MDM(Mobil Device Management) Altyapı ve Güvenlik Mimarisi

Merhaba Arkadaşlar,

Bu makalemizde Mobil Uygulama Güvenliği ile alakalı makalemizin 2.bölümü ile devam ediyoruz.Mobil uygulamalarının kullanılması bireysel olduğu kadar kurumsal noktalarda da dikkat edilmesi gereken bazı hususlar mevcut durumdadır.Mobil uygulamalarda zafiyetlerin artmasının sebeplerinden bir taneside kullanıcı tarafından talep edilen uygulamalarıngereğinden fazla izin talep etmesinden kaynaklanmaktadır.Tabi burda kullanıcılar ise normal kullanıma kaldığı yerden devam edebilmek için uygulamadan gelen bildirimleri fazla dikkate almadan kabul etmektedir. Geliştiricilerin de çalışanların da farkındalıklarının yükseltilmesi uygulamaların gereksiz olan erişim taleplerinin düzenlenmesi ve kabul edilmemesi gibi çeşitli bilgilendirilmelerin,çalışmalarında yapılması önemlidir.

Çeşitli araştırma şirketlerinin mobil uygulamaların nelere istek talep ettiğini gösteren grafiksel rapor.

Tabi cihaz yapılandırmalarının mobil uygulama güvenliği ile alakalı olarakta oldukça önemi mevcuttur.Yanlış konfigüre edilen bir mobil cihaz hem bireysel hemde kurumsal anlamda bağlı bulunduğu yapı içerisinde oldukça sıkıntı çıkarabilir.

Bu konuda yapılan yanlışlara gelicek olursak;

*Cihazların root yetkilerinin açılması.

*Cihazların uygulama yüklenirken yan uygulama yüklenip

yüklenmediğinin kontrol edilmemesi.

*Mobil cihazlara passcode sistemi uygulanmaması.

*Kullanıcıların yetkili olmayan uygulama mağazalarından uygulamalar indirip kurması ve bunun için Android’de “unknown sources” seçeneğini iOS’ta ise “enterprise configuration profiles” seçeneğini açmaları.

Kurumsal noktada mobil güvenlik kısmında uçtan uca veri güvenliğinin sağlanması oldukça önemli bir husustur.Mobil cihaz güvenliğinin tüm bileşenleri ve içerikleri ele alan kapsamlı çözümlere kurumların yönelmesi oldukça önemlidir.Mobil uygulama güvenliği normal bilgisayarlardan daha farklı olduğundan ötürü android sistemlerin temeli diğer normal sistemlerden ayrı olduğundan daha iyi bir güvenlik kalitesi sunmaktadır.Tabi bu kaliteyi sunuyor diye salt mobil yazılım altyapısına güvenemeyiz.

Merkezi Mobil Cihaz Yönetim Sistemi (MDM) Nedir ?

Günümüzde kurumsal alanlarda mobil uygulama ve teknolojilerin hayatımızda giderek yer alması işyerinde çalışma zorunluluğu olmadan serbest dolaşım içerisinde çalışmalara devam etmesi ve erişim imkanına sahip olması zorunluluğunu doğurmuştur.Kısaca Bring Your Own Device (kendi cihazını getir) yani BYOD sistemi ile yeni nesil çalışma alışkanlığınızı içinde toplayan bir tanım olarak karşımıza çıkmaktadır.BYOD sistemi her ne kadar çalışanlar için güzel bir çalışma noktası oluştursada güvenlik bakımından oldukça meşakatli bir durumu arz etmektedir.Çünkü bu sistemin zafiyetleri kullanıcı odaklı bir sistem olarak karşımıza çıkmaktadır.İşte bu noktada merkezi bir mobil yönetim sistemi kurulması ve uygun şekilde yapılandırılması oldukça önemli bir husustur.

MDM Hakkında genel bir şema.

Mobil Device Managment İşleyişi Neleri Kapsar ?

