Tuesday, June 24, 2014

XSS var!

Anlatmakta zorlandığımız tehlikelere güzel bir örnek: AskMen.com

Sızma testleri bulguları arasında üst yönetime en zor açıklananlar, XSS gibi, kurum kaynaklarının başkalarına saldırmak için kullanıldığı zafiyetlerdir. Kendileri de konuya çok hakim olmadıklarından olsa gerek bazı “hızlı heykır” abilerimiz XSS zafiyetlerinin göstergesi olarak ekrana “XSS Var!” yazdırmaktan fazlasını sunamazlar. Benzer saldırılardan birisi de sitenin kaynak koduna zararlı bir kod eklenerek site ziyaretçilerine karşı yapılan saldıralardır. 

Websense araştırmacıları www.askmen.com sitesinin kaynak koduna zararlı java kodları eklendiğini tespit etmiş. Aylık 10 milyondan fazla ziyaretçisi olduğu tahmin edilen siteye eklenen kod özünde zararlı değil. Eklenen kod ziyaretçiyi asıl zararlı kodun bulunduğu siteye yönlendirerek istismar kodunun buradan yüklenmesini sağlıyor.


Şekil 1: askmen.com Alexa'ya göre dünyanın en popüler 1591. sayfası


Eklenen koda bakıldığında günün tarihini CRC32 algoritması ile işleyip bir alan adı oluşturduğunu ve ziyaretçiyi bu alan adına yönlendirdiğini görüyoruz. Bu sayede saldırganlar ziyaretçilerin hangi gün hangi alan adına yönlendirileceğini biliyor ve buna göre hazırlık yapabiliyorlar. Bu algoritmaya göre 30 Haziran günü www.askmen.com sitesini ziyaret edenlerin http://a78b8f8c.pw/nbe.html adresine yönlendirileceğini biliyoruz. Saldırgan olarak yapmamız gereken şey, ileriye dönük bu alan adlarını hazırlayıp beklemek.

Şekil 2: Sayfanın kaynak koduna eklenen yönlendirme kodu



Şekil 3: Eklenen kodun açık hali

Ziyaretçilerin yönlendirildiği sitede ise bir Java istismar kodu (virüstotal CVE-2013-2465 olarak tespit etmiş) ve bir Adobe PDF okuyucu istismar kodu bulunuyor. Analizi yapanlar, Java’nın kodlanma (obfuscation) yönteminin saldırganların bu iş için Nuclear Pack Exploit Kit’i kullanmış olabileceğini gösterdiğini belirtiyor.

İstismar kodunun başarılı olması halinde CAPHAW olarak bilinen zararlı yazılım kurbanın bilgisayarına yükleniyor. Hükümet ve altyapı gibi stratejik hedeflere yönelik kullanıldığı tespit edilen bu zararlının gelişmiş özellikleri sayesinde saldırganlar bulaştıkları ağ içerisinde tarama yapıp, yatay olarak yayılma imkânına sahip oluyorlar.
CAPHAW’ın daha çok Rusya ve Ukrayna’da bulunan komuta sunucularına doğru gözlemlenen trafiğin kaynakları aşağıdaki resimde verilmiştir. (Her hangi bir harita gördüğümüzde yaptığımız gibi hemen Türkiye'ye bakıyoruz ve... bizden de birileri var)

Şekil 4: Komuta sunucuları (Kırmızı) ve kurbanlar (mavi)

Zararlının kullanıdığı bilinen bazı alanadlarını da aşağıda paylaşıyorum.  Bu alan adlarına doğru olan kurum trafiğinin engellenmesinde ve geçmişe dönük kayıtlara bakılmasında fayda var.

