iPhone 5S: Kod adı Güvenlik!

Herkese selamlar.

iPhone 5S duyurulduğunda Touch ID özelliği çok iyi karşılansa da en az iyi karşılandığı kadar kaygı ile karşılandı.(1) Ayrıca bu konu hakkında M. Serdar Kuzuloğlu'nun yazısını(2) öneriyorum.

Teknoloji ile ilgilenenler bir çok gizlilik ihlallerini bilir. Şirketler hizmetlerini daha iyi hale getirmeye çalışmasa bile sizler hakkında minimum olarak bazı bilgiler edinir.

Örnek vermek gerekirse Google hemen hemen tüm internet kullanıcılarının nereden eriştiğini bilir. Bu sadece bir örnek. Kabaca -hacker bile olmadan- hakkınızda edinilebilecek bilgileri sıralamaya çalışacağım;

a) Mac adresleriniz. (Ağ kartınızın her türlü bilgisi yani)
b) Bağlantı kurduğunuz yerin açık adresi
c) Ne zaman bağlandığınız.
ç) Adınız
d) Soyadınız
e) E-posta adresiniz
f) Hobileriniz
g) İlgi alanlarınız
ğ) Mesleğiniz/Meslekleriniz
h) Kullandığınız cihazın her türlü bilgisi;
-İşletim sisteminiz ve sürümü
-Web tarayıcınız ve sürümü
-Web tarayıcınızdaki tüm 3. parti(3) ekler ve sürümü.
ı) Erişimde kullandığınız şifreniz
i) Yakın çevreleriniz
j) Eriştiğiniz siteye eklemiş olduğunuz her türlü içerik. (Dosya, resim, ses vs.)
k) Telefon numaralarınız
l) Rehberiniz
m) Yaptığınız/yapacağınız gibi şeyler ve niceleri..

İşte bu saydıklarım dahi hacker olmadan bir internet sitesi kurmakla birlikte bizden alınabilecek minimum değerler. Yani bizi en yakınlarımızdan dahi bir çok konuda daha iyi tanıyabilirler.

Şimdi bir şey daha açıklayıp Touch ID üzerinden konuyu derileştirelim. Diyeceksiniz ki (tabi bilenler demez) "Eriştiğim siteye güveniyorum. Bir sorun olmaz." Tabiki de bunu iddia bile ederler.

O zaman şunları da öğrenince bu kadar rahat olabilir misiniz?;

a) NSA (Amerika Ulusal Güvenlik Ajansı) internetin neredeyse -"tümünü"- izliyor.(4) Snowden olayını(5) kanıt olarak algılayabilirsiniz.
b) Microsoft (Windows), Google, Facebook, Yahoo, Twitter, Apple, Skype kullanmayanınız var mı? İşte bu şirketlerinde hepsi devletlerine yakınlar. Yani istihbarat! Windowsunuza dahi istenildiğinde girilebildiğini düşünün. Telefonlarınız da buna dahil.. (6, 7, 8, 9)
c) Açık istihbarat (Yani hesaplarınızı takip ederek hakkınızda bilgi toplamak)
ç) İngilizler de işin dışında değil.(10)

Peki tüm bu bilgileri öğrenmeleri sizi riske atar mı? Eğer önemli bir kişiyseniz tabiki de atar. Mesela yerinizin tespit edilmesi sizi çok korkutacaksa veya sizin için tehlike oluşturacaksa tabiki de sizi riske atar. Örneğin akıllı telefonlar taşımanız böcek adı verilen dinleme/yer tespiti cihazları taşımanız ile eş değerdir. Hacklemek yeterli. Veya sahibi olmak yeterli.

Google amcadan araştırarakta bulabileceğinz bir konuyu da azıcık açıklıyayım. Google, Facebook ve Twitter gibi şirketlerin sizden topladığı tüm bilgileri hizmet üretenlere satabileceğini/sattığını(11) unutmayın. Mesela eğer sizin direkt olarak ilgilendiren reklamlar ile sık sık karşılaşıyorsanız bilgilerinizin satıldığını/kullanıldığını/ifşa edildiğini aklınızda tutun.

Aslında çok derin bir konu ve daha neler neler var.. Ama ben Touch ID'ye giriş yapayım artık :)

Touch ID'nin normal şehirlerde kullanılan parmak izi okuyucularından daha detaylı bir analiz yaptığını açıklayarak başlayalım. Tanıtım videosunda(12) da görebileceğiniz gibi iPhone 5S parmak izinizi tam anlamıyla kaydediyor. Yani başka bir deyişle bu verileri kullanarak sizin parmak izinizin aynısını kopyalamak mümkün :/

Yukarıda verdiğim "çerez" bilgilere de baktığınızda parmak izinizin güvende olmadığını açıkça görürsünüz. Ancak Apple Parmak izi verisini merkezi sisteme (Apple sunucularına) ve 3. partilere vermediğini açıklıyor. Parmak izi verisinin sadece A7'de bulunduğunu ve iTunes/kilit açma/Appstore girişlerinde şifre olarak kullanıldığını söylüyor.

