13 Mayıs’da Microsoft Türkiye ofisinde gerçekleştirmiş olduğum “Microsoft Güvenlik İstihbarat Raporu Volume 6″ konulu seminerin sunum dosyasını buradan indirebilirsiniz. Bu seminerle birlikte kış döneminde düzenlediğimiz seminerler dizisinin sonuncusunu gerçekleştirmiş olduk. Sonbahar döneminde yeni konu başlıkları ve yeni seminerlerle yeniden karşınızda olma ümidiyle..

Symantec tarafından hazırlanan “Internet Security Threat Report”’un 14’uncü versiyonu yayınlandı. 2008 yılı içinde toplanan veriler ışığında hazırlanan bu raporda bir önceki versiyon raporlarda olduğu gibi oldukça önemli bilgiler ve istatistiki değerler mevcut. Aşağıda bu rapordaki bilgilere ilişkin genel başlıkları bulabilirsiniz;

 ·         Web tabanlı zararlı aktiviteler 2008 yılı içerisinde gerçekleştirilen zararlı aktiviteler sıralamasında başı çekiyor. Özellikle yüksek hit alan siteler, barındırdıkları zafiyetleri kullanan saldırganlar tarafından zararlı kodları yaymak için kullanılıyor. (Örneğin SQL Injection açığı bulunan bir web sitesine yerleştirilen javascript kodu ile zararlı içeriğin yayılmasını sağlama gibi.  Örnek olaylar için buraya, buraya  ve buraya bakabilirsiniz.)

·         Underground’da en çok talep ve istek gören bilgi, kredi kartı bilgisi. Çalıntı bir kredi kartı bilgisi 6 cent ile 30$ arasında bir fiyata satılıyor. En çok rağbet gören ikinci bilgi ise banka hesabı bilgileri.

·         2008 yılı içerisinde tespit edilen yeni zararlı kod sayısı 1,656,227. Bu rakam bir önceki yıl 624,267 idi. Görüldüğü gibi nerdeyse üç kat bir artış var.

·         2008 yılı içinde ortalama her gün 75,158 adet bot bulaşmış bilgisayar tespit edilmiş. Bir önceki yıla oranla %31’lik bir artış mevcut.

·         2008 yılına ait browser zafiyetlerine ilişkin bilgiler de çarpıcı. Mozilla, 99 adet zafiyetle en fazla açıklık barındıran browser listesinde birinci sırada. Bunu 47 zafiyetle Internet Explorer ve 40 zafiyetle Safari takip ediyor.

·         2008 yılı içinde Symantec tarafından tespit edilen toplam phishing sitesi sayısı 55,389 ve bu rakam bir önceki yıla oranla %61 artmış durumda. Bu phishing sitelerinin %43’ü Amerika’da host ediliyor.

·         EMEA bölgesi için hazırlanmış raporda Türkiye ile ilgili çarpıcı başlıklar mevcut. Bu başlıklardan en dikkat çekici olanı Türkiye’nin bot bulaşmış bilgisayarlar sıralamasındaki yeri. Bir önceki raporda bot bulaşmış bilgisayar sayısına göre 8’inci sırada iken bu raporda 4. Sırada yer alıyor Türkiye.

Raporları http://www.symantec.com/business/theme.jsp?themeid=threatreport adresinden indirebilirsiniz.

Kaspersky SQL Injection

Kaspersky'de SQL Injection Kurbanı

Hep söylemişimdir, eğer firma olarak güvenlik işiyle uğraşıyorsanız mutlaka ama mutlaka diğer firmalara göre çok daha dikkatli olmalı, yatırımlarınızı ona göre yapmalı, gerekli denetimlerinizi ona göre gerçekleştirmelisiniz diye.  Çünkü güvenlik pazarında at koşturan bir şirketin öncelikle kendi güvenliğinin delinmesi sırasında oluşacak negatif reputasyon’u göz önünde bulundurması gerekiyor.  Şimdi neden bu konuya değindiğime gelince, 7 Şubat’da hackersblog.org adresinde yayınlan bir yazıda Rusya kökenli bir antivirüs firması olan Kaspersky’nin USA domain’inin hacklendiği ve bütün müşteri bilgilerinin dışarı sızdığı iddia edildi. İlgili yazıya buradan ulaşabilirsiniz. Her ne kadar Kaspersky bu olayı yalanlasa da görünen o ki bir SQL injection açığı kullanılarak çok ciddi veriler elde edilmiş durumda.

