   |
|
|
ÇİP KARTLARA BİR BAKIŞ Marcus Janke
ve Peter Laackmann ' dan , telefon kartı dolandırıcılığının , son yıllardaki
değişimine bir bakış : Bir çip kartı
sistemi geliştirirken , uygulamanın teknik açıdan güvenli bir yaşam döngüsüne
sahip olmasını sağlamaya yönelik karar ve tahmin aşaması, daima en zor aşamalardan
biri olmuştur. Şimdilerde
gelişen, dinamik güvenlik anlayışına göre, çipkart uygulamaları alanında
3 ile 5 arasındaki bir güvenli yaşam döngüsü, genelde gerçekçi olarak
force edilmektedir. Bu süre geçmeden ilgili uygulama , yeni nesil hardware ve
software ile upgrade edilmektedir. Bazı
durumlarda , optimum güvenliğin sağlanması , farklı kaynaklardan doğan birçok
engel tarafından zorlaşmaktadır. Tüketici sektöründe güvenlik parayla
ilgili bir sorunken, aynı zamanda güvenliğin limitleri de tüketici tarafından
yapılan başvuruyla sınırlı kalmaktadır. Her zaman için
, müşterinin kabulüne ulaşmakta, yüksek güvenlik ideal olandır. Basının
belirtiğine göre , son beş yıl içindeki olaylarda , beklenen güvenliğin,
sadece yanılsaması ortaya çıkmış , bu da yeni çipkartı uygulamalarına
olan güveni felakete varan boyutlarda azaltmıştır. Bu başlığın amacı,
geniş bir alanda yıllardır süren uygulamaların sonucunda ulaşılan tecrübeyi
analiz etmektir. Simule edilmiş
ilk telefon kartları 1993 gibi çok erken bir zamanda ele geçirilmişti bile. Bu sistemler,
plastik bir kart üzerine iliştirilmiş, ISO bağlantı bloklarına ince
kablolarla bağlanmış tek board' lu ( kartlı) mikrobilgisayarlardan oluşmaktaydı.
Daha az şüpheli simulatörlerin ticari üretimine yakın zaman sonra başlanılmıştı:
1995 yılında korsanlar, ilk sürüm telefon kartlarının güvenlik mantığını
taklit edebilen mantık modüllerini tedarik etmişlerdi. Bu ürünler, gerçek
telefon kartlarıyla aynı boyutta bir boardın yanısıra bir mikro işlemciyi
de içeriyordu. Bu tarz ürünler yasadışı olarak satıldı, Bu sırada
" hepsini kiralama ( hiring them out) " olayları da gözlemlendi. Maksimum 0.8
mm kalınlığındaki boardların yapılması için üzerinde çok çalışılması
gereken el işçiliği gerektiğinden, genel tahminler tüm Almanya ' da yalnızca
birkaç yüz kartın yapılabildiği yönündeydi. Bu alanda atılan diğer adım,
çok daha büyük bir tehlikeyi ortaya çıkarmıştı: 2 Ağustos 1996 'da
30.000 adet sahte kart ve bunları kişiselleştirmeye (personalize ) yarayan
bir alet yakalandı/ ele geçirildi. Bu kartlar, ilk defa olarak , telefon kart
çiplerini yeniden dizayn etmenin ve bunları yasadışı market için büyük
oranlarda üretmenin mümkün olabileceğini göstermişti. Bu arada , özel şahıslar
kart ve kamuya açık telefonlar arasındaki data protokolünü analiz ederek ,
ilk nesil telefon kart çiplerine simule edebilmişlerdir. " Eurochip"
'in tasdik edilme protokolünden sonra bu tarz müdahaleler artık mümkün değildir.
- en azından günümüzde. Buna rağmen, modern çiplerin işleyişine yönelik
bilgiler taklitçilerin eline başka yollardan da geçebilir. Örneğin, "
Semiconductor Insights" isimli bir Kanada şirketi, telefon kartlarında
kullanılan mikroçiplerin -detaylı dizayn analizlerini satmaktadır.
