Saldırganlar Robotların Peşinde

18.yüzyılın ortalarından itibaren başlayarak gelişmeye başlayan endüstri, günümüze kadar büyük değişiklikler ve gelişimlerle 4 farklı dönem geçirdi. Makine, buhar ve su gücünün kullanılmasıyla başlayan ilk endüstri çağı, toptan üretim ve elektrik kullanımı ile birlikte ikinci çağa geçti. Bilgisayarların ortaya çıkışı, kullanım alanlarının gelişmesi ve yaygınlaşması ile birlikte endüstrinin üçüncü çağını oluşturan bu dönemi, internetin de katılmasıyla Endüstri 4.0 dediğimiz çağa ulaştırdı.

Nesnelerin interneti, sistemlerin interneti gibi kavramların gelişmesi, dünya genelde fabrikaların otomasyona geçmesiyle birlikte yapılan testlerde bir çok zaafiyetler ortaya çıktı ve fabrika robotlarının saldırılarda açık hedef olduğunu, saldırılardan kolayca etkilenebileceğini kanıtladı.

2017 yılının sonuna kadar dünya genelindeki fabrikalarda, internet ile birbirine bağlanmış sistemlerde 1.3 milyon robot olması bekleniyor ve bu da saldırıya açık 1.3 milyon robot olduğunu bizlere gösteriyor.

Amerika’da yapılan bir araştırmaya göre 2021  yılına kadar robotlar Amerikan ekonomisinde yer alarak işçilerin yaptığı işlerin %6’sını devralarak işsizliğe sebep olacak. 

Her ne kadar makineler ve robotlar hız, güç, dayanıklılık olarak insanlardan ilerde olsa da siber güvenlik konusunda geride kalıyorlar. 1999 yılında Gazprom’un boru hattı sistemine sızdırılan truva atı, doğalgaz akışını kısa süreliğine kesintiye uğratmıştı. 2003 yılında Amerika’da bulunan bir nükleer enerji santrali, Sobig isimli bir virüsün kurbanı olmuş ve scada ağı çökertilmişti. 2010 yılında Stuxnet virüsü ile İran’ın nükleer çalışmaları uzun bir dönem boyunca sekteye uğratılmıştır. Geçtiğimiz günlerde dünyanın birçok ülkesine yayılarak fabrikaları durma noktasına getiren WanaCry'ı hepimiz hatırlıyoruz. Önümüzde fazlasıyla örnek bulunmasına rağmen uzak doğu ve Amerika kıtasındaki farklı firmalara ait fabrikalarda incelemeler yapan uzmanlar fabrika robotlarının sahip oldukları ağ güvenliğini zayıf buldular. Sistemlerin basit kullanıcı adlarına ve değiştirilemeyen parolaları olduğuna hatta bazılarının şifreye bile ihtiyacı olmadığını gördüler. 

İncelemeyi yapan firma raporuna göre endüstriyel makinelerin bir çoğunun günümüz şartlarına ve tehlikelerine uygun olmadığı, bir kısmının ise yazılımlarının zayıf ve korumasız olduğu ortaya çıkıyor. Ayrıca robotların kullandığı binlerce public IP’yi gözler önüne seren rapor, bilgisayar korsanlarının iştahını kabartacak kadar fazla.

Operatörler ve programcılar, makineleri uzaktan yönetebilir bilgisayarları veya akıllı telefonları ile robotlara komut gönderebilirler. Eğer kullanılan bağlantı güvenli değilse bilgisayar korsanları makineler üzerinde sabotaj yaparak hatalı ürün yapılmasına hatta ölümlere bile sebep olabilirler. 

Sanal tehditlerin giderek arttığı ve herkesin karşılaşabileceği kadar bizlere yakınlaşan bu dönemde, siber saldırıların sebep olacağı zararlara karşı sistemlerimizi uluslararası düzeyde güvenlik protokolleri ve savunma metodları ile hayata geçirmeliyiz. Bunun dışında güvenlik halkasının en önemli parçası olan bizlerin de kurum içi eğitimler ile çalışanlar arasında bilgi güvenliği farkındalığı oluşturulmalıdır. Böylece, siber saldırıların vereceği zararları yaşanmadan önce önlemiş olabiliriz.

