Dünya çapındaki bankalardan 55 milyon dolar sızdıran Türk

dunya-capindaki-bankalardan-55-milyon-dolar-sizdiran-turkİsmi Ercan Fındıkoğlu. Fakat internette Segate, Predator, Oreon gibi takma adlarla anılıyor. Fındıkoğlu 2011-2013 yılları arasında global çok sayıda bankadan toplam 55 milyon dolar sızdırdı.

57.5 yıl hapisle yargılanan Ercan Fındıkoğlunun mahkemesi geçtiğimiz günlerde görüldü. Fındıkoğlu’nun organizasyonu oldukça gelişmiş tekniklerle kredi kartı ve debit kart ödeme altyapısı sağlayan firmalar ve bankalara saldırıyordu. Ele geçirdikleri ön ödemeli debit kartları ve kredi kartlarının ise içini boşaltıyorlardı. Aynı zamanda Fındıkoğlu kredi kartı ödeme altyapısı firmalarını hackleyerek debit kartların PIN numaralarını da ele geçiriyordu.

Öylesi geniş bir ekipten söz ediyoruz ki ele geçirilen bu çok sayıda kart bilgisi dünya çapındaki yüzlerce ATM’den nakite dönüştürülüyordu. Fındıkoğlunun organize ettiği operasyonlardan birinde, 27 Şubat – 28 Şubat 2011 tarihinde, kartlardan 15.000 izinsiz para çekim işlemi yaklaşık 18 ülkede gerçekleştirildi. İkinci operasyon ise 22 Aralık 2012 tarihindeydi. Bu operasyon sırasında da 20 ülkedeki 4.500 ayrı ATM cihazı kullanıldı ve 5 milyon dolar çalındı.

Üçüncü operasyon 19 Şubat – 20 Şubat 2013 tarihlerindeydi. Fındıkoğlunun ekibi 24 ülkedeki ATM cihazlarında 36.000 işlem gerçekleştirdi ve 40 milyon dolar gibi devasa bir nakit sızdırdı. Bu tarihlerde ekip sadece New York’ta 3.000 ATM cihazından 2.4 milyon dolar 11 saatten az bir sürede çekti.

Ercan Fındıkoğlu 2013’ün Aralık ayında Frankfurtta tutuklanarak Haziran 2015’te ABD’ye teslim edilmişti. Geçtiğimiz günlerde görülen mahkemede 34 yaşındaki Fındıkoğlu işbirliği yaparak suçunu kabul etti. Normalde 57 yıl hapis ile yargılanmasına rağmen suçunu itiraf ettiği için 11 ile 15 yıl arası bir hapis cezası alması bekleniyor.

MagSpoof ile elektromanyetik alan kullanarak kredi kartı kopyalamak

magspoof-ile-elektromanyetik-alan-kullanarak-kredi-karti-kopyalamakMagSpoof cihazı ile manyetik alana sahip herhangi bir kart veya kredi kartını uzaktan kopyalamak ve bu cihazı kredi kartı gibi kullanmak mümkün.

Parçalarının toplam değeri 10 dolar tutan bu cihaz değerine oranla oldukça kabiliyetli. Kablosuz olduğu gibi kablolu ödeme terminallerinde de kullanılabiliyor. MagSpoof bir micro-controller, motor-driver, kablo, resistor, switch, LED ve pilden oluşuyor.

Cihaz tüm kredi kartı bilgilerini kopyalayıp sakladığı gibi aynı zamanda bunları değiştirebiliyor. Örneğin aslında chip gerektiren bir kredi kartını chip gerektirmeden PIN ile kullanılabilmesi buna örnek gösterilebilir. Elbette kullanım alanı bununla sınırlı değil bina ofis giriş kartları, otel odası anahtarları, park biletleri gibi çok sayıda alanda manyetik kart kullanımı yaygın.

