Halil ÖZTÜRKCİ Güvenlik Günlüğü

13 Mayıs’da Microsoft Türkiye ofisinde gerçekleştirmiş olduğum “Microsoft Güvenlik İstihbarat Raporu Volume 6″ konulu seminerin sunum dosyasını buradan indirebilirsiniz. Bu seminerle birlikte kış döneminde düzenlediğimiz seminerler dizisinin sonuncusunu gerçekleştirmiş olduk. Sonbahar döneminde yeni konu başlıkları ve yeni seminerlerle yeniden karşınızda olma ümidiyle..

Symantec tarafından hazırlanan “Internet Security Threat Report”’un 14’uncü versiyonu yayınlandı. 2008 yılı içinde toplanan veriler ışığında hazırlanan bu raporda bir önceki versiyon raporlarda olduğu gibi oldukça önemli bilgiler ve istatistiki değerler mevcut. Aşağıda bu rapordaki bilgilere ilişkin genel başlıkları bulabilirsiniz;

 ·         Web tabanlı zararlı aktiviteler 2008 yılı içerisinde gerçekleştirilen zararlı aktiviteler sıralamasında başı çekiyor. Özellikle yüksek hit alan siteler, barındırdıkları zafiyetleri kullanan saldırganlar tarafından zararlı kodları yaymak için kullanılıyor. (Örneğin SQL Injection açığı bulunan bir web sitesine yerleştirilen javascript kodu ile zararlı içeriğin yayılmasını sağlama gibi.  Örnek olaylar için buraya, buraya  ve buraya bakabilirsiniz.)

·         Underground’da en çok talep ve istek gören bilgi, kredi kartı bilgisi. Çalıntı bir kredi kartı bilgisi 6 cent ile 30$ arasında bir fiyata satılıyor. En çok rağbet gören ikinci bilgi ise banka hesabı bilgileri.

·         2008 yılı içerisinde tespit edilen yeni zararlı kod sayısı 1,656,227. Bu rakam bir önceki yıl 624,267 idi. Görüldüğü gibi nerdeyse üç kat bir artış var.

·         2008 yılı içinde ortalama her gün 75,158 adet bot bulaşmış bilgisayar tespit edilmiş. Bir önceki yıla oranla %31’lik bir artış mevcut.

·         2008 yılına ait browser zafiyetlerine ilişkin bilgiler de çarpıcı. Mozilla, 99 adet zafiyetle en fazla açıklık barındıran browser listesinde birinci sırada. Bunu 47 zafiyetle Internet Explorer ve 40 zafiyetle Safari takip ediyor.

·         2008 yılı içinde Symantec tarafından tespit edilen toplam phishing sitesi sayısı 55,389 ve bu rakam bir önceki yıla oranla %61 artmış durumda. Bu phishing sitelerinin %43’ü Amerika’da host ediliyor.

·         EMEA bölgesi için hazırlanmış raporda Türkiye ile ilgili çarpıcı başlıklar mevcut. Bu başlıklardan en dikkat çekici olanı Türkiye’nin bot bulaşmış bilgisayarlar sıralamasındaki yeri. Bir önceki raporda bot bulaşmış bilgisayar sayısına göre 8’inci sırada iken bu raporda 4. Sırada yer alıyor Türkiye.

Raporları http://www.symantec.com/business/theme.jsp?themeid=threatreport adresinden indirebilirsiniz.

14 Nisan 2009 tarihinde yaklaşık 150 kişinin katılımıyla Microsoft Türkiye ofisinde gerçekleştirdiğim seminerin sunum dosyalarını buradan indirebilirsiniz.

Kış döneminin son semineri olan “Günümüz Güvenlik Tehditlerine Genel Bakış & Microsoft İstihbarat Raporu (SIR) Volume 6” başlıklı seminer ise 13 Mayıs 2009 tarihinde yine Microsoft Türkiye ofisinde gerçekleştirilecek.

Kaspersky'de SQL Injection Kurbanı

Hep söylemişimdir, eğer firma olarak güvenlik işiyle uğraşıyorsanız mutlaka ama mutlaka diğer firmalara göre çok daha dikkatli olmalı, yatırımlarınızı ona göre yapmalı, gerekli denetimlerinizi ona göre gerçekleştirmelisiniz diye.  Çünkü güvenlik pazarında at koşturan bir şirketin öncelikle kendi güvenliğinin delinmesi sırasında oluşacak negatif reputasyon’u göz önünde bulundurması gerekiyor.  Şimdi neden bu konuya değindiğime gelince, 7 Şubat’da hackersblog.org adresinde yayınlan bir yazıda Rusya kökenli bir antivirüs firması olan Kaspersky’nin USA domain’inin hacklendiği ve bütün müşteri bilgilerinin dışarı sızdığı iddia edildi. İlgili yazıya buradan ulaşabilirsiniz. Her ne kadar Kaspersky bu olayı yalanlasa da görünen o ki bir SQL injection açığı kullanılarak çok ciddi veriler elde edilmiş durumda.

