Yazılar

Kolumuzdaki güvenlik açığı: Akıllı saatler

kolumuzdaki-guvenlik-acigi-akilli-saatler Kolumuzdaki güvenlik açığı: Akıllı saatlerSon yapılan araştırmalara göre akıllı saatler ortalamanın üzerinde güvenlik zayıflıklarına sahip. Güvensiz kimlik doğrulama, şifreleme ve gizlilik sıkıntıları, çeşitli yazılımsal güvenlik açıkları bu yeni pazarı tehdit ediyor.

Durum öylesi bir hal almış ki şu an için önerilen şey güçlü bir kimlik doğrulama sistemi gelinceye kadar akıllı saatlere araba veya evimizi bağlamamamız yönünde. Diğer yandan tek tehdit evimiz veya arabamız değil. Akıllı saatler yavaş yavaş kurumsal ağlara da bağlanıyor ve bu bambaşka tehditlerin önünü açacak.

Akıllı saatler şimdiden yaşamımızın bir parçası olmaya başladı. Gelecekte kullanımı artacak bu cihazlar yeni tehditleri de hayatımıza katıyor. Akıllı saatlere dair açıklık kategorilerinden bazıları;

Yetersiz kimlik doğrulama ve yetkilendirme: Mobil telefonlarla eşleştirilen akıllı saatlerin hiçbirini iki aşamalı şifre gibi bir önleme sahip değil. Aynı zamanda 3-5 başarısız denemeden sonra hesabı kitlemiyorlar. Bunun anlamı brute force yoluyla basit şifrelere ulaşılabilecek olması.

Şifreleme ile ilgili yetersizlikler: Şifreli iletişim bir akıllı saat için belki en temel özellik. Ürünlerin neredeyse tamamı SSL/TLS şifreleme kullanıyor. Bunların %40’ının ise bulut bağlantısı var ve POODLE saldırısına karşı savunmasız. SSLv2 gibi zayıf cipherlar aktif ve kullanılabiliyor.

Güvensiz arabirimler: Akıllı saatlerin %30’u bulut tabanlı bir web arabirime sahip. Bunların tümü brute force saldırılarına karşı savunmasız durumda. Aynı zamanda mobil uygulamaları da brute force saldırılarından muzdarip. Kullanıcı adı bilinmiyorsa, şifre sıfırlama aşamasında kullanıcı adını belirlemekte mümkün durumda.

Güvensiz yazılım ve donanım: Akıllı saatlerin %70’i firmware güncellemeleri, firmware dosyalarının transferi sırasındaki şifreleme konusunda açıklar içeriyor.

Gizlilik sıkıntıları: Tüm akıllı saatler isim, adres, doğum tarihi, kilo, cinsiyet, kalp atış hızı ve diğer sağlık bilgilerini toplayıp üreticiye iletiyor.

Apple iCloud şifreleri tekrar tehlikede

apple-icloud-sifreleri-tekrar-tehlikede Apple iCloud şifreleri tekrar tehlikedeYeni yayınlanan bir araç yardımıyla herhangi bir iCloud hesabının şifresini kırmak mümkün.

Bu yeni aracın adı iDict. Yaptığı şey ise iCloud hesaplarına brute force yöntemi ile saldırmak. Fakat onu diğerlerinden ayıran özellik Apple’ın ünlülerin özel fotoğraflarının sızdırılmasından sonra sisteme uyguladığı brute force engellemelerini atlatabiliyor olması.

