Saturday, December 14, 2019

TUBITAK Zararlı Yazılım Analizi Platformu


TÜBİTAK BİLGEM Siber Güvenlik Enstitüsü zararlı yazılım analizi platformunu duyurdu.



"Cuckoo kurmuşlar ya bişi diil" tarzı küçümsemeler yapanlar olacaktır elbette ama bunu genel şuursuzluklarına veriyorum. Kendine "DDoS uzmanı" diyenlerin "sunucunun fişini çekin" önerisinde bulunduğu ve "uzman" arkadaşların "eniştemin görücesinin Erzurumlu bir bacanağı var. Onun da çalıştığı yerde dahi heykır bir çocuk varmış. Heykır çocuk diyesiymiş ki yakında Türkiye'nin önemli kurumlarına çok büyük saldırı olacakmış." türü kıllandırmalarının olduğu bir ortamda bu tür gereksiz yorumları duymamayı çabuk öğrenip işin özüne odaklanmanın bir yolunu bulmanız gerekiyor. Aksi takdirde önemli adımları kaçırabilirsiniz.

Bence TÜBİTAK'ın Cuckoo kurması önemli bir adım. Her şeyden önce Türkiye'de zararlı yazılım faaliyetlerinin şimdiye kadar olmadığı kadar yakından takip edilmesine imkan sağlayacaktır. Buraya zararlı yazılım numuneleri yüklendikçe trendler ve istatistikler da gelişecek. Platformun aktif olarak kullanıldığını ve ilgi gördüğünü varsayarsak, bundan bir kaç yıl sonra "Salı öğleden sonraları Türkiye'deki kamu kurumlarının en çok fidye yazılım saldırısına maruz kaldıkları zamandır" gibi çok faydalı istatistikler de gelişecektir.
Bu projede çalışan herkese teşekkür ederim.

Platformu nasıl kullanıyoruz? 
https://zar.sge.gov.tr adresini ziyaret ettiğimizde bizi aşağıdaki ekran karşılıyor;



 Deneme amaçlı bir Wannacry fidye yazılım örneği yükledim.



Analiz biraz zaman aldığı için daha önce yüklenmiş başka bir zararlı yazılım örneğinin sonuç raporuna bakacağız. Yüklenen zararlı yazılım örneklerini "Uploaded Samples" sekmesinden "Analysis Report" olarak ilgili örneğin karşısında bulabilirsiniz.

Şüpheli dosyaları yükledikten sonra analiz raporunda bazı noktalara bakmakta fayda var.

Öncelikle raporun "İmzalar" başlığı bizim için önemli. İncelediğim örnekte (https://zar.sge.gov.tr/UploadedSamples/RaporGoster?cuckooTaskId=4390) aşağıdaki imzalar görünüyor;
Bunlar;
  • Yüklenen dosyanın Virustotal üzerinde birden fazla antivirüs tarafından zararlı olarak tanımlanması. 
  • Uygulamanın içerisinde şifreli veya sıkıştırılmış veri bulunması
  • İnternet tarayıcısından bilgi çalması
  • Windows başlatıldığında çalışacak biçimde kurulması.
"Statik Analiz" ve "Davranış Özeti" kısımları ise bize zararlı yazılımın davranışları hakkında bilgi verirken aynı zamanda bu zararlı yazılımı başka sistemler üzerinde tespit etmemizi sağlayacak önemli ipuçları veriyor. 

Zararlı yazılım analizi konusunda işinize yarayabilecek bazı araçları ele aldığım bir sunumu https://www.slideshare.net/AlperBasaran/zararl-yazlm-analizi-zet adresinden indirebilirsiniz. 
Virustotal'in tek başına kullanımı konusunda https://sibersavascephesi.com/mac-virusu-ve-virustotal-kullanimi/ adresindeki yazının faydası olacaktır. 

Kolay kullanılan, amaca hizmet eden bir uygulama gibi duruyor, devamının da aynı şekilde gelmesini dilerim. 


"Heykır" arkadaşlara ufak bir not:
Aşağıda görüldüğü gibi bazı XSS girişimleri olmuş. 

Sayfada giriş fonksiyonu olmadığı için XSS bulunsa bile ne işe yaracağını ben anlayamadım. Fikrinizi almak isterim gerçekten. Sonuçta aşağıdaki gibi bir şey olacak, XSS'in oturum çerezlerini çalmak için kullanılabileceğini biliyoruz ama, dediğim gibi sayfada giriş ekranı yok. Anlamadım gerçekten... Yardımcı olabilir misiniz?







Saturday, October 26, 2019

Kablosuz Ağ Güvenliği: Saklayamazsın! Korunman Lazım


Kritik yerlerdeki kablosuz ağlar konusunda akla gelen ilk güvenlik yaklaşımlarından birisi kablosuz ağları “görünmez” yapmaktır. Bazı ağ yöneticilerine sorarsanız; kablosuz ağın adının gizlenmesi onu saldırganların gözünde “görünmez” yapmakta ve böylece kimse “göremediği bir şeye saldıramayacağı için” kablosuz ağ güvendedir. 

Herhangi bir şeyin “görünmediği” için güvende olduğu varsayımı port kullanımı konusunda da karşımıza çıkmaktadır. Bir web uygulaması veya web servisini standart olmayan bir porttan çalıştırıldığını ve sadece bu nedenle “güvende” olduğunun varsayıldığı pek çok durumla karşılaştım.
Evet, web uygulaması denilince aklımıza önce 80 ve 443 numaralı portlar gelir. Web uygulamalarını hedef alacak bir saldırganın da öncelikle bu portlarla ilgilenmesi belli ölçüde anlamlıdır. 

Ne yazık ki saldırganların sadece bu portlara bakıp “burada bir şey yokmuş, başka IP adresine bakayım” dediği bir dünyada yaşamıyoruz. Bu nedenle gizlemenin veya saklamanın bir güvenlik unsuru olarak düşünülmesi gerçekçi değildir. 
Kablosuz ağların temel güvenlik sorunu her şeyin havadan ve her yöne gidiyor olmasıdır. Normal şartlarda kuruluş ağımıza bağlı bir Ethernet kablosunu Istanbul’da Taksim meydanına veya Ankara’da Kızılay meydanına kadar uzatıp ucunu boşta bırakmayız. Konu kablosuz ağ olunca ne yazık ki durum biraz bu şekilde gelişiyor. Bu nedenle kablosuz ağın güvenliğini sağlamak sadece “gizleyerek” mümkün olmuyor.  

Aşağıdaki ekran görüntüsünde civardaki kablosuz ağlar görülebilir. Bunların bazılarının ismi görünürken, bazılarının ismi “gizli”. İşletim sistemlerine bağlı olarak “normal” kullanıcılar bu ağları görmeyebilir ancak kuruluşunuzu hedef alacak bir saldırgan bunları görebilir. En azından o kanalda bir kablosuz ağ erişim noktasının var olduğunu görebilir. 



<length:  0> olarak görünen kablosuz ağ erişim noktaları isimlerini yayınlamayacak şekilde kurulmuştur. 


Yukarıda görülebileceği gibi bir saldırganın bu kablosuz ağ erişim noktasının adını kolayca görebilecektir. 

