"Duyuru: DNS Hijacking ile DNS Spoof"

Birkaç gün önce kurumsal müşterilerimize yaptığımız duyuruyu genel olarak tekrar yapmak istiyoruz.

Teknik Bilgilendirme Duyurusu:
Twitter, Youtube gibi sitelere sadece Türkiye'den erişimi engellemek amacıyla Internet servis sağlayacılar üzerinden Internet altyapısına yönelik birtakım müdahaleler oldu.

En son devreye giren yöntem, dünyada agresif yöntemlerden olarak bilinen ve tercih edilmeyen "doğru olmayan BGP anonsları" ile yapıldı ve malesef bundan olumsuz etkilenen kurum ve kuruluşlar oldu. Bu tür aktiviteler düzelene kadar ISR olarak çok uluslu müşterilerimize, oluşabilecek risklerden dolayı merkez noktalarına yapacakları güvenli sertifika kontrollü ve kriptolu / VPN erişimleri üzerinden Internet'e erişmelerini öneriyoruz.

Bazı problemlerin kaynağı erişim engellemesinin IP adreslerini engelleme şeklinde değil Internet servis sağlayıcılarının bağlantıları doğru olmayan BGP anonsları ile farklı noktalara hijacking yapılması ile oldu.


Örneğin OpenDNS kurumsal servisi kullanan bir müşterimizin bağlantısını incelediğimizde:

(Geçerliliğini yitirdiğinden temsili görüntü ile değiştirilmiştir) 

Son rota takibinde yurtdışındaki OpenDNS hizmetine yurtdışına çıkmadan ulaşma konforu (!) yaşandığını görüyoruz.

Durumu biraz daha detaylı incelediğimizde:

(Geçerliliğini yitirdiğinden temsili görüntü ile değiştirilmiştir)

208.67.220.220/32 rotası acıbadem turk telekom router'ında gözümüze çarpıyor.
Bu dns servisinin hijack edildiğini görüyoruz.

Bu agresif yöntemlere karşı siz değerli müşterimizi uyarmak istiyoruz. Yurtdışı noktalarınıza VPN (ve benzeri) erişim kullanmıyorsanız, Türkiye'den herhangi bir noktadan direkt Internet'e çıkış yapıyorsanız, kurumunuzda yerel sertifikalar iş yaşamınızda önemli bir yer almıyorsa (örneğin *.gov.tr'ler ile ilginiz yoksa) bunları kurum cihazlarından bu tür problemler düzelene kadar geçici de olsa kaldırmanızı tavsiye ederiz.

Müşteri bilgileri, kimlik doğrulama bilgileri, finanslar bilgiler ile ilgili müşterilerimiz aşağıda birkaç örneği verilen sertifikaları yazılımlarınızdan geçici olarak kaldırınız.

(Geçerliliğini yitirdiğinden temsili görüntü ile değiştirilmiştir)

Dns hijacking ile yönlendirildiğiniz noktada https kullandığınızda sertifika hatası almasanız bile Türkiye'de yetkili bu sertifika otoritelerine yapılacak bir müdahale ile https'nin de güvenliği bir sonraki noktada kalmayacaktır. Bu sertifika otoritelerine kağıt üzerinde yetkili müdahaleler dışında diğer bir risk de bu otoritelerde yaşanmış ve farkedilmiş bazı durumlar yaşanmasıdır. (Daha fazla bilgi için anahtar arama kelimeleri: turktrust revoke)

ISR müşterileri gelişen durum hakkında tekrar bilgilendirilecektir.

Bilgi Güvenliği ve Yurt İçindeki Genel Uygulamalar

Günümüzde şirketler operasyonel verimlerini, ciro ve karlılıklarını artırabilmek amacıyla teknolojiden daha fazla yararlanabilme hedefindeler. Elde edilen verilerden faydalı bilgi edinebilmek, operasyonlarında işlemlerini hızlandırmak ve hata payını azaltmak amacıyla her geçen gün daha fazla operasyon adımını ve şirket bilgisini elektronik ortama aktarmaktalar.

