BiZ’den Haberler Dominos Pizza Proaktif Güvenlik

Çözümleri için KoçSistem tecrübesine güvendi!

Kurumlara Özel #SOME ve #SOC Siber Güvenlik Etkinliği

NO. 09 • Haziran 2016 Editör: Özge ÇELİK

socKoçSistem

KoçSistem Security Operation Center www.kocsistem.com.tr

Mayıs Ayında Kayıtlara Geçen Ataklar

Mail Filtreleme Yönetim Hizmeti

MAYIS AYINA AİT KRİTİK AÇIKLAR

EXPLOITHEDEFSİZSİNİZ

Fidyecilik günümüz film ve dizi sektörünün en popüler konularından biridir. Neredeyse tüm polisiye, aksiyon filmlerinde ve dizilerinde karşımıza çıkmaktadır. Filmlerde ve dizilerdeki kişilerin en fazla değer verdiği insanlar silahlı kişiler tarafından kaçırılır ve serbest kalmaları karşılığında fidye ödenmesi istenmektedir. KaçırılanKaçırılan kişileri kurtarmak için iki yöntem bulunmaktadır. Yöntemlerden biri istenilen fidy-enin ödenmesidir, diğer yöntem ise polisten yardım istenerek silahlı kişilerin polis tarafından yakalanması sonucunda kaçırılan kişinin kurtarılmasıdır.

Fidyecilik günümüz siber dünyasında defalarca gündeme gelmektedir. Filmlerde ve dizilerdeki fidyeciliğe benzer olarak kişi ve kurumlar için çok önemli olan veriler ve sistemler, hackerlar tarafından şifrelenmesi sonucunda erişilmez hale gelmektedir ve şifrenin verilmesi karşılığında fidye ödenmesi talep edilmektedir. VerileVerilere erişmek için iki yöntem bulunmaktadır. Yöntemlerden biri fidyenin hackerlara ödenmesi karşılığında şifreyi elde edilerek veriye erişmektir, diğer yöntem ise şifrenin çözülmesi sonucunda veriye erişmektir. Fidyecilik günümüz siber dünyasında ransomware atağı olarak adlandırılmaktadır.

Kanada’da bulunan Calgary Üniversitesi, geçtiğimiz Çarşamba günü 8 Haziran’da hacker-lara kritik e-posta sistemlerini geri almak için fidye ödediğini açıkladı ve bu kararın maalesef hackerları cesaretlendirdiğini belirtti.

Okul yönetimi, profesörleri ve öğrencileri 10 gün boyunca e-postalarına erişemediklerini belirtti. IT teknisyenleri saldırının etkilerini gidermek için şifre sayesinde sunucunun kilidini açmayı başardı. Şifre, ransomware saldırısının bir parçası olarak talep edilen, toplamda 20.000 Kanada doları ödenmesi sonucunda elde edildi. Herhan-gigi bir kişisel veya üniversite verisinin kamuoyuna sızdırıldığına dair bir göstergenin bulunmadığı belirtildi. Calgary polisi, Kanada ve ABD’de bulu-nan okulları, hastaneleri, karakolları ve Nasa’yı bile içeren kurumları hedef alan saldırıları soruşturma kapsamına aldı.

Üniversite yöneticisi Linda Dalgetty gazetecilere fidye ödeme kararını "Burada birinci sınıf bir araştırma yapıyoruz ve insanların emek harcadığı çalışmalarını geri elde etme seçeneğimizin kalmadığı bir pozisyonda olmak istemiyoruz.” diyerek savunmuştur. New Bruns-wick Üniversitesi IT Departmanı Başkanı David ShipleyShipley ise fidye ödemenin hackerları iştahlandırdığı ve daha fazla saldırının olmasına yol açacağı görüşünde olduğunu belirtti. Yaşanan olay sonrasında David Shipley, Calgary Üniversite’sinin fidye ödemesinin kendisini üzdüğünü ve gereksiz yere diğer Kanada okullarının da tehlikeye atıldığını tweet atarak belibelirtti.

Çözüm olarak ransomware atağı hakkında kişilerin bilinçlendirilmesi ve şifrenin çözümü hakkında daha yoğun çalışmalar ve araştırmalar içine girilmesi sonucunda kişilerin ve kurumların bu tip saldırılardan daha az zarar görmeleri sağlanacaktır. Kişiler ve kurumlar tarafından bu duruşun sergilenmesi durumunda saldırılar ve saldırılarınsaldırıların kişi ve kurumlar üzerindeki etkileri azalacaktır.