Kablosuz ağ erişim noktalarını kablosuz ağ ismini yayınlamayacak şekilde ayarladığımızda aslında ismin sadece kablosuz ağ erişim noktasının (wireless Access point veya Access point) tarafından gönderilen paketlerde görünmesi engellenir. Kablosuz ağ erişim noktasına bağlı bir istemci (laptop, el terminali, telefon veya tablet) olması halinde bu cihazından çıkan paketlerde erişim noktasının adı görünecektir. 
Saldırganın yapması gereken tek şey ortamı dinleyerek bir istemcinin bu kablosuz ağ erişim noktasına bağlanmasını beklemektir. 
Bu neredeyse hiç dikkat çekmeyecek bir yöntemdir ve saldırganın belli ölçüde sabırlı olmasını gerektirebilir. 
Saldırganın daha aceleci olduğu durumlarda ise kullanılan teknik “deauth” adı verilen bağlantı kesme paketlerini gönderdiğini görüyoruz. Bu durumda saldırganın amacı mevcut istemcilerin bağlantılarını kopartarak yeniden bağlanmalarını sağlamaktır. Bu bağlantı tekrar kurulurken, yine istemcinin göndereceği paketlerden kablosuz ağ erişim noktasının adını öğrenebilir. 

Kablosuz ağ erişim noktalarını tanımlayan 3 temel değer vardır; MAC adresi, erişim noktası adı (kablosuz ağ adı) ve yayın yaptığı kanal. Bu 3 değere sahip bir saldırgan kablosuz ağ erişim noktasının bir “ikizini” oluşturup “evil twin attack” (kötü kalpli ikiz) olarak adlandırılan bir saldırı gerçekleştirip istemcilerin kendine bağlanmasını sağlayabilir. 

Bu tür bir saldırıya karşı kendimizi korumak için yapabileceğimiz bazı şeyler şunlardır;
  • Kafe veya otel gibi herkese açık bir kablosuz ağa bağlanırken ilk denemede parolayı bilerek yanlış girin. Buna rağmen bağlanmanıza izin veriyorsa muhtemelen kötü niyetli bir ağ erişim noktasıyla karşı karşıyasınız.
  • "Bu ağı hatırla" veya "otomatik bağlan" gibi seçenekleri devre dışı bırakın. Bu sayede bilgisayarınız veya tabletiniz tanıdığını zannettiği bir erişim noktası bulduğunda otomatik olarak bağlanmaya çalışmayacaktır. 
  • Aynı kablosuz ağa bağlı olarak uzun süre çalışacaksanız belli aralıklarla bağlantıyı kesip yeniden bağlanmayı deneyin (önce yanlış parolayla) böylece hala doğru ağ erişim noktasına bağlı olduğunuzu teyit etmiş olursunuz.
  • Düzenli aralıklarla kuruluş içerisinde bulunan ağ erişim noktalarını tarayın (katları ve ortak alanları gezin) ve tanımadığınız, fazla veya sonradan ortaya çıkmış ağ erişim noktalarını tespit edin.
  • Kablosuz ağ trafiğinizi izleyip çok sayıda deauth paketi gönderen istemcileri tespit edecek bir mekanizma kurun. Bunun için herhangi bir şey satınalmanıza gerek yok, basit bir kaç betikle yapılabiliyor. 
  • Halka açık kablosuz ağlarda mutlaka güvendiğiniz bir VPN kullanın.

Wednesday, October 16, 2019

Sudo Zafiyeti ve Yalancı Çobanlar

“Sürüye kurtlar saldırdı!” diye bağırarak çıkagelmiş çoban bir gün köye. Koyunları için endişelenen köylüler toplanıp sürünün olduğu yere doğru koşmuşlar ve vardıklarında sürünün yerinde durduğunu ve ortada kurt falan olmadığını görmüşler. Çobana kızıp köye geri dönmüşler. Aradan birkaç hafta geçmiş çoban yine köyün girişinde belirmiş: “sürüye kurtlar saldırdı!”. Köylüler yine can havliyle koşmuşlar sürünün olduğu yere, sürü yine yerinde duruyormuş. Çobanın canı sıkılmış yine. Haftalar sonra, sürüye kurtlar gerçekten saldırdığında çoban bu sefer köylüleri bir türlü ikna edememiş kurtların sürüye gerçekten saldırdığına. 


Bu hikâyeyi hepimiz biliriz, son günlerde ortaya çıkan “Sudo zafiyeti” çığırtkanları bana nedense bunu hatırlattı. Her gün yeni bir güvenlik zafiyeti çıkıyor, bunların bir kısmı oldukça önemliyken bir bölümü göründüğü kadar tehlikeli olmayabiliyor. Çıkan zafiyetlerin ve siber saldırıların satış argümanı olarak kullanılması yalancı çoban hikayesinde olduğu gibi gerçekten önemli bir gelişme olduğunda bunun gözden kaçırılmasına neden olabilir. 

2 gündür “haber” ve “siber güvenlik uzmanları” tarafından dillendirilen SUDO zafiyeti konusunda ne sibersavascephesi.com’da bir yazı ne de gerçekten kritik zafiyetlerde yaptığımız gibi bir acil duyuru yayımladık.  Yoksa yavaşladık mı? Veya sizin güvenliğinizi eskisi kadar dert etmiyor muyuz? Kesinlikle hayır, sadece paniklemeye gerek olmadığına karar verip durduk yere ajitasyon yapıp sizi meşgul etmek istemedik. 

Nedenini anlamak için gelin zafiyeti birlikte inceleyelim ve herhangi bir zafiyet duyurusuyla karşılaştığımızda nelere bakmamız gerektiğini ortaya koyalım. 

CVE-2019-14287 numarası verilen zafiyet “Root dışında herhangi bir kullanıcı olarak komut çalıştırmasına izin verilen bir kullanıcının Root kullanıcısı olarak komut çalıştırmasına imkân vermektedir” olarak özetlenebilir. 

Böyle bakınca zafiyet ürkütücü gelebilir ama gelin ayrıntılarına bakalım. 

