Yazılar

Yüzbinlerce Otel Odasına İz Bırakmadan Girmek Mümkün

Screen-Shot-2018-04-26-at-10.13.37-923x1030 Yüzbinlerce Otel Odasına İz Bırakmadan Girmek MümkünDünya üzerindeki milyonlarca elektronik kapı kilidi hacklenme tehlikesi ile karşı karşıya.

Elektronik kapı kilitlerinde en çok kullanılan yazılım Vision Software, kilit ise Assa Abloy olarak kabul edilebilir. Bu ürün yaklaşık 20 yaşında. Yaklaşık 12 yıllık bir çalışma sonucunda uzmanlar bu yazılımda güvenlik açığı keşfederek kapı kilitlerini izinsiz açmayı başardı.

Assa Abloy kilitleri Sheraton, Radisson, Hyatt, Intercontinental gibi dünya çapında ünlü çok sayıda otel zincirinde kullanılıyor. Kilitleri hackleyen uzmanlar kilitleri açmak için hem özel yazılım, hem de özel donanımlardan faydalanmış.

Kilitleri hacklemek için önceden kullanılmış ve artık aktif olmayan bir temassız oda giriş kartı yeterli olabiliyor. Bu kartla sadece otel odası değil, otelde kartla girilebilecek diğer bölümlere de izinsiz giriş yapılabiliyor. Bunlar arasında asansörle VIP katlarına izinsiz çıkmakta sayılabilir.

İsveçli üretici firma gerekli güvenlik yamalarını yayınladığını, otellerin 2 ay kadar önce bu yamaları yüklemeye başladığını duyurdu. Fakat henüz yeterince otel sistemlerine yamayı yüklemiş durumda değil.

Dünya çapındaki bankalardan 55 milyon dolar sızdıran Türk

dunya-capindaki-bankalardan-55-milyon-dolar-sizdiran-turk Dünya çapındaki bankalardan 55 milyon dolar sızdıran Türkİsmi Ercan Fındıkoğlu. Fakat internette Segate, Predator, Oreon gibi takma adlarla anılıyor. Fındıkoğlu 2011-2013 yılları arasında global çok sayıda bankadan toplam 55 milyon dolar sızdırdı.

57.5 yıl hapisle yargılanan Ercan Fındıkoğlunun mahkemesi geçtiğimiz günlerde görüldü. Fındıkoğlu’nun organizasyonu oldukça gelişmiş tekniklerle kredi kartı ve debit kart ödeme altyapısı sağlayan firmalar ve bankalara saldırıyordu. Ele geçirdikleri ön ödemeli debit kartları ve kredi kartlarının ise içini boşaltıyorlardı. Aynı zamanda Fındıkoğlu kredi kartı ödeme altyapısı firmalarını hackleyerek debit kartların PIN numaralarını da ele geçiriyordu.

Öylesi geniş bir ekipten söz ediyoruz ki ele geçirilen bu çok sayıda kart bilgisi dünya çapındaki yüzlerce ATM’den nakite dönüştürülüyordu. Fındıkoğlunun organize ettiği operasyonlardan birinde, 27 Şubat – 28 Şubat 2011 tarihinde, kartlardan 15.000 izinsiz para çekim işlemi yaklaşık 18 ülkede gerçekleştirildi. İkinci operasyon ise 22 Aralık 2012 tarihindeydi. Bu operasyon sırasında da 20 ülkedeki 4.500 ayrı ATM cihazı kullanıldı ve 5 milyon dolar çalındı.

Üçüncü operasyon 19 Şubat – 20 Şubat 2013 tarihlerindeydi. Fındıkoğlunun ekibi 24 ülkedeki ATM cihazlarında 36.000 işlem gerçekleştirdi ve 40 milyon dolar gibi devasa bir nakit sızdırdı. Bu tarihlerde ekip sadece New York’ta 3.000 ATM cihazından 2.4 milyon dolar 11 saatten az bir sürede çekti.

Ercan Fındıkoğlu 2013’ün Aralık ayında Frankfurtta tutuklanarak Haziran 2015’te ABD’ye teslim edilmişti. Geçtiğimiz günlerde görülen mahkemede 34 yaşındaki Fındıkoğlu işbirliği yaparak suçunu kabul etti. Normalde 57 yıl hapis ile yargılanmasına rağmen suçunu itiraf ettiği için 11 ile 15 yıl arası bir hapis cezası alması bekleniyor.

