Canberk Bolat & Barış Vidin - İzleniyorsunuz
1 like801 views
Mass surveillance, dinlenmeler, yasadışı yetkisiz erişimler gibi konularla çalkalandığımız bu dönemde mahremiyet ve güvenlik giderek insanların dikkat etmeye çalıştığı bir konu haline geldi. Bu sunumda, Internet ve sosyal medya'nın dogğurdugu mahremiyet ihlalleri ve özel olarak geliştirdiğimiz sosyal medya aracılığı ile istihbarat ve mahremiyet ihlali yöntemleri açıklanacaktır. Artık "geçen yaz ne yaptığınız"dan daha fazlasını, sabah ilk kahvenizi kiminle içtiğinizden, favori mekanlarınıza ve günlük rutinlerinize kadar tüm mahremiyetiniz ifşa oluyor.
Canberk Bolat & Barış Vidin - İzleniyorsunuz
- 1. İZLENİYORSUNUZ Canberk Bolat -‐ Barış Vidin CYPSEC ‘15 15 APR 2015
- 2. Biz kimiz Canberk Bolat § Troublemaker @ Symturk § Pentest, Fuzzing, Reverse Engineering § Blogger/Writer -‐ hHp://cbolat.blogspot.com § Contact § @cnbrkbolat § Canberk_bolat@symturk.com § canberk.bolat@gmail.com
- 3. Barış Vidin § Troublemaker @ Symturk § ApplicaRon Load TesRng, Fuzzing § Contact § @barisvidin § baris_vidin@symturk.com § barisvidin@gmail.com Biz kimiz
- 6. Metadata
- 7. İZLER • İnterneHe izler bırakıyoruz – Fotoğraf paylaşımları – Yer bildirimleri – Durum güncellemeleri – Beğeniler – Hobiler/Zevkler – Ruhsal/Duygusal durumlar
- 9. Mahremiyet İhlalleri • Çoğu zaman atladığımız bir konu; – Nerede yemek yediğimiz biliniyor – Sevdiğimiz yemekler biliniyor – Gideceğimiz konser – Sık görüştüğümüz arkadaşlarımız – İzlemeyi düşündüğümüz filmler – Favori mekanlarımız – Günlük ruRnlerimiz – …
- 11. InterneHe 1 Dakika • Milyarlarca kişi işlem gerçekleşRriyor • TB’larca veri işleniyor • Yeni uygulamalar/kullanıcılar bu trafiğe dahil oluyor • NSA, GCHQ gibi servisler bu verileri işliyor!
- 12. Mahremiyet İhlalleri • Bilerek ve isteyerek yapılan ihlaller – Yer bildirimi vb paylaşımlar – Lokasyon servisi açık bir şekilde gezmek • Bilmeden yapılan mahremiyet ihlalleri – Çekilen fotoğraflardaki EXIF metadata bilgisi – Akğınız tweet’te lokasyon bilgisi • Her iki kategoriye de girmeyen durumlar(!?) – There is no patch for human stupidity
- 15. Biz ne yapok? Canberk VS Barış
- 16. SO-‐INT • Sosyal Medya plaqormlarının ifşa erği bilgileri topluyor • Tek bir kişi hakkında bilgi toplamak yerine toplu olarak genel kitle hakkında bilgi toplama moRvasyonu ile oluşturuldu • Bilinen uygulama ve özellikler kullanılarak gelişRrildi • İnterneHe gerçekten mahremiyet mümkün mü?
- 17. SO-‐INT • 3 Ana modülden oluşuyor – Connector • Facebook, Instagram, TwiHer, Foursquare, Instachat vs • Toplu kişi bilgisine erişme ve veri ayıklama – Analyzer • Toplanan veriyi anlamlandırıyor – Core • Veri toplama, depolama ve süreç yöneRmi
- 19. SO-‐INT • GelişRrme sırasında yaşanan zorluklar – Uygulama/Servis bazlı zorluklar • Yaşadığımız limitasyonlar • Uygulama bazlı önlemler – Kaynak tükeRmi • Çok fazla sunucu, depolama alanı, bant genişliği ve sosyal medya hesabı
- 20. TwiHer Connector • Lokasyon Bilgisi • Eğer eşleşRrilmiş ise Swarm/Foursquare yer bildirimleri – Anlık tweet’lerde, lokasyon bazlı olarak “swarmapp.com” araması yapmak yeterli – Doğum gününde nerde olduğunu biliyoruz! – Ne zaman doğduğunu da! – Kiminle kutladığını da!