Bir hacking aktivitesinin servis olarak sanki legal bir iş koluymuş gibi sunulması olaylarına son zamanlarda sıklıkla rastlar olduk. Bu tür servislere örnek olarak gösterebileceğimiz  web tabanlı mail hesaplarının şifrelerini (Hotmail,Yahoo,Gmail gibi) belirli bir ücret karşılığında kırdığını iddaa eden web sitelerinin sayıları hızlı şekilde artmaya başladı. Slogan olarak “eşinizin, çocuğunuzun, kız yada erkek arkadaşınızın web tabanlı e-posta hesaplarının şifrelerine mi ihtiyacınız var. %100 garantili şifre kırılır” gibi bir söylemi benimsemiş bu servislerin ilerde daha hangi servisleri sunacağını şimdiden tahmin etmek zor olmasa gerek.

Aşağıda bu sitelerden birinden alınmış bir ekran görüntüsünü bulabilirsiniz.Hacking as a service

Hacking as a service

Kasım ayında Amerika’da gerçekleştirilecek seçimde Cumhuriyetçi aday McCain’in yardımcı olarak açıkladığı

Sarah Palin

Sarah Palin

Alaska valisi Sarah Palin’in Yahoo’daki kişisel mail hesabının nasıl ele geçirildiği netlik kazanmaya başladı. Saldırganın Yahoo’daki mail hesabını ele geçirirken kullandığı yöntem, “şifremi unuttum” olarak hepimizin bildiği adımları izlemekten başka birşey değil ve Palin gibi birisinin mail hesabının şifresinin hatırlatma sorusu da kişisel bir bilgiye dayanınca saldırganın bu bilgilere  Google üzerinden bir kaç arama işleminden sonra ulaşması içten bile değil.

Güvenlik konusunda bilinçlendirmeye sağlamak adına düzenlediğimiz eğitimlerin tamamında şifre olarak seçilecek ifadelerin yada değerlerin kesinlikle kişesel bir özelliğiniz ile bağdaşmaması gerektiği üzerine duruyoruz ve Palin örneği bundan sonraki eğitimlerde oldukça işime yarayacak bir örnek olarak duruyor karşımda. Bunun yanında Palin örneğinde yer alan ilginç bir detay ise kişisel mail hesabını iş için kullanıyor olması. Bu durum da yine üzerinde çok fazla durulması gereken bir konu başlığı.

Sarah Palin’in ele geçirilen Yahoo hesabına ilişkin detaylı bilgiye ve mail hesabından hangi bilgilere ulaşıldığına dair detaylara buradan ulaşabilirsiniz.

Yaklaşık 6 yıldır botnet dünyasında varlığı bilinen ve hala aktif olan Coreflood’un yeni bir analizi yayınlandı. SecureWorks’dan Joe Stewart’ın analizinde dikkat çeken noktalardan bazıları şunlar;

  • 16 aylık bir periyotta bu zararlı kodu bulaştığı bilgisayar sayısı 378.000′den fazla ve bulaştığı bilgisayarlar arasında hastane ve hükümet bilgisayarları, hatta polis bilgisyarları bile var.
  • Bu botnet DDoS saldırıları gerçekleştirmek yerine artık banka dolandırıcılarına full-anonymity sağlamak için kullanılıyor.
  • Bu zararlı kodun bulaştığı bilgisayar eğer bir Windows domain’i üyesi ise domain’deki bütün bilgisayarlar ciddi bir tehlikeyle karşı karşıya kalıyor. (Aynı organizasyonda bulunan binlerce bilgisayarın bu zararlı kod tarafından ele geçirildiği biliniyor.)

Yukarıdaki istatistikler, ele geçirilen ve saldırganlar tarafından uzun süredir kullanılan bir C&C sunucusundaki yaklaşık 50GB’lık data analiz edilerek ortaya çıkartılmış. Gerçekleştirilen analizin sonuçları içerisinde dikkat çeken başka önemli bir nokta ise bu zararlı kodun, Mark Russinovich’in yazdığı ve PsTools paketi  içinde dağıtılan PsExec  gibi oldukça kullanışlı bir aracı da kullanıyor olması. Bu zararlı kod, eğer bulaştığı bilgisayardaki kullanıcı domain admin yetkisine sahip bir kullanıcı ise PsExec’i kullanarak domain’deki diğer bütün bilgisayarlara bağlanıp başka bir zararlı kodu bu bilgisayarlara yükleyebiliyor.

