Verisign - WordPress.com

RAPOR
2015 SIBER TEHDITLER VE
TRENDLER
AĞINIZI VE VERINIZI KORUMAK IÇIN BILMENIZ
GEREKENLER
İÇERİK
2
YÖNETICI ÖZETI
3
GIRIŞ
4
1. SIBER SUÇ: SATIŞ NOKTASI (POS) SISTEMLERI'NE YÖNELIK SALDIRILARDA
ARTIŞ
5
2. SIBER SUÇ: BANKALARA YÖNELIK YENI TRUVA ATLARI VE İNDIRME
UYGULAMASI KULLANIMINDA ARTIŞ
7
3. İNTERNET KORSANCILIĞI: FIZIKSEL VE DIJITAL PROTESTOLARIN BULUŞMASI
9
4. İNTERNET KORSANCILIĞI: HÜKÜMET YANLISI İNTERNET KORSANCILIĞI
ETKINLIĞI
11
5. İNTERNET KORSANCILIĞI: DDoS SALDIRILARININ KARMAŞIKLIĞI VE SAYISINDA
ARTIŞ 13
6. GÜVENLIK AÇIKLARI: SALDIRGANLARIN KRITIK ALTYAPILARI HEDEF ALMA
SAYISINDA ARTIŞ
14
7. GÜVENLIK AÇIKLARI: AÇIK KAYNAK YAZILIMLARIN (OSS) HEDEFLENMESINDE
ARTIŞ 16
8. GÜVENLIK AÇIKLARI: GÜVENLIK AÇIĞI ARAŞTIRMA "KITLE KAYNAK"
TRENDINDE ARTIŞ 18
9. SONUÇ
20
Verisign Public | 2015 Siber Tehditler ve Trendler
YÖNETICI ÖZETI
Günümüzde bir işletmeyi korumak hiç olmadığı kadar karmaşık ve zorlu bir iş haline
gelmiştir.
Kişisel ve profesyonel saldırı yüzeylerimiz daha önce hiç olmadığı kadar geniş olmakla
birlikte kurumların ve kişilerin çeşitli işler nedeniyle dijital dünyaya bağlı olma ihtiyaçları
artıkça daha da genişleyeceği beklenmektedir. Güvenlik görevlileri yalnızca işletmenin
varlıklarını korumakla kalmamalı aynı zamanda da tedarik zincirini ve diğer işletme
ekosistemlerini de tehditlere karşı korumalıdır. Bu tehditler, siber tehdit manzaralarının
aktörler, taktikler ve motivasyonlar açısından sürekli evrilmesi ile bir araya gelerek
hızla değişen saldırı taktikleri, teknikleri ve prosedürleri (TTP'ler) ile baş edebilmek için
kurumların istihbarat odaklı, bütünsel bir güvenlik yaklaşımına yönelmelerini gerektiren
bir durum oluşturmuştur.
2014 yılı boyunca ve 2015 yılında Verisign iDefense® Security Intelligence Services, siber
suçluların satış noktası (PoS) sistemlerine ve yeni banka zararlı yazılımları geliştirmeye
ve kullanmaya odaklandığını gözlemlemiştir. Global etkinlikler, internet korsancılığı
faaliyetlerinin ve hükümet yanlısı siber operasyonların sıklığını ve ciddiyetini artırmaya
devam etmektedir. Savunmasız eski ve açık kaynak işletim sistemleri ofis otomasyon
ağlarından endüstriyel kontrol sistemi (ICS) ağlarına kadar kritik ağların güvenliği
açısından sorun oluşturmaya devam etmektedir.
Günümüzde bir işletmeyi
korumak hiç olmadığı kadar
karmaşık ve zorlu bir iş haline
gelmiştir.
Bunlar, siber saldırılarda kullanılan TTP'lerdeki diğer temel değişiklikler ve 2014 yılında
kullanılmaya başlanan yeni araçlar bir araya gelerek dağıtılmış hizmet reddi (DDoS)
saldırıları ve gittikçe daha gizli zararlı kodlar da dahil olmak üzere güçlü bir saldırı
kombinasyonu oluşturmaktadır.
Verisign Public | 2015 Siber Tehditler ve Trendler
3
GIRIŞ
Verisign iDefense 2015 Siber Tehditler ve Trendler Raporu, geçen yılın kilit siber güvenlik
trendlerine genel bir bakış sağlar ve bu trendlerin gelecek yıl ne şekilde evrileceği
hakkında fikir verir. Bu raporun amacı, şirketlerini etkileyen kritik siber tehditler ve
trendler hakkında güvenlik ve işletme faaliyetleri ekiplerini bilgilendirmek ve böylece
bu ekiplerin kilit siber güvenlik gelişimlerini ön görmelerine ve saldırıları daha etkin
şekilde sınıflandırmalarına ve giderek daha kısıtlı hale gelen kaynakları daha verimli
paylaştırmalarına imkan tanımaktır.
Bu rapor, Verisign'ın 2014
yılında ve 2015 başında
belirttiği ve 2015’in kalanında
da gözlemlemeyi beklediği kilit
siber güvenlik trendlerine
genel bir bakış sunar.
Bu rapor, Verisign'ın 2014 yılında ve 2015 başında belirttiği ve 2015’in kalanında da
gözlemlemeyi beklediği kilit siber güvenlik trendlerine genel bir bakış sunar. Siber suç,
internet korsancılığı ve zayıflıkları kapsayan Verisign iDefense araştırması ve analizinden
alınan sonuçları içerir. Kapsam dahilindeki alanlar arasında kamu ve sıfır gün güvenlik
açığı, tehdit taktikleri, DDoS saldırıları, tehdit aktörleri, kilit altyapılara yönelik siber
güvenlik tehditleri, stratejik amaç, zararlı yazılım araçları ve tehdit ve güvenlik açığı
yönetimi, azaltması ve karşı önlemler yer alır.
iDefense, bu bilgiyi sunarak, girişimlerini etkileyen kritik siber tehditler ve trendler
hakkında çevrimiçi güvenlik ve işletme faaliyetleri ekiplerini bilgilendirmeyi ve böylelikle
gelecekteki kilit siber güvenlik sorunlarını etkin bir şekilde ön görebilmelerine ve hazırlık
yapabilmelerine imkan tanımayı ummaktadır.
4
Verisign Public | 2015 Siber Tehditler ve Trendler
1. SIBER SUÇ: SATIŞ NOKTASI (POS) SISTEMLERI'NE YÖNELIK SALDIRILARDA
ARTIŞ
2014 yılında, siber suçlular saldırılarında hedef aldıkları platform türlerinde ciddi
değişiklikler yaptılar. Windows tabanlı bankacılık Truva atı programlarının kullanımı siber
suç dünyasında kilit bir taktik olmaya devam ederken Verisign iDefense analizi büyük
perakendecileri ve küçük işletmeleri hedef alan PoS zararlı yazılımı kullanımının da
arttığını gözlemledi.
Ticari ödeme işlemi, envanter ve müşteri ilişkileri yönetimi (CRM) işlevleri ile bağlantılı
olduğundan PoS sistemleri tüm perakende ortamları için kritik bileşenlerdir. Bunların
çoğu Microsoft Windows gibi sıkça hedef alınan işletim sistemlerini kullanan sıradan
bilgisayarlardır ve bu nedenle siber suçlular tarafından işletme ağına sızmak için
kullanılabilecek zararlı yazılım riskine açıktırlar. Bu durum sıklıkla ad, posta adresi, kredi/
banka kartı bilgisi, telefon numarası ve e-posta adresleri dahil olmak üzere müşteri
verisini ifşa eder.
Etkilenen işletmelerde bu sistemlere sızılması marka ve itibar açısından ciddi kayıplara
ve hasar kontrolü, verisi çalınan müşteriye destek, hukuki danışmanlık, olası davalar, ilave
teknik korunma yöntemleri ve dahasının yol açtığı maliyetlere neden olabilir. Bu nedenle,
kurumsal ağların ve Web sunucularının gereksiz ifşa veya sızmaya karşı korunması veya
gerçekleşmiş yasal olmayan bir sızmanın azaltılması kritik önem taşır.
