Yazılar

Buzdolabı kullanarak e-posta şifresi hacklemek

buzdolabi-kullanarak-eposta-sifresi-hacklemek Buzdolabı kullanarak e-posta şifresi hacklemek

Akıllı telefonlar, akıllı evler, akıllı saatler derken her cihazın internete bağlandığı ve birer bilgisayar özelliği kazandığı bir döneme girdik.

Artık buzdolabı bile olsa internete bağlanma ve diğer akıllı cihaz özelliklerini sunmaya çalışıyor. Bir hacking konferansında yapılan duyuruyla Samsung Smart Buzdolabı’nın üzerine tanımlanmış Gmail hesabına izinsiz girişe sebep olduğu ortaya çıktı. Buzdolabı üzerindeki ekranda Gmail’in Takvim kısmını gösterecek şekilde tasarlanmış.

Akıllı buzdolabı bir akıllı ev uygulaması ile cep telefonundan kontrol edilebiliyor. Uygulama iletişim kurmak için SSL kullansa bile SSL sertifikasını sağlıklı şekilde doğrulamadığı için iletişimi araya girip izleyerek Man-in-Middle saldırısı düzenlemek mümkün olabiliyor. Samsung’un buzdolabı takvim içeriğini göstermek için girdiğiniz e-posta şifresi ile sunuculara bağlanıyor, dolayısıyla aynı ağdaki herhangi bir kişi bu bilgilere erişebiliyor. Sağlıklı bir sertifika doğrulaması gerçekleştirilmemesi probleme sebep oluyor.

Araştırmacılar henüz doğru parametreler üzerinde yeterince çalışıp tamamlayamasa da, bu açık sayesinde buzdolabı üzerindeki firmware yazılımını değiştirerek zararlı yazılım yükleme imkanı da olabileceğini belirtiyorlar. Daha önce de Samsung Akıllı TV’lerin ses tanıma verilerini ve diğer bilgileri şifrelemeden internet üzerinden aktardığı ortaya çıkmıştı. Samsung konuyu araştırdığını açıklamakla yetindi.

Lenovo bilgisayarlarda yeniden arka kapı tespit edildi

lenovo-bilgisayarlarda-yeniden-arka-kapi-tespit-edildi Lenovo bilgisayarlarda yeniden arka kapı tespit edildiÇin’li bilgisayar üreticisi Lenovo’nun BIOS içerisine gizlediği rootkit zararlı yazılımı tespit edildi.

Daha önce Lenovo’nun sattığı bilgisayarlara Superfish ismindeki spyware yazılımını yüklediği ortaya çıkmıştı. Bu skandalın üzerinden çok geçmeden daha tehlikeli bir zararlı uygulamaya rastlandı. UEFI seviyesinde gizli olarak yerleştirilmiş rootkit Lenovo G50-80 marka yeni alınan bir laptopta tespit edildi. Tamamen temiz olarak baştan kurulan ve Lenovo ile gelen disklerle yüklemesi yapılan sistemde tespit edildi.

İşletim sistemi yeniden kurulduktan sonra ilk reboot işleminin ardından aşağıdaki gibi bir mesaj alınıyor;

“Note: This is from the product itself and not from the network. To help you continue to upgrade system firmware and software, in order to make your system more stable, safe and high performance, download and install the Lenovo system optimization software. The software download process needs to connect to the internet. Click here to read the Lenovo License Agreement LLA”

Bunun anlamı, BIOS işletim sisteminin yeniden kurulduğunu anlıyor ve tekrar sistemde arka kapı oluşturacak dosyaları kopyalamak için uyarıyı gösteriyor. Normal bir Windows sistemle farklılıklar karşılaştırıldığında çok sayıda değişiklik yapıldığı görülüyor. Sistemde LenovoCheck.exe ve LenovoUpdate.exe gibi dosyalar da bulunuyor. Bu dosyalardan biri silinse bile tekrar sistem reboot edildiğinde aynı mesaj gözüküyor ve dosyalar yeniden kopyalanıyor.

Servisler içerisinde “Lenovo Update” olarak gösterilen servisi kapatsanız bile tekrar otomatik olarak aktif hale getiriliyor. Cihaz internete bağlandığında ise Lenovo’ya bağlanarak bir .json dosyası üzerinden çeşitli veriler alıp gönderiyor. Bu işlem için ise SSL kullanılmıyor. Tamamıyla güvensiz olan bu yöntem sayesinde uzaktan sistemde kod çalıştırmak veya iletişimi izleyerek man-in-the-middle saldırılarında bulunmak mümkün.

