sosyal mühendislik etiketine sahip kayıtlar gösteriliyor. Tüm kayıtları göster
sosyal mühendislik etiketine sahip kayıtlar gösteriliyor. Tüm kayıtları göster

07 Haziran 2022

Siber Güvenlik Bülteni - Mayıs 2022

 

Bültenimizin Mayıs ayına ait başlıkları; 
    • Hatırlatma! Siber Güç Türkiye'de Buluşalım
    • Follina, Microsoft Zeroday Zafiyeti
    • Türkiye Havayolu Şirketi Verileri Açığa Çıktı
    • Mobil Uygulamalarla Savaş Devam Ediyor
    • Öğrenci Verileri İfşa Oldu
    • Sosyal Mühendislik Saldırıları Hız Artırıyor

    Siber Güç Türkiye'de Buluşalım

    “Siber Güç Türkiye”
    Yatırımcı / Girişimci Buluşmaları ve İş Geliştirme Etkinliği


    TÜBİTAK Marmara Teknokent'te 8 Haziran 2022 Çarşamba günü saat 08:00 – 16:00 saatleri aralığında bizlerin de katılımıyla “Siber Güç Türkiye” Yatırımcı / Girişimci Buluşmaları ve İş Geliştirme etkinliği gerçekleştirilecektir.
     

    Etkinlikte bizler de ISR Bilgi Güvenliği olarak ev sahipliğinde bulunacağız.

     

    Uzun bir aradan sonra tekrar yüz yüze gelecek olmak ise ayrıca heyecan verici! Çay, kahve ve siber güvenlik üzerine sohbet etmek isteyen herkesi bekleriz.
     

    HABERLERİ BİR DE BİZDEN DUYUN!

    Etkinlikte sizlere sunucularınızı, hatta firewall'unuzu dahi korumaya alan, en çok korktuğunuz tehditlere kökünden çözüm sunan en son TINA çözümümüz hakkındaki çalışmalarımızı ve mevcut Anti-Threat serisi ürünlerimizdeki gelişmeleri de anlatacağız.

    Yürüttüğümüz bu çalışmalarımıza yönelik fikirleriniz bizler için çok değerli; hem sizleri dinlemek hem de bizden haberleri paylaşmak üzere standımıza da bekleriz.

    Katılım tüm kurum / kişilere açık ve ücretsizdir.

    SİBER GÜÇ TÜRKİYE NEDİR?


    “Siber Güç Türkiye” Yatırımcı / Girişimci Buluşmaları ve İş Geliştirme etkinliğinde, şirketlerin iş birliğini arttırma ve iş geliştirme süreçlerinin yönetilebilmeleri için özel etkileşim alanları oluşturulacak, siber güvenlik firmalarının projelerini sunabileceği özel buluşma alanları sağlanacaktır.

    Katılım tüm kurum / kişilere açık ve ücretsizdir.

    Etkinliğe girişimci, firma veya yatırımcı olarak katılım sağlamak isteyenler www.sibergucturkiye.org adresinden başvuru yapabileceklerdir.

    Follina, Microsoft Zeroday Zafiyeti

    Microsoft Office belgeleri ile tetiklenebilen, MSDT (Microsoft Support Diagnostic Tool) kullanarak powershell üzerinde uzaktan komut çalıştırmaya olanak sağlayan, topluluk tarafından "Follina" olarak adlandırılan kritik bir zafiyet tespit edildi. Follina güvenlik açığı CVE-2022-30190 olarak tanımlandı.

    Araştırmacılar analiz yapılan örneklerle Follina'nın daha önce Rusya, Hindistan, Filipinler, Nepal gibi noktaları hedeflediğini gördüler. Microsoft tarafından zafiyetin çok ciddiye alınmaması ve yeterli açıklama yapılmaması ise kullanıcılarda bir çok soru işareti bıraktı.

    Şu an protokolün yer aldığı aktif tüm sistemler etkilenmektedir.

    Follina zafiyetini önemli kılan diğer bir husus ise, Microsoft Office macroları devre dışı olsa bile çalışabilir olmasıdır. Henüz yayınlanmış resmi bir güncelleme mevcut değildir. Bunun için MSDT URL protokolünün devre dışı bırakılması önerilmektedir (Bu protokolü devre dışı bırakana kadar, gelen e-postalardaki office dosya eklerine karşı çalışanlarınızı lütfen uyarınız);

    MSDT URL protokolünü devre dışı bırakma;
    1. Cmd'yi yönetici olarak çalıştırın, eğer sisteminizde Cmd mevcut değilse Powershell'i yönetici olarak çalıştırın.

    2. MSDT protokol anahtarını yedeklemek için;
    reg export HKCR\ms-msdt D:\Backup\msdt. reg komutunu çalıştırın.

    3. MSDT protokolünü devre dışı bırakmak / silmek için;
    reg delete HKCR\ms-msdt

    4. MSDT protokolünü tekrar devreye almak için 2. adımda oluşturduğunuz yedek dosyası üzerinden çift tıklayarak veya komut satırından
    reg import D:\backup\msdt. reg ile tekrar kayıt defterine ekleyebilirsiniz.

    Türkiye Havayolu Şirketi Verileri Açığa Çıktı

    Küçük bir Türk Havayolu şirketi, AWS (Amazon Web Services) üzerindeki yanlış yapılandırmalar sonucunda uçuş verileri ve kişisel bilgilerin de içerisinde olduğu 6.5 TB veri sızdırdı.