Mobil Device Managment sistemi esasında kurumlarda kullanılması gereken gerçekten önemli bir sistem.Peki bu sistemin içeriği nasıl çalışmakta bunları biraz açıklamak gerekirse aşamalar şu şekilde oluşuyor;

*Kullanıcı kurumsal bir yapıya bağlanmak istiyor ise MDM sunucusuna bağlanması gerekmektedir.Bağlantı yapıldıktan sonra MDM sunucusu OWA DM bağlantısını faliyete geçirir.

*MDM Sunucusu kendisine istek yapıp bağlantı sağlayan cihazı çeşitli kriterler ile (SSL Sertifikası,LDAP vs….) kimlik doğrulama işleminden geçirir.Eğer makina hesabı ile MDM deki kayıtlar uyuşuyor ise yani sertifikalar eşleşiyor ise kimlik doğrulamayı yaparak cihaz ile bağlantıyı güvenli şekilde sekronize eder.

*MDM Server kendisine bağlanan aygıtı belirli policy ler ile bağlantı zamanlaması yaptırılır.Zaman bağlantısı sonra erdiğinde giden sorgu noktasında MDM bağlantısı sonlandırılır.

*MDM Sunucusu kurum için oluşturulan mobil güvenlik ilkeleri doğrultusunda gerekli olan uygulamaları gözden geçirir.Mobil kullanıcı tekrar bağlantı yaptığında MDM Sunucusu bunu kayıt altına aldığından ötürü OWA DM üzerinden önbellekler.

*İlgili mobil cihaz ilk bağlantısını yaparken kullandığı program sayesinde MDM sunucusuna yeniden bağlanır.Mobil cihaz MDM ye bağlantıktan sonra OMA DM komutları bağlantı sağlayan Mobil cihaza force edilir.

*Gerekli değişiklikler tamamlandığında belirli policyler yordamı ile zaman bağlantı çizergesine yerleştirilir.

*Eğer Mobil cihaz MDM sunucusundan bu konfigürasyon ve zamanlama çizgelgelerini almadı ise alternatif olarak IPSEC ile MDM Gateway tarafından iletilir.

Mobil uygulama ve managment yönetim sistemi bu şekilde işlemektedir.

Mobil Erişim Uygulamasının (MDM) Sağladığı yararlardan bahsetmek gerekirse;

*MDM tarafının en iyi tarafı uygulama havuzunun tek bir managment portalı vasıtası ile birden fazla değişik mobil sistemelere gönderimini sağlayıp yönetebilmek.

*Eğer mobil cihazlarla alakalı kayıp veya çalıntı durumu olduğunda MDM Sunucusu vasıtası ile uzaktan cihaz bilgilerini silebilirsiniz.

* Kurumsal Ağınızı rol tabanlı cihaz kullanım izinleri ve kurumsal hesaplara özelleştirilebilir erişim ile koruyabilirsiniz.

* Passcode yenileme, cihaz kilitleme ve data şifreleme gibi uzaktan yapılabilicek işlemleri içeren kapsamlı ayar yönetiminin yapılabilmesi. Kurumsal mobil cihazların coğrafi konumunun takibi.

*Kurumsal ağa bağlı mobil cihazların internet kullanımının takibinin yapılması.

*Mobil cihazlar ve donanımları içerisinde kurumsal yapıda kullanılan mail sistemlerinin kontrollü şekilde dağıtılması.Bunun yanında sadece MDM sistemine dahil olan cihazlar tarafından alınıp gönderilmesi.

*Mobil donanım listesinin çıkarılabilmesi.

*Genel mobil uygulama güvenlik politikalarının yönetimi ve uygulanması.

*Kurum içerisinde otomatik Wi-Fi konfigürasyonlarının merkezi deploy olanağının sağlanması.

*Kurumsal ağa bağlı MDM tarafında kullanıcıya gönderilen SMS ve gelen çağrıların takibi.

* Çalışmakta olduğunuz kurumsal alana VPN ile erişim sağlanması (hem uygulama tabanlı per-app VPN hem de uzaktan erişim için remote VPN) seçeneklerinin kullanılması.

*Kurumunuzdaki ortak dosya alanına erişim yapılabilmesi.