8 Şubat tarihinden itibaren www.metasploit.com adresi ve bunun yanında bilinen bir kaç güvenlik sitesi daha (benim bildiğim www.milw0rm.com ve www.packetstormsecurity.org gibi) ciddi bir DDoS saldırısı ile karşı karşıya bulunuyor. Bu olay H D Moore’un canını belli ki çok sıkmış.  Saldırının bir botnet saldırısı olduğu ve saniyede 80.000 HTTP bağlantı isteği şeklinde geldiği tespit edilmiş. Saldırıyı bertaraf etmek adına bir çok yolu denemiş anlaşılan (örneğin metasploit’ün www kaydını 127.0.0.1 olarak değiştirerek saldırının gerçekleştirildiği bilgisayarların kendi kendilerine bağlantı isteği yollamayı sağlamak gibi) ama şu saat itibariyle www.metasploit.com henüz ulaşılabilir değil. Bunun yerine www.metasploit.org adresini kullanabilirsiniz.

Eğer SVN ile metasploit’i kullanıyorsanız bu durumda her ne kadar https’li repository’e switch etmek mümkünse de ortalığın biraz yatışmasını beklemenizi tavsiye ederim.

Chao Tarafından Üretilen ATM Skimmer Cihazları

Asıl adı Çağatay Evyapan olan ve 5 yılda 500 milyon dolar vurgun yaptığı iddia edilen  Chao tarafından hazırlandığı sanılan bir video youtube’da yayınlanmaya başladı.   Video’da ATM skimmer cihazlarını kullanacak kişilere nelere dikkat etmeleri gerektiği anlatılıyor. (Örneğin, nüfusu 15.000′in altında olan yerlerdeki ATM cihazlarına skimmer’ları yerleştirmeyin vb gibi ) Video’yu aşağıdan izleyebilirsiniz.

Hatırlanacağı üzere Tuzla’daki villasına yapılan baskında yakalanan ve aynı zamanda FBI tarafından da aranan Chao, kendisine ait olan www.darkmarket.ws adresi üzerinden ağırlıklı olarak  kendi üretimi olan ATM skimmer cihazlarını satıyordu.

turk.internet.com : Örnek üzerinden sormak gerekirse, günümüzde bir kişinin bilgisayarına kendisi farkına varmadan bilgi transfer edebilmek mümkün. Türk kanun uygulayıcılarının elinde, böyle bir durumda, hakikaten isnat edilen suça delil teşkil edecek verilerin dışarıdan birileri tarafından o bilgisayara yüklenip yüklenilmediğini anlayacak bir teknoloji var mı?

Halil Öztürkci : Kişinin haberi olmadan bilgisayarına illegal, kanun dışı içeriklerin transfer edilmesi, kişinin bilgisayarının başkaları tarafından illegal aktiviteler gerçekleştirmek için kullanılması tabii ki mümkün. Böyle bir durumda, gerçekleşen bu illegal aktivitelerin bilgisayarın sahibi tarafından mı, yoksa o bilgisayarı ele geçiren ve uzaktan o bilgisayarı yöneten kişiler tarafından mı yapıldığı, bazı durumlar için tesbit edilebiliyor.

turk.internet.com ile “Türkiye’de Bilişim Suçları ve Adli Bilişim”  konusunu ele aldığımız röportaj’ın ilk kısmına buradan ulaşabilirsiniz. Röportaj’ın ikinci kısmını ise buradan okuyabilirsiniz.

Windows Server 2008'de Güvenlik

8 Ocak tarihinde gerçekleştirdiğim “Windows Server 2008′de Güvenlik” webcast’ini buradan indirip dinleyebilirsiniz. Webcast’de değindiğimiz konu başlıkları şunlar;

 Gelişmiş Güvenlik Özellikleriyle Windows Firewall
Server Core
Güçlendirilmiş Windows Servis Mimarisi
Read-Only Domain Controller
Sunucu ve Domain İzolasyonu
Gelişmiş Şifre Politikaları (Fine-Grained Password Policies)
Auditing
Network Access Protection
BitLocker Disk Şifreleme
Yeni PKI (Public Key Infrastructure) Özellikleri
Secure Socket Tunneling Protocol (SSTP)

Adli Bilişim’e Giriş ve Microsoft Sistemlerde Adli Bilişim Temelleri

16 Aralık 2008 tarihinde Microsoft Türkiye ofisinde sunumunu gerçekleştirdiğim “Adli Bilişim’e Giriş ve
Microsoft Sistemlerde Adli Bilişim Temelleri” başlıklı seminerin sunum dosyasını nihayet fırsat bulup siteme upload edebildim. Sunumu buradan indirebilirsiniz.

Sunumu kaçıranlar için ufak bir not; 2009 yılı kış döneminde de seminerler devam edecek. Gerçekleştireceğim seminerlerin duyurusuna bu siteden ulaşabilirsiniz.

Güvenlik seminerleri dizisinin ilk semineri olan “Windows Server 2008′de Güvenlik” başlıklı semineri 10 Kasım Cuma günü Microsoft ofisinde verdim. Katılımın yoğun olduğu seminerde Windows Server 2008 ile birlikte gelen güvenlik özelliklerini ele alıp detaylarıyla değindim. Seminerin sunum dosyasını buradan indirebilirsiniz. Kasım ayında “Günümüzdeki Güvenlik Tehditlerine İlişkin Genel Bakış ve Türkiye’nin Durumu” başlıklı seminer, Aralık ayında da “Adli Bilişim’e Giriş ve Microsoft Sistemlerde Adli Bilişim Temelleri ” başlıklı seminerleri Microsoft Türkiye ofisinde veriyor olacağım.