Target Corp. veri sızıntısı gibi büyük ses getiren olaylar nedeniyle 2014 yılında PoS riskleri
medyada daha fazla yer aldı.1 Target sızıntısı ilk olarak 2013 yılında ortaya çıktı ancak olaya
yönelik araştırma 2014 yılının ilk yarısına yayıldı. Target sızıntısıyla aynı dönemde Michaels
Stores2 3 milyon müşteri kaydını kaybetti ve üst sınıf bir perakendeci olan Neiman
Marcus'a3 da sızıldı.
Target olayından sorumlu olan ve saldırganların kredi kartı verisi çalmak için Target PoS
sistemlerine yüklediği PoS zararlı kodu, Black PoS olarak biliniyor. Black PoS ile bağlantısı
olmayan Backoff PoS zararlı yazılımı, 2014 yılındaki çok sayıda veri hırsızlığında kullanıldı.
Bunlar arasında P.F. Chang’s China Bistro Inc., Goodwill Industries International Inc., Sally
Beauty Supply LLC ve Jimmy John’s Franchise LLC yer aldı.4 Backoff PoS Java güncelleme
dosyası veya media player dosyası gibi zararsız bir yazılım gibi görünüyor ancak yazılım
içine yerleştirilen kullanıcı-ajan dizesini kullanarak komut ile kontrol (C&C) sunucusu ile
iletişim kuruyor. Kurumlar, ağlarındaki zararlı yazılımı algılamak için aynı dizeyi kullanabilir.
US-CERT Alert (TA14-212A)
Backoff Satış Noktası Zararlı
Yazılımı
Etki: Sızılmış bir PoS sisteminin
etkisi ad, posta adresi, kredi/banka
kartı numarası, telefon numarası
ve e-posta adresinin suçlu
taraflarca ele geçirilmesi nedeniyle
hem işletme hem de tüketiciyi
etkiler. Bu olaylar işletmenin
markasını ve itibarını zedeleyebilir
ve tüketicinin bilgisinin sahte
satın alımlar için kullanılması veya
banka hesaplarının ele geçirilmesi
riski doğurur. Kurumsal ağların ve
Web sunucularının gereksiz ifşa
veya sızmaya karşı korunması veya
gerçekleşmekte olan hasarların
azaltılması kritik önem taşır.
1 Krebs, Brian. “A First Look at the Target Intrusion, Malware.” KrebsonSecurity. 14 Ocak 2014
http://krebsonsecurity.com/2014/01/a-first-look-at-the-target-intrusion-malware/
2 Jayakumar, Amritha. “Michaels say 3 million customers hit by data breach.” 19 Nisan 2014 The Washington Post.
http://www.washingtonpost.com/business/economy/michaels-says-nearly-3-million-customers-hit-by-databreach/2014/04/18/3074e432-c6fc-11e3-8b9a-8e0977a24aeb_story.html
3 Elgin, Ben, Dune Lawrence and Michael Riley. “Neiman Marcus Hackers Set Off 60,000 Alerts While Bagging Credit Card Data.”
21 Şubat 2014 Bloomberg. http://www.businessweek.com/articles/2014-02-21/neiman-marcus-hackers-set-off-60-000-alertswhile-bagging-credit-card-data
4 Perlroth, Nicole. “Checking In From Home Leaves Entry for Hackers.” The New York Times. 31 Temmuz 2014
http://www.nytimes.com/2014/07/31/technology/checking-in-from-home-leaves-entry-for-hackers.html?_r=0
Verisign Public | 2015 Siber Tehditler ve Trendler
5
ABD Bilgisayar Acil Durum Hazırlık Ekibi (US-CERT), 31 Temmuz 2014 tarihinde Blackoff PoS
zararlı yazılım kodunu ele alan bir Uyarı (TA14-212A) yayınladı ve “backoff”, “goo”, “MAY”,
“net” ve “LAST” değişkenlerini tanımladı.5
Verisign, geçtiğimiz yılda yaşanan ve ses getiren olayların başarısı ile hassas verileri diğer
ağlarından ayırmayan küçük ve büyük işletmeler nedeniyle PoS saldırılarının 2015'te
artmasını bekliyor.
PoS saldırılarının önlenmesine yardımcı olmak için Verisign, perakendecilerin ağ bölümleri
için güvenlik duvarı kullanımı, noktalar arası şifreleme ve gelişmiş izleme özellikli güvenlik
yazılımı, güvenlik açığı yönetimi ve uygulama kontrol becerileri gibi koruyucu önlemleri
uygulamaya koymalarını öneriyor. Verisign aynı zamanda, kurumların tüm ağ giriş
noktalarında iki faktörlü kimlik doğrulama kullanmasını da öneriyor.
5 US-CERT. “Alert (TA14-212A): Backoff Point-of-Sale Malware.” 31 Temmuz 2014
https://www.us-cert.gov/ncas/alerts/TA14-212A
6
Verisign Public | 2015 Siber Tehditler ve Trendler
2. SIBER SUÇ: BANKALARA YÖNELIK YENI TRUVA ATLARI VE İNDIRME
UYGULAMASI KULLANIMINDA ARTIŞ
Siber suçlular tarafından en sık kullanılan araçlardan biri Truva atlarıdır. Bunlar genellikle
e-posta eki veya Web üzerinden yapılan indirmelerde karşılaşılan ve zararsız gibi görünen
yazılım parçalarıdır. Ancak, cihaza indirildiklerinde büyük hasar verebilirler ve sıklıkla fark
edilmezler. Çevrimiçi bir banka hesabına sızmak ve suçlular tarafından kontrol edilen diğer
hesaplara para aktarmak için özel olarak tasarlanmış olan Bankalara yönelik Truva atı zararlı
yazılımı, uzun süre boyunca uyku halinde kalabilir ve harekete geçmek için kurbanın
çevrimiçi banka web sitesini ziyaret etmesini bekleyebilir. Bu olduğunda, Truva atı fark
ettirmeden banka hesabı kullanıcı adını ve parolasını alır ve siber suçlular tarafından
kontrol edilen kimi zaman dünyanın diğer ucundaki bir bilgisayara gönderir.
2014 yılında Verisign iDefense araştırmacıları bankalara yönelik çeşitli Truva atları yakaladı
ve analiz etti. Bunlar arasında yer alan önemli örnekler şunlardır:
•• Dyre/Dyreza:6 Verisign, bankalara yönelik bu Truva atının ABD FBI tarafından
yönetilen global operasyonla kontrol altına alınan Zeus'un yerine tasarlanmış
olabileceğine inanıyor. Zararlı yazılımın ardındaki aktörler her gün yeni özellikler ve
hedefler eklemeye devam ediyor. Bu zararlı yazılımın dağıtımında kullanılan en yaygın
yöntem Upatre indirme uygulamasının türevleri ile geniş kitlelere gönderilen kimlik avı
e-postalarında yer alan ve PDF belgesi gibi görünen eklentilerdir.
•• Blockade (a.k.a., Cridex, Dridex):7 Bankalara yönelik Blockade Truva atları kendi
başlarına çalıştırılan bir dosya olmayı bırakıp, "explorer.exe" işlemine dahil olan bir
dinamik bağlantı kitaplığı (DLL) haline geldi. Blockade ABD, Avrupa ve Orta Doğu'daki
bankaları ve finans kurumlarını hedef alıyor. Blockade, kullanıcıların çevrimiçi
bankacılık oturumları sırasında kurbanlardan sosyal güvenlik numarası, doğum tarihleri
ve doğum yerleri gibi ek hassas bilgiler almak için Web enjeksiyonları kullanıyor.
