Saturday, January 31, 2015

Zihin haritaları

Düşüncelerinizi ve fikirlerinizi işe yarayacak şekilde kağıda aktarmak zordur. Aklınıza gelenleri alt alta bir kağıda dökmek ilk bakışta mantıklı gelse de aslında beynimizin çalışma biçimine uygun bir yapı olmadığı için, en verimli yöntem değildir.


 Listelerin eksik kaldığı en önemli noktalardan birisi fikirlerimizin birbirleriyle olan bağlantılarının net bir şekilde görülememesidir. Özellikle belirli bir konuda kafa yorarken veya bilgi toplarken “zihin haritası” (ing. Mind Map) kullanmak işinize yarayabilir.

Zihin haritalarının faydalarını ve kullanılabilecekleri alanları aşağıda listeledim.

Zihin haritalarının faydaları:
Verimliliği artırmak
Yaratıcı düşünme yeteneğini geliştirmek
Düşüncelerinizi yapılandırmak
Bilgileri görselleştirmek
Veriyi daha etkin biçimde yönetmek

Zihin haritalarının kullanılabileceği alanlar:
Kişisel bilgileri yapılandırmak
Bilgiyi kayıt altına almak
Hayatınızı yönetmek
Beyin fırtınası yapmak için
Planlama yapmak için
Yönetim becerilerini geliştirmek
Toplantıları  daha verimli hale getirmek için
Sınavlara çalışırken
Ders içeriği hazırlarken
Ezber yaparken

Yukarıdaki iki listeden aklınızda nelerin kaldığını bilmiyorum ama yukarıdaki sıkıcı listeleri zihin haritası haline getirdim. Fark edeceğiniz gibi, aynı bilgileri sunmama rağmen, beyniniz büyük ihtimalle aşağıdaki şekli çok daha kolay algıladı.



Zihin haritaları yapılacak listesi tutmaktan, geliştirdiğiniz bir yazılımın özelliklerini ve projenin hangi aşamasında olduğunuzu takip etmeye kadar her alanda kullanılabilir. Aşağıda örnek olarak hazırladığım bir Barselona seyahati planını görebilirsiniz. Gidiş yolculuğum, dönüş yolculuğum, Barselona'daki Türkiye Cumhuriyeti temsilciliği, Otel bilgileri, göreceğim yerler ve ihtiyacım olabilecek İspanyolca cümleler dahil bütün bilgileri görebilirsiniz. Veriler anlamlı gruplar ve görsel olarak algılayabileceğim bir biçimde karşımda olduğu için uzun bir liste yerine çok daha etkili kullanabildiğim bir bilgi kaynağı haline gelmiştir. 



 Zihin haritalarını günlük olarak müşterilerde takip ettiğim projelerde ve sızma testlerinde bulgu kaybetmediğimden emin olmak için kullanıyorum. Aşağıdaki örnekte sızma testi yaptığım bir ağda, bulguları ekledikçe ortaya çıkan yapıyı görebilirsiniz.

Öncelikle hedef hakkında bildiklerimden başlıyorum. Aşağıda IP adresi bloğunu ve kuruluş ağı üzerinde bulunduğunu tahmin ettiğim sunucuları yerleştirdim. 



İkinci aşamadı IP bloğu üzerinde çalışır durumda olduğunu tespit ettiğim sunucuların IP adreslerini yerleştirdim. Normalde bunları hangi yöntemle (ping, TCP scan, UDP scan, vs.) bulduğumu ve üzerlerinde hangi servislerin çalıştığını (sonraki aşamada da tespit ettiğim zafiyetleri) de zihin haritasına dahil ediyorum. 


Tespit ettiğim DNS sunucularını ekliyorum


Diğer sunucuları tespit ettikçe ekliyorum ve sonuç olarak aşağıdaki haliyle hedef hakkında bir zihin haritası oluşturmuş oluyorum. Bu çalışma hedefin topolojisinin de oluşturulması aşamasında da faydalı olmaktadır. 



Zihin haritalarını çizmek için Freemind yazılımını kullanıyorum (http://freemind.sourceforge.net/wiki/index.php/Main_Page) ihtiyacımı büyük ölçüde karşılıyor. 

İşiniz veya projeniz ne olursa olsun zihin haritalarını kullanarak işinizi daha etkili yapabileceğinize inanıyorum. 



Sunday, January 25, 2015

Saldırı Ağacı

1998 yılında Salter tarafından ortaya atılan “Saldırı Ağacı” (ing: Attack Tree) fikri bir sistemin, çeşitli saldırılara karşı güvenliğinin, biçimsel ve metodolojik olarak ortaya konulmasını sağlamaktadır. Türkçe olarak ifade edersek, güvenliğini sağlamaya çalıştığım sisteme “kim ve nasıl saldırabilir?” sorusuna yanıt oluşturacak bir çalışmadır.