*Merkezi olarak kurumunuza bağlı olan Mobil Cihazların düzenli

*Mobil cihazlardaki içeriklerin kontrol altında tutulması (paylaşılmaması, başka bir yere gönderilmemesi veya screenhot alınmaması gibi kontrollerin yapılması).

Mobile Device Managment ve BYOD (Bring Your Own Device) İlişkisi

Adından da anlaşılacağı gibi BYOD yani türkçe ifadesi ile “Kendi ekipmanını kendin getir) noktası aslında kurumsal firmalarda yeni yeni gelişen bir trend diyebiliriz.Artık artan BT maliyetleri açısından İşletmeleri kurtarıcak gözü ile bakılan bu sistemde kişinin kişisel donanımlarının kurumsal ağa entegre edilerek çalıştırılmasıda diyebiliriz.Bunun artısı çalışanlar için ek donanım kullanmamaları işletme için ise donanım maliyetlerini en etkin şekilde azaltmaktır diyebiliriz.

BYOD Sisteminin genel avantajını hem kullanıcı hemde işletme veya kurumlar için maliyet ve çalışabilirlik konusunda çeşitli faydaları var demiştik.Peki bunun dezavantajları neler olabilir bunu irdelemek gerektiğinde fazlası ile hassas bir durum olduğunu ve hata kabul etmeyecek bir organizasyon sistem şeması yapılması gerektiğini söyleyebilirim.BYOD sistemi ile beraber kullanıcıların bu sistemde getirdikleri hiç bir donanım güvenli sayılmayacağından ötürü kullanıcının donanımında herhangi bir anti-virus programının olmadığını düşünürsek. Kuruma bağlanarak bu şekilde gönderilen bilgi hiçte güvenilir olmayan bir şekilde karşı tarafa ulaştırılmış olur.Tabi buda siber saldırganların ekmeğine yağ sürmekten başka bir işe yaramaz diyebilirim.Özellikle bu yapıda eğer BT Altyapınız iyi değilse ve izleme monitoring Alert sistemleriniz belirli bir yapıda değilse bu cihazlar şirket için güvenlik riski oluşturmaktadır. BYOD’un oluşturduğu risklerden biri de çalışanın dikkatsizce oltalama saldırısı içeren mailleri tıklaması ve meydana gelen riskin mobil cihazdan şirket sistemlerine de yayılabilmesidir.Bu tarz riskler bu uygulamanın merkezi bir şekilde denetlenmesini zorunlu kılmaktadır.Peki BYOD sistemindeki tehlikeler nedir bunları irdelemek gerekirse;

*Kullanıcı tarafından getirilen donanımlardaki zararlı yazılımlar.

*Kullanıcı makinasındaki oltalama saldırıları.

*MTM Saldırısına maruz kalınması.

*Kullanıcı bilgisayarında varolan uygulamaların injection zafiyetine sebebiyet vermesi.

*Javascript ile çalışan zararlı kodlar ile Cookie Session bilgilerinin çalınması veya ele geçirilmesi.Kullanıcının sunuculara bağlanırken güvensiz şekilde bağlanması.

*En önemlisi kullanıcının kendi sorumluluğunda olan kurumda kullandığı donanımların çalınması.

Peki bu konuda eğer kurum BYOD sistemini kullanmayı ciddi olarak düşünüyorsa kurumsal açıdan neler yapılabilir incelemek gerekirse;

*Kurum içerisinde bu tarz bir yapılanma için resmi kurumsal bir politika belirlenmesi.

*Çalışanların kritik datalara erişimlerinin kurum içerisindeki istemciler vasıtası ile bağlantısının sağlanması.

*Kurum içi çalışanların ek yetkiler noktasında sadece ihtiyacı olan yetkilere sahip hesaplar ile giriş yapmasını sağlamak.

