Kategori arşivi: Rik Ferguson

Dolandırıcıların Yeni Oyuncağı Akıllı Telefonlar!

Trend Micro, hazırladığı video ile son dönemde oldukça yaygınlaşan akıllı telefonların kullanıcılarını uyarıyor. Video, suçluların bireyleri nasıl dolandırdıklarının yanı sıra kurumsal toplantılarda telefonların birer mikrofon haline getirilerek nasıl bilgi hırsızlığı yaptıklarını da çarpıcı örneklerle gösteriyor.

Bir kaç sene öncesine kadar sadece erkek kullanıcılar tarafından kullanılan akıllı telefonlar,  geliştirilen kullanıcı dostu ara yüzleri ile kadınlar tarafından da benimsenerek günlük yaşamın olmazsa olmazı haline gelmeyi başardı. İnternet kullanımını mobil ekranlara taşıyan bu telefonlar çok kısa bir sürede bilgisayar satışlarını geride bıraktı.

Günümüzde 10 milyon ön sipariş ile piyasaya çıkan akıllı telefonlar, kullanıcılar tarafından pek bilinmeyen suç ekonomisi açısından da önemli bir gelir kaynağı oldu. Dünyanın önde gelen içerik güvenliği firmalarından Trend Micro, akıllı telefon kullanıcılarını uyarmak ve kullanıcıların akıllı telefonları nedeniyle yaşayabilecekleri olumsuz durumlara dikkat çekmek amacıyla bir video yayınladı.

Trend Micro’da EMEA bölgesinden sorumlu Güvenlik Araştırmaları Direktörü olarak çalışan Rik Ferguson’un anlatıcı olarak yer aldığı videoda, suçluların bireylerin akıllı telefonlarına nasıl sızdıkları örneklerle gösteriliyor. Bireysel örnekte suçlu bir kişinin akıllı telefonuna sızarak telefonun ücretli bir servise düzenli olarak mesaj atmasını sağlarken kurumsal örnekte ise bir kurumda çalışan birinin akıllı telefonunu ele geçiren suçlu, çalışanın katıldığı toplantının ses kaydını çalışanın telefonu vasıtasıyla dinleyip kaydediyor ve kurumun rakiplerine bu bilgiyi satıyor.

Türkçe altyazılı videoyu hemen aşağıda izleyebilirsiniz.

Ben bir rakam değilim

Bu sevgililer gününde Britanya’daki Serious Organised Crime Agency (SOCA) daha önce başta müzik dosyaları olmak üzere birçok telif hakkı içeren materyali dağıtan bir siteyi kontrolü altına aldı. Alan adı rnbexclusive.com olan ve yaklaşık 250 bin kullanıcısı bulunan siteye doğrudan bir mesaj yerleştirildi. SOCA’nın yerleştirdiği mesajda, sitenin ziyaretçilerine uyarıda bulunulurken, on yıla kadar hapis, sınırsız para cezası kesilebileceği belirtildi.

Birleşik Krallık yasa koyucularının yerleştirdiği mesajda “Eğer bu web sitesini kullanarak müzik indirirseniz, Britanya kanunlarına göre, 10 yıl hapis cezası ve sınırsız para cezasıyla karşılaşabilecek bir suç işlemiş olursunuz” denildi. Mesaj IP adresi, tarayıcı türü ve işletim sistemine göre kullanıcıların sayfasında göründü. Ayrıca sitede kullanıcıların haklarıyla ilgili bir bilgilendirme yer aldı: “SOCA sizi görüntüleme ve araştırma hakkına sahiptir. Ayrıca internet servis sağlayıcınızdan bilgilerinizi temin edebilir.”

SOCA’nıın web sitesinde yer alan bildiride, Uluslararası Fonografik Endüstrisi Federasyonu’nun (IFPI) işletmeler ve kaydı yapan sanatçıların yılda yaklaşık 15 milyon pound kaybettiğini öngördüğü yer aldı. Aynı bildiride üç benzer sitenin tek taraflı olarak çevrimdışı olduğu, bu durumun kendi sitelerinde yasal içeriğin barındırılması için gerçekleştirildiği aktarıldı. Yasa koyucuların açısından bakıldığında girişimlerin başarılı olduğu görülmüştür.