    Açığa çıkan dosyalar 23 milyon adedi bulmuş durumda, içerisinde hassas uçuş verileri, uçuş çizelgeleri, revizyonlar, sigorta belgeleri, uçuş öncesi kontrollerde tespit edilen sorunların ayrıntıları ve mürettebat hakkında kişisel veriler bulunmaktadır.

    Yanlış yapılandırılan sunucu üzerinde Pegasus Havayolları tarafından geliştirilen EFB yazılımının da kaynak kodlarının açığa çıktığı, düz metin halde parolalar ve gizli anahtarlar da tespit edildi. Bu anahtarlar ve parolalar kullanılarak yazılımda manipülasyon yapılabilir hale gelmiş oldu.

    Durum ile alakalı yetkilileri bilgilendiren uzmanlar yaklaşık 3 haftada gerekli iyileştirmelerin yapıldığını açıkladı. Henüz kayıtlara girmiş bir istismar girişimi bulunmamaktadır.

    Mobil Uygulamalarla Savaş Devam Ediyor

    Bilgisayarlar üzerinde bir uygulama kurmak eskiden çoğu kişi için çok zordu ve çevresinden destek almak zorundaydı. Mobil cihazlar ile uygulamalar da artık hayatımızın vazgeçilmezi haline geldi ve artık uygulamalara ulaşmak ve indirip kurmak akıllı telefon kullanan herkesin destek ihtiyacı olmadan ve hızlıca halledebildiği bir çözüm halinde sunuluyor. Durum böyle olunca kullanıcıların büyük çoğunluğu uygulamaları sorgulamadan yükleyebiliyor, en önemli sebebi de uygulama marketlerinin arkasında Apple, Google gibi büyük firmaların bulunmasında yatıyor.

    Bu konuda otorite olarak sayılabilecek Apple ve Google'da güvenli uygulamaları sunmaya yönelik birçok yatırım ve iyileştirmeler yaparak dolandırıcılığa açık uygulamaların önünü kesmeye devam ediyor. Fakat bu yatırımlar şu an yetersiz kalıyor ve kullanıcılar bu tür uygulamalar ile tamamen baş başa kalıyor. Siber Farkındalık ise burada kullanıcıyı bu tür dolandırıcılıklara karşı savunma adımında öne geçiriyor.

    2021 yılı içerisinde dolandırıcılığa teşvik ettiği düşünülen pek çok uygulama yayından kaldırıldı. Apple bu konuda 1.6 milyon uygulamayı marketlerinden kaldırırken, Google 1.2 milyon uygulamayı marketlerinden kaldırdı.

    Banka bilgileri, sağlık bilgileri, özel ve hassas bilgileri gibi değerli verilerin barındırıldığı telefonlara herhangi bir uygulama indirirken erişim talepleri dikkat ile incelenmeli ve mümkün olduğu kadar ihtiyaç duyulan uygulamaların yüklenilmesine dikkat edilmelidir.

    Öğrenci Verileri İfşa Oldu

    Şikago'da yapılan fidye yazılımı saldırısı sonrasında devlet okullarında 500.000 öğrenci ve 60.000 çalışanın verileri ifşa oldu. Öğrenci ve öğretmen performans analiz sistemi Battelle for Kids uğradığı saldırı sonucunda öğrenci verileri ifşa oldu, sistemde kayıtlı yaklaşık 267 okul ve 2.8 milyon öğrenci bulunmakta.

    Yasalara göre veri ihlalinin hemen bildirilmesi gerekmesine rağmen, ihlalin anlaşılması ve bildirilmesi 4 ayı buldu. Bu saldırıdan bağımsız olarak Mart ayında ise 870.000 öğrenci verileri ifşa edildi.

    Bu veri ihlalleri sonrasında birçok öğrencinin sistemlere erişim bilgileri satılmaya başlandı. Bu tür saldırılar ülkemizde de gerçekleşiyor fakat tespit edilmesi çok uzun sürmekle beraber, tespit edilemeyen de çok fazla ihlal mevcuttur.
    Veri çalmaya odaklı ve ileri seviye saldırıları engellemek için TINA Security ürünlerini inceleyebilirsiniz.

    Sosyal Mühendislik Saldırıları Hız Artırıyor

    Sosyal mühendislik türü saldırılar ve bunlara dair örnekler artık birçok kullanıcı tarafından bilinmekte, fakat yine de bir firma için en ağır sonuçlara sebep olmaya devam ediyor. Covid-19 ve uzaktan çalışmayla beraber sosyal mühendislik saldırıları da %65 artmış durumda. Bu tür saldırılar kurumları da ciddi anlamda zora sokmaktadır. Kurumsal e-postaların ele geçirilmesi (BEC) ile kurumlara verilen maddi zararın boyutu ciddi anlamda artmaktadır.

    2016-2021 tarihleri arasında küresel finans kurumları tarafından bildirilen kayıp 43 milyar doları aştı. BEC saldırıları ile gerçekleştirilen saldırı senaryoları da daha etkili ve gerçekçi olmaktadır. Bu yüzden kurum çalışanların farkındalığı halen savunmada ön plana çıkmaktadır.