Mobil Cihazlarda Erişim Yönetimi ve MAM(Mobile Access Managment)Faktörü

Mobil erişimde MDM sisteminden size bahsetmiştim çalışma mantığı ve yapısı ile BYOD dediğimiz organizasyonu karşılama konusunda bazı eksiklerinin bulunması sebebi ile daha detaylı bir şekilde kuralların belirlenmesine yardımcı olucak MAM yani Mobile Access Managment uygulaması geliştirilmiştir.MAM faktörünün MDM den farklı olan özelliği cihaz tabanlı değil uygulama tabanlı kuralları belirlemesidir.Buda BYOD organizasyonunun potansiyel risklerine karşı bir nebze çözüm olması düşünülmektedir.

Mobile Access Managment avantajlarını konuşmak gerekirse kurum üzerinden herhangi bir VPN kurulumuna gerek kalmadan lisanslı ve güvenli uygulamaları barındıran bir online mağazanın yanı sıra browser üzerinden mail yönetim uygulamalarıgibi güvenlik ihtiyaçlarına göre özelleştirilmiş ve düzenlenmiş çözümler sayılabilir.

Mobil Konteyner Teknolojisi ve Getirdiği Yenilikler

Mobile Access Management ile BYOD sisteminde kullanılan yeni bir teknoloji olan Mobil konteyner özelliği sayesinde her bir uygulama için ayrı bir alan açarak farklı bölgelerde çalıştırma özelliğine sahiptir.Tabiki şimdi ve gelecek dönemlerde Android işletim sistemlerinde ve normal Windows sistemlerde yapılan/yapılıcak değişimler ile işletim sistemleri üzerinde uygulanabilir duruma getirilmiş olup geliştirmeler devam etmektedir. Konteyner sistemlerinin kullanıcı tarafındaki avantajıda sadece iş verilerine ulaşması ve yetkisi olmayan noktalarda ilgili datalara erişimide kısıtlamayı sağlamaktadır.Bu şekilde işleyen mimarinin en iyi özelliği ise uygulamaların bu şekilde izole edilmesinin yanı sıra bağlantı kuran cihazın sızma girişimlerinden korunabilmesi,bunun yanında zararlı yazılımlarla, sistem kaynaklarıyla veya diğer uygulamalarla iletişimin önlenmesi temel hedefler arasında yer almaktadır.

Mobil Konteyner Teknolojisinin Yararlarından Bahsetmek Gerekirse;

*Uygulama yönünden kapsamlı olması bunun yanında dağıtım hizmetinin yönetimini içine alıcak şekilde uygulama tünelini kullanarak içerideki platformlara güvenli erişimi sağlar.

*Bu tip sistemlerde merkezi bir kimlik doğrulaması olan Single Sign-on servisini kullanarak,kurumunuzda bulunan merkezi kimlik doğrulama sistemi ve servislerinin güvenliğini arttırır ve erişimin kontrollü bir şekilde gerçekleşmesini sağlar.

*Uygulama katmanında ise sadece izin verilen ve onaylanmış cihazların üstünde bu uygulamaların çalışmasını sağlar.

*Uygulama konfigürasyonları bu sistemlerde direk otomatik yapılandırma ile beraber ilk defa kullanıcak kullanıcılar için ek ayar yapmasına gerek kalmadan otomatik olarak düzenlemektedir.

*Güvenlik katmanı bazında bu politikaların zorunlu olarak uygulanması bunun yanında veri kaybının önlenmesi gibi servisleri uygulama katmanında yapılmasını sağlar.

Mobil cihazlarda Konteyner mimarisi zamanda kolay kullanışlı olması ile de öne çıkmaktadır. İşletim sisteminin yayımladığı gizlilikle ilgili bildirim ve onay iletilerini de işleyen bu yöntem böylelikle kullanıcı gizliliğini de korumaktadır. Gömülü konteynerlerin desteklediği uygulama listesi oldukça geniş kapsamlıdır.

