Bilgi Güvenliği Haberleri (20 Temmuz Haftası)

Bilgi Güvenliği Haberleri (20 Temmuz Haftası)
Temmuz 27 21:44 2015 Yazıyı Yazdır

Ankara’da Siber Güvenlik Buluşması

Ankara’da bulunan siber güvenlik, açık kaynak yazılım, linux ve hacking meraklılarını ve profesyonellerini 30 Temmuz 2015 günü saat 18:30‘da Ankamall AVM‘nin yemek katında buluşmaya bekliyoruz. Ayrıntılar için bize ulaşabilirisiniz: iletisim@h4cktimes.com

 

Kritik Android Zafiyeti

Zimperium firması Android işletim sistemlerinin %95’ini etkilediğini iddia ettikleri bir zafiyet duyurdu. Adını Android işletim sisteminin medya oynatıcısı olan Stagefright’tan alan zafiyetin etkisi geçen yılın “hit” zafiyetlerinden Heartbleed’e benzetiliyor. Zafiyetin 900 milyondan fazla cihazda bulunduğu tahmin ediliyor.
Saldırganların zafiyeti tek bir multimedya mesajı göndererek istismar edebildiğini açıklayan uzmanlar zafiyeti tetikleyen kodun çalıştırılması için mesajın açılmasının şart olmadığını söylüyor. Bu zafiyeti istismar eden saldırgan ele geçirdiği sistem üzerinde komut çalıştırabildiği iddia edilmektedir 2.2 ile 5.1 arasındaki bütün Android sürümlerini etkileyen zafiyete karşılık Google bir güvenlik yaması yayınlarken diğer üreticilerin henüz bir çözüm sunmadıkları belirtiliyor.

 

FBI’dan Flash Zafiyeti Uyarısı

İtalyan güvenlik şirketi Hacking Team’in hacklenmesi ve dosyalarının ortalığa saçılmasıyla birlikte günyüzüne çıkan bazı sıfırıncı gün açıkları oldu. (İng. Zero-day veya 0-day olan bu açıklar üretici dahil kimse tarafından bilinmeyen açıklardır). Bu açıkların 4 tanesinin Adobe Flash’ın içinde olması nedeniyle Mozilla geçici olarak Firefox tarayıcısının Flash desteğini durdurmuştu.
Geçtiğimiz hafta ise FBI (Federal Bureau of Investigation – Federal Soruşturma Bürosu)  yayınlanan zafiyetlerden (CVE-2015-5119) birinin kamu kurumlarını hedef alan bir saldırıda kullanıldığını açıklayan bir rapor yayınladı.
FBI raporunda bildirilen alanadları ve IP adresleri aşağıdadır, kurumsal ağımızla temasları olup olmadığını kontrol etmekte fayda var.

  • bwxt.com
  • dublincore.org
  • 125.227.139.53
  • 107.20.255.57


3 Estonyalı’ya Zararlı Yazılım Yaymaktan Hapis Cezası

11 yıllık siber suç hayatları boyunca 100’den fazla ülkede 4 milyondan fazla bilgisayara zararlı yazılım bulaştırmakla suçlanan Estonya asıllı 3 kişi A.B.D.’de Yaklaşık 40’ar ay toplamda 4.5 milyon A.B.D. doları cezaya çarptırıldı.
Bu kadro tarafından yayılan zararlı yazılımın kurban bilgisayarın internet trafiğini ve arama sonuçlarını belli reklam bağlantılarına yönlendirip haksız kazanç elde ettikleri açıklandı. Çetenin faaliyetlerinin sonucunda yaklaşık 14 milyon A.B.D. Doları para kazanmış olabileceği düşünülüyor.
Çete tarafından kullanılan zararlı yazılımın sadece trafiğe müdahale etmesine karşın kurban bilgisayar üzerindeki antivirüs yazılımını devre dışı bırakması nedeniyle kurbanların başka saldırılara maruz kalarak daha büyük kayıplar yaşadığı tespit edilmiş. Mahkemeye sunulan en önemli örnek NASA’nın bu zararlı yazılımın antivirüs sistemini devreden çıkartması sonucunda bulaşan bir zararlının 65,000 A.B.D. Doları düzeyinde maddi kayba yol açmasıdır. 7 kişiden oluştuğu düşünülen çetenin 3 üyesi daha çeşitli suçlardan yargılanırken üyelerinden en az birinin hala yakalanamadığı belirtiliyor.

 

Akıllı Saatlerin Hepsinde Güvenlik Zafiyeti Tespit edildi

HP tarafından piyasadaki akıllı saatler üzerinde yapılan bir araştırmada incelenen saatlerin hemen hepsinde kritik güvenlik zafiyetlerinin olduğu belirlenmiş.
Aralarında Apple Watch ve Samsung Gear gibi ünlü saatlerin de bulunduğu örnekler üzerinde yapılan testlerde aşağıdaki zafiyetlerin bir veya birkaçı tespit edilmiş;
Yetersiz giriş ve kullanıcı doğrulama mekanizmaları
Şifresiz veya zayıf şifreli iletişim
Güvenlik zafiyeti barındıran işletim sistemi
Güvensiz arayüz
Kullanıcının kişisel bilgilerinin korunamaması
Henüz hayatımıza çok girmemiş olsalar da akıllı saatlerin mevcut çağrı yönetme, e-posta görüntüleme, sağlık uygulamaları (adımsayar, nabız ölçer, vs.) ve finans uygulamalarının artan kullanım oranlarının beraberinde ciddi güvenlik sorunları getirebileceklerini öngörmek zor değil.

