Android Kilit Patern yöntemini İnternet için Adapte Etme

Aralık 11, 2014

Android Lock Pattern, Android telefon kilitini kaldırmak için PIN yerine kullanılan oldukça başarılı bir grafik parola yöntemi.

Android Kilit Paterni (Andorid Lock Pattern)

Android Kilit Paterni (Android Lock Pattern)

 

Fakat İnternet’te kullanmak için uygun değil. Bu alanda yaptıuğımız en son çalışmada bu yöntemi İnternet için adapte ettik. charPattern ismini verdiğimiz çalışmamız PASSWORD konferansında (evet sadece parolalar için bir konferans var!) yayınlandı.

charPattern

charPattern

Makalemize aşağıdaki linkten ulaşabilirsiniz:

charPattern: Rethinking Android Lock Pattern to Adapt to Remote Authentication, 

Presented at PASSWORDS 2014, December 8-10, Trondheim, Norway.

http://passwords14.item.ntnu.no/Preproceedings_Passwords14.pdf


Genç Araştırmacılara Tavsiyeler (2): Niye “Güvenlik” Konusunda Çalışmalısınız?

Ağustos 6, 2013

Yaklaşık iki yıl önce genç araştırmacılara tavsiye içeren bir blog yazısı kaleme almıştım. Bu yazı ile ilgili bu blogda olmasa da başka kanallardan çok olumlu geri bildirimler oldu. Benzer şekilde bu sefer “niye güvenlik konusunda çalışmalısınız?” konusu hakkında birkaç söz söylemek istiyorum.

Duyanlar duymuştur. İçlerinde bir Türk akademisyenin de olduğu bir grup VW tarafından da kullanılan araba kilitlerini nasıl kırdıklarını Usenix Security sempozyumunda tam sunacaklardı ki İngiltere mahkemeleri tarafından yayınlarına ve konuşma yapmalarına yasak konuldu.

Sorumlu Açığa Çıkarma (Responsiple disclosure) güvenlikte çok tartışılan bir konu. İyi niyetli Türk hackeri haberini hatırlayalım. Ben oralara girmeyeceğim şimdilik. Ama şöyle bir düşünüyorum da (hatam varsa düzeltin) en azından bilgisayar bilimleri alanında güvenlik dışındaki bir  konudaki bir konuşmanın mahkeme kararı ile durdurulması çok akla yakın gözükmüyor. Bu öncelik sadece güvenlik araştırmacılarına verilmiş gibi! Daha Türkçe ifade ile, güvenlik alanında çalışırsanız yapmış olduğunuz araştırmaların sosyal etkileri ve yankıları çok geniş olabiliyor. Bir arkadaşın kulakları çınlasın, “şöyle ses getirecek bir çalışma yapmak istiyorum” diyen genç arkadaşlara güvenlik konusunu hararetle tavsiye ediyorum. 


Parolaları dokunmatik ekranlardan daha kolay girmek

Nisan 10, 2013

Gün geçtikçe İnternet’e dokunmatik ekranlara sahip olan tablet, akıllı telefon, vb. cihazlardan daha çok giriyoruz. Bu cihazların metin girmek için  çoğu zaman tek seçeneği olan ekran klavyeleri (soft-keyboard) ile parolaların (bilhassa özel karakter, Türkçe karakter vs. içermesi durumunda) girilmesi fiziksel klavyeden girilmesine oranla daha zor. Öte yandan çoğumuz aynı sitelere bazen mobil cihazlardan bazen de masaüstü bilgisayarlardan giriyoruz. Dolayısıyla hem masaüstü bilgisayarlardan hem de dokunmatik ekranlı cihazlar ile girişi daha kullanışlı bir parola yöntemine ihtiyaç var.

İşte bu yeni ortaya çıkan ihtiyacı karşılama adına önerdiğimiz gridWordX yöntemine ilişkin yazmış olduğumuz makale IEEE MoST 2013 çalıştayına kabul edildi. Bu çalışmayı yüksek lisans öğrencisi Uğur Çil ile beraber yürüttük. Önerimizin daha önceki versiyonu ile ilgili çalışmamıza şuradan ulaşılabilir. Aşağıda yeni versiyona ilişkin bir ekran görüntüsü yer alıyor.

interface_mobilelogin


ISCTURKEY 2012

Mayıs 16, 2012

ISCTURKEY 2012 konferansı yarın ve cuma günü (17-18 Mayıs 2012)  ODTÜ’de yapılacak. Katılım ücretsiz.

Yüksek Lisans öğrencilerimden Murat Akpulat aşağıda özetini verdiğim çalışmayı yarın (17 Mayıs 2012) saat 16:30’da başlayacak 3. oturumda sunacak. Katılmak isteyenlere duyurulur.