Ransomware atağı genellikle bilinmeyen, tanınmayan bir kişinin veya grubun bir bilgi-sayara veya ağa sızması ve sonrasında bilgisa-yarda ve ağda bulunan verinin şifrelemesi sonu-cunda oluşur. Hackerlar bilgisayarlara ve ağlara sızmak için dışarıdan fark edilmeyen kötü niyetli yazılımlar kullanmaktadır. Bu yazılımlar hedef alınan kişiler tarafından sonuçlarından haberdar olmadan yüklenebilmektedir veya güvenilir bir kurumun gönderdiği gibi görülen, aslında hackerların bu kurumların isimlerini kullanarak gönderilen e-postaların açılması sonucunda yüklenebilmektedir. Bilgisayara ve ağlara sızan hackerlar veriyi erişilmez hale getirerek fidye ödenmesiödenmesi dahilinde şifrenin verileceğini hedef kişilere bildirerek, karşılığında para almayı amaçlamaktadır.

Fidye ödeme kısa vadede daha basit bir çözüm olarak görünse de uzun vadede hackerların gözünde hedef kişilerin ve kurumların çaresiz kaldığını göstermektedir. Bununla birlikte hackerların para elde etmek amacıyla bu yön-temi seçmelerinin kendilerince doğru karar aldıklarını düşünmelerine ve saldırıların aartmasına yol açmaktadır, bunun yanısıra hedef kişiler ve kurumlar hackerlara şifreyi elde ede-bilmek için fidye ödeseler bile şifrenin verilmesi hackerların insiyatifinde olduğundan şifrenin elde edilmesinin garantisi bulunmamaktadır. Bu nedenlerden dolayı fidye ödeme sonucunda hedef kişiler ve kurumlar sistemlerinin zarar görmesinin yanında büyük meblağlarda para da kaybetmektedir.

Exploitler ile sistem şifreleri görülebilir, sistemler hakkında bilgiler elde edilebilir. Exploitler siste-min olağan olarak çalışmasına engel olurlar. Siteme dışarıdan kod göndererek sistemin normal olarak çalıştığına ikna ederler ve genelde yetkisiz erişim için kullanırlar. Bu tip virüsler bulaştıkları bilgisayarın hafızasında bulunan e-postae-posta adreslerinin hepsine o bilgisayar üzerin-den e-posta göndererek virüsün diğer bilgi-sayarlara da bulaşmasını sağlarlar. E-maili alan kişi gelen mailin daha önce haberleştiği ve tanıdığı bir kişiden geldiğini görünce maili aç-makta hiç tereddüt etmez ve kendi bilgisayarına da virüsü bulaştırır. Virüs bu bilgisayar üzerinden de aynı işlemi gerçekleştirerek yayılmaya devam eder. Bu tip virüslerin birçok kullanıcıya hitap eden sunuculara yayıldığını düşünürsek su-nucuya bağlanan her bilgisayara bu tip virüslerin yayılması ile bir anda çok sayıda bilgisayar zarar görmektedir. Bunun gibi işletim sistemlerini, tarayıcılarını ve uygulama zafiyetlerini Exploit eden gelişmiş saldırılar ile dosya ve multimedia içerikleri içine gömülü kötü niyetli kodları dur-durmak için anti-spam tipi cihazlar kullanılmalıdır. Anti-Spam tipi cihazlar, Exploit gibi tehditleri, ZIP/ RAR/TNEF arşivlerine gizlenmiş saldırıları ve kötü niyetli URL’ler açısından elektronik postaları analiz ederek sisteminizi saldırılara karşı korur.

Exploitler ile doğan sistem zafiyetleri, Exploiting hedef aldığı üretici işletim sistemi veya program sahibince kodda yapılan düzenlemeler ve bu düzenlemeler sonrası yayımlanan sistem yamaları ile kapanır. Bu yüzden kullandığımız sistem veya programları güncel tutmak güvenlik

Exploit’ in kelime anlamı faydalanmak, istifa et-mektir. Dijital dünya da ise Exploit bilgisayar, yazılım, program veya dijital herhangi bir sistem üzerinde, sistem açıklarından, kod hatalarından faydalanarak istenmeyen hatalar oluşturmak için düzenlenmiş küçük kod veya programlardır. Örnek vermek gerekirse sisteme izinsiz giriş yapmayapmak, yetkili kullanıcı oluşturmak, sistemi devre dışı bırakmak için oluşturulan programlardır.

