RFID ve NFC Aktarma Saldırıları Relay Attack Kart Sinyalleriniz Uzaktan Nasıl Ele Geçirilir
Günümüzün dijital dönüşüm çağında RFID ve NFC teknolojileri hayatımızın her alanına entegre olmuştur. Erişim kontrol sistemlerinden temassız ödeme sistemlerine kadar bu teknolojileri kullanıyoruz. Ancak bu kolaylık beraberinde ciddi güvenlik riskleri de getiriyor. Aktarma saldırıları yani relay attack bu risklerin başında geliyor.
Nesil Teknoloji olarak TSE A Sınıfı Sızma Testi yetkisi ile kurumlarınızın fiziksel erişim güvenliğini koruyoruz. Bu kapsamlı teknik analizde aktarma saldırılarının iç işleyişini detaylandıracağız. Ayrıca gerçek dünya vaka analizleri sunacağız. Son olarak alınabilecek aksiyonları adım adım açıklayacağız.
Aktarma saldırısı kriptografiyi kırmadan çalışır. Proxy ve mole adlı iki cihaz kullanılır. Saldırı ISO/IEC 14443 FWT zamanlama penceresini aşmamalıdır. UWB mesafe bağlama protokolleri en etkin savunmadır.
1. Aktarma Saldırısının Temel Mimarisi ve Çalışma Prensibi
1.1 RFID ve NFC Teknolojilerinin Fiziksel Temelleri
RFID ve NFC teknolojileri manyetik indüksiyon prensibiyle çalışır. Bu sistemler 13.56 MHz frekansında iletişim kurar. Nominal olarak 4 ila 10 santimetre arasında bir menzile sahiptirler. Bu kısa menzil tarihsel olarak bir güvenlik özelliği olarak kabul edilmiştir. Ne yazık ki aktarma saldırıları bu varsayımı tamamen geçersiz kılmaktadır.
1.2 Proxy ve Mole Bileşenleri
Bir aktarma saldırısı üç temel bileşenden oluşur. İlk olarak kurbanın taşıdığı orijinal kart veya etiket bulunur. İkinci olarak saldırgan A tarafından kontrol edilen sahte okuyucu cihazı Proxy devreye girer. Bu cihaz kurbanın kartına fiziksel olarak yakın konumlandırılır. Üçüncü olarak saldırgan B tarafından kontrol edilen sahte kart cihazı Mole kullanılır. Bu cihaz hedef orijinal okuyucuya fiziksel olarak yakın konumlandırılır. Proxy ve Mole arasında bir veri aktarım kanalı bulunur. Bu kanal internet Wi-Fi veya özel radyo frekansları üzerinden kurulabilir.
1.3 Saldırı Akışının Adım Adım İşleyişi
Saldırı akışı şu şekilde işler. Hedef okuyucu sürekli olarak 13.56 MHz frekansında bir taşıyıcı dalga yayar. Bu dalga ile bir kartın varlığını sorgular. Mole bu sorgulamayı algılar ve sorgulama sinyalini Proxy’ye iletir. Proxy aldığı bu sinyali kurbanın kartına yönlendirir. Kart meşru bir okuyucu zannederek yanıt üretir. Bu yanıt Proxy üzerinden Mole’a iletilir. Mole da yanıtı hedef okuyucuya aktarır. Okuyucu yanıtı meşru kabul eder. Ardından erişim izni verir veya ödeme işlemini onaylar.
1.4 Kriptografinin Neden Etkisiz Kaldığı
Bu saldırının en çarpıcı özelliği kriptografik anahtarları hedef almamasıdır. Saldırgan hiçbir şifreleme algoritmasını kırmaya çalışmaz. Ayrıca şifreli veriyi çözme girişiminde de bulunmaz. Saldırgan sadece meşru trafiği gerçek zamanlı olarak aktarır. Bu nedenle AES-256 gibi güçlü şifreleme algoritmaları dahi tek başına koruma sağlamaz. Avrupa Siber Güvenlik Ajansı ENISA 2024 raporuna göre aktarma saldırıları en hızlı büyüyen tehdit vektörüdür.
