23 Ekim 2015

ISR 2 Yaşında..



Geçtiğimiz yıl "İyi ki Doğduk" mesajımızı yazarken zamanın bu kadarda hızlı geçeceğini bilmiyorduk!

Ancak sizlerin de desteği ile zamanımızı çok iyi kullanarak başarılı bir yıl daha geçirdiğimizi gördük.


2nci yılımızı kutlarken, neredeyse eş zamanlı olarak tamamladığımız ve satışa sunduğumuz Siber Tehdit Engelleme projemiz Tina ile henüz tanışmadıysanız https://www.tinasecurity.com dan bilgi edinmenizin fayda sağlayabileceğini söyleyebiliriz.

Tina Siber Saldırı Engelleme Sistemi

Ve tabiki tekrar, ISR çatısı altında nice yılları siz sevgili takipçilerimize duyurmayı ve paylaşmayı ümit ettiğimizi belirterek bizi takip eden herkese teşekkürlerimizi sunuyoruz.

13 Nisan 2015

2015'te Gmail Güvenliği

Gmail, 2012 yılında netleşen rakamlar ile dünyanın en çok kullanılan mail servisi oldu. Birçok son kullanıcı dışında, birçok şirket ve kurumda Gmail altyapısını kullanıyor. Gün geçtikçe Google gibi şirketler güvenlik önlemlerini artırsa da, son kullanıcılarında yapması gereken şeyler var. Google yapısı gereği bu güvenlik önlemlerini almamız için de çok basit bir şekilde yapılandırmamızı sağlıyor. Bunları yaparken herhangi bir teknik bilgiye ihtiyaç duymuyoruz. Aşağıda son yenilikler ile kontrol etmeniz gereken güvenlik önlemlerini sıraladık.

Gmail Güvenliği
2 faktörlü doğrulama

2 faktörlü doğrulama en iyi güvenlik önlemlerinden bir tanesidir. Hesabınızı sadece parola ile değil, telefonunuz ile de koruma altına almaktadır. Gmail’de telefon numaranızı veriyorsunuz ve telefonunuzu doğruluyorsunuz. Birisi olur ki parolanıza erişse bile telefonunuza gelecek 6 haneli doğrulama koduna (sms/sesli) ulaşamayacağı için hesabınıza erişemeyecektir. 

2 Faktörlü Doğrulama


Her zaman kullandığınız cihazlarınızı (PC, tablet, telefon) , 30 gün süreyle doğrulama kodu almadan giriş yapmak için seçebilirsiniz. Bu daha basit hale getirebilir sizin için ama güvenlik için 10 saniyelik bir işlemden kaçmamak gerekir. Hesabınıza eriştiklerinde yaşayacağınız sıkıntı daha fazla olacaktır.

Peki  “Şarjım biterse ve ya yurtdışında telefonuma erişim imkanım olmadığı durumlarda ne olacak?” diye düşünebilirsiniz. Google bu tür bir sıkıntı için ise yedek kod imkanı sunuyor. Tek seferde kullanacağınız kodları alarak böyle bir durum olduğunda hesabınıza bu doğrulama kodları ile ulaşmanızı sağlıyor.


Son aktiviteleri takip

Herhangi bir şeyden şüphelenirseniz son etkinlikler sayfasından hesabınıza giriş yapılan browser, IP adresi, konum, tarih ve saat bilgilerini kontrol edebilir, hepsinde oturumu kapatabilirsiniz. Ayrıca dışarıda hesabınıza giriş yapmak zorunda kalabilirsiniz ve çıkış yapmayı unutmuş olabilirsiniz. Bu tür durumlarda da son etkinlikler sayfasından açık olan bütün hesaplardan çıkış yapabilirsiniz. Aynı zamanda “Uyarı Tercihi” kısmından herhangi bir şüphe olduğunda sizi uyarmasını isteyebilirsiniz. 

Son Aktiviteler

Ayarları ve hesap izinlerini kontrol etmek

Gmail ayarlarını sık sık gözden geçirmek gerekir. Herhangi bir sorun görünmüyor olabilir ama başka bir kişi hesabınıza giriş yapıp herhangi bir yönlendirme yaparak hareketlerinizi takip ediyor olabilir. Yönlendirme ve POP/IMAP ayarlarını kontrol edip şüphelendiğiniz durumlarda müdahale etmeniz gerekir.
Gmail Ayarlar


Hesap izinleri de dikkat edilmesi gereken bir husustur. İnternette bugün birçok site/uygulama Facebook, Twitter, Linkedin, Gmail v.s. ile direkt kayıt imkânı sağlıyor. Bu birçok kullanıcı için kolay olsa da, bu sitelerin bizden nelere ulaşacağını kontrol etmek gerekir. Bu yüzden önceden izin verdiğiniz site/uygulamaları ve bunlardan kullanmadıklarınızı veya bilmediklerinizi kaldırmanız bilgilerinizin dolayısıyla hesabınızın ulaşılmasını daha güç hale getirecektir.