Dosyaları şifreleyip Bitcoin isteyen zararlı yazılım 325 milyon dolar kazandırdı

Sadece bir yıl içerisinde CryptoWall zararlı yazılımı sahiplerine 325 milyon doların üzerinde bir kazanç sağladı. Rakam büyük olduğundan ötürü sürekli yeni güncellemeler geliyor.

Ransomware türünde zararlı yazılımlar küçük ve ortak ölçekli firmalarla birlikte kişisel kullanıcılar için büyük tehdit oluşturmaya devam ediyor. Genellikle önceden hazırlanmış senaryolar ve bilinen açıklarla ağa sızan kişiler erişebildikleri tüm kullanıcı sistemi, sunucu, dosya sunucuları gibi veri kaynaklarını şifreleyerek Bitcoin üzerinden 200 dolar ile 20.000 dolar arası para talep ediyorlar.

dosyalari-sifreleyip-bitcoin-isteyen-zararli-yazilim-325-milyon-dolar-kazandirdi Dosyaları şifreleyip Bitcoin isteyen zararlı yazılım 325 milyon dolar kazandırdı

Ülkemizde de sıkça karşılaşılan bu şantaj durumunda kullanıcılardan yasadışı ticarete de göz yuman ödeme altyapı sağlayıcı firmalardan ödeme yapması isteniyor. Muhtemelen Bitcoin’in teknik olarak daha zahmetli olmasından ötürü bu yol tercih edilmekte. Elbette bu tarzda saldırılar yapan CryptoWall benzeri çok sayıda yazılım var. Fakat şu ana kadar elde edilen verilere göre en büyük etkiyi yaratan yine CryptoWall oluyor.

  • 406.887 CryptoWall saldırısı
  • 4046 zararlı dosya türevi
  • Komutları alıp, ileten 839 komuta kontrol sunucusu
  • 49 farklı CryptoWall zararlı dosya dağıtım senaryosu
  • 49 senaryo dışında, “crypt100” operasyonuyla tek başına 15.000 sistemin enfekte edilmesi

Aynı hacker grubu bir önceki sene CryptoWall’ın eski versiyonuyla 18 milyon dolar elde etmişti. Cryptowall diğer zararlılar gibi web siteleri üzerinde çalışan exploit kitler, zararlı dosya içeren phishing e-mailleri gibi yöntemlerle dağıtılıyor. Şu an için dosyalardaki şifreyi kıracak bir yöntem bulunmuyor. Tek çözüm sık sık yedek alarak gerekli güvenlik önlemlerini almak. Fakat eğer CoinVault ve Bitcryptor ile şifrelenmiş dosyalara sahipseniz yeni yayınlanan araç ile bu şifreleri çözmek mümkün.

GCHQ ve NSA “Şirinler” ile hackliyor

gchq-nsa-sirinler-ile-hackliyor GCHQ ve NSA "Şirinler" ile hackliyorEski NSA ajanı Edward Snowden yine yaptığı açıklamalarla ABD’nin casusluk kapasitesine dair önemli bilgiler verdi. Özellikle akıllı telefonlarla ilgili tehdit boyutu çok geniş.

Edward Snowden İngiliz gizli servisi GCHQ ve ABD Ulusal Güvenlik Ajansı NSA’in neredeyse tüm cep telefonlarına sahibinin izni olmadan erişebildiğini açıkladı. Örneğin GCHQ şifrelenmiş bir mesaj göndererek arka kapıyı aktive ediyor ve sonrasında cep telefonu kamerasını aktive ederek fotoğraf çekip, ortam dinlemesi gerçekleştirebiliyor.

GCHQ’nun bu gizli takip sistemine “Smurf Suite” adı veriliyor. Smurf Suite içerisindeki Dreamy Smurf aracı güç yönetimini sağlıyor. Bunun anlamı GCHQ telefonunuzu izniniz dışında açıp, kapatabiliyor. Nosey Smurf aracı ise mikrofon kontrolü sağlıyor. GCHQ istediği zaman uzaktan mikrofonunuzu aktive edebiliyor ve sonrasında ortam dinlemesi gerçekleştirebiliyor. Tracker Smurf ise coğrafi konum elde etmek için. Nerede olduğunuzu baz istasyonları aracılığı ile tespit ederek merkeze bildiriyor.