Kolay ve hızlı bir çözüm olması nedeniyle Türkiye’de genel olarak kabul gören zafiyet temelli güvenlik yaklaşımından farklı olarak saldırı ağacı veya STRIDE gibi yaklaşımlar kuruluşunuzun bilgi güvenliği seviyesine daha bütünsel bir bakış açısı sağlar.

Zafiyet temelli yaklaşım, kısaca, sistem üzerindeki güvenlik zafiyetlerinin tespit edilmesi (otomatik zafiyet tarama aracı, sızma testi, vb.) ve bunları ortadan kaldıracak veya istismar edilmesini engelleyen gerekli önlemlerin alınması olarak özetlenebilir. Daha Saldırı Ağacı ise sistemde tespit edebileceğimiz zafiyetlerden yola çıkarak güvenliği sağlamaya çalışmak yerine saldırganların amaçlarından yola çıkarak sistemin güvenliğini sağlamaya çalışmaktadır.

Yaklaşımların her ikisinin de eksik kaldığı yerler vardır şüphesiz ancak amacımızın sistemin güvenliğini sağlamak olduğunu düşünürsek sadece zafiyetlerden yola çıkarak tam bir sonuç elde etmemizin mümkün olamayacağı görüşündeyim.

Saldırı ağacını hazırlamak
Güvenliğini sağlamaya çalıştığımız sistem için bir saldırı ağacı hazırlamak için aşağıdaki adımları izleyebiliriz;
  • Ağacın köküne karar verin
  • Dalları belirleyin
  • Bütünlük açısından değerlendirin
  • Ağacı “budayın” (fazlalıkları atın)
  • Sunum


Ağacın kökü
Genel olarak ağacın kökünü saldırganın hedefi oluşturacaktır. Aşağıdaki basit örnekte ağacın kökünü oluşturan ve saldırganın hedefi olabilecek olay “ofisten laptop çalmak” olarak belirlenmiştir. (baştan söylemekte fayda olabilirdi tabii, saldırı ağacı ters duruyor). Görüldüğü gibi saldırganın amacına ulaşmak için kullanabileceği yöntemler belli bir akış içerisinde ortaya konmaktadır.



Dallar
Saldırı ağacının diğer bileşenlerini tespit etmek için “beyin fırtınası” yapılıp aklımıza gelenleri sırayla yazabiliriz. Bazı önemli noktaları gözden kaçırmamıza neden olabileceği için bu tavsiye edeceğim bir yöntem olmaz. Kök sebep ve alt bileşenler arasındaki geçiş VE veya VEYA anlamında olabilir. Yukarıdaki örnekte bağlantılar VEYA anlamındadır ve saldırganın kullanabileceği çeşitli yöntemler listelenmiştir. Bağlantıları VE olarak oluşturmak saldırganın birden fazla araca ihtiyaç duyacağı durumların ortaya konuşması için daha etkili olacaktır.
Alt bileşenleri ortaya çıkartmak için saldırganın amacından yola çıkıp ihtimal dahilinde olan her saldırı vektörünü listeleyip sonrasında bir alt kademeye geçmek daha uygun olacaktır.

Bütünlük değerlendirmesi
Ağacın ilk hali ortaya çıktıktan sonra her bileşeni “bu sonuca ulaşabilecek başka bir yol var mı?” sorusu ile tekrar değerlendirmek faydalı olacaktır. İlk çalışmadan gözden kaçabilecek bazı saldırı vektörleri de bu şekilde ortaya çıkar. Sonuçların yanında saldırı yöntemlerinin ve saldırganların da tekrar değerlendirilmesi gerekecektir. Bu sayede saldırı ağacını farklı bilgi ve beceri seviyesine sahip saldırganlara karşı da etkili hale getirme imkanımız olacaktır.

Ağacı budayın
Çalışma tamamlandıktan sonra dalları ele alıp bu saldırıya karşı bir önlem alındı mı? Bu saldırı veya sonuç başka bir dalda ele alınmış mı? Gibi soruların cevaplarını arayarak gereksiz veya tekrar eden durumlar çalışmadan çıkartılabilir.

Sunum
Ele aldığınız sistem ne olursa olsun saldırı ağacının bir sayfadan uzun olmamasında yarar var. Bu sayede, amacımız olan, saldırıları anlaşılır ve kolay algılanır şekilde göz önüne serme işini gerçekleştirmiş oluruz. Sayfalarca devam eden bir saldırı ağacı ile, saldırganın kök amacını göremeyeceğimiz için, etkin bir sonuç elde etmemiz zorlaşacaktır. Bu durumla karşılaşılması halinde çalışmayı daha küçük birimlere ayırıp aynı sistemin farklı bileşenleri için ayrı saldırı ağaçları hazırlanması daha iyi olacaktır.