service-stat.com
updservice.net
autowinupd.net
autoavupd.net
service-update.net
full-statistic.com
service-statistic.com
stetsen.no-ip.org
autodbupd.net
automsupd.net
titanium.onedumb.com
statuswork.ddns.info
fullstatistic.com
service-statistic.com
autosrvupd.net
full-statistic.com
fullstatistic.com
service-update.net
storestatistic.com
updsvc.net
fullstatistic.com
reservestatistic.net
srvupd.com
automsupd.net
stotsin.ignorelist.com
autosrvupd.net
autosrvupd.net
reserve-statistic.com
autodbupd.net
workstat.hopto.org
service-statistic.com
full-statistic.com
srvupd.com
updsvc.net
automsupd.net
autosrvupd.net
assetsstatistic.com
assetsstatistic.com
assetsstatistic.com
srvupd.com
updsvc.net
reserve-statistic.com
reserve-statistic.com
autodbupd.net
fullstatistic.com
reservestatistic.net
reserve-statistic.com
srvupd.com
updsvc.net
fullstats-srv.net
stats-srv.com
fullstats-srv.com
statssrv.com
reserv-stats.net
reserv-stats.com
pushstatistics.com
stats-upd.net
reservstats.com
push-statistics.net
push-stats.net
push-stats.com
fullstatistic.com


Monday, June 23, 2014

Bir başka NSA yazısı

Son zamanlarda fazlaca NSA ile ilgili istediğimden fazla yazar oldum, hoşuma gitmese de bunu da paylaşmam lazım. Bir de bu aralar trafik kazası geçirirsem “NSA ile ilgili yazıyordu, susturdular” gibi arkamda gizemli bir söylenti de bırakabilirim.


Şekil 1: NSA logosu


Snowden tarafından yayınlanan belgelerin içerisinde yer alan bilgilere göre Rampart-A projesi kampasamında A.B.D istihbarat kuruluşu NSA dünyanın çeşitli ülkelerinde yerel kurum ve kuruluşlarla işbirliği yaparak fiberoptik kablolar üzerinde dinleme yapıyormuş.


Şekil 2: RAPMART-A dahilinde iş birliği yapılan ülkelerin listesi

Açıklanan rakamlara göre bu dinlemeler sonucunda ele geçirilen veri saniyede 3 Terabayt civarındaymış. Bunu evinizdeki bağlantıyla karşılaştırabilmeniz açısından: 3 Tbps = 3.071 Gbps = 3.145.728 Mbps diyebiliriz.


Bu program çerçevesinde dinleme yapılan fiber optik kablo üzerine ve yerel kurum ve kuruluşlar ile yapılan anlaşmalar doğrultusunda mülkiyeti ve yönetimi A.B.D.’ye ait cihazlar yerleştirilmiş. Dünya genelinde 13 noktaya konumlandırılan bu cihazların 9 tanesi 2013 yılında (Snowden’in henüz bilgilere ulaşabildiği dönemde) aktifmiş. AZUREPHOENIX, SPINNERET ve MOONLIGHTPATH kod adlarıyla faaliyet gösteren en önemli 3 noktanın 70’ten fazla farklı ağ ve kablodan bilgi topladığı berlitilmiş.


Şekil 3: Sızdırılan sunumdan bir görüntü



Fiberoptik kablo dediğimde gözünüzde evinize gelen kablo veya sistem odasında kullanılan LC/SC türü kablolar canlanmasın. Burada sözü edilen kablolar ulusal ve uluslararası düzeyde çalışan kablolardır.

Şekil 4: Sızdırılan sunumda yer alan "mevcut ve planlanan fiberoptik kablolar" slaytı

Not:Yazının ismi Google translate kullananlara kolaylık sağlamak için seçilmiştir :)

NSA sunucuları listesi

Alman Der Spiegel dergisi tarafından yayınlanan NSA sunucularının IP adreslerinin listesi. 




Kurumsal ağa doğru veya kurumsal ağdan bu IP'lerle olan trafiği yasaklamakta fayda var. Özellikle kamu kurumlarda geçmişe dönük loglara bakıp bu IP'lere doğru bir trafik olduysa tespit etmek çok önemli. 


