Kategori arşivi: Güvenlik Dünyasından Kısa Kısa

Güvenli Şifre Belirlemek için 4 Basit Adım!

Bir Cevap Yazın

Haziran ayında global ölçekteki sosyal ağ ve platformlarda yaşanan şifre hırsızlığı olayları kullanıcıların internet platformları için şifre belirlerken yaptıkları hataları yeniden gündeme getirdi. Trend Micro, otomatik yazılımlar tarafından deneme yanılma yöntemi ile tahmin edilemeyecek şifreler belirlemek için 4 basit yöntem öneriyor.

Haziran ayında şifre güvenliği konusunda çok kötü bir sınav verildi. Üç önemli web sitesi Linkedin, eHarmony ve last.fm, milyonlarca kullanıcı şifresinin sızmasına engel olamadı. Daha sonra da League of Legends isimli oyuna üye olan kullanıcıların kişisel bilgileri saldırganların eline geçti.

Aslında bu şifre sızıntıları kullanıcıların ne denli yanlış şifre tercihi yaptığını gözler önüne serdi. Birçok kullanıcının güvenli olmayan şifre kullandığı görüldü. 1234 gibi kısa ve rutin şifrelerin çokluğu göze çarparken, bazı kullanıcıların her yerde farklı şifreyi hatırlamaktan endişe edercesine giriş yaptığı platformun adını kullandığı ortaya çıktı. Örneğin Ahmet isimli bir kullanıcının LinkedIn’e giriş yaparken şifre olarak linkedin ya da ahmetlinkedin yazdığı belirlendi.

Saldırganlar ise maliyeti düşerken işlemci gücü artan donanım teknolojisi sayesinde otomatik deneme yapan uygulamalar ile birçok şifreyi ele geçirmeye başladı. Bu nedenle şifresini çaldırmak istemeyen kullanıcıların artık daha güçlü şifreler oluşturması gerekiyor. İşte yapılması gerekenler:

1. Uzun bir şifre, güçlü bir şifrenin başlangıcıdır. 10 ila 12 karakterli bir şifre iyi bir başlangıç olabilirken, banka gibi kritik sitelerdeki şifrelerin daha da uzun olmasında fayda var.

2. Anlamlı birkaç kelime yerine dağınık kelimeler kullanın. Zira şifre iyigünler olduğunda yine saldırganların işi oldukça kolaylaşmış oluyor. Yaratıcı, kişisel ve elbette hatırlanabilecek birkaç kelime işinize yarayacaktır. Örneğin, DenizDalgalı şeklinde alınan şifre yerine MasaTopKavunKuzu gibi bir şifre kullanmak daha etkili olacaktır.

3. Geri dönüşüm iyidir ama şifreler için pek de iyi sayılmaz. Zira eninde sonunda daha önce sızmış bir şifre saldırganlar tarafından kullanılacaktır.

4. Her sitede aynı şifreyi kullanmamalısınız. Eğer bir sitede şifre saldırganların eline geçerse, diğerlerinde de geçmemesi için hiçbir sebep yok.

Elbette şifreler için verilebilecek tavsiyeler kişilerin hatırlayabilecekleri şifrelerle sınırlı. Bu durumda Trend Micro DirectPass gibi şifre yönetimi için kullanılabilecek yazılımlar tercih edilebilir. Böylece sadece bir şifre hatırlayarak istenen her cihazdan tüm şifreler yönetilebilir ve o hesaplara erişilebilir.

UEFA Avrupa Şampiyonası’nın Kazananı Dolandırıcılar Oldu!

Bir Cevap Yazın

Trend Micro uzmanları, devam eden UEFA Avrupa Futbol Şampiyona’sına özel, sosyal mühendislik teknikleriyle hazırlanmış sahte bağlantıların sosyal medya ve arama motorlarında cirit attığını, bu bağlantılara tıklayan kişiler sayesinde de siber dolandırıcıların hem kullanıcıların kişisel bilgilerini çaldıklarını hem de reklam gösterim ücretlerinden gelir elde ettiklerini tespit etti.

Tüm hızıyla devam eden UEFA Avrupa Şampiyonası 2012, siber suçluların zararlı yazılımları bulaştırmak için kullandıkları son spor organizasyonu oldu. UEFA Avrupa Şampiyonası 2012’nin resmi sitesinin alan adı ve sayfalarına benzer siteler yaratan saldırganlar, kullanıcıları tehdit ediyor.