Üstelik bu araçlar öyle ustaca tasarlanmış ki telefonunuzda bir gariplik olduğunu farkedip servise götürseniz bile tespit edilemiyorlar. Herhangi bir uzman veya teknisyenin tespit edemeyeceği kadar başarılı tasarlanmış. Elbette amaç geniş. Telefon kullanıcısının kimi aradığı, kiminle mesajlaştığı, hangi web sitelerini gezdiği, kişi listesi, nerelerde bulunduğu, hangi kablosuz ağlara bağlandığı gizli servislerin hedefinde olan bilgiler.

Bu teknolojilerde GCHQ ile NSA arasında ciddi bir ortaklık bulunuyor. NSA teknolojiyi geliştirirken, GCHQ ise operasyonel kısmı üstleniyor. İngilizlerin sadece cep telefonlarını takip etmek için 1 milyar dolar gibi bir bütçe ayırdıkları biliniyor. İngiliz ve ABD’li yetkililer bazı casusluk faaliyetleri olduğunu doğrularken bunları yasalara uygun şekilde pedofili ve terörizmle savaş için gerçekleştirdiklerini belirtiyorlar. Hatta Snowden’ın açıklamalarına göre bu sözde yasal sınırı çoktan aşan İngilizler Pakistan’a satılan Cisco ağ cihazları üzerinden ciddi miktarda veriyi çekerek yine casusluk amaçlı inceliyor.

Sadece JavaScript kullanarak uzaktan donanım hacklemek

sadece-javascript-kullanarak-uzaktan-donanim-hacklemek1 Sadece JavaScript kullanarak uzaktan donanım hacklemekGüvenlik araştırmacıları Rowhammer adındaki açık sayesinde donanım seviyesine inip DRAM’ı exploit edebildiler.

Rowhammer açığı biliniyordu fakat bugüne kadar bu şekilde etkin istismar edilememişti. Açık sayesinde uzaktan sistemde yönetici haklarına sahip olmak mümkün. Açık JavaScript kullanılarak istismar edilebiliyor. Üstelik DRAM’ın exploit edildiği bu açığın uzaktan yazılım ile tetiklenen ilk donanım açığı olduğunu belirtmekte fayda var.

Zayıflık 2009’dan beri üretilen tüm Intel işlemcili sistemlerde bulunuyor ve tamamıyla donanım bazlı bir güvenlik açığı. Kullanıcı bir web sitesinde gezerken uzaktan JavaScript ile exploit edilebiliyor. Internette neredeyse tüm web sitelerinde JavaScript kodları kullanılıyor. Dolayısıyla açıktan tamamıyla korunmak için JavaScript’i kapatmak demek web sitelerini doğru görünteleyememek anlamına geliyor.

İşin bir diğer kötü tarafı ise açıkla ilgili herhangi bir yama olmaması. Teknik olarakta bir yama yayınlanması mümkün gözükmüyor. Açığın yamanması için milyonlarca DRAM çipinin değiştirilmesi gerekiyor ki bu da pratikte mümkün gözükmüyor. Yine de Intel açığın üzerinde etkili olabilecek bir yama için çaba harcıyor. Diğer yandan Apple ve diğer donanım üreticileri BIOS güncellemeleri yayınlayarak Rowhammer saldırılarına karşı olabildiğince önlem sunmaya çalışıyorlar.

Genel olarak bakıldığında çoğu kullanıcı, hatta kurumsal firmalar bile BIOS güncellemelerine gereken önemi vermiyor. Bu da Rowhammer açığının gelecekte çok farklı saldırı vektörleriyle karşımıza çıkacağının habercisi gibi gözüküyor.

Kolumuzdaki güvenlik açığı: Akıllı saatler

kolumuzdaki-guvenlik-acigi-akilli-saatler Kolumuzdaki güvenlik açığı: Akıllı saatlerSon yapılan araştırmalara göre akıllı saatler ortalamanın üzerinde güvenlik zayıflıklarına sahip. Güvensiz kimlik doğrulama, şifreleme ve gizlilik sıkıntıları, çeşitli yazılımsal güvenlik açıkları bu yeni pazarı tehdit ediyor.