Problemin çözümü için BIOS güncellemesi yapılması gerekiyor fakat öncesinde yeni ROM içerisinde “NovoSecEngine2” isimli modülün bulunarak kaldırılması gerekiyor. Bu işlemi yaparken dikkatli olmak gerekli çünkü laptop kullanılamaz hale gelebilir. BIOS yeniden yazıldıktan sonra c:\Windows\system32\autochk.exe dosyasını Lenovo’nun mu yoksa Microsoft’un mu imzaladığına bakarak rootkit’in aktif olup olmadığı anlaşılabilir. Alternatif olarak Lenovo’nun yayınladığı son BIOS güncellemesi de kullanılabilir fakat kontrol etmekte yarar var gibi gözüküyor.

Lenovo’nun konu ile ilgili açıklaması ise artık LSE denilen rootkit’in Lenovo cihazlarla birlikte dağıtılmadığı, eski cihazların ise BIOS güncellemesi yaparak kurtulabileceği yönünde oldu.

Lenovo marka thin client, desktop, laptop çeşidi çok sayıda bilgisayar Türkiye’nin en kritik kamu, özel sektör kuruluşlarında kullanılıyor. Rootkit’ten etkilenen Lenovo modelleri;

Lenovo Notebook

  • Flex 2 Pro 15 (Broadwell)
  • Flex 2 Pro 15 (Haswell)
  • Flex 3 1120
  • Flex 3 1470/1570
  • G40-80/G50-80/G50-80 Touch
  • S41-70/U41-70
  • S435/M40-35
  • V3000
  • Y40-80
  • Yoga 3 11
  • Yoga 3 14
  • Z41-70/Z51-70
  • Z70-80/G70-80

Lenovo Desktop

  • A540/A740
  • B4030
  • B5030
  • B5035
  • B750
  • H3000
  • H3050
  • H5000
  • H5050
  • H5055
  • Horizon 2 27
  • Horizon 2e (Yoga Home 500)
  • Horizon 2S
  • C260
  • C2005
  • C2030
  • C4005
  • C4030
  • C5030
  • X310(A78)
  • X315(B85)
  • D3000
  • D5050
  • D5055
  • F5000
  • F5050
  • F5055
  • G5000
  • G5050
  • G5055
  • YT A5700k
  • YT A7700k
  • YT M2620n
  • YT M5310n
  • YT M5790n
  • YT M7100n
  • YT S4005
  • YT S4030
  • YT S4040
  • YT S5030

Kolumuzdaki güvenlik açığı: Akıllı saatler

kolumuzdaki-guvenlik-acigi-akilli-saatler Kolumuzdaki güvenlik açığı: Akıllı saatlerSon yapılan araştırmalara göre akıllı saatler ortalamanın üzerinde güvenlik zayıflıklarına sahip. Güvensiz kimlik doğrulama, şifreleme ve gizlilik sıkıntıları, çeşitli yazılımsal güvenlik açıkları bu yeni pazarı tehdit ediyor.

Durum öylesi bir hal almış ki şu an için önerilen şey güçlü bir kimlik doğrulama sistemi gelinceye kadar akıllı saatlere araba veya evimizi bağlamamamız yönünde. Diğer yandan tek tehdit evimiz veya arabamız değil. Akıllı saatler yavaş yavaş kurumsal ağlara da bağlanıyor ve bu bambaşka tehditlerin önünü açacak.

Akıllı saatler şimdiden yaşamımızın bir parçası olmaya başladı. Gelecekte kullanımı artacak bu cihazlar yeni tehditleri de hayatımıza katıyor. Akıllı saatlere dair açıklık kategorilerinden bazıları;

Yetersiz kimlik doğrulama ve yetkilendirme: Mobil telefonlarla eşleştirilen akıllı saatlerin hiçbirini iki aşamalı şifre gibi bir önleme sahip değil. Aynı zamanda 3-5 başarısız denemeden sonra hesabı kitlemiyorlar. Bunun anlamı brute force yoluyla basit şifrelere ulaşılabilecek olması.