Saldırı ağacının anlamlandırılması
Korumaya çalıştığımız sisteme karşı düzenlenebilecek saldırıları listelemek iyi bir çalışma olacaktır ancak tek başına savunmamızı nasıl tasarlamamız gerektiği konusunda bilgi veremez. Diyelim ki saldırı ağacımızı ortaya çıkarttık ve bu sene bilgi güvenliği için 100.000 TL bütçe ayırdık. Bu çalışma bize hangi yatırımları yapmamızın daha faydalı olacağı konusunda bilgi vermez. Güvenlik seviyemizi nasıl iyileştirmemiz gerektiği konusunda bir fikir edinebilmek için saldırı ağacına bazı değerler atamakta fayda var.

Saldırı ağacını anlamlandırmak için kullanılabilecek çeşitli yöntemler arasında, bu yaklaşımı bilgi güvenliği alanına 1999 yılında tanıtan Bruce Schneier’in ele aldıkları hala geçerliliklerini korur.
Saldırıların maliyetlerini kullanmak: Saldırıyı düzenlemek için saldırganın ihtiyaç duyacağı kaynaklar söz konusunu saldırın gerçekleşme ihtimalini etkileyecek bir unsurdur. Biraz önceki bütçemize dönersek 100.000TL ile gerçekleşme ihtimali düşük ve 300.000TL kaynak gerektirecek saldırılara karşı tedbir almaya çalışmak yerine, saldırı ağacında bulunan ve çok daha düşük maliyetli saldırılara karşı tedbir almak daha mantıklı olacaktır. Bu yaklaşımı etkin bir şekilde kullanabilmek için saldırgan profillemesinin dikkatlice ve detaylı olarak yapılması önemlidir. Saldırıyı düzenlemek için gerekli 300.000TL’lik yatırım sıradan saldırganlar için büyük bir tutarken, başka devletler için önemsiz ve kolayca harcanabilecek bir paradır.
Hedef sistem değerini kullanmak: Savunmayı korumaya çalıştığımız sistemlerin değerine göre belirlemek yatırımlarımızı en kıymetli varlıklarımızı koruyacak şekilde yapmamızı sağlar.

Bütüncül yaklaşımın önemi
Yukarıda gördüğümüz laptop çalma konusunu zafiyet taraması veya sızma testi yaklaşımıyla ele alırsak yapacağımız araştırma bize kapıdaki kilidin matkapla delinebileceğini gösterebilirdi (sarı olarak işaretlediğim kutu). Biz de buna karşılık matkapla delinmeyen veya delinde bile kapının açılmasına imkan vermeyen bir kilitle değiştirilmesini önerebilirdik. Bu durumda işimizi çok iyi yapmış ve zafiyeti ortaya çıkartmış olmamıza rağmen bütün olası saldırılar arasında sadece 1 tanesini ortaya çıkartmış oluruz.



Saldırı ağacı gibi bütüncül modeller bilgi güvenliği seviyemize daha geniş bir açıdan bakmamıza imkan verdiği için güvenlik seviyemizin durumu hakkında daha anlamlı bilgiler vermektedir.


Mart ayının sonuna kadar benimle temasa geçecek Kamu kurumları (Bakanlıklar, Askeri kurumlar, Emniyet Teşkilatı, Müsteşarlık ve Genel Müdürlükler) için ücretsiz olarak temel saldırı ağacı çalışmalarını yapacağım. Bu çalışmanın mevcut güvenlik seviyemizin bir röntgenini de çekmemize imkan sağlayacağı için faydalı olacağına inanıyorum. 

Monday, January 19, 2015

Emre bir gönderide etiketlendi

Facebook saldırganlar tarafından sıkça kullanılan bir saldırı vektörüdür. Dünyanın her yerinde yüz milyonlarca kişinin “paylaşım” yaptığı bir ortam herkes için iştah açıcı olacaktır.
Profesyonel merak da diyebilirsiniz, yersiz risk almak da ama “tamam, tıklamayayım ama tıklarsam ne olur?” diyerek bu tuzaklardan birine atladım.


 Hollywood filmlerinde olduğu gibi saldırganın bakış açısından bir senaryo dahilinde ele alırsak “operasyon” şöyle gerçekleşiyor.

Yazının konusu olmadığı için tuzağın nasıl kurulduğunu ele almayacağım, sadece benim gördüğüm haliyle ekran görüntüsünü paylaşacağım.

Adım 1: Olta 
Arkadaşım Emre bir gönderide etiketlenmiş. Gönderiye konu fotoğrafın “kompozisyonu” erkek Facebook kullanıcılarının dikkatini çekebilecek şekilde hazırlanmış.