Github üzerine yüklenen araç şu anda serbestçe indirilebiliyor. Aracı yükleyen Pr0x13 kullanıcısı ise bu zayıflığın kapalı bir çevrede bir süredir bilindiğini ve kullanıldığını, kendisinin ise bunu bu araç yardımıyla açıkladığını söylüyor. İşin ilginç kısmı iDict sadece Apple’ın koyduğu brute force korumaları değil, aynı zamanda Apple’ın çift aşamalı doğrulama sistemini de atlatabiliyor.

iDict kendi içerisinde 500 kelimelik temel bir wordlist ile geliyor. Fakat dışarıdan farklı dil, ülke, kültürlere göre wordlist yüklemek mümkün. Çift aşamalı doğrulamaya da güvenemediğimiz bu aşamada en doğrusu iyi şifreler seçip, olabildiğince iCloud e-posta adresimizi paylaşmayarak hesabımızı güvende tutmak.

apple-icloud-sifreleri-tekrar-tehlikede-2 Apple iCloud şifreleri tekrar tehlikede

Sony Pictures’ın hacklenmesinin etkileri düşünülenden büyük

sony-pictures-hacklenmesinin-etkileri-dusunulenden-buyuk Sony Pictures’ın hacklenmesinin etkileri düşünülenden büyükSony Pictures Entertainment geçtiğimiz haftalarda büyük çaplı bir hack olayıyla gündeme geldi. Çok sayıda iç doküman, çalışanların kişisel ve maaş bilgileri, yayınlanmamış film/belgeseller gibi kritik veriler internette yayınlandı.

Sony’den elde edilen bilgiler Pastebin adındaki sitede isimsiz olarak yayınlandı. Burada 17 tanesi üst yönetim olmak üzere 6000 Sony Pictures çalışanının maaş verileri de var. Bilgilerde 17 üst yöneticinin primlerinin yıllık 1 milyon dolardan fazla olduğu dikkat çekiyor. Maaş ve çalışan bilgileri öyle detaylı olarak bulunuyor ki kaçı kadın, kaçı erkek, mevcut maaşları, primleri, Sosyal Güvenlik Numaraları, şifrelerini görmek mümkün.

Sızdırılan bilgiler arasında Sony’nin yapımcılığını üstlendiği, halen sinemalarda oynayan Fury gibi filmler ve henüz gösterime girmemiş Annie gibi filmlerde var. Toplamda sızan film/belgesel sayısı ise şu an için 5. Torrent siteleri yardımıyla bu filmler paylaşılmaya devam ediliyor. Sadece filmler de değil. İlginç şekilde çok sayıda şifrenin yanı sıra Sony’e ait şifreleme anahtarları da yayınlandı. Hatta “password” adında password korumalı bir dosyanın şifresi “password” olarak tanımlandığı görülüyor. Bu “password” şifresiyle korunan dosyalar arasında 9000 adet taranmış pasaport bulunuyor. Bu pasaportların arasında Angelina Jolie, Daniel Craig, Cameron Diaz gibi ünlüler de var.

sony-pictures-hacklenmesinin-etkileri-dusunulenden-buyuk_3 Sony Pictures’ın hacklenmesinin etkileri düşünülenden büyük

Bu sadece başlangıç gibi gözüküyor. Olayı gerçekleştiren GOP elinde 25 GB büyüklüğünde bir arşivin daha olduğunu ve bunun içerisinde 30 binden fazla insan kaynakları dokümanı, çalışanların suç geçmişi soruşturma raporları, çalışan fotoğraflarının olduğunu söylüyor. GOP’un elinde olan verinin tamamı ise 38 milyon dosya, 10 TB gibi inanılmaz bir boyutta.

Veri güvenliği açısından geçmişte de kötü sınavlar vermişti Sony. Fakat bu sızıntı biraz daha farklı bir önem taşıyor. Bu sefer yukarıda saydığımız sızan veriler dışında başka bir firmaya ait veriler de var. Ülkemizde de faaliyet gösteren denetim firması Deloitte’un 30.000 çalışanının detaylı maaş dökümleri ve kişisel bilgileri de internete sızdırıldı. Eskiden Deloitte firmasında çalışan, fakat şimdi Sony Pictures’da insan kaynakları bölümünde görev alan birinin bilgisayarından çıktı bu veriler.

sony-pictures-hacklenmesinin-etkileri-dusunulenden-buyuk_4 Sony Pictures’ın hacklenmesinin etkileri düşünülenden büyük

Visa kartınız cebinizdeyken habersiz binlerce lira çekilebilir

visa-kartiniz-cebinizdeyken-habersiz-binlerce-lira-cekilebilir Visa kartınız cebinizdeyken habersiz binlerce lira çekilebilirVisa kredi kartlarında keşfedilen güvenlik açığı sayesinde suçlular kredi kartınızı çalmadan ciddi miktarlarda para çekebilirler.