Verdikleri planlara göre dökümanları , çiplerin devre planlarının tamamını
ve sinyal diyaznını içermektedir. Bazı suçlular
telefon kartları üzerinde şarj için ayrılmış olan bölgeyi tekrar şarj
etmeye yarayan bazı çip serilerindeki bir hatayı bularak kara borsadan "
gri borsa"ya geçiş yaptılar. 22 basamaklı seri numarası olan borç
kartları 1996 yılında piyasaya sürüldü. Bunlar UV - Aktif mürekkeple yazılmışlardı,
çipin türü hakkında detayları içeriyordu, bu yüzden de South-After sürümünü
almak kolaylaşıyordu. Sonuçta
normal olmayan iki gözlem zararın boyutunu ortaya çıkardı. Koleksiyoncular
tarafından fazla değer biçilmeyen standart telefon kartlarını fiyatı
talepteki ani artış yüzünden 5 (beş) Pfennig'den 20 kat fazlasına yükseldi.
Aynı anda yeni telefon kartlarının satışı hissedilir oranda düştü. Basına kayıplarını
ilk bildiren satışlarının % 50'si ( yüzde elli)
telefon kartlarından oluşan toptancı şirket Tobacco oldu . Örneğin
, bir Mönchengladbach şirketi Tobaccoland bu alandaki satışlarında %10 'luk(
yüzde onluk) bir düşüş bildirdi. Birkaç tane
belli belirsiz kullanılmışlık işareti dışında , yeniden şarj edilmiş
telefon kartları yeni telefon kartlarından ayırt edilemediğinden, bu kartlar
tüm pazarda bir sirkülasyona ulaştılar. Bu kartları iyi niyetle almış
insanlar da , yasadışı kullanımdan sorumlu tutulmadılar. Genel kullanımdaki
kartlı telefonların , son derece esnek(uyumlu) yapıları sayesinde ,
softwarelerinin herhangi bir zamanda yenilenebiliyor olmasından dolayı farklı
farklı taklit kartların ortaya çıkmalarından hemen sonra hızlı bir şekilde
bu taklitlere tepki vermek mümkün oldu. Yasadışı sistemeler ele geçirildiğinde
, bunlar daha sonradan sahteleri elektronik olarak saptamada yararlanılan ipuçları
olarak kullanıldılar. Almanya'da, - Hollanda'da da olduğu gibi- taklitler,
zamanlama karakteristikleri( özellikleri) aracılığıyla ayırt
edilebiliyordu. Çipleri elektronik olarak etiketleme yoluyla da , gerçek
kartların tekrar şarj edilmesi problemine karşı koyuldu. Bir kart ilk
kez olarak kullanıldığında, kart üzerindeki pek fazla da kullanılmayan ek
depolama alanları ( scratchpad) , halihazırda kullanımda olan bir kartı
kimliklendirmek ve kullanımda olan birim sayısına dair verileri kaydetmek için
kullanıldı . Birkaç sene önce telefon kartlarının geçerlik sürelerini kısıtlamak
tartışmalı bir konuyken, günümüzde, eski çip nesillerinin güvenilir yaşam
sürelerinin sona ermesinden sonra da kullanılmasının ( örn. çok sayıda
taklidin pazara girmesiyle) önlenmesi gereği, geçerlik sürelerini kısıtlama
sürelerini haklı çıkardı. Bu paralel olarak , Deutsche Telekom telefon
kartlarının geçerliği Ekim 1988 'den itibaren üç yıl olmak suretiyle sınırlandırıldı. Özel TV (Paralı,Ödemeli) Sektöründeki Uygulamalar Özel-TV'lerin
dekoderlerinde kullanılan çipkartları halihazırda birçok ülkede
geniş bir kullanım alanına sahipler. Bu alandaki avantajlar çok açık:
Farklı operatörlerden çıkış yapan birçok kanal için sadece tek bir
standart dekoder gerekiyor. Şifrelenmiş kanalları çözmek için kullanıcının
sadece televizyon şirketlerinden sağlanabilecek çipkartlarına ihtiyacı var. Yetkisiz
insanların, televizyon programlarının şifrelerini çözmemeleri içinse , şifrelemekte
kullanılan teknoloji belirleyici bir faktör. Bu güne kadar üç ayrı şifreleme
teknolojisi nesli geliştirildi. Analog Sistemler, Melez S,stemler ve Dijital
Sistemler. ANALOG SİSTEMLER Analog
sistemler , normalden ( PAL, SECAM, NTSC ) sapmış durumda bulunan televizyon
sinyallerinin televizyon tarafından orijinal imaja çevrilememesi esasına
dayanmaktadır. Örneğin, senkronizyon sinyallerinin eksik olduğu bir durumda,
sabit bir resim oluşturulması mümkün değildir. Özel -TV'nin
gerçek dekoderiyse bu sinyallari yerine koyarak , kullanıcının yararlanmasını
sağlıyor. Analog sistemler " karıştırarak güvenliği sağla "
prensibine dayanmaktadır. Böyle bir işletim sistemi kurmaksa oldukça kolay
olduğundan, bunların kırılması da kolaydır ve geçmiş, bize bu
sistemlerin güvenlikli yaşam süresinin oldukça kısa olduğunu göstermektedir.
