Saturday, October 2, 2021

E-nabız Hacklenmedi...

Gün içerisinde "e-nabız hacklenmiş" gibi bazı haberler görebilirsiniz. Bu haberlerde başka kamu kurumlarının adları da geçebilir.

Bana sorarsanız, herhangi bir sitenin hacklenmesi söz konusu değil ama kendi güvenliğimiz için yapmamız gerekenler var. 

 

Bu savımı desteklediğini düşündüğüm üç ipucunu ve yapılmasında fayda gördüklerimi aşağıda paylaşıyorum. 

İpucu 1:
Sitede 7 milyon e-nabız kullanıcısına ait olduğu iddia edilen bilgiler satılıyor oysa 1 aralık 2020'de e-nabız kullanıcı sayısının 27 milyonu aştığına dair haberler bulabilirsiniz. Bu tür bir "hack" olayını gerçekleştirmek için kullanılan araçlar bize "27 milyon kayıttan sadece 7 milyonunu ver" deme imkanı sunmadığı için ya veritabının tamamını almak gerekiyor veya tek tek bu kayıtlara ulaşmak lazım. 7 milyon sorguyu tek tek göndermekle uğraşmayacağı için veya uğraştıysa 7 milyonuncu kayıtta durması için bir neden olmadığı için bu SQL injetion veya admin paneli üzerinden yapılan bir iş gibi durmuyor.

İpucu 2:
Bir önceki ipucunu destekler nitelikte, e-nabız kayıtlarının satıldığı iddia edilen kayıttan 1 gün önce (aşağıda), parola hırsızlığı için kullanılan bir zararlı yazılımın Türkiye dahil kayıtlarını satan bir ilan var. 60 GB boyutunda kayıt olduğu belirtilen ilandan çok sayıda Türk vatandaşının T.C. Kimlik Numarası ve parolası elde edilmiş olabilir.



İpucu 3:
Örnekler veritabanından değil, münferit kullanıcı girişi yapılarak alınmış ekran görüntülerinden oluşuyor. Veritabanı elindeyse neden veritabanına ait herhangi bir kanıt/görüntü yok?

Sonuç:
1 Ekim'de satılan kullanıcı adı (muhtemelen T.C. Kimlik No.) ve parola ikilisini satınalan birisi bunları çeşitli kamu kurumu sitelerinde denedi ve tutturabildiklerinden bir liste oluşturdu. Olay ilgili kamu kurumlarının "hacklenmesinden" ziyade kullanıcıların farklı sitelerde aynı parolayı kullanmalarından kaynaklı bir "password reuse" (parolaların yeniden kullanılması) durumu gibi görünüyor.

Yapılacaklar:

  • Kamu sitelerinde aynı parolayı kullanıyorsanız bunu mutlaka değiştirin.
  • Farklı sitelerde farklı parolalar kullanın. Şu anda aynı parolayı kullandığınız farklı siteler varsa (gmail, twitter, facebook, vb.) bunları değiştirin.
  • Parolalarınız en az 14 karakter uzunluğunda, büyük/küçük harf, özel karakter ve rakanadan oluşsun. Büyük harf başa, özel karakter sona gelmesin. Kullandığınız kelime sözlüklte yer almasın.

Thursday, September 23, 2021

24 Eylül 2021

 



1) Exchange kullanıyorsanız:
Exchange client uygulamalarını kolay ayarlamak için kullanılan Autodiscover özelliğinin kullanıcı bilgilerini çalmak için kullanılabileceği ortaya çıktı. Konuyla ilgili olarak ayrıntılı blog yazısına https://www.guardicore.com/labs/autodiscovering-the-great-leak/ adresinden ulaşabilirsiniz.
 
Yazı çok uzun okuyacak vaktim yok” diyorsanız, aşağıdaki tedbirleri alabilirsiniz;

 
2) Türkiye’yi hedef alan oltalama saldırıları
https://www.cyjax.com/2021/09/16/emea-and-apac-governments-targeted-in-widespread-credential-harvesting-campaign/ adresinde görebileceğiniz araştırmaya göre, aralarında Türkiye’nin de bulunduğu çok sayıda ülkenin kamu kurumlarını hedef alan geniş ölçekli bir oltalama saldırısı tespit edilmiş.
 
