orcun
/
guvenlik
forked from oyd/guvenlik
1
0
Fork 0
Code Issues Pull Requests Projects Releases Wiki Activity
Güvenlik rehberi https://guvenlik.oyd.org.tr
You can not select more than 25 topics Topics must start with a letter or number, can include dashes ('-') and can be up to 35 characters long.
378 Commits
3 Branches
0 Tags
57 MiB
 
 
Tag: Branch: Tree: e94c1958a2
Branches Tags
${ item.name }
Create tag ${ searchTerm }
Create branch ${ searchTerm }
from 'e94c1958a2'
${ noResults }
guvenlik/src/beseri_guvenlik/oje.md

8.9 KiB
Raw Blame History

Simli Oje ve Entropi ile Fiziki Cihaz Güvenliği

Fiziksel güvenlik, cihazların güvenliğinin sağlanmasında önemli endişe kaynaklarından biridir. Her ne kadar boot güvenliği veya şifreleme gibi yazılımsal kaynaklı güvenlik tedbirleri kimi saldırıları engelleyebilecek olsa da, bu önlemler fiziken cihaza yerleştirilecek bir cihaz aracılığıyla gerçekleştirilebilecek saldırılara karşı çok az koruma sağlamaktadır.

Fiziki tedbirlerin amaçlarından biri de, kullanılan cihazlara yapılabilecek fiziki müdahalelerin engellenebilmesi veya yapılan müdahalelerin fark edilebilmesidir. Donanıma yapılan bir müdahalenin fark edilmesi kimi zaman imkansıza yakın olabildiğinden, pratik olarak soruna getirilebilecek en iyi çözüm herhangi bir müdahale olmadığından emin olmaya çalışmaktır.

Bu açıdan cihazların göz önünden ayrılmaması en önemli tedbir olsa da, günlük yaşantımızda bunun mümkün olmadığı pek çok durum söz konusudur. Örneğin masaüstü bilgisayarlar bulundukları yerde kalmak zorundadır, ayrıca bazı alanlara giriş yaparken mobil cihazların bırakılması istenmektedir. Bu gibi durumlarda endişe unsurları, söz konusu fiziki alanların güvenliği ve bu alanlarda cihazlara erişimi olan insanlara güvensizliktir. Çünkü bir cihazın açılıp gerekli değişikliklerin yapılması çok fazla vakit almadığı gibi, yeterince istekli bir saldırganın pek çok olağan tedbiri aşma imkanı olabilmektedir.

Sim ve Entropi

Yakın bir zamana kadar, bir cihazın açılıp açılmadığını öğrenmeye en hevesli kişiler, bize chazları çoğunlukla kaçamak garantiler kapsamında satan şirketlerdi. Cihazların çeşitli alanları üzerinde, çoğunlukla bir vida veya kapağın eşiğinde bulunan "açılırsa garanti kapsamı biter" kapsamındaki etiketler, "tamper evident" yani emniyet etkietleri bu amaç doğrultusunda kullanılmaktadır. Bu etiketler çeşitli mekanik ve kimyasal yöntemlerle etiketin açılıp kapandığını belli eden özelliklerle donatılmakla olağan kullanıcı için belli etmeden müdahaleyi çok zorlaştırmaktadır.

Teleteknik Garanti Etiketi İlaç kutusunda temper-evident etiket

Ancak; sizi, bilgisayarınızı ve kullandığınız etiketi bilen veya dünyadaki her güvenlik etiketinden bir tane bulundurmaya gücü yetecek bir saldırgan için bu etiketlerin bir engel teşkil ettiği söylenemez. Bilgisayarınızdaki etiket çıkarılıp yerine aynısından bir tane yapıştırılmış olursa cihazınıza müdahale edildiğine dair nasıl bir izlenim edinilebilir? Güvenlik etiketleri seri üretim ürünlerdir, belirli bir tasarımda ve topluca üretilir. Bu durum, etiketlerin fiziksel özelliklerini belirli kıldığından iki etiket arasındaki fark da felsefi düzeyde kalmaktadır.

Belirlenebilirlik bir sorun olduğu zaman, çözüm neredeyse her zaman belirlenemezlikle yani entropi ile çözülmektedir. Parolalarınızı koruyan entropi olduğu gibi, cihazınızı koruyacak etiket de entropiden faydalanır. Bir saldırgan dünyada seri üretimde bulunan bir etiketi satın alabilir, özel ürettirmiş olsanız bile bilgi sahibi olduğu bir etiketin aynısından yaptırabilir; lakin tamamen rastgele olan bir etiketten üretmesi çok ama çok zordur.

Bu sorunun çözümü olarak; Eric Michaud ve Ryan Lackey, Chaos Computer Club'ın 30c3 konferansında yaptıkları sunumda, neredeyse her kozmetik dükkanında bulunabilecek simli ojeyi önermişlerdir. Fikir, ojenin içerdiği simlerin her boyamada tamamen rastgele sonuçlar vermesine dayanmaktadır. Bu yöntemle, cihazın vidalarına ve/veya portlarına simli oje ile mühürler yapılmakta ve bu mühürler gerektiğinde kontrol edilerek bozulup bozulmadığından görece emin olunabilmektedir. Ayrıca, mührü aynı şekilde oluşturmak veya bir iz bırakmadan çıkarıp yerine takmak pek kolay bir iş değildir.

