Monday, June 29, 2020

Rusya’nın Troll Ordusu

Bu yazıyı 2016 yılında yazmıştım. Troll ve botlar arada gündeme geldiği için buraya da eklemek istedim. 

Çalışanları ona “gerçeklik Bakanlığı” adını takmış. İlk olarak geçen sene hakkında bir şeyler duymaya başladığımız Rusya’nın Saint-Petersburg kentindeki “troll fabrikasından” söz ediyorum. Resmi adı “İnternet Araştırma Ajansı” olan bu kuruluşun amacı yüzlerce çalışanı aracılığıyla internette (sosyal medya ve haber sitelerinin yorum bölümlerinde) Kremlin yanlısı propaganda mesajlarını yayınlamak.


Radio Liberty oradan ayrılıp hakkında açıkça konuşan tek kişi olan Olga Maltseva ile görüşmüş. Röportajın tamamına http://www.svoboda.org/a/27970298.html adresinden ulaşabilirsiniz. Rusçası benimki kadar iyi olmayanlar ve internette beğenmedikleri her yorum için “troll yeaaa!” diyenler için “фабрики троллей” (troll fabrikası) hakkındaki bilgileri özetledim.
 
  • Olga “Bloglar bölümünde çalışıyormuş ve işe başladığında kendisinden günde 10 blog yazısı yazması isteniyormuş. Daha sonra bu sayı 12’ye çıkmış. Ağırlıklı olarak Ukrayna’daki durumla ilgili yazılar yazmış.
  • Suriye de hedeflenen konular arasındaymış.
  • İngilizce ve Avrupa’da kullanılan dillerde de içerik üretiliyormuş ancak bunların ayrıntılarına sahip değiliz. Çalışanların kendi aralarında bu konuları konuşmaları yasakmış.
  • Çalışma şartları başta çok ağır değilmiş ancak geçen sene Lyudmila Savchuk’un bu oluşum hakkında açıklamalar yapması ortamın gerginleşmesine neden olmuş. Öyle ki çalışanların sadece çalıştıkları kata erişimlerine izin verilmeye başlanmış. Bu nedenle röportajda sorulan bazı soruları (örn: Suriye kamu oyuna yönelik Arapça içerik üretiliyor mu?) yanıtlayamıyor.
Olga’nın röportajı dışındaki kaynaklardan troll fabrikası hakkında bildiklerimiz ise şunlar;
  • Troll fabrikası 12’şer saatlik vardiyalar halinde 24 saat çalışıyor.
  • Evden çalışmalarına izin verilmiyor. 12 saatlik vardiyalarını bütün iletişimerinin ve internette yaptıklarının izlendiği ofiste geçiriyorlar.
  • Troller ayda 700 Euro civarında bir ücret karşılığında günde 12 saat çalışıyor
  • Troll olarak işe girmek kolay değil. Yazılı iletişim becerilerinin ölçüldüğü bir sınavdan geçiliyor. Sınavda önce nötr (vejetaryenlik gibi) bir konuda daha sonra siyasi bir olay hakkında (Donetsk insani konvoyları gibi) örnek yazılar isteniyor.
  • “Yorum Bölümündeki trollere” günlük olarak 135 yorum yapma hedefi verilmiş.
  • Yorum bölümü belediye siteleri gibi forumlara yorum yazmaktan sorumluymuş. İçlerinde “kötü troll” (Kremlini eleştirenler) ve “iyi troll” (Kremlin yanlısı) rolleri üstlenenler varmış. Bu sayede forumlarda ve haber sitelerinin yorum kısmındaki tartışmaların daha inandırıcı biçimde yürütülmesi sağlanıyormuş.
  • Arama motorlarının yorumları daha kolay endekslemesini ve daha üst seviyelere taşımalarını sağlamak amacıyla yorumlarda kullanılması gereken anahtar kelimeler veriliyormuş. Anlamlı olsun, olmasın bu kelimelerin trollerin yazdığı yorumlarda aynen yer alması şartı varmış.