Yazı çok uzun okuyacak vaktim yok” diyorsanız;
  • mail[.]KURUMADI[.]gov[.]tr[.]connecting-to-server[.]fail formatında alınmış alanadları listede. Bu nedenle aşağıdaki alanadlarına erişimi firewall üzerinden engellemekte fayda var.
    • webmails[.]info
    • connecting[.]fail
    • gcv[.]by
    • connecting-to-server[.]info
  • Kuruluş dışındayken saldırıya uğramış olabileceğini düşündüğünüz kullanıcılar için parola sıfırlamakta fayda olabilir.
  • Saldırının büyük ihtimalle devlet destekli olması nedeniyle, özellikle kamu kurumlarında bu konuda ayrıntılı bir tehdit avcılığı ve olay müdahalesi çalışması yapmak gerekir. Bu konuda desteğe ihtiyaç duyan bir kamu kurumu veya bu kuruluşlara destek veren bir bilişim firmasıysanız benimle iletişime geçebilirsiniz.

Wednesday, September 15, 2021

Bundan ne ders çıkar? Fortinet olayı

Geçtiğimiz hafta iki farklı olay dikkatimizi çekti; 7 milyon İsrail vatandaşına ait bilgilerin ve 500.000 Fortinet kullanıcı bilgisinin ifşası.
Evet, daha önceki haftalarda 100 milyonları da etkileyen benzer ifşalar görüldü. Bu durumda, kullanıcı bilgilerinin ifşası ve bunun ötesinde kullanıcı parolalarının çalınması oldukça yüksek bir ihtimal gibi duruyor.

Aklımıza hemen gelebilecek soruları yanıtlayalım;

  • Şirket personelinin çocuğuna oyuncak siparişi vermek için kullandığı sitedeki parolanın çalınması bizi neden ilgilendiriyor?
  • Fortinet’e ne olmuş?

İnsanların davranış kalıplarını incelediğimizde ve önceki kullanıcı bilgileri ifşaları incelendiğinde, kullanıcıların aynı parolayı birden fazla yerde (kişisel e-posta, sosyal medya, alışveriş sitesi, vb.) kullandığını görüyoruz. Bu durum, password reuse (parolanın yeniden kullanılması) olarak adlandırılan saldırıların başarılı olmasına neden oluyor. Son yıllarda siber suçlular arasında popüler olan bir saldırı türünde de ifşa olan parola bilgilerinin kullanıldığını görüyoruz.

Aşağıdaki görüntünün yeşil ile işaretlenen kısmında, kurbanın kullandığı bir parola var.


 Bunu, “parolanı biliyoruz çünkü bilgisayarını hackledik” olarak açıklıyorlar. Bu doğru değil, bilgisayara sızmamışlar ancak parola bilgisini ele geçirmişler.
Herhangi bir olayda kullanıcı bilgileri ve parola ifşası olduğunda, siber suçluların yaptığı birkaç şey var. Bunların başında da kullanıcının aynı parolayı başka hesaplarda kullanıp kullanmadığının kontrolü geliyor. Bu sayede, örneğin oyuncak sitesinden çalınan parola ile sosyal medya hesaplarına veya alışveriş sitesinden çalınan bir parola ile iş e-postalarına erişebiliyorlar.
Aksi kurumsal güvenlik politikalarında açıkça belirtilmedikçe ve bu konuda kullanıcı farkındalığı özel olarak artırılmadıkça, kullanıcılar bu davranışı sergilemeye devam ediyor. Bu nedenle sadece kuruluşumuzda yaşanan veri sızıntıları değil, kullanıcılarımızın farklı yerlerden çalınan parolaları da kuruluş açısından bir tehdit oluşturuyor.
 