Blockade'i dağıtmak için kullanılan en yaygın yöntem tipik olarak Uygulamalar için
Visual Basic (VBA) kaçak makrolarının bulunduğu zararlı Microsoft Word belgeleri
içeren ve geniş kitlelere gönderilen kimlik avı e-posta kampanyalarıdır. Çalışmaya
başladığında, VBA makroları, komuta ve kontrol sunucusundan Yakes indirme
uygulaması ikilisini almayı deniyor. Yakes, tek amacı Blockade DLL dosyalarını indirmek
olan küçük bir exe dosyasıdır.
2014 yılında siber suçlular,
bankalara yönelik Truva
atı zararlı yazılımlarını
kurbanlarına göndermek için
kullandıkları yöntemlerini
büyük ölçüde değiştirdiler.
•• Tinba (a.k.a., Tiny Banker, Zusy):8 Rinba banka Truva atı ailesi 2014 yılında bir takım
değişiklik yaşadı. Bunlar arasında 64 bitlik bir modül gelişimi ve C&C sunucularının
bulunmasında kullanılan yeni alan adı oluşturma algoritması (DGA) yer alıyor. Tinba
banka Truva atı küçük bir hedef listesine sahip ve bunların çoğu Batı Avrupa ile ABD'de
yer alıyor.
6 Kirk, Jeremy. “New powerful banking malware called Dyreza emerges.” 16 Haziran 2014 PCWorld.
http://www.pcworld.com/article/2364360/new-powerful-banking-malware-called-dyreza-emerges.html
7 Mimoso, Michael. “Cridex Variant Geodo part Trojan, Part Email Worm.” 1 Temmuz 2014 ThreatPost.
https://threatpost.com/cridex-variant-geodo-part-trojan-part-email-worm/106943
8 Kirk, Jeremy. “Source code for tiny ‘Tinba’ banking malware leaked.” July 10, 2014. PCWorld.
http://www.pcworld.com/article/2453160/source-code-for-tiny-tinba-banking-malware-leaked.html
Verisign Public | 2015 Siber Tehditler ve Trendler
7
2014 yılında siber suçlular, bankalara yönelik Truva atı zararlı yazılımlarını kurbanlarına
göndermek için kullandıkları yöntemlerini büyük ölçüde değiştirdiler. Yukarıda bahsedilen
banka Truva atlarının büyük çoğunluğu artık, antivirüs programlarından gizlenmek için
küçük boyutlu ve kendilerine özel gizleme teknikleri kullanan indirme uygulamaları ile
dağıtılıyor. Kurbanın bilgisayarında çalışmaya başladıktan sonra indirme uygulamaları,
sızılan web siteleri ile bağlantı kuruyor ve zararlı yazılım yüklerini indiriyor. Bu yeni yöntem
(tek seferde bütün bir yükü göndermeye kıyasla) dağıtımı artırıyor ve C&C esnekliği,
zararlı yazılım tekrar kullanımı ve güvenlik kontrollerinin daha granüler bir şekilde
hedeflenmesine imkan tanıyor.
2015 yılının başında Upatre/Dyre ve Yakes/Blockade kampanyalarının ardındaki aktörler,
otomasyonlu çözümleri ve sanal ortamları algılamak ve antivirüs programlarından
gizlenmek için yöntemlerinde değişiklik yaptılar. Buna ek olarak bazı kampanyalarda
sızma sürecinde son zararlı yükün indirilmesi için doğrudan kullanıcı girişi kullanıldı.
Verisign iDefense araştırmacıları büyük kampanyaları kapsamlı bir şekilde analiz ederek
aşama 0 (kimlik avı e-postası) ila aşama 3 arasında (çoklu gönderim modülleri) 4 aşamalı
bir model eğilimi gösteren (bkz. şekil 1) kampanyalara ilişkin bütünsel bir görünüm elde
etti. Her bir kampanya aşamasının tanımlanması Verisign'ın yeni oluşturulan ikili kodları
yakalamasına ve sızıntı konusunda erken belirtiler sağlayarak müşterilerini proaktif bir
şekilde korumasına imkan tanıdı.
Verisign iDefense, siber suçluların, ana dağıtma yöntemi olarak eklentili kimlik avı
e-postalarını kullanmaya devam edeceklerine inanıyor. Aynı zamanda, saldırganların
kimlik avı e-postalarının ilk yükü olarak asıl zararlı yazılımdan ziyade, indirme uygulamaları
modülleri kullanmaya devam etme olasılıkları yüksek.
Verisign, bu tip Truva atlarından korunmak için en yeni güvenlik güncellemeleri
kullanılarak bilgisayarların güncel tutulmasını, en azından aylık otomatik güncellemeler
yapan bir antivirüs yazılımının yüklenmesini tavsiye ediyor. Risk altındaki kurumlar çok
sayıdaki zararlı yazılım tehdidinden korunmaya yardımcı olmak için güvenlik duvarı da
kullanabilir. Son olarak, kullanıcılar, tanımadıkları veya güvenmedikleri kişilerden gelen
e-postalardaki bağlantılara tıklamamalı veya ekleri indirmemeli.
0. Aşama:
Kimlik Avı E-Postası
1. Aşama:
Yakes İndirme
Uygulaması
2. Aşama:
Blockade Banka
Truva Atı
3. Aşama:
Spam Zararlı
Yazılımı
Şekil 1: Banka Truva Atı Kampanyası Aşamaları
8
Verisign Public | 2015 Siber Tehditler ve Trendler
3. İNTERNET KORSANCILIĞI: FIZIKSEL VE DIJITAL PROTESTOLARIN BULUŞMASI
2014 yılında dünyada fiziksel ve dijital protestoların bir arada kullanımında artış gözlendi.
Ferguson, Missouri'de polis tarafından açılan ateş9, Brezilya Dünya Kupası için yapılan
harcamaya tepkiler10, Suriye'deki iç savaş11 dahil olmak üzere yıl boyunca gerçekleşen
global etkinliklerde görüldüğü üzere korsan gruplar, sorumlu olduklarını, suç ortaklığı
yaptıklarını veya en çok ses getireceğini düşündükleri kişi ve kurumlara karşı siber olarak
harekete geçiyorlar.
2014 yılında Orta Doğu ve Doğu Avrupa'daki çok sayıda savaş, korsancılık saldırıları
gerçekleştirerek bu çatışmalara sanal olarak katılmak için çok sayıda tehdit aktörünü
faaliyete geçirdi. Uluslararası bir korsan grubu olan Anonymous, Filistin'i desteklemek
için İsrail'i hedef alan ve Irak ve Suriye'deki İslami Devlet (IS) yükselişi ve yayılımına tepki
olarak kampanyalar başlattı. Suriye ve Ukrayna'daki sivil ayaklanmalar da ilgili bölgelerde
ulusal korsancılık tarzı Suriye Elektronik Ordusu (SEA) ve CyberBerkut aktörlerin harekete
geçmesine neden oldu.
25 Aralık 2014 tarihinde çevrimiçi oyun sağlayıcısı PlayStation Network (PSN) ve Xbox
Live, DDoS saldırısı olduğu iddia edilen bir kampanya ile ciddi bir süre boyunca çevrimdışı
kaldı. 2014 yılının Ağustos ayında LizardSquad adındaki hacker grubu bu DDoS saldırıları
ve bir dizi diğer saldırıyı üstlendiğini açıkladı.12
DDoS saldırıları geçmişte olduğu gibi günümüzde de korsancılık topluluğu tarafından
kullanılan bir saldırı yöntemidir ve en yaygın kullanılan araç Low Orbit Ion Cannon
(LOIC) adı verilen bir araç veya bu aracın her bir faaliyet için üzerinde değişiklik yapılmış
sürümleridir.
Korsanların amaçlarına ulaşmak için kullanabilecekleri bir diğer yöntem ise web sitelerinin
tahrif edilmesidir. Bir zamanlar amatörlerin kullandığı bir araç olarak değerlendirilen
tahrif yöntemi, bir hedefin itibarını zedelemek amacıyla yeniden kullanılmaya başlandı.
Saldırganların tahrifatlar sırasında hedeflerinin itibarını zedeleyici bilgiler vermesi veya
bildirimde bulunmaları daha yaygın şekilde görülüyor. Bu amaçla, sosyal medyaya ve
diğer halka açık hesaplara sızmak korsanlar için ortak bir hedef olmaya devam ediyor.