Başlık: Metin ve Grafiksel Öğeleri Birleştiren Yeni bir Parola Tabanlı Kimlik Doğrulama Yöntemi

Özet: Günümüzde en yaygın kullanılan kimlik doğrulama yöntemi şifre (parola) tabanlı olanlardır. Son yıllarda pek çok grafiksel parola yöntemleri geliştirilmiş fakat bu yöntemler pratikte henüz klasik metin parolaların yerini alamamıştır. Bu çalışmada hem metin hem grafiksel öğeler içeren melez bir parola tabanlı kimlik doğrulama yöntemi önermekteyiz. Yaptığımız deneysel çalışma Yaz&Tıkla ismini verdiğimiz yeni yöntemin hem uzun dönem hatırlanabilirlik hem de kullanıcı memnuniyeti açısından sadece metin ve sadece grafik tabanlı parola yöntemlerine oranla daha başarılı olduğunu göstermektedir.


Kaç tane cüzdan bir tane doğru Pin Kodu eder?

Nisan 26, 2012

Cüzdanınızda kaç tane banka kartı var? Ya kredi kartı sayısı? Peki cüzdanınızı hırsıza kaptırırsanız hırsızın pin kodunu doğru tahmin edip ATM’den para çekmesi veya kredi kartınızı bir yerde kullanması ihtimali nedir? Hiç düşündünüz mü? (cüzdanınızdaki bir küçük kağıtta pin’inizin yazmadığı varsayımı ile ki aksi halde bu ihtimal % 100 olur haliyle)

Öncelikle cüzdanızda nufüs cüzdanı veya başka bir kimliğin olduğunu ve bu sayede doğum tarihinizin kolayca öğrenilebileceğini kabul edelim. İkinci varsayımımız banka ve kredi kartlarını kullanırken 3 kez yanlış pin girilmesi durumunda kartınızın bloklandığı. Bu şartlar altında eğer 4 tane kartınız varsa (hem kredi kartı hem banka kartı olarak kullanılan kartlar ile ayrı ayrı 3 kez pin tahmini yapılabildiği için bu kartları iki sayalım), hırsızın doğru pin tahmini yapma olasılığı % 10,9’dur (teorideki olasılıktan çok daha yüksek bir oran). Bir diğer ifadeyle bir hırsızın 9 cüzdan çalması doğru Pin tahmini yapması için yeterlidir.

Peki ne yapmalısınız? Cevap doğum tarihinize bağlı. Örneğin doğum tarihinizin 3 Haziran 1983 olduğunu varsayalım. Bu durumda ilk etapta kaçınmanız gereken pin’ler şöyledir: 1983, 6383, 0306, 0603, 1234 ve 0683 (Bu pin’ler aynı zamanda saldırgan için optimal olan pin denemeleridir).

Peki bankalar ne yapmalı? Diyelim ki genel (her kullanıcı için ayrı ayrı olmayan) bir pin kara listesi oluşturulacağını varsayalım. 100 elemanlı kara liste şu PİN’lerden oluşturulmalı:

0000, 0101-0103, 0110, 0111, 0123, 0202, 0303, 0404, 0505, 0606, 0707, 0808, 0909, 1010, 1101-1103, 1110, 1112, 1123, 1201-1203, 1210-1212, 1234, 1956-2015, 2222,2229, 2580, 3333, 4444, 5252, 6666, 7465, 7667.

Peki bu liste hırsızlığa karşı ne kadar etkin? Doğum tarihinin hırsız tarafından bilinemediği durumda bir hayli etkin. Fakat hırsız doğum tarihinizi biliyorsa bu kara listenin etkisi çok az maalesef. Kullanıcıya özgü kara listeler kullanılamıyorsa iş biraz kullanıcıya kalıyor dolayısıyla.

Özenle duyurulur.

Kaynak: A birthday presents every eleven wallets? The security of customer-chosen banking PINs, Joseph Bonneau, Sören Preibusch, Ross Anderson, Financial Cryptography 2012.


Matematik Nasıl Sevdirilir?

Şubat 15, 2012

Akademik Güvenlik başlığına sahip bir blogda matematikten bahsetmenin sebepleri ile girizgah yapmaya gerek yok sanırım. Ben bu yazıda matematiğin sevdirilmesi konusunda bir kaç not paylaşacağım.