Öncelikle bunun standart kurulumları etkilemediğini bilmek gerekiyor. Kısaca bir Linux işletim sistemini “next, next, finish” şeklinde kurduğunuzda bu açıktan etkilenmiyor. Bunu bir kenara bırakalım ve zafiyetin ortaya çıkıp istismar edilebilmesi için yapılması gerekenlere bakalım. 
Öncelikle kullanıcıya sudo komutu kullanma yetkisi verilmesi lazım. Bunun yanında kullanıcıya başka herhangi bir kullanıcı olarak komut çalıştırma yetkisi verilmesi lazım. Son olarak da bu ayar yapılırken “root” kullanıcısı hariç herhangi bir kullanıcı olarak belirtilmiş olması lazım. Evet, bu 3 ayar yapıldıysa bu kullanıcı root kullanıcısı olarak komut çalıştırabilir. 
Herhangi bir zafiyet gördüğümde kendi kendime sorduğum birkaç soru oluyor, bunlar;
  • Bu zafiyetin etkilediği sistemler ne kadar yaygın?
  • Bu zafiyetin istismar edilmesi için gerekli olan özel şartlar var mı?
  • Zafiyeti istismar edecek saldırganın teknik becerisi hangi düzeyde olmalı?
  • Zafiyet gizlilik, bütünlük ve erişilebilirlik ilkelerinden hangilerini ne derece etkiliyor?
Bu örneği ele alarak soruları yanıtlayalım. 
  • Bu zafiyetin etkilediği sistemler ne kadar yaygın? Açıkçası pek değil. Standart Linux kurulumlarını etkilemiyor. Onun dışında bir kullanıcıya root dışında herhangi bir kullanıcı olarak komut çalıştırması için izin vermeyi gerektirecek bir durum düşünemedim, sizin bildiğiniz bir senaryo varsa paylaşmanızı rica ediyorum. Bu nedenle zafiyeti “nadir görülüyor” olarak değerlendirdim. 
  • Bu zafiyetin istismar edilmesi için gerekli olan özel şartlar var mı? Evet, ciddi ama çok ciddi konfigürasyon hataları yapılarak sistemin kullanıcı güvenliğinden tamamen mahrum biçimde kurulmuş olması gerekir. 
  • Zafiyeti istismar edecek saldırganın teknik becerisi hangi düzeyde olmalı? Gerekmiyor. Herhangi bir kullanıcı olarak komut çalıştırma yetkisine sahip kullanıcısının istediği kullanıcı adını “-1” olarak belirtmesi yetiyor. 
  • Zafiyet gizlilik, bütünlük ve erişilebilirlik ilkelerinden hangilerini ne derece etkiliyor? Bu durumda evet, zafiyet sistemin tamamen ele geçirilmesine neden olabilir. Ama unutmayın, zaten sistem üzerinde ciddi seviyede erişimi ve yetkisi olan bir kullanıcının sistemi ele geçirmesi mümkün. 
Bunları düşününce bu zafiyetin önümüzdeki dönemde CTF yarışmalarında sıkça karşımıza çıkabileceğini düşünüyorum ama gerçek hayatta pek kullanılabilir görünmüyor. Yine de içinizin rahat etmesi için Linux’ta aşağıdaki komut ile sisteminizin bu açıktan etkilenip etkilenmediğini kontrol edebilirsiniz;
grep -r 'root' /etc/sudoers /etc/sudoers.d/

Muhtemelen sonuç aşağıdakine benzer bir tabloya benzeyecek: 


Sonuçlar arasında “ALL, !root” ibaresini görmüyorsanız herhangi bir sorun yaşamazsınız. Normal güncelleme ve zafiyet yönetimi döngünüzün periyodunda SUDO yazılımını güncelleyebilirsiniz. Sonuçlarda bu çıktıyı görüyorsanız ve herhangi bir nedenle bu ayarı kullanmanız gerekiyorsa acilen güncellemeniz gerekiyor. 

İşte bu nedenle “SUDO’da Kritik Zafiyet!” ve türevi ajitasyon yapanların kervanına katılmadım. Haftalık bültenimin 10.000’den fazla üyesi ve aylık ortalama 50.000 civarında blog okuyucum nazarındaki kredimi daha önemli zafiyetlere saklamayı tercih ettim.

Wednesday, October 9, 2019

Sızma Testlerinde Python Kullanımı: BeautifulSoup Kütüphanesi



Web sayfaları sızma testleri sırasında son derece faydalı bilgiler sağlayabilir. Olası parolalar, kullanıcı adları, kurumsal projeler hakkında bilgiler ve kuruluşun sahip olması muhtemel altalanadları ve dizinler bunlardan yalnızca bazıları. 

Bu nedenle, tıpkı bir siber saldırganın yapacağı gibi, kuruluş internet sayfası dikkatlice incelenir. İnternet sayfasından kastettiğim sadece sayfanın görülen kısmı değil, kaynak kodu da dahil her şeyidir. 

Bu aşamada genellikle aradıklarımız şunlar olur; 
  • Kuruluş sayfasından bağlantı verilen adresler: Altalanadı, dizin veya farklı alanadında yürütülen projeler gibi daha kolay hedef olabilecek sayfaların tespit edilmesini sağlayabilir.
  • Sayfada geçen sektörel jargon: Altalanadı tespitinde olduğu kadar kullanıcı adı ve parola denemelerinde kullanılabilecek kelimeleri belirlemeye yardımcı olur. 
  • Sayfanın teknik yapısı: Kullanılan kütüphaneler veya Wordpress benzeri içerik yönetim sistemlerinde yapılan sitelerde yüklü olan eklentileri (plug-in) tespit edip bunlarda bulunabilecek zafiyetlerin de bizim için birer saldırı vektörü olarak değerlendirilmesi. 
  • Diğer: Geliştirme süreci hakkında veya sadece sayfaya tarayıcıda bakarak gözden kaçabilecek şeyleri görmemizi sağlayabilir. 
Kaynak kodu üzerinde durmamın nedeni aslında basit; tarayıcıda gördüğümüz haliyle internet sayfası aslında sayfanın HTML kodunun tarayıcımız tarafından yorumlan halidir. Aynı internet sayfasına farklı tarayıcılardan bağlanıldığında farklı şeyler görülmesinin temel nedeni de bu yorumlardır. 

Aşağıda fotoğraf paylaşım sitesi Flickr’ı görebilirsiniz. Bu sitenin Firefox tarayıcısı ile görüntülenmiş halidir. 

Burada ise kaynak koduna gizlenmiş “burayı okuyorsanız, eleman arıyoruz” yazısını görebilirsiniz. 

Sonuçta burası bir yazılım şirketi ve ihtiyaç duydukları çalışan profilinin bir miktar kaynak kodla ilgilenmesini beklemeleri gayet doğal. 

Sayfayı incelemek için yanınıza bir kağıt kalem alıp gördüklerinizi not etmek bir seçenek olabilir. Ancak bu oldukça yavaş ve verimsiz bir yöntem olacaktır. Onun yerine Python ile bu keşif çalışmalarını otomatize etmek işi hızlandıracaktır. 

Bunun için URLLIB ve BeautifulSoup kütüphanelerini kullanabiliriz. 

Urllib
Python ile HTTP bağlantısı kurup internet sayfasını talep etmemizi sağlayacak, kolay kullanılan bir kütüphanedir. 
Basit bir bağlantı isteği aşağıdaki gibi gönderilebilir;
Burada kullandığımız 3 satır var;
  • import urllib: Urllib kütüphanesini kodumuza dahil ediyoruz. 
  • sayfa =urllib.urlopen("http://www.alperbasaran.com"): sayfa olarak www.alperbasaran.com adresini talep ediyoruz. 
  • print sayfa.code: Talebimize gönderilen yanıtı kontrol ediyoruz (200 OK sayfaya sorunsuz bir şekilde bağlanıldığını gösteriyor)
Bu noktada kodumuzun son satırı print sayfa.read() ile değiştirip alınan cevabın görüntülenmesi sağlanabilir. Görüldüğü gibi sunucudan alınan bilgi aslında sayfanın HTML kodudur. Evet, gördüğünüz bütün o şirintoş animasyonlar aslında çirkin HTML kodlarından ibaret. 


