Halil ÖZTÜRKCİ Güvenlik Günlüğü

13 Mayıs’da Microsoft Türkiye ofisinde gerçekleştirmiş olduğum “Microsoft Güvenlik İstihbarat Raporu Volume 6″ konulu seminerin sunum dosyasını buradan indirebilirsiniz. Bu seminerle birlikte kış döneminde düzenlediğimiz seminerler dizisinin sonuncusunu gerçekleştirmiş olduk. Sonbahar döneminde yeni konu başlıkları ve yeni seminerlerle yeniden karşınızda olma ümidiyle..

Symantec tarafından hazırlanan “Internet Security Threat Report”’un 14’uncü versiyonu yayınlandı. 2008 yılı içinde toplanan veriler ışığında hazırlanan bu raporda bir önceki versiyon raporlarda olduğu gibi oldukça önemli bilgiler ve istatistiki değerler mevcut. Aşağıda bu rapordaki bilgilere ilişkin genel başlıkları bulabilirsiniz;

 ·         Web tabanlı zararlı aktiviteler 2008 yılı içerisinde gerçekleştirilen zararlı aktiviteler sıralamasında başı çekiyor. Özellikle yüksek hit alan siteler, barındırdıkları zafiyetleri kullanan saldırganlar tarafından zararlı kodları yaymak için kullanılıyor. (Örneğin SQL Injection açığı bulunan bir web sitesine yerleştirilen javascript kodu ile zararlı içeriğin yayılmasını sağlama gibi.  Örnek olaylar için buraya, buraya  ve buraya bakabilirsiniz.)

·         Underground’da en çok talep ve istek gören bilgi, kredi kartı bilgisi. Çalıntı bir kredi kartı bilgisi 6 cent ile 30$ arasında bir fiyata satılıyor. En çok rağbet gören ikinci bilgi ise banka hesabı bilgileri.

·         2008 yılı içerisinde tespit edilen yeni zararlı kod sayısı 1,656,227. Bu rakam bir önceki yıl 624,267 idi. Görüldüğü gibi nerdeyse üç kat bir artış var.

·         2008 yılı içinde ortalama her gün 75,158 adet bot bulaşmış bilgisayar tespit edilmiş. Bir önceki yıla oranla %31’lik bir artış mevcut.

·         2008 yılına ait browser zafiyetlerine ilişkin bilgiler de çarpıcı. Mozilla, 99 adet zafiyetle en fazla açıklık barındıran browser listesinde birinci sırada. Bunu 47 zafiyetle Internet Explorer ve 40 zafiyetle Safari takip ediyor.

·         2008 yılı içinde Symantec tarafından tespit edilen toplam phishing sitesi sayısı 55,389 ve bu rakam bir önceki yıla oranla %61 artmış durumda. Bu phishing sitelerinin %43’ü Amerika’da host ediliyor.

·         EMEA bölgesi için hazırlanmış raporda Türkiye ile ilgili çarpıcı başlıklar mevcut. Bu başlıklardan en dikkat çekici olanı Türkiye’nin bot bulaşmış bilgisayarlar sıralamasındaki yeri. Bir önceki raporda bot bulaşmış bilgisayar sayısına göre 8’inci sırada iken bu raporda 4. Sırada yer alıyor Türkiye.

Raporları http://www.symantec.com/business/theme.jsp?themeid=threatreport adresinden indirebilirsiniz.

14 Nisan 2009 tarihinde yaklaşık 150 kişinin katılımıyla Microsoft Türkiye ofisinde gerçekleştirdiğim seminerin sunum dosyalarını buradan indirebilirsiniz.

Kış döneminin son semineri olan “Günümüz Güvenlik Tehditlerine Genel Bakış & Microsoft İstihbarat Raporu (SIR) Volume 6” başlıklı seminer ise 13 Mayıs 2009 tarihinde yine Microsoft Türkiye ofisinde gerçekleştirilecek.

2008 yılının ilk aylarında ardarda Google’ın Gmail , Microsoft’un Live Mail ve Live Hotmail ile Yahoo’nun Yahoo Mail‘i gibi ücretsiz web mail hizmeti sunan sitelerin CAPTCHA korumalarının kırıldığına şahit olduk. Bunun yanında yine Google’ın Blogger hizmetinin de CAPTCHA korumasının kırıldığını ve blog oluşturma işlemlerinin spamciler tarafından otomatize edilip spam yapılan ürünlerin yada hizmetlerin sunulması için kullanıldığını gördük. Bu sayede spam mailler Gmail yada Hotmail üzerinden gönderilebiliyor, spam siteleri Google’ın sunduğu hizmetler kullanılarak yayımlanabiliyor ve böylece bir çok katmanda kullanılan anti-spam çözümleri devre dışı kalıyordu. Geçenlerde karşılaştığım bir web sitesi bütün bu spam döngüsünü adeta özetler mahiyetteydi. http://allbots.info/ adresi üzerinden yayın yapan bu sitede bir çok popüler web sitesi için hesap oluşturma, açılan hesabı aktif etme vb. gibi işlemleri otomatik olarak gerçekleştiren kodların satışı gerçekleştiriliyordu.