Durum öylesi bir hal almış ki şu an için önerilen şey güçlü bir kimlik doğrulama sistemi gelinceye kadar akıllı saatlere araba veya evimizi bağlamamamız yönünde. Diğer yandan tek tehdit evimiz veya arabamız değil. Akıllı saatler yavaş yavaş kurumsal ağlara da bağlanıyor ve bu bambaşka tehditlerin önünü açacak.

Akıllı saatler şimdiden yaşamımızın bir parçası olmaya başladı. Gelecekte kullanımı artacak bu cihazlar yeni tehditleri de hayatımıza katıyor. Akıllı saatlere dair açıklık kategorilerinden bazıları;

Yetersiz kimlik doğrulama ve yetkilendirme: Mobil telefonlarla eşleştirilen akıllı saatlerin hiçbirini iki aşamalı şifre gibi bir önleme sahip değil. Aynı zamanda 3-5 başarısız denemeden sonra hesabı kitlemiyorlar. Bunun anlamı brute force yoluyla basit şifrelere ulaşılabilecek olması.

Şifreleme ile ilgili yetersizlikler: Şifreli iletişim bir akıllı saat için belki en temel özellik. Ürünlerin neredeyse tamamı SSL/TLS şifreleme kullanıyor. Bunların %40’ının ise bulut bağlantısı var ve POODLE saldırısına karşı savunmasız. SSLv2 gibi zayıf cipherlar aktif ve kullanılabiliyor.

Güvensiz arabirimler: Akıllı saatlerin %30’u bulut tabanlı bir web arabirime sahip. Bunların tümü brute force saldırılarına karşı savunmasız durumda. Aynı zamanda mobil uygulamaları da brute force saldırılarından muzdarip. Kullanıcı adı bilinmiyorsa, şifre sıfırlama aşamasında kullanıcı adını belirlemekte mümkün durumda.

Güvensiz yazılım ve donanım: Akıllı saatlerin %70’i firmware güncellemeleri, firmware dosyalarının transferi sırasındaki şifreleme konusunda açıklar içeriyor.

Gizlilik sıkıntıları: Tüm akıllı saatler isim, adres, doğum tarihi, kilo, cinsiyet, kalp atış hızı ve diğer sağlık bilgilerini toplayıp üreticiye iletiyor.

FBI hackerları yakalamak için milyonlarca dolar ödül dağıtıyor

fbi-hackerlari-yakalamak-icin-milyonlarca-dolar-odul-dagitiyor FBI hackerları yakalamak için milyonlarca dolar ödül dağıtıyorFBI ünlü çok arananlar listesini güncelledi. Ödül olarak dağıtılacak toplam rakam 4.3 milyon dolara ulaştı.

Siber suçlar hem kamu hem de özel sektör için ciddi bir tehdit olmaya devam ettikçe güvenlik güçleri daha radikal çözümler peşinde koşmaya devam ediyor. FBI tehlikeli siber suçlulardan oluşan çok arananlar listesi ile yüzlerce milyon dolar zarar veren suçluları yakalamayı umuyor.

Listedeki siber suçluların yakalanmasına yardım edecek, bilgi verecek kişilere toplamda 4.3 milyon dolar ödül veriliyor. Listede toplamda 15 kişi bulunuyor ve bunların tamamı erkek. Listede bulunup haklarında verilen bilgi karşılığı ödül sunulmayan 5 kişi bulunuyor. Bu 5 kişi Çin’de bulunuyor ve “People’s Liberation Army” üyesi. Yani Çin devleti için çalışan bir hacker ordusuna üyeler.

FBI’ın en çok arananlar listesindeki 5 kişiye göz atalım;

1. Evgeniy Mikhailovich Bogachev – 3 milyon dolar

Bogachev bugüne kadar çok sayıda türevi de çıkan, geniş kitlelerce kullanılan ve milyonlarca kullanıcıya zarar veren Zeus internet bankacılığı trojanını yazan kişi. Bu zararlı yazılım banka hesaplarından para sızdırma, şifre ve diğer kişisel bilgileri ele geçirmeye yarıyor. FBI için en önemli hedef halinde.