Şifreleme ile ilgili yetersizlikler: Şifreli iletişim bir akıllı saat için belki en temel özellik. Ürünlerin neredeyse tamamı SSL/TLS şifreleme kullanıyor. Bunların %40’ının ise bulut bağlantısı var ve POODLE saldırısına karşı savunmasız. SSLv2 gibi zayıf cipherlar aktif ve kullanılabiliyor.

Güvensiz arabirimler: Akıllı saatlerin %30’u bulut tabanlı bir web arabirime sahip. Bunların tümü brute force saldırılarına karşı savunmasız durumda. Aynı zamanda mobil uygulamaları da brute force saldırılarından muzdarip. Kullanıcı adı bilinmiyorsa, şifre sıfırlama aşamasında kullanıcı adını belirlemekte mümkün durumda.

Güvensiz yazılım ve donanım: Akıllı saatlerin %70’i firmware güncellemeleri, firmware dosyalarının transferi sırasındaki şifreleme konusunda açıklar içeriyor.

Gizlilik sıkıntıları: Tüm akıllı saatler isim, adres, doğum tarihi, kilo, cinsiyet, kalp atış hızı ve diğer sağlık bilgilerini toplayıp üreticiye iletiyor.

Çin’li Lenovo’nun casus yazılım krizi Superfish

cin-lenovo-casus-yazilim-krizi-superfish Çin’li Lenovo’nun casus yazılım krizi SuperfishLenovo en büyük hatalardan birine düşerek sattığı bilgisayarlara Superfish adındaki bir casus yazılım yükledi. Bu yazılımın işlevi ise HTTPS dahil tüm web trafiğini araya girip izleyerek reklam göstermek.

Aslına bakarsak Lenovo’nun yüklediği bu yazılımı “zararlı yazılım” olarakta nitelendirmek mümkün. Sistemlere yüklü olarak gelen Superfish aynı zamanda yazılım gibi firmanın da ismi. Merkezi İsrail, Tel Aviv’de bulunan ve ileri seviye görsel arama teknolojileri geliştirdiğini söyleyen bir firma. Lenovo, Superfish yazılımını Google arama sonuçları içerisine istediği reklamları yerleştirmek için kullanıyordu. Bu şekilde gelir elde ediyordu. Reklamlar yerleştirilirken ise HTTP ve HTTPS trafiği içerisinde web sayfalarına JavaScript inject ediliyor.

HTTP ve HTTPS trafiğinin izlenmesi zararlı yazılımlardan sıkça gördüğümüz Man-in-Middle saldırısı anlamına geliyor. Lenovo sitelerin gerçek SSL sertifikalarını atlayarak Superfish sertifikasıyla gösterek güvenilirliği teyit etmeyi de engelliyor. Superfish gezdiğiniz siteyi algılayarak Facebook veya Google için bile şifreleme sertifikası üretebiliyor.

Burada gizlilikle ilgili birden fazla tehdit varken başka sıkıntılar da göze çarpıyor. Bunlardan ilki iletişiminizi izleyen veya aynı ağda olan kişilerle ilgili. Superfish’in özel anahtarını kıran biri başka bir Lenovo bilgisayarın trafiğini izlemek için kullanabiliyor. Yani bu bir Wi-Fi erişim noktası, iç ağ gibi lokasyonlardan internete bağlanırken tüm trafiğin izlenebilmesi demek.

Superfish’in özel anahtarının şifresini kırmakta pek güç değil. Sadece 2203 kelime içeren basit bir wordlist ile saldırı yapıldığında şifre rahatlıkla ele geçirilebiliyor. Bulunan şifre ise “komodia”.

cin-lenovo-casus-yazilim-krizi-superfish-2 Çin’li Lenovo’nun casus yazılım krizi Superfish

Gelen tepkiler üzerine skandal uygulamayla ilgili geri adım atan Lenovo, bundan böyle üretilen yeni bilgisayarlarda Superfish’in yüklü gelmeyeceğini açıkladı. Hali hazırda yüklü sistemlerde ise “etkisiz” hale getirileceğini belirtti. Halen Superfish’in yüklü olduğu ve satılan 16 milyon bilgisayar olduğu tahmin ediliyor. Bunların bir kısmı iş istasyonu amacıyla kullanılan sistemler. Türkiye’de de sıkça kullanılan, özellikle de kamu sektöründe iş istasyonu, taşınabilir bilgisayar olarak tercih edilen Lenovo dünyanın en büyük PC üreticilerinden biri.