Siber güvenlik ile alakalı dünya üzerinde gerçekleşen önemli olayları derleyerek sizlerle paylaştığımız haftalık bültenimize aşağıdaki linke tıklayarak üye olabilirsiniz.

https://www.isr.com.tr/bulten/

WannaCry 70'ten Fazla Ülkeye Yayıldı

Türkiye’nin de aralarında bulunduğu, 70’ten fazla ülkeye yönelik gerçekleştirilen ve 10 saat içinde 50 binden fazla bilgisayara yayılan siber saldırının mağdurları arasında İngiltere Ulusal Sağlık Sistemi veri tabanı ile İspanya’nın en büyük telekomünikasyon şirketi Telefonica'nın yanı sıra bankacılık grubu BBVA, elektrik şirketi Ibedrola ve enerji şirketi Gas Natural da yer aldı.

İngiliz Ulusal Sağlık Sistemi’nden (NHS) yapılan açıklamaya göre; başkent Londra ile birlikte Blackburn, Nottingham, Cumbria ve Hertfordshire gibi bölgelerde, WannaCry virüsü ile gelen siber saldırılardan kaynaklı olarak sağlık sistemi veri tabanlarına erişim sağlanamadı. 

NHS’e bağlı 16 kurumun siber saldırıdan etkilendiği, ameliyatların, rutin randevuların ve ambulans servislerinin iptal edildiği ayrıca acil durumlar dışında hasta kabul edilmediği açıklandı. Siber saldırıyı gerçekleştirenlerin, veri tabanına erişmeleri için 300 dolar karşılığı olan Bitcoin talep ettiği belirtildi.

BTK’dan ilk açıklama

BTK Başkanı Ömer Fatih Sayan resmi twitter adresinden WannaCry virüsü ile alakalı açıklamalarda bulundu.

"Türkiye dahil 74 ülkeye büyük bir siber saldırı düzenleniyor. Ülkemizin Siber Güvenlik Merkezi USOM ön alma operasyonlarına devam etmektedir. Dünyada yayılan Wcry zararlısından korunmak için Windows sistemleri ve antivirüsleri güncelleyin! Sisteminizi taratmayı ihmal etmeyin." ifadelerini kullandı.

Neler yapmalı -Nasıl Korunulmalı?

• Herşeyden önce, Windows makinelerinize ve sunucularınıza MS17-010 yamasının uygulanması gerekiyor. 

• Bu tarz fidye virüslerine karşı koruma sağlamak için, gelen e-posta’larınızda kaynağı belirsiz bağlantılara karşı kesinlikle şüpheci davranmanız ve tıklamamanız gerekmektedir.

• Önemli dosyalarınızı ve belgelerinizi periyodik olarak harici bir aygıt ile yedekleyerek korunmalarını sağlayabilirsiniz.

• Sisteminizde etkin ve kesinlikle lisanslı bir güvenlik paketi çalıştırdığınızdan ayrıca güncellemelerini yaptığınızdan mutlaka emin olun. 

• Eğer lisanssız veya desteklenmeyen bir Windows kullanıcısıysanız, buraya tıklayarak Microsoft tarafından yayınlanan bu değişiklikleri uygulamalısınız. Ancak siz yine de desteklenen bir işletim sistemine geçin, çünkü yapacağınız bu değişiklik sadece günü kurtarmak adına atılacak bir adım olacaktır. 

Siber güvenlik ile alakalı dünya üzerinde gerçekleşen önemli olayları derleyerek sizlerle paylaştığımız haftalık bültenimize aşağıdaki linke tıklayarak üye olabilirsiniz.

https://www.isr.com.tr/bulten/

Zararlı Yazılımlara Karşı Bağışıklık

Son zamanlarda artan zararlı yazılımlara karşı ücretsiz bir çözüm hazırladık; özellikle JavaScript ile oluşturulmuş Ransomware'lere ve kum havuzu kontrolleri yapan zararlı yazılımlara karşı çalışan küçük bir script.

