Siber Güvenlik Bülteni - Mart 2023

 

Bültenimizin Mart Ayı konu başlıkları;  Parola Güvenliği, En Yaygın Parolalar ve İstatistiklerdeki Son Durum FortiOS ve FortiProxy'de Kritik Zafiyet Veeam Backup'ta Yüksek Düzeyli Zafiyet Microsoft Outlook'ta Kritik Zafiyet Bitcoin ATM'si Hacklendi

Parola Güvenliği, En Yaygın Parolalar ve İstatistiklerdeki Son Durum

Veri ihlalleri ve siber saldırılar büyüyerek devam ediyor. Bu saldırılara karşı şüphesiz ki en savunmasız alan halen parolalarımız olarak ortaya çıkıyor. Binlerce parola içeren, saldırılarda kullanılan sözlük listeleri (wordlist'ler) artık milyon satırı aşıp milyarlar seviyesine gelmiş bulunuyor. Yapılan analizler sonrasında parolalar ile alakalı karşılaşılan bazı istatistiklerden bahsedeceğiz. 2023'ün en çok kullanılan parolaları; 123456 123456789 qwerty password 12345 qwerty123 1q2w3e 12345678 111111 1234567890 Bu parolaların sadece 2023'ün değil, geçtiğimiz 10 yılın da en yaygın kullanılan parolaları olduğunu söylemek mümkün. Bu parolalar 2.217.015.490'ı (%14.5) benzersiz olan toplam 15.212.645.925 adet parola analiz edilerek ortaya konulmuştur. Bu parolalara baktığımızda tahmin edilebilmesinin veya öngörülmesinin dahi çok zor olmadığını, tamamının saldırı sözlüklerinde kullanıma hazır şekilde yer aldığını görüyoruz. Belirtilen ilk 10 basit parola dışında ülkemizde de yoğun olarak futbol takımları, şehirler, yemekler, TC kimlik numaraları, il plakaları, aile bireyleri doğum tarihleri vb. kolaylıkla tahmin edilebilir parolalar veya halihazırda zaten saldırı sözlük listelerinde yer alan parolaların tercih edildiğini yaptığımız simülasyon çalışmalarında da görüyoruz. Parola oluşturulurken kullanılan tarihler incelendiğinde; 1900 - 2020 yılları aralığında en popüler olarak kullanılan yıllar; 2010, 1987 ve 1991'i ilk üçte görüyoruz. 1940'tan 1990'a kadar istikrarlı bir artış devam ederken, bundan sonraki tarihler için bir düşüş görülüyor fakat yine 2004'ten 2010'a kadarki yılların kullanımında tekrar bir yükseliş görülmekte. Parolalarda dünyada kullanılan en popüler isimler; Eva, Alex ve Anna iken Türkiye'de ise Mustafa, Zeynep ve Mehmet yer alıyor. Parolalarda kullanılan en popüler spor kulüpleri; (Phoenix) Suns, (Miami) Heat, Liverpool, Arsenal ve Chelsea iken Türkiye'de Galatasaray, Fenerbahçe ve Beşiktaş yer alıyor. Parolalarda kullanılan en popüler şehirler; Abu (Dhabi), Rome, Lima ve Hong (Kong) ilen Türkiye'de İstanbul ve Ankara yer alıyor. Parolalar Hakkında Bazı İstatistikler; Çalışanların %51'i kurumsal ve kişisel hesapları için aynı parolayı kullanıyor. Çalışanların %69'u parolalarını iş arkadaşlarıyla paylaşıyor. Çalışanlar parolalarını değiştirdiklerinde, ortalama 13 kez aynı parolayı tekrar kullanıyor. Tekrarlı ve eski parola kullanımından dolayı her beş kişiden ikisinin parolası ele geçirildi. İnsanların %50'si tüm hesapları için aynı parolayı kullanıyor. İnternet kullanıcılarının yalnızca %31,3'ü parolalarını yılda 1 veya 2 kez güncelliyor. Veri ihlallerinin %80'i zayıf parola kullanımından kaynaklanıyor. İnternet kullanıcılarının %90'ı parolasının çalınmasından endişe duyuyor. İnsanların %53'ü parolalarını akıllarında tutuyor. 123456 parolası 23 milyondan fazla kişi tarafından aktif olarak kullanılıyor. 15 milyar parolada yapılan analizlere göre genel parolalar 8 karakter veya daha kısa karakterden oluşmaktadır. Her 11 saniyede bir işletme fidye yazılımı saldırısına uğruyor. 18 - 24 yaş aralığındaki gençlerin %76'sı parola güvenliğine dikkat etmiyor. Güvenli bir parola oluşturmak için dikkat edilmesi gerekenler; En az 16 karakterden oluşmalıdır. Büyük küçük harflerin yanı sıra, rakam ve "?, @, !, #, %, +, -, *, %" gibi özel karakterler içermelidir. Parola girilen alan kabul ediyorsa muhakkak Türkçe karakter içermelidir. Önemli hesaplar ve giriş alanlarında daha sıkça, 3 ay - 6 ay veya en çok 12 ay içerisindeki periyotlarda mutlaka değiştirilmelidir. Parolalar değiştirildikten sonra tekrar kullanılmamalıdır. Her hesap için ayrı bir parola oluşturulmalıdır, aynı parola farklı giriş alanlarınızda kullanılmamalıdır. Çok adımlı doğrulama etkinleştirilmelidir. SMS yerine mümkünse OTP - sistemleri tercih edilmelidir. Parolalarınızı saklamak için kullanımınıza en uygun olan Parola Yöneticisi programlar araştırılmalı ve tercih edilmelidir.

