Tuesday, January 8, 2013

Telekom, medya ve teknoloji firmaları araştırması


Deloitte tarafından yapılan ve teknoloji, medya ve telekomünikasyon alanlarında faaliyet gösteren firmaların bilgi güvenliği uygulamalarının konu alındığı araştırmanın sonuçları yayınlandı.

Araştırmanın sonuçlarına göre firmaların %88’i siber tehditlere karşı güvende olduklarını düşünüyor. Firmaların %68’ı karşı karşıya oldukları siber riskleri anladıklarını düşünüyor ve firmaların %62’si siber tehditlere karşı önlem aldıklarını düşünüyor.

Araştırma sonuçlarının çarpıcı kısmı ise bundan sonra ortaya çıkıyor.

Firmaların %59’u son 12 ayda başarıya ulaşan bir saldırıyla karşılaştıklarını kabul ediyor. Başarıya ulaşan saldırıların %30’u düşük etkili, %58’i orta düzeyde etkili ve %12’si çok etkili olarak sınıflandırılabilir.

Firmalar tarafından en etkili olarak görülen tehditler ise %74 ile üçüncü taraflarca yapılan saldırılar, %73 ile DoS (hizmet engelleme) saldırıları ve çalışan hatası veya eksiği olarak sıralanabilir. Sektör bazında ise tehditler teknoloji firmaları tarafından APT (Advanced Persistence Threat), medya şirketlerince hacktivizm saldırıları (Anonymous benzeri belli bir politik veya ideolojik amaca hizmet eden saldırılar) ve telekomünikasyon şirketleri tarafından ise DoS saldırıları gösterilmektedir.

Firma büyüklüklerinin de tehdit algılama şeklini de etkilediği bu araştırmayla ortaya konulmuştur. Sonuçlara göre 10,000 çalışan ve fazlasına sahip firmalar tehditleri üçüncü taraflarca yapılan saldırılar, APT ve hacktivizm olarak sıralıyor. 10,000 çalışandan aza sahip firmalar ise tehditleri; çalışan hatası, DoS ve üçüncü taraflarca yapılan saldırılar şeklinde sıralıyor.

Araştırma sonucunda ise firmaların %50’sinin saldırılara karşı hazır bir hareket planı olduğunu, %48’inin çalışanlarına genel güvenlik amaçlı eğitim verdiklerini ve %49’unun bilgi güvenliği konusunda bütçe kesintilerinin veya eksiklerinin önemli bir engel oluşturduğunu söylemiş.

Ele alınan sektörler itibariyle rakamların ülkemiz için çok farklı olmadığını varsayıyorum. Ne de olsa bizde de bir telekom sektöründeki bir firmanın canı DoS saldırısı ile yanacaktır. Bütçe konusunda ise ne yazık ki güvenlik yatrımlarının kaderinin pek değişmediğini görüyoruz. 

Bu araştırmadan çıkartılması gereken en önemli sonuçlardan birisi de firmaların genel olarak güvenlik seviyeleri konusunda kendilerine fazla güvendiklerinin teyit edilmiş olmasıdır. 
at No comments:
Labels: , , ,

Saturday, January 5, 2013

Derin İnternet


Deepnet, underweb veya hidden web olarak da bilinen, Türkçeye “derin internet” olarak da çevirebileceğimiz (derin devlet gibi oldu) bu yapı, internetin arama motorları tarafından endekslenmeyen kısmıdır.

McAfee Şili’de araştırmacı olarak çalışan Alfonso A. Kejaya Muñoz derin internetin; internette yayınlanan ama teknik nedenlerden dolayı arama motorlarınca endekslenmeyen çok miktarda veriden oluştuğunu belirtiyor. Araştırmacı, derin internetin toplam internetin %90’nını oluşturabileceğini söylüyor.

Derin internette neler var?
Derin internet tanımını ilk defa duyanların aklına ilk gelen soruyu hemen yanıtlayayım: 
Aklınıza ne geliyorsa.