Kaynak: http://www.spiegel.de/media/media-34056.pdf

PROJE KODU IP ADRESİ ÜLKE
ACRIDMINI           146.185.26.163    İngiltere
BALLOONKNOT         176.249.28.104    İngiltere
APERTURESCIENCE   212.118.232.104 İngiltere
CROSSEYEDSLOTH    212.118.232.184 İngiltere
KOALAPUNCH          212.118.232.50    İngiltere
WAXTITAN            31.6.17.94        İzlanda
LUTEUSICARUS      37.130.229.100 İngiltere
MAGNUMOPUS        37.130.229.101 İngiltere
MURPHYSLAW          37.220.10.28      İngiltere
WILDCOUGAR          80.84.63.242      İngiltere
MAGNUMOPUS          84.45.121.218     İngiltere
CROSSEYEDSLOTH    85.237.211.177 İngiltere
HEADMOVIES        85.237.211.198 İngiltere
APERTURESCIENCE     85.237.212.52    İngiltere
DARKFIRE            94.229.78.58      İngiltere
SHARPSHADOW         184.154.95.24     A.B.D.
WILDCHOCOBO       198.105.215.147 A.B.D.
SCREAMINGHARPY    198.144.105.223 A.B.D.
DARKTHUNDER       198.144.107.244                   
POTBED              198.144.107.45                      
MURPYSLAW           199.127.100.25    A.B.D.
DARKTHUNDER       216.172.135.105                   
SCREAMINGHARPY    216.172.135.136                   
SHAREDTAFFY         37.72.168.84      Hollanda
CHOCOLATESHIP     50.115.118.140 A.B.D.
LUTEUSICARUS      50.115.119.172 A.B.D.
WAXTITAN            64.9.146.208      A.B.D.
WAXTITAN            65.49.68.162      A.B.D.
WHISTLINGDIXIE      68.68.107.164     A.B.D.
CHAOSOVERLORD       68.68.108.69      A.B.D.
JEEPFLEA            69.175.29.74      A.B.D.

Sunday, June 15, 2014

NSA, TEMPEST, COMSEC ve İsrail'li Profesör

İngilizcesi "air-gap" olarak bilinen ve özünde korumaya çalıştığımız ağ veya sistem ile internet arasında bir "hava boşluğu" oluşturmak üzerine kurulu olan yaklaşımın son zamanlarda çeşitli şekillerde atlatılabildiği ortaya çıkmaktadır. Son olarak İsrail'de Ben-Gurion Üniversitesi Profesörlerinden Yuval Elovici bu konuda yeni bir yöntem ortaya koydu. 

Hava boşluğu yaklaşımı günümüzde aşağıdaki gibi önemli ağ ve sistemleri korumak için kullanılmaktadır:

  • Askeri/Hükümet sistemlerin güvenliği
  • Finansal/Bankacılık sistemlerin güvenliği
  • SCADA sistemleri gibi altyapı kontrolü için kullanılan sistemlerin güvenliği
  • Nükleer tesis bilgisayar sistemleri
  • Uçuş ve uçuş kontrol sistemleri
  • Bilgisayar destekli tıbbi cihazların güvenliği


Özel geliştirilmiş zararlı yazılımların megastar'ı olan Stuxnet'in hava boşluğunu USB bellek gibi taşınabilir depolama aygıtları sayesinde aştığını biliyoruz. Bu sefer ortaya konulan araştırma sonuçları ise hava boşuluğu ile sağlanan güvenliğin sistemlerin yaydığı elektromanyetik dalgalar kullanılarak atlatılabildiğini göstermektedir. 


Şekil 1: Stuxnet (temsili)

NSA'in COMSEC (Communication Security - iletişim güvenliği) altında ve "TEMPEST" kod adıyla bilinen bir program kapsamında sistemlerin yaydığı elektro-manyetik sinyallerin yakalanarak işlenmesi ve düşmanın da kendi elektro-manyetik sinyallerini yakalamasını engellemek üzerine çalıştığını biliyoruz. 