Daha detaylı analiz bilgileri için buraya tıklayabilirsiniz.

Emniyet Genel Müdürlüğü Kaçakcılık ve Organize Suçlarla Mücadele Daire Başkanlığı’nın 2007 yılına ilişkin raporunun “Bilişim Suçları ve Sistemleri” kısmında, ülkemizde 2005-2007 yıllları arasında tesbit edilen bilişim suçlarının istatistiki bilgileri yer alıyor. Yıllık yayınlanan bu raporda diğer suç türleriyle ilgili çok detaylı istatistiki bilgiler yer almasına rağmen bilişim suçları ile ilgili olarak sadece tek bir tablo’nun yer alması beni biraz hayal kırıklığına uğrattı açıkcası. “Kredi Kartlarının Kötüye Kullanılması” kısmında ülkemizde kredi kartı bilgilerini elde etmek için kullanılan yöntemler sıralanmış. Bu yöntemler ;

1- ATM cihazlarına özel düzenekler kurularak kullanıcının kart bilgisinin ve şifresinin alınması,
2- Kredi kartları ile ödeme yapılması esnasında özel ekipmanlar (papağan) kullanılarak
kopyalama yapılması,
3- Birçok şubesi bulunan büyük mağazaların daha rahat hesap tutabilmeleri için alışveriş yapan
müşterilerin kart bilgilerini merkezlerinde depolamaları ve güvenlik zafiyetlerinin bulunması,
4- Art niyetli olarak kurulan internet sistemlerinden alınan hizmetlerle kart bilgilerinin elde
edilmesi,
5- Online hizmet veren veya mal satan sitelerden yapılan alışverişlerde, kullanıcıların kart
bilgilerinin kaydedilmesi ve yetersiz güvenlik önlemleri ile bilgilerin çalınması.

şeklinde sıralanmış.

Raporun tamamını buradan indirebilirsiniz. Raporun Bilişim Suçları ve Sistemleri kısmında yer alan istatistik tablosu ise aşağıda.

Firefox’un yeni versiyonu olan 3 yakın zaman önce çıktı ve kullanıcıların güvenliğini sağlamak adına bünyesinde bir çok özellik barındırıyor. Örneğin Internet Explorer’da olduğu gibi bir “Anti-Phishing” özelliği, Windows Vista ile birlikte gelen “parental control” ile birlikte çalışabilme özelliği yeni gelen ve güvenliği arttıran özellikler olarak karşımıza çıkmakta.

Yeni gelen özelliklerden birisi ve benim en çok beğendiğim özelliklerden birisi de Anti-Malware özelliği. Bu özellik sayesinde zararlı kod yayan sitelere erişmek istediğinizde yada kontrolünüz dışında yönlendirildiğinizde aşağıdaki gibi bir uyarı mesajı alıyorsunuz.

Karşınıza çıkan uyarı mesajındaki “Why was this site blocked?” linkline tıkladığınızda ise Google’ın “Safe Browsing” sayfaları içinden engellenen siteye ilişkin sayfaya yönlendiriliyorsunuz ve site’nin neden engellendiğinin detaylarına aşağıdaki şekilde gösterildiği gibi ulaşabiliyorsunuz. Benim örneğimde ilgili sitenin ziyaretçilerinin bilgisayarlarına zararlı kod yüklemeye çalıştığı ve bü yüzden engellendiği bilgisini görüyoruz.

Firefox 3′ün sağladığı güvenlik özelliklerinin listesine buradan ulaşabilirsiniz.

İnternet’de kullanılan IP ve AS numaralarını koordine eden ve bunları bölgesel kayıt otoritelerine (ARIN, RIPE vb) atayan, aynı zamanda DNS root zone’larını ve protokol isim ve numaralarının yönetimini de gerçekleştiren IANA’nin web sitesi Türk hacker’lar tarafından hacklendi. Siteyi hackleyen “NetDevilz” lakaplı hacker yada hackerlar aşağıdaki mesajı sitenin giriş sayfasına yerleştirdiler.

“You think that you control the domains but you don’t! Everybody knows wrong. We control the domains including ICANN! Don’t you believe us? haha :) (Lovable Turkish hackers group)”

Sitenin Zone-H’daki deface edilmiş halini için buraya tıklayın.