Mass surveillance, dinlenmeler, yasadışı yetkisiz erişimler gibi konularla çalkalandığımız bu dönemde mahremiyet ve güvenlik giderek insanların dikkat etmeye çalıştığı bir konu haline geldi. Bu sunumda, Internet ve sosyal medya'nın dogğurdugu mahremiyet ihlalleri ve özel olarak geliştirdiğimiz sosyal medya aracılığı ile istihbarat ve mahremiyet ihlali yöntemleri açıklanacaktır. Artık "geçen yaz ne yaptığınız"dan daha fazlasını, sabah ilk kahvenizi kiminle içtiğinizden, favori mekanlarınıza ve günlük rutinlerinize kadar tüm mahremiyetiniz ifşa oluyor.

1. İZLENİYORSUNUZ
Canberk
Bolat
-­‐
Barış
Vidin
CYPSEC
‘15
15
APR
2015

2. Biz
kimiz
Canberk
Bolat
§ Troublemaker
@
Symturk
§ Pentest,
Fuzzing,
Reverse
Engineering
§ Blogger/Writer
-­‐
hHp://cbolat.blogspot.com
§ Contact
§ @cnbrkbolat
§ Canberk_bolat@symturk.com
§ canberk.bolat@gmail.com

3. Barış
Vidin
§ Troublemaker
@
Symturk
§ ApplicaRon
Load
TesRng,
Fuzzing
§ Contact
§ @barisvidin
§ baris_vidin@symturk.com
§ barisvidin@gmail.com
Biz
kimiz

4. İzleniyorsunuz

5. www.theguardian.com
Metadata

6. Metadata

7. İZLER
• İnterneHe
izler
bırakıyoruz
– Fotoğraf
paylaşımları
– Yer
bildirimleri
– Durum
güncellemeleri
– Beğeniler
– Hobiler/Zevkler
– Ruhsal/Duygusal
durumlar

9. Mahremiyet
İhlalleri
• Çoğu
zaman
atladığımız
bir
konu;
– Nerede
yemek
yediğimiz
biliniyor
– Sevdiğimiz
yemekler
biliniyor
– Gideceğimiz
konser
– Sık
görüştüğümüz
arkadaşlarımız
– İzlemeyi
düşündüğümüz
filmler
– Favori
mekanlarımız
– Günlük
ruRnlerimiz
– …

10. InterneHe
1
Dakika

11. InterneHe
1
Dakika
• Milyarlarca
kişi
işlem
gerçekleşRriyor
• TB’larca
veri
işleniyor
• Yeni
uygulamalar/kullanıcılar
bu
trafiğe
dahil
oluyor
• NSA,
GCHQ
gibi
servisler
bu
verileri
işliyor!

12. Mahremiyet
İhlalleri
• Bilerek
ve
isteyerek
yapılan
ihlaller
– Yer
bildirimi
vb
paylaşımlar
– Lokasyon
servisi
açık
bir
şekilde
gezmek
• Bilmeden
yapılan
mahremiyet
ihlalleri
– Çekilen
fotoğraflardaki
EXIF
metadata
bilgisi
– Akğınız
tweet’te
lokasyon
bilgisi
• Her
iki
kategoriye
de
girmeyen
durumlar(!?)
– There
is
no
patch
for
human
stupidity

13. Paylaşım
Çılgınlığı

14. Paylaşım
Çılgınlığı

15. Biz
ne
yapok?
Canberk
VS
Barış

16. SO-­‐INT
• Sosyal
Medya
plaqormlarının
ifşa
erği
bilgileri
topluyor
• Tek
bir
kişi
hakkında
bilgi
toplamak
yerine
toplu
olarak
genel
kitle
hakkında
bilgi
toplama
moRvasyonu
ile
oluşturuldu
• Bilinen
uygulama
ve
özellikler
kullanılarak
gelişRrildi
• İnterneHe
gerçekten
mahremiyet
mümkün
mü?

17. SO-­‐INT
• 3
Ana
modülden
oluşuyor
– Connector
• Facebook,
Instagram,
TwiHer,
Foursquare,
Instachat
vs
• Toplu
kişi
bilgisine
erişme
ve
veri
ayıklama
– Analyzer
• Toplanan
veriyi
anlamlandırıyor
– Core
• Veri
toplama,
depolama
ve
süreç
yöneRmi

18. SO-­‐INT
Architecture

19. SO-­‐INT
• GelişRrme
sırasında
yaşanan
zorluklar
– Uygulama/Servis
bazlı
zorluklar
• Yaşadığımız
limitasyonlar
• Uygulama
bazlı
önlemler
– Kaynak
tükeRmi
• Çok
fazla
sunucu,
depolama
alanı,
bant
genişliği
ve
sosyal
medya
hesabı

20. TwiHer
Connector
• Lokasyon
Bilgisi
• Eğer
eşleşRrilmiş
ise
Swarm/Foursquare
yer
bildirimleri
– Anlık
tweet’lerde,
lokasyon
bazlı
olarak
“swarmapp.com”
araması
yapmak
yeterli
– Doğum
gününde
nerde
olduğunu
biliyoruz!
– Ne
zaman
doğduğunu
da!
– Kiminle
kutladığını
da!