    Kullanıcılarınız farkındalığını test etmek ve farkındalığını artırmak için ISR Bilgi Güvenliği hizmetlerini inceleyebilirsiniz.

    10 Ocak 2022

    Siber Güvenlik Bülteni - Aralık 2021

     

    Bültenimizin Aralık ayına ait başlıkları; 
    • 2021 Popüler Siber Tehditler
    • KMSPico Gözünü Kripto Cüzdanlara Dikti
    • Siber Hayatta Omicrona Dikkat
    • QNAP NAS Cihazları Kripto Madencilerinin Yine Hedefinde
    • Siber Saldırganlar Pasaportlarımızı Hedef Aldı

    2021 Popüler Siber Tehditler

    Gerçek dünyamızda 2021'de pandeminin etkileri devam ederken, aynı hareketlilik siber dünyada da hızını sürdürdü. 2021'de yerli ve yabancı çok büyük şirket yine siber saldırılara uğradı ve bunun sonuçları hem şirketleri hem de bizleri etkiledi.

    Bu yıl süresince gerçekleşen saldırılardan gördük ki, geçtiğimiz 2020 yılında yaşanan saldırılardan ders aldıklarımızın haricinde,  halen ders alamadığımız birçok saldırıya maruz kalınmış. 2022 yılının geçmiş yıllarda yaptığımız hatalardan uzak, temel dinamiklerin dikkate alındığı, farkındalığı yüksek ve daha güvenli bir yıl olmasını dileriz.



    2021'in Popüler Tehditleri

    Fidye Yazılımları

    Sistemlerimize bulaştıktan sonra dosyalarımızı etkileyen Fidye yazılımları 2021'de zirvedeki yerini koruyor ve öyle görünüyor ki 2022'de de zirvede kalacak. Bir önceki yıla göre %93 oranında artarak hızla büyümeye devam ediyor.

    Bulut Zafiyetleri
    Bulut çözümlere olan ilgimiz her geçen gün artmaya devam ediyor; fakat 2021 yılında yine yanlış yapılandırmalar sonucunda birçok kurum verisi ifşa oldu. Unutmamak lazım ki bulut sistemler genel çözümleri sunan bir teknolojidir, doğru, özgünleştirilmiş olarak konumlandırılması gerekmektedir. Doğru konumlandırılmayan hiçbir sistem sizlere güvenlik vaat edemez.

    Oltalama Saldırıları
    Kimlik avı saldırıları kurumları hedefleyen en büyük risklerden biri olmaya devam ediyor, uzun yıllardır hayatımızda olan oltalama saldırıları günümüzde de hâlâ en çok kullanılan saldırı yöntemlerinden birisidir. Kullanıcı odaklı olduğundan, farkındalığı düşük kullanıcılar hedeflendiğinde başarı oranı çok yüksektir. Veri ihlallerinin %36'sı oltalama saldırıları sayesinde gerçekleşmektedir ve önceki yıla göre %22 oranında bir artış gözlemlenmektedir.

    Sosyal Mühendislik
    Kullanıcıyı kandırmak ve manipüle etmek sistemde başarı sağlamak açısından çok değerli sonuçlar üretir. Zira güvenlik sistemlerinin ele geçirilmiş olan bir kullanıcının hareketlerini gerçek kullanıcıdan ayırt etmesi oldukça zordur.

    Gecikmeli Yamalar - Yama Yönetimi
    Birçok saldırı yaması yapılmamış yazılımlar üzerinden başlar. Yazılımlarda çıkan zafiyetler sonucu, direkt hedef haline gelen sistemler saldırıya maruz kalır. Bu yüzden yama yönetimi ciddi bir süreç takibi gerektirir. Yamaların hiç uygulanmaması veya gecikmeli olarak uygulanması saldırıların daha kolay başarıya ulaşmasını sağlamaktadır.

    IoT Zafiyetleri
    IoT hayatımızda vazgeçilmezlerden biri haline geldikçe hackerların da dikkatini çekmeye devam ediyor. Artık kullandığımız birçok cihaz internete bağlanıp, birbirleriyle iletişime geçiyor. Kullanış kolaylığından ötürü birçok kurum IoT'leri süreçlerine katmaya devam ediyor. Bu kullanım kolaylıkları ise riskleri ile birlikte geliyor. Dünyanın en büyük DDoS saldırılarının IoT'ler kullanılarak gerçekleştirilmiş olmasından görüldüğü kadarıyla bu yıl olduğu gibi yeni yılda da IoT'ler saldırı vektörleri olarak karışımıza çıkacaktır. Fortune Business raporuna göre 2026 yılında IoT pazarının 1.1 trilyon dolara ulaşması bekleniyor.

    Kripto Hırsızlığı
    Siber suçlular tarafından kripto para madenciliği için insanların cihazlarının (bilgisayarlar, sunucular, akıllı telefonlar ve tabletlerin) yetkisiz olarak kullanılmasıdır. Kripto para madenciliği çok yüksek işlem gücü gerektirmektedir, siber suçlular da bu güce maddi olarak ulaşamadığından hedef seçtikleri kurbanların sistemlerini bu iş için kullanmaktadır. Birçok kurum satın aldığı sistemlerde performans kaybı olduğunu gözlemlemekte ve bunun sıradışı nedenlerinden birinin de kripto para madenciliği için kullanılan zararlı yazılımlardan kaynaklı olduğu bilinmektedir. Kısa vadede tespit edilebilen performans kaybının yanı sıra enerji maliyetinin artması, cihazlarda aşınmanın hızlanarak arıza riskinin artması gibi orta vadeli zararları da büyüktür.