Fortinet ile ne alakası var?
Siber suçlular geçtiğimiz hafta 500.000 Fortinet VPN kullanıcısına ait parolaları yayımladı. Bu parolaların 2018 yılında ortaya çıkan ve maalesef, bazı kuruluşlarda hala güncellenmemiş, CVE-2018-13379 kodlu güvenlik açığı istismar edilerek elde edildiği düşünülüyor.
Bu noktada iki küçük hatırlatma yapmakta yarar görüyorum;

  1. Firewall ve switch gibi ağ ve güvenlik cihazları için de önemli güncellemeler yayımlanıyor. Bunların takip edilmesi ve çıktıklarında ivedilikle yapılması önemli. Bu örnekte bahsi geçen zafiyetin güncellemesinin Mayıs 2019’da yayımlandığını ve an itibariyle hala kurulmadığı sistemler olduğunu görüyoruz.
  2. Hayır, size bu olayı anlatan arkadaşın sattığı ürünü kullansaydınız da benzer bir olay yaşayabilirdiniz. Konu Fortinet’in diğer ürünlerden daha kötü veya daha iyi olmasıyla ilgili değil.
Bu olaya konu olana benzer kritik bir güvenlik açığı çıktığında aşağıdaki gibi bir sürecin işletilmesi önemlidir;
  1. Güncellemelerin ivedilikle yapılması
  2. Zafiyetin, güncelleme yapılmadan önce istismar edildiği varsayılıp gerekli incelemelerin yapılması
  3. Sistem üzerindeki bütün kullanıcıların parolalarının çalındığının varsayılıp değişitirilmesi. Evet zor ama bunu yapmamak sonrasında başımızı çok ağrıtabilir.

Zafiyet çıksın veya çıkmasın; VPN, RDP, vb. dışarıya açık bütün kullanıcı girişine izin veren sistemlerde iki kademeli kimlik doğrulamasının devreye alınmasın ne kadar önemli olduğunu bir kez daha görüyoruz.

Parolalar çalınıyor! buna hazır olmalıyız.

22 Eylül günü saat 11:00'de başlayacak ve Logo Siber Güvenlik'in ev sahipliği yaptığı "CyderDays - Pandemi, Karantina ve Güvenli Çalışma Ortamı" etkiniliğinde "Pandemide nasıl Hacklendik? Şimdi Bizi Neler Bekliyor?" konulu bir sunum yapacağım. Uzaktan çalışma güvenliğinin yanında, saldırı tespiti ve bulut sistemlerin güvenliği" gibi konuları ele alacağım.
Kayıt ve ayrıntılar için bu bağlantıyı kullanabilirsiniz.


 

Monday, August 23, 2021

Windows'da sistemi ele geçirmek: Mouse takacak daaa...

Siber güvenliğin bir "kedi fare oyunu" olduğu sıkça söylenir. Yakın zamanda duyurulan bir zafiyet, ister istemez bu söz hatırlattı. Razer marka mouseların kurulum yazılımında, herhangi bir kullanıcının bu marka bir mouse takarak Windows sistemlerde yönetici yetkileri elde etmesini sağlayan bir zafiyet ortaya çıktı.
 
Normal şartlar altında bu zafiyet oldukça özel durumların bir araya gelmesinden ortaya çıktığı düşünülebilir. “Razer marka mouse alacak daaa… Getirip takacak daaaa… ölme eşeğim ölme...”. İlk bakışta böyle görülse de bu zafiyete neden olan şey, sızma testlerinde yetki yükseltme konusunda sıkça karşılaştığımız bir durumun yaşanmasından ibaret.
 
Windows yetkileri hakkında iki konu
Bu zafiyetin nasıl ortaya çıktığını anlamak için Windows işletim sisteminin yetkileri konusunda iki temel hatırlatma yapmakta fayda var.

  1. Windows işletim sistemlerinde SYSTEM yetkileri herhangi bir kullanıcının sahip olabileceği en üst seviyedeki yetkidir. Kuruluş personeli genellikle daha az yetkiye sahip kullanıcılar ile çalışır.
  2. Windows üzerinde başlatılan herhangi bir process (uygulama, servis, vb.) kendisini başlatan process’in yetkilerine sahip olur.