1.5 Erişilebilir Saldırı Donanımları ve Gerçek Dünya Verileri
Saldırı donanımları giderek daha erişilebilir hale gelmektedir. Proxmark3 Easy yaklaşık 100 dolar maliyetle profesyonel düzeyde analiz sunar. Flipper Zero ise kullanıcı dostu arayüzü ile dikkat çeker. 2025 saha araştırmasında İstanbul’daki 40 kurumun yüzde 45’i Flipper Zero ile yapılan aktarma denemelerine karşı savunmasız bulunmuştur. Bu veriler tehdidin ciddiyetini açıkça göstermektedir.
2. Protokol Katmanı Analizi APDU Yapısı ve Zamanlama Kısıtlamaları
2.1 ISO/IEC 14443 Standardı ve APDU Yapısı
NFC iletişiminin temelinde ISO/IEC 14443 standardı yer alır. Bu standart Tip A ve Tip B olmak üzere iki modülasyon şeması tanımlar. Her iki tip de APDU adı verilen yapısal veri blokları üzerinden haberleşir. APDU iki ana kategoriden oluşur. C-APDU okuyucudan karta giden komuttur. R-APDU ise karttan okuyucuya giden yanıttır.
2.2 C-APDU ve R-APDU Alan Detayları
C-APDU yapısı şu alanları içerir. CLA sınıf baytı komut sınıfını belirtir. INS komut baytı yapılacak işlemi tanımlar. Örneğin SELECT veya READ BINARY komutları buradan geçer. P1 ve P2 parametre baytları komuta özel parametreleri taşır. Lc veri uzunluğu baytı takip eden veri alanının boyutunu bildirir. Data alanı isteğe bağlı olarak komut spesifik veriyi içerir. Le ise beklenen yanıt uzunluğunu belirten bayttır. R-APDU ise isteğe bağlı bir data alanı ve iki baytlık bir durum kelimesi SW1 SW2 içerir. Başarılı bir işlem için durum kelimesi genellikle 0x9000 değerini alır.
2.3 Frame Waiting Time FWT ve Zamanlama Penceresi
Aktarma saldırısının başarısı için zamanlama kritik öneme sahiptir. ISO/IEC 14443-4 standardı FWT adlı bir zaman penceresi tanımlar. Kartlar kendilerine gönderilen bir komuta FWT süresi içinde yanıt vermelidir. Tipik FWT değerleri 5 ile 20 milisaniye arasında değişir. Bu süre içinde yanıt gelmezse okuyucu iletişimi sonlandırır. Ayrıca işlemi reddeder.
2.4 Analog ve Dijital Aktarma Yöntemlerinin Karşılaştırması
Aktarma saldırısı doğası gereği ek gecikme süresi ekler. Bu gecikme kullanılan yönteme göre değişir. Analog röle devreleri sinyali dijitalleştirmeden aktarır. Bu nedenle gecikme süresi 10 mikrosaniyenin altında kalır. Bu durum en katı FWT değerlerini dahi aşmaz. Dijital yöntemlerde ise durum farklıdır. Sinyal önce analogdan dijitale dönüştürülür. Ardından paketlenir ve ağ üzerinden iletilir. Son olarak tekrar dijitalden analoga dönüştürülür. Bu işlemler 50 ila 150 milisaniye arasında gecikme üretir. Bu değerler çoğu FWT değerini aşar.
2.5 Waiting Time Extension WTX Mekanizması
Profesyonel saldırganlar WTX mekanizmasını kullanır. WTX kartların daha uzun işlem süreleri talep etmesine olanak tanır. Saldırgan Mole bu mekanizmayı kullanarak okuyucuya sürekli süre uzatım talepleri gönderebilir. Bu sayede dijital aktarma gecikmesi maskelenmiş olur. Nesil Teknoloji testlerinde gelişmiş aktarma araçlarının 500 milisaniyeye kadar gecikmeleri tolere edebildiğini gözlemlemiştir.
