NO. 10 • Temmuz 2016 Editör: Özge ÇELİK

KoçSistem Security Operation Center www.kocsistem.com.tr

Haziran Ayında Kayıtlara Geçen Ataklar

HAZİRAN AYINA AİT

Bilgisayar yazılımı bağlamında Truva atı (Trojan) zararlı program barındıran veya yükleyen programdır. Terim klasik Truva Atı mitinden türemiştir. Truva atları masum kullanıcıya kullanışlı veya ilginç programlar gibi görünebilir ancak yürütüldüklerinde zararlıdırlar.

TTruva atlarının iki türü vardır. Birincisi, kullanışlı bir programın bir hacker tarafından tahribata uğrayıp içine zararlı kodlar yüklenip program açıldığında yayılan cinsi. Örnek olarak çeşitli hava durumu uyarı programları, bilgisayar saati ayarlama yazılımları ve paylaşım programları (p2p) verilebilir. Diğer türü ise bağımsız bir prprogram olup başka bir dosya gibi görünür. Örneklemek gerekirse oyun veya kalıp dosyası gibi kullanıcıyı aldatmaya yönelik bir takım yön-lendirici karışıklık ile programın harekete geçirilmesine ihtiyaç duyulmaktadır.

Truva atları diğer kötücül yazılımlar, bilgisayar virüsleri ve bilgisayar solucanı gibi kendi başlarına işlem yapamazlar. Aynı Yunanların planlarının işleyebilmesi için atın Truvalılar tarafından içeri alınması gerektiği gibi Truva atlarının zararlılığı da kullanıcının hareketlerine bağlıdır. Truva atları kendilerini kopyalayıp dağıtsalardağıtsalar bile her kurbanın programı (Truvayı) çalıştırması gerekir. Bu yüzden Truva atlarının zararlılığı bilgisayar sistem açıklarına veya ayarlarına değil toplum mühendisliğinin başarılı uygulamalarına bağlıdır.

Son 2 ay içerisinde, proofpoint’in araştırmalarına göre, Kanadalı online banka kullanıcılarını hedef alan onlarca veya binlerce mesajdan oluşan

geniş kapsamlı çalışmalar gözlemlendi. Bu kampanyaların kurbanların bilgisayarlarına trojan kurmak için öncelikle virüslü Microsoft Word belgeleri kullandığı ve bunun yanında zararlı yazılımlara yönlendiren linklerin de kullanıldığı tespit edildi.

Kanada’yıKanada’yı hedefleyen e-posta tabanlı virüsler ve kimlik hırsızlığı yapan örgütler çok fazla yaygın değilken, bu örgütlerin hacmi ve çeşitliliği artıyor gibi gözüküyor. Bütün banka trojanlarının ortak noktası, özel olarak internet bankacılığı kullanıcılarının birikimlerini çalmak üzerine dizayn edilmiş olması. Zararlı yazılımdan etkile-nennen kişilerin hesaplarına bu yazılım aktifken giriş yapmaları durumunda hesaplarından yüksek miktarda para çalınması ihtimalinin yüksek olduğu gözlemlenmiştir. Trojanlar farklı banka-larda çalışmak üzere yapılandırılmış, bu durum hem ülkeye özgü hedeflemeleri hem de trojanı dağıtmak için kullanılan bu e-postaları alan şirketlerin yerini tespit etmeye yardımcı oluyor. Özellikle Kanada finans sektöründeki tüm müşterileri hedefleyen Ursnif, Dridex, Kronos, Zeus, Gootkit, ve Vawtrak olmak üzere 6 trojan ailesi tespit edilmiş. US ve UK’de Dridex tek başına en az 40 milyon zarara sebep olmuştur. Detaylı bilgiye buradan ulaşabilirsiniz.

Truva atları ne zararlar verebilir?

- Bilgisayarınızı uzakta erişime açabilirler,- Elektronik posta gönderebilirler,- Verilerinizi bozabilirler,- Ağ geçitlerine saklanabilirler,- Ağ dosya yükleme sistemine bulaşabilirler,

Bu programlardan bazıları virüs koruma programı barındırmasına rağmen içindeki virüs koruması çok da güçlü değildir.

İlk girişte sürekli adres değiştiren internet site- lerine girmeyin,

SSvchost32.exe, svhost.exe, back.exe, systems.exe, explorer.exe dosyalarını asla elle güncellemeyin. Bu dosyalar Windows işletim sisteminin temel dosyalarıdır. İşletim sistemi kendisi günceller.

Ve mutlaka bilgilerinizin yedeğini alın.

- Güvenlik yazılımınızı devre dışı bırakabilirler,- Hizmet dışı saldırısı uygulayabilirler,- İnternet erişiminize zarar verebilirler.