Trend Micro Analisti Paul Pajares’in verdiği bilgilere göre, www.uefa.com/uefaeuro/ bağlantısının benzerini üreten saldırganlar, sahte sitenin altına birçok zararlı yazılım ve Truva atı yerleştirdi. Zararlı yazılım sisteme bir kez sızdığında, sahte bir antivirüs programı gibi davranarak bilgisayarın taranması ve aktif hale getirilmesini istediği görüldü. Sahte yazılımın aktivasyon sayfasına giden kullanıcılar, hassas verilerin sızdırılması için oluşturulmuş bir web sitesiyle karşılaştı. Bu site kullanıcıların online bankacılık işlemlerinde kullandıkları verileri çalmaya odaklanmış ZBOT/Zeus türü zararlı yazılımların bilgisayara sızmasına sebep oldu. Ayrıca, zararlı yazılımın web tarayıcılarını da kullanılamaz hale getirdiği tespit edildi.

Arama motoru üzerindeki oyunlar da sürdü

Avrupa Şampiyonası’nın resmi web sitesinin benzeriyle yetinmeyen siber suçlular, maçların canlı yayınları için oluşturdukları sayfalardan da zararlı yazılım saçmaya devam etti. Arama motoruna “Portekiz Çek Cumhuriyeti Canlı İzle” yazanların karşısına, hemen ilk sayfada zararlı yazılım dolu bir web sitesi çıktı.

Web sayfasına ulaşmak için tıklandığında canlı bir video yayını yerine, başka bir yere yönlendirme yapıldığı görüldü. Yönlendirmeye tıklandığında web sitesinin kullanıcıların konum ve IP adresine eriştiğini gördü. Bunun yanında dolandırıcıların tek hedefi kullanıcıların verilerini çalmak olmadı. Dolandırıcıların hazırladıkları bu sayfalarda dönen reklamlar önemli bir “haksız kazanç” elde edilmesine sebep oldu. Reklam geliri elde etmek amacıyla yapılan dolandırıcılık, İtalya ve İngiltere arasında gerçekleşen müsabaka sırasında gerçekleşti. Tüm futbolseverler için büyük önem arz eden karşılaşma için oluşturulan sahte sitede yine maçın canlı yayını olduğu vaadi kullanıcıların karşısına çıktı. Ancak sitenin sadece reklam geliri elde etmek istediği ortaya çıktı.

Facebook ve Chrome da saldırılara platform oluşturdu

Trend Micro uzmanları yaptıkları analizlerde, internet tarayıcısı Google Chrome’un resmi mağazası Chrome Web Store’da sahte bir eklenti tespit etti. Kullanıcılar bu eklentiyi indirdiklerinde tarayıcı doğrudan sahte bir web sitesine yönlendi. Bu sitenin de reklam geliri amacında olduğu kısa sürede ortaya çıktı.

Saldırganlar Avrupa için bu futbol yazında hemen her platformu saldırı için değerlendirdi. Facebook kullanıcılarının duvarlarına gelen sahte bağlantılar, futbolseverleri canlı maç yayınları olduğu söylenen sitelere yönlendirdi. Ancak web sitelerine gidildiğinde dolandırıcıların yalnızca para kazanma amacında olduğu belirlendi.

Trend Micro Kıdemli Araştırmacısı Rik Ferguson da özel olarak hazırlanmış e-postalar tespit ettiğini açıkladı. Avrupa Şampiyonası’ndaki maçlardan haber verdiğini iddia eden e-posta, kullanıcıları sahte ilaç satışı yapan bir siteye yönlendirdi.

Trend Micro bu tür tehditlere karşı koruma sağlıyor

Trend Micro kullanıcıları, Smart Protection Network sayesinde, zararlı bağlantılar ve yazılımlar ile istenmeyen mesajların da aralarında bulunduğu tüm tehditlere karşı koruma altında. UEFA Avrupa Şampiyonası 2012 gibi geniş kitlelerin takip ettiği etkinlikler, saldırganların sosyal mühendislik hamlelerini kullanmaları için önemli bir fırsat sunuyor. Kullanıcıların internette gezinirken sitelerin gerçek olup olmadığına her tıklamadan önce dikkat etmesi gerekiyor.

Android uygulamalarındaki kitaplık dosyaları tehlikenin önyüzü mü?

Bir Cevap Yazın

Hepimizin bildiği gibi bilgisayarlarımız kadar telefonlarımız ve diğer mobil cihazlar da artık açık hedef konumunda. Peki mobil cihazlarımıza indirdiğimiz her uygulama güvenli mi? Yanıtınız evet ise bunu bir kere daha düşünmenizi öneririz.