İkinci aşamada BeautifulSoup (güzel çorba) kütüphanesini kullanarak hedef sayfada bulunan bağlantıları alacağız. Lütfen dikkat: Burada verilen kod örnekte ele alınan sayfada işe yarayabilir, farklı bir sayfada çalışmasını sağlamak için bazı ufak tefek değişiklikler yapılması gerekebilir. Ne yapmaya çalıştığımın mantığını anlatabileceğimi umuyorum, böylece özelleştirmeniz gerektiğinde nelerin değiştirilmesi gerektiği konusunda da bir fikriniz olur. 

Son halinde 3 kütüphaneden faydalanmış olacağız; urllib, BeautifulSoup ve re. 
Yukarıda gördüğümüz gibi Urllib internet sayfasına ulaşmamızı, BeautifulSoup sayfanın içeriğini ayıklamamızı ve re regular expression kullanarak ayıklama işlemini daha kolay yapmamızı sağlayacak. 
Güzel çorba (gc) BeautifulSoup işlevlerini kullanmama imkan verecek. Aslında bunun için kullandığım tek satır var “gc = BeautifulSoup(html)”

Sonrası yine oldukça basit, gc içerisinde bulduğumuz ve link olabilecek (href HTML etiketiyle belirlenmiş) kısımları ayıklıyoruz ve ekranda gösteriyoruz. 


Kodun tamamı aşağıdaki gibidir. Kodu karmaşıklaştırmamak için çalışınca verilen hatayı ortadan kaldırmak için gerekli argümanı eklemedim. 

Sonuç; alperbasaran.com sayfasındaki bağlantıları alabiliyoruz.

Herhangi bir uygulamayı test etmeniz gerektiğinde kaynak kodu görüntülemek için biraz zaman ayırmanın zararı olmayacaktır. Bu süreci otomatize edebilirseniz de zaman kazanırsınız. 


Monday, October 7, 2019

Sızma Testlerinde Python Kullanımı: Requests Kütüphanesi




“Hangi yazılım dilini öğrenmeliyim?” sorusuyla sıkça karşılaşıyorum ve genelde verdiğim cevap “tabii ki Python” oluyor. Kullanım kolaylığının yanında Özellikle web uygulaması sızma testlerinde uygulama ile aramızdaki iletişimi tam olarak anlamak önemlidir. Parolanın açık halde gönderilmesi, gizli parametreler veya sunucudan gelecek cevabın içerisinde bulabilecek ipuçları güvenlik açısından sorun oluşturabilecek noktaların tespit etmesini kolaylaştırır. 

Bu amaçla Burp Suite gibi bir Proxy kullanılabilir. Ancak, özellikle karmaşık veya çok parametreli uygulamalarda sunucuya hızlıca bir istek gönderip dönen cevabı görmek isteyebiliriz. Bunun için kolay kullanılabilecek bir Python kütüphanesi olan Requests işimize yarayabilir. 

Python Requests Nedir?
Python ile HTTP istekleri göndermeye yarayan Requests kütüphanesi başlık (header), form veya benzeri parametrelerin “insanın okuyabileceği şekilde” ayarlanmasını ve sunucudan gelen cevapların görüntülenebilmesine imkân verir. 
pip install requests ile kurulabilen kütüphane daha sone “import requests”  ile her türlü Python uygulması içerisinde kullanılabilir. 

Python Requests Nasıl Kullanılır?
Meslek icabı bu yazı elbette bir “Python öğreniyoruz” yazısı değildir, böyle bir beklentiniz varsa internette bulunan sayısız kaynağa bakmanız daha doğru olacaktır. Aşağıdakiler uygulama testleri sırasında faydalandığım kullanım şekillerinden bazılarıdır. 

Cevapların önemi
Uygulama sunucusunun çeşitli isteklere nasıl yanıtlar döndüğünü görmek uygulamanın çalışma mantığı ve sunucu konfigürasyonu hakkında bilgi edinmemizi sağlayabilir. Bu nedenle farklı türde talepler gönderip yanıtları incelemek gerekir. Sunucu ve istemci arasındaki iletişimi düzenleyen HTTP gönderdiği her cevabı bir durum kodu (HTTP Status Code) ekler. Bu kodların amacı karşıdaki sisteme isteğinin akıbeti hakkında bilgi vermektedir. 

HTTP bağlantıları kısaca aşağıdaki gibi yapılır (DNS talepler ve 3’lü el sıkışma gibi detaylar burada gösterilmemiştir). 

HTTP isteklerine ve sunucu cevaplarına ayrıntılı olarak bakacak olursak aşağıdaki bilgileri içerdiklerini görebiliriz;

HTTP isteği: 
HTTP isteğinde talep edilen alanadı (www.alperbasaran.com), talebi yapan tarayıcının bilgileri, sunucudan hangi türde cevapları kabul edebileceği, vb. bazı bilgiler görülebilir. 

HTTP cevabı: 

Sunucundan gelen cevapta çerez bilgileri, vb. görülebilir. İlk satırın sonunda yer alan “200 OK” ise sunucunun gönderilen isteğe nasıl yanıt verdiğini belirtir. 

HTTP Durum Kodları Nedir?
5 kategoride dönebilecek HTTP durum kodları aşağıdaki ana başlıklara göre sınıflandırılabilir;
  • 100’lü kodlar: Bilgilendirme amaçlı gönderilen yanıtlardır. Örn: “100 Continue”
  • 200’lü kodlar: Sunucunun isteği başarıyla yanıtladığını gösterir. Örn: “200 OK”
  • 300’lü kodlar: İsteğin başka bir adrese yönlendirildiğini gösterir. Örn: “301 Moved Permanently”
  • 400’lü kodlar: İstekte bir hata olduğunu gösterir. Örn: “404 Not Found”
  • 500’lü kodlar: Sunucu kaynaklı bir hata olduğunu gösterir. Örn: “503 Service Unavailable”
Gelen HTTP durum kodları tarayıcının yeni bir istekte bulunmasını veya hatanın kullanıcıya gösterilmesini sağlayabilir. 
Hata kodları uygulama testleri sırasında bizlere birkaç konuda bilgi verebilir:
  • Uygulamanın kullandığı sayfalar, dizinler veya altdizinler: Örn. Geçerli bir sayfa için yapılan talep “200 OK” yanıtını dönerken olmayan bir sayfa “404 Not Found” yanıtı verecektir.
  • Uygulamanın çalışma mantığı: Örn. Giriş işlemi sonrası sunucu “302 Found” kodu ile kullanıcıyı yönlendirebilir. 
  • Uygulamanın nasıl yapılandırıldığı: Örn. Talep edilen adrese eklenen özel karaktere “500 Internal Server Error” yanıtının alınması sunucunun kurulumu sırasında bazı güvenlik ayarlarının devreye alınmadığını gösterebilir. 
Uygulamayı test ederken çok sayıda talep göndermek ve sunucunun gönderdiği HTTP durum kodlarını görmek süreci hızlandırabilir. 

Python Requests ile İstek Göndermek
Kullanımı oldukça kolay olan Python Requests ile istekler aşağıdaki gibi gönderilebilir;

requests.get('http://www.alperbasaran.com/')
Görüldüğü gibi var olan bir sayfaya yapılan bir isteğin sonucu “<Response [200]>” olarak görülürken var olmayan sayfaya yapılan istek “<Response [404]>” olarak yanıtlanmıştır. 