DDoS saldırıları geçmişte
olduğu gibi günümüzde de
korsancılık topluluğu tarafından
kullanılan bir saldırı yöntemidir
ve en yaygın kullanılan araç
Low Orbit Ion Cannon (LOIC) adı
verilen bir araç veya bu aracın
her bir faaliyet için üzerinde
değişiklik yapılmış sürümleridir.
Geçtiğimiz yıl sosyal medya mühendisliği de siber saldırılarda büyük pay sahibi olmaya
devam etti. Bunlar arasında deneyimli hacker gruplarının haber, devlet ve endüstri
kuruluşlarının sosyal medya platformlarına ve alan adı sistemlerine (DNS) sızmak için ilgili
kurumların bilgilerini ele geçirmeye odaklandığı korsancılık saldırıları da yer alıyor.
9 KChuck, Elizabeth. “The Killing of an Unarmed Teen: What We Know About Brown’s Death.” 13 Ağustos 2014 NBC News.
http://www.nbcnews.com/storyline/michael-brown-shooting/killing-unarmed-teen-what-we-know-about-brownsdeath-n178696
10 Fick, Jeff. “Brazilian Protesters Burn U.S. Flag As Americans Shine in World Cup Debut.” 16 Haziran 2014 Forbes.
http://www.forbes.com/sites/jefffick/2014/06/16/brazilian-protesters-burn-u-s-flag-as-americans-shine-in-world-cup-debut/
11 “Syrian Civil War.” 13 Ocak 2015 Erişimi The LA Times.
http://www.latimes.com/topic/unrest-conflicts-war/demonstration/syrian-civil-war-EVGAP00010-topic.html
12 Kain, Erik. “Hacker Group Lizard Squad Takes Down Sony’s PlayStation Network.” 8 Aralık 2014 Forbes.com.
http://www.forbes.com/sites/erikkain/2014/12/08/hacker-group-lizard-squad-takes-down-sonys-playstation-network/
Verisign Public | 2015 Siber Tehditler ve Trendler
9
2015 yılında fiziksel ve dijital protestoların bir arada kullanılması yukarıdaki analizi
destekleyen etkinlikler sağlamıştır. Örneğin, internet korsanları 7-9 Ocak 2015 tarihinde
Fransa'da gerçekleştirilen terör saldırılarına karşı kampanyalar başlattı. Arap ve Müslüman
korsanlar, Fransız web sitelerine karşı #OpFrance paylaşımları yaparken Anonymous
korsan grubunun Frankofon ve Anglofon üyeleri #OpCharlieHebdo paylaşımları ile cihat
yapısına karşı harekete geçti. #OpFrance hareketinin katılımcılarından iki tanesi 15 Ocak
2015'te Fransa'ya karşı yapılan saldırıları planladığını önceden bildirdi ve bu tarihte
#OpFrance geçici olarak taktik değiştirerek veri sızdırma ve kişisel bilgilerin ifşasına yöneldi.
15 Ocak tarihinde #OpFrance hareketinin 19.000'den fazla web sitesini etkilediği bildirildi.
Başka bir örnekte ise, PawSecReturns hacker grubu 22 Şubat 2015 tarihinde
#OpTigerStorm kampanyasının bir parçası olarak Taylandlı hedeflere karşı yüksek profilli
DDoS saldırıları gerçekleştirdiğini açıkladı. Kampanyada, tanınan kurumlar hedef alınarak
Asya'daki kaplanların soylarının tükenmeye karşı ve kötü muameleye karşı korunmaya
alınması için insanların dikkatini çekmek amaçlandı. Hedefler arasında World Gas
Company, wp-energy.co.th ve sosyal ağ olan Thailand Friends yer alırken, grubun hedef
aldığı iddia edilen diğer hedefler arasında Exxon Mobil ve Esso vardı.
Bu tip etkinlikler çok sayıda
insanın dikkatini çektiği ve
DDoS hizmet tipinin kullanımı
ve popülaritesi arttığı için
Verisign, 2015 yılında internet
korsancılığı vakalarının
artacağını düşünmektedir.
10
Bu tip etkinlikler çok sayıda insanın dikkatini çektiği ve DDoS hizmet tipinin kullanımı ve
popülaritesi arttığı için Verisign, 2015 yılında internet korsancılığı vakalarının artacağını
düşünmektedir. Bu tip saldırılara karşı korunmakta kullanılabilecek yöntemlerden bazıları
DNS kayıtlarını güvene almak için kayıt kilitleme uygulamak, sosyal medya ve diğer kritik
web siteleri için iki faktörlü kimlik doğrulama kullanmak ve modern DDoS saldırılarının
artan boyut ve karmaşıklığına karşı korunmaya yardımcı olmak için proaktif DDoS
korunma çözümleri uygulamaya koymaktır.
Verisign Public | 2015 Siber Tehditler ve Trendler
4. İNTERNET KORSANCILIĞI: HÜKÜMET YANLISI İNTERNET KORSANCILIĞI
ETKINLIĞI
2014 yılında özellikle dikkat çeken bir olay da hükümet yanlısı aktörlerce gerçekleştirilen
korsancılık vakalarıydı. İnternet korsancılığı bir zamanlar gizli aktörler tarafından sıklıkla
devlet veya hükümet aleyhine yapılan bir eylem olarak görülürken, günümüzde hükümet
ve destekçileri tarafından kullanılabilecek ve sıklıkla bağımsız motivasyon aldatmacasının
ardına gizlenmeye çalışılan bir araçlar dizisi sunmaya başladı.
Bu noktada, hükümet lehine saldırılarda bulunan saldırganların hükümet içinde yer alan
aktörler olmayabileceğine dikkat edilmeli. Politik saldırılar için botnet kullanan suçlular bu
senaryoya örnek olarak gösterilebilir. Hükümet yanlısı olmalarına rağmen bu aktörlerin
motivasyonları farklılık gösterebilir. Bu kişiler saldırı yapmaları için hükümetten ödeme
alan kişiler, vatansever gönüllüler veya yasalar gibi hükümet kontrolündeki diğer baskılara
maruz kalan kişiler olabilir.
Hükümet yanlısı korsanların kullandığı çok sayıda teknik, geniş korsancılık toplulukları
tarafından kullanılan tekniklerin yansımalarıdır ancak, hükümet yanlısı aktörlerin daha
sık kullandığı bir takım bakış açıları mevcuttur. Ana hükümet yanlısı korsanlar, sıklıkla
operasyonları engellemeye, itibar zedelemeye (genellikle politik hedefler için) veya
casusluk yapmaya odaklanır.
Bu noktada, hükümet
lehine saldırılarda bulunan
saldırganların hükümet
içinde yer alan aktörler
olmayabileceğine dikkat
edilmeli.
2014 korsancılık küresinde, hükümet çıkarlarını desteklemek için yapılan hükümet
yanlısı eylemler NATO uygulamalarını kınamak, politik rakipleri zayıflatmak, muhalefeti
hedef almak, protestoları durdurmak ve geniş çapta propaganda yapmak gibi çok çeşitli
şekillerde uygulandı. Diğer saldırılar, karşı taraftaki kritik endüstrileri ve kurumları ve gerek
özel gerekse kamu sektörlerindeki büyük uluslararası aktörleri hedef aldı.
Hükümet yanlısı korsancılık sırasında sık kullanılan araçlardan bir tanesi DDoS saldırılarıydı.
Bu, hedefin zayıflığını göstermek için belirli bir siteyi çökertmek veya daha büyük bir
operasyona müdahil olmak için çok sayıda siteyi, ağı ve hatta şahsi aygıtları hedef
almak amacıyla kullanılabilir. Hükümet yanlısı bir Rus grup olan CyberBerkut, 500'den
fazla Ukrayna devlet sitesine ve "bilgi kaynaklarına" DDoS saldırısı yaptığını ve Ukrayna
parlamenterlerine karşı telefon DDoS saldırıları yaptığını açıkladı.13
Verisign, 2015 başlarında, hükümet yanlısı korsancılık faaliyetlerinin daha da gelişeceği
beklentisini destekleyen etkinlikler gözlemledi. Aşağıda bu gözlemlerden birkaçı
verilmiştir:
Hükümet yanlısı korsancılık
sırasında sık kullanılan
araçlardan bir tanesi DDoS
saldırılarıydı.