Bu yazılım ile js zararlı yazılımları tıklansa bile çalışmayacağı gibi, javascript haricinde yazılmış zararlı yazılımlardan kum havuzu kontrolü yapanlar da sisteminizde çalışmayacak.

Zararlı yazılımlar genellikle ilk çalıştırıldıklarında sandbox içinde çalışıp çalışmadıklarının kontrolünü yaparlar. Bu script paketi bilgisayarınızda yük yaratmayacak şekilde bilgisayarınızı bir sandbox gibi gösterir ve zararlı yazılım kum havuzunda çalıştığını zannedip çalışır çalışmaz kendini kapatır. Ayrıca bazen link bazen de e-posta eklentisi ile gelen JavaScript'lerin çalışmasını engellemek için Windows'un scripting host özelliğini kapatır.

Yüklemek için aşağıdaki zip dosyasını indirin. Bir klasöre açtıktan sonra bin dizini altında install.bat'ı çalıştırın. GPL lisanslı kaynak kodlar da zip'in içinde gelmektedir. Merak ederseniz bakabilirsiniz.

Bu linkten indirebilirsiniz.

https://www.isr.com.tr/tools/SandBoxFeeling-v0.2b.zip

Kobi'ler İçin Siber Güvenlik Önlemleri

Bilgisayarın ve internetin yaygınlaşması, küçük işletmelere de büyük kolaylıklar getirerek üretkenlik ve iletişim yeteneklerini arttırdı. Bilişim teknolojileri; sipariş verme, stok yapma, satıcı araştırma, teslimat gibi üretimden satışa kadar artık her aşamada kullanılmaya başlandı. 

Büyüyen ve kendini geliştiren işletmeler için bilgi saklama, veri aktarma, dosya paylaşımı gibi konular büyük önem arzetmektedir. İçinde bulundukları rekabet ortamına baktığımızda, bilgi sistemlerini ve teknolojilerini kullanmak zorunda olan fakat büyük işletmelere nazaran, daha kısıtlı finansal kaynağa ve uzmana sahip olan KOBİ’ler için ağ güvenliği neden önemlidir ve basitçe hangi önlemler alınabilir bunu anlatacağız.

Günümüzde, işletmelerin yaptığı en büyük hata, saldırganların dikkatini çekmeyecek kadar küçük ve hiç kimsenin ilgisini çekecek birşeyleri olmadığına inanmalarıdır. Oysa ki, kaybedilen her bilgi hem işiniz hem de prestijiniz açısından büyük önem arzetmektedir.

İşi bilen birilerinden yardım alın
Kobi’ler, internete bağlı oldukları her an risk ile karşı karşıyadır. IT için personel almak, finansal olarak çok mümkün olmayabilir. Bu yüzden alınabilecek en iyi önlem, özel bir firma ile anlaşarak dışardan destek almaktır.

Ağ güvenliği

Eğer bir yerde açık olan geniş bant bağlantısı varsa, orası saldırıya uğramak için açık bir hedeftir. Açık hedef olmamak ve saldırıları engellemek için güvenlik duvarları kullanılmaktadır. Ağ güvenliğini sağlamak için kullanılmayan ve gereksiz ağ bağlantı noktaları mutlaka kapatılmalıdır. Kablosuz ağlarda, güvenlik ve gizlilik seçenekleri mutlaka arttırılmalıdır. 

Zararlı yazılımlara karşı korunma

Kötü amaçlı yazılımlara karşı alınabilecek en kolay yöntem, bilgisayarlara antivirüs programları kurmaktır. Kötü amaçlı kişiler sürekli yeni zararlı yazılımlar üretir. Bu yüzden kullandığımız antivirüsleri hem yeni zararlı yazılımlara karşı hem de antivirüslerin kendilerinde çıkan bazı zafiyetlere karşı her zaman güncel tutmalıyız. 

Parola yönetimi

Hesaplarımızı ve verilerimizi korumak için alacağımız en büyük önlemlerden birisi de kuşkusuz belirleyeceğimiz parolalar olacaktır. Parolalarda mutlaka büyük-küçük harfler, özel karakterler ve rakamların hepsi bir arada bulunmalı, kişisel bilgileriniz (doğum tarihi, isim-soyisim, cep telefonu numarası vb.) ve sözlükte bulunabilen kelimeler kesinlikle kullanılmamalıdır. 