Şimdi bir saniyeliğine site ziyaretçilerine sunulan delilin tabiatına ve bireyi tanımasındaki etkisine bakalım.

IP adresi sizinle ilgili ne verebilir?

Her bilgisayar bir ağa bağlandığında, ağ trafiğinin doğru adrese gidebilmesi ve doğru kaynağa cevabın dönebilmesi için farklı bir kimlik alır. İnternette bu kimlik bir IP adresidir. Eğer bilgisayarlar bir doğrudan internet üzerinden görülebilen yönlendirici ya da erişim noktasının ardında yer alıyorsa, bazen bilgisayarlar tekil olarak kendi IP adresleri üzerinden adreslenebilir. Erişim noktasının tüm bilgisayarların önünde bulunmasının anlamı, birçok bilgisayarın tek bir IP adresiyle temsil edilmesidir.

Genellikle IP adresiniz, internet servis sağlayıcınız (ISS) tarafından atanır. IP adresiniz kamuya doğrudan adınızı, adresinizi ya da sizin coğrafi konumunuzu vermez. Tüm bu bilgiler sadece ISS’lerin elinde bulunur. Müşterilerinin kim olduğunu, hangi IP’den bağlandıklarını kayıt altında tutarlar. Bu kayıtlara erişim için yasal güçlerin mahkeme kararı talebiyle ve her zaman bir suç işlenme şüphesi halinde ISS’lerden istenebilir.

Rnbexlcusive.com örneğinde, kullanıcı bilgilerine ulaşılabilmesi için talepte bulunmaya yeterli kanıt oluşmuştu. Peki, şimdi ne olacak?

IP adresi kimliğin kanıtı mıdır?

Yukarıdaki örnekte ISS’ten sağlanan bilgiler çoğu durumda, internet erişimini sağlayarak yasaların çiğnenmesine sebep olan yönlendiriciyi adresleyecek. Bu hiçbir zaman klavyenin ardında bulunan kişiyi ya da hangi bilgisayarın kullanılarak yasaların çiğnendiğini kanıtlamaz. Tabii suç işleyenin gerçek IP adresini saklamak için Proxy maskesi kullanmadığını da farz ediyoruz.

Birçok ihtimal olabilir; bilinmeyen bir kişinin sizin kablosuz ağınıza sızarak kullanmış olması, evinizin ağını kullanması için bir misafire erişim imkanı tanımanız, bilgisayarınıza zararlı bir yazılım sızması nedeniyle bilinmeyen bir kişinin bağlantı kurması ya da daha basit düşünürsek, doğrudan sizin yasadışı işlemler yapılmasının farkında olunmadığı durumlar olabilir.

Elbette emniyet güçleri de tüm olasılıkları değerlendiriyor. Burada daha çok internete erişilen cihazlar ve kişisel kullanıma dikkat ediliyor. Bu tür kanıtlar oluştuğunda başlıca kanıtları oluşturuyor. İnternet aktivitelerinin bir IP adresi ile ilişkisi ancak dolaylı yoldan kanıt oluşturabilir ve televizyonda gördüklerinizin aksine, kişinin gerçekten fareyi tıkladığının kanıtı olamaz.

Bu tür kanıtlar, dünya çapında mahkemelerde çoktan denendi ve kusurlu bulundu. Ben bir rakam değilim. Ben özgür bir adamım.

Kablosuz ağların güvenliğini sağlamanın yollarını açıklıyoruz

Artık hemen her evde ve ofiste kablosuz ağ bulunuyor. Peki bu ağların ve kişisel cihazlarımızın güvenliğini nasıl sağlayacağız? Trend Micro güvenlik araştırmaları ve iletişiminden sorumlu yönetici Rik Ferguson, üç adımda kablosuz ağlarda güvenliği sağlamanın yolunu açıklıyor.