Güvenlik mimarisi açısından kullanıcı yetkileri başlı başına dikkat edilmesi ve yakından izlenmesi gereken bir konudur. Bu yazıda bütün ayrıntılarına girmek ne yazık ki mümkün olmayacak ama kuruluş bünyesinde hangi kullanıcının hangi yetkilere sahip olduğunun gözden geçirilmesinde her zaman fayda vardır.
 
Zafiyet nasıl ortaya çıkıyor?
Özetle; SYSTEM yetkileriyle çalışan RazerInstaller.exe uygulamasına müdahale edilip bunun üzerinden bir komut satırı başlatılıyor. Durumun yetki yükseltme zafiyetine neden olmasını sağlayan nokta ise bu uygulamanın herhangi bir kullanıcı tarafından başlatılabiliyor olması.
 
Aşağıdaki ekran görüntüsünden anlaşılabileceği gibi, herhangi bir kullanıcı tarafından açılan RazerInstaller.exe uygulaması NT AUTHORITY\SYSTEM kullanıcısı ile çalışmaktadır.


 

Düşük yetkilere sahip kullanıcıların daha yüksek yetkilere sahip uygulamaları başlatabilmesi alışılmadık bir durum değildir. Bunu gerektirecek pek çok uygulama ve durum ortaya çıkabilir. Sorun, bu düşük yetkili kullanıcıların bu uygulamanın işleyişine müdahale etmesinden kaynaklanıyor.
Aşağıdaki ekran görüntüsünden anlaşılabileceği gibi, uygulamanın kurulacağı dizin seçilirken PowerShell komut satırı başlatma seçeneği mevcuttur (“Open PowerShell window here”).

 

Tam bu noktada açılan PowerShell komut satırı, RazerInstaller.exe’nin yetkilerini kullanarak SYSTEM yetkisiyle çalışır.
 
Sizi Nasıl Etkileyebilir?
Aşağıdaki örnek laboratuvar ortamında oluşturulmuştur. Amacımız bu zafiyetin ortaya çıkış nedenleri ve nasıl istismar edilebileceği konusunda biraz daha bilgi vermektir.
Bu senaryo ekibimizin sızma testleri sırasında sıkça karşılaştığı bir durumu neredeyse aynen yansıtmaktadır. Kuruluşunuz bünyesinde, servis adları farklılık gösterse bile bu zafiyetin bir benzerine rastlanması mümkündür.
 
Aşağıda görüldüğü gibi, hedef makineye sıradan bir kullanıcı ile bağlıyız (user).

 

Hedef alacağımız servis olan daclsvc üzerinde SERVICE_START (başlatma) ve SERVICE_STOP (durdurma) yetkilerine sahibiz.

 


Bu servisin ayrıntılarına (aşağıda) baktığımızda ise iki nokta dikkatimizi çekiyor;

  1. SYSTEM yetkileriyle çalışıyor (SERVICE_START_NAME: LocalSystem)
  2. Uygulama C:\Program Files\DACL Service\daclservice.exe konumundan çalışıyor


 

Bu durumda uygulamanın çalıştığı değiştirip isteyeceğimiz herhangi bir uygulamayı SYSTEM yetkileriyle çalıştırmamız mümkün olabilir.
 
Bunun için, aşağıda görüldüğ gibi, daclservice.exe yerine kendi oluşturduğumuz bir arkakapı olan ters.exe uygulamanı belirliyoruz:

 

 

Bundan sonraki adımda, “net start daclsvc” komutu ile servisi yeniden başlatıyoruz (aşağıdaki ekran görüntüsünde “1” ile işaretlenmiş alan) ve saldırı için kullandığımız sisteme (ekran görüntüsünde “2” ile işaretlenmiş alan) SYSTEM yetkilerine sahip bir ters bağlantı geliyor.