    Form Hırsızlığı
    Form hırsızlığı genellikle bir web sayfasındaki forma JavaScript kodu enjekte edilmesi ile, kullanıcının forma bilgileri girdiği esnada kötü amaçlı kodun bu bilgileri saldırganların belirlediği yere göndermesi ile gerçekleştirilmektedir. Genellikle bu tür saldırılar, e-ticaret firmalarının ödeme sayfası üzerinde gerçekleştirilir. İnternet Güvenliği Tehdit raporuna göre her ay ortalama 4.800 web sitesinde form hırsızlığı koduyla güvenlik ihlal ediliyor.

    3. Parti (Taraf) Zafiyetleri
    Birçok kurumda her süreç için kendi başına teknik çözüm geliştirme imkânı bulunmamaktadır ve bu ihtiyaç dolayısıyla farklı firmalardan ihtiyaçlarına özgün çözümleri bularak tedarik etmektedir. Bir başka firmadan temin edilen bu çözümlerin de zafiyetleri aynı zamanda kullanıcı kurumun da bir zafiyeti haline gelmektedir ve bu ürünler aracılığıyla sakladığınız veya işlediğiniz veriler ihlal edilebilmektedir. Her firmanın güvenlik süreçlerinin aynı olmadığı dikkate alınarak, ürün temin edilen 3ncü taraf işletmelerin de güvenlik süreçleri de gerek duyulan düzeyde irdelenmelidir.

    VPN Sistemleri
    Pandemiyle birlikte uzaktan çalışmaya hızlı bir geçiş yaşandı ve birçok kurum bu geçişlere hazırlıksız yakalandı. VPN kullanmaya yeni başlayan birçok kurum oldu. Bu yıl VPN servisi sunan firmalar açısından çok zorlu bir yıl oldu ve birçok VPN servis ve ürünlerinde çıkan zafiyetler sonucunda kurumsal ağlara da erişimler elde edildi.

    KMSPico Gözünü Kripto Cüzdanlara Dikti

    KMSPico, lisansları hileli bir şekilde etkinleştirmek için Windows Anahtar Yönetim Hizmetleri (KMS) sunucusunu taklit eden lisans hırsızlığı dünyasında popüler bir Microsoft Windows ve Office ürün etkinleştiricisidir. Saldırganlar, kripto para cüzdanlarını ele geçirmek için değiştirilmiş KMSPico'yu tekrardan piyasaya sürüyor!

    KMSPico kullanan bireysel kullanıcı haricinde, kurumsal şirketler de sanıldığından çok fazladır. Maalesef Türkiye'de de birçok kurum yeterli sayıda lisansı bütçeleyemediği için KMSPico üzerinden ürünlerini etkinleştirerek kullanmaktadır. Google'da arama yaptığınızda fazlasıyla Official (Resmi) KMSPico dağıtımı yapan alanadlarıyla karşılaşabilirsiniz.

    KMSPico kurarken aynı zamanda paralelinde Cryptbot adlı zararlı yazılımı da yüklenmektedir ve arka planda yüklendiğinden kullanıcı bunun farkına varamamaktadır. Aynı zamanda zararlı yazılım kendisini test etmek isteyen sandbox sistemlerine karşı da dirençlidir, çalıştırmamaktadır.

    Zararlı yazılımın veri toplayabildiği bazı uygulamalar
    • Atomic cryptocurrency wallet
    • Avast Secure web browser
    • Brave browser
    • Ledger Live cryptocurrency wallet
    • Opera Web Browser
    • Waves Client and Exchange cryptocurrency applications
    • Coinomi cryptocurrency wallet
    • Google Chrome web browser
    • Jaxx Liberty cryptocurrency wallet
    • Electron Cash cryptocurrency wallet
    • Electrum cryptocurrency wallet
    • Exodus cryptocurrency wallet
    • Monero cryptocurrency wallet
    • MultiBitHD cryptocurrency wallet
    • Mozilla Firefox web browser
    • CCleaner web browser
    • Vivaldi web browser

    Siber Hayatta Omicrona Dikkat

    Pandemi ile beraber her geçen gün yeni varyantların adı ortaya çıkmaya devam ediyor. Bu varyantların hızlı yansımalarını siber dünyada da, saldırılarda görüyoruz. Her yeni isim, yeni bir saldırı türevi olarak karşımıza çıkıyor. Yeni saldırı Omicron üzerinden kurgulandı. Onlarca üniversite Omicron kaynaklı haberler üzerinden kullanıcı adı ve parolası hırsızlığına maruz kaldı.

    Bu tür saldırılarda ağırlıklı olarak COVID-19 üzerine araştırma yapan üniversitelerin hedeflenmesi, saldırının planlı olduğunu da ortaya koyuyor. Kasım ayı sonu itibarıyla Omicron'un çok fazla konuşulması, saldırı vektörlerinde Omicron'un sıklıkla kullanılmasına sebep oldu. Bu saldırı senaryoları genellikle Office 365 portalı veya üniversiteye özel portal sayfaları üzerinden kimlik avı saldırılarını içermektedir.