Belirlenmiş ve savunması olmayan sistemler her zaman saldırı alma hedefindedir. Akabinde sistemlerin açıklarını bulur, bu açıkları kullanan scriptler yazılır. Bu scriptleri yazmak son derece uzman ve profesyonel niteliklere sahip kişiler tarafından derlenir. Hackerlar zarar vermek iste-dikleri herhangi bir sistem için Exploit yazabi- lirlelirler. Malware veya herhangi bir zararlı yazılım, tüm işletim sistemleri veya programlar için yazılabilir. Exploitler de Windows, Linux, Unix, MacOs, Java, Adobe Flash, Adobe Reader gibi birçok farklı yazılımda kendini gösterebilir. Ex-ploitler sistemlerdeki spesifik açıklardan faydala-narak belli bir amaç için tasarlanırlar. Örneğin; bazı Exploitler sisteme uzaktan bağlanmak için tasarlanmıştır. Bazıları ise sistemi devre dışı bırakmak için kullanılırlar. Fakat saldırgana fayda sağlayan önemli Exploitler genel olarak sisteme giriş veya sistemde yetkili kullanıcı oluşturmak için kullanılır. Exploit ile sisteme düşük seviyeli bir kullanıcı ile giriş yapmak ve daha sonra sissistemdeki yetkileri yükseltmek veya yetkili bir kullanıcı oluşturmak mümkündür.

Kaynak: https://tr.wikipedia.org/wiki/Exploit, http://www.mshowto.org/exploit-nedir.html

açısından önemlidir. Örnek olarak Windows işletim sistemini hedef alan bir Exploit, Microsoft firması tarafından değerlendirilir ve hemen yaması çıkılır. Bu yamanın kurulduğu sistem artıkbu Exploitten etkilenmez.

Exploit çeşitlerini aşağıdaki gibi sayabiliriz:

** Local Exploits: Lokal Exploit'ler mesela bir *.exe *.gif vs. gibi dosya çalıştırıldığında devreye girer ve yerel bilgisayarda yüklü olan vulnerable (savunmasız/yaralı) yazılım sayesinde Exploit'te entegre edilmiş Shellcode'u çalıştır ve kötü kod enjekte eder. Bunun sayesinde saldırgan yüksek haklara sahip olur.

** Remote Exploits: Bir Remote Exploit İnternet(ağ) üzerinden çalışmakta ve mevcut olan güvenlik açığını kullanarak, bir vulnerable sisteme erişim sağlamaktadır.

* Dos-Exploits: İlk tanınmış olan açığı yazılan Exploit'ler Dos-Exploitlerdir (Denial - of Service). Bir sistemi yavaşlatır veya durdururlar.

** Command-Execution-Exploits: Saldırgan tarafından kontrol edilen bir program kodunun hedef sisteme uygulanmasıyla gerçekleştirilir. Böyle bir exploit'in doğru şekilde çalıştırılabilmesi için programcı veya saldırganın, hedef uygulamayı iyi bilmesi gerekir. Bu bilgileri açık bir program kodu kaynağından veya test edeederek edinir. Command-Execution-Exploits, hedef olan sistemde saldırgan tüm haklara sahip olabildiği ve bu haklar ile sistemi yönetebildiği için çok tehlikelidir.

* SQL-Injection-Exploits

* Zero-Day-Exploits: Bu tip Exploitlerin tehlikeli olmasinin sebebi ise hiçbir üretici veya geliştiricinin bu güvenlik açığını kısa bir süre içerisinde yeni bir yama ile doğru veya anlamlı bir şekilde kapatamamasıdır.

ZeZero-Day-Saldırıları, hızlı ve otomatize edil-meden yeni bir güvenlik açığını kullanabildiği için etkilidir.

“IBM X-Force Interactive Security Incidents” http://goo.gl/Yxgc5

10 Mayıs 2016İngiliz oyuncak firması müşterilerinin isimlerini, adreslerini, e-posta ve telefon numaralarını içeren 794.000 kaydın çalınarak ifşa edildiğini açıklamıştır.

16 Mayıs 2016YYüksek trafiğe sahip sitelerden bazılarına hizmet veren DNS servisi DDoS atağına hedef olmuştur. Ayrupa ve Amerika da kamuoyunca iyi bilinen sitelerin milyonlarca kullanıcısının erişimi kesilmiş, bir hayli karışık ve birkaç tekniği barındıran atak olduğu raporlanmıştır.

3 Mayıs 2016Politik amaçlı hackerlar, evrensel yolsuzluğu pro-testo ederek Yunanistan’da hedeflenen banka-lara erişimi kısıtlamak için gün boyunca DDoS atağı yapmıştır.

5 Mayıs 2016Politik amaçlı hackerlar, süregelen bankacılık yolsuzluklarına karşı yapılan protestolar çer-çevesinde gerçekleştirdiği DDoS saldırısıyla Kıbrıs bankasının web sitesini çökertmişlerdir.

