[owasp-tr mobil güvenlik Çalıştayı 2015] hüseyin aslanoğlu - qrishing saldırıları ve...
TRANSCRIPT
HİZMETE ÖZEL
QRishing SaldırılarıVe
Önlemleri
Hüseyin Aslanoğlu
HİZMETE ÖZEL TASNİF DIŞI2/13
İçerik
• QR kod nedir?
• QRishing saldırısı nedir?
• QRishing saldırı senaryoları nelerdir?
• Güvenli QR kod kullanımı nasıl sağlanabilir?• Mobil güvenli QR kod tarayıcısı
• Güvenli QR kod oluşturulması
HİZMETE ÖZEL TASNİF DIŞI3/13
• Akıllı telefonların kameralarından okutulabilen özel matriks barkodlarına verilen addır.
• Finder Pattern (1), Separators (2), Timing Pattern (3), Alignment Patterns (4), Format Information (5), Data (6), Error Correction (7), Remainder Bits (8)URLKimlik BilgileriTren/Uçak biletleriİlaçlarMezar taşı??
QR (Kare) kod nedir?
HİZMETE ÖZEL TASNİF DIŞI4/13
• Farklı bir kişiye yada firmaya ait gibi gösterilerek insanları manipüle etme yöntemidir.
QRishing saldırısı nedir?
HİZMETE ÖZEL TASNİF DIŞI5/13
• Ön tanımlı (default) olan Android tarayıcısı zafiyetinden yararlanılması
• Phishing (oltalama) sitesine yönlendirme – email ve parola istenmesi –
• Google Play’de bulunan çoğu QR tarayıcılarında bulunan eksiklik yüzünden kullanıcının akıllı telefonuna kullanıcının izni olmadan program(malware) yükleme
QRishing saldırı senaryoları nelerdir?
HİZMETE ÖZEL TASNİF DIŞI6/13
• Android tabanlı akıllı telefonlar için geliştirilecek uygulama
Norton Snap (Symantec Corporation)
McAfee Innovations (McAfee Intel Security)
Kaspersky QR Scanner (Kaspersky Lаb)
• Açık anahtar altyapısına (PKI) uygun şekilde QR kodlar üzerinde modifikasyon
Güvenli QR kod kullanımı nasıl sağlanabilir?
HİZMETE ÖZEL TASNİF DIŞI7/13
Güvenli(?) Qr kod tarayıcıları
HİZMETE ÖZEL TASNİF DIŞI8/13
• Sunucu Sorgulaması
• Gömülü(Ön) Tarayıcı
• Sandbox
Güvenli kod tarayıcısı tasarımı
HİZMETE ÖZEL TASNİF DIŞI9/13
• Erişilmek istenen URL veya indirilmek istenilen uygulama hakkında veritabanındaaraştırma yapılması
• Geçici white listte sorgulanması
• Black listte sorgulanması
Sunucu sorgusu
HİZMETE ÖZEL TASNİF DIŞI10/13
• Erişilmek istenilen URL’den alınacak HTML kodları üzerinden statik bir tarama yapılması
• <form> tag’i ve <post> methodlarının varlığı
• Erişilmek istenilen sitenin sertifikası sorgulanması
Ön Tarayıcı
HİZMETE ÖZEL TASNİF DIŞI11/13
• Statik analiz
Uygulamanın özeti (hash)
Uygulamanın içindeki «String»
• Dinamik analiz
Network trafiğinin dinlenmesi
Hassas bilgi çekme
Hakkını yükselme işlemi
Zaman bazlı uygulamanın çalışması
Sandbox
HİZMETE ÖZEL TASNİF DIŞI12/13
• Açık anahtar altyapısına (PKI) uygun şekilde QR kodlar üzerinde modifikasyon
• QR kodlara güvenirlik özelliği kazandırmak amacıyla sertifika yöneticileri(Certificate Authorities(CA)) tarafından onaylı/imzalı X.509 sertifikaları kullanılması
Güvenli QR kod oluşturulması
HİZMETE ÖZEL TASNİF DIŞI13/13
Güvenli QR kod okunması/doğrulanması
HİZMETE ÖZEL TASNİF DIŞI14/13
Sorular?