Şirketlerin gerek yasal olarak saklanma ihtiyacı, gerekse geçmiş değerlerin korunması, işlenerek potansiyelin kazanca çevrilmesi gibi ihtiyaç ve amaçları dolayısıyla elektronik ortamda barındırılan verileri ile gelir kaybına yol açmamak üzere hatasız, duraksız sürdürülmeye çalışılan operasyonlarının gerçekleştirildiği eskiye nazaran oldukça büyük önem taşıyan bilgisayarları ve bunların oluşturduğu ağların güvenliği bir şirketin gündelik faaliyetlerinin yanı sıra varlığını sürdürebilmesi, ticari değerini ve kazançlarını koruyabilmesi için temel faktörlerden birisi olmuştur.

Orta ve büyük ölçek boyutuna ulaşmış pek çok firma ihtiyaçları doğrultusunda bilgi ve ağ güvenliğini sağlamaya yönelik bir çok yazılım ve donanım çözümlerine yatırım yapmaktadır. Bilgi güvenliği ve sistem sağlığının önemi dikkate alınarak yapılan bu yatırımlara karşın pek çok firma istediği güvenlik ve sistem sağlığına sahip olamamaktadır.

Bu durumun en önemli sebebi bilgi ve ağ güvenliği denildiğinde içerisinde yüzlerce bileşenin bulunması ve bu bileşenlerin dinamik hususlar olmasıdır. Gün geçtikçe farklı amaçlar için kullanılan bilgisayarlar bir yana, tıpkı bir ana karayolu gibi ağ trafiği de gün içerisinde belirli kurallar ile akmakta, dönem dönem trafik ihtiyaçları doğrultusunda ağın yeniden yapılandırılması, yönetilmesi gerekmektedir. Zaman içerisinde ihtiyaçlar doğrultusunda yeniden şekillendirilen ağ, ve bu ağa bağlı bilgisayarlar ve içerdikleri bilgiler de güvenlik açısından farklı tehditlere maruz kalabilmektedir.

Bilginin güvenliğini ve sistemin sağlıklı çalışırlığını sağlama hedefi, yaşayan bir sistem olan ağın (networkün) periyodik olarak kontrolü, çeşitli disiplinlerle ve bilgi sahibi kişilerce yönetilmesi, zafiyetlerinin taranması ve gerektiği ölçüde ayarlarının düzenlenmesi, yeni teknolojilerin kullanılması gibi belkide bakım adı altında fazlaca daralttığımız aslında çok sayıda önem taşıyan işlemin yapılmasını gerektirir.

Yatırımların yapılması, bakımların sağlanması sonrasında "Güvende miyiz?" sorusunun yanıtı da elbette görecelidir. Bu uyarı canınızı boş yere sıkmamalı, farkında olmak her zaman güvenliğe doğru atılan sağlam bir adımdır. Risklerinizin farkında olmak ve bu risklere göre önlem almak, bu sistematiğe göre yaşamak son derecede kazançlı çıkmanızı sağlayacaktır.

Firmaların bilgi ve ağ güvenliğini sağlamaya yönelik kullanılmakta olan bir çok yazılım ve donanım çözümlerine yaptıkları yatırımlara karşın tüm güvenlik zinciri en zayıf halkası olan kullanıcıların, çoğu zaman farkında olmadan bilinçsizce yarattığı sistem açıkları ile tehdit altında kalabilmekte, bu açıkların giderilmesine yönelik çoğu zaman da gereğinden de fazla yatırım yapılmak zorunda kalınmakta üstelik yapılan bu ek yatırımlar kesin çözüm niteliği de taşımamaktadır.