•• 21 Ocak tarihinde Suriye Elektronik Ordusu'nun (SEA) Fransız gazetesi Le Monde'un
twitter hesabına girdiği ve @lemondefr hesabından düzmece tweetler yayınladığı
açıklandı. Bunlardan bir tanesi Filistin ve Suriye yanlısıydı ve mesajda "Je Ne Suis Pas
Charlie" yazıyordu. Ek olarak, SEA'nın lemonde.fr etki alanına DDoS saldırısı yaptığı ve
13 “24.08.2014 г. Армия КиберБеркута заблокировала телефоны депутатов верховной рады и более
500 проправительственных информационных ресурсов” (“Army of CyberBerkut tarafından engellenen Rada telefonlar ve
500'ün üzerinde bilgi kaynağı”). 24 Ağustos 2014 CyberBerkut. http://cyber-berkut.org/
Verisign Public | 2015 Siber Tehditler ve Trendler
11
kısa bir süreliğine erişilmez hale getirdiği de bildirildi. Saldırılar, Fransa'nın "#Suriye'de
terörizm"i desteklediği iddiasıyla yapıldı. Verisign, bu saldırıların gerçekleştiğini
doğruladı.14
•• Mart 2015 tarihinde yeni bir korsan grup ortaya çıktı: French Red Army – Electronic
Division (ARF-DE). Adına rağmen Verisign bu grubun liderlerinden ikisinin Suriyeli
olabileceğini ve bunlardan birinin Rusya'da yaşıyor olabileceğini düşünüyor. Grubun
hedef listesinde NATO, Körfez Arap Ülkeleri İşbirliği Konseyi (GCC), İsrail ve aynı "dünya
düzeni"nin parçaları olarak gördüğü terörist gruplar yer alıyor ve bu liste, müttefik
hükümetlere sahip Suriye ile Rusya'nın ortak veya paylaşılan çıkarları ile tutarlı. ARF-DE,
SEA ve CyberBerkut'u destekliyor.15
•• Verisign, korsancılık iletişimleri üzerine yaptığı analizde gelecekte yapılacak siber saldırı
belirtileri ve 2015 yılı başında Yemen'de Şii Huti direnişçilerine karşı Suudi liderliğinde
gerçekleştirilen çok uluslu bir askeri operasyon olan "Çözüm Fırtınası"na tepki olarak
saldırılar yapıldığına dair raporlar açığa çıkardı. Bir tarafta, Huti'leri destekleyen Huti ve
Şii İran'a saldırılar yaptığı veya teşvik ettiği iddia edilen Suudi aktörler yer alırken, diğer
tarafta Orta Doğu ve ötesinde tutucu veya solcu ideolijilere sahip olduğu veya Çözüm
Fırtınası'na karşı durmayı teşvik eden korsanlar yer alıyor ki Verisign, bu durumun
aktörlerin bazılarının karakteristiğine uymadığını düşünüyor. Verisign iDefense
analistleri, Çözüm Fırtınası destekçilerinin genellikle Arapça iletişim kurduğunu,
rakiplerinin ise çoğunlukla İngilizce kullandığını ortaya koyuyor.16
•• SEA, 30 Mart 2015 tarihinde Endurance Group bünyesindeki çok sayıda Web sağlayıcı
şirketine sızdığını ve bünyelerinde terörist web siteleri barındırdıklarını iddia etti.
Verisign bu olayın, şirketlerin sahip olduğu müşterilerden birkaçına ulaşabilmek için
grubun servis sağlayıcılara saldırmayı göze aldığını ve Suriye hükümetini desteklemek
için Batı terörizmi karşıtlığı düşüncesinden faydalanma çabalarını ortaya koyduğuna
inanıyor.17
Hükümet yanlısı korsancılık, birkaç yıldır motivasyon ve başarılı bir saldırı yöntemi
olmaya devam ettiğinden ve bu tip saldırılara karşı uluslararası yasalar veya yaptırımlar
olmadığından Verisign, ülke-hükümet teşvikli korsancılık eylemlerinin 2015'in kalanında
ve sonraki tarihlerde devam etmesini bekliyor.
14
15
16
17
12
iDefense. “iDefense Weekly Threat Report, Vol. XIII, No. 4”. 26 Ocak 2015, Belge ID 1079423
iDefense. “iDefense Weekly Threat Report, Vol. XIII, No. 13”. 30 Mart 2015 Belge ID 1081070
iDefense. “Risk of Cyber-attacks Responding to Saudi-Led Military Operation in Yemen”. 6 Mayıs 2015 Belge ID 1081193
iDefense. “Syrian Electronic Army Claims to Have Breached Web Hosting Companies”. 1 Nisan 2014 Belge ID 1081085
Verisign Public | 2015 Siber Tehditler ve Trendler
5. İNTERNET KORSANCILIĞI: DDoS SALDIRILARININ KARMAŞIKLIĞI VE
SAYISINDA ARTIŞ
DDoS saldırıları 2014 yılında da değişmeye devam etti. Bu değişimde saldırı boyutlarının
artması ve genişleyen hedef dizisine karşı özel saldırı türleri ve vektörlerinin kullanılması
yer aldı.
2014 süresince Verisign, DDoS saldırılarının boyutlarında düzenli bir artış gözlemledi ve
2014 yılının sonunda Verisign müşterilerine karşı yapılan saldırılarda kullanılan ortalama
bant genişliği saniyede 7 gigabit (Gbps) oldu.18 Kıyaslamak gerekirse, 2013 yılının sonunda
saldırılar ortalama 2 Gbps ile yapılıyordu. 2014 yılında Verisign'ın etkisini azalttığı en büyük
saldırı tepe noktasında 300 Gbps ve saniyede 90 milyon üzere paket civarındaydı.19
2014'te, en sık DDoS saldırısına maruz kalan iki unsur medya ve eğlence sağlayıcıları (örn.
çevrimiçi oyun) ve BT hizmetleri organizasyonları (örn. Bulut işlem amaçlı yazılım) oldu.
2014 yılında çok sayıda saldırıya maruz kalan diğer sektörler e-ticaret, finans hizmetleri ve
kamu sektörü oldu.
2014 yılındaki güçlendirme (yansıtma) saldırılarının çoğu hatalı yapılandırılmış
sunuculara gönderilen sahte "monlist" talepleri ile Ağ Zaman Protokolü'nün (NTP) kötüye
kullanılmasını içerdi. Ancak, 2014'ün ikinci yarısında Verisign daha fazla sayıda saldırının
Basit Hizmet Keşif Protokolü'nü (SSDP) kullanmaya başladığını keşfetti. Bu protokol daha
düşük bir güçlendirme faktörüne sahiptir ancak saldırılarda kullanılabilecek yönlendirici
gibi çok sayıda hatalı yapılandırılmış ve izlenmeyen (ve hatta yönetilmeyen) hosta sahiptir.
Uygulama katmanlı saldırılar Verisign'ın 2014 yılında gözlemlediği saldırıların yaklaşık
yüzde 20'sini oluşturdu. Kullanıcı datagram protokolü (UDP) güçlendirmesi gibi diğer
DDoS yöntemleriyle kıyaslandığında bu tür saldırılar, hem gerçekleştirmek hem de
azaltmak için daha fazla uzmanlık gerektirir. Bunları ve diğer tip saldırıları gerçekleştiren
saldırganlar, saldırı sırasında taktiklerini sık sık değiştirirler ve bu nedenle savunanların da
değişikliklere hızla adapte olması gerekir.
Verisign, 2015'in ilerleyen dönemlerinde bu trendlerin çoğunun devam etmesini bekliyor.