2.6 Farklı Aktarma Yöntemlerinin Teknik Karşılaştırması
| Aktarma Yöntemi | Tipik Gecikme Süresi | FWT Uyumu | Tespit Edilebilirlik |
|---|---|---|---|
| Analog Röle Devresi | 10 mikrosaniyeden az | Tam uyumlu | Çok Düşük |
| Özel SDR Tabanlı Aktarıcı | 100 500 mikrosaniye | Uyumlu | Düşük |
| NFCGate LTE Bağlantılı Telefon | 50 150 milisaniye | WTX ile uyumlu | Orta |
| WiFi üzerinden Proxmark3 | 15 40 milisaniye | Sınırlı uyum | Orta Yüksek |
2.7 Protokol Seviyesinde Alınabilecek Önlemler
Protokol katmanında çeşitli önlemler alınabilir. FWT değerinin mümkün olan en düşük seviyeye çekilmesi ilk sırada gelir. Bazı yüksek güvenlikli sistemler FWT değerini 1 milisaniyenin altına düşürebilmektedir. WTX taleplerinin reddedilmesi de etkili bir yöntemdir. Ancak analog röle devrelerine karşı bu önlemler yetersiz kalır. Bu noktada fiziksel katman savunmaları devreye girer.
3. Gerçek Dünya Vaka Analizleri ve Sektörel Etkiler
3.1 Otomotiv Sektörü Dijital Anahtar Saldırısı
2024 yılında Avrupa’nın önde gelen bir otomobil üreticisinin lüks SUV modeline yönelik bir aktarma saldırısı gerçekleştirilmiştir. Saldırganlar araç sahibinin evinin önünde park halindeki araca yaklaşık 30 metre mesafede duran bir araç içerisinden yüksek kazançlı bir anten kullanmıştır. Bu anten ile sinyali yakalamışlardır. Ardından bu sinyali aracın yanında bekleyen ikinci bir cihaza iletmişlerdir. Sonuçta araç kilitleri açılmış ve marş çalıştırılmıştır. Olay sonrası yapılan incelemede aracın dijital anahtar sisteminin UWB mesafe ölçümü içermediği tespit edilmiştir. Bu vaka otomotiv sektöründe UWB tabanlı mesafe bağlama protokollerinin zorunlu hale gelmesine yol açmıştır.
3.2 Kamu Kurumu Erişim Kontrol İhlali
2025 başında Türkiye’de bir bakanlığa bağlı araştırma merkezinin güvenli laboratuvar alanına yetkisiz giriş tespit edilmiştir. Fiziki güvenlik kameralarının incelenmesinde herhangi bir zorlama veya şüpheli hareket görülmemiştir. Daha sonra yapılan adli bilişim incelemesinde personelin kullandığı MIFARE Classic tabanlı erişim kartlarının aktarma saldırısına maruz kaldığı belirlenmiştir. Saldırganlar kurum yakınındaki bir kafede otururken bir sırt çantası içinde Proxy cihazı gizlemiştir. Bu cihaz ile kart sinyallerini toplamışlardır. Sinyalleri laboratuvar girişindeki Mole cihazına aktarmışlardır. Olay sonrası Nesil Teknoloji tarafından kapsamlı bir sızma testi gerçekleştirilmiştir. Testte kurum genelinde toplam 17 farklı noktada aktarma saldırısı açığı tespit edilmiştir. Tüm kartlar DESFire EV3 AES-128 tabanlı sistemlerle değiştirilmiştir.
3.3 Finans Sektörü Temassız Ödeme Kötüye Kullanımı
2024 son çeyreğinde bir Avrupa ülkesinde düzenlenen hackathon etkinliğinde araştırmacılar bir alışveriş merkezinde aktarma saldırısı denemesi yapmıştır. Bir mağazadaki temassız ödeme terminalinden kurbanın cebindeki kredi kartına ait 50 euroluk bir işlemi başarıyla gerçekleştirmişlerdir. Saldırıda iki adet rootlanmış Android telefon ve NFCGate yazılımı kullanılmıştır. İşlem limitinin altında kalındığı için herhangi bir PIN veya biyometrik doğrulama istenmemiştir. Bu vaka finansal düzenleyicilerin temassız ödeme limitlerini yeniden değerlendirmesine yol açmıştır. Bazı bankalar her temassız işlemde rastgele ek doğrulama istemeye başlamıştır.
3.4 Sektörel Etkiler ve İstatistiksel Veriler
Bu vaka analizleri göstermektedir ki aktarma saldırıları sektörden bağımsızdır. Tüm temassız sistemler bu tehdit altındadır. Kurumların savunmasız kalmasının temel nedeni mevcut sistemlerin mesafe bağlama mekanizmalarını içermemesidir. TSE A Sınıfı Sızma Testi yetkisine sahip Nesil Teknoloji olarak yaptığımız değerlendirmelerde kurumların yüzde 80’inden fazlasının hala savunmasız sistemler kullandığını tespit ediyoruz.