Ayrıca, aynı parolayı farklı hesaplar için kullanmak güvenlik zafiyetine sebep olabilir. Çalışanlara mutlaka güvenli parola oluşturma konusunda bilgi verilmelidir.

Çoklu adımlı doğrulama

Kurumsal yapılarda mutlaka alınması gereken bir diğer güvenlik önlemi ise iki adımlı doğrulama sistemidir. Son yıllardaki veri sızıntısı vakalarının çoğunda, ele geçirilen kullanıcı bilgileri büyük rol oynamıştır. Hesabınıza giriş yaparken şifrenizi girdikten sonra, telefonunuza gelecek olan ikinci bir şifreyi girerek hesabınıza erişim sağlayabilirsiniz. Bu yöntem ile hesabınız daha güvenli bir hal alacaktır.

Disk şifreleme

Windows işletim sistemlerinde veri güvenliği ve tüm dosyaların saklanması için sunulan Bitlocker veya benzeri tüm disk şifreleme ile güvenliğinizi bir seviye daha arttırabilirsiniz. Ayrı ayrı dosyalarınızı şifrelemenizi sağlayan sistemden farklı olarak sürücünün tamamını şifreler.

Tüm disk şifrelemenin en büyük özelliği, korsanlar parolanızı öğrenmek için sistem dosyalarına girdiğinde ya da sürücünüz bilgisayarınızdan çıkarılıp başka bir bilgisayara takıldığında sürücünüze erişim engellenmiş duruma gelir.  Ayrıca yeni dosyalar eklediğinizde, bu tür yazılımlar bu dosyaları da otomatik olarak şifreler ve saklar.

Parolasız cihazınız kalmasın

Şirket içindeki çalışanların, kullandığı bilgisayar, tablet, cep telefonu gibi cihazlara parola koyduğundan ve  tüm cihazların 5 dakika gibi kısa bir süre sonra hatta kullanıcılarınız cihazların başından kalkarken otomatik veya manuel olarak kilitlendiğinden emin olun. Başkaları, size ait olan cihazlardan istenilmeyen şeyler yapabilir. 

Periyodik olarak yedekleme yapın

Günümüzde bir şirket için dikkat etmesi ve mutlaka alması gereken en önemli önlemlerden birisi de kesinlikle yedekleme yapmaktır. Bilinçsiz şirket çalışanları, e-posta eklerinde gönderilen sahte faturalar ile kandırılıp Ransomware ismi verilen zararlı fidye yazılımları ile tüm dosyaların şifrelenmesine sebep oluyor. 

Eğer yedeğiniz yoksa, şifrelenen dosyalar için yapmanız gereken tek şey, dosyalarınızı şifreleyen kişiye istediği meblağı ödemek olacaktır, bu da her zaman sonuç vermemektedir.

Süreç yönetimi belirleyin

Ağınızda neler olduğunu, kimlerin nerelere erişim hakkı olduğunu bilmeniz ve kötü bir senaryo ile karşılaştığınızda neler yapmanız gerektiği hakkında acil durum planınız olması gerekmektedir. 

Fiziksel ortamların sıcaklıkları, temiz masa prosedürleri (masalarda parola kullanıcı adı bulunmaması), şirketinizden birisi ayrıldığında o kişiye ait kullanıcı hesaplarını kaldırma ve kurumunuz içindeki Wi-Fi parolalarını belli aralıklarla değiştirme gibi prosedürleri mutlak suretle uygulamalısınız.

Farkındalık kazandırın

Çalışanlarınıza mutlaka bilgi güvenliğinin önemini, hangi bilgilerin korunması gerektiğini, avlanmaktan nasıl kurtulacaklarını anlatmanız gerekmektedir. Sahiplik ve sorumluluk hissinin yanı sıra şirketin güvenliğinin onların omzunda olduğunu hissettirmeniz gerekmektedir.

