Yazar arşivleri: Dilek Kurt

2011’de tehditler mobile yöneldi

Bir Cevap Yazın

2011 Androd işletim sisteminin yıldızının parladığı bir yıl oldu. Tabii bu yükseliş Android’i tehdit eden zararlı yazılımlara da yansıdı. Sıkça vurguladığımız gibi, Androd’in kullanıcı sayısındaki artış, bu kitleyi saldırganlar için cazibe noktası haline getirdi ve Android kullanıcılarını takibe almaları için uygun ortamı yarattı.

Tehditler nereden geliyor?

Bu tehditlerin çoğu, Çin’de bulunan üçüncü parti uygulama mağazalarından geliyor. Uygulama mağazaları genel olarak zararlı değiller, ancak gereken güvenli koşulları sunmak için yeterli kaynakları bulunmadığı için tehlike saçıyorlar. Bunun sonucu olarak da bu bağımsız uygulama mağazalarında zararlı yazılımlar, yeniden paketlenen ürünler ve korsan uygulamalar kolaylıkla kullanıcıların karşısına çıkabiliyor.

Ne tür tehditlere rastlıyoruz?

Mobil alanda ne tür tehditler gördük? Bu tehditlerin bazıları eski işletim sistemlerinde (OSes) görüldü. Buna bir örnek, kullanıcıları kendi istekleri dışında paralı servislere kaydeden giriş seviyesi servis istismarcıları. Aslına bakarsanız 2011’de üçüncü parti uygulama mağazalarının yanı sıra Android Market’e de ulaşan kötücül uygulamalarla giriş seviyesi servis istismarcıları en büyük tehdit oldu.

Bu tip tehditler, siber suçlulara kazanca ulaşmak için kestirme yolu gösterdiği için çok popüler. Bununla birlikte gelişmekte olan daha sofistike tehditlerin de olduğunu görüyoruz. Bu tür tehditlerin bazılar uzun zamandır masaüstü platformunda görülüyor. Mobil tehditler daha sofistike hale geldikçe daha önce de olduğu gibi masaüstünde rastlanan taktiklerin yeniden kullanılacaklarını görmek sürpriz olmayacak.

Bilgi hırsızları masaüstü bilgisayarlarda uzun zamandır sorun yaratıyorlardı. Fakat şimdi bu tehdit mobil platformları da etkilemeye başladı. Bu noktada DroidDreamLight ailesi iyi bir örnek olabilir. DroidDreamLight’ın eski sürümleri cihazla ilgili bilgi çalmaya yönlendirilmişken, günümüzde ise yeni versiyonları mesajlar ve çağrı kayıtları gibi kişisel bilgileri çalar hale geldi. Paradansa şirketlerin gizli bilgilerini çalmayı tercih eden bir saldırgan için bu tip bilgiler paha biçilmez denebilir.

Ayrıca 2011’de öne çıkan tehditlerden bir diğeri de finansal bilgilerin çalınması oldu. 2010’da ZeuS’la çalışan bir mobil kötücül yazılımı olan ve mobil telefonlardaki çift faktör doğrulama sistemini çökerten ZITMO’nun ilk vakaları görülürken, 2011’de ZITMO’nun Android versiyonuna rastladık. Bu örnek siber suçluların çift faktörlü doğrulama şemalarını alt etmek için neler yapabildiğini gözler önüne seriyor.

Peki açıklar ve bu açıkları kullanan tehditler tarafında ne oldu?

2011’de mobil işletim sistemlerindeki güvenlik açıkları olduğu ve bu açıklara pek çok saldırı gerçekleştiği görüldü. DroidKungFu’nun belirli sürümleri, temel öncelikleri kazanmak adına Android’in eski versiyonlarındaki açıklardan saldırı gerçekleştiriyor. (Android kodlarında açıklar keşfedilen tek telefon işletim sistemi olmadı. iOS ve Windows Phone 7’nin de açıkları bulundu.)

