Halil ÖZTÜRKCİ Güvenlik Günlüğü

13 Mayıs’da Microsoft Türkiye ofisinde gerçekleştirmiş olduğum “Microsoft Güvenlik İstihbarat Raporu Volume 6″ konulu seminerin sunum dosyasını buradan indirebilirsiniz. Bu seminerle birlikte kış döneminde düzenlediğimiz seminerler dizisinin sonuncusunu gerçekleştirmiş olduk. Sonbahar döneminde yeni konu başlıkları ve yeni seminerlerle yeniden karşınızda olma ümidiyle..

Symantec tarafından hazırlanan “Internet Security Threat Report”’un 14’uncü versiyonu yayınlandı. 2008 yılı içinde toplanan veriler ışığında hazırlanan bu raporda bir önceki versiyon raporlarda olduğu gibi oldukça önemli bilgiler ve istatistiki değerler mevcut. Aşağıda bu rapordaki bilgilere ilişkin genel başlıkları bulabilirsiniz;

 ·         Web tabanlı zararlı aktiviteler 2008 yılı içerisinde gerçekleştirilen zararlı aktiviteler sıralamasında başı çekiyor. Özellikle yüksek hit alan siteler, barındırdıkları zafiyetleri kullanan saldırganlar tarafından zararlı kodları yaymak için kullanılıyor. (Örneğin SQL Injection açığı bulunan bir web sitesine yerleştirilen javascript kodu ile zararlı içeriğin yayılmasını sağlama gibi.  Örnek olaylar için buraya, buraya  ve buraya bakabilirsiniz.)

·         Underground’da en çok talep ve istek gören bilgi, kredi kartı bilgisi. Çalıntı bir kredi kartı bilgisi 6 cent ile 30$ arasında bir fiyata satılıyor. En çok rağbet gören ikinci bilgi ise banka hesabı bilgileri.

·         2008 yılı içerisinde tespit edilen yeni zararlı kod sayısı 1,656,227. Bu rakam bir önceki yıl 624,267 idi. Görüldüğü gibi nerdeyse üç kat bir artış var.

·         2008 yılı içinde ortalama her gün 75,158 adet bot bulaşmış bilgisayar tespit edilmiş. Bir önceki yıla oranla %31’lik bir artış mevcut.

·         2008 yılına ait browser zafiyetlerine ilişkin bilgiler de çarpıcı. Mozilla, 99 adet zafiyetle en fazla açıklık barındıran browser listesinde birinci sırada. Bunu 47 zafiyetle Internet Explorer ve 40 zafiyetle Safari takip ediyor.

·         2008 yılı içinde Symantec tarafından tespit edilen toplam phishing sitesi sayısı 55,389 ve bu rakam bir önceki yıla oranla %61 artmış durumda. Bu phishing sitelerinin %43’ü Amerika’da host ediliyor.

·         EMEA bölgesi için hazırlanmış raporda Türkiye ile ilgili çarpıcı başlıklar mevcut. Bu başlıklardan en dikkat çekici olanı Türkiye’nin bot bulaşmış bilgisayarlar sıralamasındaki yeri. Bir önceki raporda bot bulaşmış bilgisayar sayısına göre 8’inci sırada iken bu raporda 4. Sırada yer alıyor Türkiye.

Raporları http://www.symantec.com/business/theme.jsp?themeid=threatreport adresinden indirebilirsiniz.

14 Nisan 2009 tarihinde yaklaşık 150 kişinin katılımıyla Microsoft Türkiye ofisinde gerçekleştirdiğim seminerin sunum dosyalarını buradan indirebilirsiniz.

Kış döneminin son semineri olan “Günümüz Güvenlik Tehditlerine Genel Bakış & Microsoft İstihbarat Raporu (SIR) Volume 6” başlıklı seminer ise 13 Mayıs 2009 tarihinde yine Microsoft Türkiye ofisinde gerçekleştirilecek.

Kaspersky'de SQL Injection Kurbanı

Hep söylemişimdir, eğer firma olarak güvenlik işiyle uğraşıyorsanız mutlaka ama mutlaka diğer firmalara göre çok daha dikkatli olmalı, yatırımlarınızı ona göre yapmalı, gerekli denetimlerinizi ona göre gerçekleştirmelisiniz diye.  Çünkü güvenlik pazarında at koşturan bir şirketin öncelikle kendi güvenliğinin delinmesi sırasında oluşacak negatif reputasyon’u göz önünde bulundurması gerekiyor.  Şimdi neden bu konuya değindiğime gelince, 7 Şubat’da hackersblog.org adresinde yayınlan bir yazıda Rusya kökenli bir antivirüs firması olan Kaspersky’nin USA domain’inin hacklendiği ve bütün müşteri bilgilerinin dışarı sızdığı iddia edildi. İlgili yazıya buradan ulaşabilirsiniz. Her ne kadar Kaspersky bu olayı yalanlasa da görünen o ki bir SQL injection açığı kullanılarak çok ciddi veriler elde edilmiş durumda.