- 21. Facebook Connector • Kişisel zevkler/hobiler • Yer bildirimleri • Diğer bağlı hesaplardan paylaşımlar • Telefon numarası
- 22. Facebook Connector • Telefon numarası – Facebook üzerinde telefon numarası ile arama yapmak mümkün (feature!) – Gizlilik ayarlarınıza dikkat etmediyseniz başkaları sizi telefon numaranız ile bulabilir – Ya birileri tüm GSM numara aralığını sorgularsa? • +90-‐(5NN)-‐NNN-‐NNNN • 5NN=532 ==> 9~ milyon numara olasılığı
- 23. Facebook Connector • Ne tür bir veri elde ediliyor? – Telefon numarası FB’da kime kayıtlı – Kayıtlı kişinin; • Ad • Soyad • Temel Bilgiler (Yaş, Doğum günü, iş, eğiRm) • Profil Fotoğra~ – Sahte FB hesaplarının gerçek telefon numaraları ile eşleşRrilmesi
- 24. InstaChat Connector • Instagram (IG) tabanlı chat uygulaması • Lokasyon servisi kullanıyor • Yakınınızdaki IG/IC kullanıcılarını topluyor • Bir IC kullanıcısına ait erişilebilen veriler – IG profil bilgileri – Lokasyon bilgisi (Kısmi anlık) – Çevrimiçi bilgisi – Diğer sosyal medya hesaplarına bağlano
- 25. InstaChat Connector • Limitasyon problemi – Instachat • Belirli sayıda online/yakın kullanıcı • Yapılan istekler encrypted • Lokasyon’a müdahele
- 26. IC EncrypRon Key • APK analizi • DEX -‐ -‐ -‐ > JAR • EncrypRon key • Tüm istekler decrypt edilebildi J
- 27. IC EncrypRon Key com/futurebits/instamessage/free/b/e.java
- 28. IC EncrypRon Key com/futurebits/instme/EncryptLoad.java
- 29. IC EncrypRon Key • lib/armeabi/libinstme.so • Reversed in IDA Pro • Export funcRon getAESKey
- 30. IC EncrypRon Key • aInstaihs_p5sag değişkeni – 16 byte uzunluk – KEY?
- 31. IC EncrypRon Key • AES-‐128-‐ECB Mode DecrypRon
- 32. IC EncrypRon Key
- 33. Facebook Connector • Limitasyonlar – Facebook numara sorgulama limiR • Tek account ile 200~ numara sorgulayabilme • iOS endpoint’i ile bunu 500~ çıkartabildik • Dağıok sistem
- 34. Facebook Connector • Facebook Web – Belirli bir sürede peş peşe 200~ numara sorgusu
- 35. Facebook Connector • Facebook for iOS – /method/ubersearch.get – query=TelefonNumarası – Limitasyon daha iyi (500~ sorgulama)
- 36. Facebook Connector • 1 Agent à 4 Account – 60 saniye à 10 sorgu – 60 dakika à 600 sorgu – 1 gün à 14.400 sorgu – 3 ay à 1.296.000 sorgu • 20 Agent à 80 Account – 3 ay à 25.920.000 sorgu – Bir GSM’e ait yaklaşık 3 adet numara aralığı
- 37. Sonuç • Instachat – HTTP Trafik – SSL Pinning yok – Embedded EncrypRon Key • Facebook for iOS – Farklı Arama Endpoint – İsRsmara açık özellikler (FB Account-‐>Tel No) – HTTP Trafik
- 38. Sonuç • Sadece sosyal medya hesapları ile bir kişiye ait çok detaylı bilgiler elde edilebiliyor • İlgili plaqormlar toplu olarak insanlar hakkında bilgiler toplanmasına olanak sağlıyor • Lokasyon bazlı uygulamalar gerekli önlemler alınmadığında takip edilmenize olanak sağlıyor
- 39. TEŞEKKÜR EDERİZ