Derinlerde çevrilen işlere bazı örnekler şunlar olacaktır;
  • Uyuşturucu madde satışı
  • Silah satışı
  • Çocuk pornosu
  • Hassas bilgilerin sızdırılması
  • Para aklama örgütleri
  • Telif hakkı ihlali yapanlar
  • Kredi kartı ve kimlik bilgilerinin paylaşımı ve satışı


Derin internette Bitcoin ile silah satışı yapan bir site (Kaynak: Gizmodo)


Bu sayfaları saklamak için öncelikle arama motorlarınca endekslenmelerini önleyen suçlular daha sonra çeşitli yöntemlerle bu sitelere “müşterilerinin” ulaşmalarını sağlamaktalar. 
Bu yöntemler arasında;
  • Site içi arama kutucuğunda “parola” olarak kullanılan belirli bir sözcüğün aranmasıyla sayfanın getirilmesi
  • Sayfanın kodu içerisine “yorum” olarak mesaj eklemek. Böylece mesaj sayfa normal şekilde görüntülendiğinde görülmez, kaynak kod incelendiğinde ortaya çıkar. Mesajı şifrelemek ikinci bir saklama katmanı olabilir. Sayfanın kaynak koduna bakarsanız tam bu satırın altında www.portakalagaci.com'dan alınmış bir etli kurufasülye tarifini bulabilirsiniz. 
  • Link verilmeden bir alt domain oluşturmak
  • HTTP başlıklarını kullanarak sitenin farklı sürümlerini yayınlamak
  • İnternete yüklenen ama hiç bir sayfada kullanılmayan resimler

Yasadışı işleri çevirenler dışında derin interneti oluşturan diğer unsurlar oldukça masumdur. 
Wikipedia derin internet bileşenlerini aşağıdaki sınıflara ayırmaktadır.

Dinamik içerik: Bir arama veya form sonucunda oluşturulup kullanıcıya sunulan sayfalar. Formlarda sadece metin girilen alanlar olması sitenin yapısı hakkında bilginiz olmadan sitenin içeriğini tam olarak görüntülemenizi zorlaştırmaktadır.

Link verilmeyen sayfalar: Başka bir yerden bağlantısı olmayan siteleri arama motorları bulmakta zorlanabilir. Bu nedenle arama motorları tarafından endekslenmiyor olabilir.
Erişim şekline göre değişen siteler: Erişim için kullanılan IP adresine veya gelmek için kullanılan bağlantıya göre değişen siteler.

Erişimin teknik olarak sınırlandırıldığı siteler/sayfalar: Arama motoru robotlarının veri almasını engelleyen, giriş için CAPTCHA kullanan sayfalar veya HTTP başlığı ile cache işlemini engelleyen siteler.

Script ile oluşturulan sayfalar: Javascript gibi bir betik dili kullanılarak oluşturulan sayfalar.

Farklı dosya uzantıları: Arama motorları tarafından endekslenmeyen dosya türlerinden oluşan sayfalar.

Farklı protokoller: FTP gibi HTTP veya HTTPS dışında bir protokol kullanan sayfalar.

Kıyıda köşede kalmış ve genellikle sistemler tarafından oluşturulan çok anlamlı olmayan siteler dışında kalan derin internet mutlaka uzak durulması gereken bir yapıdır. 
Burada safça “benim çocuk pornosuyla ne işim olur?” diye düşünüyor olabilirsiniz ama başkalarının sizin sistemlerinizi (laptop, sunucu, tablet bilgisayar, vs.) bu tür şeylere kimliğini gizleyerek ulaşmak için kullanabilir.

Evdeki sistemleriniz üzerinden bu tür "insanlara" "hizmet" (insan demeye dilim varmadığı için tırnak içine aldım) vermemek için alınabilecek bazı tedbirler şunlardır;
  • Lisanslı işletim sistemi kullanmak
  • İşletim sistemini güncel tutmak
  • Anti-virüs kullanmak
  • Anti-virüsü güncellemek


Şirket ağında ise bunlara ek olarak şirketten çıkan internet trafiğini incelemek faydalı olacaktır.
Derin internetin yasadışı tarafına erişmek için proxyler veya TOR gibi ağlar kullanılmaktadır. Şirket ağında TOR benzeri ağlara üye makinelerin bulunması için çıkan internet trafiğinin incelenmesi faydalı olacaktır. Bu çalışma aynı zamanda botnet üyesi veya üzerinde malware bulunan makinelerin de tespit edilmesini sağlayacaktır. 
at No comments:
Labels: , , ,