Mobil sistemlerin günümüzde gelişmesi ve uygulama bazındaki kullanımının yaygın hale gelmesi sonucu mobil güvenlik ihtiyacıda artan bir şekilde kendisini hissetirmektedir.Bunun yanında Mobil uygulama güvenliği ayrı ve özel bir alan olduğundan ötürü bir çok kamu kurumu ve özel sektördeki kurumlar mobil cihaz güvenliği uzmanı gibi spesifik bir çok uzman alımında bulunmaktadır.Tabi bu sadece uzman olarak çözülücek bir konu değildir.Kurumlarda çalışan insanların eğitilmesi ve bu cihazlar üzerinde yaşanıcak siber tehtitlerin neler olabileceği ile alakalı olarak bilgilendirmelerinde yapılması zaruridir.

Yukarıda görülen seneler içerisinde mobil güvenlik tehtitlerinin seneler içerisindeki artısını görmekteyiz.Güvenlik ürünleri özellikle mobil cihazlarda Malware yazılımlar ile yapılan saldırılarla karşılaşmakta ve bu saldırılardan kurtulabilmek için daha fazla para harcamaktadırlar.

Bu bölümde Mobil cihaz güvenliğinin yanı sıra bir çok konu derlenerek sizlere sunulmuştur.Mobil cihazların iç dinamikleri gösterilerek çalışma prensibi ve uygulamaların ne şekilde çalıştıklarına dair bilgiler derlenerek bunların güvenlik ilkeleri doğrultusunda detaylı bilgiler paylaşılmıştır.Mobil cihazlarda alınması gereken güvenlik önlemleri  sıralanmış olup kullanıcıların bu uygulamalar üzerindeki güvenliği nasıl sağlayacaklarına dair ipuçları verilmiştir.

Bunun yanında mobil cihazınızın sürekli güncel olmasına dikkat etmeniz gerekmektedir.Antivirüs uygulamalarının çalışması,bunun yanında güvenlik ile alakalı firewall ayarlarının açık olması,root erişiminin kapalı olmasıda güvenliğinizi sağlayacak etkin ipuçlarıdır.

Bunun yanında cihaza indirilen uygulamaları önce antivirüs programı ile taramanız ondan sonra uygulamanın çalışmasına izin vermelisiniz.Bunun yanında mobil cihaz şifreleriniz komplex olmalı ve tahmin edilebilir (doğum tarihi,evlilik yıldönümü vsvs….) gibi tahmin edilebilir olmamalıdır.Bunun yanında cihaz üstünde bankacılık veya önemli özel bilgileriniz var ise aylık harici bir disk e yedeklemeniz ve cihaz üzerinde tutumamanızda önemlidir.

Mobil cihazlara saldırı her zaman uygulamalar üzerinden gelmez.Bazen network üzerinden de birileri sizin bilgilerinizi elde etmek isteyebilir.Cihaz üzerinde link veren Sms ler veya güvenli olmayan bilmediğiniz Wi-Fi hatlarına bağlantı sağlamayınız.Network ihtiyacınızı kendi GSM operatörlerinden sağlamanız önemlidir.Bunun dışında ev veya tanıdığınız üzerinde WPA2-PSK algoritmasına sahip şifrelenmiş ağlar üzerinden oturum açmanızda sizin cihaz güvenliğiniz için önemli bir konudur.Bütün bunları uyguladığınız zaman Mobil Cihaz güvenliğini kullanıcı bazında sağlamış olursunuz.

Siber Saldırılarda Mobil Cihazların Rolü ve Test Süreçleri

Mobil cihazların kullanımının artması ile beraber siber saldırı oranıda hackerların o alana yönelmesi ile beraber artışa geçmiş durumda olduğu gözlemlenmiştir.Mobil saldırıların ilki 2004 senesinde Symbian mobil uygulamasında farkedilmiştir.Tabi Mobil uygulama uzmanları bu tehlikenin farkına vararak uygulamaların güvenliğini geliştirmeye devam etselerde Malware tarzı virüslerinde gelişimi paralele giderek artmakta ve kabiliyetleri bu saldırıların gelişimi ile beraber tespit edilmesi zorlaşmaktadır.

