Yazılar

NSA cep telefonu kullanıcılarını hareketinden tanıyacak

nsa-cep-telefonu-kullanicilarini-hareketinden-taniyacakSadece cep telefonu ekranında gezinen parmaklarınızın hareketleri bile sizi tanımaya yetiyor. NSA’in kullandığı yeni teknik kulağa bilim kurgu gibi gelse de işleyen bir model.

ABD Ulusal Güvenlik Teşkilatı NSA’in ortaya çıkardığı yeni teknoloji akıllı telefon ekranındaki parmak hareketleriniz, yazı yazışınızı analiz ederek sizin kim olduğunuzu tanıyabiliyor. Bu teknolojiyi geliştirmede ise NSA, Lockheed Martin’den yardım alıyor. İsmine “Mandrake” denilen bu teknoloji uzaktan ekran üzerinde gezen parmağınızın hareket hızı, hızlanma anını analiz edebiliyor.

Bu bilgi bir nevi tekil bilgi. Yani kimse akıllı telefon ekranı kullanırken tamamen aynı hız, stil, tarzda kullanmıyor. Belki el yazısında taklit etme ihtimali var fakat akıllı telefon ekranı işleri oldukça komplike hale getiriyor. Aslında teknolojinin dayanağı ABD Hava Kuvvetlerinin 1978 yılında Pentagon için geliştirdiği biyometrik el yazı izi teknolojisine benziyor. Aynı zamanda NSA, akıllı telefon ekranı kullanımının geleneksel şifreden çok daha iyi bir alternatif olduğunu düşünüyor.

NSA’in teknolojiyi operasyonlarında hedef aldığı bazı kişilere karşı kullandığı biliniyor. Diğer yandan ortaya çıkan bilgiler geçmişte Google ve Samsung uygulama mağazalarını hackleyerek casus yazılım yerleştirmeyi düşünen NSA’in bu yapıyı geniş kitleler üzerinde kullanmayı da istediğini gösteriyor.

Sadece NSA değil, FBI’ın da benzer konularda yine Lockheed Martin ile işbirliği var. FBI’ın 1 milyar dolarlık NGI (Next Generation Identification System) adını verdiği sistemi insan yüzü, parmak izi, retina, dövme şeklinden kişileri tanımlayabiliyor. Lockheed Martin’in diğer bir hedefi de ismine Gait denilen kişileri sadece yürüyüşlerinden tanımlayan sistemle birlikte NGI’ı entegre etmek.

Çin’li Lenovo’nun casus yazılım krizi Superfish

cin-lenovo-casus-yazilim-krizi-superfishLenovo en büyük hatalardan birine düşerek sattığı bilgisayarlara Superfish adındaki bir casus yazılım yükledi. Bu yazılımın işlevi ise HTTPS dahil tüm web trafiğini araya girip izleyerek reklam göstermek.

Aslına bakarsak Lenovo’nun yüklediği bu yazılımı “zararlı yazılım” olarakta nitelendirmek mümkün. Sistemlere yüklü olarak gelen Superfish aynı zamanda yazılım gibi firmanın da ismi. Merkezi İsrail, Tel Aviv’de bulunan ve ileri seviye görsel arama teknolojileri geliştirdiğini söyleyen bir firma. Lenovo, Superfish yazılımını Google arama sonuçları içerisine istediği reklamları yerleştirmek için kullanıyordu. Bu şekilde gelir elde ediyordu. Reklamlar yerleştirilirken ise HTTP ve HTTPS trafiği içerisinde web sayfalarına JavaScript inject ediliyor.

HTTP ve HTTPS trafiğinin izlenmesi zararlı yazılımlardan sıkça gördüğümüz Man-in-Middle saldırısı anlamına geliyor. Lenovo sitelerin gerçek SSL sertifikalarını atlayarak Superfish sertifikasıyla gösterek güvenilirliği teyit etmeyi de engelliyor. Superfish gezdiğiniz siteyi algılayarak Facebook veya Google için bile şifreleme sertifikası üretebiliyor.