Eurograbber: 36 milyon Euro çalan malware

Geçtiğimiz aylarda Avrupa genelinde yaklaşık 30.000 internet bankacılığı hizmeti kullanıcısını hedef alan bir zararlı yazılımın 36 milyon Euro’nun üzerinde bir kayba yol açtığı tahmin edilmektedir.
Saldırının Cinsi
Eurograbber olarak adlandırılan saldırı gelişmiş, çok kademeli ve hedefe özel olarak sınıflandırılabilir. Günümüzün en tehlikeli saldırı türlerinden biri olarak kabul edilen ve APT (Advanced Persistent Threat) olarak adlandırılan saldırı türünün bir çeşididir. Eurograbber kurbanın hem bilgisayarına hem de cep telefonuna yerleştiği için bankalar tarafından kullanılan 2 kademeli kimlik doğrulama yöntemini geçersiz kılabilmektedir.


Saldırının anatomisi
İlk Aşama
Kullanıcının bilgisayarına “Zeus” adıyla bilinen bir Truva Atı yerleşiyor. Gelen bir “phishing” veya spam mailindeki bir bağlantıya tıklayarak bulaşabileceği gibi Zeus internet sayfalarını ziyaret edenlere de bulaşabilmektedir. 

İkinci Aşama
Zeus kurbanın işlem yapmak için bir banka sitesine bağlanmasını bekliyor. Bankanın sayfasını ziyaret eden kurbanın internet tarayıcısına javascript kodu gönderen Zeus bir “güvenlik seviyesi arttırma” sayfasının çıkmasını sağlıyor.




Üçüncü Aşama
Eurograbber edindiği telefon numarasını komuta merkezine gönderiyor.

Dördüncü Aşama
Ele geçirilen telefon numarasına kurbanın biraz önce başlattığını düşündüğü “güvenlik seviyesi arttırımı” sürecinin tamamlanması için gerekli bir SMS gönderiliyor. SMS içerisinde bulunan internet bağlantısının tıklanması Eurograbber’ın mobil sürümünün indirilmesine neden oluyor. Aşağıdaki resimde Android ve Blackberry kullanıcılarına gönderilen iki farklı mesajın ekran görüntüsü mevcuttur.



Beşinci Aşama
Cep telefonuna gönderilen SMS ile eşzamanlı olarak kurbanın bilgisayarında “Ücretsiz şifreleme uygulaması için kullanacağınız indirme bağlantısı SMS ile tarafınıza gönderilmiştir. Uygulama kurulduktan sonra telefonunuzun ekranında beliren şifreyi aşağıdaki kutuya yazın” uyarısı belirmektedir.



Altıncı Aşama
Zararlı yazılım kurulduktan sonra kurbanın telefonunun ekranında ve kullanılan dile uygun olarak bir mesaj beliriyor.



Böylece kurbanın bilgisayarına ve cep telefonuna zararlı yazılım kurulmuş oluyor.

Paranın çalınması
Yukarıda anlatılan zararlı yazılımların kurulmasından sonra saldırganlar kurbanın parasını çalabilecek hale gelmektedir. Para transfer işlemi aşağıdaki beş adımda gerçekleşmektedir.

Birinci Adım
Kurbanın banka sitesine bağlanması üzerine zararlı yazılım çalışmaya başlamaktadır.

İkinci Adım
Saldırganlar tarafından belirlenmiş bir banka hesabına para transferinin yapılması için gerekli istek bankaya gönderilir.

Üçüncü Adım
Para transfer işleminin tamamlanabilmesi için banka tarafından kurbanın telefonuna gönderilen şifre mesajı telefonda bulunan zararlı yazılım tarafından yakalanır. Kurban kendisine bir SMS geldiğini bile fark etmez.

Dördüncü Adım
Bankadan gelen SMS saldırganların kullandığı bir telefon numarasına iletilir. Bu mesajda bulunan şifre daha sonra saldırganların kurbanın bilgisayarındaki zararlı yazılımı yönetmek için kullandıkları komuta sunucusuna iletilir.