Yaklaşık 6 yıldır botnet dünyasında varlığı bilinen ve hala aktif olan Coreflood’un yeni bir analizi yayınlandı. SecureWorks’dan Joe Stewart’ın analizinde dikkat çeken noktalardan bazıları şunlar;

• 16 aylık bir periyotta bu zararlı kodu bulaştığı bilgisayar sayısı 378.000′den fazla ve bulaştığı bilgisayarlar arasında hastane ve hükümet bilgisayarları, hatta polis bilgisyarları bile var.
• Bu botnet DDoS saldırıları gerçekleştirmek yerine artık banka dolandırıcılarına full-anonymity sağlamak için kullanılıyor.
• Bu zararlı kodun bulaştığı bilgisayar eğer bir Windows domain’i üyesi ise domain’deki bütün bilgisayarlar ciddi bir tehlikeyle karşı karşıya kalıyor. (Aynı organizasyonda bulunan binlerce bilgisayarın bu zararlı kod tarafından ele geçirildiği biliniyor.)

Yukarıdaki istatistikler, ele geçirilen ve saldırganlar tarafından uzun süredir kullanılan bir C&C sunucusundaki yaklaşık 50GB’lık data analiz edilerek ortaya çıkartılmış. Gerçekleştirilen analizin sonuçları içerisinde dikkat çeken başka önemli bir nokta ise bu zararlı kodun, Mark Russinovich’in yazdığı ve PsTools paketi  içinde dağıtılan PsExec  gibi oldukça kullanışlı bir aracı da kullanıyor olması. Bu zararlı kod, eğer bulaştığı bilgisayardaki kullanıcı domain admin yetkisine sahip bir kullanıcı ise PsExec’i kullanarak domain’deki diğer bütün bilgisayarlara bağlanıp başka bir zararlı kodu bu bilgisayarlara yükleyebiliyor.

Daha detaylı analiz bilgileri için buraya tıklayabilirsiniz.

Firefox’un yeni versiyonu olan 3 yakın zaman önce çıktı ve kullanıcıların güvenliğini sağlamak adına bünyesinde bir çok özellik barındırıyor. Örneğin Internet Explorer’da olduğu gibi bir “Anti-Phishing” özelliği, Windows Vista ile birlikte gelen “parental control” ile birlikte çalışabilme özelliği yeni gelen ve güvenliği arttıran özellikler olarak karşımıza çıkmakta.

Yeni gelen özelliklerden birisi ve benim en çok beğendiğim özelliklerden birisi de Anti-Malware özelliği. Bu özellik sayesinde zararlı kod yayan sitelere erişmek istediğinizde yada kontrolünüz dışında yönlendirildiğinizde aşağıdaki gibi bir uyarı mesajı alıyorsunuz.

Karşınıza çıkan uyarı mesajındaki “Why was this site blocked?” linkline tıkladığınızda ise Google’ın “Safe Browsing” sayfaları içinden engellenen siteye ilişkin sayfaya yönlendiriliyorsunuz ve site’nin neden engellendiğinin detaylarına aşağıdaki şekilde gösterildiği gibi ulaşabiliyorsunuz. Benim örneğimde ilgili sitenin ziyaretçilerinin bilgisayarlarına zararlı kod yüklemeye çalıştığı ve bü yüzden engellendiği bilgisini görüyoruz.

Firefox 3′ün sağladığı güvenlik özelliklerinin listesine buradan ulaşabilirsiniz.

İnternet üzerinde karşımıza çıkan sanal tehdit çeşitlerinin birçoğunda ülkemiz hatırı sayılır bir şekilde üst sıralarda yer alıyor. Bunu gerek Symantec’in yılda iki kez yayınladığı “Internet Security Threat Report” da gerekse Microsoft’un yine yılda iki kez yayınladığı “Security Intelligence Report” da detaylarıyla görmek mümkün. Fakat ülkemizin ne durumda olduğunu 6 aylık raporları beklemeden gerçek zamanlı olarak görmeye ne dersiniz?