2. Nicolae Popescu – 1 milyon dolar

Popescu otomobil satışı yapılan sitelerde düzenlediği sahte açık arttırmalarla tanınıyor. Bu şekilde düzenlediği sahte satışlarla yaklaşık 3 milyon dolar kazandı. 2012 yılında çetesinden altı kişi tutuklansa da kendisi halen aranıyor. Romanya’da olduğu tahmin ediliyor.

3. Alexsey Belan – 100.000 dolar

Belan 2012, 2013 yıllarında Nevada ve California’da faaliyet gösteren iki e-ticaret sitesini hackleyerek tüm verilerini sızdırmıştı. Bu sızdırdığı verileri ise başka siber suçlulara sattı.

4. Peteris Sahurovs – 50.000 dolar

Sahurovs’un yöntemi reklam bannerları aracılığı ile sahte bir otel zincirinin reklamını yapmaktı. Tıklanarak web sitesine gidildiğinde ise ziyaretçilere zararlı yazılım bulaştırıyor ve 50 dolarlık bir fidye istiyordu. İstenen rakamın az olması kurbanları parayı ödeyerek kurtulmaya yöneltiyordu. Bu şekilde yaklaşık 2 milyon dolar kazandı.

5. Shaileshkumar Jain – 50.000 dolar

Jain kurbanlar web sitelerini ziyaret ettiğinde ufak pencereler açarak sistemlerine zararlı yazılım bulaştığı mesajını gösteriyordu. Bu şekilde aslında hiçbir fonksiyonu olmayan sahte yazılımların satışını gerçekleştiriyordu. 2006-2008 yılları arasında bu şekilde yaklaşık 100 milyon dolar kazandı.

Alman parlementosu Bundestag hacklendi

alman-parlementosu-bundestag-hacklendi Alman parlementosu Bundestag hacklendiGeçtiğimiz günlerde hacklenen Alman parlementosu Bundestag’tan çok sayıda veri sızdırıldı.

Bundestag’a yapılan saldırı sonucu siber suçluların iç ağa kadar sızdıkları tespit edildi. İstihbarat birimi dahil olmak üzere çok sayıda birim halen sistemlerde detaylı incelemelerde bulunuyor. Yetkililer iç ağdan çok sayıda verinin de sızdırıldığını doğruladı. Alman parlementosu Bundestag’da 20.000 kullanıcının hesabı bulunuyor.

Saldırıda kullanılan yöntem ise 2014 yılında Alman hükümetine yapılan saldırıyla benzer özellikler gösteriyor. Bu kez veri sızdırmak için kullanılan zararlı yazılım Swatbanker adında bir internet bankacılığı zararlısı. Swatbanker erişilen ağdan çok sayıda veriyi dışarıya çıkarabiliyor. Bunlar arasında spesifik uzantıdaki dosyaların yanı sıra browserda doldurulan formların içeriği, en son ziyaret edilen web siteleri, POST metodu ile gönderilen şifreler gibi detaylar da var.

İncelemelerde saldırganların Alman parlementosunun intranet adresi olan Bundestag.btg alan adını filtreleyerek bu doğrultuda verileri incelediği de göze çarpıyor. Swatbanker zararlısının ise yeni bir varyantı tercih edilmiş. Bu varyantta konfigürasyon dosyası uzaktaki bir C&C sunucusunda değil, zararlı yazılımın üzerine gömülü olarak geliyor. Saldırının arkasında gizli servisler tarafından desteklenen hackerların olduğu hakkında bazı söylentiler dolaşıyor. Rus hackerların, Rus gizli servisi tarafından desteklenerek operasyonu gerçekleştirdikleri iddiaları mevcut.

SCADA sistemlere yönelik tehditler

SCADA terimi “Supervisory Control And Data Acquisition” kelimelerinin baş harflerinden oluşmuştur. Türkçe diline “Kontrol ve Veri Toplama Sistemi” olarak çevirilebilir. Haberleşme cihazları, bilgisayarlar, algılayıcılardan ve diğer tüm aygıtlardan oluşturulmuş hem denetlenebilen hem de kontrol edilebilen sistemleri tanımlar.

