Thursday, September 26, 2019

Deprem ve Felaketlerde İletişim Kurmak



Burada teknolojik olarak deprem veya herhangi bir doğal afet sonrası işimize yarayabilecek bazı şeyler paylaşacağım. Deprem çantası hazırlamak, ev ve iş yerlerinizi daha güvenli hale getirmek, iş sürekliliği planları ve kriz yönetimi gibi konulara girmeyeceğim

Olası bir felakette temelde 4 senaryo öngörebiliriz;
  1. Telefon ve internet yok
  2. Telefon var, internet yok
  3. Telefon yok, internet var
  4.  Telefon ve internet var
Telefon ve internet hizmetleri çalışıyorsa zaten yazının devamındaki ipuçlarına ihtiyacınız olmayacak. 

Telefon ve internet yoksa
  • Telefon ve internet hizmetlerinin sadece mobil şebekelerde mi kesik olduğunu, sabit hatların da hizmet dışı kaldığını kontrol edin
  • Telsiz iletişim kurmak için tek seçenek olabilir. Amatör telsizci belgesi alıp evde/iş yerinde bir telsiz bulundurmak bu konuda yapılabilecek en doğru şey gibi duruyor. Bunun maliyeti veya teknik açıdan yapılabilirliğini değerlendirmek elbette size kalmış.
  • Uydu telefonları kullanım açısından daha kolay olabilir. Ancak telsizin aksine yapılan diğer yayınları dinleme şansınız olmayacak. Şehrin tamamını etkileyen bir kesinti olması halinde başka şehirlerdeki tanıdıklar veya aynı şehirdeki diğer uydu telefonlarıyla iletişim kurabilirsiniz. 
  • Radyo! Tercihen pilli ve güneş enerjisiyle veya elle şarj edilebilen küçük radyoları arabada, evde ve iş yerinde bulundurmak en azından haber almanıza imkân verecektir.  
Telefon var ama internet yok
  • Mobil cihazının er ya da geç enerjiye ihtiyacı olacağını unutmayın. Bu nedenle güneş enerjisi kullanılarak şarj edilebilen powerbankleri arabada, evde ve iş yerinde bulundurun. Düzenli aralıklarla doluluk oranlarını ve çalışıp çalışmadıklarını MUTLAKA kontrol edin.
  • Mobil cihazınızın bataryasının bitebileceğini düşünerek önemli numaraları önceden bir kağıda yazarak cüzdanınıza koyun.
  • Mobil cihazınızın ayarlarını en az batarya kullanacak şekilde değiştirin (Örn: veri ve Wifi bağlantılarını kapatın, ekran ışığını azaltın)
  • Size hala sabit hattan ulaşan yaşlı veya uzak akrabalarınız varsa ve evden çıkmanız gerekiyorsa ev telefonunuzu mobil telefonunuza yönlendirin.
  • Firechat gibi uygulamalar mobil cihazların kablosuz bağlantı özelliklerini kullanarak iletişim kurmanıza imkan verebilir. Bu durumda ancak belli bir alan içerisindeki (5 – 50 metre arası) kişilerle iletişim kurabilmeniz mümkün olacaktır. ANCAK, bu uygulamayı yeterince çok sayıda kişi kurarsa her telefon bir baz istasyonu gibi çağrıları yönlendirebilmektedir. Şehirde yaşayan herkesin bu uygulamayı kurması halinde iletişim kurulması mümkün olur. Belediyelerin bu konuda bir uygulama geliştirmeleri gerekiyor.
  • Felaket durumunda sizin gibi birçok kişinin yakınlarından haber almaya çalışacağını unutmayın. Bu nedenle bütün tanıdıklarınızı tek seferde aramak yerine önceden belirleyeceğiniz 1-2 kişinin sağlık durumunu öğrenip kapatmanız herkesin kısıtlı olabilecek telefon altyapısından faydalanmasına imkân verecektir. 
Telefon yok, internet var
  • İnternet üzerinden sesli görüşme yapmanıza imkân veren pek çok uygulamadan birini kullanabilirsiniz. 
  • Kısa mesaj servisi (SMS) hala çalışıyor olabilir, Whatsapp veya iMessage ile ulaşamadığınız kişilere SMS göndermeyi de deneyebilirsiniz.
  • İnternet bağlantısı sınırlı olabileceğinden sesli/görüntülü görüşme yapmak mümkün olmayabilir, ısrarcı davranmayın.
  • Kullandığınız mesajlaşma uygulamasına bağlı olarak, mesajlarınız her zaman alışık olduğunuz hızda iletilmeyebilir, hemen en kötüsünü aklınıza getirmeyin.
  • Sosyal medya kullanmamaya çalışın. Elbette neler olup bittiğini öğrenmek için bazı uygulamaları kullanacaksınız ancak kriz anında dolaşmaya başlayan asılsız haberlere dikkat edin. Hatırlarsanız dün yaşanan deprem sonrası köprü halatlarının koptuğu bilgisi yayılmaya başladı, zaten sor durumda olacaksınız ekstra moral bozukluğu ihtiyacınız olan son şey.
Telefon ve internet var
  • Önceden belirlediğiniz sırada sizin için önemli olan kişileri arayıp telefon şebekesini gereğinden uzun meşgul etmemeye çalışın. Afet öncesi bir aile ve şirket içi iletişim sırası belirlemek bu noktada işinizi çok kolaylaştırır.
  • Önceden belirlediğiniz ve güvenilir haber kaynağı olabilecek sosyal medya hesaplarını ve haber sitelerini ziyaret ettikten sonra internet kullanımınızı sınırlı tutmaya çalışın