Chao Tarafından Üretilen ATM Skimmer Cihazları

Asıl adı Çağatay Evyapan olan ve 5 yılda 500 milyon dolar vurgun yaptığı iddia edilen  Chao tarafından hazırlandığı sanılan bir video youtube’da yayınlanmaya başladı.   Video’da ATM skimmer cihazlarını kullanacak kişilere nelere dikkat etmeleri gerektiği anlatılıyor. (Örneğin, nüfusu 15.000′in altında olan yerlerdeki ATM cihazlarına skimmer’ları yerleştirmeyin vb gibi ) Video’yu aşağıdan izleyebilirsiniz.

Hatırlanacağı üzere Tuzla’daki villasına yapılan baskında yakalanan ve aynı zamanda FBI tarafından da aranan Chao, kendisine ait olan www.darkmarket.ws adresi üzerinden ağırlıklı olarak  kendi üretimi olan ATM skimmer cihazlarını satıyordu.

[youtube:http://www.youtube.com/watch?v=80vvmW1fFMw]

Yaklaşık 6 yıldır botnet dünyasında varlığı bilinen ve hala aktif olan Coreflood’un yeni bir analizi yayınlandı. SecureWorks’dan Joe Stewart’ın analizinde dikkat çeken noktalardan bazıları şunlar;

• 16 aylık bir periyotta bu zararlı kodu bulaştığı bilgisayar sayısı 378.000′den fazla ve bulaştığı bilgisayarlar arasında hastane ve hükümet bilgisayarları, hatta polis bilgisyarları bile var.
• Bu botnet DDoS saldırıları gerçekleştirmek yerine artık banka dolandırıcılarına full-anonymity sağlamak için kullanılıyor.
• Bu zararlı kodun bulaştığı bilgisayar eğer bir Windows domain’i üyesi ise domain’deki bütün bilgisayarlar ciddi bir tehlikeyle karşı karşıya kalıyor. (Aynı organizasyonda bulunan binlerce bilgisayarın bu zararlı kod tarafından ele geçirildiği biliniyor.)

Yukarıdaki istatistikler, ele geçirilen ve saldırganlar tarafından uzun süredir kullanılan bir C&C sunucusundaki yaklaşık 50GB’lık data analiz edilerek ortaya çıkartılmış. Gerçekleştirilen analizin sonuçları içerisinde dikkat çeken başka önemli bir nokta ise bu zararlı kodun, Mark Russinovich’in yazdığı ve PsTools paketi  içinde dağıtılan PsExec  gibi oldukça kullanışlı bir aracı da kullanıyor olması. Bu zararlı kod, eğer bulaştığı bilgisayardaki kullanıcı domain admin yetkisine sahip bir kullanıcı ise PsExec’i kullanarak domain’deki diğer bütün bilgisayarlara bağlanıp başka bir zararlı kodu bu bilgisayarlara yükleyebiliyor.

Daha detaylı analiz bilgileri için buraya tıklayabilirsiniz.

Emniyet Genel Müdürlüğü Kaçakcılık ve Organize Suçlarla Mücadele Daire Başkanlığı’nın 2007 yılına ilişkin raporunun “Bilişim Suçları ve Sistemleri” kısmında, ülkemizde 2005-2007 yıllları arasında tesbit edilen bilişim suçlarının istatistiki bilgileri yer alıyor. Yıllık yayınlanan bu raporda diğer suç türleriyle ilgili çok detaylı istatistiki bilgiler yer almasına rağmen bilişim suçları ile ilgili olarak sadece tek bir tablo’nun yer alması beni biraz hayal kırıklığına uğrattı açıkcası. “Kredi Kartlarının Kötüye Kullanılması” kısmında ülkemizde kredi kartı bilgilerini elde etmek için kullanılan yöntemler sıralanmış. Bu yöntemler ;

1- ATM cihazlarına özel düzenekler kurularak kullanıcının kart bilgisinin ve şifresinin alınması,
2- Kredi kartları ile ödeme yapılması esnasında özel ekipmanlar (papağan) kullanılarak
kopyalama yapılması,
3- Birçok şubesi bulunan büyük mağazaların daha rahat hesap tutabilmeleri için alışveriş yapan
müşterilerin kart bilgilerini merkezlerinde depolamaları ve güvenlik zafiyetlerinin bulunması,
4- Art niyetli olarak kurulan internet sistemlerinden alınan hizmetlerle kart bilgilerinin elde
edilmesi,
5- Online hizmet veren veya mal satan sitelerden yapılan alışverişlerde, kullanıcıların kart
bilgilerinin kaydedilmesi ve yetersiz güvenlik önlemleri ile bilgilerin çalınması.

şeklinde sıralanmış.

Raporun tamamını buradan indirebilirsiniz. Raporun Bilişim Suçları ve Sistemleri kısmında yer alan istatistik tablosu ise aşağıda.

Firefox’un yeni versiyonu olan 3 yakın zaman önce çıktı ve kullanıcıların güvenliğini sağlamak adına bünyesinde bir çok özellik barındırıyor. Örneğin Internet Explorer’da olduğu gibi bir “Anti-Phishing” özelliği, Windows Vista ile birlikte gelen “parental control” ile birlikte çalışabilme özelliği yeni gelen ve güvenliği arttıran özellikler olarak karşımıza çıkmakta.

