Yazılar

Hackerlar 22 saat içinde harekete geçiyor

hackerlar-22-saat-icinde-exploit-ediyorHer hafta yazılarımızla siber tehditler ile ilgili en güncel bilgileri aktarmaya çalışıyoruz. Bu gelişmeler TerraMedusa Siber İstihbarat altyapısına detaylı analizleri ile birlikte anlık olarak düşse de, ayrıcalıklı müşterilerimiz hariç sizlere haftalık olarak özet bilgileri aktarabiliyoruz.

En çok rastladığımız anlık düşen bilgilerin bazen bir hafta, bazen iki haftayı bulacak bir süre sonra herkesçe erişilebilir kaynaklara ulaşıyor olması.

Bilginin önem kazandığı, önce öğrenenin kazandığı çağda bu bilgileri siber saldırganlar da hızlıca değerlendiriyor.

Artık siber suçlular ışık hızıyla siber güvenlik ile ilgili gelişmeleri exploit ederek kullanma yarışına girmiş durumda. Bu bazen haberlerde “son dakika gelişmesi” olarak duyurulan bir uluslararası haberin zararlı yazılım olarak dağıtılması için fırsat oluyor, bazen ise firmaların yaptığı yazılım, hizmetlerin exploit edilerek farklı şekillerde kullanılması olarak gelişiyor.

Bir güvenlik açığının bulunması, bir haberin zararlı kod olarak dağıtılabilmesi o konunun afişe olmasından sonra yaklaşık 22 saat içinde gerçekleştiği görülüyor. Reel örneklere gelecek olursak 6 Ekim’de zararlı yazılım dağıtıcılarının tasarladığı haberde ABD’nin Suriye’ye hava saldırısı başlattığı duyurularak “The United States Began Bombing” konulu e-postalar yayılmaya başlamıştı. Elbette çok sayıda kişi bu e-postalar yardımıyla zararlı yazılıma maruz kaldı.

Benzer saldırıları bir yazılımın yeni açığı bulunduğunda da hızlıca uygulandığını görererek sıkça yaşıyoruz. Diğer örneklerde ise Mart 2013’de yeni Papa’nın seçilmesi, Nisan 2013’de yapılan Boston maratonu bombalı saldırısı gibi exploit edilebilecek gelişmelere sıkça şahit oluyoruz.

CEH sertifika otoritesi hacklendi

ceh-logoGodzilla takma adlı hacker, Certified Ethical Hacker (CEH) sertifikası dağıtıcısı otorite EC Council sistemlerini hackledi. Hacker’ın sızdığı EC Council’de eğitim materyalleri ve pek çok sertifikasyon programı ile ana eğitim materyallerine eriştiği belirlendi.

Godzilla’nın yayınladığı ekran görüntülerinde EC Council web sitesini hackledikten sonra WSO adlı web shell kodunu sunucuya göndererek çalıştırdığı görülüyor. Firmanın 2010 yılından beridir kullandığı Joomla CMS sistemini güncellemediği düşünülüyor. Ekran görüntüsündeki dosyalarda gözüken son değişim tarihleri de bunu doğrular nitelikte.

EC Council’in ana görevi bilişim sektörü profesyonellerine bilgi güvenliği ile ilgili eğitimler vermek ve hacklenmemeleri için gereken önlemleri almalarını sağlamak olarak özetlenebilir. CMS hacking olaylarının sık yaşandığı birkaç yıldır kendi sistemlerini kontrol edip güncellememiş olması ise metodolojinin ne kadar işler olduğuechack-052013-1 hakkında soru işaretlerini arttırdı.

EC Council’in kullandığı Joomla ise böyle kritik bir kurumda kullanılmayacak kadar kötü bir sicile sahip. CVE veritabanında yapılan sorguda Joomla’ya ait 629 güvenlik açığı ile karşılaşıyor. Bu rakam dışında epeyi bir açığın da 0day veritabanlarında listelendiği biliniyor.

Şimdi EC Council’in eğitim materyallerini kullanarak süreçlerini şekillendiren kimi devlet, kimi özel sektör temsilcilerinin sıkıntısı aynı. Eğitim içeriklerinin içerisine gizlenebilecek bir zararlı yazılımın ağlara sızabilme ihtimali. EC Council’in bu konu ile ilgili bir açıklaması bulunmuyor. Diğer yandan yıllardır CEH müfredatının çok geç güncellendiği, verilen eğitimlerin yüzeysel olduğu ve sertifikanın önemi üzerine tartışmalar sürerken kendini koruyamayan EC Council’in güvenliği sağlamaktan çok kurumlara zarar verip vermediği değerlendiriliyor.