Geçtiğimiz hafta iki farklı olay dikkatimizi çekti; 7 milyon İsrail vatandaşına ait bilgilerin ve 500.000 Fortinet kullanıcı bilgisinin ifşası.
Evet, daha önceki haftalarda 100 milyonları da etkileyen benzer ifşalar görüldü. Bu durumda, kullanıcı bilgilerinin ifşası ve bunun ötesinde kullanıcı parolalarının çalınması oldukça yüksek bir ihtimal gibi duruyor.
Aklımıza hemen gelebilecek soruları yanıtlayalım;
- Şirket personelinin çocuğuna oyuncak siparişi vermek için kullandığı sitedeki parolanın çalınması bizi neden ilgilendiriyor?
- Fortinet’e ne olmuş?
İnsanların davranış kalıplarını incelediğimizde ve önceki kullanıcı bilgileri ifşaları incelendiğinde, kullanıcıların aynı parolayı birden fazla yerde (kişisel e-posta, sosyal medya, alışveriş sitesi, vb.) kullandığını görüyoruz. Bu durum, password reuse (parolanın yeniden kullanılması) olarak adlandırılan saldırıların başarılı olmasına neden oluyor. Son yıllarda siber suçlular arasında popüler olan bir saldırı türünde de ifşa olan parola bilgilerinin kullanıldığını görüyoruz.
Aşağıdaki görüntünün yeşil ile işaretlenen kısmında, kurbanın kullandığı bir parola var.
Bunu, “parolanı biliyoruz çünkü bilgisayarını hackledik” olarak açıklıyorlar. Bu doğru değil, bilgisayara sızmamışlar ancak parola bilgisini ele geçirmişler.
Herhangi bir olayda kullanıcı bilgileri ve parola ifşası olduğunda, siber suçluların yaptığı birkaç şey var. Bunların başında da kullanıcının aynı parolayı başka hesaplarda kullanıp kullanmadığının kontrolü geliyor. Bu sayede, örneğin oyuncak sitesinden çalınan parola ile sosyal medya hesaplarına veya alışveriş sitesinden çalınan bir parola ile iş e-postalarına erişebiliyorlar.
Aksi kurumsal güvenlik politikalarında açıkça belirtilmedikçe ve bu konuda kullanıcı farkındalığı özel olarak artırılmadıkça, kullanıcılar bu davranışı sergilemeye devam ediyor. Bu nedenle sadece kuruluşumuzda yaşanan veri sızıntıları değil, kullanıcılarımızın farklı yerlerden çalınan parolaları da kuruluş açısından bir tehdit oluşturuyor.
Fortinet ile ne alakası var?
Siber suçlular geçtiğimiz hafta 500.000 Fortinet VPN kullanıcısına ait parolaları yayımladı. Bu parolaların 2018 yılında ortaya çıkan ve maalesef, bazı kuruluşlarda hala güncellenmemiş, CVE-2018-13379 kodlu güvenlik açığı istismar edilerek elde edildiği düşünülüyor.
Bu noktada iki küçük hatırlatma yapmakta yarar görüyorum;- Firewall ve switch gibi ağ ve güvenlik cihazları için de önemli güncellemeler yayımlanıyor. Bunların takip edilmesi ve çıktıklarında ivedilikle yapılması önemli. Bu örnekte bahsi geçen zafiyetin güncellemesinin Mayıs 2019’da yayımlandığını ve an itibariyle hala kurulmadığı sistemler olduğunu görüyoruz.
- Hayır, size bu olayı anlatan arkadaşın sattığı ürünü kullansaydınız da benzer bir olay yaşayabilirdiniz. Konu Fortinet’in diğer ürünlerden daha kötü veya daha iyi olmasıyla ilgili değil.
Bu olaya konu olana benzer kritik bir güvenlik açığı çıktığında aşağıdaki gibi bir sürecin işletilmesi önemlidir;- Güncellemelerin ivedilikle yapılması
- Zafiyetin, güncelleme yapılmadan önce istismar edildiği varsayılıp gerekli incelemelerin yapılması
- Sistem üzerindeki bütün kullanıcıların parolalarının çalındığının varsayılıp değişitirilmesi. Evet zor ama bunu yapmamak sonrasında başımızı çok ağrıtabilir.
Zafiyet çıksın veya çıkmasın; VPN, RDP, vb. dışarıya açık bütün kullanıcı girişine izin veren sistemlerde iki kademeli kimlik doğrulamasının devreye alınmasın ne kadar önemli olduğunu bir kez daha görüyoruz.
Parolalar çalınıyor! buna hazır olmalıyız.
22 Eylül günü saat 11:00'de başlayacak ve Logo Siber Güvenlik'in ev sahipliği yaptığı "CyderDays - Pandemi, Karantina ve Güvenli Çalışma Ortamı" etkiniliğinde "Pandemide nasıl Hacklendik? Şimdi Bizi Neler Bekliyor?" konulu bir sunum yapacağım. Uzaktan çalışma güvenliğinin yanında, saldırı tespiti ve bulut sistemlerin güvenliği" gibi konuları ele alacağım.
Kayıt ve ayrıntılar için bu bağlantıyı kullanabilirsiniz.