Bilgi Güvenliği Haberleri (14 Ağustos Haftası)

Bilgi Güvenliği Haberleri (14 Ağustos Haftası)
Ağustos 25 08:50 2015 Yazıyı Yazdır

2 tane MAC OS X Zafiyeti

Üniversitelerde verdiğim eğitimlerde “Macintosh’lara virüs bulaşmıyor mu hocam?” sorusuyla sıkça karşılaşıyorum. Windows kadar yaygın bir duyuru sistemi olmaması ve Apple’ın şirket olarak zafiyetlere ve bunları tespit edenlere karşı sergiledikleri tutumun oluşturduğu bir algı olsa gerek.
Geçen hafta 17 yaşında bir İtalyan araştırmacı, saldırganların MAC OS X Yosemite işletim sisteminin yönetimini ele geçirmelerine imkan verebilecek 2 yeni zafiyet duyurdu.
Apple’ın zafiyetleri giderme konusundaki tutumunu da eleştiren genç araştırmacı bu zafiyetlerin istismar edilmesini önleyeceğini iddia ettiği bir de kod yayınladı. Sektörün kabul ettiği zafiyet bildirim kriterlerine aykırı bir süreç izleyen araştırmacı bu konuda eleştirilere hedef olurken yaptığı açıklamada “zafiyeti üreticiye geç bildirmem (zafiyeti duyurmadan sadece birkaç saat önce Apple’a bildirimde bulundu) üretici firmayla aramdaki bir husumetten kaynaklanmamaktadır” dedi.

 

SS7 Zafiyeti Telefon Görüşmelerin Dinlenmesine İmkanı Veriyor

Geçtiğimiz senenin sonunda duyurulan ve cep telefonu görüşmelerinin dinlenmesine imkan veren SS7 zafiyeti, bir Amerikan haber programının konuyu ele alması üzerine tekrar gündeme gelmiş gibi görünüyor. Sözü edilen zafiyet kısaca yeni nesil ve göreceli olarak güvenli olan 3G gibi GSM teknolojilerinin hala SS7’ye bağlı eski altyapı teknolojilerini kullanıyor olmasından kaynaklanıyor. Mobil cihaz ile baz istasyon arasındaki görüşme şifreli yapılıyor ancak bazı operatörlerin eksik altyapı yatırımlarından dolayı, baz istasyonu sonrasında çeşitli adımlarda görüşmeler eski telefon hatları üzerinden taşınıyor. Eski sistemler üzerinde bulunan zafiyetler de saldırganların görüşmeleri dinlemelerine imkan veriyor. GSM şebekesinin dinlenmesiyle ilgili geçen senenin sonunda yazdığım bir yazıya http://alperbasaran.com/gsm-sebekesi-dinlemek/ adresinden ulaşabilirsiniz.

 

SCADA Sistemlerde Sıfırıncı Gün Açığı

Endüstriyel kontrol sistemlerinin “USOM’u” (Ulusal Siber Olaylara Müdahale Merkezi) olarak da adlandırabileceğimi ICS-CERT (Industrial Control Systems Cyber Emergency Response Team) aralarında zayıf oturum yönetimi, uzaktan dosya ekleme (remote file inclusion), kaynak kod içerisinde kullanıcı adı ve parola bilgilerinin bulunması ve CSRF (Cross Site Request Forgery – Sitelerarası Talep Sahteciliği) gibi önemli zafiyetlerin de bulunduğu zafiyetler duyurdu.
Kullanılan endüstriyel otomasyon sistemlerinin hangi zafiyetlerden etkilendiğini ve gerekli güncellemelerin yapılması gerektiğini hatırlamak için iyi bir bahane olacaktır. ICS-CERT yayınladığı bir bültende endüstriyel kontrol sistemlerinin güvenliğinin arttırılmasına yönelik 8 basit öneri sunmaktadır. Bunlar;

– Varlık yönetimi için gerekli yetki ve sorumlulukları belirleyin (Alper’in notu: Güvenliğini sağlamaya çalıştığınız sistemin her bileşeninin bir sahibi olmalı ve sorumlulukları belli olmalı)

– Ağ mimarisini kontrol edin (Alper’in notu: Sistemlerin doğrudan veya dolaylı olarak internete açık olmadığını kontrol etmekte fayda var)

– Yama, güncelleme ve yaşam döngüsü yönetimi süreçlerini oluşturun (Alper’in notu: Kullanılan sistemlerde çıkabilecek zafiyetlerin yayınlandığı yerlerin belirlenmesi ve ilgili üreticinin yayınladığı güncellemelerin takip edilmesi önemlidir. )

– Ağ bölmelerini (segment) düzenleyin. (Alper’in notu: Endüstriyel kontrol sistemlerinin kullanıcı ağı veya web sunucularıyla aynı ağda olması tehlikelidir.)

