BGD 2015 Siber Guvenlik Raporu İlk Çeyrek

Siber Güvenlik Raporu
2015 İlk Çeyrek
Bilgi Güvenliği Derneği
Siber Güvenlik Raporu 2015 / 1. Çeyrek
1|11
Bilgi Güvenliği Derneği Hakkında
Bilgi Güvenliği Derneği, bilgi güvenliği alanında faaliyet gösteren tarafsız bir ulusal sivil toplum
kuruluşudur. Dernek, bireysel, kurumsal, ulusal ve evrensel boyutlarda bilgi ve iletişim güvenliği
alanında teknik, bilimsel, sosyal ve kültürel faaliyetler yürütmek, üyelerinin mesleki gelişimini
arttırmak ve kamu yararına faaliyet gösteren dernek olmak amacı ile 2006 yılında kurulmuştur.
Hazırlayan
Mehmet Meral
Danışman
Prof. Dr. Şeref Sağıroğlu
http://www.bilgiguvenligi.org.tr/
Tel : +90 312 231 1810
Fax : +90 312 231 1810
Email : [email protected]
Adres : Maltepe Mahallesi Tuncer Sok.
No.4/8 - Çankaya
06570 - Ankara – Türkiye
Bilgi Güvenliği Derneği
Siber Güvenlik Raporu 2015 / 1. Çeyrek
2|11
Yönetici Özeti
2015 yılının ilk aylarında siber güvenlik neredeyse her gün konuşuldu ve
gündemden hiç düşmedi. Hedef odaklı siber saldırılar, veri açıklıkları ve
güvenlik zafiyetlerinin yanında ülkeler arası siber güvenlik ilişkileri
medya gündemini uzun süre meşgul etti.
Bu rapor, 2015 yılının ilk 3 ayında yaşadığımız siber güvenlik olaylarına
ilişkin açık kaynaklardan topladığımız bilgileri içermektedir. Bilgi
Güvenliği Derneği olarak, 2014 yılı Siber Güvenlik Raporunu Şubat ayının
sonlarına doğru yayınlamıştık [BGDSiber]. Adı geçen raporda, 2014
yılının siber güvenlik olaylarını ENISA, Symantec, Cisco ve Websense gibi
kuruluşların yayınladığı raporlardan yararlanarak değerlendirmiş ve
2015 yılı beklentilerini paylaşmıştık. Raporumuzun yayınlandığı tarihten
sonra Cyren, HP, Symantec ve FireEye firmaları 2014 yılına ilişkin siber
güvenlik raporlarını açıkladılar. Raporun ilk bölümünde yeni yayınlanan
bu raporları değerlendireceğiz.
Rapor döneminin bütün ayları hedef odaklı siber saldırıların hiç hız
kesmediği bir dönem olarak kaydedildi. Şubat ayı ise birçok büyük
firmayı etkileyen kapsamlı veri açıklıklarının yaşandığı bir ay oldu. İkinci
bölümde, 2015’in ilk çeyreğinde siber güvenlik gündemini dolduran bu
olayları kronolojik sırayla olay türüne göre (veri açıklığı, hedef odaklı
siber saldırı, güvenlik zafiyeti) kategorik olarak değerlendireceğiz.
Raporun son bölümünde ise 2014 Siber Güvenlik raporunda yer
verdiğimiz 2015 yılına ilişkin beklentilerin ilk çeyrekte yaşanan siber
güvenlik olaylarına göre bir değerlendirmesine yer vermekteyiz.