FortiOS ve FortiProxy'de Kritik Zafiyet

Fortinet'in arka arkaya tespit edilen zafiyetleri ve bunlara bağlı siber olay haberleri bir türlü gündemimizden düşemiyor. Fortinet, FortiOS ve FortiProxy'yi etkileyen ve uzaktan erişim olanağı sağlayan kritik bir zafiyetinde bulunduğu 15 güvenlik açığını gidermek için düzeltmeler yayınladı. Uzaktan erişim imkanı sağlayan zafiyet CVE-2023-25610 referans numarası ile takip edilebilir. Fortinet, FortiOS ve FortiProxy yönetim arabirimindeki buffer underflow (arabellek altaşımı) zafiyeti sebebiyle kimliği doğrulanmamış bir saldırganın cihazda rastgele kod yürütmesine ve/veya özel hazırlanmış istekler aracılığıyla GUI'de bir DoS gerçekleştirmesine izin verebileceğini açıkladı. Underflow veya Buffer Underruns olarak da adlandırılan hatalar, giriş verilerinin alandan daha kısa olduğu zaman ortaya çıkar ve sistemin öngörülemeyen davranışlarda bulunmasına imkan sağlar. FortiOS ve FortiProxy etkilenen sürümler; FortiOS 7.2.0 - 7.2.3 FortiOS 7.0.0 - 7.0.9 FortiOS 6.4.0 - 6.4.11 FortiOS 6.2.0 - 6.2.12 FortiOS 6.0'ın tüm sürümleri FortiOS 5.x'in tüm sürümleri FortiProxy 7.2.0 - 7.2.2 FortiProxy 7.0.0 - 7.0.8 FortiProxy 2.0.0 - 2.0.11 FortiProxy 1.2'nin tüm sürümleri FortiProxy 1.1'in tüm sürümleri Düzeltilmiş sürümler FortiOS için; 6.2.13, 6.4.12, 7.0.10, 7.2.4, 7.4.0 veya üst sürümleri. Düzeltilmiş sürümler FortiProxy için; 2.0.12, 7.0.9, 7.2.3 veya üst sürümleri. Fortinet henüz herhangi bir kötü niyetli istismar girişiminden haberdar olmadığını(!) söyledi fakat bu tür kritik zafiyetlerin ortaya çıktıktan hemen sonra saldırılarda kullanılmaya başlanıp, hızlıca bir istismar gerçekleştiği günümüzün kaçınılamayan bir gerçeği halinde, bu yüzden hızlıca yamaların yapılmasını öneririz. Geçici çözüm olarak Fortinet, HTTP/HTTPS yönetici arayüzünü devredışı bırakılmasını veya erişen IP adreslerinin kısıtlanmasını öneriyor. Bu ve benzeri zafiyetlere karşı korunmasız kalmamak ve bunlardan etkilenmemek için size en yeni çözümümüzü öneriyoruz; yeni ZTNA çözümümüz TINA ISOLATOR ile ilgili detaylı bilgi ve sunum için bizi arayın. Bizi arayın: 0216 450 25 94 [email protected]