Başlıkların pek çoğundan ÖNCEDEN kelimesinin geçtiğini görecesiniz. Her krizde olduğu gibi hazırlıklı olmak bu konuda da çok önemli. Deprem çantanızı ve olay sırası ve sonrası hareket şeklinizi önceden değerlendirin. 
Bu değerlendirmeleri senaryo bazlı yapmakta fayda var.  Örneğin “çocukları okuldan kim alacak?” sorusunu sorun. İkiniz de çocukları almaya gitmekle zaman kaybetmektense bunu tek bir ebeveynin görevi olarak belirleyin. Olay sonrası sorumlu kişinin iyi ve gidebilecek durumda olduğunu teyit ettikten siz önemli bir diğer (eve gidip evi kontrol etmek gibi) işi üstlenebilirsiniz.

Benzer bir çalışmayı şirkette de yapmanız iş sürekliliği ve felaketin etkilerini en aza indirgemek için de faydalı olacaktır.


Wednesday, September 25, 2019

İstihbarat Masası: 16-22 Eylül 2019



Tedarik zincirinden kaynaklı risklere dikkat
Trendmicro 2 farklı çok uluslu otel zincirinin mobil uygulamalarına zararlı kodlar eklendiği tespit etmiş. Rezervasyon ve ödeme işlemleri için de kullanılan mobil uygulamaların içerisinde yer alan zararlı kodun öncelikli hedefinin kredi kartı numaralarını çalmak olduğu belirlendi. 2 farklı otel grubu için bu uygulamaları geliştiren İspanyol yazılım şirketinin yaşadığı bir güvenlik ihlalinin bu olaya neden olmuş olması muhtemel. Ülkemizde de belirli konularda son derece başarılı uygulamalar geliştiren pek çok yazılım şirketi var. Web sayfası, mobil uygulama veya web uygulaması olabilir kuruluşunuza özel bir yazılım veya herhangi bir yazılım geliştirilmişse yazılım firmasından 2 rapor talep etmenizde fayda var; 
  •  Kaynak kod analizi raporu 
  • Sızma testi raporu
Kuruluşunuzu doğrudan hedef almasa bile tedarikçilerinizde yaşanması muhtemel bir siber saldırının sizi veya bu olayda olduğu gibi, sizin müşterilerinizi etkileme ihtimali oldukça yüksektir. 

Parola Yöneticilerinin Sorunu
Parola yöneticilerinin hayatımızı kolaylaştırdığı doğrudur. Popüler parola yöneticilerinden LastPass’te tespit edilen bir açık uygulamanın daha önce ziyaret edilen sitelere girilen parolaların görüntülenebilmesine imkan veriyormuş. Google araştırmacıları tarafından bulunan bu zafiyet LastPass 4.33.0 sürümünde giderildi. 

Tespit Edilmemek için YouTube ve Facebook’u kullanan zararlı yazılım
Zararlı yazılımla mücadele konusunda antivirüslerin tek başına yeterli olmadığını biliyoruz. Bu nedenle pek çok kuruluş ağ ve sistemlerin davranışlarını rafik analizi, sistem incelemesi ve log toplama gibi yöntemlerle izlemektedir. Bunu bilen siber suçlular da tespit edilmelerini zorlaştırmak için farklı yöntemler kullanmaya başladı. Cofense tarafından yapılan bir incelemede tespit edilmemek için Facebook ve YouTube’dan faydalanan bir zararlı yazılım tespit edilmiş. Zararlı yazılımın komuta sunucusuyla iletişim kurmasını sağlayacak konfigürasyon bilgilerinin aşağıdaki resimde görüldüğü gibi bir YouTube profilinin içerisine gizlenmiş. 