Adım 2: Kapan
Emre’nin gömlek düğmelerini iliklemeyi unutmuş bu ablanın olduğu videoda ne gibi bir rolü olabileceğini merak ettiğim için tıklıyorum ve aşağıdaki ekrana geliyorum.




Bu ekranda bir kaç nokta dikkatimizi çekiyor: 
Artık Facebook’ta değilim. Facebook gibi görünen bu site aslında www(.)videotr(.)me (DİKKAT: ziyaret etmeyin) sitesi.
Videotr(.)me sitesinin sahibine ulaşmak için birkaç sorgu yapıyorum ancak alanadı sahibi bilgileri gizli. Bu sitenin nasıl bir ekosistemin parçası olduğunu anlamak için Bing arama motorunun bir özelliğini kullanıyorum. Bing arama motoru üzerinde “ip:” operatörü ile yapılan aramaların sonucunda aynı IP adresinden yayın yapan ve Bing tarafından endekslenen siteleri bulabiliyoruz.
Göreceğiniz üzere bazı “ilginç” alanadları da aynı IP adresini ve büyük ihtimalle aynı hosting şirketini kullanıyor.


Burada dikkatimizi en çok çekenler;
Cotton-panty: erotik site.
Alfasro: Site başlığı Silkroad sunucusu olduğunu söylüyor. Silkroad "derin internet" olarak da bilinen internetin karanlık tarafında uyuşturucu, silah ve çocuk pornosu gibi konularda ticaret yapmak için kullanılan bir ortamdır. Bu sunucu gerçekten bu sistemin bir parçası mı? yoksa "derin internet" konusunda meraklı birkaç kurban bulmak için mi hazırlanmış emin olamadım. 
Düzeltme: Bildirdiği güvenlik zafiyetleri ile Yandex şeref listesine (Yandex Hall of Fame https://yandex.com/bugbounty/hall-of-fame/2014/11/) giren Gökmen Güreşçi'den gelen bilgi üzerine: Silkroad diye bir oyun varmış, onunla ilgili bir sunucu olabilirmiş. Gökmen Güreşçi'ye teşekkür ederim. 
Candyhile: Popüler Candy Crush oyununa hileleri yayınladığını iddia ediyor.
Kurtalankilim: Anadolu kaplanı sitesi gibi duruyor. Bunların arasında ne işi var anlam veremedim. Ucuz hosting bulmanın verdiği mutlulukla acaba komşularını çok sorgulamadan şirket sitesini buraya mı taşımış?
Taşıdıkları risk nedeniyle sitelerin hiç birini ziyaret etmedim, sizin de ziyaret etmenizi önermem.

Adım 3: Saldırı
Yönlendirildiğim sahte Facebook ekranında tamamı düğmesini tıkladığımda, aşağıda görüldüğü gibi bir yazılım bilgisayarıma iniyor.


Tersine mühendislik ve zararlı yazılım analizi konusunda bir iddiam yok, o işi Mert Sarıca ve Emre Tınaztepe uzmanlara bırakıyorum, bu konuya ilginiz varsa her ikisini de takip etmenizi öneririm. Bu nedenle bunun ne olduğunu analiz etmek için internette ücretsiz olarak bu işi yapan siteleri kullanıyorum. 

İlk test olarak indirilen yazılımı VirusTotal sitesine yükledim. Sonuç aşağıdaki gibi oldu;


Virustotal’de çalışan toplam 56 antivirüs yazılımı arasında sadece 17 tanesi bu zararlıyı tespit edebildi. Bilgisayarınızda güncel ve lisanslı bir antivirüs yazılımı olmasının neden önemli olduğuna dair önemli bir göstergedir. Bu zararlıyı tespit edemeyen 39 antivirüsten birini kullanmanız durumda faydası olmayacağını unutmamak lazım. Antivirüs kullanacağız ama sağduyumuzu da elden bırakmayacağız. 

Bu zararlı yazılımın tam olarak ne yaptığı konusunda da kabaca bir fikir sahibi olmak dosyayı bir de Malwr sitesine yükledim.
Aşağıdaki ekranlarda görülüğü üzere zararlı yazılım klavye ve fare hareketlerini kaydediyormuş.



Adım 4: Parayı kazanmak
Kurbanların kullanıcı bilgileri (sitelerde ve uygulamalarda kullandığınız kullanıcı adı ve parola bilgileri) ve kredi kartı bilgileri saldırgana iletiliyor.

Güncelleme: Bu yazıyı yayınladıktan 1-2 saat sonra aynı "gönderide" çok farklı bir arkadaş çevremden birinin daha etiketlendiğini gördüm. Bu zararlı yazılımın hızla yayıldığına bir kanıt oluşturabilir. Bir diğer yandan da son gönderide etiketlenenlerden birinin çalıştığı kurumu görünce, bu zararlı yazılımın şirket veya kurum içerisinde Facebook kullanımına izin veren yerlerde de görülebileceğini ve devlet sırrı / ticari sır kaybına neden olabileceğinden şüphelenmeye başladım (kurum adına dikkatinizi çekerim).