 

Hacklenen Arabalar

Geçen haftanın en gündemdeki konularından birisi de şüphesiz arabaların hacklenmesiydi. Yayınlanan araştırma sonuçları ve aşağıdaki gibi videolar sonucunda artan farkındalık sayesinde araba üreticileri bazı adımlar atmaya başladı.
2014 yapımı bir Jeep Cherokee’nin hacklenebildiğinin kanıtlanmasının ardından bu aracın üreticisi Fiat Chrysler ürettiği çeşitli modelde toplam 1.4 milyon aracı geri çağırdığını duyurdu.
Araba hacklenmesiyle ilgili bir videoyu aşağıda görebilirsiniz.

Araba hacklemek için saldırganların çoğunlukla yetersiz güvenlik tedbirleri ile inşa edilen CAN (Controller Area Network) yapısını istismar ettikleri görülüyor. Bu sistem arabaların çeşitli parçalarının birbirleriyle iletişim kurabilmesini sağlıyor ancak yapı itibariyle her parçanın bir diğerine komut göndermesine imkan veriyor.

 

JP Morgan Olayında Gelişme Var

Daha önce ele aldığım ve neredeyse her eğitimde örnek olarak ele aldığım JP Morgan Chase Bankasının hacklenmesi olayında gelişme var. Bu olayın içime bu kadar dert olmasının sebebi, milyonlarca dolar bilgi güvenliği bütçesi ve bu konuda çalışan yüzlerce çalışanı olan, dünyanın en sıkı bilgi güvenliği yönetmeliklerine ve denetimlerine konu olan bir yapının hacklenmiş olmasıdır. Olayın detaylarıyla ilgili bir yazıma http://alperbasaran.com/bosa-giden-250-milyon-dolar/ adresinden ulaşabilirsiniz.
İsrail ve A.B.D.’de yapılan tutuklamalara bakılırsa bu olayın arkasında uluslararası düzeyde faaliyet gösteren bir hisse senedi dolandırıcılığı şebekesi var. Rusya, İrail ve A.B.D.’de faaliyet gösteren şebekenin JP Morgan Chase gibi finans kuruluşlarını hackleyerek ele geçirdikleri kullanıcı adları ve parolalarını “Penny Stock” olarak adlandırılan değersiz hisse senetlerini satın almak için kullandıkları ve bu alım emirleriyle değerlerini yapay olarak arttırdıkları hisse senetlerini belli bir seviye gelince satarak haksız kazanç elde ettikleri iddia ediliyor. Gereksiz bilgi olarak: “Pump and Dump” olarak adlandırılan bu yöntemin mucidi, “Wolf of Wall Street” (Tur. Para Avcısı) Leonardo di Caprio tarafından canlandırılan Jordan Belfort’tur ve Amerikan yasalarına göre bu faaliyetleri yürütmek suçtur.

 

Eski Telefonların Siber Saldırılarda Kullanılması

Daha önce “side channel” olarak da adlandırılan ve sistemlerin kullandıkları ana ileitşim yolu olan Ethernet veya TCP/IP gibi protokollerin dışında kalan yollarla sistemlere saldırmanın mümkün olduğunu görmüştük (bu konudaki bir yazıma http://h4cktimes.com/analiz-makaleler/internete-bagli-olmayan-sistemleri-hacklemek.html adresinden ulaşabilirsiniz.
12 Ağustosta A.B.D.’de başlayacak Usenix Güvenlik Sempozyumunda ise, bir grup İsrail’li araştırmacı, konuyu bir adım ileri taşıyarak basit bir cep telefonunun (“akıllı” olmayanlar vardı ya hani) hiç bir ağa bağlı olmayan bir bilgisayardan veri sızdırmak için nasıl kullanılabileceğini gösterecekler.
Bu amaçla deneme amaçlı geliştirdikleri zararlı yazılımın demosunu gösteren bir videoyu aşağıda paylaşıyorum, uykularımızı kaçırabilecek türden bir gelişme…

daha fazla yazı

Yazar Hakkında

Alper Başaran
Alper Başaran

Daha Fazla Yazı
yorum yapın

Yorum Yok

Henüz yorum yapılmamış

İlk yorumu siz yapabilirsiniz.

Yorum ekleyin

Bilgileriniz güvende! E-posta adresiniz yayınlanmayacak. Diğer kişisel bilgileriniz üçüncü partilerle paylaşılmayacak.
* işaretli alanlar zorunludur.

Time limit is exhausted. Please reload CAPTCHA.