Mobil Reklam Sağlayıcı Paketlerinden Veri Toplama – GCHQ

Ülke istihbaratları ve silahlı kuvvetleri ile doğrudan temas halinde olan ve hükümet yönetimlerine bağlı haber alma ve güvenlik  kurumlarından biri de GCHQ. “Government Communications Headquarters” İngiliz Devlet Kurumu olarak 1946’da kurulmuş ise de kökenleri Birinci Dünya Savaşı sonrası kurulan Government Code and Cypher School (GC&CS) dayanıyor. (Bizdeki TİB ise 2006 da kuruldu)

Government_Communications_Headquarters logo
GCHQ Logo

 

GCHQ Binası
GCHQ Binası

 

Bu adresteki bilgilere baktığımızda İngiltere’den geçen Internet omurgasına ait fiber kabloları GCHQ binasından geçirilerek tüm ülke trafiğinin bu noktada kontrolü sağlanıyor. (Sadece Birleşik Krallık değil, UK üzerinden geçen tüm Internet trafiği Resim3)

Dunya Internet Omurgası
Dunya Internet Omurgası

 

Snowden in 19 Ocak 2015 te sızdırdığı ilginç belgelerden biri de GCHQ nun mobil uygulamaları kullanarak nasıl bilgi topladığını/toplayacağını anlatıyor.
Media-35670 isimli ve 2010 tarihli belge, 58 sayfadan oluşuyor. (Snowden in sızdırdığı belgelerin hiçbir zaman tamamlığı ve bütünlüğü garanti değildir)
Anlaşıldığı kadarıyla GCHQ üzerinden geçirilen tüm ülke Internet Trafiği PCAP tabanlı bir trafik analiz programı ile inceleniyor (BADASS olarak adlandırılmış). TCP Port 80 (şifrelenmemiş web trafiği) üzerinden gidip gelen istek ve cevap bilgileri analiz edilerek mobil cihazlar hakkında bilgiler toplanıyor. (NSA ile GCHQ nun birlikte çalıştığı bir sır olmamakla birlikte kullanılan araç ve altyapılara bakıldığında akıl hocalığını NSA in yaptığı anlaşılıyor. Belgelerin NSA den sızdırılması da bu tezi doğruluyor)

s1

s1 10G ağından gelerek GCHQ da dinlenen bilgi. news.google.co.uk a bağlanan bir istemcinin istek bilgisi sniff edilmiş.

s2

s2 – 10G ağından gelen bilgi Ethernet düzeyinde (Framework) capture ediliyor. BEGAL isimli uygulama ile protokol düzeyinde analiz ediliyor. TDI isimli filtre ile içeriğine bakılıyor. (klasik network analiz yazılımı)

s3

s3- TDI filtrelerinin mobil uygulama trafiklerine göre zenginleştirilmesi için bir çalışma başlatılmış. Filtreler akıllandırılarak daha fazla ve faydalı bilgi toplanması amaçlanmış.

s4

s4 – Öngörü, zaman içerisinde mobil uygulama sayısında radikal artış olacak.

s5

S5- Sözü edilen artışın nedeni; farklı mobil işletim sistemlerine destek verilmesi, uygulama marketlerinin yazılımcıların iştahını artıracağı, yazılım çeşitliliğinin artacağı.

s6

S6- 18 ayda modelleme tamamlanacak. İlave filtreler yaklaşık 3 ayda yazılacak.
GMM: generalized method of moments (İstastiki modeller için kapsayıcı metodlar hesaplama)
TDI: Transport Driver Interface (uygulama protokollerinin anlaşılmasını sağlayan yardımcı filtre)

s7

S7- Gelen paketler PCAP tester üzerinden DB deki filtrelerle karşılaştırılarak loglanacak. Web arayüzünden operatör tarafından incelenecek.
BADASS (BEGAL Automated Development / Deployment And Something Something – Dinlemede Kullanılan donanım yazılım çözümünün ismi)

s8

S8 – Daha önce s7 de sözü edilen web arayüzü. Analist operatör trafiği bu arayüzden inceleyecek ve yeni filtreler yazacak. Ekranda analiz edilen paket XML formatında görüntülenmiş.

s9

S9- Analiz edilen paketin içeriği görüntüleniyor. Yazılım, paketin hangi IP den gelip hangi IP ye gittiğini (karatılmış), web trafiği olduğunu (destport=80), gönderilen verinin içeriğini gösteriyor. Analist operatör bu bilgileri kullanarak, mobil uygulamanın tipine ve ne tür bilgi gönderildiğine bakarak standartlaştırılmış filtreler yazabilecek.

s10

S10- Görüldüğü kadarıyla bugüne kadar tanımlanmış binlerce filtre kuralı mevcut. Kullanıcı cookie lerinin tespiti, POST verilerinden kullanıcı adı tespiti..