Mobil cihazların giderek yaygınlaşmasına  mütakip saldırı oranlarınında yükselmesi gözlerden kaçmamıştır.Son yıllarda Android ve IOS yazılımlarınında devreye girmesi ile beraber buna uygun malware yazılımlarında ciddi artışlar meydana gelmiştir.Tabi sadece satış ve son kullanıcı hatalarından değil developer kısmında yaşanan bug lşar veya sistemsel yazılımsal açıklarda bu konuda ciddi artışa sebep olmaktadır.

Mobil Cihazlara gerçekleştirilen saldırı çeşitlerine bakıcak olursak genelde aşağıdaki gibi bir liste karşımıza çıkmaktadır.

*Malware

*Direct Attacks

*Sosyal Engineering and Exploitation

Tarzında uygulama ve kod parçacıkları kullanarak saldırı yöntemleri ile bilgileri ele geçirme noktasında faliyetler yapılmaktadır.Peki normal bilgisayara anladık bunlar bulaşıyor.Peki mobil cihazlara bulaşma yöntemleri nelerdir bunları irdelemek gerekirse;

Malware:Türkçe anlamı kötücül yazılım yani sisteminize bulaştığında size zararı olan uygulamalardır.Genelde Sistem ve desktop-notebook ürünleri için geliştirilen antivirüsler bunu kolaylıkla tespit edebilirken malesef mobil cihaz güvenliğinde bunları yakalayan ürünler kısıtlı bir şekilde gelişmektedir.Bu yazılımlar mobil cihaza bulaştıktan sonra hızla kendini kopyalayarak çoğabilmektedir.Genellikle eğer virüs mevcudiyeti bulunan bilgisayar veya başka ek fiziksel donanıma taktığınızda kolaylıkla bulaşabilirler.Bulaştıktan sonra yaptıklarına gelince neler yapmıyorlarki eğer mobil cihazınıda bu tarz bir virüs bulaştı ise bulaştıkları cihazlarda sms atma, veri toplama, çağrı kayıtlarını loglama, klavye girişlerini kaydetme (keylogger), yasadışı yazılım yükleme, cihazdaki sertifikaları ele geçirme, ortam dinleme, GPS konum bilgisini kaydetme gibi bir çok faliyeti gerçekleştirebilirler.

Direct Attacks:Aslında bu saldırı türünü bir nevi direk meydan okuma diye adlandırabiliriz.Bu yöntem ile saldırgan direk hedefe doğrudan saldırı girişiminde bulunur.Saldırganın temel hedef noktası application vulnerability veya os vulnerability yöntemlerini kullanarak yetkili olmadığı erişimi elde ederek yetkisiz giriş yapar ve bilgi toplamaya başlar.Doğrudan saldırı diğer saldırı türlerinden farklıdır.Burda saldırgan çeşitli uygulamalar kullanarak mobil cihaza herhangi bir yazılım yüklenmez. Bu yöntemde uygulama içerisinde bir zayıflık bulunur ve bu zayıflık nedeniyle sistemin normal bir etkileşime beklenenin dışında bir tepki vermesi sağlayarak zafiyete yol açar.Doğrudan saldırı yöntemlerinde genelde servis zafiyetleri ve en önemlisi SQL Injection yöntemlerinin mobil uygulamada kullanıldığı tespit edilmiştir.Bu arada son kullanıcı tarafında güvensiz sitelere giriş ve yan uygulamalarda javascript açıklarıda eklenince mobil saldırıların direk saldırılara dönüşme olayı daha fazla arttığı söylenmektedir.

Exploitation and Social Engineering:Günümüzde sosyal mühendislik ve buna uygun saldırı tipleri oldukça yayınlaşmış vaziyettedir.Tabi bunun mobil versiyonuda oldukça farklı olduğundan normal sistem saldırılarından biraz daha farklı bir yapıdadır.Örnek olarak telefonunuza gelen bir SMS içerisinde lik e tıkladığınızda saldırgan sizin sisteminize girmiş demektir.Tabi burda kullanıcıları Andorid ve IOS ta bulunan root/jailbreak yani en üst katman yönetici kimliğini eğer aktif hale getirdiler ise (genelde cihaza tam hakimiyet içine almak isteyen veya bir program varsa ve root yetkisine ihtiyacı varsa kullanmak için) mobil güvenliği en alt düzeye indirdikleriden ötürü bu tarz saldırıların etki etmesi daha kolaydır.

