS 11 çalıştıran cihazların güvenliğini aşma yeteneğine sahip olduğunu belirtmektedir. Cellebrite yüksek olasılıkla bir veya daha fazla iOS açığını kullanarak cihazlara erişim elde etmektedir. Forbes’e açıklama yapan polis teşkilatında görevli bir adli bilişim uzmanı, iPhone 8 model telefonların kilidinin Cellebrite tarafından açılabildiğini, aynı tekniğin iPhone X modeli için de geçerli olduğunu belirtir. Bunun üzerine Apple, kullanıcılarına güvenlikleri için en son işletim sistemini indirmeleri gerektiğini duyurur. 2017’nin sonlarına doğru cihazlara erişim sağlama alanında tek olan Cellebrite şirketine rakip bir başka şirketin ismi gündeme gelir. Daha önce 2016 yılında Atlanta, Georgia da Grayshift adında 50’den az çalışanı olan özel bir şirket kurulur. Eski bir Apple güvenlik mühendisi ile ABD istihbaratından bazı yöneticileri içeren bir ekip GrayKey adlı kutuyu geliştirir. Sadece kolluk kuvvetleri ve teknoloji laboratuvarlarında kullanılmasına izin verilen GrayKey kutuları kilitli iPhone’ları kırma konusunda oldukça başarılıdır. GrayKey’in gizli kalması düşünülmektedir ama ürünün bir görüntüsü anonim kişiler tarafından internet ortamına sızdırılmıştır. Grayshift sitesi üyeliği sadece kolluk kuvvetleriyle sınırlayan ve üyelerin kimliklerini kontrol eden bir portal tarafından yönetilmektedir. Bu sebeple bu web sitesinden de bilgi almak mümkün değildir. Forbes’a göre, GrayKey’i, Cellebrite’tan ayıran en önemli özellik kullanımın tamamen firmadan bağımsız olmasıdır. Sürecin tamamı müşteri olan kolluk kuvvetlerine bırakılır ve bu sayede Cellebrite’ın sunduğu şirket içi modelinden ayrılmaktadır. Anonim bir kaynak sayesinde, GrayKey’in neye benzediğinin yanı sıra nasıl çalıştığı da artık bilinmektedir. GrayKey, kolluk kuvvetleri için iyi bir teknoloji olsa da önemli riskler sunar.

GrayKey Nasıl Çalışır?

    GrayKey kutusu, kilitli iPhone’ların yanı sıra iPad, iPod gibi iOS destekli cihazlarla bağlantı kurarak Apple ürünlerine erişim elde etmektedir. Aynı anda iki iPhone’u kutuya bağlamak için kullanılabilecek iki Lightning kablosuna sahip olan cihaz, 4x4x2 inç ebatlarındadır. Cihazlar kutuya takıldıktan sonra iki dakikalık bir ön okuma süreci başlar. Bu süreç tamamlandıktan sonra cihaza bağlı iPhone’ların kutuyla bağlantıları geçici bir süre kesilir. Akabinde, parola kırma işlemi başlatılır ve bu işlem de tamamlandıktan sonra cihazların ekranında çözülen PIN değerleri ve bu işlem için geçen süre gösterilir. Parola kırma işleminde geçen süre parola değerlerinin uzunluğuna göre değişkenlik göstermektedir. Örneğin; dört haneli iPhone PIN’lerini ortalama iki ya da üç saat içinde, altı haneli iPhone PIN’lerini ortalama 11 saatte, altı haneden fazla PIN’leri ise daha uzun sürelerde açabilmektedir. Parola kırma işleminden sonra, cihazın tüm dosya sistemi GrayKey kutusuna indirilir. Daha sonra GrayKey kutusuna bağlı bir bilgisayar sayesinde web tabanlı arayüz kullanılarak cihaza ait tüm verilere erişim sağlanır. Aşağıdaki ekran görüntüsünde de görüldüğü üzere iOS 11.2.5 sürümüne kadar sorunsuz bir şekilde çalışmaktadır. Hatta GrayKey kutusunun son sürüm bir iPhone X’e ait yüksek güvenlikli kilidi bile açtığına dair iddialar vardır. GrayKey kutusunun çevrimiçi ve çevrimdışı olmak üzere iki modeli bulunmaktadır. Yaklaşık 300 kere kullanılabilen çevrimiçi modelin fiyatı 15.000 dolardır. Doğrudan internete bağlı olan bu model için elde edilen bütün ve riler bilgisayarlar tarafından erişilebilir olur, ancak bu veriler GrayKey kutusunun kendi hafızasında saklanır. Bu durum da cevabı henüz net olmayan “GrayKey kutusu parolasını kırdığı iPhone’un verilerini güvenli bir şekilde saklıyor mu” sorusunu gündeme getirir. Fiyatı yaklaşık 30.000 dolar civarında olan internete bağlanmadan kullanılabilen modelinde ise kullanım hakkı sınırsızdır.

Apple’ın GrayKey’e Karşı Aldığı Önlem

Apple, iOS’taki güvenlik önlemlerini artırarak bu hizmeti engelleyeceğini duyurur. Apple iOS 11 güncellemesiyle yeni USB kısıtlama modu geliştirmiştir. iOS 11.3’ten beri testte olan, ancak iOS 12 beta sürümüyle varsayılan olarak etkinleştirilmiş bir özelliktir. GrayKey gibi araçlara engel olmak için geliştirilmiştir. Kilitli iPhone, iPad, iPod Touch cihazların PIN’leri bir saat boyunca girilmez ise otomatik olarak Lightning bağlantısı esnasında veri aktarımı kapanmakta ve cihaz sadece şarj edilebilir özelliğiyle kalmaktadır. iOS 12 ile USB kısıtlama modu daha da geliştirilmiştir. Ama GrayKey kutusunu önlemek için yeterli değildir, her ne kadar herhangi bir görüntü olmasa da Grayshift, iOS 12 Beta sürümünde bu önlemi aştığını iddia etmiştir.

Kaynak : https://thinktech.stm.com.tr

J. Clover, «‘GrayKey’ iPhone Unlocking Box No Longer Works After iOS 12 Update,» 24 10 2018. [Çevrimiçi]. Available: https://www.macrumors.com/2018/10/24/graykey-iphone-unlocking-box-disabled-by-ios-12/. [Erişildi: 14 03 2019].