Bilgi Güvenliği Derneği
Siber Güvenlik Raporu 2015 / 1. Çeyrek
3|11
İçerik
Yönetici Özeti ...................................................................................................................................................... 3
BGD 2014 Yılı Siber Güvenlik Raporu Üzerine .................................................................................................... 5
2015 Yılı İlk Çeyrek ............................................................................................................................................. 6
Ocak ................................................................................................................................................................ 6
Veri Açıklıkları ............................................................................................................................................. 6
Hedef Odaklı Siber Saldırılar ....................................................................................................................... 6
Güvenlik Zafiyetleri ..................................................................................................................................... 6
Şubat ............................................................................................................................................................... 7
Veri Açıklıkları ............................................................................................................................................. 7
Güvenlik Zafiyetleri ..................................................................................................................................... 7
Hedef Odaklı Siber Saldırılar ....................................................................................................................... 7
Mart ................................................................................................................................................................ 8
Veri Açıklıkları ............................................................................................................................................. 8
Güvenlik Zafiyetleri ..................................................................................................................................... 8
Hedef Odaklı Siber Saldırılar ....................................................................................................................... 8
BGD 2014 Raporunun 2015 Yılı Tahminleri Üzerine ........................................................................................... 9
Bilgi Güvenliği Derneği
Siber Güvenlik Raporu 2015 / 1. Çeyrek
4|11
BGD 2014 Yılı Siber Güvenlik Raporu Üzerine
Cyren firmasının Mart ayı başlarında yayınladığı “2015 Cyberthreat Yearbook Report” isimli raporuna
göre bir önceki yıla oranla 2014 yılında, zararlı yazılım %50, “phishing” e-postaları %233, Android
tabanlı mobil sistemleri etkileyen zararlı yazılımlar %61 oranında artış gösterdi [Cyren].
Mart ayı içerisinde yayınlanan FireEye (Mandiant) firmasının “M-Trends 2015” raporu ise daha farklı
alanlara dikkat çekmekteydi [Mandiant]. Rapora göre, sistemlerine bilgisayar korsanları tarafından
girilen şirketlerin sadece %31’i veri sızıntısını kendi imkânlarıyla tespit edebilme kapasitesine
sahipken, geriye kalan %69’i üçüncü parti firmalar tarafından bildirdikten sonra veri sızıntısından
haberdar olmaktaydılar. Bilgisayar korsanlarının girdikleri sistemde fark edilmeden kaldıkları ortalama
süre 205 gün, en uzun süre ise 2982 gün olarak raporda belirtilmektedir. Rapora göre, 2014 yılında
geçmiş yıllara göre daha çok firma, sistemlerine girildiğini kamuoyuyla paylaşmıştı.
HP firmasının hazırladığı “Cyber Risk 2015” raporu ise 2014 yılı verilerini analiz ederek siber güvenlikte
anahtar temaları belirlemiştir [HP]. Raporda bu temalar arasında, bilinen saldırı yöntemleri yaygın
olarak devam etmekte, yanlış konfigürasyon hala güvenlik riskleri için en önemli sorun arasında yer
almakta, yeni teknolojiler yeni saldırı alanı olarak ortaya çıkmakta, siber güvenlik yasal
düzenlemelerinin en kısa zamanda yapılması gerekmekte, güvenli yazılım geliştirmenin önemi
artmakta tespitlerine yer verilmiştir. Öbür taraftan, HP’nin söz konusu raporunda ülkemizle ilgili farklı
iddialara ver verilmiştir. HP’nin daha sonra bu raporundaki iddialara kaynak olarak gösterdiği güvenlik
bültenini web sitesinden kaldırdığı gözlemlenmiştir.
Symantec’in Nisan sonlarında yayınlanan “2015 Internet Security Threats” raporu ise, 2014 yılında
yapılan siber saldırıların %60’ının küçük ve orta ölçekli firmaları hedeflediğini tespit etmiştir
[Symantec]. Geçen yıl toplam 317 milyon zararlı yazılım tespit edilmiştir. Rapor ayrıca, her 6 büyük
firmadan 5’inin “phishing” saldırılarının hedefinde olduğunu, fidye yazılımlarının %113 artış
gösterdiğini belirtmektedir. Symantec, ayrıca raporunda endüstriyel kontrol sistemlerine yönelik
siber saldırılarda 2014 yılı içerisinde bir artış olduğunu gözlemlemiştir. 2014 yılı içerisinde ortaya
Bilgi Güvenliği Derneği
Siber Güvenlik Raporu 2015 / 1. Çeyrek
5|11
çıkarılan BlackEnergy adı verilen zararlı yazılım ve Dragonfly isimli Rusya kaynaklı hedef odaklı siber
saldırılar özellikle elektrik iletim hatlarını etkilemiştir. Dragonfly saldırılarının hedef ülkeleri arasında
ülkemizin adı da geçmektedir.