Ağ ve bilgi güvenliğinin sağlanabilmesi üzere gerçekleştirilen Onca yatırıma rağmen güvenlik zincirini tehlikeye atabilecek olan bu zayıf halkanın güçlendirilebilmesi ise kullanıcıların ihtiyaç duyulan nitelikte; şirketin sistem güvenliği politikalarına uygun olarak, bilinçlendirilmesi, eğitilmesi ile sağlanabilmektedir.

Bir çok kurumsal nitelikteki firma sistem güvenliğini sağlayabilmek ve operasyon akışına engel oluşabilecek potansiyel sorunları önleyebilmek amacıyla eğitimler düzenlemekte, farkındalık seviyesini artırarak kullanıcılar tarafından yaratılabilecek güvenlik açıkları ve sistem hatalarını azaltmaya çalışmaktadır. Kurumsal boyuttaki firmalar kadar olmasa da elektronik çağını yakalamış olan orta ve büyük ölçekli KOBİ'lerin de mutlaka farkındalık eğitimlerini dikkate alması, bu kapsamda gerekli genel ve firma özelinde eğitimleri programlaması işletme sağlığı açısından önem taşımaktadır. KOBİ'ler için ISR'ın TÜBİTAK desteği ile geliştirmekte olduğu "ScavDat" projesi ile bu ihtiyaçlara yönelik çözümlerimiz hakkında bilgi almak için www.isr.com.tr üzerinden ya da bilgi[at]isr.com.tr mail adresinden bize çekinmeden ulaşabilirsiniz.

Kablosuz misafir ağ güvenliği

Sadece otel, tatil köyü gibi uzun süreli konaklama alanlarında değil, artık konser alanları, stadyumlar, bekleme salonları gibi kısa süreli misafir ağırlanan alanlarda da kuruluşlar Internet 'i paylaştırarak misafirlerinin tesiste geçirdiği zamanın daha kaliteli olmasını sağlıyor. Bu alanlardaki güvenlik ihtiyacı ve metotları da personel ağı güvenliği gibi (hatta bazı uygulama alanlarında daha fazla) önem kazanmış durumda.

Misafir ağları personel ağlarından farklı olarak genellikle misafir kullanıcıların istekleri ve ihtiyaç duydukları erişim ve kullanım serbestileri doğrultusunda şekillenen, fakat yasal zorunluluklar ve/veya genel şirket politikalarının da çerçevesinde yönetilmesi gereken ağlardır.

Misafir ağları söz konusu olduğunda güvenlik politikalarını iki kategoride incelemek doğru olacaktır;


1- Kablosuz ağ güvenliği
2- Personel (iç ağ) güvenliği

Kablosuz ağ güvenliği: Suçlarını gerçekleştirmek için saldırganlar herhangi bir kişisel bilgi vermeden  kullanabilecekleri internet hatları ararlar ve bu tür kablosuz ağlar bu tür suçlular için adeta bir cazibe merkezidir.

Kablosuz ağ güvenliği halen pek çok yerde WPA ve/veya WEP şifreleri misafirlere verilerek gerçekleştiriliyor. Ancak bu yol hem ziyaretçiler, hem de tesis için oldukça riskli. Tüm ziyaretçilerin, semt hatta sokak sakinlerinin bile bildiği kablosuz ağ şifreleri tesisi dijital suçlar için ve amaç dışı fazla kullanımlar için tam bir merkez haline getiriyor. Oysa bu tip ağlarda kullanıcıların ve ağın yönetimine yönelik yerli ve yabancı pek çok profesyonel cihaz çözümü mevcut. Bu cihazların yanı sıra oldukça pratik yönetim sistemleri ile uzmanlık gerektirmeden ve altyapı yatırımı yapmadan bu konuya çözüm getiren yazılımlar mevcut. (ISR Bilgi Güvenliği'nin bu konuda lansmanını yeni gerçekleştirdiği KolaySpot ürününü 6 eş zamanlı kullanıcıya kadar ücretsiz olarak kullanabilirsiniz (www.kolayspot.com)) Kablosuz ağın gerek güvenliğini, gerekse verimli ve amacında kullanımını sağlamak bir işletmenin artık temel görevlerinden birisi.