Veeam Backup'ta Yüksek Düzeyli Zafiyet

Veeam Software, yaygın kullanılan Veeam Yedekleme ve Kopyalama ürününde yüksek öneme sahip bir zafiyet için güncelleme yayınladı. Kimlik bilgilerinin sızdırılmasına olanak sağlayan zafiyet CVE-2023-27532 referans numarası ile takip edilebilir. Zafiyet, Veeam.Backup.Service.exe (TCP 9401) servisi tetiklenerek ortaya çıkmaktadır. Veeam Backup & Replication bileşeninde kimliği doğrulanmamış bir kullanıcı yapılandırma veritabanında depolanan ana sistem kimlik bilgilerinin alınmasına olanak sağlar. Bunun sonucunda Veeam Backup tarafından yönetilen ana sistemlere ve cihazlara erişim sağlayabilir. Açık olan TCP 9401 portuna erişim ile kullanıcı doğrulamasına ihtiyaç olmadan kimlik bilgileri çalınabilir, bu kullanıcı adı ve parolalar ile iç ağda yatay (yanal) hareketler gerçekleştirilerek farklı sistemlere geçiş yapılabilir. V12 (12.0.0.1420 P20230223) ve V11a'dan (11.0.1.1261 P20230227) önceki sürümler savunmasız durumdadır. Öncellikle versiyonunuzu bu sürümlere güncelleyip, yamayı devamında gerçekleştirmeniz gerekiyor. V12 Yamaları ve V11a Yamaları Henüz güncelleme veya yama uygulayamayan şirketler için ise, Veeam tarafından TCP 9401 portuna erişimin kısıtlanması önerilmiştir. Güvenli erişim, erişim kısıtlamalarının kolay yönetimi konularında çözüm sunduğumuz yeni ZTNA çözümümüz TINA ISOLATOR hakkında detaylı bilgi ve sunum için Bizi arayın: 0216 450 25 94  [email protected]

Microsoft Outlook'ta Kritik Zafiyet

Microsoft Outlook'ta geçtiğimiz haftalarda yayınlanan "Salı Yamaları" ile birlikte ciddi seviyede kritik bir zafiyet ortaya çıktı. Zafiyet ile saldırganların bir e-posta göndererek karşıdaki kullanıcının parola hash'lerini çalabildikleri ortaya çıktı. Parola hash'lerinin çalınmasına olanak sağlayan zafiyet CVE-2023-23397 referans numarası ile takip edilebilir. Zafiyetin tetiklenmesi için bir kullanıcı aksiyonuna gerek yoktur, Outlook'un açık olması ve hatırlatıcının tetiklenmesi yeterlidir, bu yüzden çok ciddi bir zafiyettir. Outlook saldırısına sebep olan NTLM aslında bilinen ciddi bir risk konusu oluşturmaktadır. Windows NTLM, hash bilgileriyle etki alanlarında oturum açmak için kullanılan bir kimlik doğrulama yöntemidir. NTLM bilinen risklerle gelse bile, eski sistemlerle uyumluluğu sürdürebilmek için yeni sistemlerde de kullanılmaya devam etmektedir, risklerinden ötürü Kerberos gibi protokoller tercih edilmektedir. Microsoft, ayrıca  bir saldırgan tarafından kontrol edilen SMB (TCP 445) paylaşımına UNC yolu ile MAPI özelliğine sahip bir mesaj göndererek NTLM hashlerinin ele geçirebileceğini açıkladı. 2022 yılında da aktif olarak kullanılan zafiyet birçok saldırgan grup tarafından kurumsal ağlara sızmak ve ağda yatay (yanal) hareket etmek için Kamu, Ulaşım, Enerji ve Askeri alanlarda kullanıldığı düşünülmektedir. Açık, Ukrayna CERT ekibi tarafından tespit edilip, Microsoft'a bildirilmiştir.  Outlook Android, iOS ve MacOs sürümleri etkilenmemekte, sadece Microsoft yazılımları etkilenmektedir; Microsoft Outlook 2016 (64-bit edition) Microsoft Outlook 2013 Service Pack 1 (32-bit editions) Microsoft Outlook 2013 RT Service Pack 1 Microsoft Outlook 2013 Service Pack 1 (64-bit editions) Microsoft Office 2019 for 32-bit editions Microsoft 365 Apps for Enterprise for 32-bit Systems Microsoft Office 2019 for 64-bit editions Microsoft 365 Apps for Enterprise for 64-bit Systems Microsoft Office LTSC 2021 for 64-bit editions Microsoft Outlook 2016 (32-bit edition) Microsoft Office LTSC 2021 for 32-bit editions Microsoft, zafiyetten etkilenen e-postaları tespit etmek için de bir powershell scripti yayınladı. Hızlıca gerekli yamaların yapılması önerilmektedir.