2011, mobil kötücül yazılım tehditlerinin yılı oldu. Fakat bu sizi yanıltmasın, 2012’de bu tehditler daha da kötüleşecek. Önerimiz; kullanıcıların bu tehditlere karşı kendilerini korumak için adımlar atması ve karşılaşılabilecek en kötü senaryolara karşı hazırlıklı olmasıdır.

2011 değerlendirmesi: Açıklarla başımız dertte

Bir Cevap Yazın

Hacker’lar tarafından hedef alınan açıklar önceki senelerde araştırıldığında karşımıza istemciyle ilgili yazılımlar çıkıyordu. 2011’deki tehditlerin çok daha karmaşık ve sofistike bir hale geldiğini gözlemledik. Saldırganların özellikle kritik günleri belirleyerek planlarını yürüttüklerine şahit olduk. Uzun süre giderilemeyen Duqu, bir Java açığı ya da bir Adobe açığı en zayıf anlarında saldırganlar tarafından kullanıldı.

Açıklara yapılan saldırıların bu yıl çok daha hedefli, orijinal, sofistike ve iyi yönetildiğini tespit ettik.

En fazla saldırıya maruz kalan uygulamalar arasında Adobe Acrobat Reader ve Flash Player; Java Runtime Environment/ Java Development KIT ve Internet Explorer öne çıktı. Bu uygulamalara yapılan saldırıların oldukça başarılı oldu ve özellikle tarayıcı sağlayıcıları defalarca yama yayınlamak durumunda kaldı.

Saldırıların birçoğunun başarılı olmasının sebebiyse aslında çok basit: Güncellenmeyen yazılımlar. CSIS’in bir çalışmasına göre, kullanıcıların yüzde 37’si web üzerinde güvensiz Java sürümleriyle dolaşıyor. Zscaler’ın yaptığı ankette de benzer sonuçlar ortaya çıkıyor. Ankete katılan kurumsal kullanıcıların yüzde 56’sı açıklar bulunan Adobe ürünlerini kullanıyor. BT yöneticileri kurumlarda sanal yamalar yaratarak Trend Micro Deep Security ya da OfficeScan gibi uygulamalar yükleyerek koruma sağlamaya çalışıyor.

Sunucu Açıkları

Sunucular sürekli saldırılara maruz kalıyor. Ne yazık ki sunucu işletim sistemlerinde de birçok açık ortaya çıkıyor. En popüler sunucu işletim sistemlerinden ikisi olan Windows Server 2008 ve Redhat her geçen yıl daha fazla açık veriyor.

Siber suçlular web uygulamalarına da dadanmış durumda. SQL saldırıları milyonlarca web sayfasına dağıtılarak kullanılıyor. Zararlı yazılımlar doğrudan web sitelerine yerleştirilerek kullanıcı cihazlarına ulaşılmaya çalışılıyor. Bu yıl iki büyük saldırı gerçekleşti. Temmuz ayında gerçekleşen saldırı neticesinde 8 milyon web sitesi zarar gördü. Ekim ayında gerçekleşen ikinci dalgada da bir milyon web sitesine zararlı yazılım sızdı.

SQL yazılımlarından ayrı olarak, PHP, WordPress, Joomla’daki açıklar değerlendirilerek saldırganlar düzgün çalışan bir web sitesini çapraz eşleşme ile başka sitelere yönlendiriliyor.

Kullanıcılar ne yapmalı?

Bahsettiğimiz birçok açıktan korunmak için öncelikle iyi bir yama yönetim stratejisinin uygulanması gerekiyor. Yamanın gerçekleştirildiği sırada oluşan açıktan korunmak için sanal yama çözümleri devreye alınmalıdır.

2011’de hızla arttığını gördüğümüz trendin 2012’de de devam etmesini bekliyoruz. Saldırıların çok daha karmaşık ve geniş çerçevede gerçekleşmesini öngörüyoruz. Bu saldırılara karşı yapılacak tüm savunma önlemleri 2012’de büyük önem taşıyacak.

2012’deki Android tehditleri ne boyutta olacak?