Kuruluşunuz bünyesinde sosyal medya kullanımına izin veriyorsanız bu ve bu platformlar kullanılarak veri sızdırılması senaryolarını düşünerek bazı tedbirler almanızda fayda var. 

NAS’lara Dikkat
Ülkemizde de yaygın olarak kullanılan Synology ve Qnap NAS (Network Attached Storage – Ağa bağlı yedekleme) birimlerinin de aralarında bulunduğu ürünlerde toplam 125 zafiyet tespit edildi. Bu iki NAS markasından birisini kullanıyorsanız güncelleme için tedarikçinizle acil olarak görüşmenizde fayda var. 

Sanal Makinelerden Kaçanlar var
AMD tarafından üretilen bazı grafik kartlarda tespit edilen güvenlik zafiyeti bu kartların kullanıldığı sistemlerde bir sanallaştırma ortamı ve sanal makine çalışıyorsa bunların içerisinden ana makineye ulaşmaya imkan veriyormuş. Cisco’nun Talos araştırma grubunun tespit ettiği bu zafiyetin istismar girişimlerini tespit etmeye yönelik birkaç IPS kuralı da hazırlandı. Grafik kartlarınız AMD olmasa bile sanallaştırma platformundan ana makineye veya sanal makineler arasında geçişleri tespit edebilecek bir mimarinin hızlıca oluşturulması iyi olacaktır. 

DDoS Saldırılarının Boyutları Artıyor
Akamai bugüne kadar gördükleri 4. En büyük DDoS saldırısına şahit olduklarını açıkladı. 35 Gbps boyuta kadar ulaşan saldırı WS-Dicovery protokolünü kullanmış. SSDP ve UPnP’ye benzer şekilde başka sistemleri keşfetmek için kullanılan WS-Discovery protokolü TCP ve UDP üzerinden port 3702’de çalışır.
Son haftalarda kuruluş ağına doğru gelen WS-Discovery taleplerinde bir artış olup olmadığına bakmak ve kuruluşumuzdan çıkan WS-Discovery trafiğini engellemek lazım. Diğer UDP protokollerinde olduğu gibi WS-Discovery kullanılarak yapılan DDoS saldırıları yansıtılabilmektedir. “Amplification” olarak da bilinen bu teknik sayesinde saldırganlar kullandıkları bant genişliğini artırabilmektedir. DNS gibi herhangi bir sorguya gönderdiği yanıt paketi gelen sorgu paketinden büyük olan UDP protokollerin neredeyse tamamı bu şekilde istismar edilebilmektedir. Kuruluşumuzun sistemlerinin kullanılarak başka hedeflere saldırılmasını engellemek için kuruluşumuzdan çıkan UDP protokolleri konusunda dikkatli olmak gerekiyor. 

Bu hafta güncellenecekler
Önemli güvenlik zafiyetleri tespit edilen ve güncelle yayınlayan üreticiler aşağıdadır. Bu üreticilere ait ürünleri kullanıyorsanız MUTLAKA güncelleyin. 
  •  QNAP
  • Synology
  • Aruba
  • Atlassian Jira
  • Ubuntu Linux
  • Wireshark
  • Microsoft Explorer

Tuesday, September 3, 2019

İstihbarat Masası: 26 Ağustos 2019





Bu başlık altında bir önceki haftanın olaylarına ilişkin aldığım notların özetlerini paylaşıyorum. Bunlar; bize gelen olay müdahale taleplerinden, güncel haberlerden çıkartılabilecek sonuçlara kadar geniş bir yelpazeyi kapsıyor. 

iPhone kullanıcıları hedefte

iOS 10 ile 12 arasında çeşitli iOS sürümlerinde toplam 14 ve Safari web tarayıcısında 5 zafiyeti istismar eden bir saldırının iPhone kullanıcılarını hedef aldığı ortaya çıktı. Saldırıda kullanılan sıfır gün açıkları bu operasyonun arkasında bir devlet olduğunu düşündürüyor.

Bu durumda, özellikle kuruluşunuzun kilit personeli ve yöneticilerinin kullandığı iPhone’ların acilen ayrıntılı bir incelemeden geçirilmesinde fayda var.