SaldıSaldırgan kişiler sadece zevk içn ya da daha çok önemli amaçlar uğruna bilgisayarınıza erişmek isteyebilirler. İşte kötü niyetli kişilerin bilgisayarınızda aradıklarından birkaçı:

- Alan adı kaydı yada internet üzerinden yapılan alışverişlerde kullanılan kredi kartı bilgileriniz,-- E-posta, internet erişimi, site üyeliklerinin şifreleri,- Gizli dökümanlar,- Bilgisayarınızda kayıtlı e-posta adresleri, - Gizli tasarım ve resimler,- Video, ses, yazışmalar gibi özel görüşmeleriniz.EnEn kötüsü ise bilgisayarınızı hack, spam gibi yasa dışı işlemler için kullanmaları, bilgisayarınızı zombie haline getirmeleridir. Bu durumlarda saldırıya uğrayanların gözünde suçlu siz olur-sunuz.

Nasıl korunmalı?

- Web ve mail filtreleme uygulayın,- Güvenmediğiniz elektronik postaları açmayın,- Antivirüs yazılımları kullanmaya gayret göste-rin,- İşletim sisteminizi güncel tutun,- Peer to peer veya yerel ağı paylaşan Kazaa, Limewire, Ares ve Gnutella gibi programların kullanımının kısılması faydalı olur. Çünkü bu programlar genellikle virüs veya truva atı gibi programlarının yayılması konusunda korumasızdırlar.

“Truva Atı” - https://tr.wikipedia.org/wiki/Truva_at%C4%B1_

“IBM X-Force Interactive Security Incidents” http://goo.gl/Yxgc5

13 HaziranAmerika’da milyonlarca kullanıcıya ait user/pass bilgisi Darknet ağında P2P bağlantı üzerinden satışa çıkarıldı. Sızdırılan 51.000.000 kayıtların, 2013 yılına ait email ve zayıf MD5 hash’lerini içerdiği düşünülüyor.

14 Haziran14 Haziran- Bir Japon seyahat acentası isim, adres, e-posta ve pasaport numaralarını içeren 7.930.000 sayıda kullanıcı verilerinin; bir sunucuya yapılan phishing saldırısı sonucu, yetkisiz erişime sahip bir kullanıcı tarafından sızdırıldığını bildirmiştir.

-- Bir başka hükümet tarafından desteklendiği düşünülen saldırganlar, bir Amerikan siyasi par-tisinin ağına sızarak gizli dosya ve siyasi bilgileri e-posta ve mesajlaşma trafiğini inceleyerek ele geçirdi.

1 Haziranİspanya’da hacktivistler, binlerce İspanyol polise ait; içinde kimlik numarası, email adresi, şifrelerin yer aldığı önemli kişisel verileri yayınladılar.

6 Haziran-- Rusya tabanlı sosyal ağın milyonlarca kullanıcısına ait user/pass bilgisi Darknet ağında satışa çıkarıldı. 100.000.000 verinin sızdırıldığı olay, 2012 yılında olduğu düşünülüyor ve e-posta adresleri ile enkripte edilmemiş şifreleri içeriyor.

- Amerika’da bir güvenlik araştırmacısı, uluslararası çapta öğrencilere eğitim danışmanlığı veren bir firmanın MongoDB veritabanı motoruna erişimi mümkün kılan bir konfigürasyon hatası keşfetti. 21.000 sızdırılan verinin içeriğinde öğrencilerin pasaport detaylarının, kendisinin ve misafir olduğu ailenin önemli bilgilerinin bulunduğu bildirildi.önemli bilgilerinin bulunduğu bildirildi.

8 HaziranAmerika’da popüler bir torrent forumunda, hizmet sağlayıcısındaki bir başka müşteriye yapılan saldırıda gerçekleştirilen kullanıcı yetki-sinin yükseltilmesi sonucu veri açığı ortaya çıkmıştır ve 385.000 kayıt sızdırılmıştır.

9 HaziranUK University öğrencilerinin ve çalışanlarının user/pass ve kişisel bilgilerinin bulunduğu, 2.47 GB lık veri sızdırıldı.

“National Vulnerability Database” https://goo.gl/ZtmN76

CVE-2016-3227SummaSummary: Use-after-free vulnerability in the DNS Server component in Microsoft Windows Server 2012 Gold and R2 allows remote attack-ers to execute arbitrary code via crafted re-quests, aka "Windows DNS Server Use After Free Vulnerability."Published: 6/15/2016 9:59:29 PMCVSS Severity: v3 - 9.8 CRITICAL v2 - 10.0 HIGH Özet : Bu zafiBu zafiyet DNS Sunusuna, saldırgan kişi tarafından özel yapılmış istekler gönderilerek uzaktan kod çalıştırılmasına olanak sağlamaktadır. Windows Server 2012 ve Windows Server 2012 R2 sürümlerinde rastlanılmıştır. Microsoft tarafından henüz her-hangi bir güncelleme ya da geçici çözüm yayınlanmamıştıyayınlanmamıştır. Detaylı bilgi için : https://technet.microsoft.com/library/security/ms16-071

CVE-2016-2141SummaSummary: JGroups before 4.0 does not require the proper headers for the ENCRYPT and AUTH protocols from nodes joining the cluster, which allows remote attackers to bypass security re-strictions and send and receive messages within the cluster via unspecified vectors.Published: 6/30/2016 12:59:00 PMCVSS Severity: v3 - 9.8 CRITICAL v2 - 7.5 HIGH Özet : JBoss uJBoss uygulama sunucularında oluşan zafiyette, uzak kullanıcıların authentication yaparak hedef sistemler üzerinde güvenlik kısıtlamalarını bypass etmelerine izin vermektedir. Bu da bil- gilerin ifşa edilmesine, sahte e-posta gönde- rilmesine ve ya daha ileri atak yapılmasına olanak sağlamaktadır. Ret Hat tarafından updaupdate yayınlanmıştır. Detaylı bilgi için : https://access.redhat.com/errata/RHSA-2016:13(28,29,30,31,32,33,34,45,46,47,74)

BUNU BİLİYOR MUYDUNUZ?