2015 Yılı İlk Çeyrek
1
2
3
4
5
6
7
8
9
10
11
12
Ocak
Veri Açıklıkları
2014’ün neredeyse her ayında sıklıkla karşılaştığımız veri açıklıkları 2015 yılının başında da hız
kesmedi. Ocak ayı içerisinde büyük ölçekli bir veri açıklığı olmamasına rağmen, küçük ve orta ölçekli
çok sayıda veri açıklığı çeşitli sektörlerdeki kurum ve kuruluşları etkiledi. Wingstop Restaurants,
Malaysia Airlines, Aussie Travel Cover gibi firmalar Ocak ayında veri kaybına uğrayan kurban firmalar
arasındaydı. Veri kaybından etkilenen toplam kişi sayısı 26 milyon olarak tahmin edildi [Ikanow].
Hedef Odaklı Siber Saldırılar
Ocak ayında hedef odaklı siber saldırılar da büyük bir artış yaşandı. Fransız ordusunun siber güvenlik
biriminin başındaki isim Coustilliere’in basına verdiği bilgiye göre, Charlie Hebdo terörist saldırılarının
ardından 19.000 adet Fransız web sayfası siber saldırılara maruz kaldı. Alman Hükümetine ait bazı
web sayfaları ise Rusya yanlısı CyberBerkut isimli bilgisayar korsanları tarafından çökertildi. The
CyberCaliphate isimli İŞİD destekçisi “hacker” grubu ise ABD ordusunun Ortadoğu operasyonlarını
yöneten Merkezi Komutanlığa (CENTCOM) ait YouTube ve Twitter hesaplarını ele geçirdi.
Güvenlik Zafiyetleri
Ocak ayının sonlarına doğru yılın ilk büyük ölçekli güvenlik açıklıklarından olan ve GHOST (CVE-20150235) adı verilen güvenlik açıklığı duyuruldu. GNU C kütüphanesinde bir zafiyet olan GHOST, uzaktan
kod çalıştırmaya sebep olan bir yığın taşmasından (buffer overflow) kaynaklanmaktaydı. Ocak ayının
diğer kritik güvenlik zafiyetleri ise Adobe Flash Player’da ortaya çıkan yılın ilk “zero-day” zafiyetleri
olan CVE-2015-0310 ve CVE-2015-0311 idi.
Bilgi Güvenliği Derneği
Siber Güvenlik Raporu 2015 / 1. Çeyrek
6|11
1
2
3
4
5
6
7
8
9
10
11
12
Şubat
Veri Açıklıkları
Rapor dönemi içerisinde Şubat ayı en fazla veri açıklığı olaylarının yaşandığı ay oldu. Bunlar arasında
en büyük ölçeklisi Amerikan sağlık sigortası firması olan Anthem Inc.’in yaklaşık 80 milyon sigortalısına
ait bilgilerin bilgisayar korsanları tarafından çalınması olayı idi. Sağlık sektörünün kamuyla paylaşılan
ilk büyük ölçekli veri kaybı olayının arkasında Çinli “hacker”larin olduğu iddia edildi [WashPost]. Big
Fish Games, TurboTax, Uber firmaları Şubat ayı içerisinde farklı nedenlerle veri açıklığına maruz kalan
firmalar arasındaydı. Yaşanan 7 büyük veri açıklığından toplamda 140 milyon kişi etkilendi.
Güvenlik Zafiyetleri
Şubat ayında, Lenova dizüstü bilgisayarlarıyla önceden yüklenmiş olarak gelen “SuperFish” isimli
programda kritik bir güvenlik zafiyeti olduğu ortaya çıktı. Bu zafiyet sahte güvenlik sertifikası
kullanılarak, bilgisayarı kullanan kullanıcının bütün şifreli web trafiğinin (HTTPS) üçüncü şahıslar
tarafından okunabilmesine imkân tanımaktadır. “SuperFish”in ardından güvenlik sertifikası üreticisi
Comodo firması tarafından geliştirilmiş olan “PrivDog” isimli reklam önleyici programının da benzer
güvenlik zafiyeti barındırdığı güvenlik araştırmacıları tarafından tespit edildi.
