Yazılar

GCHQ ve NSA “Şirinler” ile hackliyor

gchq-nsa-sirinler-ile-hackliyorEski NSA ajanı Edward Snowden yine yaptığı açıklamalarla ABD’nin casusluk kapasitesine dair önemli bilgiler verdi. Özellikle akıllı telefonlarla ilgili tehdit boyutu çok geniş.

Edward Snowden İngiliz gizli servisi GCHQ ve ABD Ulusal Güvenlik Ajansı NSA’in neredeyse tüm cep telefonlarına sahibinin izni olmadan erişebildiğini açıkladı. Örneğin GCHQ şifrelenmiş bir mesaj göndererek arka kapıyı aktive ediyor ve sonrasında cep telefonu kamerasını aktive ederek fotoğraf çekip, ortam dinlemesi gerçekleştirebiliyor.

GCHQ’nun bu gizli takip sistemine “Smurf Suite” adı veriliyor. Smurf Suite içerisindeki Dreamy Smurf aracı güç yönetimini sağlıyor. Bunun anlamı GCHQ telefonunuzu izniniz dışında açıp, kapatabiliyor. Nosey Smurf aracı ise mikrofon kontrolü sağlıyor. GCHQ istediği zaman uzaktan mikrofonunuzu aktive edebiliyor ve sonrasında ortam dinlemesi gerçekleştirebiliyor. Tracker Smurf ise coğrafi konum elde etmek için. Nerede olduğunuzu baz istasyonları aracılığı ile tespit ederek merkeze bildiriyor.

Üstelik bu araçlar öyle ustaca tasarlanmış ki telefonunuzda bir gariplik olduğunu farkedip servise götürseniz bile tespit edilemiyorlar. Herhangi bir uzman veya teknisyenin tespit edemeyeceği kadar başarılı tasarlanmış. Elbette amaç geniş. Telefon kullanıcısının kimi aradığı, kiminle mesajlaştığı, hangi web sitelerini gezdiği, kişi listesi, nerelerde bulunduğu, hangi kablosuz ağlara bağlandığı gizli servislerin hedefinde olan bilgiler.

Bu teknolojilerde GCHQ ile NSA arasında ciddi bir ortaklık bulunuyor. NSA teknolojiyi geliştirirken, GCHQ ise operasyonel kısmı üstleniyor. İngilizlerin sadece cep telefonlarını takip etmek için 1 milyar dolar gibi bir bütçe ayırdıkları biliniyor. İngiliz ve ABD’li yetkililer bazı casusluk faaliyetleri olduğunu doğrularken bunları yasalara uygun şekilde pedofili ve terörizmle savaş için gerçekleştirdiklerini belirtiyorlar. Hatta Snowden’ın açıklamalarına göre bu sözde yasal sınırı çoktan aşan İngilizler Pakistan’a satılan Cisco ağ cihazları üzerinden ciddi miktarda veriyi çekerek yine casusluk amaçlı inceliyor.

Linksys, Netgear, Cisco routerlarda ikinci kez gizli arka kapı bulundu

linksys-netgear-cisco-routerlarda-ikinci-kez-gizli-arka-kapi-bulunduBu yıl başlarında TCP/32764 portunda çalışan bir arka kapının Linksys, Netgear, Cisco ve Diamond marka routerlarda bulunduğu ortaya çıkmıştı. TCP/32764 portuna bağlanan biri şifre girmeden admin haklarıyla shell erişimi kazanıyordu.

SerComm’un ürettiği bu cihazlarda bulunan arka kapı sonrasında SerComm arka kapıyı kapattığını açıklayarak yeni bir firmware güncellemesi yayınladı. Fakat bu yama niteliği taşıyan firmware güncellemesinin açığı kapatarak aynı arka kapıyı farklı bir şekilde cihaza eklediği ortaya çıktı.

Örnek olarak SerComm üretimi Netgear DGN1000 marka router üzerinde çalışan 1.1.0.55 versiyon firmware incelendiğinde dosya içerisinde “scfgmgr” adında bir dosya dikkat çekiyor. Bu dosya arka kapı özelliği içeriyor. Yine unpack sırasında dikkat çeken “ft_tool” adında bir dosya oluyor bu “-f” parametresi ile kullanıldığında ise arka kapıyı aktif hale getiriyor.

Bunun anlamı ise herhangi bir kişinin güncel bir firmware kullanmasına rağmen SerComm’un ürettiği Linksys, Netgear, Cisco, Diamond marka routerların 24 ayrı modelinde, TCP/32764 portunda çalışan shell erişimini aktif hale getirip cihaz üzerinde tam yönetim sağlayabilecek olması. Saydığımız markaların gerek kamu, gerekse özel sektörde çok sayıda yerde kullanılıyor olması ise riskin boyutlarını bir kademe yukarıya taşıyor.

