Yazılar

Verileri şifreleyip şantaj yapan TeslaCrypt 2.0 baş belası yeni özelliklerle geliyor

verileri-sifreleyip-santaj-yapan-teslacrypt-bas-belasi-yeni-ozelliklerle-geliyorÜlkemizde de organize veya bireysel saldırılarda sıkça kullanılan Ransomware türü zararlı yazılımlardan TeslaCrypt ikinci versiyonuyla yenileniyor.

TeslaCrypt’ın yeni versiyonunda artık oyun dosyaları da şifreleniyor. Fakat asıl yenilik şifrelemede yapılan değişiklikler. Eskiye göre çok daha güçlü bir şifreleme bizi bekliyor. Bu versiyonda artık şifrelenen dosyaları açmak imkansız hale geliyor. TeslaCrypt artık kullanıcıya bildirimde bulunmak için bir arabirim yerine kopyaladığı HTML sayfasını kullanıyor.

Bulaşılan her PC için yeni bir anahtar üretiliyor. Yani eskisi gibi bir “master key” yardımıyla tüm şifrelenen verileri açmak mümkün değil. Elbette eski versiyonda bulunan ve güvenlik uzmanlarının verileri şifrelemesine yarayan açıklıkta giderilerek dosyalar kurtarılamayacak hale getirilmiş.

TeslaCrypt 2.0’ın diğer özelliklerine bakacak olursak;

  • Zararlı yazılım bulaştığı sistemden ödeme isterken her sistem için ayrı bir Bitcoin adresi oluşturuyor. Aynı şekilde her sistem için ayrı bir özel anahtar oluşturularak birbiriyle ilişkilendiriliyor
  • AES-256-CBC algoritmasıyla şifreleme gerçekleştiriliyor
  • 268 MB üzerindeki dosyalar şifrelenmiyor
  • C&C sunucuları Tor ağı üzerinde bulunuyor. Zararlı yazılım C&C sunucularıyla tor2web servisi aracılığı ile iletişim kuruyor
  • Şifrelenen dosyalar bilgisayar oyunları gibi çok sayıda şablona ve uzantıya göre seçiliyor
  • Diskteki Shadow kopyalar siliniyor
  • Kullanıcıya gösterilen pencerede yazılı RSA-2048 şifreleme algoritması aslında hiçbir yerde kullanılmıyor
  • TeslaCrypt 2.0’ın tamamı C++ ile yazılmış ve kripto fonksiyonları için ise OpenSSL kütüphanesi kullanılmış

Heartbleed açığı ile sunucu belleğinden bilgi sızdırmak mümkün

heartbleed-openssl-guvenlik-acigiOpenSSL kütüphanesinde bulunan Heartbleed açığı modern internet en ciddi zayıflıklarından birini oluşturuyor. OpenSSL kütüphanesinde bulunan zayıflık internette ciddi anlamda yankı buldu.

OpenSSL kütüphanesindeki açık sayesinde hafızanın 64 KB boyutundaki rastgele bir kısmını uzaktan okuyarak SSL sertifikaları, kullanıcı adı/şifreler ve diğer kritik bilgilere erişmek mümkün olabiliyor. Kurumsal taraf dışında Facebook, Gmail gibi sosyal medya ve e-posta sağlayıcılar gibi çok sayıda yerde kullanılan OpenSSL 2 yıl öncesine kadar açığın istismar edildiğinin işaretlerini veriyor. Bu istismarı sağlayanlar ise elbette devletler, bu devletlerin başında ise ABD geliyor. Bazı kaynaklar OpenSSL açığının 2012 yılında keşfedildiği ve bu tarihten beridir başta NSA olmak üzere çok sayıda kurum tarafından kullanıldığını belirtiyor.

Internet çapında bakıldığında 500 bin kadar sunucunun Heartbleed açığından etkilendiği düşünülüyor. Fakat tam bir sayıya ulaşmak mümkün değil. Türkiye’de ise başlarda 60 bin olarak ölçülen ortalama rakam şimdi daha da azalmış durumda. Bunda geleneksel basın yayın organlarının da bu açığı konu etmesi etkili olmuş durumda.

Elbette şifrelerin değiştirilmesi gereken bazı servisler de gündeme geldi. Bunlar arasında Facebook, Instagram, Pinterest, Tumblr, Twitter, Google, Yahoo, Amazon Web Services, GoDaddy gibi platformları saymak mümkün.