Jerry P. King, Matematik Sanatı adlı kitabında öğrencilere matematiğin sevdirilmesi için kullanılabilen iki ana yöntemden bahsediyor. Bu yöntemlerden birincisi ve daha çok tercih edileni matematiğin  ne kadar yararlı olduğunu belirtmek. Mesela mühendislik öğrencilerinin ileride bu matematiği ne kadar yoğun bir şekilde kullanacağından bahsetmek vs. King bu birinci yöntemin matematiğin sevdirilmesi ve öğrenilmesi için etkili olamadığını söylüyor. Öğrencilerin şu anki matematik bilgisi ve görgüsü düşünüldüğünde çok da haksız sayılmaz.

İkinci yöntem ise matematiğin estetik ve sanatsal yönüne vurgu yapmak. King kitabında bazen takip edilmesi zor felsefi tartışmalara girse de herhangi bir matematiksel düşüncenin estetik niteliğini ölçmek için kullanılmasını önerdiği “minimal tamlık” ve “maksimal uygulanabilirlik” ilkeleri anlaşılabilir nitelikte. Kök 2’nin irrasyonal olduğunun ve sonsuz sayıda asal sayı bulunduğunun ispatları ve eiπ+1=0 eşitliği gibi örnekler yazarın bu ilkelerle ne demek istediğini net olarak ortaya koyuyor.

Fakat kitabın satır aralarında matematiğin sevdirilmesi için kullanılabilecek üçüncü bir yöntem daha gizli. Bu üçüncü yöntemin ne olduğu hakkında bir ipucu vermesi amacıyla yazarın başından geçmiş bir anısını mümkün mertebe kısaltarak aşağıya alıntılıyorum:

Bir spiker araya girdi ve heyecanını belli etmemeye çalışarak günün önemli olayına ait son haberleri vermeye, Three Mile Adasındaki nükleer santralde meydana gelen sızıntı tehlikesi yüzünden bölgeyi boşaltma planlarını anlatmaya başladı.

İki hafta sonra fakülte yemek salonunda öğle yemeğine gitmiştim. Yemekte yanıma iki genç asistan profesör oturmuştu: sosyoloji bölümünden genç bir bayan, fizik bölümünden genç bir bay. Three Mile adasından konuştuk.

… Sosyolog bayan konuşmaya başladı. … Geçmişteki nükleer felaketlerden ve gelecekteki potansiyel felaketlerden bahsetti…. Oppenheimer’in ünlü “Artık ben dünyaları yok eden ölüm oldum” sözlerini tekrarladı…  Elektrik enerjisi için duyulan ilginin insanlar için duyulan ilgiden üstün tutulmasına yol açan kapitalist açgözlülükten ve tökezleyen ahlak kurallarından söz etti….

Fizikçi de sessiz ve hareketsiz dinliyordu. Sosyolog konuşmasını bitirdiğinde ona sakin sakin:

-Konuştuklarınız hakkında bir şey bilmiyorsunuz.

dedi.

Sosyolog sinirlendi ve

– …

Fizikçi daha da sakin bir şekilde

– Benim söylemek istediğim o değil.

– Nedir öyleyse?

Ceketinin cebinden ufak bir not defteri ve eski bir dolmakalem çıkardı… Bir şeyler yazdı ve ona verdi. O da göreceğim bir şekilde bana uzattı. Fizikçi tek bir denklem yazmıştı:

dy/dt = ky

– Peki ne var bunda?

Fizikçi, defteri göstererek “Bunun anlamını biliyor musunuz? diye sordu.

– Ben matematikçi değilim.

– Ben de değilim. Bunu anlamak için matematikçi olmak gerekmez. Bunu üniversitenin birinci sınıflarında öğretiyoruz. Dekana sorun isterseniz.

Sosyolog hanım bana baktı, ben yine başımı salladım.

Şimdi fizikçinin sesinde hafiften bir üstünlük seziliyordu:

– Bu nükleer bozulmayı açıklayan bir diferansiyel denklemdir. … Basit işlemler uygulayarak bu ifadeden nükleer maddenin yarı ömrünü saptayabiliriz. Bütün bunları anlamıyorsanız gelecekteki sağlık sorunları hakkında konuşamazsınız. Ve siz de anlamıyorsunuz. Bütün söyledikleriniz boş laf, hepsi hava cıva.

Durdu, çayından bir yudum aldı. Sosyolog yine bana baktı. Şaşırmış ve çaresizdi.

Fizikçi:

-Size denklemin çözümünü de yazabilirim, ama onu da anlayamazsınız.

Sosyolog bir şey söylemeden kalktı, masayı ve odayı terk etti.

Anı burada bitiyor. Ne dersiniz “hayatınızda bir kez bile olsun kendinizi Fizikçi yerinde düşünün” demek  matematik konusunda öğrencileri motive edici olur mu?

Yine kitaptan bir alıntı ile bitireyim.