Gerçi Network Box USA, internet dünyasının tamamında gerçek zamanlı bir izleme gerçekleştiriyor, sadeceTürkiye’ye özel bir izleme söz konusu değil. Fakat Türkiye yukarıda değindiğim raporlarda olduğu gibi tehditler sıralamasında bir çok kez ilk 10 içinde yer aldığı için bu sitede Türkiye’yi çok sık görüyoruz. Aşağıdaki ekran görüntüsünü aldığım sırada Türkiye spam sıralamasında birinci, saldırı gerçekleştirilen ülkeler sıralamasında ise üçüncüydü.

Gerçek zamanlı bilgilere buradan ulaşabilirsiniz. 

DNSChanger olarak bilinen ve yakın zamana kadar hem Windows hem Mac tarafında çalışan ve bulaştığı bilgisayarın DNS ayarlarını değiştiren zararlı kodun yeni varyantı işi bir adım daha ileriye taşıyarak gözünü varsayılan admin şifreleri değiştirilmemiş router’lara dikti. Tehditin ne boyutta olduğunu anlamak için ülkemizde kullanılan ADSL modemlerin ve bu modemleri kuran/kullanan kişilerin güvenlik ile ne kadar yakından ilgili olduklarını göz önünde bulundurmak yeterli olacaktır sanırım.  Kişisel olarak ben de geçmişte gerçekleştirdiğim testlerde bir çok ADSL modemin yönetim şifresinin hiç değiştirilmeden varsayılan haliyle bırakıldığa şahit olmuşumdur.  Üstelik bu varsılan şifrelerin ADSL modemlerin markalarına göre  düzenlenmiş haline internet üzerinden kolaylıkla ulaşmanız mümkün. Mesela bu adreste ülkemizde kullanılan ADSL modem markalarının nerdeyse tamamına ait varsayılan şifreler yer almakta.

DNSChanger’ın yeni varyantının detaylı analizini buradan ve buradan okuyabilirsiniz.

Microsoft Türkiye ofisinde 22 Nisan, 7 Mayıs ve 14 Mayıs tarihlerinde gerçekleştirdiğim “Günümüz Güvenlik Tehditlerine Genel Bakış, Zararlı Kodlar ve Zararlı Kod Analiz Temelleri” konu başlıklı seminerin sunumlarını buradan indirebilirsiniz.

Güvenlik seminerleri dizisine sonbaharda farklı konu başlıklarını kapsayacak şekilde tekrardan başlamayı düşünüyoruz. Bu konuda seminerlerde üzerinde özellikle durulmasını istediğiniz konu başlıkları varsa bana halil@halilozturkci.com mail adresi üzerinden bildirebilirsiniz.

Hepimizin çok sık karşılaştığı ve hergün en az 3-5 tanesinin mailbox’larımıza düştüğü phishing maillerde saldırganların yakın zamanda yöntem değiştirdiğini gözlemliyoruz. Kullanılan önceki yöntemde kurban’ın sahte siteye bilgilerini girmesi ve bu şekilde bilgileri toplamak hedeflenirken artık daha başka yöntemler kullanılıyor. Örneğin son zamanlarda sıkça karşılaştığımız SSL sertifikasının yenilenmesi konseptine dayanan bir phishing furyası sözkonusu. Her gün en az 2 tane bu şekilde mail düşüyor bu aralar mailbox’ıma. Buraya tıklayarak gelen mail’deki link’i tıkladığınızda açılacak sitenin neye benzediğini görebilirsiniz. Gerçi resimden de görebileceğiniz gibi henüz üzerinden çok kısa bir süre geçmesine rağmen bu sitenin bir phishing sitesi olduğu Microsoft tarafından bilinmekte ve adres çubuğunda gerekli uyarı yapılmakta. burada kullanıcılara SSL sertifikalarının yenilenmesi için aşağıda yer alan link’e tıklamaları ve bu linkte yer alan programı indirerek bilgisayarlarına kurmaları gerektiği belirtiliyor.  Öncesinde sahte sitelere yönlendirerek kurban’ların banaka hesap bilgilerini alan bu kişiler artık trojan&keylogger gibi zararlı kodları kurbanlarının bilgisayarlarına yerleştirip bu şekilde kritik bilgileri almayı hedefliyorlar.

İlgili linkte yer alan dosyayı indirdim ve indirilen dosyanın antivirüsler tarafından tanınıp tanınmadığını test etmek için www.virustotal.com adresine upload ettim. Fakat birileri benden tam 4 gün önce dosyayı virustotal’e upload etmişler. İşin ilginç ve endişe verici tarafı ise birileri tarafından 4 gün önce upload edilen zararlı kod örneğini 32 antivirüs  yazılımından sadece 11 tanesi tarafından tesbit edilebilyor olması. Virustotal sonuçları için buraya tıklayabilirsiniz.