Kablosuz Erişim Sistemleri ve IoT cihazlarında güvenlik, genellikle protokol yapısının gizliliğine (Security through Obscurity) dayandırılır. Ancak RF fiziksel katmanına erişim sağlandığında, bu gizlilik ortadan kalkar. Bu çalışmanın amacı, bilinmeyen bir RF sinyalinin bit seviyesindeki yapısının nasıl çözümleneceğini, kodlama şemalarının nasıl tespit edileceğini ve veri manipülasyonu (Packet Injection) saldırılarının nasıl gerçekleştirilebileceğini teknik bir çerçeveye oturtmaktır.
Terminoloji
RF -> Radio Frequency – Radyo Frekansı
IoT -> Internet of Things – Nesnelerin İnterneti
dBi -> Desibel Birimi
RSSI -> Received Signal Strength Indicator – Alınan sinyal gücü göstergesi
SNR -> Signal to Noise Ratio – Sinyal Gürültü Oranı
SDR -> Software-Defined Radio – Yazılım Tabanlı Radyo İletişimi Sistemi
CRC – Cyclic Redundancy Check – Döngüsel Artıklık Denetimi
RF Sinyal Yakalama ve SNR Optimizasyonu (Acquisition) yapılırken RF analizinin başarısı,
doğrudan yakalanan ham verinin(Raw Data) kalitesine bağlıdır. Sabit kazanç değerleri (Fixed Gain)
yanıltıcıdır; optimal ayarlar çevresel gürültüye, kullanılan antenin kazancına (dBi) ve hedef sinyalin
gücüne (RSSI) göre dinamik olarak belirlenmelidir.
SDR donanımlarında (HackRF One vb.) kazanç ayarı yapılırken Doygunluk (Saturation) ve Gürültü
Tabanı (Noise Floor) dengesi gözetilmelidir.
- LNA (Low Noise Amplifier): Sinyali gürültüden ayırmak için ilk aşamada uygulanır.
- VGA (Baseband Gain): Sinyalin genliğini ADC (Analog-Digital Converter) seviyesine
getirmek için kullanılır. - Optimizasyon Kriteri: Hedef, sinyal dalga formunun tepe noktalarının (Peaks) kırpılmadan
(clipping olmadan), gürültü tabanının (Noise Floor) belirgin şekilde üzerinde olduğu en
yüksek SNR değerini yakalamaktır.
Demodülasyon ve kodlama şemaları aşamasında analog sinyalin dijital bitlere dönüşümü evrensel
bir kurala bağlı değildir. Her üretici, donanım maliyetini düşürmek veya sinyal menzilini artırmak
için farklı kodlama teknikleri kullanır.
Kodlama(Encoding) analizi yapılırken OOK (On-Off Keying) modülasyonlu sinyallerde temel
olarak iki parametre incelenir: Darbe Süresi (Pulse Width) ve Boşluk Süresi (Gap Width).
- PWM (Darbe Genişlik Modülasyonu): “1” ve “0” bitleri, sinyalin “Yüksek” (High) kalma
süresinin oranına göre belirlenir. (Örn: Princeton protokolünde genellikle 1:3 veya 1:4 oranı
kullanılır). - Manchester Kodlama: Bit değeri, sinyalin periyot ortasındaki geçiş yönüne göre belirlenir.
Tersine mühendislik ve mantıksal analiz aşamasında demodüle edilen bit akışı (Bitstream),
anlamlandırılmadığı sürece bir veri yığınıdır. Tersine mühendislik süreci, bu yığının içindeki yapısal
desenleri (Patterns) ortaya çıkarmayı hedefler.
Diferansiyel Analiz yapılırken protokol yapısını çözmek için “Fark Analizi” yöntemi uygulanır.
- Referans Kayıt: Cihazın stabil durumdaki (idle) sinyali kaydedilir.
- Kontrollü Değişken: Cihaz üzerinde tek bir fiziksel değişken (Örn: Bir buton veya sensör
değeri) değiştirilerek ikinci kayıt alınır. - Bit Hizalama (Alignment): İki bit dizisi alt alta hizalanır.
- Sabit Bloklar: Preamble (Senkronizasyon) ve Device ID (Adres).
- Değişken Bloklar: Payload (Komut/Veri).
Hata Kontrol Mekanizmaları (CRC/Checksum) veri manipülasyonunun en zorlu aşaması, paketin
sonundaki doğrulama değerinin (Integrity Check) yeniden hesaplanmasıdır. Bu sadece basit bir
toplama işlemi değildir. CRC (Cyclic Redundancy Check) analizi şu parametreleri içermelidir:
- Polinom (Polynomial): Bölme işleminde kullanılan bölen değer (Örn: 0x31, 0x8005).
- Başlangıç Değeri (Initial Value): Hesaplamanın başladığı register değeri.
- Yansıma (Reflection): Giriş veya çıkış bitlerinin ters çevrilip çevrilmediği.
- XOR Çıkışı (XOR Out): Sonucun en son hangi değerle XOR işlemine tabi tutulduğu.