Burada gizlilikle ilgili birden fazla tehdit varken başka sıkıntılar da göze çarpıyor. Bunlardan ilki iletişiminizi izleyen veya aynı ağda olan kişilerle ilgili. Superfish’in özel anahtarını kıran biri başka bir Lenovo bilgisayarın trafiğini izlemek için kullanabiliyor. Yani bu bir Wi-Fi erişim noktası, iç ağ gibi lokasyonlardan internete bağlanırken tüm trafiğin izlenebilmesi demek.

Superfish’in özel anahtarının şifresini kırmakta pek güç değil. Sadece 2203 kelime içeren basit bir wordlist ile saldırı yapıldığında şifre rahatlıkla ele geçirilebiliyor. Bulunan şifre ise “komodia”.

cin-lenovo-casus-yazilim-krizi-superfish-2

Gelen tepkiler üzerine skandal uygulamayla ilgili geri adım atan Lenovo, bundan böyle üretilen yeni bilgisayarlarda Superfish’in yüklü gelmeyeceğini açıkladı. Hali hazırda yüklü sistemlerde ise “etkisiz” hale getirileceğini belirtti. Halen Superfish’in yüklü olduğu ve satılan 16 milyon bilgisayar olduğu tahmin ediliyor. Bunların bir kısmı iş istasyonu amacıyla kullanılan sistemler. Türkiye’de de sıkça kullanılan, özellikle de kamu sektöründe iş istasyonu, taşınabilir bilgisayar olarak tercih edilen Lenovo dünyanın en büyük PC üreticilerinden biri.

ABD için cebimizdeki iPhone’ları hacklemek çocuk oyuncağı

abd-icin-cebimizdeki-iphonelari-hacklemek-cocuk-oyuncagiYaşamını artık Rusya’da sürdüren eski NSA çalışanı Edward Snowden’ın avukatı müvekkilinin “gelişmiş casusluk yazılımı yüzünden” iPhone kullanmadığını açıkladı.

Edward Snowden yayınladığı belge ve bilgilerle istihbarat alanında ABD’nin neler yapabileceğini, NSA’in operasyonel kabiliyetlerini gözler önüne sermeye devam ediyor. Elbette konu NSA gibi dünyanın en güçlü istihbarat teşkilatlarından biri olunca, eski NSA ajanı Edward Snowden’ın nasıl bir telefon kullandığı da merak ediliyor. Avukatı bu konudaki sorulara; iPhone’un uzaktan özel bir yazılımla aktive edilerek casusluk yapılabildiğini ve bu yüzden Snowden’ın basit bir telefon kullandığını açıkladı.

Edward Snowden önceden yayınladığı belgelerde NSA’in DROPOUTJEEP adında bir casusluk yazılımıyla bütün Apple iPhone telefonları izleyerek verilerine ulaşabildiğini ortaya koymuştu. NSA bünyesindeki ANT (Advanced/Access Network Technology) adındaki departman tarafından geliştirilen bu casusluk yazılımı iPhone dışında başka elektronik cihazlardan da veri çekebiliyor.

DROPOUTJEEP casusluk yazılımı ile NSA dünya üzerindeki tüm iPhone’lardan fotoğraf, video vb. veriler, dosya gönderme, sesli mesajlar, rehber, mikrofon, kamera, SMS mesajları ve baz istasyonu bilgilerine erişebiliyor. Tüm bu iletişim hem şifreleniyor hem de gizleniyor. Belgeler gösteriyor ki NSA, DROPOUTJEEP casusluk yazılımını 2008 yılından beridir güncelleyerek kullanıyor.

abd-icin-cebimizdeki-iphonlari-hacklemek-cocuk-oyuncagi_2

Geçtiğimiz yıllarda farklı farklı Çin’li üreticilerin cep telefonlarının da çeşitli verileri düzenli olarak Çin’de bulunan sunuculara ilettiği ortaya çıkmıştı. Bu üreticilerden biri yaptığı açıklamada bu durumun “bir hata sonucu” oluştuğu şeklinde doğruluğu şüpheli bir açıklamada bulunmuştu. Ülkemizde hem Çin, hem ABD’nin veri sızdırdığı cihazlardan bolca kullanılıyor. Üstelik bunun önüne geçerek yerli üretime yönlendirecek bir strateji de henüz yok. Bu noktada en azından askeri personel, kamu personeli, devlet büyükleri ve milletvekillerinin Çin ile ABD üretimi cihazları, kapalı kodlu işletim sistemlerini kullanmasının önüne geçilmesi hayati gözüküyor.