Simli oje ile mühür oluşturmak

Cihazlarınızın güvenliğini simli oje ile sağlamak için öncelikle doğru ojeyi bulmanız gereklidir. Doğru ojeyi bulmak, tırnaklara sürülen ojeler gibi kişisel bir tercihten ziyade, içindeki sim ve özellikleri ile ilişkilidir. Kullanacağınız ojenin aşağıdaki özellikleri göstermesine dikkat edilmelidir:

  1. Simler homojen olmamalıdır.
  2. Simler gözle seçilebilecek büyüklükte olmalıdır.
  3. Mümkünse farklı renk ve şekillerde simler içermelidir.
  4. Ojenin sıvısının şeffaf olması tercih sebebidir.

Bu şekilde ojeniz daha fazla belirsizlik içerecek ve inceleme için daha elverişli olacaktır.

Ojenizi edindikten sonra aşağıdaki adımlarla başlayabilirsiniz.

Cihazınızda uygun yeri belirleyin

Güvenliğinden endişe ettiğiniz cihazınızın içine erişebilmek için mutlaka müdahale edilmesi gereken yerleri tespit edin. Bu cihazın ortalarında olan bir vida olabileceği gibi bir kapağın eşiği de olabilir. Bu incelemeyi yaparken, veri yönünden kritik görünmese de cihazın içine bağlı ekran gibi diğer alanları da dahil etmeye dikkat edebilirsiniz. Şayet port girişlerini de kapatmak isterseniz, bunları uygun bir bant ile kapatıp bantların köşelerinden taşacak şekilde mühürleyebilirsiniz.

Aşağıdaki cihaz ve konumları değerlendirmeniz önerilir:

  • Kritik alanlardaki vidalar
  • HDD ve RAM kapakları
  • Cihazın kasasının birleşme noktaları
  • Portlar
  • USB belleklerin girişleri
  • Taşınabilir donanımların birleşim yerleri

Mühürlenecek alanı temizleyin

Ojenin uygulandığı alana iyice tutunabilmesi, uygulanacağı alanın temizliğine bağlıdır. Bu bakımdan; toz, yağ, parmak izi gibi kirleticiler mühürün dayanıklılığına etki edecektir. Temizlik için alkol içeren bir çözelti veya aseton kullanabilirsiniz. Aynı zamanda mühürü ileride çıkartmayı düşünüyorsanız ya da cihazınızın dokusuna zarar gelmemesini istiyorsanız, cihazın üzerinde kaplama olmayan bir alan tercih etmeniz önerilir.

Eğer mühürün dayanıklılığını ciddi bir şekilde artırmak istiyorsanız, uygulama alanını zımparalayarak tutunmayı arttırabilirsiniz (Pek çok durum için bu aşırı bir önlem olabilir ve cihazınıza kozmetik olarak zarar verebilirsiniz). Ayrıca, vida delikleri derin olan cihazlarda deliği bir kağıt veya pamuk ile kapatmak ojenin içeri kaçmasını engelleyecektir.

Pamukla doldurulmuş erin bir vida deliği

Ojenizi sürün

Uygulama alanına simli ojenizi damlatarak veya bolca sürerek uygulayın. Burada amaç, birleşik ve parçalı olmayan kalın bir tabaka elde etmektir. Ojenizden yeterince simin yüzeye aktarıldığından emin olun. İşlemden sonra, ojenin kuruması için bir süre bekleyin.

Ojelenmiş bir vida deliği

Mühürlerin fotoğrafını çekin

Her ne kadar simleri ve konumlarını hatırlayabileceğinizi düşünseniz de, gözünüz de hafızanız da muhtemelen bu kadar rastgele bir şekli hatırlamakta zorlanacaktır. Bu sebeple, yaptığınız her mührün iyi aydınlatılmış bir ortamda bulanık olmayan yakın bir fotoğrafını çekin.

Bu fotoğrafları, gerektiğinde doğrulama yapabilmek için yanınızdan ayırmayacağınız bir aygıt üzerinde depolamanız gerekmektedir. Bu amaçla, elinizden alınmayacağı bir koşulda telefonunuzu kullanmanız mümkündür. Daha iyi bir seçenek olarak, çektiğiniz fotoğrafları artık fazlasıyla ucuz ve küçük olan microSD hafıza kartına koyup üzerinizde dikkat çekmeyecek bir yerde bulundurmayı değerlendirebilirsiniz.

GnuPG anahtarınızı hazırlayın

Bu aşama zorunlu olmasa da, yapacağınız mührü kontrol etmek için kullanacağınız fotoğrafların değiştirilmediğinden emin olmanın tek yolu kriptografik olarak imzalama yapmaktır. İmzalama işlemi, hem fotoğrafları içeren aygıtın kontrolünü kaybetmeniz durumunda önem arz eder hem de uzun vadede bu mührü korumanızı kolaylaştırır.

Eğer GnuPG ve kullanımı size yabancıysa, GPG rehberimizden faydalanabilirsiniz.

Mührün kontrol edilmesi

Bir tehlikenin atlatılmasından sonra mühürün bütünlüğünü kontrol etmek için, benzer ışık koşullarında mühürleri tekrar fotoğraflayıp iki fotoğraf arasında gidip gelerek benzerliğini gözle doğrulayabilirsiniz.