    Oltalama saldırıları kurumları en çok tehdit eden risklerin başında gelmektedir. Kurumların donanım ve yazılım yatırımları her geçen gün ciddi bir artış gösterirken, kurumlar çalışanların farkındalığının eksik olması veya dikkat verememesinden dolayı milyonlarca maddi zarara uğramaktadır. Bu tür riskleri ölçmek için Sosyal Mühendislik Testi hizmetleri alabilir, çalışanlarınızın farkındalık durumlarını ölçebilirsiniz, ayrıca farkındalığı artırmak için de kurumunuzda Siber Güvenlik Farkındalık Eğitimleri uygulayabilirsiniz. Kurum içerisinde herkesin farkındalığının artmış olması ile yazılım ve donanıma yapılan yatırımın sürekliliği sağlanır, sonuç olarak güvenliğin sağlanması; performansın, verimliliğin artması, maliyetlerin düşürülmesine de yardımcı olur.

    QNAP NAS Cihazları Kripto Madencilerinin Yine Hedefinde

    Kripto para madencileri her geçen gün farklı zararlı yazılımlar ile kripto para madenciliğini kurbanların sistemlerini izinsiz kullanarak yapmaya devam ediyor. Yeni zararlı yazılımın ismi Bitcoin Miner [oom_reaper] olarak adlandırıldı ve kurban sistemlerin performanslarını ortalama %50 etkilemektedir. Bu saldırının yeni kurbanı ise tekrar QNAP NAS oldu. QNAP dosya paylaşımı, sanallaştırma, depolama yönetimi ve gözetim uygulamaları için kullanılan Ağa bağlı depolama cihazları üreten bir şirkettir.

    QNAP yaygınlığı dolayısıyla bu tür saldırılara farklı zararlı yazılımlar tarafından maruz kalmaya devam ediyor. Bundan önce de eChOraix Ransomware, Muhstik Ransomware veya QSnatch gibi zararlı yazılımlarında hedefi haline gelmişti, CVE-2020-2506 ve CVE-2020-2507 zafiyetlerinden faylanmışlardı. Yeni zararlı yazılımın henüz hangi zafiyeti kullandığı ise tespit edilemedi.

    QNAP Tarafından Önerilen, Etki Azaltma Önlemleri

    • QTS ve QuTS hero en son sürüme güncellenmelidir.
    • Ağınızda zararlı yazılım analizi yapabilen sistemlerle takip etmelidir. (TINA)
    • QTS ve QuTS hero > App Center > Malware Remover son sürümünü indirebilirsiniz.
    • Yönetici ve kullanıcı parolalarını güçlendirmelidir.
    • Tüm uygulamalar en son sürüme güncellenmelidir.
    • Vlan segmentasyonu yapılmalı ve QNAP dış erişimlere kapatılmalıdır.

    Siber Saldırganlar Pasaportlarımızı Hedef Aldı

    Onfido'nun 2022 Identity Fraud Raporuna göre, kimlik sahtekârlığında en çok saldırıya uğrayan kimlik belgesi biçiminin Pasaportlar olduğu açıklandı. Ayrıca raporda belirtildiğine göre sahteciler gerçek bir kimliği taklit etmek yerine, sıfırdan bir belge yaratmayı daha çok tercih ediyorlar.

    Bunun yanı sıra COVID-19 ile küresel anlamda başlatılan uygulamalara göre, ülkeler kendi vatandaşlarını korumak için normal fiziksel pasaportlar dışında Aşı Kartı veya Dijital Aşı Sertifikaları gibi yeni kimlik türlerini üreterek ibrazlarını da ülkeye girişlerde zorunlu tutuyor. Hatta birçok ülke seyahat, konser alanları, sinema, restoran gibi kapalı alanlarda aşı kimliği zorunluluğu getirilmiş durumda.

    Şu an illegal forumlar üzerinde sahte aşı kimlikleri ortalama 34 dolara satılmaktadır ve oldukça ciddi rağbet gördüğü de söylenebilir.

    01 Mart 2021

    Siber Güvenlik Bülteni - Şubat 2021

     

    Cisco'da Kritik Zafiyet

     

    Cisco'nun siteler arası politika yönetici yazılımında kritik bir güvenlik açığı tespit edildi. Güvenlik açığı uzaktaki bir kullanıcının kimlik doğrulatmayı atlatabilmesine olanak sağlamaktadır. Güvenlik açığı, Cisco ACI Multi-Site Orchestrator (MSO)'da tespit edilmiştir.

    Güvenlik açığı (CVE-2021-1388), CVSS güvenlik açığı derecelendirmesinde 10 üzerinden 10 almıştır. Ayrıca zafiyet ACI MSO 3.0 sürümlerini etkilemektedir. Cisco'dan yapılan açıklamada henüz tespit edilen bir istismar kodundan veya kötüye kullanımından haberdar olunmadığı söylendi. Ürün kullanıcılarının zafiyeti engellemek amaçlı Cisco ACI MSO 3.0(3m) sürümüne güncellemeleri gerekmektedir. Ek olarak güvenlik açığı ve öneriler hakkında Cisco güvenlik danışma sayfasını buradan ziyaret edebilirsiniz.