Şimdi de Apple'ın bu açıklamasına güvendiğimizi varsayarak (ki asla!), diğer çalınma ihtimallerini düşünelim;

1) Jailbreak yazılımını hacklemek mi daha kolay, yoksa iOS'u veya Apple sunucularını mı? Tabiki de Jailbreak daha kolay. Öyleyse Jailbreak'lı bir iOS A7'deki parmak izi verisini çalamaz mı? "Bal gibi" çalar.

2) Mesela Appstore'a veya iTunes'a giriş yapıyoruz ve giriş yaparken parmak izi verisini şifre olarak kullanıyor. O zaman "adama sorarlar, arkadaş bu iki site hacklenebilmiş daha önceden(13, 14) öyleyse yeniden hackleyen kişi veya kurum giriş yaparken gönderilen parmak izi verisini çalamaz mı? çalar."

3) Aynı şekilde hack amaçlı casus uygulamalarda bu veriyi çalabilir. Sonuçta hack Apple'ın veriyi sunmasına gerek duymuyor.

4) Şuradaki(15) yazıyı da okursanız ne kadar detaylı bir parmak izi verdiğinizi anlarsınız.

Tabi bu istihbarat çalışmaları şirketlerin hizmet üretmesini de sekteye uğratır bu koda; oda ayrı bir konu.

Gelişen teknoloji ile birlikte istihbarat toplamak aşırı derecede kolaylaşmış ve devasa miktarda büyümüştür. Bugün Google'da, Facebook'da veya Twitter'da (veya benzeri sitelerde) hatırı sayılır vakit geçirenler ve paylaşım yapanların kişisel özellikleri/istekleri gibi konularda yakınlarından daha iyi profilleme yapma şansı var; bu sitelerin. Yani Facebook "manyağı" isek Facebook bizi bir çok konuda anne babamızdan daha iyi tanıyıp hatta profilliyor. Buna şimdi de (tabi bu yeni değil de) Touch ID ile parmak izi eklendiğini düşünün. Yani sizin "kişisel bilgiler/Fiziksel konumlar/İlgi alanları/Hobiler/Meslekler/Yaptıklarınız/Yapacaklarınız/Yapabilecekleriniz/Yakın çevresiniz/Uzak çevreniz/Görüntünüz (Fotoğraf, video)/Duygularınız/Parmak iziniz" içerikli bir paketiniz olsa herhangi bir insana verir miydiniz? Çoğunu verdiniz/verdik bile!..

Buna ben "ID Packet"(16) ismini vereyim de yeniden tekrar etmiyeyim. ID Packeti elinde olan bir insan bence en güvendiği insana bile bu paketi vermez. Çünkü içinde çok çok samimi dostu da olsa kişisel bilgileri var. Ama biz bunların çoğunu Sosyal paylaşım sitelerine verdik zaten.

Bu yazı daha da derilenştirilebilir ancak şimdilik yeterli.

Kaynak
----------------------------------------------------
1- https://www.google.com.tr/search?q=Apple+parmak+izi+g\%C3\%BCvenlik+\%C5\%9F\%C3\%BCphe
2- http://www.mserdark.com/iphone-5sin-endise-verici-teknolojisi/
3- http://forum.donanimhaber.com/m_48887675/tm.htm
4- http://www.radikal.com.tr/yazarlar/m_serdar_kuzuloglu/bizi_kimler_neden_gozetliyor-1140171
5- http://www.btnet.com.tr/84417-edward-snowden-ile-prism-nedir.html
6- http://www.chip.com.tr/haber/hangi-teknoloji-sirketi-devlete-daha-yakin_42548.html
7- http://teknolog.radikal.com.tr/nsa-tum-akilli-telefonlari-takip-ediyor/
8- http://www.ntvmsnbc.com/id/25454511/
9- http://www.radikal.com.tr/yazarlar/m_serdar_kuzuloglu/her_canli_fislenmeyi_tadacaktir-1143121
10- http://www.bbc.co.uk/turkce/cep/haberler/2013/09/130906_snowden_nsa_hack.shtml
11- http://www.radikal.com.tr/eglence/google_kisisel_bilgi_avina_cikti-1077202
12- http://www.apple.com/iphone-5s/videos/
13- http://shiftdelete.net/itunes-hacklendi-9435.html
14- http://shiftdelete.net/apple-appstore-hacklendi-38570.html
15- http://www.veapple.com/Haber-385-touch_id_nasil_calisiyor.html
16- kişisel bilgiler/Fiziksel konumlar/İlgi alanları/Hobiler/Meslekler/Yaptıklarınız/Yapacaklarınız/Yapabilecekleriniz/Yakın çevresiniz/Uzak çevreniz/Görüntünüz (Fotoğraf, video)/Duygularınız/Parmak iziniz