HTTP cevaplarını Kullanmak
Sunucunun gönderdiği yanıtları daha etkin biçimde kullanabilmek için bir değişken tanımlamak işimizi kolaylaştırabilir. cevap = requests.get('http://www.alperbasaran.com/') ile sunucunun gönderdiği cevabı ekranda göstermek yerine değişken olarak saklayabilirsiniz. Aşağıdaki örnekte olduğu gibi sadece dönen HTTP kodlarını toparlayıp hangi sayfaların var olduğunu gösteren kısa bir betik geliştirilebilir.

Sunucudan gelen yanıt bir kere “cevap” olarak kaydedildikten sonra kolaylıkla işlenebilir.
Bu arada cevapta gelen HTTP durum kodunun en son gelen durum kodu olduğunu unutmamakta fayda var. Aşağıdaki örneğe bakacak olursak http://alperbasaran.com için gönderilen isteğe “200 OK” yanıtı alındığı görülebilir. Ancak cevap.history bize arada bir “301 Moved Permanently” cevabı olduğunu gösteriyor.  

Bu durumda http://www.alperbasaran.com adresine bir yönlendirme yapılmış ve yönlendirmenin sonucunda yapılan ikinci istek “200 OK” cevabı almıştır. 

Yönlendirmeleri takip etmek isteyip istemediğinizi belirtebilirsiniz. Bu durumda gönderilen isteğe “allow_redirects” parametresini ekleyerek Python Requests’in nasıl davranacağını belirleyebilirsiniz. Aşağıda görüldüğü gibi sunucudan gelen yönlendirme kodu takip edilmezse istek bir 301 koduyla sonlanmaktadır.  

HTTP Header Bilgisi
Cevap.headers ile HTTP yanıtının header (başlık) bilgisi görüntülenebilir.

Özellikle HTTP başlığında bir güvenlik cihazı tespit edilen uygulamalarda hangi sayfa veya alanadlarının bu sistem tarafından korunmadığını tespit etmekte faydalı olacaktır. Çok sayıda istek gönderecek bir döngü yazıldığında isteğin gönderildiği adresi takip etmeyi unutmamak gerekir. 

Bunun için cevap.url kullanılabilir.

HTTP İstek Türleri
Python Requests kullanılarak GET ve POST gibi farklı türlerde istekler gönderilebilir. Kullanım yukarıda anlatılanla benzer. 

Farklı türde istek göndermek için;
  • GET isteği: requests.get('http://alperbasaran.com/')
  • POST isteği: requests.post('http://alperbasaran.com/')
  • OPTIONS isteği: requests.options('http://alperbasaran.com/')
  • DELETE isteği: requests.delete('http://alperbasaran.com/')
  • PUT isteği: requests.put('http://alperbasaran.com/')

HTTP Cevap Süreleri

Gönderilen isteğe yanıtın ne kadar sürede geldiği bize uygulamanın nasıl çalıştığı ve “enumeration” denilen bilgi teyidi konularında bilgi verebilir. Yaygın olarak bulunabilecek bir durum giriş ekranın var olan bir kullanıcı adı ile var olmayan bir kullanıcı adına verdiği cevapların sürelerdir. Var olmayan bir kullanıcı giriş denemesinde sistem önce kullanıcı adının var olup olmadığını teyit edecek, varsa parolanın doğruluğunu kontrol edecektir. Bunun sonucunda var olmayan bir kullanıcı için yanıtların daha kısa sürede dönmesi muhtemeldir.

Bunun için “cevap.elapsed.total_seconds()” kullanılabilir. 

URL Parametresi Göndermek
Uygulamanın kabul ettiği parametrelerle oynamak uygulamanın hata vermesine veya davranışlarında değişikliklere neden olabilir. Bu nedenle fuzzing olarak bilinen teknik zaman kazandırabilir. Fuzzing sırasında uygulamaya önceden belirlenmiş içerikler göndererek hangilerine nasıl tepki verdiğine bakılır. Uygulama çok uzun, çok kısa, özel karakter içeren vs. beklemediği bir girdi aldığında davranışlarında (cevap süresi, cevap header bilgisi, cevap içeriği, vb.) herhangi bir farklılık varsa ilgili parametre üzerinde çalışılmaya değer gibi görünüyor. 

Örnek sayfayı ele aldığımızda arama için bir parametre girildiğinde adres çubuğunda da bu görülebilmektedir. “test” kelimesi için bir arama yaptığımızda adres çubuğunda “http://www.alperbasaran.com/search?q=test” görülebilmektedir. 

Bu durumda “q” arama parametresi olarak karşımıza çıkmaktadır. Requests kütüphanesi ile bunun gibi parametreleri içeren istekler de gönderilebilmektedir. Bunun için istek “requests.get('http://www.alperbasaran.com/search',params=b'q=siber',)” şeklinde gönderilebilir. 

Çerez Bilgilerini İşlemek
Özellikle uygulamaların giriş yapılarak erişilen bölümlerine istek gönderebilmek için çerez bilgisine ihtiyaç vardır. Bunun yanında uygulamanın farklı çerezlere nasıl tepki verdiğini anlamak bazı kullanıcı giriş mekanizmalarının atlatılmasını veya gizli işlevlerin tespit edilmesine imkân verebilir.

Aşağıdaki görüldüğü gibi DVWA (Damn Vulnerable Web Application) uygulamasının komut çalıştırma zafiyetini barındıran sayfasına istek göndermeyi denediğimizde, uygulamaya giriş yapmadığımız için, 302 durum koduyla bizi giriş sayfasına yönlendiriyor. 

İsteğe çerez değerlerini eklediğimizde ise sayfaya ulaşılabildiği görülmektedir. 
İster özel olarak geliştirilmiş EBYS, HBYS veya ERP uygulamalarını test edin, ister yaygın olarak kullanılan Wordpress veya Joomla gibi platformları özel istekler gönderip uygulamadan gelen yanıtları işleyebilmek gerekir. Requests kütüphanesi, kolay kullanımı ve iyi performansıyla işinizi kolaylaştıracaktır.

Thursday, September 26, 2019

Deprem ve Felaketlerde İletişim Kurmak



Burada teknolojik olarak deprem veya herhangi bir doğal afet sonrası işimize yarayabilecek bazı şeyler paylaşacağım. Deprem çantası hazırlamak, ev ve iş yerlerinizi daha güvenli hale getirmek, iş sürekliliği planları ve kriz yönetimi gibi konulara girmeyeceğim

Olası bir felakette temelde 4 senaryo öngörebiliriz;
  1. Telefon ve internet yok
  2. Telefon var, internet yok
  3. Telefon yok, internet var
  4.  Telefon ve internet var
Telefon ve internet hizmetleri çalışıyorsa zaten yazının devamındaki ipuçlarına ihtiyacınız olmayacak. 