Cihazı geliştiren bilgi güvenliği araştırmacıları özellikle American Express ile ilgili de ilginç bir bilgiye ulaştılar. Çok sayıda Amex kart numarası inceleyip, bunları 20 başka Amex kart bilgisi ve yenilenmiş kartların numaralarıyla karşılaştırdılar. Sonuç olarak kullanılan algoritmaya dair önemli bulgulara ulaşan araştırmacılar American Express kredi kartlarının kredi kartı numarası algoritmasını çözdüler. Bunun anlamı eğer Amex kredi kartı çalınır veya kaybolursa ve kişi eski kartı numaranızı biliyorsa yeni kart numarasını eskisinden yola çıkarak elde edebiliyor.

MagSpoof cihazını böyle ilginç hale getiren bir diğer konu ise bu küçük cihazın NFC, RFID gibi bir kablosuz teknolojiyi kullanmadan kablosuz şekilde manyetik kart bilgilerini kopyalayabilmesi. Bunu yaparken sadece kart fiziksel olarak kullanıldığında ortaya çıkan elektromanyetik alan kullanılıyor. Kartlardaki Track 1 ve Track 2 bilgilerinin her ikisi de ele geçirilebiliyor.

Araştırmacılar cihazı yapmakla ilgili tüm kod ve şemaları yayınlasa da EMV chiple ilgili fonksiyonlar bilerek yayınlanmadı. Aynı zamanda American Express kredi kartlarıyla ilgili kredi kartı numarası tahmin özelliği de yine yayınlanmış değil.

Polis kameralarına bulaşan gizli Virus

polis-kameralarina-bulasan-gizli-virusPolislerin üzerlerine takılarak görev ve operasyon görüntülerini kaydeden kameralarda zararlı yazılım tespit edildi.

ABD’nin Florida eyaletinde faaliyet gösteren iPower Technologies ismindeki firma polislerin üzerine takılan Martel Frontline Camera adında GPS’li bir ürün üretmekte. Aynı zamanda iPower firması polis departmanları ve diğer devlet kurumları için bulut bağlantılı video depolama hizmeti de sunuyor. Videolar bulut üzerinde arşivlenerek buradan arama ve erişim sağlanıyor.

Fakat Martel Electronics firmasının ürünlerini analiz eden uzmanlar çarpıcı bazı sonuçlarla karşılaştılar. Polislerin üzerlerine taktığı iPower serisi kameralarda ön yüklü olarak Win32/Conficker.B!inf solucan virüsü tespit edildi. Kamera bilgisayara bağlandığında antivirus programları kolayca zararlı yazılımı tespit ederek karantina altına alınıyor. Birden fazla kamerada bu zararlı yazılım tespit edilmiş durumda. Fakat antivirus kullanılmayan ağlarda durum vahim. Öyle bir senaryoda Conficker virusu aktif hale gelerek önce kameranın bağlandığı sisteme sonrasında ise ağ yoluyla diğer sistemlere bulaşıyor.

Araştırmacılar Martel firması ile iletişime geçerek konuyla ilgili görüştüğünde ise firmanın başkanı bu durumun ciddi güvenlik sorunları yaratacağını ve sattıkları kameralarla ilgili IT bölümlerinin sorunun çözümü için çalıştığını belirtmekle yetiniyor. Martel firmasının ürünleri ABD dahil çok sayıda ülkede polis ve başka devlet kurumlarınca aktif olarak kullanılıyor. Conficker ise ilk kez Kasım 2008 tarihinde ortaya çıkmıştı ve İran’ı etkileyen Stuxnet zararlısıyla ilişkili olarak belirlenmişti. Halen çok sayıda devlet kurumu ve firmanın Windows XP benzeri eski işletim sistemleri de kullandığı düşünüldüğünde, ağa bulaşacak bu tür bir zararlı yazılım için kolayca diğer sistemlere bulaşmak mümkün.

İŞİD’li teröristler haberleşmek için Playstation kullanıyor

isid-teroristler-haberlesmek-icin-playstation-kullaniyorBeklenenin aksine teröristler bu kez iletişim için güç şifreleme teknikleri veya özel programlar kullanmıyor. Bunun yerine cevap Playstation 4.