Geçtiğimiz se
nenin sonlarında Almanya'da bir araştırma biriminin iki adet Lenovo T400 laptop arasında, sadece fabrika çıkışı mikrofon ve hoparlörleri kullanarak veri alışverişi yapabilmiş olması IP dışında yöntemlerin veri sızdırılması için kullanılmasını gündeme getirmişti. Bağlantı hızı saniyede 20 bit ve uzaklık 19 metre idi ama pek çok kişinin aklında soru işaretleri oluşturmaya yetecek kadar önemli bir gelişmeydi. Bu gelişme üzerine TEMPEST'in önemi bir kez daha anlaşılmıştı. 

TEMPEST standartlarının gizli olarak sınıflandırılmış olması sebebiyle bu konuda çok detaylı bilgiye sahip değiliz, ancak NATO'nun kendi TEMPEST standartları 3 temel koruma düzeyi belirlemektedir. Bunlar; NATO SDIP-27 seviye A, B ve C (NATO SDIP-27 Level A, B and C) olarak bilinmektedir. C seviyesi düşmanın korunmassı gereken sisteme 100 metreden fazla yaklaşamadığı senaryolara göre hazırlanmıştır ve A ve B seviyelerine göre biraz daha rahattır. B seviyesi ise düşman ile en az 20 metre mesafe olan durumlara göre düzenlenmiştir. NATO SDIP-27 seviye A ise düşmanın korunması gereken sistemlere 1 metre kadar yaklaşabileceği durumlara göre hazırlanmıştır. 

Geçtiğimiz hafta ise Profesör Elovici hava boşluğu ile korunan sistemler için cep telefonlarının bir tehdit oluşturduğunu ortaya koydu. 

Oltalama (phishing) saldırısı ile akıllı telefona bulaştırılan bir zararlı yazılım bulaştığı telefonun bulunduğu ortamlarda havadaki elektro-manyetik sinyalleri taramaya başlıyor. 
Zararlı yazılım havada tespit ettiği sinyallere müdahale ederek hedef sisteme bir zararlı yazılım yüklenmesini sağlıyor. Yüklediği zararlı yazılım ile telefon arasında radyo sinyalleri kullanan bir ağ oluşturan zararlı hedef sistemden elde ettiği bilgileri cep telefonunun bağlantılarını kullanarak dışarıya aktarmakta ve aynı şekilde talimatları telefon üzerinden almaktadır. Bu saldırının teknik detaylarına tümüyle hakim olmamamıza karşılık hedef sistemin ekran kartının ve monitörünün kullanıldığını biliyoruz. 


Şekil 2: Prof. Elovici ve Ben-Gurion ÜniversitesiAraştırmacıları saldırı hakkında İsrail Cumhurbaşkanı Şimon Peres'e saldırı hakkında bilgi veriyor. (photo credit: BGU)

Profesör Elovici bu saldırılara karşı şu anda tek etkin yöntemin telefonları kapatmak olduğunu belirtiyor ancak günümüzde bunun ne kadar uygulanabilir bir çözüm olduğu tartışılır. 


Ülkemizde de Aselsan tarafından üretilen SAHAB (2180 Sanal Hava Boşluğu Sistemi) benzeri sistemler aklınıza gelebilir ancak buradaki saldırının kurumsal ağa bağlı olmayan (telefon) bir sistem ve IP protokolleri kullanılmadan (elektro-manyetik sinyaller) yapıldığı için bu çözümler yetersiz kalmaktadır. 


Kurum içerisinde cep telefonu kullanımının sınırlandırılması ve hava boşluğu ile korunan sistemlerin duvarlara, pencerelere ve internete bağlı diğer sistemlere olan uzaklığının denetlenmesi bu tür saldırıların engellenmesi için geçerli önlemlerin başında gelmektedir. 

MITRE ATT&CK Gerçek Hayatta Ne İşimize Yarar?

  Rusya kaynaklı siber saldırılar webinarı sırasında üzerinde durduğum önemli bir çalışma vardı. MITRE ATT&CK matrisini ele alıp hangi...