Data Interception:Bu son dönemlerde alternatif olarak kullanılan araya girme yöntemi ile bilgi sızdırma çalışmalarında uygulanan birt faliyettir.Bu yöntemin özelliği  network üzerinden trafiğin sniff edilerek analiz edilmesi ve şifreli veri trafiğinin kırılması ile birlikte gönderilen veriler ayıklanarak kıymetli verilerin ele geçirilmesidir.Buna uygun programlar ise Cain&Abel gibi uygulamalarla paketler toplanarak kablosuz ağa sızma ve aktarılan veri trafiği içerisinden bilgi elde etmek mümkündür.

Mobil Uygulamalarda Risk analizi yapılmasının faydası saldırıların hangi noktalardan geldiğini daha rahat tespit etme imkanına sahip olmamızı sağlar.Saldırıların geldiği noktaları bilmek saldırıların geliş yönünde çalışmalar yapılmasına olanak sağlar.Bunları listelemek gerekirse;

Yukarıdaki şema da göründüğü üzere bu ana maddeler mobil dünyada direk saldırıya açık olma durumunu beraberinde getirmektedir.Tabi bu noktada alınıcak önlemlerde önemli bir noktayı oluşturmaktadır.

Yukarıdaki uygulama şemasındaki aşamalar ile beraber saldırı tiplerinin analizi ve izlenicek süreç adımları listelenmiştir.Yukarıdaki adımlar izlenerek mobil cihazlar için test case ler geliştirebilirsiniz.

Mobil Uygulamalarda İş Akış Katmanı ve Zafiyet Analizi

Mobil cihazlardaki güvenlik tehitlerini irdelemek gerekirse  ilk adım güvenlik ve onun getirdiği test süreçlerini incelemek olucaktır.Mobil güvenlik testlerinin temel amacı uygulama bazlı açıklar ve ona bağlı geliştirilen kötücül yazılımların faliyetlerini incelemek ve test etmektir.Bunun için bir mobil cihazın hangi katmanlara sahip olduğunu bilmemiz gerekiyor.Mobil cihazlar temelde 3 katmandan oluşmaktadır.

*Kaynak Katmanı

*Uygulama Katmanı

*Haberleşme Katmanı

Güvenlik testlerinde önemli olan 3 kısım vardır.

*Kötücül/Zararlı Yazılımlar

*Güvenlik Riskleri

Bu noktada mobil güvenlik testlerindeki felsefe bu ikisi ile alakalı şekillenmektedir.Tabiki bir mobil uygulama ve cihazı test etmeden önce çeşitli işlemlerden bahsetmek istiyorum.

Mobil Uygulama Testleri

Bu süreçte mobil cihaz uygulamaları mercek altına alınmaktadır.Bu normal uygulamaların yanı sıra zararlı uygulamalarıda beraberinde getirir.Bir mobil cihaz uygulamasında yapılıcak ilk adım bilgi toplama aşamasıdır.Bu aşamada yapılması gerekenler ise hedef zararlı uygulama ile alakalı bilgilerin toplanmasıdır.

Mobil Uygulama Test Süreci ile alakalı akış diagramı

*Öncelikle zararlı uygulamanın hangi firma veya kişi tarafından yazıldığının bilgisi edinilmelidir.

*Uygulama karantina bölgesine alınarak ne şekilde işlediği ve yapısı hakkında bilgiler toplanır.

*Uygulamanın mimari analizi yapılır.

*En önemli kısım uygulamanın Android tarafında root IOS tarafında ise jailbreak ile ilgili bağlantıları incelenir.

*Güvenlik cihazlarından geçiş süreçleri ile beraber hangi şekilde çalıştığının mimari analizi yapılır.

Bir cevap yazın

E-posta hesabınız yayımlanmayacak. Gerekli alanlar * ile işaretlenmişlerdir

error: Content is protected !!