Bir Cevap Yazın

Daha önce de Android’e yönelik saldırıların 2012’de artacağını sizlerle paylaşmıştık. Birçok zararlı yazılım ve Truva atı Android işletim sistemi bulunan cihazlara sızmak için fırsat kolluyor. Hızla artan akıllı telefon ve tablet bilgisayar kullanımı saldırganların bu alandaki kararlığını artıyor.

Android üzerindeki tehditler düşündüğümüzden de fazla hızlı şekilde artıyor. Zira Aralık 2011’de binleri aşan zararlı yazılım yüklü Android uygulaması tespit edildi. Zararlı yazılımların artışına bakıldığında 2011’in ikinci yarısında yüzde 60’tan fazla yükseliş görülüyor.

Eğer bu artış oranı devam ederse, 2012 Android kullanıcıları için çok zorlu geçecek. Bu hızda zararlı uygulamaların artması bu yılın sonuna kadar tam 120 bin zararlı uygulamanın ortaya çıkması anlamına geliyor.

Saldırıların artmasındaki sebeplerse şu şekilde:

  • Gartner araştırma şirketi ve Google’ın mobil cihazlardan sorumlu başkan yardımcısı Andry Rubin’e göre, Android’in popülerliği artarken şu ana kadar Android Market’tan 10 milyardan fazla uygulama indirildi.
  • Android uygulamalarının açık dağıtım modelinde olması. Diğer işletim sistemlerinin aksine, kullanıcılar hiçbir filtrelemeden geçmeden uygulamaları cihazlarına indirebiliyor. Bu durum da yüklenen zararlı yazılımların önünü açıyor.
  • Siber suçluların kafa yapısında “para neredeyse orada olmak” var.

2011’de şimdiden birçok Android tehdidi gördük. 2012’de kullanıcılar mutlaka daha fazla dikkat etmeli.

Sahte ‘McDonald’s Hediye Kartı’ mesajı Twitter’ı sardı

Bir Cevap Yazın

Dünya çapında hizmet veren dev restoran zincirinden gelmiş gibi gösterilen mesaj Twitter kullanıcılarını dolandırıyor.

Son dönemde internet üzerinden kullanıcıların birbirlerine hediyeler vermek için kullandıkları elektronik kartlar, siber
dolandırıcılar için önemli bir gelir kapısı haline geldi. Yılın son günlerinde Twitter üzerinde yaygın olarak paylaşılan McDonald’s hediye kartı da bunun son örneği oldu.

Kısaltılmış bağlantı ile Twitter’da “#mcdonalds gift card” (#mcdonalds hediye kartı) olarak dolaşmaya başlayan mesaj
kullanıcıları zor durumda bırakıyor. Dünyanın hemen her yerinde bulunan McDonald’s restoranlarının popülerliğinden yararlanan siber dolandırıcılar, kısa sürede birçok kullanıcıya ulaştı.

McDonald’s hesabından geldiği düşünülen hediye kartının bağlantısı incelendiğinde gerçekte McDonald’s yönlendirmesi bulunmadığı fark edilebiliyor. Kısaltılan bağlantı kullanıcıları, yetişkinler için çöpçatan sitesine yönlendiriyor.

Açılan sayfada “Join Now” (Şimdi Katıl) butonunun tıklanması isteniyor. Tıklanıldığında da ücretli bir servis, kullanıcılardan para sızdırmaya çalışıyor.

Uzmanlar bağlantıdan hemen şüphelendi

Trend Micro araştırmacılarından Cris Lumague, “Kısaltılmış bağlantıyı gördüğümüzde bunun bir zararlı siteye
yönlendirilebileceğini düşündük. Çünkü bu tarz popüler markalar üzerinden indirim vaadiyle birçok kullanıcı tuzaklara çekilebiliyor” dedi. McDonald’s restoranlarının sosyal mühendislik oyunlarıyla saldırganların aracı olması ilk kez karşımıza çıkmıyor. Büyük ihtimalle bu girişim de son olmayacaktır. Trend Micro Smart Protection Network, Twitter’da gezinen istenmeyen mesajlardan kullanıcıları koruyor. Tüm kullanıcıların bu tür indirim sunan bağlantılara dikkat etmesi gerekiyor.

