31 Mart 2014

"Duyuru: DNS Hijacking ile DNS Spoof"


Birkaç gün önce kurumsal müşterilerimize yaptığımız duyuruyu genel olarak tekrar yapmak istiyoruz.

Teknik Bilgilendirme Duyurusu:
Twitter, Youtube gibi sitelere sadece Türkiye'den erişimi engellemek amacıyla Internet servis sağlayacılar üzerinden Internet altyapısına yönelik birtakım müdahaleler oldu.

En son devreye giren yöntem, dünyada agresif yöntemlerden olarak bilinen ve tercih edilmeyen "doğru olmayan BGP anonsları" ile yapıldı ve malesef bundan olumsuz etkilenen kurum ve kuruluşlar oldu. Bu tür aktiviteler düzelene kadar ISR olarak çok uluslu müşterilerimize, oluşabilecek risklerden dolayı merkez noktalarına yapacakları güvenli sertifika kontrollü ve kriptolu / VPN erişimleri üzerinden Internet'e erişmelerini öneriyoruz.

Bazı problemlerin kaynağı erişim engellemesinin IP adreslerini engelleme şeklinde değil Internet servis sağlayıcılarının bağlantıları doğru olmayan BGP anonsları ile farklı noktalara hijacking yapılması ile oldu.


Örneğin OpenDNS kurumsal servisi kullanan bir müşterimizin bağlantısını incelediğimizde:

(Geçerliliğini yitirdiğinden temsili görüntü ile değiştirilmiştir

Son rota takibinde yurtdışındaki OpenDNS hizmetine yurtdışına çıkmadan ulaşma konforu (!) yaşandığını görüyoruz.

Durumu biraz daha detaylı incelediğimizde:

(Geçerliliğini yitirdiğinden temsili görüntü ile değiştirilmiştir)

208.67.220.220/32 rotası acıbadem turk telekom router'ında gözümüze çarpıyor.
Bu dns servisinin hijack edildiğini görüyoruz.

Bu agresif yöntemlere karşı siz değerli müşterimizi uyarmak istiyoruz. Yurtdışı noktalarınıza VPN (ve benzeri) erişim kullanyorsanız, Türkiye'den herhangi bir noktadan direkt Internet'e çıkış yapıyorsanız, kurumunuzda yerel sertifikalar iş yaşamınızda önemli bir yer almıyorsa (örneğin *.gov.tr'ler ile ilginiz yoksa) bunları kurum cihazlarından bu tür problemler düzelene kadar geçici de olsa kaldırmanızı tavsiye ederiz.

Müşteri bilgileri, kimlik doğrulama bilgileri, finanslar bilgiler ile ilgili müşterilerimiz aşağıda birkaç örneği verilen sertifikaları yazılımlarınızdan geçici olarak kaldırınız.

(Geçerliliğini yitirdiğinden temsili görüntü ile değiştirilmiştir)

Dns hijacking ile yönlendirildiğiniz noktada https kullandığınızda sertifika hatası almasanız bile Türkiye'de yetkili bu sertifika otoritelerine yapılacak bir müdahale ile https'nin de güvenliği bir sonraki noktada kalmayacaktır. Bu sertifika otoritelerine kağıt üzerinde yetkili müdahaleler dışında diğer bir risk de bu otoritelerde yaşanmış ve farkedilmiş bazı durumlar yaşanmasıdır. (Daha fazla bilgi için anahtar arama kelimeleri: turktrust revoke)

ISR müşterileri gelişen durum hakkında tekrar bilgilendirilecektir.


Popüler Yayınlar