Bitcoin ATM'si Hacklendi

General Bytes, 40'tan fazla kripto para alım satım imkanını sağlayan Bitcoin ATM'lerinin üreticisidir, geçtiğimiz günlerde saldırganların BATM yönetim arayüzündeki sıfırıncı gün zafiyeti kullanılarak şirketten ve müşterilerden kripto para çalındığını açıkladı. Saldırganlar Digital Ocean üzerindeki IP adres alanını tarayarak General Bytes'a ait sunucuların ve ATMlerin 7741 nolu portunda çalışan CAS hizmetini belirledi ve tespit edilen BATM-4780 olarak referans edilen sıfırıncı gün zafiyetinden faydalandı. Zafiyetten faydalanan saldırganlar; veri tabanına erişim, API anahtarlarını okuma ve şifrelerini çözme, sıcak cüzdanlardan para gönderimi, kullanıcı adları ve parola içeren hash bilgilerini sızdırma ve terminal loglarına erişim gibi oldukça kritik özellikleri gerçekleştirebilir hale geldi. Şu ana kadar çalındığı tespit edilen kripto para miktarı henüz 1.6 milyon dolar. Üretici, müşterilerini hızlıca CAS parolaları ve API anahtarlarını yenilemeleri konusunda uyardı. Ve Tüm Bu Siber Saldırılara Karşı TINA Çözümlerimiz; Bültenimizde yer alan haberlerdeki problemlerin temel çözümü olarak geliştirdiğimiz son teknolojimizle tanıştınız mı? Uzaktan erişim gereksinimlerinizin sonucunda ortaya çıkan risklerinizi sıfıra kadar indiren, ek bir güvenlik katmanı olarak esnek erişim kontrolünü sağlayan son ZTNA teknolojimizi tanımanızı isteriz. Bizi arayın: 0216 450 25 94 [email protected] En son TINA teknolojimiz ile sunucularınızı, hatta firewall'unuzu dahi korumaya alan, en çok korktuğunuz tehditlere kökünden çözüm sunan çalışmalarımızı ve mevcut Advanced Threat Protection ürünlerimizi sizinle paylaşmamız için ONLINE TANITIM talebinizi buradan da başlatabilirsiniz.

Siber Güvenlik Bülteni - Mart 2019

ING Bank'ta Veri Sızıntısı Yaşandı

Kişisel verileri koruma kanunu internet sitesinde ING Bank’ta gerçekleşen veri sızıntısı ile ilgili açıklama yapıldı. 2 Mart tarihinde yapılan açıklamaya göre, ING Bank’ta görevli bir çalışanın, çoğunluğu ING Bank müşterisi olmayan toplamda 19.055 kişinin TC kimlik numarası ve vergi kimlik numarası bilgileriyle sorgulama yaptığı ortaya çıktı.  Veri sızıntısına sebep olan çalışanın ING Bank’ın uygulaması olan Finsoft sisteminde üzerinde tanımlı yetkileri uyarınca Ticari Nitelikli Kredi Bildirimi ve Paylaşımı (KRM) sorgusu yapamadığı halde, yetkilendirme sistemini devre dışı bırakacak bir yöntem ile yetki aşımı yaparak TBB Risk Merkezi web sitesine banka kullanıcısı olarak doğrudan erişim sağlayabildiği belirtildi. KRM kayıtları ile erişilebilen bilgiler şu şekilde: Bankalar nezdindeki kredi limiti Risk ve teminatlarına ilişkin rakamsal bilgileri Firmanın kuruluş tarihi Çalışan sayısı Geçmiş döneme ilişkin ciro bilgisi Telefon ve adresi Firma sahibinin ortaklarının isimleri Ortaklık payları ve ortakların TC kimlik numaraları İhale yasağına ilişkin notlar Firma tarafından ibraz edilen çeklere ilişkin muhtelif bilgiler Firma sahibi ve ortaklarının firma ile ilişki durumu Firma kredi skorları

Venezuella Karanlıkta Kaldı Venezuela, politik gerginlikler geçirdiği bu günlerde yaşadığı siber saldırı ile karanlıklara gömüldü. 7 Mart’ta Simon Bolivar hidroelektrik santraline yönelik gerçekleştirilen saldırı sonucu 23 eyaletten 22’sinde elektrik kesintisi yaşandı. İş yerleri ve evler dışında trafik ışıkları ve metroları da durduran elektrik kesintisi yüzünden binlerce Venezuela’lı kilometrelerce yol yürümek zorunda kaldı. Ülkedeki elektrik kesintisi esnasında diyaliz cihazını kullanamayan 15 böbrek hastası ise hayatını kaybetti. Ülke yöneticileri, hala kontrol altına alınamayan elektrik kesintilerinden Amerika’yı suçluyor. Avrupa'da En Çok Saldırı Alan Ülke Türkiye Oldu Fidye yazılımı saldırıları 2018’in sonlarına doğru düşüş kaydederken Türkiye’ye yönelik saldırılarda bir azalma olmadığı görüldü. Yapılan araştırmaya göre Aralık ayında gerçekleşen saldırılara bakıldığında Türkiye, dünyada en çok saldırıya uğrayan ülkelerin arasında Meksika, Hindistan, Amerika, Brezilya, Vietnam’dan sonra en çok saldırıya uğrayan ülke oldu ve Avrupa’da ilk sırada yer aldı. Rapora göre ayrıca, Türkiye’ye yönelik özel olarak gerçekleştirilen saldırıların sayısının tüm Orta Doğu ülkelerinin maruz kaldığı sayıdan fazla olduğu ortaya çıktı. Türkiye, finans ve bankacılık sektörüne yönelik gerçekleşen saldırılarda ise Avrupa’da ikinci sırada yer alıyor. Saldırılardaki en büyük ortak nokta, şirket çalışanlarının farkındalığının olmaması gösteriliyor.