Gmail Hesap İzinleri

 Doğru parola seçmek ve onu korumak

Yukarıda saydığımız güvenlik önlemleri sizi korumak için yeterli olmayacaktır. En önemli güvenlik unsuru kullanıcılardır. İlk önlem güçlü ve doğru parola seçmektir. Bu en çok dikkat edilmesi gereken konudur. Güçlü ve doğru parola seçmek başka bir yazının konusu olacaktır. Ama sizler için bu yazımızda da kısaca birkaç öneride bulunalım.

Parola Güvenliği

  • Eğer parolanızı hemen aklınıza geliyorsa, herkesin aklına gelebilir.
  • Sadece harf ve numaralardan oluşan parolaları unutun. Bugün birçok uygulama buna zaten izin vermemektedir. Onlara kızmayın.
  • Sembol, sayı, harf ile mantıklı kombinasyonlar hem unutulmaz  hem de güçlü parola oluşturmanızı sağlayacaktır.




Kimseye güvenmeyin

Evinizin anahtarını bugün kimseye güvenip vermiyorsanız, parolanızı vs de kimseye vermeyiniz. Phishing maillere çok dikkat etmeniz gerekir. Birçok veri hırsızlığı bu tür mailler ile gelmektedir. Son zamanlarda popüler olan cryptolocker ransomware çok tehlike yaratmaktadır. Arkadaşlarınız sizden mail ile maddi yardım talebinde bulunmaz. Olası bir durumda ulaşabiliyorsanız kişiye veya yakınlarına ulaşıp durumu netleştiriniz. Bu ve daha birçok sebepten dolayı internette kimseye güvenmeyiniz. Çünkü arkadaş ve ya yakınlarınızdan geliyor gibi görünebilir ama hesaplarının başkalarının eline geçebileceğini unutmayınız.

Kimseye Güvenmeyin

Virtually nothing is impossible in this world if you just put your mind to it.


30 Mart 2015

Trend Tehdit: Fidye Yazılımları / Ransomware

Adını neredeyse her mecrada duymaya başladığımız yeni bir kavram "Ransomware". Bu kısa makalede Ransomware kavramını ve hayatımıza etkilerini ve alabileceğimiz önlemlere değinmek istedik.

Ransomware nedir?
Bu kavram kısa ve en temel anlamı ile "Fidye isteyen yazılım" olarak özetlenebilir. En çok adını duyduğumuz ransomware "cryptolocker". Ancak bir çok benzeri de var. Torrentlocker, bitlocker, TeslaCrypt, PGPLocker pek populer olmayan Crytolocker benzerleri. Ayrıca yerel olarak geliştirilmiş benzerleri de var, örneğin Avustralya'da trafik kameralarından ceza kesildiğine dair e-posta gönderen benzeri, ülkemizde sıkça karşılaştığımız TTnet, ardından Turkcell ve son olarak da PTT kargo 'dan geldiğini iddaa eden cryptolocker benzerleri mevcut.

Tarihçe;
Esasında 90'larda var olan ancak çok populer olmayan bu saldırı metodu, Internet hızlarının artması ve Internet'te dönen bilginin nitelikli (para eden) bilgi olması ile gittikçe populer hale geldi ve son geldiği noktada "Ransomware" yani fidye yazılımları ortaya çıktı. Ransomware'lerin daha adı belli olmadığı yıllarda bu saldırıyı "manuel" yani direkt olarak saldırganın bizzat kendi gerçekleştirdiği çok sayıda ihbar ile karşılaşmıştık. Bu ihbarlar genellikle mevcut bir yazılım ya da işletim sistemi zafiyeti ile  sunucu ya da istemciye sızan saldırgan bulduğu tüm dosyaları (sql sunucu, MS office ya da benzeri) Truecrypt ya da benzeri kriptolama uygulamaları ile şifreler ve kurbandan para isterdi. Bu saldırı genellikle kurbanın ödediği para karşılığında aldığı şifre ile sonuçlanırdı. Ancak çoğu zaman saldırgan ile iletişime geçilemediği, buna rağmen bırakılan mesajda istenen bedelin yatırılmasına rağmen şifrelenen dosyalara hiç bir zaman ulaşılamadığı senaryolar da oldukça sık rastladık.