Yeni Windows 8 Temalı Şifre Çalan Yazılım

Siber suçlular sürekli yeni araçlar, yöntemler geliştirirken artık bunları şık arabirimlerle de sunmaya gayret ediyorlar. Yeni bir şifre ve oyunların lisans numaralarını çalarak toplayan Windows 8 temalı araç ise hayli dikkat çekici. Bu tema ile elde edilen bilgilerin düzenlemesi ve sunulması daha kolay hale getirilmiş durumda.

Araç elde edilen şifreleri, oyun lisans numaralarını gruplarken diğer yandan kurbanın sisteminde olabilecek güvenlik önlemleri hakkında da bilgilendiriyor. Kullanılan antivirus, spyware, firewall gibi güvenlik ürünleri var mı, eğer varsa hangileri kullanılmış bu yazılımda yer alıyor.

Projenin yönetim panelinden bazı ekran görüntüleri;

windows8-temali-sifre-calan-yazilim

windows8-temali-sifre-calan-yazilim2

windows8-temali-sifre-calan-yazilim3

windows8-temali-sifre-calan-yazilim4

Casus yazılımla gizli Bitcoin/Litecoin madenciliği hakkında herşey

Ekran kartı, CPU veya ASIC işlemcileri yardımıyla üretilen sanal para birimlerinin yükselişiyle birlikte siber suçluların ilgisi bu alana doğru kaymaya başladı. Bazı ücretsiz programların içerisine Bitcoin/Litecoin minerlar yerleştirildiği gibi hacklenen sistemler üzerinden de işlemci gücünü sömürerek mining yapan profesyonel zararlı yazılımlar satılmaya başlandı.

Bu Bitcoin/Litecoin mining yapan ve ücretli olarak satılan zararlı yazılım kitlerinden bazılarını sıraladık;

Gizlice Bitcoin/Litecoin mining yapan ticari bir zararlı yazılım;

bitcoin-litecoin-miner-1

bitcoin-litecoin-miner-2

Bir başka ticari olarak satılan Bitcoin/Litecoin mining zararlı yazılımı;

bitcoin-litecoin-miner-3

Mining zararlı yazılımı menü;

bitcoin-litecoin-miner-4

Bir başka mining zararlı yazılımı menü;

bitcoin-litecoin-miner-5

Bitcoin/Litecoin mining yapan yazılımın yönetim paneli;

bitcoin-litecoin-miner-6

bitcoin-litecoin-miner-8

bitcoin-litecoin-miner-8

Bitcoin/Litecoin mining yapan zararlı yazılımlar kaynak kodları ile birlikte veriliyor;

bitcoin-litecoin-miner-9

250 dolara kurulabilecek siber suç çetesi

Siber suçluların kullanması için yeni bir crimekit piyasaya sürüldü. Atrax adındaki yeni crimekit sadece 250 dolara gizli haberleşme olanaklarına sahip bir siber suç merkezi olarak hizmet veriyor.

Atrax’ın tüm iletişimi TOR üzerinden sağlanıyor ve komuta kontrol sunucuları da TOR üzerinde çalışıyor. Fakat Atrax’ın gerçek gücü sadece bu değil. Aralarında form yakalama, DDoS modülü, Bitcoin/Litecoin miner, browserlardan veri çalma gibi pek çok özelliğin bulunduğu geniş bir fonksiyon listesi var. Atrax’ın övündüğü diğer bir özelliği ise Windows 8 destekleyen ilk bot çözümü olduğu.

atrax-siber-suc-crimekit-1

Crimekit’in ana komponentinin boyutu yaklaşık 1.2 MB. Bunun sebebi TOR entegrasyonu ve x64/x86 platformları için yazılan kodlar. Web downloader zararlı yazılımlarının ise boyutları 2 KB’ı aşmıyor. Sebebi farkedilmeden, yük getirmeden işini yapmak.