Eğer evinizdeki tüm içeriğin bilgisayarınıza, akıllı cihazlarınıza hatta televizyonlarınıza doğrudan ulaşmasını istiyorsanız, hiç kuşkusuz çoktan kablosuz teknolojilere yatırım yaptınız. Kablosuz ağlar; duvarları delmeniz ya da duvarlar üzerinden kabloları dolandırmanızın yaratacağı baş ağrısından kurtulmanız anlamına geliyor. Ancak kablosuz ağlar güvenlik endişelerini ortaya çıkarıyor.

Havadan yayın yapan kablosuz ağınızda, eğer yeterli güvenlik sağlanmazsa, birçok problem ortaya çıkabiliyor. Başkalarının sizin ağınıza sızarak kişisel verilerinizi çalması ya da yasadışı bir eylemde bulunmaya kalkışması potansiyel tehlikeleri oluşturuyor.

Tüm bu endişeleri ortadan kaldırmak için Trend Micro güvenlik araştırmaları ve iletişiminden sorumlu yönetici Rik Ferguson, 3 adımda güvenliğin yolunu açıklıyor:

1. İlk olarak, kablosuz yönlendiriciye (pek çok ev ve işyerlerinde bu görevi ADSL modemler üstleniyor) giriş yapın ya da cihaza erişerek, standart olarak gelen yönetici ismi ve şifresini değiştirin. Yönetici ayarlarını asla yönlendiricinizin size ilk geldiği haldeki gibi bırakmayın. Çünkü ağınıza sızmanın en kolay yöntemlerinin başında, yönlendirici şifresinin bilinmesi olur. Özellikle operatörlerin dağıttığı kablosuz yönlendiricileri kullanıyorsanız daha fazla risk altındasınız demektir. Çünkü cihazın markasının bilinmesi saldırganların işini oldukça kolaylaştırıyor.

2. SSID (Service Set Identifier) ya da kablosuz ağ isminizi değiştirmelisiniz. Cihazın kendi ismini değiştirin ve ağın fiziksel konumunu (isim ya da adres gibi) belirtecek ya da yönlendiricinin üreticisini ortaya çıkarak isimler vermeyin. Verilecek en ufak bir tüyo, ağa sızmak isteyenlerin işlerinin kolaylaştırılmasına sebep olur.

3. Yönlendiricinize giriş yaptığınızda, ağınızın şifreleme ayarlarını da düzenlemelisiniz. Güvenli kalabilmek ve kimsenin sizin trafiğinize, isteğiniz dışında müdahale edemeyeceğinden emin olmanız için en önemli adımı ‘şifreleme ayarları’ oluşturuyor. Şifreleme bölümüne girdiğinizde karşınıza iki ya da üç metot çıkacak: WEP, WPA ve WPA2. Bunlar arasında en güçlü olanı WPA2 şifreleme metodudur ve WiFi onaylı logosu bulunan tüm cihazların bu standardı desteklemesi gerekiyor. Şifreleme metodu olarak WPA ya da WPA2 seçtiğinizden emin olarak, saldırılara karşı yeterince rastlantısal ve karmaşık koruma sağlayabilirsiniz. Ayrıca, rastgele küçük ve büyük olarak yazılmış harf ile rakamlardan oluşan 8 karakterli bir şifre de yeterli olacaktır. Eğer eski bir cihaz kullanıyor ve WPA2 bulunmuyorsa, WPA seçmenizde sakınca bulunmuyor ancak WEP şifrelemeden uzak durun. Çünkü WEP, bir aceminin bile kullanabileceği basit araçlar ile kolayca kırılabilir.

Kablosuz ağ güvenliği ile ilgili yanlış bildiklerimiz

1. Kablosuz ağınızın adını gizlemenin size güvenlik sağlayacağını önermiş olabilirler ancak buna aldırmayın. Zira herhangi birisi, kablosuz ağ ile iletişime geçerek, adını vermediğiniz ağınızın ismini saniyeler içinde bulabilir. SSID sadece ağınızın adıdır, daha fazlası değil.