Personel ağ güvenliği; Misafir ağı güvenliğinin en önemli bölümü personel ağı ile misafir ağının tamamen birbirinden ayrılmasıdır. Ağ yapılarında en sık karşılaşılan, personel ağına iliştirilen bir ya da birden fazla access point 'e şifre vermektir. Bu tür yapılarda misafir ağında bulunan saldırganlar, personel ağında yer alan bilgilere erişme hedefindedirler. Bu saldırılar büyük çoğunlukla misafir trafiğinin yoğun, kalıcı ve misafir bilgilerinin kayıt altına alındığı özellikle otelcilik yazılımlarını hedef almakta, saldırganlar burada bulunan misafirlere ait kişisel ve oldukça hassas bilgileri ele geçirmek istemektedirler.

Maliyetleri düşürmek için tercih edilen birden fazla access point 'i aynı ağ üzerinde farklı şifre ile çalıştırma yolu, özellikle otellerde tutulan misafir bilgileri, merkez sistem ile iletişimde bulunan yazarkasa satış cihazları (P.O.S. cihazları) için ciddi tehditler oluşturmakta, gelir ve itibar kaybına müsait çarpık bir yapıyı beslemektedir.

Misafir ağlarının güvenliğini sağlamak üzere tasarlanan hotspot sistemleri, hem misafirlerin gerektiği kadar interneti kullanmalarını, hem de tesisten ayrıldıklarında artık interneti kullanamamalarını sağlamaktadır. Bu tür sistemler aynı zamanda personel ağı internet erişimini sağlamakta ve tesis tarafından belirlenen güvenlik politikalarını uygulamaktadır. Personellerinizin politikalarınız doğrultusunda mesai saatleri içerisinde erişiminlerinin kısıtlandığı facebook, youtube, çeşitli oyun siteleri gibi siteleri misafir ağı üzerinden kısıtlama olmaksızın kullanma ve politikaları aşma olasılığına izin vermeyip tüm ağ erişimini kontrolünüz altında tutmanıza imkan vermektedir.

Aynı kutuda sunulan hem firewall, hem doğrulama sistemleri düşük maliyetli, kullanımı kolay ve  güvenli misafir ağ yönetimi imkanı sağlamakta.

Mobil Güvenlik İçin Telefonlar Cebe, Yoksa "Eller Yukarı"!

Hepimizin tercih ettiği cep telefonunun marka ve modeli farklı da olsa kullanım ihtiyacı doğrultusunda hepsinin ortak bir yönü var; artık hepsi akıllı!

Akıllı telefon kullanımı pek çok noktada hayatımızı kolaylaştırıyor; mobilite dediğimiz cihazlarımızın bir noktaya bağlı olmadan hareket edebilme serbestliğini kazandırıyor. Mobil cihazların gerekliliği, yarattığı bağımlılık ve ekonomik fayda gibi tartışmalar bir yana dursun kolaylık ve yenilik denildiğinde her bilgi güvenliği uzmanının aklına tek soru geliyor; güvenli mi?

Hayatımızı kolaylaştıran pek çok cihaz aslında ilk piyasaya sürüldüğünde güvenlikle ilgili yeni risk ve sıkıntıları da piyasada oluşturmaya başlıyor. Örneğin eski telefonlarda "1 Yeni Mesajınız Var" uyarısı artık akıllı telefonlarda kullanıcıya kolaylık sağlamak amacıyla bir ön izleme seçeneği ile sunuluyor. Mesajı gönderen kişi, saati ve mesajın ilk satırlarını telefon kilidini dahi açmadan kolaylıkla önizlemesini yapmanız mümkün! Üstelik bu sadece mesaj ile de sınırlı değil, neredeyse tüm uygulamalarda ön izleme yapmak mümkün.