Geçtiğimiz günlerde zararlı kitaplık dosyaları içeren ve devreye girdiği zaman etkilediği cihazı belirli bir komut-kontrol sunucusuna bağlanan bir zombi cihaza dönüştüren yeni Android uygulamalarını (ANDROIDOS_BOTPANDA.A) ortaya çıkardık. Bu dosyanın dikkat çeken bir yanı da dinamik kitaplıkta saklanması ve bu nedenle kolayca analiz edilememesi.

Uygulamada bulunan zararlı libvadgo kitaplık dosyası, NDK ile geliştirilmiş ve Java Native arayüzü kullanılarak yüklenmiş. NDK Android geliştirici, adayları tarafından uygulama geliştirmede kullanılan bir araç seti. Zararlı yazılım, file com.airpuh.ad/UpdateCheck dosyasını içeriyor. Bu dosya, libvadgo kitaplığını yüklüyor ve aşağıdaki kodu kullanarak Java_com_airpuh_ad_UpdateCheck_dataInit fonksiyonunu devreye alıyor:

İncelememize göre Java_com_airpuh_ad_UpdateCheck_DataInit’in dikkat çeken yönlerinden biri /system/xbin/su dosyasını kontrol ederek etkilenen bir cihaza yerleşilip yerleşilmediğini kontrol ediyor. Eğer öyleyse dosya tarafında /system/xbin/su ve /system/xbin/su içinde yer alan aşağıdaki komut devreye alınıyor:

Java_com_airpuh_ad_UpdateCheck_DataInit aynı zamanda birkaç dakika sonra kaldırılacak olan .e[int_a]d dosyasını çalıştırıyor. Bu dosyanın yaptığı ilk iş ise /system/lib/libd1.so’nun varlığını kontrol etmek, dosyaların yerlerini değiştirmek ve system/xbin/ altında yakalanmadan barınmak için önemli sistem komutlarını kontrol altına almak. Bunu ise system/xbin/ altında eşdeğer dosyalara yaratarak yapıyor. Üretilen bütün dosyalar, system/lib/lib1.so’nun sureti (duplication). Aynı zamanda system/bin/svc’yi modifiye ediyor ki bu sayede zararlı yazılım otomatik olarak devreye giriyor.

.e[int_a]d dosyası zararlı yazılımın ana işlevi olan C&C sunucularıyla iletişim görevini gerçekleştiriyor. Araştırmalarımız sırasında bu sunucuların halihazırda bir şekilde kapalı olduğunu gördük. Bu nedenle etkilenen cihazlarda ne tür bir komut işlendiğini doğrulayamıyoruz.

Daha önce belirttiğimiz gibi bu tehdidi dikkate değer yapan şey, ANDROIDOS_BOTPANDA.A’nın dinamik kitaplık libvadgo.so’yu kullanması. Bu tip zararlı yazılımlar bu dosya arkasına saklanarak ve bu sayede bulunması zor hale gelerek çalışırlar. Bu tip tehditler aynı zamanda belirli süreçleri ortadan kaldırır, önemli sistem komutlarını yakalar ve dosyaların yerlerini değiştirerek saptama-kaldırma çözümlerini zorlaştırır.

Eğer gelecekte daha fazla Android bazlı zararlı yazılım bu tekniği kullanırsa, güvenlik uzmanları için bu tehditleri analiz etmenin ve onlara karşı çözüm üretmenin çok daha zor hale geleceğine eminiz.

Bu zararlı yazılımın üçüncü parti uygulama mağazalarından geldiğini söyleyebiliriz. ANDROIDOS_BOTPANDA.A nedeniyle kullanıcılara, özellikle üçüncü parti uygulama mağazalarından, uygulama indirirken çok dikkatli olmalarını öneriyoruz.

Cihazınızın bu tehditten etkilendiğinden şüpheleniyorsanız; uygulama dosyalarını kontrol edebilirsiniz. Sistemde system/lib klasör kısa yolunu ve libd1.so dosyasını aratın. Aynı zamanda klasör kısa yollarında scv dosyası /system/bin’e bakabilirsiniz ve cihazınızın durumunu anlamak için bu dosyanın /system/bin/ifconfig satırını içerip içermediğini kontrol edebilirsiniz.

Haziran 2012 yaması kötü imzaları temizliyor

Bir Cevap Yazın

Microsoft bu ayın yamasında, kendi imzasını taşıyormuş gibi görünen zararlı yazılımlara karşı savaş açıyor. Özellikle Orta Doğu’daki ülkelerin canını yakan Flame virüsünün de benzer yöntemle bilgisayarlara sızmasının ortaya çıkması Microsoft’u harekete geçirdi.