Beşinci Adım
Ele geçirilen işlem onay şifresi bankaya kurbanın bilgisayarı üzerinden iletilir ve işlem tamamlanır. Bu işlemler sırasında kurbanın ekranında hiçbir şey görülmemektedir. 
Bu işlem kurban bankanın sitesine her bağlandığında tekrarlanır.

Savunma Teknikleri

Aşağıdaki uygulamaların hayata geçirilmesi benzer bir olayı büyük ölçüde engelleyecektir:

Güvenlik Çözümlerinin Güncel Tutulması
Bu saldırıda kullanılan Zeus adlı zararlı yazılım ilk kez 2007 yılında tespit edilmiştir 2010 yılından beri belli başlı güvenlik çözümlerinin imza tabanlarında mevcuttur. Bu nedenle güncellemeleri yapılan güvenlik çözümlerinin bu tür zararlı yazılımları kurum ağına girişte yakalaması mümkündür.

Anti-Spam Çözümlerinin Kullanılması
Zeus’un yayılmak için kullandığı başlıca yöntem phishing ve spam mailleridir. Phishing mailleri bir bankadan veya kamu kurumundan gelmiş gibi görünen ama saldırganlar tarafından kurbanı belli bir sayfaya yönlendirmek için kullanılan epostalardır. Phishing dışında spam mailleri de zararlı yazılımları yaymak için kullanılmaktadır. Kurumda güncel bir anti-spam çözümünün olması bu tür epostaların kullanıcılara ulaşmasını engeller.

URL Filtreleme Çözümlerinin Kullanılması
Zeus adlı zararlı yazılım kendini “drive by download” olarak da adlandırılan bir yöntemle de bulaştırabilmektedir. Bunun için kurbanın zararlı yazılımın olduğu siteyi ziyaret etmesi yeterlidir, herhangi bir dosyayı yüklemesine veya açmasına gerek yoktur. URL filtreleme çözümleri zararlı yazılımların bulunduğu siteleri engelleyebilmektedir.

Sistemlerin Güncellenmesi
İşletim sistemlerinin güncel tutulması önemlidir. Günümüz saldırılarına baktığımızda işletim sistemi kadar kullanılan diğer yazılımların da güncel tutulması gerektiğini görüyoruz. Adobe Reader, Adobe Flash, gibi yazılımların yanında internet tarayıcısı gibi diğer bileşenlerin de güncellenmesi bazı saldırı türlerinin engellenmesini sağlayabilir.

Savunmaya Yönelik Düşünce Yapısı
İnternet ne yazık ki güvenli ve güvenilir bir ortam değildir. İnternet’ten gelebilecek tehditlerin bir kısmı belli savunma mekanizmalarına yapılan yatırımlarla engellenebilse bile kullanıcının düşünce yapısı da önemlidir. Açıkça talep etmediğimiz hiçbir epostaya güvenmemek edinilmesi gereken faydalı bir bakış açısıdır. Bununla beraber başlatmadığımız hiçbir sürece de aynı şekilde kuşkuyla yaklaşmamızda fayda vardır. Bu örnekte süreç “güvenilir internet bankacılığı” bahanesiyle saldırgan tarafından ve internet tarayıcısı aracılığıyla başlatılmıştır. 






at No comments:
Subscribe to: Posts (Atom)

MITRE ATT&CK Gerçek Hayatta Ne İşimize Yarar?

  Rusya kaynaklı siber saldırılar webinarı sırasında üzerinde durduğum önemli bir çalışma vardı. MITRE ATT&CK matrisini ele alıp hangi...

  • TEMPEST Nedir?
    Elektromanyetik sinyal yayan cihazların güvenliğinin sağlanması için geliştirilmiş bir standarttır. “Telecommunications Electronics Mater...
  • APT Nedir?
    APT İngilizcesi Advanced Persistent Threat olan ülkemizde ise “gelişmiş sürekli tehdit” veya “hedef odaklı saldırı” olarak iki farklı şekil...
  • Siber Saldırganı Tanımak
    Bilgi güvenliği konusunda proaktif bir yaklaşım oluşturabilmek için düşmanı doğru tanımak çok önemlidir. Zafiyet yönetimi programı oluşturm...