El Kaide’nin yıllardır kendi tasarladığı özel şifreleme algoritmalarına sahip uygulamalarla militanlarının haberleşmesini sağladığı bilinen bir gerçek. Bu şifrelemeler bir kaç yılda bir yenilenerek farklı versiyonlara geçiş yapılıyor. Fakat İŞİD biraz daha farklı bir strateji ile ilerliyor. Son gerçekleştirilen kanlı Paris saldırısı sırasında İŞİD’li teröristlerin gerekli planlama ve haberleşme için Playstation 4 oyun konsolunu kullandıkları ortaya çıktı.

Saldırının arkasndaki lojistik desteği araştıran Fransız ve Belçika güvenik güçleri, saldırıyla ilgili lojistik destek sağlayan kaynaklara yaptığı baskında Playstation 4 oyun konsolu ile karşılaştı. Fransa internet trafiğini sıkı şekilde takip etse de Playstation üzerindeki iletişimi izlemek WhatsApp, Facebook, Twitter gibi kolay gerçekleşmiyor. Playstation mimarisinde sadece merkezle yapılan iletişim değil. Aynı zamanda doğrudan cihazdan cihaza da iletişim kurulabiliyor.

Belli ki teröristler bu platformu teknik olarakta inceleyerek iletişim için uygun bir platform olduğuna karar vermiş. Güvenlik güçleri tarafından el koyulan Playstation oyun konsolları incelenerek teröristlere bu cihazların veya platformun nasıl yardım ettiği tam olarak aydınlatılacak.

Dosyaları şifreleyip Bitcoin isteyen zararlı yazılım 325 milyon dolar kazandırdı

Sadece bir yıl içerisinde CryptoWall zararlı yazılımı sahiplerine 325 milyon doların üzerinde bir kazanç sağladı. Rakam büyük olduğundan ötürü sürekli yeni güncellemeler geliyor.

Ransomware türünde zararlı yazılımlar küçük ve ortak ölçekli firmalarla birlikte kişisel kullanıcılar için büyük tehdit oluşturmaya devam ediyor. Genellikle önceden hazırlanmış senaryolar ve bilinen açıklarla ağa sızan kişiler erişebildikleri tüm kullanıcı sistemi, sunucu, dosya sunucuları gibi veri kaynaklarını şifreleyerek Bitcoin üzerinden 200 dolar ile 20.000 dolar arası para talep ediyorlar.

dosyalari-sifreleyip-bitcoin-isteyen-zararli-yazilim-325-milyon-dolar-kazandirdi

Ülkemizde de sıkça karşılaşılan bu şantaj durumunda kullanıcılardan yasadışı ticarete de göz yuman ödeme altyapı sağlayıcı firmalardan ödeme yapması isteniyor. Muhtemelen Bitcoin’in teknik olarak daha zahmetli olmasından ötürü bu yol tercih edilmekte. Elbette bu tarzda saldırılar yapan CryptoWall benzeri çok sayıda yazılım var. Fakat şu ana kadar elde edilen verilere göre en büyük etkiyi yaratan yine CryptoWall oluyor.

  • 406.887 CryptoWall saldırısı
  • 4046 zararlı dosya türevi
  • Komutları alıp, ileten 839 komuta kontrol sunucusu
  • 49 farklı CryptoWall zararlı dosya dağıtım senaryosu
  • 49 senaryo dışında, “crypt100” operasyonuyla tek başına 15.000 sistemin enfekte edilmesi

Aynı hacker grubu bir önceki sene CryptoWall’ın eski versiyonuyla 18 milyon dolar elde etmişti. Cryptowall diğer zararlılar gibi web siteleri üzerinde çalışan exploit kitler, zararlı dosya içeren phishing e-mailleri gibi yöntemlerle dağıtılıyor. Şu an için dosyalardaki şifreyi kıracak bir yöntem bulunmuyor. Tek çözüm sık sık yedek alarak gerekli güvenlik önlemlerini almak. Fakat eğer CoinVault ve Bitcryptor ile şifrelenmiş dosyalara sahipseniz yeni yayınlanan araç ile bu şifreleri çözmek mümkün.

