POLNET Nasıl Hackleniyor?

Merhaba,

Bu içeriği sabah sosyal medya’da gördüğüm bir haber üzerine yazmaya karar verdim. Haskoloğlu’nun bu haberine göre hackerlar POLNET’i hacklemişler.

Ancak bu hack operasyonunun önemli bir özelliği var, o da sürekli olarak sızıntının devam etmesi. Yani verilerimiz pek çok kere çalındı daha önce. Ancak bunların bir çoğu süreklilik arz etmeyen sızıntılardı. Yani birisi verilere erişmiş, verileri bir yere kopyalamış ve sistemden dışarı çıkarmış. Ancak bu vakada durum böyle değil. Sistem üzerinde açık bir kanal var ve bu kanal vasıtasıyla “saldırganlar sisteme istedikleri anda ulaşabiliyorlar”. Bu çok önemli fark.

Bu içerikte bu sızıntıların nasıl olabileceğini, potansiyel zaafların neler olduğunu açıklamaya çalışacağım canlı bir örnek üzerinden.

Bunun için aşağıdaki içeriği, yani eski İçişleri Bakanı Süleyman Soylu’nun tanıttığı uygulamayı ve bu uygulamanın sahip olduğu zaafları kullanacağız. Tehlikeli olabilecek bilgileri açıklamadan, videoyu izleyen saldırganların nasıl stratejiler üretebileceğini ve nasıl önlemler alınabileceğini anlatmaya çalışacağım. Belki içlerinden birileri okur da feyz alır bu iş bilmezler.

İçerikte iki çok önemli güvenlik zaafiyeti gözüme çarpıyor, diğerleri o kadar önemli değil. Teker teker bu zaafiyetlerin neler olduğundan ve nasıl önlemler alınabileceğinden bahsedeceğim.

Zaafiyet 1: Telefon Modeli

Uygulama İphone marka bir telefon üzerinde yüklü. Bu da şu anlama geliyor kısaca. Devletin hassas verilerini aynı zamanda Amerikan hükümetiyle paylaşıyorsunuz.

Nasıl önlemler alınabilir?

Bu işlemler yerli telefon modelleri üzerinden ilerlemelidir. Hatta kullanılan ağ dahi baz istasyonlarında dolaşıma girmemeli, haberleşme veri dolaşımı uydu bağlantısı yoluyla yapılmalıdır. Bu sayede kısmen hassas veriler yabancı istihbarat ajanslarının elinden kurtulabilir.

Zaafiyet 2: Yetkilendirme Sistemi

İçerikte Süleyman Soylu sağ tarafında oturan sosyal medya fenomeninin fotoğrafını çekiyor, daha sonra bir yerlere gönderiyor, ardından server gönderilen resmi işleyip bir cevap dönüyor. Buradan da şunu anlıyoruz; İçişleri bakanının kullandığı uygulama geleneksel yetkilendirme yöntemlerini kullanıyor, yani bir tür basit token sistemi var.

Bu tür saldırılarda iki önemli aşama vardır. Saldırgan öncelikle nereye saldıracağını belirlemelidir. Ardından ikinci aşama da saldırının kendisidir. Bu içerikte Süleyman Soylu saldırganları hiç uğraştırmadan ilk aşamayı saldırganlara kendi eliyle veriyor. Yani diyor ki saldırganlara; yetkilendirme sistemimiz geleneksel bir sistem ve saldırmanız gereken kısım token’lar. Token’iniz varsa her şeyi yapabilirsiniz.

Neler yapılabilir?

Şayet ilk maddede belirttiğim yerli telefonu kullanırsa bu sistemi kullanan personel çözüm oldukça basit. Sadece bu telefonlardaki donanımların sahip olabileceği bir şifreleme algoritması ile gönderilen isteklerle birlikte zaman damgalı bir imza ile problem çözülebilir.

Ancak bu seçeneğin uygulanabilirliği sahip olduğu yerli telefon bağımlılığı sebebiyle zayıf. Mevcut durumda günü kurtarmak için nasıl önlemler alınabilir bunu açayım biraz;

Geleneksel yetkilendirme stratejileri bu sistem üzerinde modifiye edilerek kullanılmalıdır. Mesela buraya araya bir 2FA yetkilendirme sistemi eklenebilir, SMS doğrulaması gibi. Bu sayede tek kullanımlık token’lar üretilebilir ve token’lar başkasının eline geçse bile bu tür sızıntılar önlenmiş olur.

Ancak burada önemli bir problem daha var. Mevcut kamu personelinden birisi veya birileri saldırganın ekibindeyse bu önlemler de bir işe yaramaz. Bu durumda sistemi biraz daha duyarlı hale getirmek gerekiyor.

Bunun için de şu şekilde bir önlem alınabilir; Tüm kurallara uygun bir kamu personeli tarafından yapıldığına emin olduğumuz bir istek geldi diyelim sisteme. Bu durumda istek yapılan kişi işe istek yapan personelin arasındaki etkileşime bakmak gerekiyor. Yani Ankara’dan bir istek gelmiş, ama sorgulanan kişi Sivas’ta(bunun gibi birkaç ara security level eklenebilir). Sistem burada sorguya hemen cevap vermeyip sorgu yapan personelden bir açıklama istemesi gerekiyor. Bu sorgu neye göre yapılıyor? Hangi dava, hangi dosya vb. Cevabın ardından sistem sorgu cevabını verebilir.

Ancak iş burada da bitmemeli. Bu istekler bir yerde tutulmalı ve merkezi bir denetçi ekibin onayından geçmesi gerekiyor. Onaydan geçmeyen şüpheli isteklerin ilgili birim liderlerine bildirilerek açıklama veya savunma alınması gerekiyor. Bu sayede kamu personeli tarafından sistemin kötüye kullanılmaması için gerekli olan caydırıcı kuvvet oluşturulabilir.