Telefon ve internet yoksa
  • Telefon ve internet hizmetlerinin sadece mobil şebekelerde mi kesik olduğunu, sabit hatların da hizmet dışı kaldığını kontrol edin
  • Telsiz iletişim kurmak için tek seçenek olabilir. Amatör telsizci belgesi alıp evde/iş yerinde bir telsiz bulundurmak bu konuda yapılabilecek en doğru şey gibi duruyor. Bunun maliyeti veya teknik açıdan yapılabilirliğini değerlendirmek elbette size kalmış.
  • Uydu telefonları kullanım açısından daha kolay olabilir. Ancak telsizin aksine yapılan diğer yayınları dinleme şansınız olmayacak. Şehrin tamamını etkileyen bir kesinti olması halinde başka şehirlerdeki tanıdıklar veya aynı şehirdeki diğer uydu telefonlarıyla iletişim kurabilirsiniz. 
  • Radyo! Tercihen pilli ve güneş enerjisiyle veya elle şarj edilebilen küçük radyoları arabada, evde ve iş yerinde bulundurmak en azından haber almanıza imkân verecektir.  
Telefon var ama internet yok
  • Mobil cihazının er ya da geç enerjiye ihtiyacı olacağını unutmayın. Bu nedenle güneş enerjisi kullanılarak şarj edilebilen powerbankleri arabada, evde ve iş yerinde bulundurun. Düzenli aralıklarla doluluk oranlarını ve çalışıp çalışmadıklarını MUTLAKA kontrol edin.
  • Mobil cihazınızın bataryasının bitebileceğini düşünerek önemli numaraları önceden bir kağıda yazarak cüzdanınıza koyun.
  • Mobil cihazınızın ayarlarını en az batarya kullanacak şekilde değiştirin (Örn: veri ve Wifi bağlantılarını kapatın, ekran ışığını azaltın)
  • Size hala sabit hattan ulaşan yaşlı veya uzak akrabalarınız varsa ve evden çıkmanız gerekiyorsa ev telefonunuzu mobil telefonunuza yönlendirin.
  • Firechat gibi uygulamalar mobil cihazların kablosuz bağlantı özelliklerini kullanarak iletişim kurmanıza imkan verebilir. Bu durumda ancak belli bir alan içerisindeki (5 – 50 metre arası) kişilerle iletişim kurabilmeniz mümkün olacaktır. ANCAK, bu uygulamayı yeterince çok sayıda kişi kurarsa her telefon bir baz istasyonu gibi çağrıları yönlendirebilmektedir. Şehirde yaşayan herkesin bu uygulamayı kurması halinde iletişim kurulması mümkün olur. Belediyelerin bu konuda bir uygulama geliştirmeleri gerekiyor.
  • Felaket durumunda sizin gibi birçok kişinin yakınlarından haber almaya çalışacağını unutmayın. Bu nedenle bütün tanıdıklarınızı tek seferde aramak yerine önceden belirleyeceğiniz 1-2 kişinin sağlık durumunu öğrenip kapatmanız herkesin kısıtlı olabilecek telefon altyapısından faydalanmasına imkân verecektir. 
Telefon yok, internet var
  • İnternet üzerinden sesli görüşme yapmanıza imkân veren pek çok uygulamadan birini kullanabilirsiniz. 
  • Kısa mesaj servisi (SMS) hala çalışıyor olabilir, Whatsapp veya iMessage ile ulaşamadığınız kişilere SMS göndermeyi de deneyebilirsiniz.
  • İnternet bağlantısı sınırlı olabileceğinden sesli/görüntülü görüşme yapmak mümkün olmayabilir, ısrarcı davranmayın.
  • Kullandığınız mesajlaşma uygulamasına bağlı olarak, mesajlarınız her zaman alışık olduğunuz hızda iletilmeyebilir, hemen en kötüsünü aklınıza getirmeyin.
  • Sosyal medya kullanmamaya çalışın. Elbette neler olup bittiğini öğrenmek için bazı uygulamaları kullanacaksınız ancak kriz anında dolaşmaya başlayan asılsız haberlere dikkat edin. Hatırlarsanız dün yaşanan deprem sonrası köprü halatlarının koptuğu bilgisi yayılmaya başladı, zaten sor durumda olacaksınız ekstra moral bozukluğu ihtiyacınız olan son şey.
Telefon ve internet var
  • Önceden belirlediğiniz sırada sizin için önemli olan kişileri arayıp telefon şebekesini gereğinden uzun meşgul etmemeye çalışın. Afet öncesi bir aile ve şirket içi iletişim sırası belirlemek bu noktada işinizi çok kolaylaştırır.
  • Önceden belirlediğiniz ve güvenilir haber kaynağı olabilecek sosyal medya hesaplarını ve haber sitelerini ziyaret ettikten sonra internet kullanımınızı sınırlı tutmaya çalışın

Başlıkların pek çoğundan ÖNCEDEN kelimesinin geçtiğini görecesiniz. Her krizde olduğu gibi hazırlıklı olmak bu konuda da çok önemli. Deprem çantanızı ve olay sırası ve sonrası hareket şeklinizi önceden değerlendirin. 
Bu değerlendirmeleri senaryo bazlı yapmakta fayda var.  Örneğin “çocukları okuldan kim alacak?” sorusunu sorun. İkiniz de çocukları almaya gitmekle zaman kaybetmektense bunu tek bir ebeveynin görevi olarak belirleyin. Olay sonrası sorumlu kişinin iyi ve gidebilecek durumda olduğunu teyit ettikten siz önemli bir diğer (eve gidip evi kontrol etmek gibi) işi üstlenebilirsiniz.

Benzer bir çalışmayı şirkette de yapmanız iş sürekliliği ve felaketin etkilerini en aza indirgemek için de faydalı olacaktır.


Wednesday, September 25, 2019

İstihbarat Masası: 16-22 Eylül 2019



Tedarik zincirinden kaynaklı risklere dikkat
Trendmicro 2 farklı çok uluslu otel zincirinin mobil uygulamalarına zararlı kodlar eklendiği tespit etmiş. Rezervasyon ve ödeme işlemleri için de kullanılan mobil uygulamaların içerisinde yer alan zararlı kodun öncelikli hedefinin kredi kartı numaralarını çalmak olduğu belirlendi. 2 farklı otel grubu için bu uygulamaları geliştiren İspanyol yazılım şirketinin yaşadığı bir güvenlik ihlalinin bu olaya neden olmuş olması muhtemel. Ülkemizde de belirli konularda son derece başarılı uygulamalar geliştiren pek çok yazılım şirketi var. Web sayfası, mobil uygulama veya web uygulaması olabilir kuruluşunuza özel bir yazılım veya herhangi bir yazılım geliştirilmişse yazılım firmasından 2 rapor talep etmenizde fayda var; 
  •  Kaynak kod analizi raporu 
  • Sızma testi raporu
Kuruluşunuzu doğrudan hedef almasa bile tedarikçilerinizde yaşanması muhtemel bir siber saldırının sizi veya bu olayda olduğu gibi, sizin müşterilerinizi etkileme ihtimali oldukça yüksektir. 

Parola Yöneticilerinin Sorunu
Parola yöneticilerinin hayatımızı kolaylaştırdığı doğrudur. Popüler parola yöneticilerinden LastPass’te tespit edilen bir açık uygulamanın daha önce ziyaret edilen sitelere girilen parolaların görüntülenebilmesine imkan veriyormuş. Google araştırmacıları tarafından bulunan bu zafiyet LastPass 4.33.0 sürümünde giderildi. 