Hedef Odaklı Siber Saldırılar
Şubat ayı medyanın dikkatini çeken önemli hedef odaklı siber saldırıların açıklandığı bir ay oldu.
Bunlardan ilki Suriye’de yaşanan iç savaşın siber ortama yansımalarıydı. Bu saldırılar daha çok web
sayfası çökertme veya sosyal medya hesaplarının ele geçirilmesi şeklindeydi. Ayın ilk günlerinde,
FireEye firmasının açıkladığı rapora göre sahte Skype hesapları kullanarak Suriyeli rejim muhalifi
gruplarla iletişime geçen saldırganlar, muhaliflerin bilgisayarlarına zararlı yazılım yerleştirip 7,7 GB
boyutunda veri çalmayı başardılar. Saldırganların arkasında rejim destekçisi Suriye Elektronik
Ordusu’nun olup olmadığı belirlenemedi. Öbür taraftan Anonymous isimli “hacktivist” grup OpISIS
adını verdikleri operasyon çerçevesinde İŞİD’e ait yüzlerce Facebook ve Twitter hesabını ele
geçirdiğini duyurdu. İŞİD destekçisi The CyberCaliphate ise Newsweek dergisine ait Twitter hesabını
ele geçirdi. Ülkemizle ilgili olarak ise, bir bilgisayar korsanı ülkemizin sözde İŞİD’e verdiği desteği
Bilgi Güvenliği Derneği
Siber Güvenlik Raporu 2015 / 1. Çeyrek
7|11
protesto etmek amacıyla Afyon Valiliği Afet ve Acil Durum Başkanlığına ait web sitesini geçici
süreliğine erişilemez duruma getirdi.
1
2
3
4
5
6
7
8
9
10
11
12
Mart
Veri Açıklıkları
Mart ayı rapor dönemi içerisinde en az veri açıklığının yaşandığı aydı. Premera isimli ABD menşeli
sağlık sigortası firması dışında büyük ölçekli veri kaybının yaşandığı bir olay rapor edilmedi. Premera
olayda 11 milyon müşterisinin bilgilerinin çalındığını duyurdu.
Güvenlik Zafiyetleri
Mart ayının öne çıkan güvenlik zafiyeti internet ortamında güvenli haberleşmeyi sağlayan SSL
mekanizmasının şifreleme altyapısındaki bir açıklığı istismar eden FREAK zafiyetiydi. Esasında, sorun
ABD’nin yıllarca ülke dışına güçlü şifreleme algoritmalarını ihraç edilmesini sınırlamasından
kaynaklanmaktaydı. Yıllar önce SSL mekanizması, karşı tarafın sisteminde güçlü bir şifreleme
algoritması yoksa haberleşmeyi daha düşük şifreleme algoritmasına düşürülmesine imkân sağlayacak
şekilde tasarlanmıştı. ABD bu sınırlamayı kaldırmasına rağmen, SSL’deki bu özellik devre dışı
bırakılmadı. Bu özellik ise kasıtlı olarak araya giren üçüncü kişinin iletişimi daha zayıf şifrelemeye
düşürdükten sonra, şifreli haberleşmeyi günümüzün güçlü bilgisayarlarıyla en fazla 7 saat içerisinde
çözebilmesine imkân tanımaktadır. Bu özelliğin yıllar boyunca aktif olarak kalmasının arkasında
NSA’nin olduğu iddia edilmektedir [Freak]. OpenSSL kütüphanesinde bulunan ve erişimi engelleme
(DoS) saldırısına imkân tanıyan ciddi dereceli bir kritik açıklık ise 19 Mart tarihinde yapılan bir
güncelleme ile giderildi [OpenSSL].
Hedef Odaklı Siber Saldırılar
Mart ayı içerisinde hedef odaklı saldırılar Şubat ayındaki eğilimindeydi. İŞİD destekçisi bilgisayar
korsanlarının sosyal medya hesabı ele geçirme, site çökertme gibi etkinlikleri devam etti. Amerikan
Dışişleri Bakanlığı’nın kurumsal ağlarına Rus bilgisayar korsanları tarafından girildiği tespit edildi.