Hacklenen yüzlerce büyük firma sadece 20 dolar

yuzlerce_buyuk_firma_tehdit_altindaSiber suç dünyasında sunulan sayısız hizmet ile spesifik kuruluşların hack edilen bilgisayarlarına erişimi satın alma fırsatı sağlanıyor. Sadece birkaç dolar karşılığında, dünyanın en zengin kuruluşu içinde kendi yolunuzu belirlemeniz mümkün bir hal alıyor.

Bu konuyla alakalı olarak incelenen 2010 yıllarının başında kurulmuş bir siber suç hizmeti sağlayan ağ’da, kuruluşundan bu yana 300.000 sistemin giriş çıkışı yapılmış, şu anda ise dünya çapında 17.000 bilgisayara erişim kiralanıyor. Bu satılan makinelerin tümü kendi yasal sahiplerinin kullanıcıya masaüstüne uzaktan erişim sağlayan Microsoft Windows Remote Desktop Protocol-RDP kullandıkları sırada internet üzerinden gelen bağlantıları kabul etmeleriyle ele geçiriliyor. Çıkan son RDP açığı bu sistemleri daha da hedef haline getiriyor.

İş yerleri uzaktan erişim yönetimi gerçekleştirmek istedikleri sunucu ve masaüstü sistemleri için çok sık olarak RDP hizmetini çalıştırmayı tercih ediyorlar ki bir de kolayca tahmin edilebilecek bir kullanıcı adı ve şifre seçmişlerse sistemlerinin satışa çıkarılması an meselesi oluyor.

“Tüm dünya sadece bir serviste” sloganıyla siber suç forumlarında hacklenmiş RDP sunucularının reklamı yapıyor. WebMoney adı verilen sanal para birimi kullanarak 20$ değerinde kayıt ücretini ödeyen ve hizmet sahibiyle online mesajlaşma yoluyla kontağa geçen her yeni müşterisine de sistemlerine erişim hakkını garantiliyor. Hacklenmiş sunucuların fiyatı işlemcinin hızı, işlemci çekirdek sayısı, makinenin indirme ve yükleme hızı, RDP servisinin çevrimiçi olduğu sürenin uzunluğu gibi çok sayıda özelliğe bağlı olarak hesaplanıyor.  Her ne kadar bu şekilde pazarlanmamış olsa da, servis hacklenmiş sayısız RDP sunucuları arasında spesifik bir organizasyondaki bilgisayarlara ulaşmak isteyen kullanıcıları için de bir araştırma opsiyonu sunuyor.

satilik_cisco_rdp_server

 

Hal böyleyken dünyanın en zengin ilk 500 kuruluşu için atanmış IP adresi listesine güvenmemek elde değil. Öyle ki dünyanın ilk 100’ü arasındaki ağ devi Cisco Systems firmasına ait hacklenmiş RDP sunucusu yukarıdaki ekran görüntüsünde görüldüğü gibi 4.55$’a satılmış ve makinenin San Jose, Kaliforniya’da bulunan bir Windows Server 2003 olduğu belirtilmiş. Atanan kimlik bilgilerinin “Kullanıcı adı: Cisco / Şifre: Cisco” şeklinde olması ise hayrete düşürücü. Cisco güvenlik takımından bir yetkili hacklenen RDP sunucusunun Cisco ağından olduğunu doğrulamış fakat makinenin gereksiz bir laboratuar makinesi olduğunu iddia ederek daha fazla detay vermeyi reddetmiş.  Bu makinelerin satışını yapan siteler direkt olarak RDP makinelerini kendilerine satarak komisyon elde eden hackerlarla rdp_sunucu_satici_listesiişbirliği halinde çalışıyor.

Prensiplerinden biri Rusya’dan gelen RDP sunucularını kabul etmemeleri ki bunun sebebi muhtemel olarak sahiplerinin Rus olması ve kendi yasalarıyla ters düşmemek istememeleri. Aşağıdaki ekran görüntüsünde satıcı adlarının yanındaki rakamlar sattıkları sunucu sayısını gösteriyor. Satıcılar sisteme ekledikleri sunucuların ne amaçla kullanabileceğini belirleme hakkına sahip ve çoğunlukla beyan edilen ise RDP sunucularının online kumar, PayPal vb. gibi kişisel aktivitelerde kullanılamayacağı yönünde. Alıcıların hacklenen sistemler üzerindeki yetkisi normal kullanıcı seviyesinde sınırlandırılarak çok sayıda yazılımın indirilmesi engellenmiş oluyor.

Ama endişelenmenin lüzumu yok çünkü operatörler alıcılara “Yeni aldığınız sunucunun yönetiminde herhangi bir problem yaşadığınızda sorununuzu teknik desteğe iletirseniz, size severek yardımcı olacağımızdan emin olabilirsiniz.” garantisini sonuna kadar veriyorlar.