Yeni gelen güncellemeyle güvenilmeyen sertifikalı yazılımları tam zamanlı, otomatik olarak tarıyor ve işaretliyor. Hemen hatırlatalım, Microsoft sertifikalarını kullanmayı bilen Flame virüsüne karşı Trend Micro kullanıcılarının endişe etmesi gerekmiyor.

Bu ay yayımlanan yedi bültenden üçü kritik olarak açıklanırken geri kalanı önemli olarak belirtildi. Kritik bültenler arasında uzaktan masaüstü protokolü, Internet Explorer’ın 6’dan 9’a kadar sürümleri ve Microsoft .NET Framework’ün çeşitli sürümleri konu edildi. Açıklarda Microsoft ürünlerine sızıldığında uzaktan erişime olanak tanındığı bilgisi verildi. Bu nedenle kullanıcıların yamaları hızla indirmesi gerekiyor.

Facebook’ta başkasının şifresi için kendi şifrenizden olmayın!

Bir Cevap Yazın

Trend Micro uzmanları Smart Protection Network üzerinde çalışmalarını sürdürürken, http://{BLOCKED}bookhacking.com/FacebookHackerPro_Install.exe web adresinde şüpheli bir dosyaya rastladı. Tehdit analisti Roddell Santos’un verdiği bilgilere göre, yazılımın bulunduğu alan adına bakıldığında Facebook’u hack’leme aracı vaat ettiği görülüyor.

Analizlere göre, sıradan bir yükleme dosyası olarak göze çarpan yazılım kullanıcılara lisans sözleşmesi sunuyor ve kullanıcıların dosyayı istediği yere kaydetmesine olanak tanıyor. Ancak toolbar.exe zararlı dosyası kullanıcılar farkında olmadan geçici dosyalara kaydolarak sisteme sızmayı başarıyor.

Bir kez bilgisayara yüklendiğinde kullanıcıların Facebook’ta kullanılan e-postayı girmesini isteyen yazılım, birkaç dakika sonra e-postası girilen hesabın şifresini bulduğunu açıklıyor.

Bunun ardından şifrenin kullanıcıya verilmesi için programın tamamen satın alınması gerektiği uyarısı çıkıyor. Ödenmesi istenen meblağ ise 29.99 dolar. Satın alma gerçekleştirilirse kullanıcıların tekrar e-posta girmesi isteniyor.Ardından program sahiden de e-posta ve şifreyi kullanıcıya veriyor.

Peki program bunu nasıl yapıyor? Aslında oldukça basit; program yüklendiğinde üçüncü parti uygulama kullanıcının tarayıcısında kaydedilen şifrelerin olduğu dosyaya ulaşıyor. Bu sayede sistemde yer alan kullanıcı isimleri ve şifreler yazılımda görülebiliyor.

Kullanıcılardan ricamız, bu tür yasadışı yollarla herhangi birinin şifresinin bulunamayacağını aklında tutmaları. Zira bu yöntemler hem yasadışı hem de kendi sistemlerine zarar veren casus yazılımların indirilmesine sebep olup, hesaplarının çalınmasına yol açıyor.

Bir diğer Facebook aracı da “Hack Facebook Pro”

Sarah Calaunan’ın verdiği bilgilere göre, Facebook hesaplarının kırılması için geliştirdiği öne sürülen “Hack Facebook Pro” isimli yazılım, sistemdeki verileri çalmaya odaklanıyor. Çalınan veriler de istenmeyen kişilere gönderiliyor. Bu tür araçları indiren kişiler bir başkasının şifresini öğrenmektense kendi şifresinden oluyor.

Ayrıca Facebook üzerinde birçok araştırma ve özel ilaç gibi satış yapmaya yönelik bağlantılar geziyor. Facebook üzerinde arkadaşlarınızdan dahi gelse, gelen şüpheli bağlantıları açmamanızı tavsiye ediyoruz.

Trend Micro kullanıcıları Smart Network Protection sayesinde elbette korunuyor. Ayrıca Trend Micro yazılımı kurulmadan önce bir şekilde sisteme giren zararlı yazılımlar da tespit edilerek sistemden temizleniyor. 900 milyondan fazla kullanıcısı olan Facebook, elbette siber suçluların dikkatini çekiyor. Bu nedenle dev sosyal ağdaki yaşantımıza daha fazla dikkat etmemiz gerekiyor.