Saldırı boyutları ve kullanılabilir kaynaklar geçerli "silah yarışı"nı muhafaza edecek
ve hedefler genişlemeye ve yeni vektörleri içermeye devam edecek. Muhtemelen
güçlendirme saldırıları, daha az beceri sahibi saldırganlar tarafından kullanılmaya devam
edecek ancak, daha yüksek beceri sahibi saldırganlar TTP'lerini yeni yönde değiştirecek ve
savunanların tetikte ve çabuk davranması gerekecek.
Verisign, işletmenizin DDoS saldırılarında farkında olmadan kullanılmamasını sağlamak
için giden ağ akışları dahil olmak üzere şirket içi varlıkların denetlenmesini tavsiye eder. Ek
olarak, modern DDoS saldırılarının boyut ve karmaşıklığında artış sorununu azaltmak için
proaktif bir DDoS koruma çözümü uygulamaya koyulmasını tavsiye ediyor.
Verisign, işletmenizin DDoS
saldırılarında farkında olmadan
kullanılmamasını sağlamak
için giden ağ akışları dahil
olmak üzere şirket içi varlıkların
denetlenmesini tavsiye eder.
18 Verisign. “Infographic: Verisign 3 Aylık DDoS Trendleri Raporu: Ç4 2014." 19 Şubat 2015 VerisignInc.com.
http://www.verisigninc.com/assets/Q4_verisign_ddos-trends_infographic.pdf
19 McPherson, Danny. “Verisign 300 Gbps. DDoS Saldırısını ve diğerlerini azalttı Ç2 2014 DDoS Trendleri.” 13 Ağustos 2014
VerisignInc.com. http://blogs.verisigninc.com/blog/entry/verisign_mitigates_300_gbps_ddos
Verisign Public | 2015 Siber Tehditler ve Trendler
13
6. GÜVENLIK AÇIKLARI: SALDIRGANLARIN KRITIK ALTYAPILARI HEDEF ALMA
SAYISINDA ARTIŞ
Bir zamanlar yalnızca film senaryolarına ve casusluk romanlarına konu olan, kritik
ulusal altyapılara saldırı yapan tehlikeli şahıslar konsepti günümüzde ulusal güvenlik
tartışmalarında başı çekmektedir. 2014 yılında ABD İç Güvenlik Bakanlığı (NSA) ve ABD
Ulusal Güvenlik Teşkilatı, endüstriyel kontrol sistemlerinin (ICS) genel olarak hacker ve
özellikle de ideolojik olarak motive olan hackerların saldırılarına karşı güvenlik açıklarıyla
ilgili duydukları kaygıyı dile getirdi.20
Enerji, iletişim, acil durum hizmetleri, taşımacılık ve benzeri gibi kritik altyapı sektörleri, bir
ülkenin küresel pazarda rekabet etme gücünü zayıflatmak için gelişmiş teknoloji şirketleri
ve kritik üretim gruplarını hedef alacak siber suçlular için önem taşıyan hedefler haline
geldi. Saldırganlar, halka açık web sitelerine ek olarak ofis otomasyon ağlarına, tesis zemini
süreç kontrol sistemlerine ve tedarik zinciri ile dağıtım kanallarına bir dizi fiziksel ve siber
tehdit vektörü kullanarak saldırabilir ve bunlar arasında zararlı yazılımlar da bulunabilir.
Kayda Değer 2015 Başı ICS
Güvenlik Açıkları
Henüz 2015'in başında (8 Nisan
2015 itibariyle) ICS-CERT, birden
fazla ICS yazılımı tipini etkileyen
toplam 49 adet tavsiye yayınladı.
Bu 49 tavsiyenin arasında beş
tane ICS güvenlik açığı hem
kritik fiziksel altyapı desteğinde
tekrarlanması hem de kötü
amaçlı kullanımın saldırganlara
sağlayacak kontrol derecesinin
yüksekliği nedeniyle göze
çarpmaktadır.
Kritik altyapı mühendisliği, tüketici hizmetleri otomasyonu ve ticari siber-fiziksel
sistemlerin gelişim ve büyümesindeki artış; belirleyici olmayan davranış gibi aygıt izleme
güçlüklerini, yeni güvenlik açıklarını ve yeni tehdit vektörlerini de beraberinde getirecek.
Saldırganlar, İnternet'te arama yaparak ICS donanımının açık bir şekilde (şifreleme veya
kimlik doğrulama olmadan) kullanıldığı siteleri bulacak araçlara sahiptir. Kurumlar, ağ
aygıtlarının ve hizmetlerinin İnternet maruziyetlerini kapsamlı bir şekilde analiz etmeli
veya maruziyeti azaltmalı ya da maruz kalan aygıt ve hizmetlerin güvenliğini ve takibini
artırmalıdır.
ABD kritik altyapı koruma (CIP) sektöründe, diğer tüm sektörlerin enerji şirketlerinin
verdiği hizmetlere bağımlı faaliyet gösterdikleri bilinciyle enerji şirketlerinin siber
saldırılara ve fiziksel saldırılara karşı korunması konusunda endüstri çapında kaygı söz
konusudur. Enerji şebekesi, ABD kritik altyapı bileşenlerinin en eskilerinden biridir ve
farklı jenerasyonlardan personel, ulusal şebekeyi neredeyse 80 yıl desteklemiştir. Ancak
endüstride artık yalnızca teknolojinin geliştirilmesine değil aynı zamanda siber ve fiziksel
tehditlere karşı güvenlik kaygılarına odaklanma gereği de anlaşılmaya başlandığından
kültürel bir değişim söz konusudur. Bu da tasarımda, üretimde ve aygıtlar ile bileşenlerin
BT ve ICS için kullanılmasında güvenlik çözümlerinin de yer alması anlamına gelir.21
Verisign, saldırganların global olarak ICS zayıflıklarını arayıp bunları kötü amaçlı kullanmaya
devam edeceklerini göz önünde bulundurarak, CIP girişimlerine odaklanmada 2015
yılında artış görülmesini beklemektedir.
20 Behr, Peter. “Cyberattackers have penetrated U.S. infrastructure systems -- NSA chief.” 21 Kasım 2014 Energywire.
http://www.eenews.net/stories/1060009391
21 Magnuson, Stew. “Power Companies Struggle to Maintain Defenses Against Cyber Attacks.” March 2014. Ulusal Savunma
Endüstrisi Birliği http://www.nationaldefensemagazine.org/archive/2014/March/Pages/PowerCompaniesStruggletoMaintain
DefensesAgainstCyber-Attacks.aspx
14
Verisign Public | 2015 Siber Tehditler ve Trendler
Verisign, saldırganlar bu sistemleri kontrol eden yazılımlardaki açıkları bulmak ve kötü amaçlı kullanmak konusunda
gelişme kaydedeceğinden, 2015 yılında ICS yazılımlarındaki güvenlik açıklarında artış görülmesini beklemektedir.
Yönetilmesine yardımcı oldukları fiziksel sistemlerin önemi nedeniyle daha kritik bir hal alan bu tip güvenlik açıkları
sebebiyle US DHS, Endüstriyel Kontrol Sistemleri Siber Acil Durum Müdahale Ekibi'ni (ICS-CERT)22 kurmuştur. Bu
ekip güvenlik açıkları hakkında uyarı vermek ve etkilenen çeşitli OCS ürünlerine ilişkin danışmanlık sağlamakla
görevlendirilmiştir.
CVE ID: CVE-2015-144823
Satıcı: Siemens
Güvenlik Açığı Türü: Güvenlik Baypası
Güvenlik Açığı Bulunan Yazılım: Ruggedcom WIN5100, WIN5200, 7000 ve 7200 Ethernet Switch'leri için Aygıt
Donanımı
Tanım: Tümleşik yönetim hizmeti, saldırganların kimlik doğrulaması olmaksızın yönetici işlemleri gerçekleştirmesine
imkan tanıyabilir.