Nasıl Çalışır?
Bu makalemiz teknik bir inceleme değil ancak ransomware'ler nasıl çalışır biraz değinmemiz iyi olacak.


Çoğu tehdit türünde olduğu gibi Ransomware'ler de mail yolu ile kullanıcıları tuzağa düşürmeye çalışıyor. Ancak belirtmek gerekir ki gördüğümüz en başarılı mail içeriklerinden birine sahip. Bırakın son kullanıcıları, çoğu IT profesyonelleri bile bu maili açıp, tuzağa düşebiliyor. Aşağıdaki ekran görüntüsünde tarafımıza ulaşmış bir ransomware (cryptolocker) saldırısını görebilirsiniz.




Çok net olarak göreceğiniz gibi, daha önce geliştirilmiş benzeri tehditlerden farklı olarak son derece düzgün Türkçe kullanılarak hazırlanmış. Ayrıca e-posta'nın ulaştığı tarih ile içerikte geçen tarihin uyuşması, resmi duruşu ile son derece başarılı bir oltalama saldırısı.

Ransomware'ler her versiyonunda farklı bir şekilde zararlı dosyayı kullanıcıya bilgisayarına yüklemeye zorlar. Yukarıdaki örnekte adres değişikliği formu doldurtarak zararlı yazılımı çalıştırmaya zorlamakta. Elbette adres değişikliği formu bir .zip dosyası ve bu dosya içerisinde bir .exe barındırıyor. 

Bu exe çalıştırıldığında rastgele üretilmiş bir URL'ye bağlanarak (Command and control server) RSA Public Key'i download eder. Bu key ile her bir dosyayı encrypt edeceği AES256 key'i üretir ve her dosyayı bu key ile şifreler. Elbette bu key her bilgisayar için farklı üretilir. Böylelikle para transferi edilerek alınan bir şifre her kurbanda kullanılamaz. Bu esnada bilgisayarınızdaki tüm dosyaların şifrelendiği ve ödeme yapılmadığı taktirde açılamayacağı da Windows arka planınızı değiştirerek bildirir. Ödeyi yapmak için 72 saat süreniz bulunuyor. Bu süre içerisinde ödemeyi gerçekleştirmezseniz ödemeniz gereken fiyat artıyor.

Hangi dosyalarım tehlikede?
Bilgi çok kullanılan ve içerisinde şahsi ya da kurumsal bilgileriniz olma ihtimali en yüksek olan uzantılar; " .odt, *.ods, *.odp, *.odm, *.odc, *.odb, *.doc, *.docx, *.docm, *.wps, *.xls, *.xlsx, *.xlsm, *.xlsb, *.xlk, *.ppt, *.pptx, *.pptm, *.mdb, *.accdb, *.pst, *.dwg, *.dxf, *.dxg, *.wpd, *.rtf, *.wb2, *.mdf, *.dbf, *.psd, *.pdd, *.pdf, *.eps, *.ai, *.indd, *.cdr, *.jpg, *.jpe, *.jpg, *.dng, *.3fr, *.arw, *.srf, *.sr2, *.bay, *.crw, *.cr2, *.dcr, *.kdc, *.erf, *.mef, *.mrw, *.nef, *.nrw, *.orf, *.raf, *.raw, *.rwl, *.rw2, *.r3d, *.ptx, *.pef, *.srw, *.x3f, *.der, *.cer, *.crt, *.pem, *.pfx, *.p12, *.p7b, *.p7c  " uzantılı dosyalar cryptolocker tarafından şifreleniyor. Bu dosya sayıları her versiyonda azabilir, ya da artabilir.

Kurban olursam ne yapacağım?
Eğer bu saldırı ile karşılaştıysanız ve artık kurban statüsünde iseniz iki seçiminiz var,
a- Parayı öder, şifreyi alır, hayatınıza devam edebilirsiniz.
b- Veri kaybını göze alır, bilgisayarınızı formatlayıp hayatınıza devam edebilirsiniz.