Renkli yazıcılardan basılan sayfalarda ilk bakışta göremediğimiz bilgiler gizli

renkli-yazicilardan-basilan-sayfalarda-ilk-bakista-goremedigimiz-bilgiler-gizliYaygın şekilde kullanılan çoğu renkli yazıcının basılan her sayfaya aslında bazı bilgileri renkler kullanarak kodladığı ortaya çıktı.

Kısa adıyla EFF olarak bilinen Electronic Frontier Foundation isimli sivil toplum örgütü yaptığı araştırmayla önemli bir gerçeği ortaya çıkardı. Renkli lazer yazıcılardan çıkarılan her sayfada ufak renkli noktalar yardımıyla bilgilerin gizlendiği tespit edildi. Her sayfaya eklenen bilgiler tarih, zaman ve yazıcının seri numarasını içeriyor.

Bu noktalar bir milimetreden daha ufak boyutta ve basılan her sayfada yenileniyor. Bu noktalar çıplak göz ile görülemiyor görmek için mavi ışık, büyüteç veya mikroskop gerekli. ABD Gizli Servisinin çoğu yazıcı üreticisi ile iletişime geçip bu sistematiği uygulattı. Bu oldukça güç farkedilen takip sisteminin gerekçesi ise gerçekleştirilen sahte doküman basımları.

 

EFF araştırmacıları şu an için sadece Xerox DocuColor serisi yazıcıların bastığı kodları renkli-yazicilardan-basilan-sayfalarda-ilk-bakista-goremedigimiz-bilgiler-gizli-2kırmayı başardı. Bu konuda Xerox ile görüştüklerinde ise devletin isteği üzerine böyle bir uygulamanın yapıldığı cevabını aldılar. Listeye bakıldığında oldukça uzun. Çoğu üretici ABD’nin kurduğu bu sisteme bağlı şekilde renkli yazıcı üretiyor.

Brother, Canon, Dell, Epson, HP, IBM, Konica, Kyocera, Lanier, Lexmark, Minolta, NRG, Panasonic, Ricoh, Salvin, Toshiba ve Xerox takip amacıyla neredeyse tüm lazer renkli yazıcı modellerinde her sayfaya bilgileri basan firmalar. Oki ve Samsung modellerinde ise herhangi bir ize rastlanmadı. Elbette bu minik noktaların bazı marka veya modellerde bulunmaması her dokümana işaret konulmadığı anlamına gelmiyor. ABD’nin dokümanları işaretlemek için farklı üretici, yazıcı modellerinde değişik yöntemler izlediği biliniyor. Dolayısıyla henüz keşfedilmemiş tekniklerle diğer üreticilerde, yazıcı modellerinde de takip yapıyor olabilirler.

GCHQ ve NSA “Şirinler” ile hackliyor

gchq-nsa-sirinler-ile-hackliyorEski NSA ajanı Edward Snowden yine yaptığı açıklamalarla ABD’nin casusluk kapasitesine dair önemli bilgiler verdi. Özellikle akıllı telefonlarla ilgili tehdit boyutu çok geniş.

Edward Snowden İngiliz gizli servisi GCHQ ve ABD Ulusal Güvenlik Ajansı NSA’in neredeyse tüm cep telefonlarına sahibinin izni olmadan erişebildiğini açıkladı. Örneğin GCHQ şifrelenmiş bir mesaj göndererek arka kapıyı aktive ediyor ve sonrasında cep telefonu kamerasını aktive ederek fotoğraf çekip, ortam dinlemesi gerçekleştirebiliyor.

GCHQ’nun bu gizli takip sistemine “Smurf Suite” adı veriliyor. Smurf Suite içerisindeki Dreamy Smurf aracı güç yönetimini sağlıyor. Bunun anlamı GCHQ telefonunuzu izniniz dışında açıp, kapatabiliyor. Nosey Smurf aracı ise mikrofon kontrolü sağlıyor. GCHQ istediği zaman uzaktan mikrofonunuzu aktive edebiliyor ve sonrasında ortam dinlemesi gerçekleştirebiliyor. Tracker Smurf ise coğrafi konum elde etmek için. Nerede olduğunuzu baz istasyonları aracılığı ile tespit ederek merkeze bildiriyor.