CVE ID: CVE-2015-144924
Satıcı: Siemens
Güvenlik Açığı Türü: Önbellek taşması
Güvenlik Açığı Bulunan Yazılım: Ruggedcom WIN5100, WIN5200, 7000 ve 7200 Ethernet Switch'leri için Aygıt
Donanımı
Tanım: Etkilenen aygıtların tümleşik Web sunucusu (port 443/tcp), uzaktan kod çalıştırmaya imkan tanıyabilecek
önbellek taşmasına karşı güvenlik açığı taşımaktadır.
CVE ID: CVE-2014-919725
Satıcı: Schneider Electronics
Güvenlik Açığı Türü: Kimlik Doğrulama Baypası (yapılandırma dosyaları)
Güvenlik Açığı Bulunan Yazılım: ETG3000 FactoryCast HMI Gateway Aygıt Yazılımı
Tanım: Yapılandırma dosyaları ayrıntılarını içeren rde.jar dosyasına kimlik doğrulama olmaksızın erişim. Bu durum
sayesinde saldırgan, veri geçidinin kurulum ve yapılandırma bilgilerine erişebilir.
CVE ID: CVE-2014-919826
Satıcı: Schneider Electronics
Güvenlik Açığı Türü: Kimlik Doğrulama Baypası (FTP kimlik bilgileri)
Güvenlik Açığı Bulunan Yazılım: ETG3000 FactoryCast HMI Gateway Aygıt Yazılımı
Tanım: Aygıtın FTP sunucusu değiştirilemez şekilde kodlanmış kimlik bilgilerine sahiptir. Bu durum sayesinde
saldırgan, uygun bir kimlik doğrulaması olmadan hizmetlere erişebilir.
CVE ID: CVE-2014-838527
Satıcı: Advantech Co.
Güvenlik Açığı Türü: Önbellek Taşması
Güvenlik Açığı Bulunan Yazılım: EKI-1200 Serisi Modbus Gateways Aygıt Yazılımı
Tanım: Advantech EKI-1200 ürünler, uzak saldırganların keyfi bir kod çalıştırmak için kullanabileceği önbellek taşması
güvenlik açığına sahiptir.
22 https://ics-cert.us-cert.gov/
23 Siemens AG (SSA - 753139), 2015-02-03
24 ibid
Verisign Public | 2015 Siber Tehditler ve Trendler
25 ICS-CERT (Advisory (ICSA-15-020-02)), 2015-01-20
26 ibid
27 ICS-Cert (ICSA-15-041-01), 2015-02-10
15
7. GÜVENLIK AÇIKLARI: AÇIK KAYNAK YAZILIMLARIN (OSS)
HEDEFLENMESINDE ARTIŞ
OSS
Yazılım dünyasında çok sayıda OSS ürün bulunmaktadır. Bu ürünlerden veya kitaplıklardan
bazıları, örneğin OpenSSL, diğer yazılımlara entegre edilmiştir ve bu da bağımlı
sistemlerde geniş çaplı güvenlik açığına neden olur. Pek çok OSS projesi, çok sayıda
satır ve binlerce kod satırı içerse de istekli bir ters mühendis, programın bir kopyasını
istediği zaman indirebilir ve kötüye kullanabileceği açıkları bulmak için kaynak kodunu
inceleyebilir.
iDefense 2014 yılında kritik OSS güvenlik açıkları hakkında istihbarat toplamıştır. Bunlar
arasında OpenSSL ve Bourne Again Shell (BASH) komut satırı yorumlayıcıya büyük hasar
veren "Heartbeed" ve "Shellshock" güvenlik açıkları da bulunmaktadır.
Açık kaynak yazılımların hedeflenmesinde artışa bir diğer örnekse, mobil uygulamaların
Android cihazları hedefleyen Truva atlarına dönüştürülmesidir. 2014 yılında, Avrupa
ve Japonya'da bulunan kuruluşları hedef alan ve devam eden Operation Emmental28
kampanyası, tek bir operasyonda iki faktörlü kimlik doğrulama mekanizmalarını baypas
etmek için hem Windows hem de Android platformları etkileyen ilk kötü amaçlı yazılımdır.
Bu çalışmanın kurbanları, ödenmemiş faturalar hakkındaki resmi banka bildirimlerini taklit
eden kimlik avı e-postaları alır. Bu e-posta mesajları, Windows platformu için zararlı yazılım
içeren zararlı bir eklentiyi açmaları için kandırılırlar. Bu Android zararlı yazılımı kurbanın el
tipi aygıtıyla hedeflenen banka arasındaki iletişimi keser ve kullanıcılara genellikle metin
mesajı olarak gönderilen ikincil kimlik doğrulama kodlarını alır.
Siber güvenlik topluluğu, uzaktan kod çalıştırmayı en büyük güvenlik açığı durumlarından
biri olarak değerlendirmektedir ancak, işletme faaliyetleri ve para transferleri geniş çapta
Web üstünden yapıldığı için uzaktan hizmet reddi (DoS) saldırılarına neden olabilecek
güvenlik açıkları artık kurumları ciddi derece etkileyebilir. Ek olarak, özel anahtar bilgisini
sızdıran güvenlik açıkları, güvenli iletişim için güvenli soket katmanı (SSL) veya taşıma
katmanı güvenliği (TLS) kullanan kurumlarda yıkıcı etkiye sahip olabilir. OpenSSL'in yaygın
doğası ve güvenli iletişim için İnternet kullanan çok sayıda insanın olması saldırganlara
hedef alabilecekleri geniş bir nüfus sağlar.
28 Kovacs, Eduard. “Attackers Bypass 2FA Systems used by banks in ‘Operation Emmental.’” 22 Temmuz 2014 Security Week.
http://www.securityweek.com/attackers-bypass-2fa-systems-used-banks-operation-emmental
16
Verisign Public | 2015 Siber Tehditler ve Trendler
Yalnızca 2015'in ilk kısmında Verisign, OSS ürünlerde "Ghost" ve "Freak" adı verilen iki
büyük güvenlik açığı gözlemlemiştir. Ghost (CVE-2015-0235), GNU Project'in glibc
kitaplığında oluşan, yığın tabanlı önbellek taşması güvenlik açığıdır. Tam olarak ifade
etmek gerekirse, hata GetHOSTbyname işlevinde meydana gelir. Bu nedenle "Ghost"
takma adı verilmiştir.
Freak (CVE-2015-0204), zararlı kullanıcıların hedeflenen hostun güvenlik önlemlerini
baypas etmesine imkan tanıyan bir OpenSSL güvenlik açığıdır. Bu hata, uzak SSL
sunucusu tarafından RSA-to-Export_RSA alt sınıf saldırısı için neden olunan bir hatadır
ve kaba kuvvetle şifre çözmeye neden olur. "Freak", RSA Dışa Aktarma Anahtarlarının
Oluşturulması (Factoring RSA Export Key) söyleminin kısaltılmasıdır.
Yalnızca 2015'in ilk kısmında
Verisign, OSS ürünlerde "Ghost"
ve "Freak" adı verilen iki büyük
güvenlik açığı gözlemlemiştir.
Verisign, 2015'in geri kalanında ve sonrasında saldırganların açık kaynak yazılımların
güvenlik açıklarını hedef almaya devam etmelerini beklemekte ve Vulnerability Researh
Lab ve Vulnerability Contributor Program29 çalışmalarını OSS güvenlik açıkları için proaktif
uyarı sağlamaya odaklamayı planlamaktadır.
29 iDefense Labs Vulnerability Contributor Program web sitesi. https://labs.idefense.com/vcpportal/login.html.
13 Ocak 2015 Erişimi
Verisign Public | 2015 Siber Tehditler ve Trendler
17
8. GÜVENLIK AÇIKLARI: GÜVENLIK AÇIĞI ARAŞTIRMA "KITLE KAYNAK"
TRENDINDE ARTIŞ
2014 yılında güvenlik endüstrisinde, güvenlik açığı araştırma ile ilişkilendirilmeyen bazı
şirketler de dahil olmak üzere çok sayıda şirket geniş çaplı yazılım hatası ödül programları
uygulamaya başladı. Yazılım hatası ödül programlarının uyarlanmasındaki artış şu iki hedef
açısından etkinliklerini doğrular:
1.Güvenlik araştırmacılarının güvenlik açıklarını gizli bir şekilde rapor etmesini teşvik
etmek
2.Araştırmacılara ödeme yapmak ve böylece daha fazla güvenlik açığı bulmalarını
teşvik etmek.