Firma kredi kartıyla ödeme işlemlerini hızlandırmak için 35 TL ve altı işlemler için PIN kullanmadan ödeme imkanı sağlayan bir kolaylık getirmişti. Bu süreçte ciddi bir güvenlik açığı bulundu. Bulunan açık sayesinde 20 USD (35 TL) olan işlem limiti 999.999 USD gibi ciddi rakamlara kadar yükseltilebiliyor.

Bu transfer kredi kartı kişinin çantasında, cüzdanında veya cebinde de olsa gerçekleştirilebiliyor. Tahsilat çevrimdışı gerçekleştiği, kredi kartı kendi kendine doğruladığı için ek doğrulama ve güvenlik önlemlerinin tümü atlatılabiliyor. Buradaki en büyük tehditlerden biri de işlemin sadece bir cep telefonu yardımıyla gerçekleştirilebilmesi.

Çipli EMV sisteminde Europay, MasterCard ve Visa temassız alışverişleri 20 USD ve dengi para birimlerine sabitlemiş durumdalar. Sadece bu rakamın üzerindeki alışverişler için kullanıcıdan PIN isteniyor. Temassız olarak para çeken bu cep telefonlarının ise ATM’ler dahil olmak üzere kredi kartının ve insanın dolaşımda olduğu çok sayıda yere yerleştirilebilmesi mümkün. İnsanlar yürürken veya anlık olarak kartına yaklaşıldığında bir saniyeden kısa sürede karttan para çekilebiliyor.

Apple iCloud sızıntısı hakkında herşey

apple-icloud-sizintisi-hakkinda-hersey Apple iCloud sızıntısı hakkında herşeyTüm dünya geçtiğimiz haftaki iCloud’dan sızan fotoğraflarla çalkalandı. Yaklaşık 100 kadar ünlünün özel fotoğrafları internette yayınladı. Peki bu saldırı nasıl ve hangi teknikler kullanılarak gerçekleştirilmişti?

Fotoğrafları sızdırılanlar arasında Kate Upton, Jennifer Lawrance, Kim Kardashian, Kirsten Dunst, Bar Rafaeli gibi 100 ünlü bulunuyordu. iCloud’dan sızdırılan bu fotoğraflara sebep olan bölüm ise “Find My iPhone” olarak adlandırılan bölüm. Find My iPhone kısmına web üzerinden eriştiğinizde doğal olarak belirli sayıda şifre denemesine izin veriliyor. Fakat Find My iPhone API’si üzerinden yapılan başarısız şifre denemelerinde ise herhangi bir kısıtlama yok.

İşte tam bu noktada adına iBrute denlien araç karşımıza çıkıyor. Bu araç bir süredir Github üzerinden dağıtılmakta. İndirenler Find My iPhone API’si üzerinden brute force yoluyla deneyip yanılarak şifre tahmini yapıyordu.

Denenen şifreler ise bugüne kadar hacklenen diğer web sitelerinden sızdırılan şifrelerin Apple’ın şifre politikasına uyanlarıydı. Apple şifre seçerken 8 karakter uzunluğunda olmasını, üçten fazla ard arda rakamlar olmamasını, içerisinde rakam, büyük harf ve küçük harf olmasını şart koşuyor. Bu basit şifrelerin sıralandığı listede; Password1, Princess1, P@ssw0rd, Passw0rd, Michael1 gibi kurallara uyan ama zayıf şifreler yer alıyordu.