SCADA öyle kritik bir alan ki petrol, doğalgaz, nükleer güç, hidroelektrik, gaz yağı, kimyasal madde, boru hatları, elektrik gibi kritik altyapılara dair tüm alanlarda kullanılmakta. Buna rağmen SCADA ürünlerini hazırlayan firmalar güncel bilgi güvenliği tehditleriyle paralel bir gelişim göstermiyorlar. Geçmişte ve bugün siber savaşın önemli bir parçası olan SCADA bileşenleri her zamankinden daha önemli. Keşfedilen güvenlik açıkları ülkelerin ulusal güvenliklerini dahi tehdit edebiliyor.

SCADA sistemlerin normalde internete açık olmaması gerekirken biraz araştırıldığında ilginç veriler ortaya çıkabiliyor.

1997 yılında iki taneyle başlayarak keşfedilen SCADA güvenlik zafiyetleri sayısı yıllar içerisinde ciddi bir ivmeyle artarak devam ediyor.

scada-sistemlere-yonelik-tehditler-1 SCADA sistemlere yönelik tehditler

Üreticilere göre keşfedilen zayıflık sayısına baktığımızda Siemens liderliği elinden bırakmıyor.

scada-sistemlere-yonelik-tehditler-2 SCADA sistemlere yönelik tehditler

Yıllara göre bakıldığında internete açık SCADA sistemlerde dışarıdan tespit edilebilen güvenlik açıkları ciddi bir artış gösteriyor. Şu anda yaklaşık 146.000 kadar internetten erişilebilir SCADA sistem bulunuyor. Bu rakamlara göre Internetten erişilemeyen fakat iç ağdan gelebilecek tehditlere karşı savunmasız sistemlerin de ne derece ciddi sayılarda olacağını tahmin etmek mümkün. Internete açık SCADA sistemlerin çoğu ABD’de, onu büyük SCADA üretici firmaların çıktığı Almanya takip ediyor. Türkiye ise internet açık 1402 SCADA sistem ile alt sıralarda. Fakat bu rakam bile oldukça ciddi.

scada-sistemlere-yonelik-tehditler-3 SCADA sistemlere yönelik tehditler

İncelendiğinde internete açık SCADA sistemlerden 15.000 kadarında güvenlik zafiyetleri olduğu göze çarpıyor. Burada ilk üçü ABD, Fransa, Almanya paylaşırken Türkiye’nin internete açık SCADA sistem sayısına oranla çok daha fazla güvenlik açığına sahip olduğu görülüyor.

scada-sistemlere-yonelik-tehditler-4 SCADA sistemlere yönelik tehditler

7 ay boyunca farkedilmeyen kumarhane soygunu

7-ay-boyunca-farkedilmeyen-kumarhane-soygunu 7 ay boyunca farkedilmeyen kumarhane soygunuKredi kartı bilgileri siber suçluların göz diktiği yegane finansal bilgilerden. Bu kez hedefleri Las Vegas’ta bulunan Hard Rock Hotel & Casino.

Siber suçlular detaylı bir çalışma sonucu Las Vegas’ta bulunan Hard Rock Hotel & Casino’ya sızarak detaylı kredi kartı bilgilerini ele geçirdi. Ele geçirilen bilgiler arasında kredi kartı numaraları, isimler ve adresler bulunuyor. Hard Rock saldırıyı 3 Nisan’da tespit edebildiğini ve 3 Ekim 2014 ile 4 Nisan 2015 arası restoran, bar, alışveriş kısımlarında yapılan işlemlerin etkilendiğini belirtiyor.

Konu halen kısmen de olsa gizemini korumakta. Çünkü Hard Rock’ta kullanılan zararlı yazılımın ne olduğuna dair henüz bir bilgi yok. Zararlı yazılım POS cihazlarında kullanılan manyetik kartlara ait hassas verileri ele geçirmekte kullanıldı. 28 Nisan tarihinde ise siber suçlular bir web sitesinden ele geçirilen kredi kartlarını satmaya başladılar.

Geçtiğimiz haftalarda yapılan Mayweather ile Paquiao arasındaki boks maçının biletlerinin ortalama 86.000 USD olduğu göz önüne alındığında Las Vegas’ta kullanılan kredi kartlarının limitlerinin ne kadar yüksek olduğu beli olacaktır. Bu yüksek limitler siber suçlular için de yüksek kazanç anlamına geliyor.