2011’e genel bir bakış: Kazanan Güvenlik!

Bir Cevap Yazın

…eğer kanıt varsa, hiç şüphe yok ki yasa uygulayıcılar devreye girecektir. Yine de ben bunun yüksek ihtimalle beklenmedik olduğunu düşünüyorum.

—Konstantin Poltev (Esthost/Rove Digital sözcüsü), 13 Ekim 2008

Geçmişte siber suçlular yakalanma olasılıklarının oldukça düşük olduğunu düşünürlerdi. Günümüzde ise kötü adamların bu konuda iki kere düşünmeleri gerekiyor. 2011’de siber suçlara karşı tarihi adımlar atıldı. Yasa uygulayıcılarla güvenlik endüstrisinin işbirliği yapması, siber suç dünyası için önemli yıkım ve tutuklamaları beraberinde getirdi. Sizin için 2011’de atılan önemli adımlardan bir derleme yaptık. İşte o adımlar:

Rustock

16 Mart 2011’de Microsoft, Rustock spam botnet’i alaşağı etti. Botnet’in komut ve kontrol (C&C) sunucularına yönelik gerçekleşen eş zamanlı yıkım harekatı, Rustock spam botnet’in sonunu getirdi. Rutstock zombileri tekrar hayata döndürülemedi. Çünkü Microsoft, Rutstock tarafından kullanılan sabit kodlu alan adlarının erişilebilir olmamasını sağladı. Botnet’in arkasındaki çete tutuklanmadı. Fakat Microsoft, Rusya’da gazetelere Rustock’un arkasındakilerin kimliklerinin tespit edilmesi, tutuklanması ve suçlu bulunması yönünde bilgi veren herkese 250 bin dolar teklif eden ilanlar verdi. Microsoft’un avukatları, Rustock’un sunucularına el koymak için hakları olduğuna dair, Seattle’daki federal mahkemeyi ikna etmek için sıra dışı argümanlar kullandılar. Bu dava, gelecek davalar için önemli bir emsal teşkil ediyor.

Kelihos

Geniş bir spam botnet’ini yok etmek, spam kapasitesinde önemli bir etki yaratır ve interneti herkes için daha güvenli bir yer haline getirir. Buna karşılık botnet’leri ortadan kaldırılsa bile bu bazı kötü çocukları suç işlemekten alı koymayacaktır. Bu güvenliği sağlamak isteyenler onların peşinde olsa bile. Waledac’tan sorumlu olan kişiler tarafından yapıldığına inanılan ve 2010’da ortadan kaldırılan Keliohos spam botnet’inş düşünelim.

Eylül 2011’de Microsoft, Kelihos’un C&C sunucularının davalıları bilgilendirmeden kullandığı IP adreslerini ve alan adlarını engelleme izni için yine bir federal jüriyi ikna etti. Çevrimdışı olan davalılardan biri  şikayette adı yer alan cz.cc alan adının sahibi idi. Cz.cc sahte (rogue) ikinci seviye alan adı (SLD) olduğu için bu atılan dikkat çekici bir adım oldu. Cz.cc’nin haklanması Kelihos’un C&C sunucuları tarafından kullanılmakta olan ya da kullanılmış yüz binlerce alt alan adının offline olmasını sağladı. Bu gelişme, diğer bütün sahte SLD’lerin suistimal olaylarında daha sorumlu hale gelmesi için önemli bir örnek teşkil ediyor.

CoreFlood

CoreFlood, veri çalan bir trojan tarafından kontrol altına alınan yüz binlerce bilgisayarın oluşturduğu bir botnet’ti. Bu kısmen tehlikeli botnet Nisan 2011’de FBI tarafından çökertildi. FBI botnet’in C&C sunucularını ele geçirdi ve bunları Haziran ayının ortasına kadar yönetti. FBI ABD’deki bot’lara kötücül yazılımın devre dışı kalması için bir dur komutu gönderdi. Bu şekilde ABD Hükümeti ilk defa bir botnet’in C&C altyapısını ele geçirdi ve bot’lara bu komut yollayarak onların bot yöneticileri tarafından erişilmesini imkansız hale getirmiş oldu.