Hemen belirtelim, şifrelenen bu dosyaları decrypt etmek (şifrelerini açmak) matematiksel olarak mümkün olsa da, yüzyıllar boyu sürebileceğinden, pratikte mümkün değildir.

Peki ödeme yapıp, bizden para isteyenleri tuzağa düşürsek? Maalesef bu da pek mümkün değil. Ransomware'lere yapacağınız ödemeler bitcoin ile gerçekleşmekte bu ödemeyi takip etmemiz imkansız hale gelmektedir. Cryptolocker'in ilk versiyonlarında kullandığı şifreleme algoritmasının zafiyeti nedeni ile dosyalara ulaşılabiliyordu. Hatta bazı güvenlik firmaları ücretsiz olarak decrypt hizmeti de veriyordu. Ancak cryptolocker'in bugün geldiği durumda bu söz konusu değil. Dosyalarınızı açmak için size yardımcı olup para talep eden kişilere itibar etmemenizde fayda var.

Ransomware'lerden nasıl korunabilirim?
Ransomware'lerden korunmak için %100 güvenli bir teknik yol maalesef bulunmuyor. Her tehdit türünde olduğu gibi, ransomware'lerde de farkındalık ve bilinçlilik en önemli silah. Ancak sık sık alınan backuplar ransomware saldırılarında neredeyse sıfır zarar görülmesini sağlayabiliyor. Günlük olarak çalışan bir yedekleme prosedürünüz varsa dosyalarınızın şifrelenmesini önemsemezsiniz. Ancak Gdrive, Dropbox gibi işletim sisteminize mount edilmiş bulut tabanlı çözümlerin de ransomware'ler tarafından istismar edilebildiğini unutmayalım.

Bireysel Önlemler
Eğer lisanslı bir antivirus yazılımınız varsa bunu sık sık güncellemeyi ihmal etmeyin. Zero day olarak (Yani ilk çıktıkları gün) yakalanmasalar da, her yeni çıkan ransomware zararlı yazılımını antivirusler bir süre sonra yakalayabilir. Bireysel önlemlerin en önemlisi farkındalık. PTT'nin asla e-posta yolu ile bildirim yapmadığını, TTnet faturası içeren bir e-posta alırsanız  dikkatli davranmak tamamen bireyin alması gereken bir önlem.

Kurumsal Önlemler
Kurumsal tarafta işler biraz daha ciddi ve karışık.
Firewall'larda bulunan web filtreleme sistemleri ise maalesef yetersiz kalıyor. Indirilen .exe dosyanın erişmek istediği URL'yi (Command and control center) bloklamak teoride bir çözüm gibi duruyor ancak firewall'lar bir kaç gün, bazen bir kaç haftada bu siteleri öğrenebiliyor. Dolayısı ile bir kaç günde verebileceği tüm zararı verebilen bu zararlılar için firewall ve web filtreler kesinlikle bir çözüm olamıyor. 

Hayli pahalı olan yabancı ürünlere ülkemizde maalesef çok sınırlı sayıda büyük çaplı firma sahip olabiliyor. Bu ürünlerinde de %100 başarılı olma garantisi asla yok.

Her tehditin olduğu gibi ransomware'lerin de bir geçerlilik süresi olacaktır elbette, ancak bu süre boyunca onları tanımalı, önlem almalı, gerek son kullanıcı, gerekse kurumsal tarafta bu zararlıların nasıl çalıştığını bilmeli ve durdurmak için yeni teknolojiler geliştirmeliyiz. 

ISR Bilgi Güvenliği olarak ransomware ve benzeri tehditler konusunda ülkemizde ve dünyadaki eksiği uzun süredir farkındayız ve bu konularda Tübitak - Martek bünyesinde ar-ge çalışmalarımızı tüm hızıyla sürdürüyoruz. Nihayet bu çalışmaların meyveleri oluşmaya başladı. Lansmanını kısa süre içerisinde gerçekleştireceğimiz ürünümüz, statik imza kullanan teknolojilerden (UTM, Firewall, IDS, IPS) oldukça farklı bir teknolojiye sahip olan, bu saldırıları henüz zero-day halinde tespit edip durdurmaya odaklanmış bir ürün. Pilot çalışmalarında beklentilerimiz üzerinde başarılı olan "ürünümüzün" çok kısa sürede ülkemizden yurtdışına ihraç edilen bir teknoloji olacağından endişemiz yok.

Ürünümüz ile ilgili tüm gelişmeleri www.isr.com.tr adresinden takip edebilirsiniz.