Bakanlık zararlı yazılımı temizleyebilmek için günlerce bilgisayar sistemlerini erişime kapattı. Mart ayı
sonlarına doğru, GitHub isimli yazılım geliştiricilerin açık kaynak kodlu projelerini web üzerinden
Bilgi Güvenliği Derneği
Siber Güvenlik Raporu 2015 / 1. Çeyrek
8|11
paylaşabilmelerine imkân sağlayan web sitesi Çinli bilgisayar korsanları tarafından erişimi engelleme
(DDoS) saldırılarının hedefinde oldu. Saldırganların hedefinde özellikle Çin’in Great Firewall isimli
güvenlik duvarını aşabilmeye imkân sağlayan projeler vardı.
Martin son gününde ülkemizin büyük bir kısmında yaşanan elektrik kesintilerinin kaynağının siber
saldırı olabileceği geniş olarak tartışıldı. Resmi olarak kesintinin elektrik dağıtım şebekelerinde
yaşanan sorundan kaynaklandığı açıklansa da, Nisan ayında Observer isimli bir web sitesi kesintinin
arkasında İranlı Ashiyane isimli “hacker” grubunun olduğunu iddia etti [Observer]. HP’nin Şubat
ayında yayınladığı Cyber Risk 2015 raporunda Ashiyane grubunun yabancı devletlere yönelik
düzenlediği siber saldırılarını rejimin onayı ile yaptığı iddia edilmişti [HP].
BGD 2014 Raporunun 2015 Yılı Tahminleri Üzerine
2014 raporunda sağlık sektörüne ait kişisel veriler daha çok bilgisayar korsanlarının hedefinde olacak
tespitinde bulunmuştuk. Şubat ayındaki Anthem Inc. firmasına yapılan siber saldırılar bu tespite ilişkin
ilk gözlem oldu.
Bir diğer tespit, özel sektör ve kamu sektörü arasında özellikle sağlık, finans, ödeme ve savunma
sanayilerinde bilgi ve istihbarat paylaşımının önemi artacak seklindeydi. ABD, 10 Şubat tarihinde
duyurduğu yeni siber güvenlik kurumu “Cyber Threat Intelligence Integration Center” ile kurumlar
arasında bilgi paylaşımı konusunda ilk adımı atanlardan oldu [CTIIC]. Ayrıca, Beyaz Saray’ın 13
Şubat’ta Silikon Vadisinden Apple, Yahoo, Microsoft gibi firmaların katılımıyla düzenlediği Siber
Güvenlik Zirvesi ve zirvede Başkan Obama’nin imzaladığı Kamu-Özel Sektör Bilgi Paylaşımı yönetmeliği
bu amaca yönelikti.
“Devletler siber savaş ve siber casusluk için yatırım yapmaya ve silahlanmaya daha çok hız verecek”
ise 2014 yılı siber güvenlik raporunun 2015 yılına ilişkin bir diğer beklentisiydi. Kaspersky’nin 16
Şubat’ta açıkladığı rapora göre Equation Group adı verilen ve arkasında NSA’nın olduğu iddia edilen
APT (advanced persistent threat) grubu 2001 yılından itibaren 30 ülkedeki birçok kişi ve kurumun
bilgisayarına zararlı yazılım yerleştirerek faaliyetlerini takip etmekteydi [Equation]. İddiaya göre,
Bilgi Güvenliği Derneği
Siber Güvenlik Raporu 2015 / 1. Çeyrek
9|11
zararlı yazılım bilgisayarların sabit disklerinin “firmware” alanına yerleştirildiğinden bilgisayar
sıfırlansa bile yazılım yeniden aktif olabilmekteydi. Devletlerin yaptığı siber casusluk faaliyetlerine
ilişkin bir rapor ise The Intercept isimli web sitesinde yayınlanan yeni bir Snowden belgesi idi. Belgeye
göre, 2011 yılında NSA ve İngiliz muadili GCHQ dünyanın en büyük SIM kart üreticisi Gemalto’nun
sistemlerini “hack”lemişler ve dünyanın 80 ülkesinde bu SIM kartları kullanan kişilerinin iletişiminin
şifrelerini çözmeye yarayan özel anahtarları çalmışlardı [Simhack].
