Yazılar

WhatsApp kullanıcılarını takip ederek gizliliği aşmak

whatsapp-kullanicilarini-takip-ederek-gizliligi-asmak-2 WhatsApp kullanıcılarını takip ederek gizliliği aşmakWhatsApp inanılmaz bir büyümeyle son yıllarda neredeyse her akıllı telefona girmeyi başardı. Bu da bazı gizlilik risklerini beraberinde getiriyor.

Özellikle Facebooks satın alması sonrası iyice ivme kazanan mesajlaşma uygulaması bugün hem kişisel, hem de kurumsal telefonların büyük bölümünde bulunuyor. Son gelişmeler gizlilik anlamında bazı tasarım hatalarının WhatsApp’ı tehdit ettiğine işaret ediyor. WhatsSpy Public adındaki yeni geliştirilen yazılım sayesinde WhatsApp kullanıcılarının gizlilik ayarlarını bypass ederek takip etmek mümkün. İstenilen kullanıcının online olup olmadığı, hangi zaman aralıklarında online olduğu, durum güncellemesinin ne olduğunu dışarıya gizlemiş bile olsa anlık olarak takip ederek değişimler kaydedilebiliyor.

İşin ilginç kısmı WhatsSpy bunları yaparken hiçbir hack veya illegal yöntem kullanmıyor. Yani aktif olarak başkasının hesabına bir saldırı gerçekleşmiyor. Web tabanlı geliştirilen WhatsSpy Public uygulamasında arabirim üzerinden aktiviteleri tarihler bazında arşiv şeklinde görmek ve karşılaştırmakta mümkün. Uygulamanın çalışması için root edilmiş bir Android cihaz, PHP/Apache/PostgreSQL ve 24/7 çalışan bir sunucu gerekli oluyor. Aynı zamanda ikinci bir WhatsApp hesabı da gerekli oluyor.

Açık istihbarat yöntemleriyle Sosyal Medya veya Internet üzerinden gizlilik ihlalleri çoğalıyor. Bunun yanında WhatsApp gibi özünde kurumsal bilgi güvenliği politikalarına ters bazı uygulamaların gizlilik sözleşmelerinde belirttiği üzere çok sayıda bilgi toplama şansı var. Diğer yandan bu tarz araçlar bu ihlalleri bir adım öteye taşıyıp uzaktan kullanıcıların ne zaman online olduğunu ve başka bazı bilgileri arşivleme imkanı veriyor. Sadece özel sektör değil kamu sektöründe de bu riskler her geçen gün önem kazanmaya başladı.

whatsapp-kullanicilarini-takip-ederek-gizliligi-asmak-561x1030 WhatsApp kullanıcılarını takip ederek gizliliği aşmak

Mayhem sadece Linux, BSD türevi sistemlere bulaşıyor

mayhem-sadece-linux-bsd-turevi-sistemlere-bulasiyor Mayhem sadece Linux, BSD türevi sistemlere bulaşıyorUNIX türevi sistemleri hedef alan yeni zararlı yazılım Mayhem kısıtlı bir kullanıcı hakkına sahip sistemlere bile bulaşabiliyor. Özellikle Avustralya’da yayılan zararlı yazılım her geçen gün aktivitesini çoğaltıyor.

Mayhem aslında bu yılın Nisan ayında keşfedilmişti. Özellikle root erişimi gerektirmemesi ve Linux türevi, FreeBSD sistemleri hedef alması onu farklı kılıyordu. Sistemlerin enfekte olması bir PHP scripti yardımıyla sağlanıyor. Komuta kontrol merkeziyle bu script iletişim kuruyor. Zararlı yazılımın işlevi ise hangi eklentilerin seçildiğine bağlı. Botmaster istediği fonksiyonları Mayhem’e yükleyebiliyor. Gizli dosya şeklinde farkedilmemeyi başarabiliyor.

Mayhem’in eklentileri arasında brute force yoluyla şifre kırmaya çalışan veya o anda ziyaretçiler web sitenizi gezerken belli başlı bilgileri tarayarak ileten çeşitli modülleri var. Aslında bu brute force yeteneği daha önce gerçekleştirilen Fort Disco saldırısının devamı gibi duruyor. Fort Disco vakasında 6 komuta kontrol sunucusu yardımıyla 25.000 enfekte olmuş Windows sistem çalışıyordu. Bu operasyona dair yazıya TerraMedusa Blog arşivinden ulaşabilirsiniz.

Şimdilik Mayhem’in bulaştığı 1400’ün üzerinde sistem tespit edildi. Bunlar ağırlıklı olarak ABD, Rusya, Almanya, Kanada, Avustraya, Yeni Zelanda’da bulunuyor. UNIX türevi sistemlerin kurulup unutulduğu bilinen bir gerçek. Mayhem bu şartlarda bakıldığında bulaştığı sistem üzerinden diğer sistemlere sızmaya çalışarak çok kısa sürede ciddi sayıda sistemi enfekte edebilir. Özellikle Türkiye’de orta ölçekli firmalar ve servis sağlayıcılar Mayhem gibi zararlı yazılımların yayılması için uygun bir zemin oluşturuyorlar.

Enfekte olmuş FTP sunucuları hızla artıyor

enfekte-olmus-ftp-sunuculari-hizla-artiyor Enfekte olmuş FTP sunucuları hızla artıyorFTP sunucuları siber suçluların exploit ettikten sonra kolayca zararlı yazılım veya servis yaydıkları mecraların başında geliyor. Son dönemde enfekte olan FTP server sayısının artması ise ister istemez göze çarpıyor. Şu an yaşanan artışla birlikte sayısı 10 bine varan sayıda FTP sunucusunun enfekte şekilde zararlı uygulama, servis dağıtarak çalıştığı söylenebilir.

Bu enfekte olan FTP sunucuları listesinde UNICEF, The New York Times, PC World gibi yüksek profilli siteler de bulunuyor. FTP sunucularına yüklenen zararlı yazılımların dışında web sunucusuna ulaşmaya çalışılarak PHP dosyaları veya indirilerek çalıştırıldığında zararlı sitelere yönlendiren HTML dosyaları da yerleştiriliyor.

Bu bağlamda saldırı vektörünü iki ayrı gruba ayırabiliriz;

1. Hacker zararlı bir PHP scriptini FTP sunucusuna yerleştirir, eğer FTP sunucusundaki dizin web sunucusuna bağlıysa shell elde ederek diğer hedeflere bulaşır. Amaç dahilinde web sitelerine yönlendirme yapar. Bilgi elde eder.

2. Hacker bir HTML dosyasını FTP sunucusuna yükler, kurban dosyayı çalıştırmak için tıkladığında zararlı içerik bulunan bir web sitesine yönlendirilir. Saldırgan bu siteden ister zararlı yazılım bulaştırır, isterse sosyal mühendislik yoluyla ekstra bilgi elde eder. Genellikle yönlendirilen siteler ramsomware adı verilen sahte uygulamalar, virusler, ilaç satış siteleri, ponografik siteler olabiliyor.

Kurumların FTP sunucularını kontrol altında tutması, özellikle anlık dosya transferi ve dağıtım için daha güvenli alternatifleri gözden geçirmesi gerekli.