2. Bir başka rivayet de MAC adresi üzerine konuşuluyor. Birçok güvenlik önerisinde, donanım adreslerinin kablosuz ağınıza bağlanabilmesi için beyaz listeye alınması gerektiğini yer alır. Ancak bu da tam anlamıyla bir zaman kaybıdır. Çünkü herhangi biri, sizin ağınıza girerek bağlanmasına izin verilen MAC adreslerini görebilir ve saniyeler içinde “iyi bilinen” MAC adresini kopyalayarak ağa bağlanabilir.

Trend Micro’ya göre Google kullanıcılarını yanlış bilgilendiriyor.

Trend Micro Güvenlik Araştırmaları ve İletişimi Bölümü Direktörü Rik Ferguson, Google açık kaynaklı program müdürü Chris DiBona’nın medyada yer alan açıklamalarının kullanıcıları yanlış bilgilendirmek olduğunu belirterek, TrendLabs Güvenlik Laboratuvarlarının verilerine göre 2011 yılının ilk 6 ayında Android işletim sistemine yönelik zararlı yazılım sayısının %1410 oranında artış gösterdiğini vurguladı.

Dünyanın lider içerik güvenliği firmalarından Trend Micro, çeşitli medya kuruluşlarında “Antivirüsçüler Sahtekar” başlığıyla yer alan Google açık kaynaklı program müdürü Chris DiBona’nın açıklamalarının kullanıcıları yanılttığını duyurdu. Trend Micro Güvenlik Araştırmaları ve İletişim Bölümü Direktörü Rik Ferguson, Trend Micro’nun virüs ve güvenlik araştırma laboratuvarı Trend Labs’ın verilerine göre 2011 yılının ilk altı ayında Android işletim sistemine yönelik tespit edilen zararlı yazılım sayısının yaklaşık 14 kat yani % 1410 oranında arttığını açıkladı.

Bu dramatik artışın sebeplerinden birinin, 2011 yılı başında Android platformlarına yönelik zararlı yazılım sayısının düşük olması olduğunu belirten Ferguson, yine de 6 ay zarfında çok yüksek sayıda yeni zararlı yazılım tespit edildiğini ve artışın bundan kaynaklandığını belirtti. Android işletim sistemi kullanan cihaz sayısının 50 milyonu aştığı ve siber suçluların bu platformu kendileri için önemli bir alan olarak gördüklerini vurgulayan Ferguson, bu cihazlara yönelik geliştirilen zararlı yazılım sayısının da hızla arttığını söyledi. Ferguson; rakamların ortada olduğunu ve diğer popüler platformlar gibi mobil platformların da siber suçlular açısından önemli bir oyun alanı olduğunu sözlerine ekledi.

 

Mobil tehditlerin dünü ve bugünü…

Akıllı telefonlarda zararlı yazılımın başlangıcı 2004 yılına kadar uzanır. O yıl Cabir kendini ilk kez göstermişti. 29A virüs yazarları grubunun üyesi olan Vallez kod adlı biri tarafından geliştirilen Cabir önemli bir solucan olarak tarihteki yerini aldı. Cabir yazdığı virüs .sis dosyası olarak Symbian işletim sistemli cihazlara Bluetooth üzerinden bulaşması için tasarlanmıştı. Bu içeriğin yayılması çok da uzun sürmedi.

Yıl sonuna kadar çok daha güçlü kötücül yazılımlar karşımıza çıktı. Aynı yıl suçlular kötücül mobil kodlarla para kazanmanın yollarını geliştiriyor ve Qdial isimli Truva atını Symbian telefonlara göndermeye başlıyordu. Bu Truva atı telefonlara ücretli servislerin ulaşmasını sağlayarak suçlulara gelir sağlıyordu. Bu saldırıların kaynağı olarak Birleşik Krallık, Almanya, Hollanda ve İsviçre görülüyordu. Zaman geçtikçe platform fark etmeksizin bu yöntem suçluların en önemli para kazanma silahlarından biri haline geldi.