  • Örnek bir troll görevi aşağıdaki gibi geliyormuş:
    • Konu: NATO kuvvetleri Ukrayna askeri birliklerinin içerisine konuşlandırılmış
    • Anahtar kelimeler: Ukrayna haberleri, Rusya ve Ukrayna, Ukrayna politika, Ukrayna, NATO, PMC (Private Military Company – Alper’in notu: Irak’ta sıkça gördüğümüz paralı asker şirketleri)
    • Görev: 35 forumda bu konun açılması
    • Bunun sonucunda ortaya çıkan yorumlarda Ukrayna ordusu içerisindekilerin NATO unsurları değil bir avuç kana susamış, para sevdalısı paralı asker olduğu algısı oluşturuluyor.
  • İşe 1 dakikadan fazla gecikmek 500 ruble ceza alınmasına neden oluyormuş.
  • Sosyal medya sitelerine başka ekipler bakıyormuş. Örneğin Facebook için 20’şer kişiden oluşan 40 civarında ekip varmış.
  • Kremlin’e ideolojik olarak yakınlıklarını ölçmek için 15-20 sorudan oluşan testler yapılıyormuş. 2 yanlıştan fazla yapanlar sınava tekrar giriyormuş. Düzeltilemeyecek kadar uzak olanların işine son veriliyormuş.
  • Bir trollün farklı mecralarda kullandığı 180’den fazla hesabı olabiliyormuş. Novaya gazetesi tarafından ortaya çıkartılan bazı troll hesaplarında Tatiana Kazakbaev adlı trollün mazurov_89, koka-kola23, Rezites, asus, igtego gibi farklı mecralarda kullanıdığı 181 farklı hesap ortaya çıkmış.
  • Boris Nemtsov (muhalefet lideri) öldürüldüğünde bütün trollerden ellerindeki işleri bırakıp bu olayı sulandırmaları istenmiş. Ukrayna’dan, A.B.D’ye kadar geniş bir potansiyel katil havuzu günlerce gündemde tutulmuş.
  • NATO Stratcom (Strategic Communications Center of Excellence – Stratejik iletişim mükemmeliyet merkezi) Latviya’yı hedef alan trollerle ilgili hazırladığı bir raporda internet trollerini karma bir savaş aracı olarak değerlendiriyor. NATO Stratcom raporuna http://www.stratcomcoe.org/internet-trolling-hybrid-warfare-tool-case-latvia-0 adresinden ulaşabilirsiniz.
  • Troller yazı dışında görsellerle de kamuoyunu şekillendirmeye yardımcı oluyor. Bir fotoğraf Ukrayna’da düşen Malezya havayoluna ait uçağında Ukrayna hava kuvvetlerine ait bir uçak tarafından sözde vurulma anını gösteriyor.
  • Aşağıdaki video Olga’nın “işyeri” olan troll fabrikasında gizlice çektiği görüntüleri içeriyor. https://youtu.be/qMsqJc1OXTw

Sunday, June 28, 2020

Pardus veya Linux'a mı Geçtiniz? İşiniz yeni başlıyor

Yıllardır “doğru bilinen yanlışlar” arasında üstlerde yer alan Linux işletim sistemlerinin daha güvenli olduğu veya bunları etkileyen zararlı yazılım olmadığı algısıyla mücadele ediyoruz. 

Milli işletim sistemimiz Pardus’un Linux temelli olması nedeniyle Windows ortamından buraya geçiş yapmayı düşünen kuruluşlarda “Pardus’a geçiyoruz zaten” gibi bir algıyla karşılaşıyorum. Sanki Pardus veya Ubuntu sürüm ne olursa olsun Linux işletim sistemlerine geçen bir kuruluş siber saldırılara ve zararlı yazılımlara karşı “aşılı” hale gelecekmiş gibi… 

Bilgi işlem biriminde bir bahar havası esiyor. Eğer ne yaptığınızı bilmiyorsanız ve dikkatsiz davranırsanız Linux ortamı saldırgan açısında çok daha rahat bir ortam olabilir.