 


Razer mouse'lardaki bu sorunu tespit eden ve duyuran Twitter hesabı: https://twitter.com/j0nh4t
 

 

Monday, April 5, 2021

Yemek sitesinden hacklenen verilerle ne yapılır?


 

Olayın nasıl geliştiği aşağıda paylaştığım bildirimde anlatılmış. İşin teknik yönü düşünüldüğünde, bu olayın herhangi bir sitede yaşanması son derece muhtemel. O nedenle “şunu yapsalardı”, “bunu alsalardı” söylemleri ajitasyondan başka bir şey değildir, inanmayınız.

Çalınan veriler nasıl kullanılabilir?

21 milyon kişinin etkilendiği bu olaya ait verilerin hepimizi hedef almak için kullanılması muhtemel. Aklıma ilk gelen kullanım biçimlerini listeledim. Bunlara karşı dikkatli olmamızda ve çevremizi uyarmamızda fayda var;

Sosyal mühendislik

Son yıllarda belirli aralıklarla gördüğümüz “elimizde porno izlerken çekilmiş görüntüler var” şantaj maillerine yani bir dalga eklenmesi muhtemel. Ellerindeki ev ve IP adresi bilgileri de bu e-postalara ekleyerek de inandırıcılığını artırmaya çalışabilirler. Şantaj e-postaları yaygın görülür ve genellikle sadece blöften ibarettir. Size gelen e-postanın ekinde kanıt niteliğinde görüntüler olmadığı sürece dert edilecek bir şey değil. (önceki şantaj maillerine ilişkin haberi buradan okuyabilirsiniz.)


Dolandırıcılık

Kapınız çalar… “Size bir kargo olduğu söylenir. Yalnız kargo karşı ödemeli gönderilmiştir ve sizin 10-20 lira ödemeniz gerekmektedir.” veya “yan komşunuzun kapıda ödemeli bir siparişi vardır ancak evde değildir.” Bu ve benzeri senaryolarla kapıya gelenlerin kimliklerini teyit edin. Kargo şirketine “şubeden teslim alacağım” diyebilirsiniz. Kapıda ödemeli siparişi siz verdiyseniz veya hatırlamıyorsanız kabul etmeyin. Bu konuda yaşça büyük ve küçük olanları uyarmak önemli.

Bilgilerin satılması

Bilgilerimiz satılacak, bunu biliyoruz. Genellikle satışlar toptan olarak (eldeki bütün verinin tek seferde satılması) veya kontrollü olarak (bilgiler teyit edildikten sonra) yapılır. Teyit aşamasında önce parolanın açık hali bulmaya çalışılır (yeri gelmişken; basit veya parola listelerinde bulunan bir parola kullanıldıysa SHA-256 herhangi bir koruma sağlamaz). Bulunduktan sonra da e-posta ve sosyal medya hizmetlerinde bu e-posta adresi ve parola eşleşmesi kontrol edilir ve geçerli hesap bilgileri satılır. Hatırlarsınız, geçen yıl 500.000 Zoom kullanıcısının bilgileri bu şekilde bulunup satılmıştı.  
 
Özetle; bu olay herhangi bir sitede yaşanabilir ve yaşanacak. Bu nedenle konuyu ilgili site özelinde tartışmak yerine olayın etkilerinin ne olabileceğini derlemeye çalıştım. Bizim yapmamız gerekenler;

  • Parolamızı değiştirelim
  • Aynı parolayı kullandığımız başka siteler varsa buralarda da değiştirelim
  • Tahmin edilmesi zor güçlü parolalar kullanalım. Güçlü parola; en az 14 karakter, 1 özel karakter, 1 rakam ve 1 büyük harften oluşmalıdır. Kişisel ricamdır; büyük harfi parolanın başında, özel karakteri sonunda (özellikle ! veya . ise) ve rakamları da özel karakterden hemen önce kullanmayın.

İlgili duyuruyu https://www.kvkk.gov.tr/Icerik/6936/Kamuoyu-Duyurusu-Veri-Ihlali-Bildirimi-Yemek-Sepeti-Elektronik-Iletisim-Perakende-Gida-Lojistik-AS adresinden okuyabilirsiniz.

