[owasp-tr mobil güvenlik Çalıştayı 2015] hüseyin aslanoğlu - qrishing saldırıları ve...
TRANSCRIPT
![Page 1: [OWASP-TR Mobil Güvenlik Çalıştayı 2015] Hüseyin Aslanoğlu - QRishing Saldırıları ve Önlemleri](https://reader031.vdocuments.pub/reader031/viewer/2022020213/58732be91a28ab596c8b5be5/html5/thumbnails/1.jpg)
HİZMETE ÖZEL
QRishing SaldırılarıVe
Önlemleri
Hüseyin Aslanoğlu
![Page 2: [OWASP-TR Mobil Güvenlik Çalıştayı 2015] Hüseyin Aslanoğlu - QRishing Saldırıları ve Önlemleri](https://reader031.vdocuments.pub/reader031/viewer/2022020213/58732be91a28ab596c8b5be5/html5/thumbnails/2.jpg)
HİZMETE ÖZEL TASNİF DIŞI2/13
İçerik
• QR kod nedir?
• QRishing saldırısı nedir?
• QRishing saldırı senaryoları nelerdir?
• Güvenli QR kod kullanımı nasıl sağlanabilir?• Mobil güvenli QR kod tarayıcısı
• Güvenli QR kod oluşturulması
![Page 3: [OWASP-TR Mobil Güvenlik Çalıştayı 2015] Hüseyin Aslanoğlu - QRishing Saldırıları ve Önlemleri](https://reader031.vdocuments.pub/reader031/viewer/2022020213/58732be91a28ab596c8b5be5/html5/thumbnails/3.jpg)
HİZMETE ÖZEL TASNİF DIŞI3/13
• Akıllı telefonların kameralarından okutulabilen özel matriks barkodlarına verilen addır.
• Finder Pattern (1), Separators (2), Timing Pattern (3), Alignment Patterns (4), Format Information (5), Data (6), Error Correction (7), Remainder Bits (8)URLKimlik BilgileriTren/Uçak biletleriİlaçlarMezar taşı??
QR (Kare) kod nedir?
![Page 4: [OWASP-TR Mobil Güvenlik Çalıştayı 2015] Hüseyin Aslanoğlu - QRishing Saldırıları ve Önlemleri](https://reader031.vdocuments.pub/reader031/viewer/2022020213/58732be91a28ab596c8b5be5/html5/thumbnails/4.jpg)
HİZMETE ÖZEL TASNİF DIŞI4/13
• Farklı bir kişiye yada firmaya ait gibi gösterilerek insanları manipüle etme yöntemidir.
QRishing saldırısı nedir?
![Page 5: [OWASP-TR Mobil Güvenlik Çalıştayı 2015] Hüseyin Aslanoğlu - QRishing Saldırıları ve Önlemleri](https://reader031.vdocuments.pub/reader031/viewer/2022020213/58732be91a28ab596c8b5be5/html5/thumbnails/5.jpg)
HİZMETE ÖZEL TASNİF DIŞI5/13
• Ön tanımlı (default) olan Android tarayıcısı zafiyetinden yararlanılması
• Phishing (oltalama) sitesine yönlendirme – email ve parola istenmesi –
• Google Play’de bulunan çoğu QR tarayıcılarında bulunan eksiklik yüzünden kullanıcının akıllı telefonuna kullanıcının izni olmadan program(malware) yükleme
QRishing saldırı senaryoları nelerdir?
![Page 6: [OWASP-TR Mobil Güvenlik Çalıştayı 2015] Hüseyin Aslanoğlu - QRishing Saldırıları ve Önlemleri](https://reader031.vdocuments.pub/reader031/viewer/2022020213/58732be91a28ab596c8b5be5/html5/thumbnails/6.jpg)
HİZMETE ÖZEL TASNİF DIŞI6/13
• Android tabanlı akıllı telefonlar için geliştirilecek uygulama
Norton Snap (Symantec Corporation)
McAfee Innovations (McAfee Intel Security)
Kaspersky QR Scanner (Kaspersky Lаb)
• Açık anahtar altyapısına (PKI) uygun şekilde QR kodlar üzerinde modifikasyon
Güvenli QR kod kullanımı nasıl sağlanabilir?