Tespit Edilmemek için YouTube ve Facebook’u kullanan zararlı yazılım
Zararlı yazılımla mücadele konusunda antivirüslerin tek başına yeterli olmadığını biliyoruz. Bu nedenle pek çok kuruluş ağ ve sistemlerin davranışlarını rafik analizi, sistem incelemesi ve log toplama gibi yöntemlerle izlemektedir. Bunu bilen siber suçlular da tespit edilmelerini zorlaştırmak için farklı yöntemler kullanmaya başladı. Cofense tarafından yapılan bir incelemede tespit edilmemek için Facebook ve YouTube’dan faydalanan bir zararlı yazılım tespit edilmiş. Zararlı yazılımın komuta sunucusuyla iletişim kurmasını sağlayacak konfigürasyon bilgilerinin aşağıdaki resimde görüldüğü gibi bir YouTube profilinin içerisine gizlenmiş. 



Kuruluşunuz bünyesinde sosyal medya kullanımına izin veriyorsanız bu ve bu platformlar kullanılarak veri sızdırılması senaryolarını düşünerek bazı tedbirler almanızda fayda var. 

NAS’lara Dikkat
Ülkemizde de yaygın olarak kullanılan Synology ve Qnap NAS (Network Attached Storage – Ağa bağlı yedekleme) birimlerinin de aralarında bulunduğu ürünlerde toplam 125 zafiyet tespit edildi. Bu iki NAS markasından birisini kullanıyorsanız güncelleme için tedarikçinizle acil olarak görüşmenizde fayda var. 

Sanal Makinelerden Kaçanlar var
AMD tarafından üretilen bazı grafik kartlarda tespit edilen güvenlik zafiyeti bu kartların kullanıldığı sistemlerde bir sanallaştırma ortamı ve sanal makine çalışıyorsa bunların içerisinden ana makineye ulaşmaya imkan veriyormuş. Cisco’nun Talos araştırma grubunun tespit ettiği bu zafiyetin istismar girişimlerini tespit etmeye yönelik birkaç IPS kuralı da hazırlandı. Grafik kartlarınız AMD olmasa bile sanallaştırma platformundan ana makineye veya sanal makineler arasında geçişleri tespit edebilecek bir mimarinin hızlıca oluşturulması iyi olacaktır. 

DDoS Saldırılarının Boyutları Artıyor
Akamai bugüne kadar gördükleri 4. En büyük DDoS saldırısına şahit olduklarını açıkladı. 35 Gbps boyuta kadar ulaşan saldırı WS-Dicovery protokolünü kullanmış. SSDP ve UPnP’ye benzer şekilde başka sistemleri keşfetmek için kullanılan WS-Discovery protokolü TCP ve UDP üzerinden port 3702’de çalışır.
Son haftalarda kuruluş ağına doğru gelen WS-Discovery taleplerinde bir artış olup olmadığına bakmak ve kuruluşumuzdan çıkan WS-Discovery trafiğini engellemek lazım. Diğer UDP protokollerinde olduğu gibi WS-Discovery kullanılarak yapılan DDoS saldırıları yansıtılabilmektedir. “Amplification” olarak da bilinen bu teknik sayesinde saldırganlar kullandıkları bant genişliğini artırabilmektedir. DNS gibi herhangi bir sorguya gönderdiği yanıt paketi gelen sorgu paketinden büyük olan UDP protokollerin neredeyse tamamı bu şekilde istismar edilebilmektedir. Kuruluşumuzun sistemlerinin kullanılarak başka hedeflere saldırılmasını engellemek için kuruluşumuzdan çıkan UDP protokolleri konusunda dikkatli olmak gerekiyor. 

Bu hafta güncellenecekler
Önemli güvenlik zafiyetleri tespit edilen ve güncelle yayınlayan üreticiler aşağıdadır. Bu üreticilere ait ürünleri kullanıyorsanız MUTLAKA güncelleyin. 
  •  QNAP
  • Synology
  • Aruba
  • Atlassian Jira
  • Ubuntu Linux
  • Wireshark
  • Microsoft Explorer

Tuesday, September 3, 2019

İstihbarat Masası: 26 Ağustos 2019





Bu başlık altında bir önceki haftanın olaylarına ilişkin aldığım notların özetlerini paylaşıyorum. Bunlar; bize gelen olay müdahale taleplerinden, güncel haberlerden çıkartılabilecek sonuçlara kadar geniş bir yelpazeyi kapsıyor. 

iPhone kullanıcıları hedefte

iOS 10 ile 12 arasında çeşitli iOS sürümlerinde toplam 14 ve Safari web tarayıcısında 5 zafiyeti istismar eden bir saldırının iPhone kullanıcılarını hedef aldığı ortaya çıktı. Saldırıda kullanılan sıfır gün açıkları bu operasyonun arkasında bir devlet olduğunu düşündürüyor.

Bu durumda, özellikle kuruluşunuzun kilit personeli ve yöneticilerinin kullandığı iPhone’ların acilen ayrıntılı bir incelemeden geçirilmesinde fayda var.

A.B.D. siber ordusundan harekât

Haziran ayında, İran Devrim Muhafızları tarafından kullanılan bir veritabanını hedef alan A.B.D. siber kuvvetleri, Basra Körfezinden geçen tankerleri hedef almalarını geçici süreyle engelledi. Saldırının veritabanı dışında, askeri iletişim ağını da olumsuz etkilediği belirtiliyor.

Bundan 5 – 10 yıl önce bombalayarak elde edilebilecek bir sonuç bu.

Kuruluşunuzda kritik bir veritabanı varsa, hiçbir zaman düşündüğünüz kadar güvende olamayacağınızın yeni bir kanıtı.

Kriptopara madenciliğinde ARM’dan Intel’e

Daha önce ARM işlemcili sistemleri hedef alıp kriptopara madenciliği yapan bir zararlı yazılımın yeni sürümü 32 ve 64 bit Intel işlemcileri hedef almaya başlamış. Zararlı yazılımın SSH (port 22) üzerinden yayıldığı tespit edilmiş.

Sadece bu zararlı yazılım özelinde değil, genel olarak SSH, RDP veya SMB türü iletişim protokollerinin dışarıya doğrudan açılmaması bu tür salgınlardan daha az etkilenmenizi sağlayacaktır.

Twitter’ın kurucusunun Twitter hesabını “hacklediler”

Twitter’ın kurucusu Jack Dorsey’in Twitter hesabı ele geçirilip ırkçı tweetler atmakta kullanıldı. İlk inceleme sonuçlarına göre olayın Twitter altyapısındaki bir güvenlik açığından kaynaklanmadığı belirlenmiş. Jack Dorsey’in cep telefonu hattını sağlayan şirketin bir açığından faydalanan saldırganların yetkileri olmadığı halde SMS ile tweet atabildikleri söyleniyor. Türkiye’den de, örneğin Turkcell için 2555 kısa kodunu kullanarak tweet atabilir, birilerini takibe alabilir ve hatta DM’den yürüyebilirsiniz. Bu durumda olaya konu Twitter hesabının ele geçirildiğini söylemek doğru olmasa bile ciddi bir güvenlik ihlali yaşandığı görünüyor.