Kanada’da online eğitim websitesine ait bir NoSQL veritabanının yanlış konfigüre edilmesi sonucunda e-posta, parola ve diğer kişisel bil- gilerin yer aldığı 61.552 kayıt açığa çıkarılmıştır.

6 Mayıs 2016BirBir hack forumu güvenliği kırılmış ve 9.45 GB veri sızdırılmıştır. Bu veriler kayıtlı kullanıcıları ve onların ip adreslerini, bunların yanı sıra kullanıcılar arasındaki bazı olaylarda suç oluşturabilecek aktivitelerle alakalı özel mesajları içermektedir. Veriler aynı zamanda PayPal ve diğer iki ödeme gateway’lerinin ödeme bilgilerini de içeödeme bilgilerini de içermektedir.

9 Mayıs 2016Amerika’da bir müşteri servis yazılımı destek firması, back-end sistemlerinden 3. Parti kişilerce bazı müşteri bilgilerinin sızdırıldığını bildirmiştir. Önlem olarak, tüm zayıf olan SHA1 karma şifreleri resetlenmiş ve daha güçlü bir karma algoritması kullanılmaya başlanmıştır.

“National Vulnerability Database” https://goo.gl/ZtmN76

CVE-2016-1209Summary: The Ninja Forms plugin before 2.9.42.1 for WordPress allows remote attackers to conduct PHP object injection attacks via crafted serialized values in a POST request.Published: 5/14/2016 11:59:03 AMCCVSS Severity: v3 - 9.8 CRITICAL v2 - 7.5 HIGHÖzetÖzet : WordPress blog sisteminin eklentisi olan Ninja Forms 'da çok sayıda kritik seviyede güvenlik zafiyeti tespit edilmiştir. Ninja Forms WordPress de kolayca form oluşturmak için kullanılan bir eklentidir.Güvenilir olmayan POST değerlerindeki hata nedeniyle PHP object injec-tion zafiyetine rastlanılmıştır. Saldırgan kişinin PHP PHP kodunu çalıştırmasıyla etkisi görülebilir. Çözüm : Eğer 2.9.42 versiyonundan daha eski versiyonları kullanıyorsanız yapılacak update ile zafiyet giderilebilir.Detaylı bilgi için : https://ninjaforms.com/important-security-update-always-hurt-ones-love/

CVE-2016-2108SummaSummary: The ASN.1 implementation in OpenSSL before 1.0.1o and 1.0.2 before 1.0.2c allows remote attackers to execute arbitrary code or cause a denial of service (buffer under-flow and memory corruption) via an ANY field in crafted serialized data, aka the "negative zero" issue.Published: 5/4/2016 9:59:04 PMCVSS Severity: v3 - 9.8 CRITICAL v2 - 10.0 HIGHÖzetÖzet : OpenSSL'in şifrelenmiş bazı ASN.1 veri yapılarını engelleyici hatalara rastlanmıştır. Saldırgan bu hataları özellikle sahte serfikaları yaratmak için kullanabilir,OpenSSL tarafından doğrulandığı ya da tekrar şifrelendiği zaman zarara sebebiyet verebilir.Ayrıca kullanıcı izin-lerini kullanarak OpenSSL kütüphanesine karşı uuygulamaları derleyerek çalıştırabilir.Detaylı bilgi için : https://access.redhat.com/security/cve/cve-2016-2108

BUNU BİLİYOR MUYDUNUZ?

2016’nın2016’nın birinci çeyreğinde tehlikeli spam e-postaların sayısında büyük bir artış oldu.Kaspersky Lab Spam E-posta ve Kimlik Avcılığı Raporunda, her ne kadar spam e-postaların toplam sayısında bir azalma olsa da tehlikeli olanların sayısının arttığı görüldü. Aynı zamanda kötü niyetli toplu e-posta gönderilerinin seviyesi de büyük ölçüde arttı. Kaspersky Lab, ürünlerinin 2016’nın Mart ayında zararlı eklentiler içeren e-postalar yoluyla kullanıcılara virüs bulaştırmayı deneyen 22.890.956 kişinin girişimi engellediğini açıkladı. Bu rakam 2016’nın Şubat ayında bildirilen girişim sayısının iki katı.

İnternet üzerinde aynı mesajın yüksek sayıdaki kopyasının, bu tip bir mesaji alma talebinde bulunmamış kişilere, zorlayıcı nitelikte gönder-ilmesi Spam olarak adlandırılır. Spam çoğunlukla ticari reklam niteliğinde olup, bu reklamlar sıklıkla güvenilmeyen ürünlerin, çabuk zengin olma kampanyalarının, yarı yasal servislerin duyurulması amacına duyurulması amacına yöneliktir.