En basitinden ele geçirdiği herhangi bir sistem üzerinde derleyici, dosya transferi yapmasını sağlayacak netcat ve en az 1 betik dili yüklü olacak. Windows ortamında bunları çoğunlukla ya kendimiz yüklemek zorunda kalıyor veya PowerShell kullanmak zorunda kalıyoruz. Yukarıda saydığım doğal zenginliklere ilave olarak bir de antivirüs kullanımı tamamen veya kısmen bırakıldıysa Linux’a geçmiş bir kuruluş güncellemeleri yapılmış Windows’lardan oluşan bir yere göre çok daha kolay hedef olacaktır.

Linux sistemlerin ne kadar sıkılaştırılmış olduğunu raporlayan Lynis aracı bu konuda atılacak ilk adımlar için bir yol gösterici olabilir. Linux sistemlerde güvensiz ayarları ve yetkileri inceleyerek raporlayan Lynis’i kullanmak oldukça kolay.
https://cisofy.com/downloads/lynis/ adresinden indirdikten sonra denetlemek istediğiniz 

Linux sistem üzerinde çalıştırmanız yeterli. Bunun sonucunda önce belli başlı kontrolleri gerçekleştirip sonrasında bazı iyileştirme önerileri sunar. 


Aşağıdaki ekran görüntülerini yeni indirip kurduğum bir Pardus 19.2 XFCE (64-bit) üzerinde çalıştırdıktan sonra elde ettim. 




Genel durum fabrika ayarlarında bırakılmış bir Pardus işletim sisteminin seviyesinin 63 olduğunu gösteriyor. Lynis geliştiricileri bunun bir puanlama sistemi olmadığını söylese de 80 ve üzeri bir sayı hedeflenmesi gerektiğini de eklemeyi ihmal etmiyorlar. 



Aynı şekilde fabrika ayarlarında bırakılmış bir Ubuntu 20.04 LTS için Lynis çalıştırdığımızda durum aşağıdaki gibi görünüyor: 

Lynis iyileştirilmesi gerektiğini düşündüğü konular için somut öneriler de sunuyor, örneğin aşağıda görüldüğü gibi fabrika ayarlarında bırakıldığında kullanıcı parolalarının kullanım süreleri kısıtlanmamış oluyor. 


Bunu gidermek için /etc/login.defs dosyasında kullanıcı parolaları için bir azami kullanım süresi belirlenmesi gerektiğini söylemiş. 


Dosya üzerinde aşağıdaki değişikleri yaptım. 


Bu işlemi gerçekleştirdikten sonra taramayı tekrar yapıyoruz ve bu sefer sıkılaştırma katsayımızın 63 yerine 64 çıktığını görüyoruz. 


Bu işlemlerin tamamının yapılmasının zaman alacağının farkındayım ancak bu işlemin bir kez yapılıp kuruluş içerisinde kullanılacak tek bir imaj oluşturmanın önemi bir kez daha ortaya çıkıyor.

Referans amaçlı Lynis çıktılarına aşağıdan ulaşabilirsiniz:
Pardus için: https://github.com/alperbasaran/Lynis/blob/master/Pardus
Ubuntu için: https://github.com/alperbasaran/Lynis/blob/master/Ubuntu 


Thursday, June 25, 2020

İran'daki Patlama Stuxnet mi?





26 Haziran 2020 gecesi Tahran yakınlarında gerçekleşen patlamaya dair henüz bilgiler kesinleşmedi. Ancak patlamadan önceki hafta hem İsrail Başbakanı hem de A.B.D. Savunma Bakanının İran'da devam eden nükleer faaliyetler konusunda rahatsızlıklarını açıkça dile getirmesi ister istemez bazı soruları sormamızı gerektiriyor. 

Geçmişte Bostan Operasyonu gibi olaylarda fiziksel güç kullanmaktan çekinmeyen bu ülkelerin daha sonra operasyonlarını siberuzaya taşıdığını biliyoruz. 
Bu durumda Tahran yakınlarında bulunan Parchin'de meydana gelen patlamanın arkasında Stuxnet zararlı yazılımının yeni sürümü olabilir mi?  