BilgisayarınızdaBilgisayarınızda anlık görüntü veya uyarılar göstermek, klavyenizi ve farenizi kontrol etmek isteğiniz dışında CD sürücünüzü veya bilgisayarınızı açıp kapatmak gibi işlemlere maruz bırakan TrojanHorse tipi yazılımlar, 2015 yılında Türkiye’de %30 artış göstermiştir. Düşük ve orta deneyimli bilgisayar kullanıcılarının birçoğu truva atlarını da virus olarak bilmektedir.Truva atı virus değildirve viruslerden farklı prensiplerle çalışırlar. Virusler kendi başlarına görünmez, bir program yada dosya içerisinde yer alırlar.Bir bilgisayarlardan diğerine bulaşması bu dosya veya programların taşınmasıyla olur.Genellikle içerisineiçerisine gömülü oldukları programa zarar vermezler. fakat programların çalıştırılması halinde içerisindeki virusler işletim sistemine, yazılımlara ve ender olarak da görülsede donanıma zarar ver- mektedir.

Web filtreleme yönetim hizmeti kapsamında;

• İnternet web sitelerine erişim içerik filtreleme yapılması, • Bant genişliği yönetimi; IP ve kullanıcıya göre bant genişliği kısıtı yapılması• İnternet erişimlerinin zamana göre kısıtlanması•• Kullanıcıların active directory kimlik doğrulaması yaparak erişimlerinin sağlanması• Müşteriye internet erişim raporlarının (kullanıcı bazlı, erişilen siteler )sunulması sağlanmaktadır.

DediDedike olarak sağlanabilen Web filtreleme yönetim hizmeti, müşterinin sahip olduğu dedike URL filtreleme cihazının KoçSistem tarafından yönetilmesi ve raporlanması ile sağlanır. Güvenlik duvarı üzerinde ek fonksiyon olarak verilecek web filtreleme de bu hizmet kapsamında değerlendirilecektir.

WWeb filtreleme cihazı kurulmuş ve düzgün olarak çalışır durumda olmalıdır. Müşteri sistemi yönetime alma öncesi KoçSistem tarafından ge- rekli testlerden geçirilir ve ancak yeterliliği onaylandıktan sonra yönetime alınır.

WWeb filtreleme cihazının donanım ve yazılım üretici bakımları alınmış ve sözleşme süresince aktif olmalıdır. İlgili lisansları aktif olmalıdır ve yenilemeleri müşteri sorumluluğundadır.

PPaylaşımlı olarak da sağlanabilen hizmet, Koç-Sistem tarafından sağlanacak URL filterleme lisansıyla müşterinin sahip olduğu sanal sunucu ortamı üzerinden sağlanır.

Web filtreleme cihazının çalışacağı sanal sunucu ortamıyla ilgili tüm donanım ve yazılım üretici bakımları alınmış ve sözleşme süresince aktif olmalıdır. İlgili lisansları aktif olmalıdır ve yenile-meleri müşteri sorumluluğundadır.

Ditaş & KoçSistem İşbirliği Giderek Güçleniyor!

DenizDeniz taşımacılığı sektörünün önde gelen firmalarından Ditaş, sahip olduğu gemilerinde kaptan ve mürettebatlarına daha kolay, hızlı, kesintisiz hizmet vermek ve çalışanlarının sefer sırasında, gerek dış dünya ile gerekse kontrol merkezleri ile güvenli iletişim kurabilmelerini sağlamak amacıyla 3 yıl boyunca 7/24 Log Yönetimi,Yönetimi, Network Güvenlik ve WAN Optimiza-syonu hizmetlerinde KoçSistem’i tercih etti. Ayrıca, Ditaş Genel Müdürlük ofisinin de IPS, Firewall ve NAC gibi bütün Güvenlik ve Network Yönetimini gerçekleştireceğimiz bu projede paylaşımlı hizmetlerimizle beraber, Ditaş’ın hedeflediği dijital dönüşüm sürecinde yol arkadaşı olacağız. Sadece karada değil, de- nizlerde de hizmet vermeye devam ediyoruz.

IBM ile Yola Devam

IBM ile ASL iş ortaklığımızı 1 yıl daha uzattık. Bu kapsamda, hizmet verdiğimiz müşterilere IBM QRadar ürünlerini çok avantajlı koşullarla sağlamaya devam edeceğiz.