Sağlık Sektörü Tehlikede

Siber saldırganların en çok zarar verdiği sağlık sektörü, yeni bir tehlike ile karşı karşıya. San Fransisco’da gerçekleştirilen RSA Konferansı’nda, ultrason cihazlarına yönelik bir saldırı canlandırıldı. Araştırmacılar cihazı ele geçirerek tüm hasta kayıtlarına müdehale edebildi ve ultrason görüntülerinin bulunduğu veritabanına erişebildiler. Ayrıca araştırmacılar cihaz üzerinde fidye yazılımı çalıştırabileceğini gösteren kanıtlar da sundu.  Uzmanlara göre, Tıbbi Nesnelerin İnterneti (IoMT) sağlık kuruluşları için saldırı yüzeyini genişletmeye hazırlanıyor. Sağlık sektörünün %87’sinin, 2019’un sonunda IoT teknolojilerini kullanması bekleniyor ve 2020 sonunda yaklaşık 650 milyon IoMT cihazının olacağı tahmin ediliyor. Uzmanların aklındaki en büyük soru ise; bu cihazların emniyetsiz bir şekilde korunması durumunda olacak kaos hakkında. Geçtiğimiz dönemlerde Singapur sağlık sistemine düzenlenen saldırıda Başbakan’ın sağlık kayıtlarının çalınması, UnityPoint’ten 1.4 milyon hasta kaydının çalınması, İngiltere sağlık sistemini çökerten ve saldırının giderilmesi için 150 milyon Sterlin harcanmasına sebep olan WannaCry saldırısı gibi olaylar yaşandı. Yaşanan olayların ortak noktaları yamalı Windows sistemleriydi. Hastanelerin ve diğer sağlık kuruluşlarının elektronik olarak depoladığı ve aktardığı çok sayıda kişisel bilgi olması sebebiyle, bu kurumlar ilerleyen dönemlerde de saldırganların hedefi olmaya devam edecek.

ASUS Kullananlar Dikkat

Siber saldırganlar zararlı yazılım yaymak için ASUS’un güncelleme sunucularına sızmayı başararak 1 milyondan fazla cihaza zararlı yazılım gönderdi.  Zararlı yazılım, ASUS dijital sertifikaları ile imzalandığın için fark edilemedi ve geçtiğimiz Haziran ayından beri tüm kullanıcılara güncellemelerle birlikte zararlı yazılım gönderildiği keşfedildi.  Zararlı yazılım girdiği sistemde MAC adreslerini keşfederek hedeflediği sistemleri arıyor. Hedeflenen adreslerden birisini bulduğunda ise saldırganlar tarafından kullanılan sunucu ile iletişime girerek diğer zararlı yazılımları bilgisayara indirmeye başlıyor. Yapılan açıklamada 600 bilgisayarın doğrudan hedeflendiği  belirtildi. Bilgisayarların kime ait olduğu ile ilgili bilgi verilmedi. ASUS, zararlı güncellemeleri geri çektiğini ve sunucuların güvenliğini yükselteceğini belirtti. Benzer bir saldırı 2012 yılında Microsoft sunucularında da görülmüştü.