Siber Saldırganlar 40 Ülkede 140 Şirkete Saldırdı

Finansal işlemlere erişim sağlamaya çalışan ve henüz kim oldukları bilinmeyen bir takım saldırgan, içinde Türkiye’nin de bulunduğu, çoğunluğu ABD, Fransa, Ekvator, Kenya, Birleşik Krallık ve Rusya’dan oluşan 40 ülkeden çeşitli sektörlerde faaliyet gösteren 140’ın üzerinde büyük ölçekli kuruluşun ağlarına saldırıda bulundu.



Saldırganlar, sıkça kullanılan yönetim araçları ve penetrasyon test araçları dışında PowerShell kullanarak blacklist’e düşmeden sabit sürücülere zararlı yazılımı kaydetmeden bellekte gizleniyorlar. Sistemin yeniden başlatılmasına kadar geçen süre içinde, istedikleri tüm bilgileri alarak arkalarında iz bırakmadan kayboluyorlar.

Saldırganların ATM'lerden nasıl para çektikleri, Güvenlik Analisti Zirvesi (Security Analyst Summit) etkinliğinde detaylı olarak anlatılacak.
Bağımsız Devletler Topluluğu’na bağlı birçok bankanın 2016 yılı sonlarında Kaspersky Lab ile yaptığı görüşmede Meterpreter isimli penetrasyon testi yazılımının beklenmedik zamanlarda sunucu belleklerinde göründüğünü bildirdiler. 

Yapılan adli incelemeye göre, Meterpreter kodu indirilerek powershell komutları ile hafızaya enjekte edildi ve denetlenen sunuculara veri aktarımı için Microsoft NETSH network aracı kullanıldı. Günlükleri temizlemek için ise Windows kayıt defteri, PowerShell komutları ile gizlendi. Bu yöntem ile saldırganlar sistem yöneticilerinin şifrelerini toplayarak virüs bulaştırdıkları bilgisayaları uzaktan kontrol etme imkanı sağladılar.

Mirai Botnet, Windows ile Yayılıyor

Botnet, uzaktan kontrol edilen birçok yazılım ajanınından oluşan, biz farkında olmadan bilgisayarımızın arka planında çalışan, saldırı amaçlı kodlanmış bir yazılım uygulamasıdır. Bilgisayarlarımıza bulaşan bu zararlı ile sistemlerin kontrolüne girerek birer Zombi oluyoruz.

Botnet’ler, spam e-postalar göndermek, virüsleri yaymak, bilgisayar ve sunuculara saldırmak , internet üzerinden suç işlemek  ve sahtekarlık maksadıyla yaygın olarak kullanılır. 

17 Ağustos 2016 tarihinde, 671 sayılı Kanun Hükmünde Kararname ile TİB kapatılmış ve BTK (Bİlgi Teknolojileri ve İletişim Kurumu) siber güvenlik konusunda geniş yetkilerle donatılmıştı.

Siber savaşların artması üzerine, Ocak ayında BTK tarafından yayınlanan yeni bir düzenleme hayata geçirildi. Buna göre BTK, sistemleri siber güvenlik konusunda açık verenlere ve gereken önlemleri almayanlara bin ile bir milyon Tl arasında ceza uygulayacak.

Geçtiğimiz Ekim ayında Twitter, Etsy, Netflix, Spotify, PayPal, Amazon gibi online platformları ulaşılamaz hale getirerek dünya genelinde birçok noktada internet problemi yaşanmasına sebep olan ve yaptığı saldırıda IoT (nesnelerin interneti) platformunu da kullanan Mirai Botnet, Windows’a sıçradı.

Trojan.Mirai.1 adı verilen Truva atı; DDoS ataklarında kullanılmak için değil, dünya genelinde en çok kullanılan işletim sistemi olan Windows ile kısa sürede daha çok bilgisayara ulaşmak için yaratıldı.

Rus antivirüs şirketi Doctor Web, antivirüsler tarafından henüz tanınmayan virüsün imzalarını diğer antivirüs şirketleri ile paylaşacaklarını belirterek, kullanıcıları virüs programlarını mutlaka güncel tutmaları ve bilmedikleri yerlerden gelen dosyaları kesinlikle açmamaları konusunda uyardı. 