    Kargo Firması Oltalama Saldırısı

    Her geçen gün oltalama saldırıları farklı bir plan ile hayatımızda yer almaya devam ediyor. Bu seferki saldırıda yaklaşık 10.000 kişi hedeflenmiş ve oltalama saldırı kurgusu DHL Express, FedEx gibi kargo şirketleri taklit edilerek gönderilmiş. Pandemiyi düşününce kargo firmalarını taklit etmeleri gayet zekice bir planlama olduğunu söyleyebiliriz. Saldırının amacı; kullanıcıların kurumsal e postalarını ele geçirmek.

    Gönderilen e-posta içerisinde yönlendirme amaçlı linkler bulunmaktadır,​bu linklerin eposta filtrelerine takılmadan ulaşabilmesi için, kimlik avı sayfalarının Quip ve Google Firebase güvenli adresleri üzerinde barındırıldığı tespit edilmiştir. Bu şekilde kötü niyetli sayfaların ve formların, eposta güvenlik servislerini Bypass etmesi sağlanmıştır.

    Senaryo şu şekilde planlanmıştır, kullanıcı gelen maile tıkladığında link onu Quip üzerinde bulunan sahte FedEx belgeleri sergileyerek, detaylarının görülmesi için kurbanı detay sayfasına yönlendirmektedir. Kurban buraya tıkladıktan sonra ise Google Firebase üzerinde kurgulanan sahte Microsoft giriş ekranına yönlendirerek kurbanların kullanıcı bilgilerini ele geçirmektedir. Quip ve Google Firebase ücretsiz versiyonları, saldırganların işini kolay ve hızlıca yapmasına olanak sağlamaktadır.

    3.2 Milyar Kullanıcı Adı ve Parola

    Popüler bir hacking formunda benzersiz ve açık metin olarak derlenmiş 3,2 milyardan fazla kullanıcı adı ve parola ile birlikte giriş bilgisi yayınlandı. Bu bilgilerin daha önceki sızıntılardan elde edilen, Linkedin, Netflix, Bitcoin gibi hesap bilgilerinden derlendiği düşünülüyor.

    Bu ihlal dosyasının adı COMB "Compilation of Many Breaches” (Birçok İhlalin Derlenmesi) olarak yayınlanmış ve parola korumalı bir arşiv dosyası olarak paylaşılmıştır. Yapılan incelemelerde uzmanlar, yeni bir ihlal içermediğini ve çoğunluğunun önceki yıllardan gelen ihlallerin bir noktada toplandığını iddia etti. Ayrıca uzmanlar yapılan incelemelerde birçok kullanıcı adı ve parolanın hâlâ geçerli olduğunu ve kullanılabilir olduğunu belirtti. Bunun yanında ihlalin sadece bir liste değil, etkileşimli veri tabanı olması hackerler istediği kullanıcı adı ve parolaya hızlıca ulaşmasına olanak sağlamakta ve riski bir adım ileriye taşımaktadır.

    VMware Kritik Zafiyet

    Zafiyet (CVE-2021-21972) vCenter, vSphere üzerinde kod çalıştırmaya olanak sağlamaktadır. Vmware sunucularda kritik zafiyet yama yayınlanması akabinde istismar kodu yayınlandı ve birçok saldırgan dünyadaki zafiyetli sistemleri taramaya başladı. Yaklaşık 6,700 VMware sunucusu hali hazırda yamalanmamış ve saldırıya açık durumdadır.

    VMware bu zafiyeti 10 üzerinden 9.8 olarak değerlendirdi ve acilen yama yapılmasını önerdi, yamaya buradan ulaşabilirsiniz.

    Geçtiğimiz yıllardaki zafiyetlerin fidye saldırılarında kullanıldığına şahit olmuştuk, bu yüzden bu zafiyetinde yeni fidye saldırılarında aktif olarak kullanılacağını öngörmekteyiz, hızlıca yama yapmanızı öneririz.

    Saldırından şirket içi veya üretim ortamından herhangi bir kısmın etkilendiğine daire kanıtın olmadığı, ürünlerin kullanımında bir güvenlik problemi olmadığı söylendi.

    ThreatNeedle, Saldırılarında Savunma Sanayini Hedef Alıyor

    Kuzey Kore devleti tarafından desteklenen bilgisayar korsanların yeni hedefi savunma endüstrisi oldu. Kuzey Kore'de nakit problemi yaşayan rejimi finanse etmek için yapıldığı tahmin ediliyor. Saldırıda ThreatNeedle ismini verdikleri zararlı yazılımın aktör olduğu tespit edildi. Dikkatli hazırlanmış oltalama saldırıları ile başlayıp, kurbanların cihazlarını uzaktan kontrol etmelerini sağlayan bir yaklaşım sergilenmektedir.

    Covid temalı mailler kurbanlara gönderilmekte ve ekte bulunan kötücül Microsoft Word ekinin açılmasıyla sisteme erişim sağlanmaktadır. Sonraki adımda içeriye yerleşen zararlı kendisini Windows arka kapısı haline getirerek, sistemde kalıcılığını artırır ve yanal hareketler yaparak ağda keşif ve yayılma işlemlerini gerçekleştirmiş olur.