Foxit PDF dönüştürücüye dikkat

Dünya genelinde 500 milyondan fazla kullanıcısı olduğunu söyleyen Foxit PDF okuyucu uygulamasına ait kullanıcı bilgilerinin çalındığı açıklandı. Firma tarafından yapılan bilgilendirmede kullanıcı adı ve parola gibi hassas bilgilerin de çalındığı belirtiliyor. Kullandığınız bir uygulamaysa parolanızı acilen değiştirmenizde fayda var.

DDS Safe Fidye Yazılım kurbanı

Adını duymamış olabilirsiniz ancak DDS Safe, özellikle fidye yazılıma karşı “3 kademeli güvenli” yedekleme çözümleri sunan bir firmadır. 26 Ağustos günü firma fidye yazılım kurbanı olduğunu açıkladı.

Sağda solda kendinden emin “biz o işi bitirdik” veya “fidye yazılım için n+3+12,4-7 akıllı zeka öğrenme destekli çözümlerimiz var” diyenler aklıma geldi de, ister istemez bir gülme tuttu.

Güvenlik çözümlerini kullanmak zorundayız elbette ama bunların ancak doğru bir mimari çerçevesinde ve güvenli biçimde kurgulanırsa etkili olduğunu unutmamalıyız.

Güncellenecek ürünler

  • Avast: Antivirüs
  • Apache: Tomcat
  • Apple: iOS, Mac OS ve Apple Watch dahil olmak üzere çok sayıda zafiyete ilişkin güncelleme yayımlandı. Bunların, özellikle hedefli saldırılarda, kullanıldığını gördüğümüz için acil olarak güncellenmeli.
  • Foxit: PhantomPDF
  • McAfee: DLP çözümü
  • Microfocus (eski adıyla ARCSIGHT): ArcSight Logger modülü
  • Mozilla: Firefox
  • Palo Alto: PanOS 7 veya 8 kullanıyorsanız üreticinin güncellemelerini geçin

Tuesday, August 27, 2019

İstihbarat Servisi: 19 Ağustos 2019 haftası




Bu başlık altında bir önceki haftanın olaylarına ilişkin aldığım notların özetlerini paylaşıyorum. Bunlar bize gelen olay müdahale taleplerinden güncel haberlerden çıkartılabilecek sonuçlara kadar geniş bir yelpazeyi kapsıyor. 

Notlar

RDP, kanayan yaramız
Geçtiğimiz hafta RDP (Remote Desktop Protocol – Uzak Masaüstü Bağlantısı) açıklarına yenileri eklendi. Siber saldırganların bu açıklardan faydalanmalarını sağlayan istismar araçları 30 -50 A.B.D. Doları arasında satılıyor. Bunun yanında çeşitli fidye yazılımlarının da bu açıkları istismar ederek sisteme bulaştığı görüldü. RDPler için bir güncelleme olup olmadığını kontrol edip, güncelleme olmasa bile gereksiz RDP bağlantılarının kapatılması. (SIEM’e RDP iznine sahip kullanıcılara yenisi eklenirse uyar kuralının girilmesi bonus olur)

Finans sektörü dikkat
Silence APT grubunun Türkiye dahil birçok ülkedeki finans sektörü kuruluşlarını hedef aldığı ortaya çıktı. Grup 2016 yılından beri aktif olduğu için bu konuda ciddi bir çalışma yapmakta fayda var. Group-IB tarafından hazırlanan özet rapora https://www.group-ib.com/resources/threat-research/silence_2.0.going_global.pdf adresinden ulaşabilirsiniz. Sparta Bilişim olarak Group-IB ile işbirliği yapıyoruz, konuyla ilgili birinci ağızdan bilgiye ihtiyaç duyarsanız bana ulaşabilirsiniz. 

İngiltere’den Python2 uyarısı
Birleşik Krallık Ulusal Siber Güvenlik Merkezi 1 Ocak 2020’de desteği bitecek olan Python2’nin geliştiriciler tarafından kullanılmaması gerektiği konusunda bir uyarı yayımladı. Geliştirme ortamında, bileşenlerinde veya yazılım dilinde çıkacak açıkların çoğu zaman bitmiş yazılımı da etkilediğini görüyoruz. Bu nedenle, her ne kadar Python3’e bir türlü ısınamamış olsak da, Python2’yle vedalaşma vakti geldi sanki… Bu arada Ruby’nin bazı kütüphanelerinde arka kapılar tespit edilmiş, Ruby kullanıyorsanız https://github.com/rubygems/rubygems.org/issues/2097 adresine göz atmanızda fayda var. 

1 maille paranızı çalıyorlar 
Business E-mail Compromise saldırılarının 2-3 kişinin çalıştığı firmaları bile hedef aldığını ilk elden gördük. Bu konuda kuruluş genelinde farkındalığın acilen artırılması şart. Bu yazıdaki ipuçlarının faydası olacaktır: https://sibersavascephesi.com/is-dunyasinin-salgini-business-e-mail-comprimise-ve-korunmak-icin-6-basit-yontem/ 

Steam’de oyun oynuyorsanız
Yayımlanan bir güvenlik açığı 96 milyon kullanıcının bilgilerinin ifşasına neden olmuş olabilir. Parolanızı değiştirmekte, kredi kartı numaranız kayıtlıysa iptal etmenizde fayda var. 

Kriptoparalara dikkat
Bu hafta kriptoparasını çaldıranlardan pek çok başvuru geldi. Kriptopara cüzdanlarınızın ve bilgisayarınızın genel güvenlik durumunu gözden geçirmekte fayda var. 

Özetler
  • Romanya, güvenlik gerekçesiyle Huawei ürünlerini 5G altyapısında kullanmayacağını açıkladı. Çok dikkatli yaklaşılması gereken ürünler listemizde tutmakta fayda var. 
  • Avaya telefonlarda 2009 yılında çıkan bir güvenlik açığının hala istismar edilebilir olduğu ortaya çıktı. Güncellemek yetmiyor, güncelleme sonrasında teyit şart. 
  • Canon DSLR kameralarına kablosuz ağ üzerinden fidye yazılım bulaştırılabildiği ortaya çıktı. Yazılım varsa fidye yazılım olabilir bakış açısıyla ağımıza bağlı her şeyi gözden geçirmekte lazım (güvenlik kamerası, kapı geçiş turnikesi, endüstriyel kontrol sistemleri, vb…)
  • Imperva’nın bulut tabanlı WAF’ı Incapsula’nın kullanıcı bilgileri çalınmış. Kullanıyorsanız arkadaşlarla bir görüşün derim. 
  • CamScanner uygulaması telefonunuzda varsa kaldırın. Çin malı telefonlarda önyüklü olarak geliyor (Çin’de üretilen “yerli” telefonlarda da görülebilir), ciddi bir tehdit. 
Güncellenecek ürünler 

MITRE ATT&CK Gerçek Hayatta Ne İşimize Yarar?

  Rusya kaynaklı siber saldırılar webinarı sırasında üzerinde durduğum önemli bir çalışma vardı. MITRE ATT&CK matrisini ele alıp hangi...