Hacker’lar öncelikle cihazların varsayılan kullanıcı adı ve parolaları ile giriş yapmayı denerler. Bu yüzden IP kamera, router, modem gibi cihazların varsayılan kullanıcı isim ve şifrelerini değiştirmek, güvenlik açısından çok önemlidir. Değiştirilmeyen bu şifreler, hacker’lar için adeta birer açık kapı durumundadır ve evinizdeki her korunmasız cihaz, diğerlerine ulaşmak için bir basamaktır. Nesnelerin interneti, şu an sanal dünyanın en zayıf halkası konumunda. İş yerimizde ve evlerimizde kullandığımız internet bağlantısı olan tüm cihazlarımızın güvenliğine çok dikkat etmeliyiz.

VPN Uygulamaları Sandığınız Kadar Masum Mu?

VPN, Virtual Private Network, internet üzerinden başka bir ağa bağlanmayı sağlayan bağlantı çeşididir. VPN bağlantısı yaptığınız servisin network’üne sanki oradaymış gibi bağlı olmak ve oradaki servisleri oradaymış gibi kullanmak diyebiliriz. 

Günümüzde, internette mobil olarak vakit geçirme süresi son yıllarda oldukça artmış durumda ve mobil uygulama endüstrisi de bu artışla beraber büyük gelişmelere imza atıyor. Ancak, Android’in geliştiricilerine oldukça geniş izinler veriyor olması, zaman zaman güvenlik problemlerinin yaşanmasına sebep oluyor. Bunun en büyük örneği ise geçtiğimiz günlerde ücretsiz VPN uygulamaları ile karşımıza çıktı. CSIRO (Commonwealth Scientific and Industrial Research Organisation) yönetiminde, New South Wales Üniversitesi ve Berkeley California Üniversitesi ekiplerince yapılan “Android VPN Uygulamalarının Gizlilik ve Güvenlik Risklerinin Analizi” raporuna göre, Android için geliştirilmiş 234 VPN uygulamasının %38'inde zararlı yazılıma rastlandı.

Ekibin 234 Android uygulamayı araştırarak edindikleri bazı bilgiler şu şekilde:

• %18'i trafikte herhangi bir şifreleme uygulamıyor.
• %84'ü kullanıcıların bilgilerini sızdırıyor.
• 2/3'ü, üçüncü partilerin kütüphanelerini izliyor.
• %38'i zararlı yazılım içeriyor
• %80'den fazlası, kullanıcı hesapları veya kısa mesajlar gibi hassas verileri kullanma izni istiyor.

İnternet erişimi engellendiğinde ya da sınırlandırıldığında kullanıcıların yöneldiği VPN uygulamalarının kendilerine duyulan güveni istismar ettiği, gerekli güvenliği sağlamadığı, internet trafiğini bile şifrelemediği tespit edildi. Kullanıcılarına anonimlik sağlaması beklenen VPN servislerinde bulunan virüsler, kullanıcının özel bilgilerine ulaşmakla kalmıyor, SMS bile yollayabiliyor. Araştırma sonucunda en fazla zararlı yazılım bulunduran uygulamalar şu şekilde:

• OkVpn
• EasyVpn
• SuperVPN
• Beternet
• CrossVpn
• Archie VPN
• HatVPN
• sFly Network Booster
• One Click
• Fast Secure Payment

Listedeki OkVPn , EasyVpn, SuperVPN Google Play Store’dan kaldırıldı fakat tekrar isim değiştirerek mağazada yerini almaya devam ediyor. Bunun en büyük nedeni ise denetimlerin az, düzensiz ve bir uygulamayı markete koyarken basit denetimler uygulanıyor olması.

Yapılan araştırma sonrasında tehlikeli bulunan betternet isimli uygulama hala mağazada bulunuyor ve 5 milyondan fazla kişi tarafından kullanılmaya ve tehlike saçmaya devam ediyor. 

Uygulama indirildikten sonra dikkat etmeniz gereken en önemli kısım; sms yollama, arama yapma, galerinize ulaşma ya da kamera kullanma gibi özelliklere ulaşmak istiyor mu diye kontrol etmeniz olacaktır. Bu tarz izinler VPN uygulamaları açısından gereksiz ve güvenlik zafiyeti oluşturma potansiyeline sahiptir.