Bu tarz sistemler artık Almanya 'daki Özel- TV sektöründe kullanılmamaktadır. MELEZ SİSTEMLER Melez
sistemlerde, televizyona gelen sinyal normal şeklindedir.Ancak görüntüleyici
bir dekoder olmaksızın oluşturabileceği bir resim elde edememektedir. En
basit metod, resmin satırlarını karıştırıp bu satırları değişik bir sırada
transfer etmektdir. Bu data dekoder tarafından alındığındaysa resim satırların
normal sırasıyla tekrar düzene konmaktadır. Bu sistemdeki bir mikroişlemci
gönderilen datayı çözmenin yanısıra " abonelik" yönetimi de
yapmaktadır. Bir kart mesela seçilebilecek bir bloke emriyle bloke edilebilir.
" Videocrypt", "Eurocrypt" ( EN 50094) ve " Nagravisim"
sistemleri geniş bir kullanım alanına sahiptir. Beklenilebileceği
gibi bu yaygın kullanım alanı da çeşitli hile denemelerine maruz kalmıştır.
Hele ki sahte Özel -TV kartlarını sağlayan insanlar çok büyük kazançlar
sağlayıp , bunun için bir harcama yapmaları gerekmediğinden bu alandaki çalışmalar
artmıştır. Dekodere gelen data akımları bir bilgisayar tarafından
kaydedilmiştir. Bundan
sonra ilk taklitler ortaya çıktı: Bir PC'ye
kabloyla bağlanarak kullanılabilen , çipkart benzeri boardlar.Bu konfigürasyonda
PC bir çipkartın görevini görüyordu. Bunları daha sonraları, sadece kodun
değişmesi gereken zamanlarda PC ile iletişim kurabilen daha küçük
taklitler takip etti. Bunların üzerinde hakiki çipi taklit eden mikroişlemciler
bu aygıtların kartlarına yerleştirilmişti ve TV dekoderin kendisindeki
elektrikten yararlanıyordu. Bundan sonra,
teknolojik savaşlar yoğunlaştı: sistemleri geliştirenler , zaman zaman alışılmadık
metodları da kullanarak korsanlardan bir adım önde olmak durumunda kaldılar.
Bu metodların iki ana amacı vardı: Bir yandan , yeni mikroişlemcilerin
kullanılmasıyla yeni taklitkerin yapımını zorlaştırmaya çalışırlarken
, diğer yandan da , mali kaybı minimumda tutabilmek için sahteciliğin önünü
almaları gerekiyordu. Çipkartları, TV kanalı aracılığıyla , kendi
depolama alanlarını değiştirebilme yeteneği ile donatıldı. Ayrıca ,
taklit kullanıcılarının kullandıkları herneyse en fazla bir kaç hafta
kullanabilmelerini sağlayan yeni bir çip daha eklendi . Korsanlar buna çok çabuk
tepki verdiler ve yeni kodların elle girilmesini sağlayan klavyeye sahip bir
simulatör-board ürettiler. Bununla karşılaşılınca bir üretici de kendi
çip modüllerini iki ayrı mikroçip ile donattı: Normal mikroişlemci güvenliği
artırmak için eklenen bir müşteri çipiyle ( ASIC) birleştirildi. Korsanlar
da kelimenin tam anlamıyla bu tedbirin içini gördüler: X- Işını
resimleriyle ikinci çipin modüldeki yerini belirledikten sonra , bunu mikroişlemciden
ayırıp , küçük bir board ekleyerek taklit ettiler. Bu
olaydan sonra, melez içerik daha fazla takip edilmedi. Üreticiler ve geliştiriciler
yeni mikrokontrolcüler tarafından önerilen yeni olasılıklar üzerine
konsantre oldular. Yine de , mikroçipler bir güvenlik modülü olarak kopya
edilemese de hala bir müdahaleyi başarılı kılabilecek açık noktalar
mevcut. Modern Özel-
TV uygulamalarında güvenliğin anahtar noktalarından biri de dekoder aracılığıyla
, belirli kartlara yönelik seçimlik bloke emirleri göndermektir. Gereken
emirler , videotekte benzer bir uygulamayla data olarak uygulanmaktadır. Bir
dekoder , böyle bir sinyal aldığında , içindeki kartı kontrol etmektedir
ve eğer kartın bloke edilmesi gereken bir
kart olduğunu saptarsa onu kullanıma kapalı hale getirmektedir. Hacker'larda
, kartın kullanma tarihi geçtikten sonra bile kullanılabilmesi için , çalışmalarını
kartın kullanıma kapanmasının engellenmesi yönünde yoğunlaştırmışlardır.