21. Facebook
Connector
• Kişisel
zevkler/hobiler
• Yer
bildirimleri
• Diğer
bağlı
hesaplardan
paylaşımlar
• Telefon
numarası

22. Facebook
Connector
• Telefon
numarası
– Facebook
üzerinde
telefon
numarası
ile
arama
yapmak
mümkün
(feature!)
– Gizlilik
ayarlarınıza
dikkat
etmediyseniz
başkaları
sizi
telefon
numaranız
ile
bulabilir
– Ya
birileri
tüm
GSM
numara
aralığını
sorgularsa?
• +90-­‐(5NN)-­‐NNN-­‐NNNN
• 5NN=532
==>
9~
milyon
numara
olasılığı

23. Facebook
Connector
• Ne
tür
bir
veri
elde
ediliyor?
– Telefon
numarası
FB’da
kime
kayıtlı
– Kayıtlı
kişinin;
• Ad
• Soyad
• Temel
Bilgiler
(Yaş,
Doğum
günü,
iş,
eğiRm)
• Profil
Fotoğra~
– Sahte
FB
hesaplarının
gerçek
telefon
numaraları
ile
eşleşRrilmesi

24. InstaChat
Connector
• Instagram
(IG)
tabanlı
chat
uygulaması
• Lokasyon
servisi
kullanıyor
• Yakınınızdaki
IG/IC
kullanıcılarını
topluyor
• Bir
IC
kullanıcısına
ait
erişilebilen
veriler
– IG
profil
bilgileri
– Lokasyon
bilgisi
(Kısmi
anlık)
– Çevrimiçi
bilgisi
– Diğer
sosyal
medya
hesaplarına
bağlano

25. InstaChat
Connector
• Limitasyon
problemi
– Instachat
• Belirli
sayıda
online/yakın
kullanıcı
• Yapılan
istekler
encrypted
• Lokasyon’a
müdahele

26. IC
EncrypRon
Key
• APK
analizi
• DEX
-­‐
-­‐
-­‐
>
JAR
• EncrypRon
key
• Tüm
istekler
decrypt
edilebildi
J

27. IC
EncrypRon
Key
com/futurebits/instamessage/free/b/e.java

28. IC
EncrypRon
Key
com/futurebits/instme/EncryptLoad.java

29. IC
EncrypRon
Key
• lib/armeabi/libinstme.so
• Reversed
in
IDA
Pro
• Export
funcRon
getAESKey

30. IC
EncrypRon
Key
• aInstaihs_p5sag
değişkeni
– 16
byte
uzunluk
– KEY?

31. IC
EncrypRon
Key
• AES-­‐128-­‐ECB
Mode
DecrypRon

32. IC
EncrypRon
Key

33. Facebook
Connector
• Limitasyonlar
– Facebook
numara
sorgulama
limiR
• Tek
account
ile
200~
numara
sorgulayabilme
• iOS
endpoint’i
ile
bunu
500~
çıkartabildik
• Dağıok
sistem

34. Facebook
Connector
• Facebook
Web
– Belirli
bir
sürede
peş
peşe
200~
numara
sorgusu

35. Facebook
Connector
• Facebook
for
iOS
– /method/ubersearch.get
– query=TelefonNumarası
– Limitasyon
daha
iyi
(500~
sorgulama)

36. Facebook
Connector
• 1
Agent
à
4
Account
– 60
saniye
à
10
sorgu
– 60
dakika
à
600
sorgu
– 1
gün
à
14.400
sorgu
– 3
ay
à
1.296.000
sorgu
• 20
Agent
à
80
Account
– 3
ay
à
25.920.000
sorgu
– Bir
GSM’e
ait
yaklaşık
3
adet
numara
aralığı

37. Sonuç
• Instachat
– HTTP
Trafik
– SSL
Pinning
yok
– Embedded
EncrypRon
Key
• Facebook
for
iOS
– Farklı
Arama
Endpoint
– İsRsmara
açık
özellikler
(FB
Account-­‐>Tel
No)
– HTTP
Trafik

38. Sonuç
• Sadece
sosyal
medya
hesapları
ile
bir
kişiye
ait
çok
detaylı
bilgiler
elde
edilebiliyor
• İlgili
plaqormlar
toplu
olarak
insanlar
hakkında
bilgiler
toplanmasına
olanak
sağlıyor
• Lokasyon
bazlı
uygulamalar
gerekli
önlemler
alınmadığında
takip
edilmenize
olanak
sağlıyor

39. TEŞEKKÜR
EDERİZ