O yılın Kasım ayında Skulls isminde yeni bir mobil kötücül yazılım ortaya çıktı. Skulls daha çok eski tip bilgisayar virüslerini anımsatıyordu. Skulls mobil cihazdaki uygulama dosyalarına kod yazıyor, onların işlevlerini yitirmelerini sağlarken normal sembolleri yerine bilindik kurukafa ve çapraz geçen iki kemik yerleştiriyordu. Skulls e-posta ve P2P paylaşımla dağıtılıyordu. Ayrıca kendini “Genişletilmiş Tema Yöneticisi” olarak göstererek Nokia 7160’a, ardından da diğer Symbian cihazlara sızmaya çalışıyordu. Skulls’un ikinci sürümünde Cabir ile bir işbirliği görülüyordu. Bu kez sembollerin yerine kurukafa ve kemikler yerleşmezken kullanıcıların anlamakta zorlanacağı bir kötücül yazılım haline geliyordu. Daha sonra bu birleşme birçok kötücül yazılım için rol model oldu.

2005 yılında mobil kötücül yazılım bilgi hırsızlığına yönelmesine rağmen tehdit, günümüzde olduğu kadar profesyonel seviyede değildi. Pbstealer isimli kötücül yazılım bulaştığı cihazın tüm kişi rehberini kopyalıyor ve menzilde bulunan Bluetooth’lu cihaza aktarılıyordu. Pbstealer Cabir’in kaynak kodunu kullanıyordu ve şu mesajı veriyordu: “İyi bir sanatçı kopyalar, büyük bir sanatçı çalar.” Aynı yıl diğer akılda kalıcı noktaysa ilk kez bir mobil kötücül yazılımın daha düşük etkisi olan Bluetooth yerine MMS kullanılarak yayılması oldu. Commwarrior yıkıcı bir yazılım olmasa da mobil kötücül yazılım evrim tablosundaki yerini bu şekilde alıyordu.
Neredeyse tüm kötücül yazılımların Symbian için yaratılmasının yanında daha az etkisi olsa da Windows CE için de kötücül yazılımlar üretiliyordu. Windows CE’nin Symbian’a göre daha güvensiz olmasına rağmen Symbian mobil işletim sistemi piyasasında çok daha pay sahibi olduğunda suçluların hedefi olmuştu. Suçlular için bir diğer ilgi çekici alan da J2ME (Java 2 Micro Edition) için geliştirilen kötücül yazılımlar olmuştu. Bu geliştirme platformu suçluların birçok platforma aynı anda yayılması için zemin oluşturmuştu. J2ME kullanan tüm cihazlar tehlike altına girdi ve saldırılan cihaz sayısında önemli bir artış gerçekleşti. 2009 yılında çoğu mobil kötücül yazılım J2ME için SMS ile dağıtılan Truva atlarından oluşuyordu. SMS dolandırıcılığının birçok çeşidi çıktı. Bunlar arasında ücretli servisler için atılan mesajlar ya da çok daha sosyal mühendislik içeren, doğrudan bir şeyleri satın almasını ya da üye olmasını sağlayacak servisler peydah oldu.

2010 yılına geldiğimizde saldırıların düzenlendiği alanlar oldukça değişti. Gartner’ın raporuna göre akıllı telefon satışları 2009 yılına göre yüzde 70 oranında arttı ve Apple’ın iPhone’larda kullandığı iOS ile Google’ın Android’i piyasayı domine etmeye başladı. Suçlular bu yeni platformlardaki potansiyeli fark etmekte geç kalmadı ve sahiden de bu iki platform Ağustos 2011’de piyasanın yüzde 50’sine hakim oldu.
Android için üretilen ilk Truva atı 2010 yılının Ağustos ayında keşfedildi ve Trend Micro bu yazılıma ANDROIDOS_DROIDSMS.A adını verdi. Rusya’dan dağılan dolandırıcı SMS para çalmaya yönelikti. Günümüz akıllı telefonlara bakıldığında kurumsal suçlar için çok daha fazla fırsat olduğu görülüyor. Aynı ay içinde DROIDSMS.A isminde başka bir Truva atı keşfedildi. Bu Truva atı da Tap Snake isimli oyunun arkasına gizlenmişti ve bulaştığı cihazın konumunu http üzerinden bildiriyordu.