Uygulama
Flipper Zero Princeton 24 Bit (PT2262) Simülasyonu ile yapılan çalışmada, laboratuvar ortamında
kontrollü bir sinyal kaynağı oluşturmak amacıyla fiziksel bir kumanda yerine Flipper Zero cihazı
kullanılmıştır.
Deney Kurulumu
Sinyal Kaynağı (TX): Flipper Zero, Sub-ghz modülü üzerinden Princeton (PT2262)
protokolünü simüle edecek şekilde yapılandırılmıştır. 24-bitlik sabit kod (Fixed Code)
paketleri manuel olarak oluşturulmuş ve periyodik olarak yayınlanmıştır.
Sinyal Alıcı (RX): HackRF One, URH(Universal Radio Hacker) yazılımı ile 433.92 MHz frekansına kilitlenmiştir. Universal Radio Hacker ile Flipper Zero frekansı yakalanmıştır.
Flipper Zero tarafından üretilen sinyalin zamanlama analizinde, yapının standart PWM
modülasyonuna tam uyum sağladığı gözlemlenmiştir:
Bit ‘0’: Kısa Darbe (α) + Uzun Boşluk (3α) -> 1000 (Yaklaşık).
Bit ‘1’: Uzun Darbe (3α) + Kısa Boşluk (α) -> 1110 (Yaklaşık).
Aldığımız sinyal kaydı olan 1000100010001110111010001110100011101110111010001110100011101000111010001110111010001110100010001 değerini PWM modülasyonunda şu şekilde Hex grubuna çevirebiliriz:
| Ham Sinyal– | –Binary Karşılığı– | –Hex Grubu |
| BÖLÜM 1 | ||
1000 | 0 | 1 |
1000 | 0 | |
1000 | 0 | |
1110 | 1 | |
| BÖLÜM 2 | ||
1110 | 1 | A |
1000 | 0 | |
1110 | 1 | |
1000 | 0 | |
| BÖLÜM 3 | ||
1110 | 1 | E |
1110 | 1 | |
1110 | 1 | |
1000 | 0 | |
| BÖLÜM 4 | ||
1110 | 1 | A |
1000 | 0 | |
1110 | 1 | |
1000 | 0 | |
| BÖLÜM 5 | ||
1110 | 1 | B |
1000 | 0 | |
1110 | 1 | |
1110 | 1 | |
| BÖLÜM 6 | ||
1000 | 0 | 4 |
1110 | 1 | |
1000 | 0 | |
1000 | 0 |
Bu değerler farklı durumlarda değişiklik göstermekle beraber genelde yaklaşık değerleri temsil
etmektedirler.
Yakalanan simülasyon verisi Bitbench üzerinde analiz edildiğinde, Flipper Zero tarafından üretilen
24-bitlik veri paketi başarıyla izole edilmiştir:
- Adres Bloğu (Address): İlk 20 bit (Sabit ID).
- Veri Bloğu (Data): Son 4 bit (Komut).
Bu değerleri Bitbench üzerinde decode ettik. Bu sayede Flipper Zeroda simüle ettiğimiz PT2262’nin key değeri olan 1A EA B4 değerine ulaştık.
Simüle edilen Princeton protokolünde kriptografik bir imza veya sayaç bulunmadığı yani sabit kod
olduğu doğrulanmıştır. Yakalanan sinyal, analiz edildiğinde başarıyla Flipper Zero üzerinden gönderilen key değerine ulaşılmıştır.
Tersine mühendislik süreci; sinyal işleme bilgisi, protokol yapısı sezgisi ve matematiksel analiz
(CRC) yetkinliği gerektiren çok disiplinli bir çalışmadır. Bu araştırma, Flipper Zero gibi modern
pentest araçlarının hem sinyal kaynağı olarak kullanılabileceği; SDR tabanlı analiz yöntemleriyle “gizlilik” prensibine dayalı güvenliğin kolaylıkla aşılabileceğini göstermiştir.
TL;DR
Bu araştırma, ISM bandında (433/868 MHz) çalışan ve standart dışı (Proprietary) protokoller
kullanan gömülü sistemlerin güvenlik analizini konu almaktadır. Çalışma, sinyal yakalama
sürecinde Sinyal-Gürültü Oranı (SNR) optimizasyonunu, OOK/ASK modülasyonlu sinyallerin
demodülasyon tekniklerini ve veri bütünlüğünü sağlayan karmaşık hata kontrol mekanizmalarının
(CRC/Checksum) çözümlenmesini kapsamaktadır. Teorik metodoloji, sinyal kaynağı olarak Flipper
Zero kullanılarak simüle edilen Princeton (PT2262) protokolü üzerinde gerçekleştirilen HackRF
analizi ile doğrulanmıştır.
Kaynaklar:
https://github.com/jopohl/urh
https://github.com/triq-org/bitbench
https://github.com/AlexandreRouma/SDRPlusPlus
https://hackrf.readthedocs.io/en/latest/
https://docs.flipper.net/sub-ghz
https://cdn-shop.adafruit.com/datasheets/PT2262.pdf
https://radiolux.com.ua/files/pdf/PT2262.pdf
https://elektronikjk.pl/elementy_czynne/IC/PT2262.pdf