Yakın zamanda bir telefon üreticisinin çıkarmış olduğu işletim sistemi güncellemesiyle artık varsayılan ayar olarak ekran kilitli iken dahi gelen mesajın büyük bir bölümü okunabilir durumda. Güncellemenin yarattığı bu farklılık ve bu farklılıktan doğan güvenlik riski dolayısıyla artık telefonların ortada gezmesi maddi kayba yol açabilecek bir risk taşıyor.

Alışkanlıklarımız doğrultusunda elimizin altında, masamızın üzerinde tuttuğumuz her türlü bilgimizi de içeren cep telefonumuzu çeşitli kilitleme sistemleri ile kilitlemiş olsak dahi arkadaşlarımızın adları, mesajın içeriği hatta banka onay kodumuz dahi görülebilir durumda. Pek çok banka güvenlik konusunda uyması gereken onlarca standarda ve müşterilerinin bilgi güvenliğine yönelik çalışmasına karşın bazı noktaları atlayabiliyor, bu da onlardan bir tanesi (bu konuya daha sonra ayrıca değineceğiz).

Özellikle android cihaz kullanıcıları alışkanlıklarını tekrar gözden geçirmeli ya da kullanım alışkanlıkları doğrultusunda güvenlik gereklerinin bilinciyle ön izleme ayarlarını yaparak önlemlerini almalılar.

Bu ve benzeri pek çok örnek bize göstermektedir ki; çağımızda teknolojinin hızlı gelişimine paralel olarak bilgi paylaşımı ve bilgiye erişim ne kadar kolaylaşmaktaysa bu yeniliklere bağlı güvenlik ihtiyaçları da neredeyse aynı düzeyde artmaktadır. Kullanıcıların takip etmesi gereken bilgi güvenliğine yönelik önlemler de sürekli gelişmekte, şekil değiştirmekte, sorunların çözümlerine yeni yazılım, donanım vb. yeni çözümler eklendiği gibi sorunlara da yenileri eklenmektedir.

Bilgi güvenliği dinamik bir alan olup geçmiş bilgi birikimlerinin yanı sıra güncel araştırma ve birikimler ile de sürekli takip edilmelidir.

Artarak Devam Eden Çağrı Merkezi Aramaları ve Güvenlik Zorlamaları

Gündelik hayatımızda aldığımız elektrik, su, TV, internet, telefon vb. altyapı hizmetleri, gerekse gıda, giyim ve ihtiyaç malzemeleri gibi temel alışverişlerimizde hepimiz kişisel bilgilerimizi vermek durumunda kalabiliyoruz.

Hizmetin kalitesini artırma ve hızlı iletişim gerekliliği gibi sebepler dolayısıyla belirtmek zorunda kaldığımız bu bilgilerimiz, paylaştığımız kurum tarafından pek çok sefer bizden izin alınmadan amacı dışında 3. taraflarla; çeşitli kurumlara da dağıtılıyor.

Bilgileri elde edilen kişinin eziyet derecesinde reklam iletişimlerine, otomatik reklam aramalarından tutun da ilgisi dahilinde olmayan pek çok konu ile tacize maruz kalması bir yana, bilgileri kullanılan bizlerin hakları iyiden iyiye hiçe sayılarak adeta aşağılanıyoruz.

Bilginin izinsiz paylaşımı ile müşteri bilgilerinin güvenliğini hiçe sayan kurumlar bu verileri ilettikleri kurumlara bilgi kaynağının açıklanmaması üzere ciddi talimatlar vermekteler. Bu durumda bilgisi izinsizce el değiştiren, güvenliği hiçe sayılan bizler, tarafımıza gelen çağrılarda size nasıl ulaştıklarını sorduğunuzda aşağılarcasına bilgi kaynağının gizlilik taşıdığını saçmalar vaziyetteler.