s10

S11- Sosyal medya kontrol araçları da geliştirilmiş. Ekranda Facebook a gönderilen istek üzerinden regexp ile facebook kullanıcı adının nasıl tespit edildiği görülüyor.

s12

S12- Mobil cihazlar için yazılım geliştiriciler, gelirlerini artırmak için reklam servislerini kullanıyorlar. Reklam servislerine yapılan isteklere göre uyumlu reklamlar gönderiliyor. Bu iletişimde gidip gelen veriler GCHQ tarafından okunarak bilgi toplanmış.

s13

S13- Popüler mobil yazılım reklam sağlayıcılarından mobclix firması, kullanıcıların telefon ID lerini toplayarak, topladığı ek verilerle (kurulu diğer yazılımlar, yazılımın ne kadardır kullanıldığı, telefonun konumu, kategorizasyon yaparak mobil kullanıcıya daha ilgili reklamlar gönderiyormuş (Google adsense/adwords gibi)

s14

S14- Cep telefonu kullanıcısının mobclix e istek amaçlı gönderdiği örnek veri. Kullanıcının IMEI numarası, tekil android ID si, konum bilgisi ads.mobclix.com a gönderiliyor.

s15

S15- GCHQ nun yeni bir filtre kuralı yazarak kullanıcının en azından nerede olduğunun bilinmesine yönelik filtre yazılabilir.


s16

S16- Bir filtre dersi daha. Admob firmasının reklam istek verisi için mobil kullanıcının gönderdiği veriler.
User Agent ile kullanıcının cep telefonu işletim sistemi anlaşılıyor (IOS, Android, WP)
X-Admob-Isu: MD5 ile hash edilen tekil işletim sistemi ID si. Veri hash edildiği için her defasında aynı kullanıcıdan aynı veri gönderilecek. Ya da salt temin edilerek ID doğrudan elde edilebilir.
Filtre yazılırken gerekecek diğer bağlantı ve tanımlama bilgileri de mevcut.

Bundan sonrasında dataflurry reklam sağlayıcısından hangi bilgilerin nasıl alınabileceği detaylı olarak anlatılmış.
Sonrasında Android ID, WP7 ID ile ilgili detaylı bilgi verilmiş.
Son 4 sayfada BADASS programına örneklenen verilerin nasıl filtreleneceği ve istenen verilerin nasıl toplanacağı anlatılmış.

s17

S17- BADASS yazılım ve donanımsal dinleme sisteminin nasıl kullanılacağı (sömürüleceği) anlatılıyor. medialytics reklam sağlayıcı paketi analiz ediliyor. İşletim sisteminin Android olduğu, Android ID sinin MD5 ile hash edildiği anlatılmış. ID nin orijinal değeri örnek yakalama ile tespit edilerek çözümlenmiş. Sistemin IPhone larda da benzer şekilde işlediği söylenmiş.

s18

s18- t.medialytics.com sunucusuna giderken FKB PCAP tarafından yakalanan paket için “dev=” stringi seçildikten sonra Regular Expression kuralı konmuş. Tekil ID bilgisi MD5 ile hash edildiğinden ve bu değer 16 lı sayı sisteminde olduğundan dev= stringinden sonraki 0-9,a-f aralığındaki 32 karakter kaydediliyor. Tabii bu ID boşu boşuna elde edilmiyor. Elde edilen ID müteakip filtrelerle birleştirilerek mobil kullanıcının tüm internet trafiği artık ID si ile birlikte dinlenebiliyor.
Yani reklam servislerine gönderilen verilerden önce mobil kullanıcının ID si, IMEI si.. tespit ediliyor, aynı kullanıcının diğer aktiviteleri (sosyal medya, e-posta, web gezintileri….) o kullanıcının adına kayıt ediliyor. Zekice!
Snowden in bundan tam 5 sene öncesine ait sızdırdığı bu bilginin, günümüz imkânlarıyla ne kadar daha akıllandığını siz düşünün.
Buradan mobil kullanıcıların çıkartacağı dersler var elbette. Ama cep telefonunuzdan Internete bağlanıyorsanız öyle ya da böyle kişisel kimliğiniz tespit edilerek bütün veri alışverişiniz kayıt altına alınacak. Okuduğunuz, dinlediğiniz, izlediğiniz, yazdığınız herşeyin kayıt altına alınacağından ve günü geldiğinde kullanılacağından hiç şüpheniz olmasın. Üstelik sadece ulusal dinlemeden bahsetmiyoruz. Uluslararası omurgalara girdiğiniz her noktada farklı ülke istihbaratları tarafından da dinleneceksiniz.
Ekrem ORAL
Tüm hakları trsecurity.net aittir. 22.01.2015