N tipi (örneğin yukarıdaki sosyolog) insanlar  M tipi (matematikten yararlanma kolaylığına sahip) insanlar ile bilim ve teknoloji konularında tartışamazlar. Çünkü her zaman kaybederler… Evet, haklı olduklarında  bile kaybederler.


Bilgiye Ulaşmak Hiç Bu Kadar Kolay Olmadı

Aralık 21, 2011

Bu bloğu takip edenlerden “hocam uzun zamandır yazmıyorsunuz” türü yorumlar duymak güzel oluyor. Ben de bugün uzun süren blog sessizliğini bozmaya yeltenmiş bulunuyorum.

Tam anlamıyla ihata edemediğimizi düşündüğüm bir bilgi çağının içinde bulunuyoruz. Bilgiye ulaşmak, öğrenmek ve özümsemek için binlerce seçenek önümüzde dağ gibi yığılmış. Ne demek istediğimi konumuz olan güvenlik alanında iki örnekle açıklayayım. Birinci örnek Stanford Üniversitesi profesörlerinden ve kripto camiasının meşhurlarından Dan Boneh’in vereceği Ocak 2012’de başlayacak ve herkesin ücretsiz takip edebileceği çevrimiçi Kriptografi dersi.  Konuyla ilgiliyseniz (ki bu bloğu takip etmenizden ilgili olduğunuz anlaşılıyor) bu derse en azından bir göz atmanızı şiddetle tavsiye ederim. Bu dersin yanında onlarca diğer çevrimiçi dersten hangisini seçmek isterseniz artık.

İkinci örnek USENIX Security Symposium. Güvenlik alanındaki en önemli 4 konferanstan biri kabul edilen (diğerleri ACM CCS, IEEE S&P ve NDSS) bu aktivitenin tüm makalelerine (isterseniz E-book formatında) ulaşabildiğiniz gibi isterseniz sunumların videolarına, isterseniz MP3 ses dosyalarına yine ücretsiz, kayıtsız ulaşmanız mümkün. “Network Security in the Medium Term: 2061–2561 AD” gibi enteresan başlıklı konuşmalardan seçim yapmak çok kolay değil.

Burada bir öğrenci arkadaş ben bilgi güvenliğinden çok bilgi paylaşımı konusunda çalışmak istiyorum, bilgiyi kısıtlamak yerine bilgiyi erişebilir ve kullanılabilir hale getirmek çok daha önemli bir konu demişti. Gerçekten de bahsettiği konu çok önemli ama bu konunun bilgi güvenliği alanına giren cihetleri de yok değil. Bilgi güvenliğini gizlilik, bütünlük ve erişilebilirlik boyutlarıyla beraber düşünmek gerekli. Erişilebilirlik hakkında yukarıda bahsettiğim Usenix sempozyumunda sunulan ve bir süre önce zevkle okuduğum bir makaleden kısaca bahsederek bu yazımı sonlandırmak istiyorum.

Kablosuz ağların servis engelleyici saldırılarılara son derece açık olduğu bilinen bir gerçek. Wi-Fi’da veya başka ağlarda bu saldırılarla ilgili yoğun bir şekilde çalışılıyor. Why (Special Agent) Johnny (Still) Can’t Encrypt: A Security Analysis of the APCO Project 25 Two-Way Radio System makalesinde ise bu konu daha farklı bir uygulama için araştırılmış. Günümüzde kullanılan en yaygın iki telsiz haberleşme standardından biri olan APCO P25 bağlamında. 15 dolarlık bir oyuncak kullanılarak nasıl telsiz konuşmalarının engellenebildiğini makaleden öğrenebiliyorsunuz.

Bu makalede ayrıca kullanışlılık konusuna da girilmiş. Telsiz ara-yüzündeki bazı zayıflıklardan dolayı pek çok gizli telsiz haberleşmesinin dinlenebildiğini de yine bu makaleden şaşırarak öğreniyorsunuz.  Şu alıntıyı aynen yapmama müsaade edin:

“While we will not identify here the agencies, locations, or particular operations involved, we note that the traffic we monitored routinely disclosed some of the most sensitive law enforcement information that the government holds, including: Names and locations of criminal investigative targets, including those involved in organized crime. Names and other identifying features of confidential informants. Descriptions and other characterizing features of undercover agents. Locations and description of surveillance operatives and their vehicles. Details about surveillance infrastructure being employed against particular targets (hidden cameras, aircraft, etc.). Information relayed by Title III wiretap plants. Plans for forthcoming arrests, raids and other confidential operations.”

Ee, boşuna bu makale ödüle layık görülmemiş. Matt Blaze ve arkadaşlarını biz de tebrik ediyoruz.