İran Savunma Bakanlığının yaptığı açıklamada patlamanın doğalgaz kaynaklı olduğunun söylendiğini not olarak eklemiş olalım. Patlamanın gerçekleştiği alanda radyasyon izlerine rastlanıp rastlanmayacağı veya patlamaya şahit olanların "garip bir koku" olduğundan söz etmesi bunu doğrular mı? zaman gösterecek.

Stuxnet Nedir?
Zararlı yazılımlar söz konusu olduğunda Stuxnet’in ayrı bir yeri olduğunun kabul edilmesi gerekir. Keşfedildiği 2010 yılına kadar tespit edilmiş olan zararlı yazılımlardan oldukça farklı özelliklere sahip Stuxnet, hedefli saldırılarda kullanılan zararlı yazılımların sözlük karşılığı gibidir. İran’da bulunan nükleer tesisleri hedef alan Stuxnet solucanının arkasında kim veya kimler olduğu açıkça ortaya çıkmamış olsa bile uzmanların ortak görüşü A.B.D. ve/veya İsrail tarafından geliştirilmiş olabileceği yönündedir. 


Stuxnet, nükleer tesislerde bulunan endüstriyel kontrol sistemlerini (EKS) hedef alıp, uranyum zenginleştirilmesinde kullanılan santrifüjlerin fiziksel olarak hasar görmesine neden olmuş ve tesisin devre dışı kalmasına yol açmıştır. 


Bu yönüyle, genellikle verdiği hasar veri veya sistem hafızası ile sınırlı kalan diğer zararlı yazılımlardan önemli ölçüde ayrılmaktadır. Nükleer tesisleri devre dışı bırakmak için o zamana kadar kullanılan yöntemler, ülkeler açısından daha maliyetli ve riskliydi.

Hatırlayacağınız üzere; 2007 yılında İsrail, Suriye’de bulunan bir nükleer tesisi savaş uçaklarıyla bombalayarak devre dışı bırakmıştı. Bombalar ve uçakların tespit edilmesi halinde çıkması muhtemel savaş düşünüldüğünde aynı sonucu bir yazılımla elde etmek, maliyet ve risk açısından çok daha avantajlıdır. 


İran nükleer tesislerinin yönetiminde kullanılan endüstriyel kontrol sistemleri ve bunların Windows işletim sistemi üzerinde bulunan bileşenleri üzerinde etkili olması için geliştirilen Stuxnet’in çıkış ve geliştirilme aşaması hakkında çok az bilgiye sahibiz. Hedefe özel bir zararlı yazılım geliştirmek için hedefi yakından tanımak gerekiyor. Bu konuda, dönemin İran Cumhurbaşkanı Ahmedinejad’ın hedef alınan nükleer tesislerden birini ziyareti sırasında çekilen fotoğraflarda bilgisayar ekranlarında görünen Windows ve EKS güncelleme bildirimlerinin yardımcı olmuş olabileceği söyleniyor.


Stuxnet üzerinde doğrudan çalışan analistlerden birisi olan Ralph Langner bu konuda “zararlı yazılımı geliştirenler muhtemelen orada çalışan mühendislerin ayakkabı numaralarını bile biliyordu” diyerek bu seviyede bir çalışma yapmak için gerekli bilgi düzeyi konusunu özetlemiştir. 


Stuxnet’in kendisinden sonra gelen pek çok APT zararlı yazılımıyla ortak kodlara sahip olması, bazı ülkelerin bu konuda ciddi ve disiplinli çalışmalar yürütmekte olduğunun bir göstergesi olarak değerlendirilebilir.



Stuxnet’in Yapısı

Stuxnet 3 temel modülden oluşuyor:

  • Stuxnet solucanı: Zararlı yazılımın yayılmak ve Windows sistemleri etkilemek için kullandığı modüldür. Windows işletim sistemleri üzerinde bulunan zafiyetleri istismar ederek bulunduğu ağda farklı sistemlere yayılır. Bu modül aynı ağda bulunan ve Stuxnet’in bulaştığı farklı sistemlerin kendi aralarındaki iletişimini de denetlemektedir.