A.B.D. siber ordusundan harekât

Haziran ayında, İran Devrim Muhafızları tarafından kullanılan bir veritabanını hedef alan A.B.D. siber kuvvetleri, Basra Körfezinden geçen tankerleri hedef almalarını geçici süreyle engelledi. Saldırının veritabanı dışında, askeri iletişim ağını da olumsuz etkilediği belirtiliyor.

Bundan 5 – 10 yıl önce bombalayarak elde edilebilecek bir sonuç bu.

Kuruluşunuzda kritik bir veritabanı varsa, hiçbir zaman düşündüğünüz kadar güvende olamayacağınızın yeni bir kanıtı.

Kriptopara madenciliğinde ARM’dan Intel’e

Daha önce ARM işlemcili sistemleri hedef alıp kriptopara madenciliği yapan bir zararlı yazılımın yeni sürümü 32 ve 64 bit Intel işlemcileri hedef almaya başlamış. Zararlı yazılımın SSH (port 22) üzerinden yayıldığı tespit edilmiş.

Sadece bu zararlı yazılım özelinde değil, genel olarak SSH, RDP veya SMB türü iletişim protokollerinin dışarıya doğrudan açılmaması bu tür salgınlardan daha az etkilenmenizi sağlayacaktır.

Twitter’ın kurucusunun Twitter hesabını “hacklediler”

Twitter’ın kurucusu Jack Dorsey’in Twitter hesabı ele geçirilip ırkçı tweetler atmakta kullanıldı. İlk inceleme sonuçlarına göre olayın Twitter altyapısındaki bir güvenlik açığından kaynaklanmadığı belirlenmiş. Jack Dorsey’in cep telefonu hattını sağlayan şirketin bir açığından faydalanan saldırganların yetkileri olmadığı halde SMS ile tweet atabildikleri söyleniyor. Türkiye’den de, örneğin Turkcell için 2555 kısa kodunu kullanarak tweet atabilir, birilerini takibe alabilir ve hatta DM’den yürüyebilirsiniz. Bu durumda olaya konu Twitter hesabının ele geçirildiğini söylemek doğru olmasa bile ciddi bir güvenlik ihlali yaşandığı görünüyor.

Foxit PDF dönüştürücüye dikkat

Dünya genelinde 500 milyondan fazla kullanıcısı olduğunu söyleyen Foxit PDF okuyucu uygulamasına ait kullanıcı bilgilerinin çalındığı açıklandı. Firma tarafından yapılan bilgilendirmede kullanıcı adı ve parola gibi hassas bilgilerin de çalındığı belirtiliyor. Kullandığınız bir uygulamaysa parolanızı acilen değiştirmenizde fayda var.

DDS Safe Fidye Yazılım kurbanı

Adını duymamış olabilirsiniz ancak DDS Safe, özellikle fidye yazılıma karşı “3 kademeli güvenli” yedekleme çözümleri sunan bir firmadır. 26 Ağustos günü firma fidye yazılım kurbanı olduğunu açıkladı.

Sağda solda kendinden emin “biz o işi bitirdik” veya “fidye yazılım için n+3+12,4-7 akıllı zeka öğrenme destekli çözümlerimiz var” diyenler aklıma geldi de, ister istemez bir gülme tuttu.

Güvenlik çözümlerini kullanmak zorundayız elbette ama bunların ancak doğru bir mimari çerçevesinde ve güvenli biçimde kurgulanırsa etkili olduğunu unutmamalıyız.

Güncellenecek ürünler

  • Avast: Antivirüs
  • Apache: Tomcat
  • Apple: iOS, Mac OS ve Apple Watch dahil olmak üzere çok sayıda zafiyete ilişkin güncelleme yayımlandı. Bunların, özellikle hedefli saldırılarda, kullanıldığını gördüğümüz için acil olarak güncellenmeli.
  • Foxit: PhantomPDF
  • McAfee: DLP çözümü
  • Microfocus (eski adıyla ARCSIGHT): ArcSight Logger modülü
  • Mozilla: Firefox
  • Palo Alto: PanOS 7 veya 8 kullanıyorsanız üreticinin güncellemelerini geçin

MITRE ATT&CK Gerçek Hayatta Ne İşimize Yarar?

  Rusya kaynaklı siber saldırılar webinarı sırasında üzerinde durduğum önemli bir çalışma vardı. MITRE ATT&CK matrisini ele alıp hangi...