22 Mart 2015

Artan ve Maalesef Başarılı Olan Oltalama (Phishing) Saldırıları

Phishing (oltalama) bilgi güvenliği dünyasının dışında kalan pek çok kullanıcının da artık farkına vardığı bir konu.


Bu saldırı metodu ile saldırganlar bizden;

- finansal, kişisel, kullanım bilgilerimiz vb. bilgiler çalıyor,
- bilgilerimizin teyidini yaparak daha emin tuzaklar kurabiliyor,
- bilgisayarlarımıza uzaktan erişim sağlama avantajı ile yine bizden faydalanıyorlar.







Türkiye'de son aylarda başarı yüzdesinin arttığı bu saldırı metodu yoğun olarak e-posta ile bizlere ulaşıyor. Son haftaların en popüler faciası ise "PTT Posta Hizmetleri" maskesi ile meydana çıktı.

Bu son saldırıda gerçekten başarılı bir çalışma yapan (!) hırsızların, bizim gündelik zaaflarımızı nasıl takip ettiklerini, bizi pek çok firmayı taklit ederek yakalamaya çalıştıklarını görmekteyiz.

Üstelik bizden bilgi çalma aşaması bir sonraki aşamaya, fidye istemeye kadar uzandı!

Kargo, telefon operatörü, internet servis sağlayıcı  gibi dev firmalarımızın adreslerini ve kimliklerini taklit eden saldırganlar Türkiye'de faaliyet göstermeye oldukça kararlı görünüyor.

Gönderilen oltalama (phishing) mesajları ile indirilen dosya neticesinde sistemimizde yer alan ve genellikle bizim için önem taşıyan dosyalar kriptolanarak bu dosyaların kullanımı engelleniyor.

Bir ücret karşılığında da kullanıma açılabileceğine dair mesaj gönderilip, peşin ödeme indirimi (!) de sunuluyor.

Ransomware (fidye) olarak bilinen bu metot maalesef dünya genelinde teknoloji yatırımını kısmen yapan ancak henüz "güvenlik" alışkanlıkları ve altyapı yatırım seviyesi yetersiz ülkeleri özellikle hedef almakta.

Günümüzde artık saldırganlar "hedef" seçerek daha akıllıca ilerliyor

Saldırganların artık daha tertipli ve organize olarak düzenledikleri bu saldırılar karşısında güvenlik camiası bir çok noktada ilk saldırılara önlem almakta yetersiz kalıyor. Çünkü saldırı türleri çeşitleniyor ve değişik coğrafyalara yaygınlaşıyor. Bu tip saldırıların ise ilk görüldüğü andan itibaren tespiti ayrı bir uzmanlık konusu.

Geliştirilen önlemlerin çoğunda insan faktörü dolayısıyla başarı düzeyinin yetersiz olduğu görülüyor. Zincirin en önemli parçası ve zafiyet kaynağı olan insanlar her ne kadar bilinçli olsalar dahi yeni metotlar karşısında yetersiz kalıyor, sorumluluklarını yerine getirmeyi unutuyor, ya da çoğu zaman "dalgınlığına geliyor".

Herkesin satın alabileceği ve içi rahat şekilde uzmanı olmadıkları bu tehlikeli konuları emanet edebileceği bir çözüm ne kadar güzel olurdu değil mi?

Neyse ki ISR Bilgi Güvenliği bu konudaki çalışmalarını neredeyse tamamlamak üzere. Bu tip saldırıların etkilerini daha ortaya çıktıkları ilk günden bertaraf edecek çözümler geliştirmek üzerine çalışmalarını hızla sonuçlandırıyor..


22 Ekim 2014

ISR 1 Yaşında..

İyi ki Doğduk..


Geçtiğimiz yıl bugün (22 Ekim 2013) faaliyetlerimizi ISR Bilgi Güvenliği firması adı altında gerçekleştireceğimizi İstanbul Ticaret Odası kanalıyla ülkemizin her yerine duyurmuştuk.

Kafalarımızda pek çok proje ile bir araya gelip yürümeye başladığımız bu yolda genç girişimciler olarak oldukça keyifli ve çalışkanlığımızı ortaya koyduğumuz uzun bir "1 yıl" geride kaldı.

ISR çatısı altında nice yılları siz sevgili takipçilerimize duyurmayı ve paylaşmayı ümit ettiğimizi belirterek bizi takip eden herkese teşekkürlerimizi sunuyoruz.



Popüler Yayınlar