Son olarak, “ülkeler arasında siber güvenlik işbirliğine ilişkin ikili anlaşmalar imzalanacak” tespitine
yer vermiştik. Bu konuda basına yansıyan bilgilere göre, ABD ve İngiltere ile 16 Ocak’ta ABD ve
Hindistan 26 Ocak’ta siber güvenlik işbirliği anlaşmaları imzaladılar [WhiteHouse, TheHill].
Bilgi Güvenliği Derneği
Siber Güvenlik Raporu 2015 / 1. Çeyrek
10 | 1 1
Referanslar
[BGDSiber] Meral, Mehmet. Siber Güvenlik Raporu:2014’den Öne Çıkanlar,2015 Tahminleri, Şubat 2015:
https://mehmetmeral.files.wordpress.com/2015/02/siber-guvenlik-raporu.pdf
[Cyren] Cyren, Inc. 2015 Cyberthreat Yearbook., Mart 2015:
https://www.cyren.com/tl_files/downloads/CYREN_2015_CyberThreat_Yearbook.pdf
[HP] HP Security Research Team. Cyber Risk Report 2015. Hewlett-Packard Development Company, Şubat
2015: http://www8.hp.com/us/en/software-solutions/cyber-risk-report-security-vulnerability/
[Mandiant] FireEye, Inc. M-Trends 2015, Mart 2015: https://www2.fireeye.com/rs/fireye/images/rpt-mtrends-2015.pdf
[Symantec] Symantec, Inc. Internet Security Threat Report, Volume 20, Nisan 2015:
http://www.symantec.com/security_response/publications/threatreport.jsp
[Ikanow] IKANOW. Significant Data Breaches – January 2015, http://www.ikanow.com/significant-databreaches-january-2015/
[WashPost] Washington Post. China suspected in major hacking of health insurer,
http://www.washingtonpost.com/business/economy/investigators-suspect-china-may-be-reszponsible-forhack-of-anthem/2015/02/05/25fbb36e-ad56-11e4-9c91-e9d2f9fde644_story.html
[Freak] Green, Matthew. Attack of the week: FREAK (or 'factoring the NSA for fun and profit')
http://blog.cryptographyengineering.com/2015/03/attack-of-week-freak-or-factoring-nsa.html
[OpenSSL] OpenSSL Security Advisory. OpenSSL 1.0.2 ClientHello sigalgs DoS (CVE-2015-0291),
https://openssl.org/news/secadv_20150319.txt
[Observer] Observer. Iran Flexes Its Power by Transporting Turkey to the Stone Age
http://observer.com/2015/04/iran-flexes-its-power-by-transporting-turkey-to-the-stone-ages/
[CTIIC] FoxNews.Com. Obama administration announces new cybersecurity agency
http://www.foxnews.com/politics/2015/02/10/obama-administration-to-announce-new-cybersecurityagency/
[Equation] Kaspersky - Securelist Blog, Equation: The Death Star of Malware Galaxy
https://securelist.com/blog/research/68750/equation-the-death-star-of-malware-galaxy/
[Simhack] Mashable. NSA and UK spies hacked world's largest SIM card manufacturer, report says,
http://mashable.com/2015/02/19/sim-card-nsa-hack/?utm_cid=mash-com-Tw-main-link
[WhiteHouse] The White House. FACT SHEET: U.S.-United Kingdom Cybersecurity Cooperation,
https://www.whitehouse.gov/the-press-office/2015/01/16/fact-sheet-us-united-kingdom-cybersecuritycooperation
[TheHill] The Hill. US, India boost cyber cooperation, http://thehill.com/policy/cybersecurity/230707-usindia-boost-cyber-cooperation
Bilgi Güvenliği Derneği
Siber Güvenlik Raporu 2015 / 1. Çeyrek
11 | 1 1