Geçtiğimiz yılın yine Ağustos ayında iOS tabanlı cihazlar için üretilmiş ilk kötücül yazılım ortaya çıktı. Ikee solucanı yazılım olarak kırılmış –jailbreak edilmiş- iPhone’lara sızıyordu. Sızılan cihazlar sapıtıyor ve zemin değişerek 80’lerin güzel sesli şarkıcısı Rick Astley’in fotoğrafının yanında bir mesaj sunuyordu: “Ikee hiçbir zaman senden vazgeçmeyecek.” Bu basit gibi görülen solucan daha sonra geliştirilerek Hollanda’daki ING Bank müşterilerinin banka bilgilerini çalmak için kullanıldı. Şu zamana kadar resmi App Store ya da kırılmamış bir iPhone üzerinde herhangi bir kötücül yazılıma rastlanmadı ama web tabanlı jailbreak servisi jailbreakme.com iPhone tarayıcısı üzerinden saldırılabileceğini gösterdi.
İlk olarak Android kötücül yazılımları tamamen denetimsiz uygulama yayma ekosistemleri olan üçüncü parti uygulama mağazalarında yayıldı. Android uygulamalarında Apple’ın aksine sadece tek bir uygulama mağazası modelini benimsenmedi ve Android uygulaması yayımlanmadan önce herhangi bir kod incelemesinde bulunulmadığı için tüm sorumluluk kullanıcıya bırakıldı. Saldırıların yoğunlaşmasının ardından Google bu zararlı yazılımları uzaktan kaldırabilen bir sistem kurdu. Yine de Mart 2011’de en geniş Truva atı uygulama koleksiyonu ortaya çıktı, hem de bu kez resmi Android mağazasında. 50 uygulamanın içine virüs yüklenmiş sürümleri cihazlara sızmak için mağazadaki yerini aldı.

DroidDream olarak bilinen bu kötücül yazılım sadece cihazdaki IMEI ve IMSI bilgileri çalmakla kalmıyor gizli yazılımlar yükleyerek cihazdaki daha kişisel bilgileri suçlulara taşıyordu. Bu ikinci kötücül yazılım daha fazla kötücül kodun telefona indirilmesini sağlıyordu. Google bu uygulamayı uzaktan etkisiz hale getirdi ancak geride çok önemli sorular kadı; eğer ilk enfeksiyon daha sonra da kötücül yazılım indirdiyse, o uygulamanın ortadan kaldırılması yeterince etkili oldu mu? Google’ın kötücül yazılım harekete geçtikten sonra güvenlik aracını yayımlamasına rağmen suçlular daha hızlı davranarak bunu da bir fırsata dönüştürdü. Güvenlik aracı gibi görünen uygulama suçlular için bilgi çalan ve istediklerini yapabildikleri bir kötücül yazılıma dönüştürüldü. O zamandan günümüze birçok kötücül Android uygulaması rutin şekilde cihazlardaki SMS’leri iletiyor, GPS konum bilgilerini veriyor, para isteyen SMS’ler atıyor, arkadaştan gelen bir SMS gibi görünüyor ve son olarak da Google+ uygulamasında gerçekleşen telefon konuşmalarını suçlulara bildiriyor.
2011 yılında mobil kötücül yazılımların geldiği noktalara bakıldığında suçluların hâlâ çok fonksiyonlu ve kompleks şekilde saldırılarda bulunduğu görülüyor. Elbette mobil kötücül yazılımların Windows tabanlı kötücül yazılımları yakalaması için bir sürenin geçmesi gerekiyor ancak suçluların mobil platformlara ilgi gösterdiği ve hızlar arttığı bir gerçek. Bizler aynı suçlu gruplarından birçok platforma uyumlu saldırılar düzenlediğini görüyoruz. Karmaşık yapıdaki tehditlere örnek verecek olursak Zeus kötücül yazılımının artık mobil elementleri olduğunun ve SMS bankacılığına da el attığını söyleyebiliriz. Suçlular kullanıcı davranışlarına göre kendilerini şekillendiriyor ve para kazanacak fırsatları mobil platformlara taşımaya çalışıyor ki şimdiden buradalar.