Thursday, September 23, 2021

24 Eylül 2021

 



1) Exchange kullanıyorsanız:
Exchange client uygulamalarını kolay ayarlamak için kullanılan Autodiscover özelliğinin kullanıcı bilgilerini çalmak için kullanılabileceği ortaya çıktı. Konuyla ilgili olarak ayrıntılı blog yazısına https://www.guardicore.com/labs/autodiscovering-the-great-leak/ adresinden ulaşabilirsiniz.
 
Yazı çok uzun okuyacak vaktim yok” diyorsanız, aşağıdaki tedbirleri alabilirsiniz;

 
2) Türkiye’yi hedef alan oltalama saldırıları
https://www.cyjax.com/2021/09/16/emea-and-apac-governments-targeted-in-widespread-credential-harvesting-campaign/ adresinde görebileceğiniz araştırmaya göre, aralarında Türkiye’nin de bulunduğu çok sayıda ülkenin kamu kurumlarını hedef alan geniş ölçekli bir oltalama saldırısı tespit edilmiş.
 
Yazı çok uzun okuyacak vaktim yok” diyorsanız;
  • mail[.]KURUMADI[.]gov[.]tr[.]connecting-to-server[.]fail formatında alınmış alanadları listede. Bu nedenle aşağıdaki alanadlarına erişimi firewall üzerinden engellemekte fayda var.
    • webmails[.]info
    • connecting[.]fail
    • gcv[.]by
    • connecting-to-server[.]info
  • Kuruluş dışındayken saldırıya uğramış olabileceğini düşündüğünüz kullanıcılar için parola sıfırlamakta fayda olabilir.
  • Saldırının büyük ihtimalle devlet destekli olması nedeniyle, özellikle kamu kurumlarında bu konuda ayrıntılı bir tehdit avcılığı ve olay müdahalesi çalışması yapmak gerekir. Bu konuda desteğe ihtiyaç duyan bir kamu kurumu veya bu kuruluşlara destek veren bir bilişim firmasıysanız benimle iletişime geçebilirsiniz.

Wednesday, September 15, 2021

Bundan ne ders çıkar? Fortinet olayı

Geçtiğimiz hafta iki farklı olay dikkatimizi çekti; 7 milyon İsrail vatandaşına ait bilgilerin ve 500.000 Fortinet kullanıcı bilgisinin ifşası.
Evet, daha önceki haftalarda 100 milyonları da etkileyen benzer ifşalar görüldü. Bu durumda, kullanıcı bilgilerinin ifşası ve bunun ötesinde kullanıcı parolalarının çalınması oldukça yüksek bir ihtimal gibi duruyor.

Aklımıza hemen gelebilecek soruları yanıtlayalım;

  • Şirket personelinin çocuğuna oyuncak siparişi vermek için kullandığı sitedeki parolanın çalınması bizi neden ilgilendiriyor?
  • Fortinet’e ne olmuş?

İnsanların davranış kalıplarını incelediğimizde ve önceki kullanıcı bilgileri ifşaları incelendiğinde, kullanıcıların aynı parolayı birden fazla yerde (kişisel e-posta, sosyal medya, alışveriş sitesi, vb.) kullandığını görüyoruz. Bu durum, password reuse (parolanın yeniden kullanılması) olarak adlandırılan saldırıların başarılı olmasına neden oluyor. Son yıllarda siber suçlular arasında popüler olan bir saldırı türünde de ifşa olan parola bilgilerinin kullanıldığını görüyoruz.

Aşağıdaki görüntünün yeşil ile işaretlenen kısmında, kurbanın kullandığı bir parola var.


 Bunu, “parolanı biliyoruz çünkü bilgisayarını hackledik” olarak açıklıyorlar. Bu doğru değil, bilgisayara sızmamışlar ancak parola bilgisini ele geçirmişler.
Herhangi bir olayda kullanıcı bilgileri ve parola ifşası olduğunda, siber suçluların yaptığı birkaç şey var. Bunların başında da kullanıcının aynı parolayı başka hesaplarda kullanıp kullanmadığının kontrolü geliyor. Bu sayede, örneğin oyuncak sitesinden çalınan parola ile sosyal medya hesaplarına veya alışveriş sitesinden çalınan bir parola ile iş e-postalarına erişebiliyorlar.
Aksi kurumsal güvenlik politikalarında açıkça belirtilmedikçe ve bu konuda kullanıcı farkındalığı özel olarak artırılmadıkça, kullanıcılar bu davranışı sergilemeye devam ediyor. Bu nedenle sadece kuruluşumuzda yaşanan veri sızıntıları değil, kullanıcılarımızın farklı yerlerden çalınan parolaları da kuruluş açısından bir tehdit oluşturuyor.
 
Fortinet ile ne alakası var?
Siber suçlular geçtiğimiz hafta 500.000 Fortinet VPN kullanıcısına ait parolaları yayımladı. Bu parolaların 2018 yılında ortaya çıkan ve maalesef, bazı kuruluşlarda hala güncellenmemiş, CVE-2018-13379 kodlu güvenlik açığı istismar edilerek elde edildiği düşünülüyor.
Bu noktada iki küçük hatırlatma yapmakta yarar görüyorum;

  1. Firewall ve switch gibi ağ ve güvenlik cihazları için de önemli güncellemeler yayımlanıyor. Bunların takip edilmesi ve çıktıklarında ivedilikle yapılması önemli. Bu örnekte bahsi geçen zafiyetin güncellemesinin Mayıs 2019’da yayımlandığını ve an itibariyle hala kurulmadığı sistemler olduğunu görüyoruz.
  2. Hayır, size bu olayı anlatan arkadaşın sattığı ürünü kullansaydınız da benzer bir olay yaşayabilirdiniz. Konu Fortinet’in diğer ürünlerden daha kötü veya daha iyi olmasıyla ilgili değil.
Bu olaya konu olana benzer kritik bir güvenlik açığı çıktığında aşağıdaki gibi bir sürecin işletilmesi önemlidir;
  1. Güncellemelerin ivedilikle yapılması
  2. Zafiyetin, güncelleme yapılmadan önce istismar edildiği varsayılıp gerekli incelemelerin yapılması
  3. Sistem üzerindeki bütün kullanıcıların parolalarının çalındığının varsayılıp değişitirilmesi. Evet zor ama bunu yapmamak sonrasında başımızı çok ağrıtabilir.

Zafiyet çıksın veya çıkmasın; VPN, RDP, vb. dışarıya açık bütün kullanıcı girişine izin veren sistemlerde iki kademeli kimlik doğrulamasının devreye alınmasın ne kadar önemli olduğunu bir kez daha görüyoruz.

Parolalar çalınıyor! buna hazır olmalıyız.

22 Eylül günü saat 11:00'de başlayacak ve Logo Siber Güvenlik'in ev sahipliği yaptığı "CyderDays - Pandemi, Karantina ve Güvenli Çalışma Ortamı" etkiniliğinde "Pandemide nasıl Hacklendik? Şimdi Bizi Neler Bekliyor?" konulu bir sunum yapacağım. Uzaktan çalışma güvenliğinin yanında, saldırı tespiti ve bulut sistemlerin güvenliği" gibi konuları ele alacağım.
Kayıt ve ayrıntılar için bu bağlantıyı kullanabilirsiniz.


 

MITRE ATT&CK Gerçek Hayatta Ne İşimize Yarar?

  Rusya kaynaklı siber saldırılar webinarı sırasında üzerinde durduğum önemli bir çalışma vardı. MITRE ATT&CK matrisini ele alıp hangi...