Atrax’ın çok sayıda modülü bulunıyor. Her ek modül siber suçlular tarafından ayrı ücretle satılıyor.

Standart özellikler

– Durdurma
– Güncelleme
– TOR üzerinden download, çalıştırma
– TOR üzerinden download, hafızada çalıştırma
– Plugin yükleme
– Yüklenmiş modül listesi
– Otomatik başlatma
– x86/x64 kodu, heavens gate tekniğiyle x86/x64 kodu inject etme
– Anti analyzer
– Anti debug/Anti hook engine
– GetProcAddressGetModuleHandle gibi şüpheli Windows API kullanımı yok
– Pluginler diske AES-128-CBC ile şifreli, random anahtar
– İletişim TOR üzerinden şifreli gerçekleştirilir. Ekstra bir iletişim biçimi yok
– Tüm plugin ve çekirdek kod işaretli. Herhangi bir sızıntıda güncelleme/destek alınamaz. Tüm destek/güncelleme hizmetleri ücretsizdir.

Eklenti / DDOS

– IPv6 + IPv4 desteği.
– UDP Flood
– TCP Flood
– TCP Connect Flood
– HTTP Slowris
– HTTP RUDY
– HTTP File Download
– Özel saldırı biçimleri talebe göre eklenebilir

Eklenti / Form Grabber

– Firefox, Internet Explorer x86/x64, Chrome SSL HTTP POST grabber
– Anti hook engine
– Özel hook engine
– Test edildi; PayPal, Amazon, Bitcoin.de, Mt.Gox, eBay, Gmail, vBulletin Boards
– SPDY v3 desteği
– Internet Explorer 7/8/9/10 Protected Mode desteği
– Sadece önemli POST form isteklerini yakalar
– Kullanıcı adı/Şifre/Email/Kredi Kartı gibi önemli bilgileri tarar

atrax-siber-suc-crimekit-2

Eklenti / Socks 5 Reverse Proxy

– Bu modül için ikinci bir VPS/dedicated sunucuya ihtiyaç vardır
– Server Java uygulamasıdır ve platform bağımsızdır
– Kimlik doğrulamalı veya doğrulamasız Socks 5
– Görev yöneticisi
– Proxy sunucuda farklı görevler farklı amaçlar için tanımlanabilir
– Reverse Socks olduğu için tüm istemcilerde çalışır

atrax-siber-suc-crimekit-3

Eklenti / Stealer

– Tüm browser versiyonlarından veri çalabilir
– Browserlar; Chrome, Firefox, Safari, Internet Explorer, Opera, FileZilla, Pidgin, JDownloader v1+v2, Gigatribe, Thunderbird, Windowskey, FlashFXP, ICQ, MSN, Windows Live, Outlook, Paltalk, Steak, Trillian, Minecraft, DynDNS, SmartFTP, WSFTP, Bitcoin Wallet (Armory, Bitcoin-Qt, Electrum, MultiBit)
– Duruma göre geliştirici ile görüşülüp yeni eklemeler yapılabilir
– Özel; JDownloader v1/v2, Bitcoin Waller Stealer ile tüm wallet.dat upload edilerek Bitcoin cüzdanları çalınabilir. Internet Explorer 10 + 11’, destekler
– Bitcoin/Litecoin miner.

atrax-siber-suc-crimekit-4

 

atrax-siber-suc-crimekit-5

Fiyatlar

Siber suçluların yeni platformu Atrax’da satışlarla ilgili tüm ödemelerde Bitcoin kabul edildiği göze çarpıyor. Aşağıdaki rakamlar USD karşılıklarıdır.

Standart sistem: 250 USD
Eklenti / DDoS: 90 USD
Eklenti / Form Grabber: 300 USD
Eklenti / Reverse Socks: 400 USD
Eklenti / Stealer: 110 USD
Eklenti / Coin Mining: 140 USD