Bu basit ama Apple’ın şifre kısmında kabul gören kombinasyonları deneyenler yaklaşık 100 kadar ünlünün iCloud hesabında bulunan mahrem fotoğraf ve bilgilere ulaşabildiler. Apple kısa süre önce bir apple-icloud-sizintisi-hakkinda-hersey-2 Apple iCloud sızıntısı hakkında herşeydizi değişiklik yaparak artık iCloud’da bulunan veriler indirildiğinde veya kayıtlı olmayan bir cihazdan ulaşıldığında uyarı verecek şekilde yapılandırdı. Apple her ne kadar suçu olmadığını savunsa da sessiz sedasız Find My iPhone API’sine de hatalı şifre denemelerine karşı önlem aldı.

Bir diğer konuşulan olasılıktan da bahsetmemek olmaz. Fotoğrafların Bitcoin karşılığı satıldığ 4Chan’de bir süredir gizli bir grup kişinin fotoğraf değiş tokuşu yaptığına dair bilgiler yer alıyor. Bu grup ünlülerin hackledikleri telefonlarından, maillerinden veya bilgisayarlarından elde ettikleri fotoğrafları birbirleriyle değiş tokuş ediyorlardı. Bu gruba katılmak için ise elinde bir ünlünün daha önce yayınlanmamış fotoğrafı olması yeterli olduğu söylenmekte. Yine savunulan diğer bir tez bu grupta dolaşan fotoğrafların da bu sızıntıyla birlikte internette yayılmaya başladığı.

Hangi senaryo gerçekleşirse gerçekleşsin bulut bilişim üzerinde dönen kara bulutlar, verinin güvenli şekilde dolaşımının sağlanması ve kişisel mahremiyet konuları bu olay sayesinde önümüzdeki aylarda daha da öne çıkacak.

Mayhem sadece Linux, BSD türevi sistemlere bulaşıyor

mayhem-sadece-linux-bsd-turevi-sistemlere-bulasiyor Mayhem sadece Linux, BSD türevi sistemlere bulaşıyorUNIX türevi sistemleri hedef alan yeni zararlı yazılım Mayhem kısıtlı bir kullanıcı hakkına sahip sistemlere bile bulaşabiliyor. Özellikle Avustralya’da yayılan zararlı yazılım her geçen gün aktivitesini çoğaltıyor.

Mayhem aslında bu yılın Nisan ayında keşfedilmişti. Özellikle root erişimi gerektirmemesi ve Linux türevi, FreeBSD sistemleri hedef alması onu farklı kılıyordu. Sistemlerin enfekte olması bir PHP scripti yardımıyla sağlanıyor. Komuta kontrol merkeziyle bu script iletişim kuruyor. Zararlı yazılımın işlevi ise hangi eklentilerin seçildiğine bağlı. Botmaster istediği fonksiyonları Mayhem’e yükleyebiliyor. Gizli dosya şeklinde farkedilmemeyi başarabiliyor.

Mayhem’in eklentileri arasında brute force yoluyla şifre kırmaya çalışan veya o anda ziyaretçiler web sitenizi gezerken belli başlı bilgileri tarayarak ileten çeşitli modülleri var. Aslında bu brute force yeteneği daha önce gerçekleştirilen Fort Disco saldırısının devamı gibi duruyor. Fort Disco vakasında 6 komuta kontrol sunucusu yardımıyla 25.000 enfekte olmuş Windows sistem çalışıyordu. Bu operasyona dair yazıya TerraMedusa Blog arşivinden ulaşabilirsiniz.

Şimdilik Mayhem’in bulaştığı 1400’ün üzerinde sistem tespit edildi. Bunlar ağırlıklı olarak ABD, Rusya, Almanya, Kanada, Avustraya, Yeni Zelanda’da bulunuyor. UNIX türevi sistemlerin kurulup unutulduğu bilinen bir gerçek. Mayhem bu şartlarda bakıldığında bulaştığı sistem üzerinden diğer sistemlere sızmaya çalışarak çok kısa sürede ciddi sayıda sistemi enfekte edebilir. Özellikle Türkiye’de orta ölçekli firmalar ve servis sağlayıcılar Mayhem gibi zararlı yazılımların yayılması için uygun bir zemin oluşturuyorlar.