Yeni gelen özelliklerden birisi ve benim en çok beğendiğim özelliklerden birisi de Anti-Malware özelliği. Bu özellik sayesinde zararlı kod yayan sitelere erişmek istediğinizde yada kontrolünüz dışında yönlendirildiğinizde aşağıdaki gibi bir uyarı mesajı alıyorsunuz.

Karşınıza çıkan uyarı mesajındaki “Why was this site blocked?” linkline tıkladığınızda ise Google’ın “Safe Browsing” sayfaları içinden engellenen siteye ilişkin sayfaya yönlendiriliyorsunuz ve site’nin neden engellendiğinin detaylarına aşağıdaki şekilde gösterildiği gibi ulaşabiliyorsunuz. Benim örneğimde ilgili sitenin ziyaretçilerinin bilgisayarlarına zararlı kod yüklemeye çalıştığı ve bü yüzden engellendiği bilgisini görüyoruz.

Firefox 3′ün sağladığı güvenlik özelliklerinin listesine buradan ulaşabilirsiniz.

Hepimizin çok sık karşılaştığı ve hergün en az 3-5 tanesinin mailbox’larımıza düştüğü phishing maillerde saldırganların yakın zamanda yöntem değiştirdiğini gözlemliyoruz. Kullanılan önceki yöntemde kurban’ın sahte siteye bilgilerini girmesi ve bu şekilde bilgileri toplamak hedeflenirken artık daha başka yöntemler kullanılıyor. Örneğin son zamanlarda sıkça karşılaştığımız SSL sertifikasının yenilenmesi konseptine dayanan bir phishing furyası sözkonusu. Her gün en az 2 tane bu şekilde mail düşüyor bu aralar mailbox’ıma. Buraya tıklayarak gelen mail’deki link’i tıkladığınızda açılacak sitenin neye benzediğini görebilirsiniz. Gerçi resimden de görebileceğiniz gibi henüz üzerinden çok kısa bir süre geçmesine rağmen bu sitenin bir phishing sitesi olduğu Microsoft tarafından bilinmekte ve adres çubuğunda gerekli uyarı yapılmakta. burada kullanıcılara SSL sertifikalarının yenilenmesi için aşağıda yer alan link’e tıklamaları ve bu linkte yer alan programı indirerek bilgisayarlarına kurmaları gerektiği belirtiliyor.  Öncesinde sahte sitelere yönlendirerek kurban’ların banaka hesap bilgilerini alan bu kişiler artık trojan&keylogger gibi zararlı kodları kurbanlarının bilgisayarlarına yerleştirip bu şekilde kritik bilgileri almayı hedefliyorlar.

İlgili linkte yer alan dosyayı indirdim ve indirilen dosyanın antivirüsler tarafından tanınıp tanınmadığını test etmek için www.virustotal.com adresine upload ettim. Fakat birileri benden tam 4 gün önce dosyayı virustotal’e upload etmişler. İşin ilginç ve endişe verici tarafı ise birileri tarafından 4 gün önce upload edilen zararlı kod örneğini 32 antivirüs  yazılımından sadece 11 tanesi tarafından tesbit edilebilyor olması. Virustotal sonuçları için buraya tıklayabilirsiniz.

Başlığı okuyup şaşırabilirsiniz, fakat artık hatırı sayılır bir iş kolu halini almış olan zararlı kod geliştirmek ve bu kodları satmak gün geçtikçe daha da yaygınlaşıyor. İşin ilginç tarafı ise bu zararlı kodları yazanların aynen normal bir uygulama geliştirici gibi kendi kodu içerisine lisans anlaşmaları yerleştirmeleri. Evet yanlış duymadınız. Zararlı kod geliştirip bu kodları para karşılığı underground’da satan kişiler kendi kodlarının hangi şartlarda kullanılabileceğini belirtmek ve eğer bu şartlar dahilinde kullanılmazsa kodları, neler yapacaklarını bir lisans sözleşmesi üzerinden satın alan kişilere bildiriyorlar. Alın size bir örnek;  Symantec tarafından “Infostealer Banker-C” olarak adlandırılan ve Zeus olarak bilinen zararlı kodu geliştiren kişinin yazdığı lisans anlaşmasına göz atmak için buraya tıklayın.

Link’e tıkladığınızda açılan pencerede Rusça hazırlanmış bir help dosyasının içinde lisans anlaşmasını göreceksiniz. Bu metnin ingilizceye çevrilmiş halini ise buradan okuyabilirsiniz. Biraz tehditkar bir yaklaşım sergileyen lisans anlaşmasında özetle söylenen ise şu;

“Yapılan anlaşmanın ihlalinin tesbiti durumunda hiç bir şekilde teknik destek alamayacak hatta kullandığınız kodun ürettiği bot’un çalıştırılabilir binary kopyası anında antivirüs şirketlerine gönderilecektir.”