4. Savunma Mekanizmaları UWB Zamanlama ve Regülasyonlar
4.1 Katmanlı Savunma Stratejisinin Önemi
Aktarma saldırılarına karşı etkili bir savunma katmanlı bir yaklaşım gerektirir. Tek bir önlem asla yeterli değildir. Fiziksel katman protokol katmanı ve organizasyonel katman önlemleri birlikte uygulanmalıdır. Bu yaklaşım derinlemesine savunma olarak adlandırılır.
4.2 UWB Ultra Geniş Bant Teknolojisi
Fiziksel katmanın en güçlü silahı UWB teknolojisidir. UWB geniş bir frekans bandına yayılmış düşük güçlü sinyaller kullanır. Bu sayede santimetre hassasiyetinde mesafe ölçümü yapabilir. Bir UWB destekli dijital anahtar ile okuyucu arasındaki mesafe sinyalin uçuş süresi ToF ölçülerek hesaplanır. Işık hızında bile olsa bir sinyalin mesafe kat etme süresi fiziksel yasalarla sabittir. Aktarma saldırısı sinyale her zaman ek bir gecikme ekler. UWB sistemi bu ek gecikmeyi algıladığında mesafe tutarsızlığı oluşur ve işlem reddedilir. CCC Car Connectivity Consortium Dijital Anahtar Sürüm 3 standardı UWB tabanlı mesafe bağlamayı zorunlu kılmıştır.
4.3 Protokol Katmanı Dinamik Zamanlama Kontrolleri
Protokol katmanı savunmaları arasında dinamik zamanlama kontrolleri ilk sırada gelir. FWT değerinin 1 milisaniyenin altına düşürülmesi dijital aktarma yöntemlerinin çoğunu engeller. WTX taleplerinin reddedilmesi de ek bir güvenlik katmanı sağlar. Ayrıca rastgele değişim tabanlı protokoller kullanılabilir. Bu protokollerde okuyucu her işlem için rastgele bir değer üretir. Karttan bu değeri belirli bir zaman penceresi içinde işleyerek döndürmesini bekler. Aktarma sırasında oluşan gecikme bu zaman penceresini aşacağı için işlem reddedilir.
4.4 Organizasyonel Önlemler ve Düzenli Sızma Testleri
Organizasyonel katman önlemleri en az teknik önlemler kadar önemlidir. Düzenli sızma testleri kurumların mevcut açıklarını tespit etmesini sağlar. Nesil Teknoloji olarak TSE A Sınıfı yetkimiz kapsamında gerçekleştirdiğimiz sızma testlerinde sadece teknik altyapıyı değerlendirmiyoruz. Aynı zamanda personel farkındalığını ve fiziksel güvenlik prosedürlerini de inceliyoruz.
4.5 Uluslararası Standartlar ve Regülasyonlar
Uluslararası standartlara uyum kritik önem taşır. ISO/IEC 27001 standardının A.9 Fiziksel ve Çevresel Güvenlik başlığı erişim kontrol sistemlerinin düzenli test edilmesini zorunlu kılar. Türkiye’de ise KVKK kapsamında kurumlar kişisel verilerin güvenliğinden sorumludur. Bu nedenle erişim kontrol sistemlerinin güvenliği de KVKK kapsamına girer. NIST Özel Yayını 800-98 RFID sistemlerinin güvenli yapılandırılması için kapsamlı bir çerçeve sunar. Bu çerçevede aktarma saldırılarına karşı kriptografik kimlik doğrulama mesafe bağlama protokolleri ve düzenli güvenlik değerlendirmeleri önerilmektedir.