Facebook gibi sosyal medya araçlarının kullanımında “uyanık” olmak gerektiğine dair güzel bir örnek oluşturan bu saldırı konusunda çevremizdekileri ve özellikle çocuklarımızı bilgilendirmek önemlidir. 

Saturday, January 10, 2015

Moscow Rules for Cybersecurity

I believe I grew up on a different planet. "The world has changed" can only be an understatement. The world I grew up in was simpler and somewhat more elegant. For one thing the enemy was clear, the Russians. We were the good guys and they were the bad guys. We were blue, they were red. We were Rocky Balboa, they were Ivan Drago.


The world today is very different, the enemy is within, anyone we shared the bus or the subway with on our way to work yesterday can be the enemy.
Anyone can purchase a gun and kill innocents. Anyone can attack us. We have seen that even being a cartoonist in the most romantic city of the world doesn’t keep you safe from arm. The enemy is within and we should start thinking and acting accordingly.

This is not something new for us as this paranoid way of looking at things was already, and quite understandably, spreading amongst IT security professionals.
We, the guys trying to keep the IT infrastructure safe, know that the moment you connect something to the internet it is in hostile territory. We know that attacks start pouring in by dozens if not hundreds from all across the globe.

The “Moscow Rules” were never officially published but they seem like a reasonable set of behaviors that would help an operative stay alive in hostile territory. Looking at the way things have turned online I believe it’s a good time to remember these and adapt them to our approach to cyber security.

There are several “versions” of the Moscow Rules circulating on the internet and, unless Snowden has them in one of his files, I doubt we will ever have a confirmation on if these rules even ever existed. The International Spy Museum in Washington D.C. has published the following list as “Moscow Rules”. If you ever find the opportunity to visit this museum you can also see the Alienware laptop used by Th3j35t3r he used between 2010 and 2013 (http://www.jesterscourt.cc/2013/07/04/tinker-tailor-soldier-hacker/)

The “Moscow Rules” according to the International Spy Museum:
1. Assume nothing.
2. Never go against your gut.
3. Everyone is potentially under opposition control.
4. Don't look back; you are never completely alone.
5. Go with the flow, blend in.
6. Vary your pattern and stay within your cover.
7. Lull them into a sense of complacency.
8. Don't harass the opposition.
9. Pick the time and place for action.
10. Keep your options open.

Imminent Threat Solutions has also compiled a more comprehensive list of “Moscow Rules”, please visit http://www.itstactical.com/intellicom/tradecraft/the-moscow-rules-cold-war-directives-for-tradecraft-and-espionage/ and remember to stop by their shop for great gear.

The Cybersecurity Moscow Rules
Some of the rules on these lists would not only be applicable in the field of information security but would also form a good set of “rule of thumbs”. Here’s my "cybersecurity" take on the Moscow Rules.

1. Assume nothing.
Never assume your firewall is properly configured, never assume you have changed the default credentials on the new IPS/DS, never assume the users will notice that phishing mail, never assume everyone keep their passwords to themselves, never assume you didn’t leave a password hash on a server on the DMZ network. Assume nothing and check everything. Penetration tests or even simple checks you can conduct yourself will help you see all the false assumptions you have made.

2. Never go against your gut.
If something doesn’t feel right, there’s a chance it isn’t. I believe we don’t have the luxury to base our information security stance on “gut feelings” so I’ll suggest that you base your “gut” on trends and baselines. Know how much bandwidth you’re normally using so that you can notice when something is wrong. Know how, when and from where your network and systems can be accessed by legitimate users so that you can notice when something’s wrong. Gut feeling in information security should be data, collect it and use it.

3. Everyone is potentially under opposition control.
Think that any system on your network can be compromised, just like any user account. Plan your network topology and configure your security devices accordingly. By doing so you’ll be able to contain any malware epidemic and, if you are into that sort of thing, break the cyber kill chain because this will limit the movements of the attackers within your network.

4. Don't look back; you are never completely alone.
If you think no one attacked you, scanned your IP addresses or tried a SQL injection on your website you are wrong. It simply means you didn’t notice and worst you don’t have the necessary systems in place to notice such attacks. You should be able to identify these attempts so that you can identify a successful attack. You are never alone, if you think you are, it’s time to do something.

5. Go with the flow, blend in.
Blend in, to do so you must know what to blend to. Set up the basic requirements for all systems connected to your network and blend in. Make sure all computers have antivirus software and are updated regularly, make sure that not default user accounts are left on network and security equipment, make sure users use strong passwords and make sure everyone and everything “blends in”.