10’a yakın firmadan “benzer bir şey başımıza gelir mi?” sorusu geldi. Bunlara yönelik; sızma testi ve mevcut güvenlik çözümlerinin etkinliği test ettiğimiz bir hizmet paketi oluşturduk. Benzer bir endişeniz varsa bunun ayrıntılarını da ayrıca konuşabiliriz.  Bana alper@sparta.com.tr mail adresimden ulaşabilirsiniz.

Wednesday, March 3, 2021

Microsoft Exchange Güncellemelerini Unutmayın

 Microsoft’un, Exchange Server 2013, Exchange Server 2016 ve Exchange Server 2019 sunucuları için yayımladığı güncelleme çok kritik bir güvenlik açığını gideriyordu.



Bu zafiyetin aktif olarak ve geniş ölçekte istismar edildiği haberleri yağmaya başladı. Tam olmasa bile WannaCry zamanında karşılaştığımıza yakın bir durumla karşı karşıya kalabiliriz, elbette bunu zaman gösterecek.

2 gün önce Microsoft’un yayımladığı güncelleme sonrasında gelen bilgiler, bu zafiyetin ağırlıklı olarak Çin kökenli siber saldırılarda ve A.B.D. kurumlarını hedef almak için kullanıldığı yönündeydi. Ancak son dönemdeki veri akışına bakarak bu zafiyetin daha düşük seviyeli siber saldırgan grupları tarafından da kullanılmaya başlandığına dair ciddi ipuçları barındırıyor.

Acil olarak yapılması gereken:
Exchange sunucunuzu güncelleyin. Hafta sonunu beklemeyin, kullanıcıların yoğun olmadığı bir zaman dilimini beklemeyin, size destek veren firmanın planlı ziyaretini beklemeyin, derhal güncelleyin. Bu tür durumlarda sorunu ve riskleri üst yönetime anlatmak konusunda sizlere yardımcı olduğumuzu hatırlatmak isterim, uzman görüşü istenirse ücretsiz bir Zoom görüşmesi ayarlayabiliriz. Saldırılarda istismar edilen açıklar ve güncellemelerle ilgili bilgilere https://msrc-blog.microsoft.com/2021/03/02/multiple-security-updates-released-for-exchange-server/ adresinden ulaşabilirsiniz.

Herhangi bir nedenle güncelleme yapamıyorsanız, Exchange sunucusunu ağdan ayırmak ve port 443’e gelen bağlantıların sadece VPN üzerinden yapılmasını sağlamak geçici tedbirler olabilir. Söz konusu saldırının başarılı olması için, saldırganların birkaç adım atması gerekiyor ve bu adımların ilki Exchange sunucusunun port 443’üne erişim gerektiriyor. Bu portun internete açık olmaması size güncellemeyi yapacak zaman kazandırabilir.

Acil olarak kontrol edilmesi gerekenler:
A.B.D. Siber Güvenlik ve Altyapı Güvenliği Kurumunun konuyla ilgili yayımladığı uyarıda, bu zafiyeti istismar etmeye çalışanların sunucuya gönderdikleri istekler belirtilmiş. Kuruluşunuza gelen bağlantı loglarında bunları görüyorsanız sisteminizdeki zafiyet istismar edilmiş ve birileri ağınıza sızmış olabilir. Bu durumda tehdit avcılığı ve olay müdahale süreçlerinin devreye alınıp, saldırının gerçek boyutlarının ortaya çıkartılması gerekiyor. Kontrol edilmesi gerekenleri https://us-cert.cisa.gov/ncas/alerts/aa21-062a adresinde “Tactics, Techniques and Procedures” başlığı altında bulabilirsiniz.

MITRE ATT&CK Gerçek Hayatta Ne İşimize Yarar?

  Rusya kaynaklı siber saldırılar webinarı sırasında üzerinde durduğum önemli bir çalışma vardı. MITRE ATT&CK matrisini ele alıp hangi...