Kredi kartı ile ortam dinlemesi

[taydin]

Dün youtube'da şu videoyu izledim

Video'da, Rusların soğuk savaş döneminde geliştirdiği ve kullandığı bir ortam dinleme cihazından bahsediyor. Tamamen pasif, ve besleme voltajını da uzaktan gönderilen güçlü bir RF sinyal sayesinde elde ediyor ve ortamı dinlemeye başlıyor. Sonra da kredi kartlarından bahsediyor ve orada da RF yerine NFC, yani manyetik alan karttaki çipin besleme voltajı aldığını ve sinyal gönderdiğini söylüyor.

Bu noktada ben şüpheleniyorum ... Ya kredi kartlarında mevcut NFC nin yanında RF ile de besleme elde etme teknolojisi varsa? O zaman ortalıkta duran bir kredi kartı, ortam dinlemesinde rahatlıkla kullanılabilir! Evin yakınına bir minibüs yanaştırırsın, güçlü bir RF sinyal gönderirsin, kredi kartı uyanır, ortamı dinler ve sinyali geri gönderir.

Üstelik böyle bir dinleme yapıldığını farketmenin de tek yöntemi, geniş bantlı bir anten ve spektrum analizör sahibi olmak, ve bunları da kullanmayı bilmek ...

Böyle bir teknoloji varsa, çalışma frekansı çok yüksek olamaz. 1 GHz'in çok altındadır muhtemelen, örneğin VHF bandı. Yeterince duvarlara nüfuz eder, çok yüksek güçlerde RF sinyal elde edilebilir, ve ses iletimi için de yeterince bant genişliği sağlar.

 

[taydin]

Bu noktada sığ düşünenler, alıştığımız "CIA beni dinleyip de ne yapacak ehehehe" modunda olacaklar. Ama bence bu çok büyük bir güvenlik açığı olur. Burada ben şu üç soruyu soruyorum:

1) Bu dinleme şekli, mevcut teknolojik düzeyimiz ile mümkün mü?

2) Bu dinleme şekli, birilerine büyük bir avantaj veya kazanç sağlar mı?

3) Bu dinleme şeklinin kullanıldığının tespit edilmesi çok zor mu?

Bu kredi kartı dinleme işi için bu soruların hepsine verilecek cevap EVET. O zaman bu teknolojinin kullanılıyor olduğuna kesin gözüyle bakmamız lazım. Ve hem askeri hem devlet kademelerinde, hem de diğer kritik altyapı tesislerinde buna karşı önlem alınması lazım diye düşünüyorum.

 

[latcakir]

Bir zaman çinli çakallar seyyar baz istasyonu ile gsm verilerini dinlemişti. 90lı yılların yapımı olan "Devlet düşmanı" filminde bu konular çok güzel işleniyordu.

 

[Mikro Step]

Eger varsa boyle bir dinleme sekli, kredi kartini cuzdaninin icine aluminyum folyodan koruyucu katman yapabilirsin. Kredi karti aluminum folyo icinde kalir.

 

[taydin]

POS cihazı ile kredi kartından para araklamayı engelleyen özel cüzdanlar da var. Muhtemelen RF'i de engelliyordur.

Ama burada önemli olan, kritik kurumların önlem alması. Bu noktada da bir insanın üzerinde kredi kartı var mı yok mu, bunu algılayan cihazların yapılması lazım. Hatta daha genel düşünürsek, RF bazlı pasif dinleme cihazı var mı yok mu, onu algılamak lazım.

 

[czorgormez]

o rus yapımı aletin adı the thing : https://en.wikipedia.org/wiki/The_Thing_(listening_device)

bir konsolosluğa hediye ediliyor ve epey de büyük ahşap duvar süsü yanılmıyorsam. aynı dediğin gibi dışarıdan bir radyo dalgası ile uyarılıyor ve ses titreşimleri ile gelen sinyalin bir kısmını modüle ediyor.

ben klasik nfc kartlarda bunun yapılabileceğini düşünmüyorum bir defa alan çok dar. yüksek frekansları hüzmesini bozmadan ve yüksek kayba uğramadan duvarlardan geçirmek çok zor. bu kartları basit bir xray ile inceleyince zaten içini görebiliyorsun. ya da işi birmiş bir kartı tinere atınca ertesi gün tüm plastiği çözülüyor. geriye kalan 13.56 mhz tune edilmiş bir bobin ve çok çok ufak bir chip oluyor. eğer kartın içinde benzer bir mekanizma-mikrofon olsa bu çok kolay fark edilir.

ama şu olabilir çok değerli hedefler için özel kartlar yapılabilir. banka-visa sistemiyle içeriden anlaşmalı olarak bu kişilere o kartlar gidebilir. içinde farklı bir sistem-ufak bir kapasitör verici koyulabilir ve dışarıdan rf sinyali ile besleme sağlanabilir. hatta kart evdeki wi-fi gibi sistemlerden bile kendini çok yavaş da olsa şarj edebilir. fakat birkaç mw bile çıkış yapsa bu şarjı çok da uzun süre gitmez. verimli bir şekilde karta enerji transferi de epey zor.