  • Stuxnet LNK: Stuxnet solucanının devreyStuxnete girmesini sağlayan modüldür.

  • Stuxnet Rootkit: Stuxnet’in fark edilmesini engelleyen ve zararlı olduğu tespit edilebilecek işlev ve dosyaları gizleyen modüldür.



MS10-046 ve MS10-061 gibi Stuxnet’in yayılmak ve Windows sistemlere bulaşmak için kullandığı zafiyetlerin bir bölümü o tarihte “sıfır gün” (0-day) açığı idi. Bu zafiyetlerin varlığının bilinmemesi, dolayısıyla, Windows tarafından yayınlanmış bir güvenlik güncellemesinin olmaması Stuxnet’in yayılmasını kolaylaştırmıştır. Stuxnet üzerinde yapılan analizler sıfır gün açıklarının yanı sıra o tarihlerde bilinen ve kritik olarak nitelenen MS08-067 gibi açıkları da kullandığını göstermektedir. Bu zafiyetlerin her birisi çok özel bir amaçla kullanılarak Stuxnet’in bilinen haliyle etkili olması sağlanmıştır.

  • MS10-046: O dönemde bilinmeyen, daha sonra CVE-2010-2568 numarası verilen Windows kısayol zafiyetinin giderilmesi için yayınlanmış Windows güncellemesinin referans numarasıdır. İlgili sistem üzerinde USB belleklerin otomatik olarak çalışmasını sağlayan “Autorun” özelliği kapalı olsa bile, Stuxnet USB bellekten hedef sisteme geçebilmektedir.

  • MS10-061: O dönemde bilinmeyen, daha sonra CVE-2010-2729 numarasını alan zafiyeti istismar ederek bulaştığı bilgisayarın bağlı olduğu ağ üzerinde yayılır.

  • MS08-067: O dönemde bilinen kritik bir Windows zafiyetidir. Bu zafiyeti kullanarak yerel ağda yayılıp, yeni sistemlere bulaşır.



Yerel ağda incelemesini tamamlayan Stuxnet, hedef aldığı marka ve modelde bir EKS tespit ettiğinde bu sistemi yönetmek için kullanılan Windows sistemde bulunan yönetim yazılımının bileşen dosyalarını arar. Hedeflediği EKS’nin yönetim yazılımının kullandığı DLL dosyalarının birisini değiştiren Stuxnet böylece EKS’ye de komut gönderebilir hale gelmektedir. Bu aşamadan sonra Stuxnet hedeflediği EKS’yi etkileyen bir zafiyeti istismar ederek EKS’nin veri tabanına erişir. EKS’nin tamamen ele geçirilmesinin ardından Stuxnet santrifüjü yöneten motorların hızlarına müdahale ederek fiziksel hasara neden olur.
2011 yılından beri, Stuxnet’le ortak özelliklere sahip bazı zararlı yazılımlar tespit edilmiştir. 

Aynı grup veya gruplar tarafından geliştirildiği düşünülen zararlı yazılımlara örnek olarak aşağıdakiler verilebilir:


  • Duqu: 2011 yılında tespit edilen Duqu zararlı yazılımının kaynak kodunda Stuxnet’ten kopyalanan bileşenler görülmektedir. Stuxnet’ten farklı olarak Duqu, bulaştığı sistemden klavye hareketlerini kayıt altına alır.

  • Flame: 2012 yılında tespit edilmiştir. Stuxnet’e benzer şekilde USB bellekleri kullanarak yayılır. Duqu ve Stuxnet’ten farklı olarak Flame oldukça gelişmiş bir casusluk zararlısıdır.

  • Triton: 2017 yılında tespit edilen Triton, Orta Doğu ülkelerinde petrokimya tesislerinin iş güvenliği sistemlerini hedef almıştır.

MITRE ATT&CK Gerçek Hayatta Ne İşimize Yarar?

  Rusya kaynaklı siber saldırılar webinarı sırasında üzerinde durduğum önemli bir çalışma vardı. MITRE ATT&CK matrisini ele alıp hangi...