Hedeflenen MAC Adreslerini Görmek İçin Tıklayın

Cisco Güncelleme Yayınladı Cisco, 7800 ve 8000 serisi IP telefonlarındaki güvenlik zafiyetlerini gidermek için yeni bir güncelleme yayınladı. 7800 ve 8000 serisini etkileyen CVE- 2019-1716 olarak adreslenen güvenlik açığı; saldırganların kritik hizmetlere erişmesine ve IP telefonları hizmet dışı bırakmaya sebep oluyor. Ayrıca 11.0(5) ve 12.5(1) sürümlerinin web arayüzündeki zafiyet, kullanıcıları saldırılara karşı savunmasız hale getiriyordu. Bu açık ile birlikte saldırgan, oturum açan kullanıcı ile aynı yetkilere sahip oluyor. PuTTY Zafiyetlerini Kapattı Uzak makinelere Telnet ve SSH bağlantısı gerçekleştirmeye yarayan PuTTY yazılımına güncelleme geldi. 0.70 versiyonuna kadar olan sürümlerinde PuTTY tarafından oluşturulan terminal penceresinin kaynağının doğrulamamasından kaynaklı ortaya çıkan güvenlik zafiyeti, yeni gelen versiyon ile ortadan kaldırıldı. 0.71 sürümü ile toplamda 8 adet önemli güvenlik açığı kapatıldı. Araştırmacılar DSA imzası kontrolünün aşılması ve potansiyel zararlı kod çalıştırma zafiyetleri gibi önemli açıkların kapatıldığı yeni sürümün kullanılmasını tavsiye ediyor.

Facebook Şifreleri Tehlikede Kişisel verilerin gizliliği ile sürekli skandallarla gündemde kalmayı başaran Facebook, bu sefer de kullanıcıların şifreleri ile başı dertte. Bir güvenlik araştırmacısının internette bu olayı duyurmasından sonra, Facebook açıklamaların doğru olduğunu kabul etti. Araştırma şirketinin yaptığı açıklamaya göre 600 milyon kullanıcının şifresinin düz yazı olarak saklanmış olabileceği ve 2012 yılından beri şifrelerin bu şekilde tutulduğu belirtildi. Facebook ise yaptığı açıklamada şifrelerin şirket için sunucularda saklandığını ve dışardan erişimin olmadığını, sadece 20 bin civarında çalışanın bu verilere erişiminin olduğunu belirtti.  Etkinlenen hesapların büyük çoğunluğu Facebook Lite kullanıcılarına ait. Kişisel Veriye Karşı BitCoin Geçtiğimiz ay 840 milyondan fazla kullanıcı bilgisini satışa çıkaran Gnosticplayers takma isimli siber saldırgan, bu sefer de 6 şirketten topladığı 26 milyon kullanıcının bilgilerini satışa çıkardı. 6 şirketten en çok dikkat çeken isim 75 oyunun geliştiricisi ve Apple App Store’da ilk 100’e giren GameSalad firması oldu. Dark Web’te Dream Market üzerinden satışı gerçekleştiren saldırgan tüm veriler için 1.4231 Bitcoin talep ediyor. Saldırgan, yaptığı açıklamada bazı firmaların fidye ödemeyi kabul ettiğini ve o şirketlere ait kullanıcı bilgilerini satışa çıkarmadığını belirtti. Bilgilerin içinde kullanıcı isimleri, e-posta adresleri, şifre ve IP adresi bilgileri bulunuyor.

Araştırmalara göre mobil cihazlara yönelik saldırılar, bir yılda neredeyse iki kat artış gösterdi. 2017’de 66,4 milyon saldırı düzenlenirken 2018’de bu rakam 116,5 milyona çıktı. Araştırmacılar hack’lenemez denilen Pandora ve Viper marka araç alarm sistemlerinde güvenlik açığı buldu. Alarmı devre dışı bırakmak dışında kapı kilitleri de açılabiliyor. Samsung Galaxy S10'un yüz tanıma sisteminin, telefon kullanıcısının fotoğrafı veya videosu ile atlatılabildiği tespit edildi. S10, iPhone'daki gibi yüz tanıması için herhangi bir sensör kullanmıyor. Aralık ayında dünyadaki fidye yazılımı saldırılarının yüzde 4’e yakını Türkiye’de gerçekleşti. Bu oran ile Türkiye, Avrupa’da en çok saldırıya uğrayan ülke oldu. Şubat ayında tespit edilen 19 yıllık WinRAR açığı sonrasında.sadece bu güvenlik açığını istismar etmek için 100'den fazla zararlı yazılım geliştirildi.

Siber Güvenlik Bülteni - Nisan 2018

WannaCry Geri Döndü! Geçtiğimiz sene dünyanın bir çok noktasında büyük zararlar veren WannaCry geri döndü. Avustralya’da 55 trafik kamerasını devre dışı bırakan ve ve Redflex tarafından yönetilen hız kameralarını bozduğu tespit edilen WannaCry Asya’da da etkilerini gösterdi. Geçen sene, günde ortalama 1000 araç üretilen Honda’nın Japonya’daki Sayama tesislerini etkileyerek üretimin durdurulmasına sebep olan WannaCry, sadece Sayama tesislerinin değil bu sene sistemlerinde güncelleme yapmak isteyen Kuzey Amerika, Çin, İngiltere, Fransa, Hindistan ve Avrupa bölgelerindeki fabrikalarının da saldırından etkilendiği duyurdu. Sayama’da yer alan fabrikalar içerisinden etkilenen sadece Honda’nın üretim tesisiymiş gibi gözükse de Renault ve Nissan’ın da geçtiğimiz ay WannaCry’dan aynı şekilde etkilendiği öğrenildi.