Üstelik bu araçlar öyle ustaca tasarlanmış ki telefonunuzda bir gariplik olduğunu farkedip servise götürseniz bile tespit edilemiyorlar. Herhangi bir uzman veya teknisyenin tespit edemeyeceği kadar başarılı tasarlanmış. Elbette amaç geniş. Telefon kullanıcısının kimi aradığı, kiminle mesajlaştığı, hangi web sitelerini gezdiği, kişi listesi, nerelerde bulunduğu, hangi kablosuz ağlara bağlandığı gizli servislerin hedefinde olan bilgiler.

Bu teknolojilerde GCHQ ile NSA arasında ciddi bir ortaklık bulunuyor. NSA teknolojiyi geliştirirken, GCHQ ise operasyonel kısmı üstleniyor. İngilizlerin sadece cep telefonlarını takip etmek için 1 milyar dolar gibi bir bütçe ayırdıkları biliniyor. İngiliz ve ABD’li yetkililer bazı casusluk faaliyetleri olduğunu doğrularken bunları yasalara uygun şekilde pedofili ve terörizmle savaş için gerçekleştirdiklerini belirtiyorlar. Hatta Snowden’ın açıklamalarına göre bu sözde yasal sınırı çoktan aşan İngilizler Pakistan’a satılan Cisco ağ cihazları üzerinden ciddi miktarda veriyi çekerek yine casusluk amaçlı inceliyor.

Sadece 12 dolar vererek Google.com alan adını ele geçirmek

Bugüne kadar eşi görülmemiş bir alan adı ele geçirme olayı gerçekleşti. Sadece 12 dolar ödeyerek Google.com alan adını yönetebildiler. 29 Eylül’de gerçekleşen olayı yaşayan eski Google, şimdi Amazon çalışanı olan biri. Google’ın alan adı satış servisi Google Domain üzerinden google.com adresini arayan bu kişi alan adının kayıt edilebilir olduğunu görür.

sadece-12-dolar-vererek-google-alan-adini-ele-gecirmek

Şaşırsa da alan adını seçip sepete ekleyemeyeceğini düşünür, seçip eklediğinde ise bunun gerçekleştiğini farkeder. Ödeme kısmına geçerek ödemesini yapar ve cep telefonuna bilgilendirme mesajı ulaşır.

sadece-12-dolar-vererek-google-alan-adini-ele-gecirmek-2

Satın alma işlemi gerçekleştikten sonra Google Webmaster Tools ekranına Google.com alan adı eklenmiş durumdadır. Üstelik onaylanmış olarak.

sadece-12-dolar-vererek-google-alan-adini-ele-gecirmek-3

Alan adının sahipliği değiştikten sonra yeni sahibine Google ve alt alan adlarıyla ilgili çok sayıda bildirim gelmeye başlar. Kısa bir süre sonra Google Domains bir e-posta yollayarak bu alan adı satış işleminin gerçekleşemeyeceği hakkında bildirimde bulunur ve kredi kartına ödemesini iade eder.

sadece-12-dolar-vererek-google-alan-adini-ele-gecirmek-4

Google.com alan adı Google Domains üzerinden arandığında artık kayıt edilebilir şekilde gözükmüyor. Bu durumda bir kaç dakikalığına da olsa 12 dolar vererek Google.com alan adı kaydı garip bir şekilde ele geçirilmiş oldu. Google güvenlik ekibi de zayıflığı doğrulayarak gerekli önlemleri aldığını belirtti. Yine de bu durumun nasıl gözden kaçırıldığı gizemini koruyor.

Çok sayıda markayı hedefleyen ilk ATM zararlısı

cok-sayida-markayi-hedefleyen-ilk-atm-zararlisiDiebolt, NCR gibi üreticilere ait ATM para çekme makinelerini hedef alan zararlı yazılım gelişmiş özellikleriyle dikkat çekiyor.