Web tabanlı yeni Keylogger ile şifreler güvende değil

Yeni yayınlanan araç siber suçlular tarafından PHP/MySQL platformunda hazırlanmış, keylogger özelliğine sahip bir zararlı yazılım/botnet olarak tanımlanabilir. Unicode desteği sunan bu zararlı yazılım 50 dolarlık fiyatı ile de dikkat çekiyor.

Aslında bu bir nevi strateji. Bu yazılımı hazırlayan kişi yazılımının çok sayıda rakibinin kısa sürede ortaya çıkacağını bildiğinden henüz pazar daralmadan düşük bir fiyat ile ortaya çıkarak bu keylogger yazılımını piyasaya sürdü. Önümüzdeki haftalarda araçla ilgili yeni güncellemeler yayınlanması planlanıyor.

Web tabanlı yönetim ekranına ait bazı ekran görüntüleri;

web-tabanli-keylogger Web tabanlı yeni Keylogger ile şifreler güvende değil

web-tabanli-keylogger2 Web tabanlı yeni Keylogger ile şifreler güvende değil

web-tabanli-keylogger3 Web tabanlı yeni Keylogger ile şifreler güvende değil

web-tabanli-keylogger4 Web tabanlı yeni Keylogger ile şifreler güvende değil

Yeni Windows 8 Temalı Şifre Çalan Yazılım

Siber suçlular sürekli yeni araçlar, yöntemler geliştirirken artık bunları şık arabirimlerle de sunmaya gayret ediyorlar. Yeni bir şifre ve oyunların lisans numaralarını çalarak toplayan Windows 8 temalı araç ise hayli dikkat çekici. Bu tema ile elde edilen bilgilerin düzenlemesi ve sunulması daha kolay hale getirilmiş durumda.

Araç elde edilen şifreleri, oyun lisans numaralarını gruplarken diğer yandan kurbanın sisteminde olabilecek güvenlik önlemleri hakkında da bilgilendiriyor. Kullanılan antivirus, spyware, firewall gibi güvenlik ürünleri var mı, eğer varsa hangileri kullanılmış bu yazılımda yer alıyor.

Projenin yönetim panelinden bazı ekran görüntüleri;

windows8-temali-sifre-calan-yazilim Yeni Windows 8 Temalı Şifre Çalan Yazılım

windows8-temali-sifre-calan-yazilim2 Yeni Windows 8 Temalı Şifre Çalan Yazılım

windows8-temali-sifre-calan-yazilim3 Yeni Windows 8 Temalı Şifre Çalan Yazılım

windows8-temali-sifre-calan-yazilim4 Yeni Windows 8 Temalı Şifre Çalan Yazılım

Bankalar için cep telefonuna gelen SMS riskli

internet_bankaciligi_trojani_zeus_zitmo Bankalar için cep telefonuna gelen SMS riskliİyi bir antivirüs programı arayan Android kullanıcıları yeni bir tehditle karşı karşıya. Kendini “Android Security Suit Premium” diye adlandıran uygulama aslında Zitmo adında bir internet bankacılığı trojanını içeriyor.

Zitmo (Zeus-in-the-mobile) tüm dünyada özellikle internet bankacılığı ve finans merkezli olarak yaygın kullanılan Zeus trojanının mobil versiyonu diyebiliriz. Güvenlik yazılımı kılığındaki Zitmo bulaştığı Android telefonlarda internet bankacılığı SMS mesajlarını ele geçirerek bunları komuta kontrol sistemleri aracılığı ile dolandırıcılara iletiyor.

Zeus internet bankacılığı trojanı, Zitmo gibi pek çok farklı zararlı yazılım varyasyonuna ev sahipliği yapıyor. Türkiye’de de çok sayıda bankanın sistemlerine uygun şekilde tasarlanmış Zeus trojan kiti satışlarının el altında yapıldığı ve kullanıldığı biliniyor. Bu yeni mobil Zeus tehditini de dolandırıcılar Türkiye’ye uyarlamakta geç kalmayacaklardır.