6. Vary your pattern and stay within your cover.
First have a pattern. Put in place several routine controls such as comparing the list of published vulnerabilities to your systems inventory. Regularly check shared files on your network, control bandwidth usage and create a routine for all security controls. Once you have put in place your “cover” vary the frequency and intensity of these controls.

7. Lull them into a sense of complacency.
Complacency is dangerous enough for everyone but can be deadly for people working in the field of information security. Not only you but every computer user and every personnel should be alert and careful. Hackers rarely attack your firewall directly, instead they attack users trying to convince them into clicking a link or downloading a file. Complacency amongst employees in any Department of the company or even just a single person can result in a company wide security breach. Make sure all employees are alert and cautious.

8. Don't harass the opposition.
Probably the most difficult part of our jobs. We need to make sure everyone can benefit from technology thus increasing the productivity of the company. We should take all precautions yet enable employees to work effectively.

9. Pick the time and place for action.
Collect logs so that you can pick (up) the time and place of all critical actions (events). Know when the failed login attempts happened, know that the back up process was finished successfully at 02:00 hours, know that the credentials of a terminated employee have been used to access a database. Prepare a list of critical SANS Institute have published a list of 6 critical log areas (http://www.sans.edu/research/security-laboratory/article/6toplogs) , you can use it as a guideline for actions to pick up.

10. Keep your options open.
Contingency plans are your friend. Be sure to backup and update regularly.

Remember; the Internet is hostile territory and act accordingly. The enemy is everywhere and, yes, they are after you.

Sunday, January 4, 2015

Europol Siber Suçlarla Mücadele Merkezi 2014 Raporu

Gelişmiş tehdit olarak sınıflandırdığımız APT hacker’ların dışında göz önünde bulundurmamız gereken önemli bir tehdit grubu siber suçlulardır. APT hacker’dan farklı olarak siber suçluların en büyük amacı para kazanmaktır. Son birkaç ayda Europol’a bağlı Avrupa Siber Suçlar Merkezi tarafından 2014 yılı için yayınlanan İnternet Suç Örgütleri Tehdit Değerlendirme raporunu okudum.


 Siber suçları diğer suçlardan ayıran en büyük özellik kuşkusuz suçlunun sucu işlemek için olay yerinde bulunmaya gerek duymamasıdır. Bu soruna raporda da değinilmiş ve bu nedenle güvenlik güçleri arasında ve uluslararası düzeyde yapılması gereken işbirliğinin önemi vurgulanmış. Siber suçlarda genel olarak görülen artışın ötesinde internet üzerinden işlenen suçların her geçen gün daha karmaşık hale gelmesi ve işlenen suçların hem sıklığının hem de sayısının artmasına da dikkat çekilmiş. Bu noktada rapor “bulut tabanlı siber suç” (Crime-as-a-Service) olarak da adlandırabileceğimiz ve suçu işlemek isteyenlere gerekli teknolojik bilgi ve araçların kiralandığı modele ve suçlular arasında artan gizlilik (anonymisation) seviyesine değinmiş.

Bulut tabanlı siber suçlar suç işlemek için gerekli imkanları sağlayarak internet üzerindeki yeraltı ekonomisinde büyük bir paya sahiptir. DDoS (Dağıtık Hizmet Dışı Bırakma) saldırılarının veya botnetlerin kiralanması, ihtiyaca özel zararlı yazılım geliştirilmesi, veri hırsızlığı ve şifre kırma gibi hizmetlerin kiralanabilir hale gelmesi standart suç örgütlerinin faaliyetlerini internete taşımalarını kolaylaştırmıştır. Siber suç örgütleri arasındaki ilişkilerin çıkar amaçlı veya proje bazlı başlaması ve bitmesi nedeniyle bu örgütlerin hiyerarşik yapısının tespit edilmesini zorlaştırmaktadır. Gizililik (anonymisation) ve Bitcoin benzeri kriptoparaların yaygınlaşması ile uyuşturucu, silah veya çalıntı mal ticaretinin yapılması kolaylaşmaktadır. Raporda bu noktada amaca özel ve kısıtlı kullanıma yönelik özel kriptopara birimlerinin daha sık görülmeye başlanacağının öngörüldüğü belirtilmiş.

Bulut tabanlı suç (Crime-as-a-Service)
Son yıllarda hızla gelişen siber suç dünyasının küresel ölçekte yılda 300 miyar dolardan fazla zarara yol açtığı tahmin edilmektedir. Siber suçlular olarak adlandırdığımız bu grup kendi içerisinde çok farklı özelliklere ve yeteneklere sahip küçük gruplara bölünmüştür. Uzmanlık alanlarının çeşitliği ve farklılığı ise yeteneklerini suç işlemek isteyenlere kiralayan kişi ve grupların ortaya çıkmasına ve yayılmasına neden olmuştur. Bu sayede eskiden çok özel yetenekler gerektiren siber suçları işlemek kiralama yoluyla geniş kitlelerin eline geçmiştir.