1.5 Milyar Hassas Dosya İnternette! Güvenlik araştırmacıları açık kaynak kodlu bir internet sitesinde tıbbi taramalardan patent uygulamarına, kadar 1.5 milyar civarında çevrimiçi dosyanın görünür halde olduğunu belirtti.   Açıkta kalan verilerin büyük çoğunluğunu kredi kartı, bordo ve vergi iadesi dosyalarının oluşturduğu belgelerde 2.2 milyon vücut taramasının da incelemeye açık olduğu gözlendi. Verilerin yaklaşık %7’si yanlış yapılandırılmış Amazon bulut servisi işlem depolama alanında yer alıyor.  Sorunlu dosyalardan en çok etkilenen ülke, %23 ile Amerika oldu.  Korumasız olarak internette bulunan bu dosyalar, Panama Papers belgelerinden 4bin kat daha büyük ve 12 petabayt boyutunda.

20 Milyon Kullanıcı, Tehlike Altında! Google Chrome için geliştirilen ve içinde zararlı yazılım barındıran 5 adet sahte eklenti, 20 milyon kişi tarafından indirildikten sonra Google tarafından kaldırıldı. Google, AdRemover for Google Chrome, uBlock Plus, Adblock Pro, HD for YouTube, Webutation isimli uygulamaları mağazasından kaldırarak zararlı eklentinin daha fazla kişiye yayılmasını engelledi. AdRemover for Google Chrome eklentisi 10 milyondan fazla kişi tarafından indirildi. Fidye Virüsü, Ukrayna Enerji Bakanlığı'nı Vurdu! Ukrayna, siber saldırılardan etkilenmeye devam ediyor. Geçtiğimiz senelerde de siber saldırıların hedefinde olan Ukrayna Enerji Bakanlığı’nı, bu sefer de websitesinin hacklendiğini açıkladı. Ukrayna Enerji Bakanlığı’nın sitesini hackleyen hacker’lar 0.1 bitcoin talep ettiler. Saldırıda diğer hükümet sistemlerinin veya ülkenin devlet enerji şirketlerini etkilemediği açıklandı.

Fidye Virüsleri Kılık Değiştiriyor! 2016 yılında adından sıkça bahsettiren, 2017 yılında WannaCry ve NotPetya saldırıları ile hafızalarımıza kazınan fidye virüsleri saldırıları bulunduğumuz yıl içerisinde sessizliğini korurken uzmanlar, hacker’ların yeni saldırılar üzerinde çalıştıklarını belirtti. Indiana’da bir hastanenin ve Atlanta’da devlete ait birçok bilgisayar sisteminin SamSam saldırısından etkilenmesi, WannaCry’ın hala etkilerinin gözükmesi bazı fidye yazılımı ailelerinin sürekli kullanılacağını ve geliştirileceğini gösteriyor. Kripto para madenciliğindeki yükseliş, fidye virüsü saldırılarının önüne geçse de kurumlara yönelik yapılan fidye virüsü saldırılarında artış söz konusu. Hacker’lar Otel Odamızda! Tomi Tuominen ve Timo Hirvonen isimli iki hacker İsveç’li kilit üreticisi Assa Abloy’un geliştirdiği ve 166 ülkede 42.000’den fazla tesiste kullanılan kilit sistemini “master key” ismini verdikleri anahtar ile açmayı başardılar.  Hacker’lar özel bir yazılıma sahip mini bilgisayarla kablosuz radyo frekansının tanımlanıp manyetik karttan veri çalabildiklerini açıkladı. Geçtiğimiz sene benzer bir olay Avustralya'da yaşanmış ve 4 yıldızlı Romantik Seehotel Jäegerwirt adındaki otelin sistemi hackerlarca ele geçirilmişti. Bilgi işlemdeki bir bilgisayara fidye virüsü bulaştıran bilgisayar korsanları, müşterilerin odalarında kilitli kalmasına neden olmuştu.