Bu araştırmaların sonucu olarak " BlueBlock" olarak adlandırılan
sistem ortaya çıkmıştır. Bu sistemin ana fonksiyonu çipkartı ve dekoder
arasında bir filtre görevi görmektir. Yerleştirilmiş bir mikroişlemci , çipkartına
yönelik bir data akışını gözlemektedir ve kullanıma kapatma komutu geldiğinde
bunu daha ileriye transfer etmez. Bu işlem " ortadaki adam" müdahalesi
olarak adlandırılmıştır. Mevcut güvenlik modülüne yönelik herhangi bir
çarpıtma / hile içermeyen bu işlem , modül içindeki bilgi akımına karışır
ve bunu değiştirir. Melez sistemlerin bir başka zayıflığı da programla
birlikte gönderilen emirlerin , yayınla birlikte tüm müşterilere ulaşmasıdır.
Her bir çipkartı aynı input ( girdi) değerini alırken kendine özgü bir
output(çıktı) değeriyle yanıt verir. " Replay" adı verilen bir
başka müdahale yöntemi de şöyledir : Gerçek bir karta sahip bir müşteri,
bir film boyunca gönderilen input ve output değerlerini bir PC aracılığıyla
kaydederek bunu başka insanlara gönderir ( örn. Internet aracılığıyla)
Bir videoda gönderilen verileri kaydedeceğinden, film bir dekoder vasıtasıyla
izlenirken PC'de kaydedilen input-output değerlerimi dekodere göndermek için
kullanılır. Bu prosedür
de facto bir " norm" olan VCL ( videocrypt Logfile) ile geniş bir
kullanım alanına ulaştığını kanıtlamıştır. Yukarıda
anlatılan metoda karşı etkili bir önlem geliştirilse bile melez sistemlerin
sonu yakın gelecekte gözükmektedir. Bunun nedeni, ek bilgiye ihtiyaç duymadığı
halde , şifreli sinyallerin çözülmesini sağlayan hızlı imaj işleme
sistemlerinin gün be gün artmasıdır. Her satırın tersini çabucak saklayıp
yine de bunları orijinal formuna sokan programlar zaten mevcut. Bunlar her ne
kadar bir televizyon programını eş zamanlı olarak çözemese de, bunu
yapabilme imkanı çok hızlı sinyal işlemcilerinin gelişmesiyle gerçeğe dönüşmek
üzeredir. DİJİTAL
SİSTEMLER Dijital sistemler, data transferi için normal televizyon sinyallerini değil, dijital olarak sıkıştırılmış data akımları kullanırlar. Bir kaç ayrı televizyon kanalının bir data akımına sıkıştırılabilmesi, etkili şifreleme yöntemlerini de ortaya çıkartmıştır. Melez sistemlerde , görüntü bilgisi karıştırılmış satırlar şeklinde aktarılırken dijital sistemler tamamen şifrelenmiş data akımı aktarırlar. İyi geliştirilmiş imaj işleyiciler bu noktada devre dışı kalırlar. Ayrıca , tamamen şifrelenerek gönderilen data , cryptoanalytical !!!!?? metoddan çok daha yüksek potansiyeli demektir. Özel TV sistemeleri arasındaki standartlaşma eğilimi de olumlu bir etki oluşturmaktadır: Varolan ve gelecekte varolacak olgular , esnek bir yapıya sahip olan , hem görüntü hem de ses taşıyabilen değişik standartlarda MPEG-Z işlemiyle sıkıştırılmış " data container" içeriğinde olduğu gibi , DVB ( dijital video yayını ( broadcast)) ile örtülebilir.
|