![Page 7: [OWASP-TR Mobil Güvenlik Çalıştayı 2015] Hüseyin Aslanoğlu - QRishing Saldırıları ve Önlemleri](https://reader031.vdocuments.pub/reader031/viewer/2022020213/58732be91a28ab596c8b5be5/html5/thumbnails/7.jpg)
HİZMETE ÖZEL TASNİF DIŞI7/13
Güvenli(?) Qr kod tarayıcıları
![Page 8: [OWASP-TR Mobil Güvenlik Çalıştayı 2015] Hüseyin Aslanoğlu - QRishing Saldırıları ve Önlemleri](https://reader031.vdocuments.pub/reader031/viewer/2022020213/58732be91a28ab596c8b5be5/html5/thumbnails/8.jpg)
HİZMETE ÖZEL TASNİF DIŞI8/13
• Sunucu Sorgulaması
• Gömülü(Ön) Tarayıcı
• Sandbox
Güvenli kod tarayıcısı tasarımı
![Page 9: [OWASP-TR Mobil Güvenlik Çalıştayı 2015] Hüseyin Aslanoğlu - QRishing Saldırıları ve Önlemleri](https://reader031.vdocuments.pub/reader031/viewer/2022020213/58732be91a28ab596c8b5be5/html5/thumbnails/9.jpg)
HİZMETE ÖZEL TASNİF DIŞI9/13
• Erişilmek istenen URL veya indirilmek istenilen uygulama hakkında veritabanındaaraştırma yapılması
• Geçici white listte sorgulanması
• Black listte sorgulanması
Sunucu sorgusu
![Page 10: [OWASP-TR Mobil Güvenlik Çalıştayı 2015] Hüseyin Aslanoğlu - QRishing Saldırıları ve Önlemleri](https://reader031.vdocuments.pub/reader031/viewer/2022020213/58732be91a28ab596c8b5be5/html5/thumbnails/10.jpg)
HİZMETE ÖZEL TASNİF DIŞI10/13
• Erişilmek istenilen URL’den alınacak HTML kodları üzerinden statik bir tarama yapılması
• <form> tag’i ve <post> methodlarının varlığı
• Erişilmek istenilen sitenin sertifikası sorgulanması
Ön Tarayıcı
![Page 11: [OWASP-TR Mobil Güvenlik Çalıştayı 2015] Hüseyin Aslanoğlu - QRishing Saldırıları ve Önlemleri](https://reader031.vdocuments.pub/reader031/viewer/2022020213/58732be91a28ab596c8b5be5/html5/thumbnails/11.jpg)
HİZMETE ÖZEL TASNİF DIŞI11/13
• Statik analiz
Uygulamanın özeti (hash)
Uygulamanın içindeki «String»
• Dinamik analiz
Network trafiğinin dinlenmesi
Hassas bilgi çekme
Hakkını yükselme işlemi
Zaman bazlı uygulamanın çalışması
Sandbox
![Page 12: [OWASP-TR Mobil Güvenlik Çalıştayı 2015] Hüseyin Aslanoğlu - QRishing Saldırıları ve Önlemleri](https://reader031.vdocuments.pub/reader031/viewer/2022020213/58732be91a28ab596c8b5be5/html5/thumbnails/12.jpg)
HİZMETE ÖZEL TASNİF DIŞI12/13
• Açık anahtar altyapısına (PKI) uygun şekilde QR kodlar üzerinde modifikasyon
• QR kodlara güvenirlik özelliği kazandırmak amacıyla sertifika yöneticileri(Certificate Authorities(CA)) tarafından onaylı/imzalı X.509 sertifikaları kullanılması
Güvenli QR kod oluşturulması
![Page 13: [OWASP-TR Mobil Güvenlik Çalıştayı 2015] Hüseyin Aslanoğlu - QRishing Saldırıları ve Önlemleri](https://reader031.vdocuments.pub/reader031/viewer/2022020213/58732be91a28ab596c8b5be5/html5/thumbnails/13.jpg)
HİZMETE ÖZEL TASNİF DIŞI13/13
Güvenli QR kod okunması/doğrulanması
![Page 14: [OWASP-TR Mobil Güvenlik Çalıştayı 2015] Hüseyin Aslanoğlu - QRishing Saldırıları ve Önlemleri](https://reader031.vdocuments.pub/reader031/viewer/2022020213/58732be91a28ab596c8b5be5/html5/thumbnails/14.jpg)
HİZMETE ÖZEL TASNİF DIŞI14/13
Sorular?
![Page 15: [OWASP-TR Mobil Güvenlik Çalıştayı 2015] Hüseyin Aslanoğlu - QRishing Saldırıları ve Önlemleri](https://reader031.vdocuments.pub/reader031/viewer/2022020213/58732be91a28ab596c8b5be5/html5/thumbnails/15.jpg)