Spam’ın istenmeyen bir şey olması, rahatsız edici içerik, bilgisayara zarar verme riski, spam e-maillerin yüksek boyutu, müstehcen içerik, gizlilik haklarına tecavüz, durdurulamıyor oluşu ve zaman kaybettirmesi gibi çok sayıda rahatsızlık nedeni mevcuttur. Anti-Spam ise Spam ve e-posta aldatmacalarını engeller. Önemsiz,Önemsiz, istem dışı gelen, sahtecilik bilgileri içeren ve spam olarak adlandırılan e-posta aldatmacalarına karşı kullanıcıları korur.

KoçSistem Dedike ve Paylaşımlı olarak müşterilerine mail filtreleme hizmeti sağlayabilmektedir.

Dedike Hizmet

Mail filtreleme yönetim hizmeti, müşterinin sahip olduğu dedike mail filtreleme cihazının KoçSistem tarafından yönetilmesi ve raporlanması ile sağlanır. Hizmet kapsamında mail sunucularına gelen maillerin temizlenmesi, belirlenen politikalar çerçevesinde anti-virüs, malware, vb gibi kontrollerin yapılması ve karan-tina utina uygulaması yapılır.

Güvenlik duvarı üzerinde ek fonksiyon olarak verilecek Mail Filtreleme de bu hizmet kapsamında değerlendirilecektir.

Paylaşımlı

PPaylaşımlı mail filtreleme hizmeti, paylaşımlı bir donanım üzerinden sağlanan bir hizmettir. Hizmet kapsamında mail sunucularına gelen maillerin temizlenmesi, belirlenen politikalar çerçevesinde anti-virüs, malware, vb gibi kon-trollerin yapılması ve karantina uygulaması yapılmaktadır.

“National Vulnerability Database” https://goo.gl/ZtmN76

Kurumlara Özel #SOME ve #SOC Siber Güvenlik Etkinliği

KurumlarınKurumların bilgi teknolojilerine bağımlılığının arttığı ve son birkaç yılda siber saldırıların katla-narak artış gösterdiği günümüz teknoloji dünyasında Hackivizim odaklı Siber saldırılar evrimleşerek hedef odaklı siber saldırılara dönüşüyor. Sigorta, sağlık, enerji, telekomüni-kasyon ve finans gibi önemli sektörler hedef odaklı siber saldırılara maruz kalıyor. Siber güvenlik ve bilgi güvenliği eğitimleri ko-nusunda kurumların ihtiyaçlarına yönelik çözümler geliştiren Bilgi Güvenliği AKADEMİSİ, kurumlara yönelik siber saldırıları SOC ve SOME konusunu tüm yönleriyle ele alarak güvenlik sektörünün önde gelen uzmanları ile masaya yatırdı. KoçSistem olarak yer aldığımız etkinlikte BBT Güvenlik Yönetilen Hizmetler Birim Yöneticimiz Serkan Özden tarafından gerçekleştirilen “Servis Olarak SOC ve SIEM” adlı sunum dikkatleri çekti. Katılımcılara yeni nesil tehditler ve korunma yöntemleri hakkında detaylı bilgi aktarımı sağlanarak artan siber tehditlere yönelik güvenlik ihtiyacının farklı boyutlaraboyutlara taşındığı üzerinde duruldu. SOC ve SIEM hizmetlerinin sektördeki önemine bir kez daha değinilmiş oldu.

Dominos Pizza Proaktif Güvenlik Çözümleri için KoçSistem tecrübesine güvendi!

SeSektöründe lider firma olan Dominos Pizza, net-work ve güvenlik anlamında daha iyi bir konuma gelmek, sistemlerini reaktiflikten çıkarıp proaktif bir yapıya dönüştürmek için Security Operation Center(SOC) olarak KoçSistem’i seçti. Böylece 13. SOC müşterimiz olan Dominos Pizza ile be-raber bu alanda büyümeye devam ediyoruz.

2014 yılında kurduğumuz ve Türkiye’de ilk olan Security Operation Center’ımız halen Türkiye’de öncü olma özelliğini yeni müşteri ve ek ser-visleriyle sürdürmektedir. Bu projenin, Koç-Sistem ve Dominos Pizza arasında bundan sonra kurulacak ve giderek büyüyecek olan iş birlikte-liklerine temel oluşturacağına inancımız tamdır! Yeni projeler ile büyümeye devam ediyoruz…