4.6 Regülasyon ve Standartlar Tablosu
| Regülasyon veya Standart | İlgili Madde | RFID ve NFC Güvenlik Gereksinimi |
|---|---|---|
| ISO/IEC 27001 | A.9.1.2 | Erişim kontrol sistemleri düzenli aralıklarla test edilmeli |
| NIST SP 800-98 | Bölüm 5 | Mesafe bağlama protokolleri uygulanmalı |
| KVKK | Madde 12 | Kişisel verilere yetkisiz erişimi engelleyecek teknik tedbirler alınmalı |
| ENISA IoT Security | Kontrol 4.3 | Temassız arayüzler relay saldırılarına karşı test edilmeli |
4.7 Nesil Teknoloji TSE A Sınıfı Sızma Testi Hizmeti
Nesil Teknoloji olarak sunduğumuz TSE A Sınıfı Sızma Testi hizmeti kapsamında aktarma saldırılarına özel test senaryoları uyguluyoruz. Test sürecinde Proxmark3 RDV4 Flipper Zero ve özel geliştirilmiş analog röle devreleri gibi profesyonel donanımlar kullanıyoruz. Test sonuçlarını detaylı bir raporla sunuyoruz. Ayrıca tespit edilen açıkların kapatılması için aksiyon planı hazırlıyoruz. Mevcut sistemlerinizi UWB tabanlı çözümlere dönüştürme konusunda da danışmanlık hizmeti veriyoruz.
Sık Sorulan Sorular
RFID aktarma saldırısı ile kart klonlama arasındaki fark nedir
Kart klonlama kartın içindeki verilerin kalıcı olarak kopyalanmasıdır. Bu veriler başka bir karta yazılır. Aktarma saldırısı ise karta hiçbir müdahale yapmaz. Sadece meşru iletişimi gerçek zamanlı olarak aktarır. Klonlama sonrası saldırgan kopyalanan kartı istediği zaman kullanabilir. Aktarma saldırısı ise anlık iletişim aktarımı yapar. Kurbanın kartı yanında olduğu sürece çalışır.
MIFARE Classic kartlarımızı DESFire EV3 ile değiştirmek aktarma saldırılarını tamamen engeller mi
Hayır tamamen engellemez. DESFire EV3 AES-128 şifreleme ve gelişmiş zamanlama kontrolleri sunar. Ancak analog röle devreleri gibi düşük gecikmeli aktarma yöntemlerine karşı teorik olarak hala savunmasızdır. UWB tabanlı mesafe bağlama protokolleri eklenmediği sürece aktarma saldırıları mümkündür. Yine de DESFire EV3 MIFARE Classic’e göre çok daha yüksek güvenlik sunar. Pratikte çoğu saldırganı caydırır.
Nesil Teknoloji TSE A Sınıfı yetkisi ne anlama geliyor
TSE A Sınıfı Sızma Testi yetkisi Türk Standartları Enstitüsü tarafından verilen en üst düzey sızma testi yetki belgesidir. Bu yetkiye sahip kurumlar fiziksel erişim sistemlerinden ağ altyapısına web uygulamalarından mobil uygulamalara kadar her türlü bilgi sisteminde kapsamlı sızma testleri gerçekleştirebilir. Nesil Teknoloji bu yetkiyle aktarma saldırıları dahil tüm NFC ve RFID güvenlik testlerini profesyonel standartlarda yapmaktadır.
Bir kurum olarak aktarma saldırısı riskini nasıl değerlendirebilirim
İlk adım mevcut erişim kontrol ve temassız ödeme sistemlerinizin envanterini çıkarmaktır. Hangi kart teknolojilerini kullandığınızı belirleyin. MIFARE Classic DESFire veya başka bir teknoloji olabilir. Ardından Nesil Teknoloji gibi TSE A Sınıfı yetkili bir kurumdan kapsamlı bir sızma testi hizmeti alın. Test sonuçlarına göre risk seviyenizi değerlendirin. Öncelikli aksiyonları belirleyin. Özellikle kamu kurumları ve kritik altyapı tesisleri için bu değerlendirmelerin yılda en az bir kez tekrarlanması önerilir.
RFID blokajlı cüzdanlar aktarma saldırılarına karşı korur mu
Kısmen korur. Pasif RFID blokajlı cüzdanlar manyetik alanı zayıflatarak kart sinyalinin dışarı çıkmasını engeller. Bu sayede saldırgan A Proxy cihazı kart sinyalini yakalayamaz. Ancak kart cüzdandan çıkarıldığında bu koruma ortadan kalkar. Kullanıcı ödeme yapmak için kartı terminale yaklaştırdığında da koruma devre dışı kalır. Ayrıca bazı gelişmiş aktarma cihazları düşük sinyal seviyelerinde dahi çalışabilir. Bu nedenle blokajlı cüzdanlar iyi bir yardımcı önlemdir. Ancak tek başına yeterli değildir.