ATM cihazlarından para sızdırmaya yarayan zararlı yazılımlar 2013 yılından beridir kullanılıyor. Fakat geçtiğimiz hafta ilk kez birden fazla üreticiye ait ATM cihazlarını hedef alan zararlı yazılım tespit edildi. Adı “Suceful” olan zararlı yazılım ilk kez 25 Ağustos tarihinde VirusTotal sitesine Rusya’dan yüklendi. O zaman henüz geliştirme aşamasındaydı.

Suceful, Diebolt veya NCR ATM cihazlarında kullanılan tüm kredi kartı, debit kartların track verilerini okuyabiliyor. Ayrıca kartların çiplerini okuyarak ATM’in sensörlerini de atlatabiliyor. Yine ATM’in PIN kodu girilen panelini de kontrol ederek şifreyi elde etmek mümkün. Belki de Suceful’un en ilginç özelliği istediği zaman kredi kartını fiziksel olarakta çalmaya imkan vermesi. Örneğin işlem sonrası kullanıcıya kartı çıkartılıp verilmiyor. Kullanıcı da yardım istemek için ATM’in başından ayrıldığında uzaktan tetiklenerek kart dışarı çıkartılıp fiziksel olarak da çalınabiliyor.

cok-sayida-markayi-hedefleyen-ilk-atm-zararlisi-2

Ploutus, Padpin gibi önceki ATM zararlılarını yüklemek için ATM cihazının içerisine ulaştıktan sonra CD, USB gibi yollarla zararlı yazılımı yüklemek veya çalışanlardan birine yaptırmak gerekiyordu. Burada işlemlerin çoğu işletim sistemi üzerinden yürütülüyordu. Suceful ise ATM üreticilerinin ATM cihazıyla haberleşmesini sağlayan XFS Manager ile birlikte çalışarak bu zorunluluğu ortadan kaldırabiliyor. XFS Manager üretici bağımsız ve Java ile kodlanmış bir yazılım. Özellikle NCR marka ATM cihazları ülkemizde de bankalar tarafından sıkça kullanılıyor.

Seagate kablosuz hard disklerde gizli arka kapı

seagate-kablosuz-hard-disklerde-gizli-arka-kapiAraştırmacılar Seagate kablosuz hard disklerde keşfedilen üç kritik zayıflık sayesinde cihazlara izinsiz erişim sağlamak mümkün. Üstelik gizli arka kapıyla.

Kablosuz Seagate hard disklerin 2.2.0.005 ile 2.3.0.014 versiyon arasındaki firmware yazılımında keşfedilen zayıflıklar kritik seviyede. Açıklardan etkilenen ürünler ise Seagate Wireless Mobile Storage, Seagate Wireless Plus Mobile Storage, LaCie FUEL olarak sıralanıyor.

CVE-2015-2874 numaralı ilk zayıflık Seagate hard diskin tasarımı ile ilgili. Cihaz herhangi bir yerde dokümante edilmemiş bir Telnet servisi bulunduruyor. Bu servise varsayılan hesap olan root ile ulaşılabiliyor. Bu şekilde diskteki tüm dosyalara erişilebiliyor.

CVE-2015-2875 numaralı zayıflık ile varsayılan konfigürasyon kullanılırken hard disk kısıtlanmamış şekilde yetkisiz kullanıcılara dosya indirme hakkı tanıyor. Üstelik bu indirilen dosyalar, dosya sisteminde istenilen yere indirilebiliyor.

CVE-2015-2876 numaralı zayıflık sayesinde varsayılan konfigürasyondayken saldırganlar kablosuz olarak diskin dosya saklanan /media/sda2 kısmına ulaşabiliyorlar. Buraya dosya gönderebiliyorlar.

Seagate açıkları kapatan yamayı kısa süre içerisinde yayınladı. Yayınlanan 3.4.1.105 versiyon numaralı güncelleme kurularak açıklıklar kapatılabiliyor. Seagate gizli arka kapı ve diğer açıklıklar hakkında herhangi bir yorum yapmadı.