özetle teoride mümkün ama pratikte çok daha iyi metodlar vardır. örneğin zaten her durumda cebinizde olan ve ciddi enerji barındıran üstünde her tip radyo donanımı hazır gelen cep telefonları gibi.

geçen bir videoda lübnan üzerinde israil droneları uçarken etraftaki ip kameraların nasıl kendi kendine hareket ettiğini gösteriyordu. bu ip kameralar içinde kesinlikle bir backdoor var ve drone bağlanıp 360 derece görüntü alıyor. hatta bunu yapay zeka ile işleyip odada kaç kişi var değerli bir hedef var mı bunu bile ayıklıyor olabilir.

 

[taydin]

Burada sürpriz faktörü önemli. Cep telefonları ile ilgili kritik kurumlarda hali hazırda tedbirler alınıyor. Ama kimse insanların cebindeki kredi kartından bir tehdit algılamıyor şu anda.

Dünyanın her yerinde, neredeyse herkeste çipli kredi kartları var. Bu işi halletmek için çok yüksek RF mi gerekiyor? bu yapılabilir. Özel bir anten tasarımı mı gerekiyor? yapılabilir. Herşey yapılabilir. Diyelim 100 milyon dolar değerinde bir minibüs ile bu mümkün oluyor. Dünyanın her yerinde, herkesi dinlemek için istihbarat kurumları o paranın 50 katını bile verirler.

 

[czorgormez]

dünyanın her yerinde aktif olamaz, pratik zorluklar var. bir de bu her kredi kartında olamaz çünkü fark edilir. fark etmesi çok basit.
ama çok özel hedefler için tabii ki uygulanabilir. orada da o minibüsün güç kaynağı olacak sinyali karta ulaştırması lazım bu defa etraftaki spektrum analizörler bu değişikliği anında görür. değerli resmi lokasyınlarda 7/24 spektrum taraması ve anomali detection açık.

ses sinyali aktarmak için gereken güç az değil. çünkü en az 2khz bant genişliği kullanmak zorundasın. dijitale ve en verimli sıkıştırma algoritmalarına çevirsen bile gene bir güç ve o aletin gürültü tabanının üzerinde tx yapması gerekiyor. en azından -120db civarında bir güçle yayın yapmalı.

sonuç olarak çok değerli hedefler için bazı lokasyonlarda evet uygulanabilir. mesela o hedef bir devlet kurumunda değil bir otelde buluşuyordur gizli bir görüşme yapıyordur vs. ama tüm chipli kredi kartlarında böyle bir fonksiyonun gömülü gelmesi pek mantıklı değil.

istihbarat kurumları olaya bizler gibi bakmaz. elektronikçi olduğumuz için elimize çekiç alınca her şey çivi gibi görünüyor. ama gerçek hayat böyle değil. daha efektif çözümleri var.

 

[taydin]

Kredi kartı çipi üzerinde ses ile modüle edilebilen bir MEMS yapı oluşturulabilir. Şeklini de öyle bir düzenlersin ki, kimse net bir şekilde bu mikrofondur diyemez. Anten tasarımını da uygun şekilde yapabilirsin ve NFC ile öyle bir yapıda ölçülebilen bir avantaj olduğunu anlatabilirsin. Yani devreyi ne kadar incelersen incele, "bu devre %100" ses kaydeder diyemezsin.

Böyle birşeyi yapmak için verici tarafının çok üst seviye bir teknolojiye sahip olması gerekir tabi. En büyük maliyet de orada olacak. Ve piyasada normalde satılmayan seviyede teknolojiler olacak. Örneğin erken uyarı radarlarında ve astronomide kullanılan antenlerdeki elektronik tasarım, normal piyasa normlarından çok ötede bir performans ile çalışıyor. Adamlar -160 dBm sinyal seviyelerinde işleme yapıyor.

Önemli olan noktalar, böyle bir tasarım kredi kartındaki o çipe dahil edilebilir. Maliyeti de kayda değer olmaz. Buradaki performans kaybı da, RF verici tarafındaki çok üst seviye teknoloji ile dengelenebilir. Teknolojik olarak mümkün ise, neden yapılmasın?

Karttaki çipin para ödeme dışında iş yaptığı farkedilirse ne olacak? Diyelim X istihbarat kurumu bunu farketti. Neden açıklasın? Kendisi de kullanmaya çalışır. Diyelim açıkladı, ne olacak? Cep telefonlarının bütün sensörlerinin casusluk yaptığı ayan beyan biliyor, kim birşeyler yapıyor?

 

[frmman]

Geçenlerde fransanın ortadoğuya yolladığı uçak gemisinin nerede olduğu, gemide hergün 10km koşan bir askerin kolundaki saat bu egzersizleri bir yere otomatik yüklediği için, buradaki veriden yola çıkarak geminin akdenizde olduğu ortaya çıkarılmıştı. Denizin ortasınında kim neden koşsun diye birileri merak etmiş.