Yeraltı forumları
Siber suç dünyası çok büyük ölçüde internet siteleri ve forumlar üzerine kuruludur. Bunlar; siber suçluların tanışmak, tanıtımlarını yapmak, ürün veya hizmet alıp satmak için kullanılan pazar veya toplanma yerleri olarak düşünülebilir.  Forumlar kredi kartları veya hacking gibi belirli bir konuda uzmanlaşmış olabileceği gibi siber suçların tümünü de kapsayacak şekilde daha geniş kapsamlı olabilir. Yakın zaman kadar büyük ölçüde deepweb üzerindeyken (derin internet olarak da bilinen ve internetin endekslenmemiş bölümü) son zamanlarda Darknet’e (Derin internet üzerinde makinelerarası doğrudan paylaşım yapılan küçük ağlar) doğru kaymışlardır. Forumlarda kullanılan altyapı ve yazılımlar gibi forumları işletenlerin uyguladıkları operasyonel prosedürlerin de geliştiği görülmektedir. Darknet üzerinden hizmet eden bu yapılar suç forumları ve yasadışı alışveriş siteleri olarak ikiye ayrılabilir. Forum sitelerinin kendi içlerinde iyi düzenlenmiş bir hiyerarşi içerisinde yönetildikleri dikkat çekmektedir.

Suç Hizmetleri
Siber suç işlemek için ihtiyaç duyulabilecek bileşenlerin bütün veya parçalı olarak kiralanabilir olması suç örgütlerine yepyeni fırsatların kapılarını açarken konusunda uzman siber suçlular ise ihtiyaç duydukları destek hizmetlerini rahatça tedarik edebilir duruma gelmiştir. Suç hizmetleri kapsamında kiralanabilecek bazı bileşenleri aşağıda toparladım.

Altyapı hizmeti
Suç işlemek için siber suçluların kullanacakları altyapının güvenli, gizli ve emniyet güçlerinin erişiminden uzak olması gerekir. Bu kriterlere uyan altyapılar sadece maddi kazanç amacıyla işlenen suçlarda değil, çocuk pornosu dağıtımı veya ideolojik amaçlı işlenen siber suçlar kapsamında da kullanılmaktadır. “Kurşun geçirmez” olarak adlandırılan bu hosting hizmetlerini sağlayanların siber suç dünyasında önemli bir yeri vardır. Korudukları altyapının üzerinde barındırılan siber saldırı araçları, zararlı yazılımlar, zararlı yazılım komuta sunucuları, yasadışı içerik ve çalıntı verilerin suçlular arasında değeri düşünüldüğünde bu hizmetlerin yeraltı satış sitelerinde en çok rağbet gören hizmetlerin başında gelmesi şaşırtıcı değildir. Parasını ödeyen herkesin kiralayabileceği DDoS (dağıtık hizmet dışı bırakma) saldırılarını sağlayan altyapıların da her geçen gün geliştiği görülmektedir.

Veri hizmetleri
Siber suç dünyasının en genel geçer emtiası veridir. Bütün olarak çalınan kredi karı veya kimlik bilgisi gibi veriler yeraltı dünyasında perakende olarak satılır. Siber suçluların ticaretini yaptığı veriler sadece kredi kartı bilgileriyle sınırlı değildir. Websitesi giriş bilgileri, sosyal güvenlik bilgileri, doğum tarihi ve adres gibi bilgiler de alınıp satılmaktadır.

“Kurdukça öde” hizmeti
Zararlı yazılımı dağıtımında popüler olan bu hizmeti sağlayanlar zararlı yazılımı bulaştırdıkları sistem başına para alırlar. Bu hizmeti verenlerin ülke bazında özelleştirilmiş hizmet verdikleri de görülmüştür.

Hacking hizmeti
Basit haliyle e-posta veya sosyal medya hesabı bilgilerinin sızdırılmasını içeren bu hizmet daha hedefli veya ihtiyaca özel olarak da verilmektedir.

Tercüme hizmeti
Siber suçluların yaşadıkları ülke dışında düzenleyecekleri saldırılarda kullanılmak üzere tercümanlık hizmetleri sunulmaktadır.

Para aklama hizmeti
İnternet üzerinden çaldıkları paraları “kullanılabilir” hale getirebilmek için siber suçlular çeşitli para aklama hizmetlerinden faydalanmaktadır.