    ThreatNeedle sisteme bulaştıktan sonra hedef sistemi dosya manipülasyonundan komut yürütülmesine kadar kontrolü tamamiyle ele geçirebilmektedir. İncelenen ThreatNeedle, Lazarus APT grubunun önceki saldırılarda kullandığı zararlı yazılımlar ile benzerliklerini tespit etti. Yapılan saldırılardaki tespit edilen diğer bir riskli durum ise, herhangi bir kurum üzerine yerleşip kurum yönlendiricilerini proxy olarak kullanıp hedef şaşırtmalarıdır.

    Bu saldırıdan son belirlemelere göre 12 ye yakın ülkede birçok kuruluş saldırılardan etkilendi. Bu ayın başında hazırlanan raporda kripto para borsalarından ve bankalardan ortalama 1,3 Milyar $ çalındığı belirtiliyor. Son yıllarda finans kurumlarını hedefleyen Kuzey Kore devleti tarafından desteklenen bilgisayar korsanların yeni hedefi savunma endüstrisi oldu. Kuzey Kore'de nakit problemi yaşayan rejimi finanse etmek için yapıldığı tahmin ediliyor. Saldırıda ThreatNeedle ismini verdikleri zararlı yazılımın aktör olduğu tespit edildi. Dikkatli hazırlanmış oltalama saldırıları ile başlayıp, kurbanların cihazlarını uzaktan kontrol etmelerini sağlayan bir yaklaşım sergilenmektedir.

    Covid temalı mailler kurbanlara gönderilmekte ve ekte bulunan kötücül Microsoft Word'ün açılmasıyla sisteme erişim sağlanmaktadır. Sonraki adımda içeriye yerleşen zararlı kendisini Windows arka kapı haline getirerek, sistemde kalıcılığını artırır ve yanal hareketler yaparak ağda keşif ve yayılma işlemlerini gerçekleştirmiş olur.

    ThreatNeedle sisteme bulaştıktan sonra hedef sistemi dosya manipülasyonundan komut yürütülmesine kadar kontrolü tamamiyle ele geçirebilmektedir. ​İncelemelerde ThreatNeedle'ın, Lazarus APT grubunun önceki saldırılarda kullandığı zararlı yazılımlar ile benzerlikleri tespit edildi. Yapılan saldırılardaki tespit edilen diğer bir riskli durum ise, herhangi bir kurum üzerine yerleşip kurum yönlendiricilerini proxy olarak kullanıp hedef şaşırtmalarıdır.

    ​Son belirlemelere göre 12'ye yakın ülkede birçok kuruluş bu saldırılardan etkilendi. Bu ayın başında hazırlanan raporda kripto para borsalarından ve bankalardan ortalama 1.3 Milyar $ çalındığı belirtiliyor. Son yıllarda finans kurumlarını hedefleyen Lazarus Grubu da 2020 başlarından itibaren savunma sanayine odaklandı.

    Apple M1 "Silver Sparrow" Zararlı Yazılım

    Uzun yıllardır saldırı kullanım yoğunluğunun az olmasından dolayı saldırı gerçekleşmeyen Apple, kullanımı arttığı her geçen gün farklı saldırılara maruz kalmaya devam ediyor. Geçtiğimiz aylarda kendi işlemci yapısı olan M1 işlemcileri duyuran Apple, geçtiğimiz hafta siber saldırıya maruz kaldı. Tespit edilen ilk zararlı yazılımdan günler sonra ikinci zararlı yazılım ile alakalı da tespitler gerçekleşti.

    Zararlı yazılım "Silver Sparrow" olarak adlandırıldı ve yaklaşık 30,000 Mac cihazında olduğu düşünülüyor. Ayrıca zararlı yazılım hem M1 işlemcili hem de Intel x86_64 cihazlarında çalışıyor. ABD, İngiltere, Fransa, Kanada ve Almanya yoğun olmak üzere 153 ülkede tespit edildi.

    Florida Su Şebekesi Siber Saldırı

    ABD'nin Florida eyaletinde su şebekelerine siber saldırı gerçekleşti. Sisteme sızan siber korsanlar sudaki soydum hidroksit oranını artırarak halkı zehirlemeyi planladı. Saldırı gerçekleşirken seviyelerin değiştiğini fark eden bir operatör tarafından kimseye zarar gelmeden engellendi.

    Yapılan incelemede saldırının su tesisi üzerindeki SCADA sistemlerini incelemek, kontrol etmek ve gerekli düzenlemeleri yapmak için kullanılan TeamViewer üzerinden gerçekleştiği tespit edildi. Ayrıca sistemde Windows 7 32 bit bir sistem üzerine kurulu bir yapının olduğu, hepsinde aynı parolanın kullanıldığı ve herhangi bir güvenlik önlemi kurgulanmadığı ortaya çıktı.

    Erişim bilgilerinin ise nasıl bulunduğu hâlâ araştırılıyor fakat 2017 yılında yayınlanan büyük bir ihlal veri tabanı üzerinde kurum ve çalışanlarına ait birçok parola tespit edildi ve bu parolaların hâlâ geçerli olduğu gözlemlendi. Bu yüzden yapılan saldırı, muhtemelen daha önceden ele geçirilmiş parolalar ile rahat bir şekilde gerçekleşti.

    03 Ocak 2020

    Sosyal Mühendislik Dolandırıcılığı

    Çağımızın popüler aldatma tekniklerinden biri olan ve dolaylı yoldan da olsa bir saldırı türü olarak da adından söz ettiren sosyal mühendislik, hala günümüzün popüler bilgi toplama ve gizli bilgileri açığa çıkartma yöntemidir.