Ghost Click

8 Kasım’da FBI, NASA ve Estonya Polisi ortak bir operasyonla Rove Digital’in DNS değiştirici altyapısını ele geçirdi. Bu Trend Micro, Internet System Consortium (ISC) ve diğer sektör iş ortaklarının işbirliğiyle gerçekleşen bir operasyondu. Estonia’da aynı zamanda altı zanlı ele geçirildi. Ele geçirilen bu isimler arasında Rove Digital’in CEO’su Vladimir Tsastsin ve onun sözcüsü Konstantin Poltev de vardı. ABD ve Esyonya’da farklı veri merkezlerinde yer alan 200’den fazla sunucuya el kondu. Milyonlarla nakit para bulunduran banka hesapları donduruldu ve diğer varlıkları da haczedildi. Bu şimdiye kadar yapılan en büyük siber suç operasyonlarından biri oldu. Bu operasyon yasa yürütücülerle güvenlik sektörünün başarılı işbirliği sonucu gerçekleşti.

Trend Micro bu operasyonda bileşenleri saptayarak ve Rove Digital’in geniş ağını görüntüleyerek önemli bir rol oynadı. ISC, kurbanları yabancı sitelere yönlendiren sahte DNS sunucularının yerini değiştirdi. Bu, DNS’i değişen milyonlarca kurbanın operasyondan sonra internet erişiminin kesilmemesi için çok önemliydi.

Avrupa’da IP adreslerini tahsis eden bölgesel IP organizasyonu Réseaux IP Européens (RIPE) de aynı zamanda Rove Digital’in Avrupa’daki IP adreslerini dondurdu. Bu sayede Rove Digital’in 8 Kasım’sda gerçekleşen operasyonda tutuklanmayan suç ortakları da sahte DNS altyapısını başka bir konuma taşıyamadılar ve operasyonlarını sürdüremediler. RIPE, IP adreslerini dondurarak tarihi ve cesur bir adım atmış oldu. Bağımsız kar amacı gütmeyen bir organizasyon olan RIPE NCC, mahkemede RIPE ile mücadele etmeye karar verdi. Aslında RIPE organizasyonunun IP alanındaki ısrarcı suistimalini zorlaştırmak anlamında yasal bir emsal olması açısından, bu kötü bir adım değil. Günümüzde siber suçlular için IP alanları sınırlı hale gelse de RIPE’tan IP adresi edinmek daha kolay görünüyor. Asya ya da ABD’de bu tip bir probleme rastlamadığımız için bunun RIPE’a özgü bir problem olduğunu söyleyebiliriz.

Chronopay

Haziran 2011’de kredi kartı takas odası Chronopay’in kurucusu ve CEO’su Pavel Vrublevsky, bir rakibe düzenlenen siber saldırıdan sorumlu tutulma iddiasıyla tutuklandı.  Chronopay’in başka bir büyük hissedarı olan Rove Digital’in CEO’su Vladimir Tsastsin de Ghost Click operasyonu nedeniyle tutuklandı. Chronopay’in sahte antivirüs (FAKEAV) satan siber suç çetelerinin tercih ettiği kredi kartı takas odası olması nedeniyle bu iki tutuklama dahte antivirüs işi açısından belirgin sonuçlar ortaya koyabilir.

2011 yasa yürütücü otoritelerle güvenlik sektörünün işbirliğinin büyük bir etki yaratabileceğini kanıtladı. Artık büyük siber suçlular için tutuklanmak an meselesi. Bu anlamda 2012’nin getireceklerini dört gözle bekliyoruz. Tek bir şeyden eminiz ki; Trend Micro siber suça karşı mücadeleyi desteklemeye devam edecek.