Outlook’taki Açık, Bilgisayarınızın Ele Geçirilmesi İçin Yeterli! CERT Koordinasyon Merkezi’nden Will Dorman RTF‘li (Zengin Metin Formatı) e-posta açıldığında OLE sayesinde SMB bağlantısını otomatik olarak başlatan bir güvenlik açığı tespit etti. Saldırgan, kendisinin oluşturduğu bir SMB sunucusu üzerinden yükleme yapan, içerisinde OLE bağlantısı yer alan RTF dosyasını e-posta olarak kurbana gönderdiğinde bu güvenlik açığından yararlanabiliyor. Cert koordinasyon Merkezi “ Bu saldırı, kullanıcının IP adresini, alan adını, kullanıcı adını, ana makine adını ve parola hash’ini sızdırıyor olabilir. Kullanıcının parolası yeterince karmaşık değil ise saldırgan kullanıcı parolasını kısa sürede çözülebilir.” açıklamasını yaptı. Henüz yapmadıysanız CVE-2018-0950 Microsoft güncellemesinin yapınız.  Gelen ve giden SMB için kullanılan portları (445/tcp, 137/tcp, 139/tcp, 137/udp ve 139/udp) engelleyin. NTLM Single Sign-on kimlik doğrulamasını engelleyin. Karmaşık parolaları kullanın. Böylece parola hash’leriniz çalınsa bile kolayca kırılamazlar.

Android Cihazlar Monero Madenciliğinde Kullanılıyor! Android Nougat ve sonraki sürümler dışındaki işletim sistemlerindeki bir açıktan yararlanan kötü amaçlı bir yazılım, Android işletim sistemli akıllı cihazların CPU’larını Monero madenciliği için kullanıyor. Zararlı yazılım, cihaz yöneticisi özelliğinin kaldırılmasını önlemek için, kullanıcı bu işlemi yapmak istediğinde cihazın ekranını kilitleyerek parola soruyor. Daha önce cihazların bataryalarını patlatan Loapi Monero’ya benzetilen zararlı yazılım Hindistan ve Çin’de birçok kullanıcıyı etkilemiş durumda. Bugüne kadar HiddenMiner yazılımı ile birlikte 5.360 Dolarlık  bitcoin üretildi. Android Remote Trojan Android işletim sistemindeki bir güvenlik açığından yararlanan kötü amaçlı bir yazılım ile birçok bilgi çalınabilir hale geldi. Sisteme sızmak için gömülü bir Microsoft denklem nesnesini kullanarak, Office’teki CVE-2017-11882 güvenlik açığından yararlanmaya çalışan RTF dosyası, bitcoin ve Çin hakkında bilgi veren Korece azılmış bir belgeden oluşuyor. KevDroid ismi verilen bu zararlının ilk versiyonu yüklü uygulamalar, telefon numarası, telefonun benzersiz kimliği, konum, kayıtlı rehber bilgileri, depolanmış SMS, arama kayıtları, kayıtlı e-postalar ve fotoğraflar gibi bilgileri toplayabiliyor. Uzmanlar, büyük bir KevDroid saldırısının siber casusluğa yol açabileceğini söylüyorlar.

İsrail’in Ben Gurion Üniversitesi’nde yer alan araştırmacılar geçtiğimiz senelerde bir bilgisayardan ışık, ses, ısı, elektromanyetik, manyetik ve ultrasonik dalgalar yoluyla veri çalmak için çeşitli bant dışı iletişim yöntemlerini denemişti. Geçtiğimiz hafta ise akım hattındaki dalgalanmaları kullanarak bilgisayarların CPU kullanımını kontrol etmeyi başardıklarını açıkladılar.   Son Zamanarda En Çok Görülen 5 Popüler Zararlı CryptoLoot: Kurbanlarının CPU ve GPU gücünü kripto para madenciliği için kullanan, kullanıcı bilgisi olmadan bilgisayarlara yüklenen zararlı yazılım. RoughTed: Kötü amaçlı web siteleri, adware, exploit kitleri ve fidye yazılımları dağıtmak ve işletim sistemine saldırmak için kullanılır. Fireball: Kullanıcıların kimlik bilgilerini çalmaktan, cihazlarına başka zararlı yazılım indirmeye ve arama motorlarını sahte arama motorlarına dönüştürerek web trafiğini kontrol edip reklam geliri elde etmek için manipüle eden zararlı yazılım. LokiBot: Özellikle popüler bankacılık uygulamalarının arayüzlerini kopyalayarak kullanıcıların bilgilerini çalan, fark edilip yönetici izinleri kaldırıldığında fidye virüsüne dönüşerek mobil cihazı şifreleyip fidye talep eden Android işletim sistemli cihazlarda gözüken zararlı. Triada: Android işletim sisteminde yer alan, root haklarını kullanarak, sistem dosyalarıyla yer değiştiren modüler bir Trojandır. Genellikle cihazın RAM’inde bulunur ve önce sistem hakkında bilgi toplar. En büyük özelliği ise SMS’leri kontrol ederek gelenleri filtreleyebilmesi.