– Kritik varlıkların fiziksel güvenliğini sağlayın. (Alper’in notu: Bakü-Ceyhan boru hattında 2009 yılında meydana gelen patlamadan arta kalan güvenlik kamerası kayıtlarında 2 saldırganın boru hattının etrafında “dolaştığının” görülmesi konunun önemini vurgular.)

– Güvenlik operasyonları personeli sayısını arttırın ve görev ve sorumluluklarını belirleyin. (Alper’in notu: personel sayısının arttırılması şart olmayabilir ama “kim ne yapacak? Neyi kime bildirecek? Hangi durumlarda nasıl davranacak? Gibi soruların yanıtlarının belli olması lazım.)

– Çalışmasına izin verilen uygulamaları beyaz listeye alın ve uzak bağlantılarda kimlik doğrulaması kullanın. (Alper’in notu: Özellikle endüstriyel kontrol sistemlerinin üzerinde çalıştığı veya bu sistemlerin doğrudan bağlı olduğu ağ üzerindeki bilgisayarlarda hangi uygulamaların çalışacağının belirlenmesi ve bunların dışındaki uygulamalara izin verilmemesi önemlidir.)

– Sistemleri izlemek için gerekli güvenlik izleme sistemini kurun. (Alper’in notu: Sistemlere yönelik bir saldırının olduğunu veya basit bir teknik arıza nedeniyle birşeylerin ters gittiğini fark edebilecek yapının kurulması şarttır.)

 

Windows 10’dan Şık Hareket

Microsoft Windows 10 etrafında dönen pek çok tartışma oldu ve genelde “bizden habersiz sağa-sola gönderdiği bilgileri” konuştuk. Microsoft sunucularına gönderilen kullanıcı bilgileri, zorunlu yazılım güncellemeleri, internet bağlantınızın bant genişliğini paylaşabiliyor olması ve kablosuz ağ parolalarınızı çok iyi korumuyor olması tartışmaların başlıca konularıydı. Bu kadar tartışmaya karşılık Windows 10’nun güvenlikçilerin yüzünü güldüren bir de özelliği var; korsan yazılımları devre dışı bırakabiliyor. Microsoft’un geçen hafta güncellediği kullanıcı sözleşmesine göre Windows 10 üzerinde korsan yazılım veya oyun tespit edilirse bunlar, kullanıcıdan izin almadan, silinebilecek. Aynı sözleşmenin XBOX ailesi oyun konsolları için de kullanılıyor olması nedeniyle bu madde ile Microsoft’un PC’lerdeki korsan yazılımlardan çok korsan oyunların peşine düşeceği şeklinde yorumlanabilir.

 

Kritik Internet Explorer Güncellemesi

18 Ağustos’ta yayınlanan Internet Explorer güncellemesi 7’den 11’e kadar bütün sürümleri etkileyen bir zafiyeti kapattı. CVE-2015-093 (veya MS15-093) kapsamında ele alınan zafiyetin istismarı için kullanıcının zararlı kodu içeren sayfayı ziyaret etmesi yeterli olmaktadır, herhangi bir komut verilmesine (tıklama veya dosya indirme gibi) gerek yoktur. Zafiyetin zararlı yazılım dağıtımı gibi saldırılarda aktif olarak kullanıldığı tespit edilmiştir. İlk bulgulara göre Windows 10 tarayıcısı Edge bu zafiyetten etkilenmemektedir.

 

Apple iOS Zafiyeti

Haftalık bültenin en az 1 Android zafiyeti olmadan tam olmayacağı bir dönemdeyiz ancak bu hafta Apple bir sürpriz yapıyor ve karşımıza bir zafiyetle çıkıyor. iOS 8.4.1’den önceki sürümlerde yönetilebilir uygulama ayarları seçeneğini (managed app configuration settings) kullananların kullanıcı adları gibi kurumsal bilgilerine ulaşılabildiği iddia ediliyor. Apple’ın iOS üzerinde çalışan uygulamaların birbirlerinin kaynaklarına erişimlerini engelleyen sandbox (kumhavuzu) özelliğinin atlatılmasını sağlayan zafiyet Apple tarafından iOS 8.4.1 sürümünde giderilmişti. 8.4.1 öncesi sürümleri kullananların bu zafiyetten etkilenebileceği ve işletim sistemlerini güncellemelerinde fayda olduğu belirtiliyor.

daha fazla yazı

Yazar Hakkında

Alper Başaran
Alper Başaran

Daha Fazla Yazı
yorum yapın

Yorum Yok

Henüz yorum yapılmamış

İlk yorumu siz yapabilirsiniz.

Yorum ekleyin

Bilgileriniz güvende! E-posta adresiniz yayınlanmayacak. Diğer kişisel bilgileriniz üçüncü partilerle paylaşılmayacak.
* işaretli alanlar zorunludur.

Time limit is exhausted. Please reload CAPTCHA.