    Günümüzde, bilgisayar korsanları (Hacker’lar) potansiyel suçlular olarak bilinse de aynı zamanda kandırma/aldatma yeteneği olan art niyetli her insan birer potansiyel suçlu olabilir.

    Tamamen kullanıcı zafiyetleri üzerine kurulu, yanlış yönlendirme yöntemi olan bu sosyal mühendislikle, günümüze kadar birçok kurum ve kuruluşlara zararlar verilmiş ve halen verilmeye devam etmektedir.
    Her ne kadar şirketler, güvenlik önlemleri için birçok teknolojik önlemler alsa da asıl önlem alması gereken şirketler değil şirket çalışanı olan insanlardır.
    Standart bir firmada, bilgi güvenliğinin seviyesi, en zayıf halka olan insanın, alınacak önlemler hakkında ne kadar bilgi sahibi olmasıyla doğru orantılıdır. Ancak bu oran eskiden olduğu gibi halen düşük seviyede seyrine devam etmektedir.




    Gizli bilgilerin başkalarının eline geçmesi, kişinin çalıştığı kurumun onuru ve toplumdaki imajının zarar görmesi, kişisel verilerin çalınması ve çalışanların zarar görmesi, parasal kayıplar, vakit kaybı, önemli veriye ulaşamama ve en önemlisi ise can kayıpları gibi oluşabilecek zararlar küçümsenemeyecek kadar çok ve etkilidir. Her geçen gün artarak devam eden olayları ve verdiği zararları görüyoruz.

    Bu gibi zararlar karşısında sorumlu kişiler genellikle sistem yöneticileri olarak görülse de her kullanıcının, kendinden sorumlu olduğunu da unutmaması gerekir. Çoğu insan, kandırılma olasılığının çok düşük olduğunu düşünür. Bu ortak inancın bilincinde olan saldırgan, isteğini o kadar akıllıca sunar ki kullanıcı tarafından hiç kuşku uyandırmaz ve onun güvenini sömürür. Kullandığı en büyük silah ise bu konular hakkında farkındalığı düşük olan insan zafiyetidir.

    Standart bir sosyal mühendislik süreci 4 ana başlıkta incelenebilir:

    1. Bilgi toplama
    2. İlişki oluşturma
    3. Uygulama
    4. İstismar

    1. Bilgi Toplama
    Öncelikle aldatılacak olan kurbanın hakkında maksimum seviyede bilgi toplanır ve birçok özellik araştırılır. Elde edilen bilgiler şirket web sitelerinden, diğer yayınlardan ve sık olmamakla birlikte hedef sistemde çalışan insanlarla konuşarak birçok bilgi toplanır. Bunun yanında Omuz sörfü, çöp karıştırmak, eski donanımları kurcalamak ise eski ama etkili yöntemlerden belli başlıcalarıdır.

    2. İlişki Kurma
    Çalışanlarla ilişki kurmakta en etkili yollardan birisi de kendini güvenilir olduğuna ikna etmektir. Saldırgan, hedefiyle iş dışında ya da iş sırasında güvenini sağlayacak şekilde iletişime geçip ikna ederek bilgi vermesi ya da istenileni yapması sağlanabilir. Hatta güvene dayalı arkadaşlık bile kurabilir. Bu şekilde kurulan ilişkileri rahatça suiistimal edebilir.




    3. Uygulama
    Kurbanla belirli bir güveni sağladıktan sonra bir sonraki adım ise uygulama aşamasıdır. Bunu yapmak için birçok yöntem olduğu gibi başlıcaları e-posta üzerinden yanıltıcı mail atmaktır. Saldırgan, amacına ulaşmak için kurbanına attığı mailin güvenilir ya da doğruluğu sorgulanamaz bir kaynaktan geldiğine inandırmaya çalışır (phishing saldırısı). Bu şekilde hedefe hiçbir kuşku uyandırmadan ondan bilgi sızdırmaya çalışır veya hata yapmasını sağlar (sahte web sitesine tıklamak, virüslü yazılım kurmak, vs.).

    4. İstismar
    İlk üç aşamayı aştıktan sonra, elde edilen bilgileri kullanmak saldırgan için sıradaki hamledir. Bu bilgilerle şirkete yetkisiz erişim sağlayıp hizmet hırsızlığı yapabilir, bu bilgileri rakip kişilere veya firmalara satabilir, belli bilgileri silip veri kaybına neden olabilir, elde ettiği bilgileri aleyhte kullanıp para talep edebilir veya tehdit edebilir.

    Önlemler

    Bu gibi suistimallerin önüne geçebilmek için belirli önlemler almak elzemdir ve hayat kurtarabilir.
    Bu önlemlerim başında ise;
            Artırılmış Fiziksel Güvenlik
            Etkili Güvenlik Politikaları
            Güvenliğe Aykırı Davranışların Uyarılması
            Detaylı Olay Müdahale Yöntemleri
            Denetleme
    gelir.

    Unutulmamalıdır ki insan faktörü içermeyen bir bilgisayar sistemi yoktur. Bu yüzden sosyal mühendislik saldırılarını önlemek için mümkün olan tüm imkânları kullanmak gerekir.

    Popüler Yayınlar