Zararlı yazılımlar
Siber suçlular tarafından sağlanan hizmetlerden en önemlilerinden birisi de zararlı yazılım tasarımı, geliştirilmesi ve yayılmasıdır. Son yıllarda karşılaşılan zararlı yazılımların teknik olarak çok gelişmiş olmasının yanında bu yazılımları geliştirenlerin 7/24 ulaşılabilir çağrı merkezi gibi profesyonel hizmetleri de vermeye başladıkları görülmüştür.
Exploit kit olarak da adlandırılan yazılımlar bilgisayarları istismar ederek zararlı yazılımların kurulmasını sağlayan araçlardır. Blackhole Exploit Kit (BEK) en başarılı Exploit kit kiralama örneklerinden birisidir. BEK sahte antivirüs dağıtımından cryptolocker türevlerinin dağıtımına kadar geniş bir yelpazede hizmet vermektedir. Windows, MAC ve Linux sürümleri olan bu yazılımı satanlar lisansla birlikte ömür boyu ücretsiz güncelleme de sağlamaktadır.

Gelişen trendler
Siber suç işlemek için ihtiyaç duyulan becerilere olan talebin önümüzdeki yıllarda artarak devam edeceği öngörülmektedir. Darknet’in kullanımının sadece siber suçlular arasında değil, normal suç örgütleri arasında giderek yaygınlaşacağı da bir diğer görüştür. Siber suçlular ise temelde iki ana gruba ayrılabilir, teknik becerisi olmayan veya çok az olan ama sayıca fazla olan grup ve teknik becerileri gelişmiş olan sayıca az olan grup. Önümüzdeki yıllarda, siber suç işlemek için ihtiyaç duyulan hizmetlerin daha kolay kiralanabilir hale gelmesiyle teknik becerisi olmadan siber suç işleyenlerin sayısının artacağı düşünülmektedir.

Ödeme Dolandırıcılığı
2012 yılında Avrupa Birliği genelinde kredi kartı ile yapılan öemelerin toplamı 3,5 trilyon Euro iken aynı yıl suçlular ödeme kartı dolandırıcılığı ile 1,3 milyar Euro kazanç sağlamışlardır. Kartlar üzerinden kaybedilen her Euro’nun maliyetinin 2,79 Euro olduğu düşünülürse kartlar üzerinden işlenen suçların yol açtığı zarar çalınan paradan fazladır. Avrupa genelinde yapılan araştırmalar da Avrupa Birliği ülkelerinin vatandaşlarının %35’inin internet üzerinden kredi kartı ile ödeme yapma konusunda güvensizlik yaşadığını göstermektedir.

Kart üzerindeki manyetik şeritteki bilgilerin bir okuyucu vasıtasıyla çalınması (Skimming) giderek daha az görülen bir suç çeşidiyken kartın fiziksel olarak bulunmadığı alışverişlerde (Card Not Present – CNP) yapılan dolandırıcılıkların giderek arttığı gözlemlenmektedir.
Kart bilgilerinin ticaretinin yapıldığı sitelerde bu konuda gelişmiş bir ekosistem oluştuğu göze çarpıyor. Banka, ülke veya posta kodu gibi özelliklere göre süzüp kart bilgisi satınalınabilen web sayfalarında aynı zamanda kart bilgisi geçerlilik kontrol etme yazılımından banka hesabı açmak için kullanılabilecek sahta kimliklerin satışına kadar geniş bir yelpazede ek hizmetlere ulaşmak da mümkündür. Kartların satıldığı bazı siteler ise kart bilgisi satışından paranın aklanmasına kadar olan süreci uçtan uca tek hizmet olarak sunmaktadır.
Kart bilgilerini çalan grupla bunları paraya çeviren grupların farklı olması ve çoğu zaman farklı ülkelerde faaliyet göstermeleri Emniyet güçlerinin mücadelesini zorlaştıran önemli etkenlerden birisidir. Aşağıdaki çizimde internet üzerinden ve fiziksel olarak kart biligi çalma ve kullanma yöntemlerini basitçe özetledim. 



 İnternet üzerinden kredi kartlarıyla ilgili suç işleyenlere baktığımızda bunların genelde Doğu Avrupa veya Rus kökenli, bilgisayar becerileri oldukça gelişmiş ve geleneksel suç örgütleriyle bağı olmayan kişiler olduğunu görüyoruz. Buna karşın fiziksel olarak kartın üzerinden bilgi çalan kişilerin insan ve uyuşturucu kaçakçılığı da dahil olmak üzere pek çok suçla ilişkilerinin olduğu görülmektedir.


Raporda ele alınan çocuk istismarı, sosyal mühendislik saldırıları, kritik altyapılara yönelik saldırılar gibi başlıkların Emniyet güçleri özelinde daha anlamlı olması nedeniyle, genel okuyucu kitlesini sıkmamak adına, burada ele almayacağım.

MITRE ATT&CK Gerçek Hayatta Ne İşimize Yarar?

  Rusya kaynaklı siber saldırılar webinarı sırasında üzerinde durduğum önemli bir çalışma vardı. MITRE ATT&CK matrisini ele alıp hangi...