Bu tip aramaların - e-postaların çokluğu bizim için zaman kaybından öte duyarsızlık gibi kötü bir alışkanlık kazanmamıza yol açıyor. Bilgimizin güvenliğinin sağlanamamasından şikayetçi olmayı bırakıp durumu kabullenerek bize önerilen hizmet ve/veya tarafımıza yönlendirilen soruları kolaylıkla yanıtlar hale geliyoruz.

Bu konuda en açık örnek yakın dönemlerde yaşanan bilindik çağrı merkezi benzeri numaraların lokal (0216 , 0212 , 0312, 0262 vb.) alan kodları ile aramalara yanıt verenlerin kurum aldatmacası çerçevesinde pek çok kullanıcıyı dolandırıcılık seviyesinde kandırması ve bilgi toplaması.

Unutmayalım ki karşımızdaki kurum ister devlet kurumu ister özel bir kurum olsun telefon üzerinden hukuken geçerli olan resmi bir bildirimde bulunamaz. Ses kaydı alındığını belirterek özellikle kayıt güncelleme, ihbar iletimi gibi konulara ilişkin bizleri arayanlar bu bildirimleri resmi çerçevede gerçekleştirme yetkisine sahip değildir.

Sizi arayıp hesabınızın, hattınızın, işlemin güvenliği vb sebepler ile kimliğinizi teyit etmek zorunda olduğunu belirten ve kimlik bilgilerinizi, özel bilgilerinizi "teyit amaçlı" isteyen, özellikle de daha önce tanımadığınız, genel markaların çağrı merkezi numaralarına benzemeyen şüpheli numaralardan gelen talepleri asla muhatap almayınız.

Unutmayınız ki güvenlik teyidi tek taraflı olamaz; arayan kişinin de aramakta olduğu kurumu, yetkili bulunduğunu, kimliğini size doğrulayabiliyor olması gereklidir ki bu doğrulama yapılmadan verilen bilgiler yüzünden pek çok vatandaşımız mağdur durumda kalmaktadır. Pek çok kurum bu dolandırıcılıkların önüne geçebilmek için görevlendirdikleri kişi ve/veya şirketleri kendi bünyesinde olmasa dahi web sayfaları ve/veya çeşitli reklamlarında anons ettiği çağrı merkezi numaraları üzerinden aramaktadır.

Şüpheli bir aramayla karşılaştığınız takdirde herhangi bir bilgi vermek istemediğinizi belirtmeli ve arayan kişi ikna sürecine girmeye çalışmadan görüşmeyi derhal sonlandırmalısınız. Görüşmenin gerekliliği had safhada belirtiliyor, acil olduğu belirtiliyor ve/veya inandırıcılığının yüksek olduğunu düşünüyorsanız bu durumda sizin ilgili kurumun beyan ettiği iletişim bilgilerü üzerinden iletişime derhal geçeceğinizi belirterek, görüşmeyi derhal sonlandırarak ilgili kuruma telefon veya bizzat başvuru ile sizin ulaşıyor olmanız hem olası bilgi çalınma - dolandırıcılık girişimini önleyecek hem de bildiri konusu gerçek ise gerekenin yerine getirilmesini sağlamış olacaktır.

Bu tip girişimlerde "saldırganlar" senaryo bazlı çalışmalarda bulunup ikna gücü yüksek kurgular ile sizden bilgi elde etmeye ve nihayetinde çıkarları doğrultusunda kullanmayı, size zarar vermeyi hedeflemektedirler. Teknolojinin yaygınlaşması dolayısıyla saldırı mecraları artık fiziki dolandırıcılık - saldırı safhasından da ileriye gitmekte; telefon ile saldırılara, e-posta, web türü elektronik saldırılara dönmüş bulunmaktadır.

Kullanıcısı olduğumuz teknolojik cihazların ve methotların bize sağladığı faydaların yanında risklerin de bilgisine sahip olmak; farkında olmak, kullanım sıklığınızın gerektirdiği ölçüde periyodik olarak fayda ve zararları hakkında bilgi araştırması yapmak, eğitimler almak artık çağımızda bir zorunluluk halini almıştır.