2014 yılında, mevcut yazılım
hatası ödül programı ödül
miktarlarını artıran şirketler
arasında ise Facebook göze
çarptı.
2014 yılında başlayan çok sayıda yazılım hatası ödül programları arasında Microsoft'un
yazılım hatası ödül programı öne çıktı. 2014 yılında Microsoft, Office 365'teki güvenlik
açıklarının bildirilmesi için Çevrimiçi Hizmetler Yazılım Hatası Ödül Programı başlattı.30 Bu
güvenlik açıklarını ortaya çıkarma için verilen ödül 500 ABD Doları'ndan başlıyordu. Şirket,
test için kullanılabilecek bir dizi etki alanı listesi ve ödül için geçerli olmayan güvenlik
açıklarının yer aldığı bir liste sağladı. Bu yıl yazılım hatası ödül yolculuğuna katılan diğer
büyük teknoloji şirketleri Twitter, Inc., Heroku Inc. ve Square, Inc. oldu.
2014 yılında, mevcut yazılım hatası ödül programı ödül miktarlarını artıran şirketler
arasında ise Facebook göze çarptı. Sosyal medya şirketi Ekim ayında, sosyal ağ sitesindeki
reklamlara ilişkin kodunda yer alan güvenlik açıkları için vermekte olduğu yazılım hatası
ödül miktarlarını iki katına çıkardığını açıkladı.31 Bu teklif 2014 yılı bitene kadar devam etti.
2015’in ilk kısımlarında Verisign, yazılım hatası ödül programlarının bulunan güvenlik
açığı sayısı üzerinde ciddi etkili olduğunu gözlemledi. Bu yazılım hatası ödül programları,
güvenlik açığı bulan kişileri, keşiflerini gizli bir şekilde rapor etmeleri için teşvik ediyor.
Ödül programı bilgilendirildikten sonra güvenlik açığından sorumlu satıcı genellikle gizli
bir şekilde bilgilendiriliyor ve satıcıya açığı doğrulaması ve gidermesi için süre veriliyor.
Böylece, yazılım hatası ödül programı keşif nedeniyle ödüllendiriliyor ve satıcı, genel
açık bir güvenlik yetersizliği incelemesinden kurtulmuş oluyor. Çoğu yazılım hatası
ödül programı, araştırmacılarını keşifleri nedeniyle iyi düzeyde ödüllendiriyor ve bu da
araştırmacıları daha fazla sayıda güvenlik açığı bulmaları için teşvik ediyor.
30 Srinivasan,Akila. “Microsoft Online Services Bug Bounty Program launches with Office 365.” 23 Eylül 2014 Technet.
http://blogs.technet.com/b/bluehat/archive/2014/09/23/bug-bounty-evolution-online-services.aspx
31 Mimoso, Michael. “Facebook to double bounty payouts for ad code bugs.” 15 Ekim 2014 Threat Post.
https://threatpost.com/facebook-to-double-bounty-payouts-for-ad-code-bugs/108863
18
Verisign Public | 2015 Siber Tehditler ve Trendler
Örneğin, Verisign, Google'ın Project Zero (adını sıfır gün güvenlik açığı ifşasından alır) ve
Hackerone'ın İnternet Bug Bounty (IDD) programlarının, bildirilen güvenlik açığı sayısında
ciddi bir artış sağladığını gözlemlemiştir. Hackerone şu ana kadar Flash, Sandbox Escape,
The Internet, Phabricator, Ruby on Rails, Ruby, Python, Django, Nginx, OpenSSL, PHP, Perl
ve Apache httpd dahil olmak üzere IBB programı aracılığıyla tam 71 adet güvenlik açığı
ifşa etti.
Verisign, Google'ın Project Zero programının günümüzdeki en katı yazılım hatası ödül
programlarından biri olduğuna inanıyor. Şirket, güvenlik açığı ifşası için satıcılara 90 gün
veriyor ve bu da satıcıların güvenlik açığı ifşa edilmeden önce yama hazırlamak için
yalnızca kısa bir sürelerinin olduğu anlamına geliyor. Ancak Project Zero aracılığıyla
tanımlanan bir güvenlik açığını yama ile kapatmak için çalışmakta olan satıcılar, bu
politikadan şikayet ettiklerinde 14 günlük bir ek süre alabiliyorlar. Project Zero'nun ifşa
programı, diğer araştırmacılara destek olmak için büyük oranda, tavsiye niteliğinde
kavram kanıtlama içeriyor.
Verisign iDefense, yazılım satıcılarının ve diğer şirketlerin sunduğu yazılım hatası ödül
programlarının devam etmesini ve 2015 yılında ve sonrasında başka şirketlerin de
kendilerini izleyerek yazılım hatası ödül programları başlatmalarını bekliyor.
Verisign Public | 2015 Siber Tehditler ve Trendler
19
9. SONUÇ
2014 yılındaki ana tema, genele bildirilen veri sızıntılarının ve kampanyaların perakende,
hükümet, eğlence ve finans kuruluşları da dahil olmak üzere çeşitli endüstrilerde artış
gösterdiği şeklinde. Kullanıcı bilgisi ve fikri mülkiyet çalmak için tasarlanan yaygın ve
gizlenen zararlı yazılım ile savaş veya yüzlerce Gbps trafik oluşturan DDoS saldırılarını
önleme çabası, bilginin güvenliğini sağlamak adına tüm işletmeler için çok katmanlı,
ayrıntılı bir savunma yaklaşımının benimsenmesinin gerektiği anlamına geliyor.
2014 yılında, bilgi güvenlik programı, güvenlik ve bilgi güvence politikalarının etkinliğine
göre değerlendirildi. Bu ölçümler, geçerliliğini koruyacak ancak artık çevrimiçi güvenlik,
ortakların, mobil taşıyıcıların, satıcıların ve yüklenici firmaların işletim prosedürlerine göre
de ölçülecektir. Veri sızıntısı, güvenilir ilişki gerektiren paylaşımlı erişimin herhangi bir
kısmında kolayca gerçekleşebileceği için tüm paydaşlar, veri koruyucuları sorumluluğu
taşımak zorundalar.
2015 yılına baktığımızda, kar ve varlıklarını gerek yerel gerekse ulusal ölçekte korumak
için hem devlet hem de özel sektör üyeleri personel alımı, faaliyet merkezleri ve istihbarat
servisleri dahil olmak üzere fiziksel ve siber güvenlik savunmalarını güçlendirmeye devam
edecektir.
20
Verisign Public | 2015 Siber Tehditler ve Trendler
DAHA FAZLA BILGI
Verisign iDefense Security Intelligence Services'in siber tehditler ve
güvenlik açıklarında sizi nasıl öne geçireceği hakkında bilgi için lütfen
www.VerisignInc.com/iDefense adresini ziyaret edin.
VERISIGN HAKKINDA
Alan adları ve İnternet güvenliğinin global bir lideri olan Verisign, dünyanın en bilinen
pek çok alan adı için İnternet'te gezinme ve dünya çapındaki web siteleri ve şirketler
için koruma sağlar. Verisign, İnternet'in Alan Adı Sistemi (DNS) çekirdeğinin kök bölge
bakımcı işlevlerini gerçekleştirmesinin yanı sıra, .COM ve .NET etki alanları ve İnternet'in
iki kök sunucusu da dahil olmak üzere önemli İnternet altyapısı ve hizmetlerinin güvenlik,
istikrar ve dayanıklılığını sağlar. İstihbarat odaklı Dağıtılmış Hizmet Reddi (DDoS) Koruması,
iDefense Security Intelligence ve Managed DNS de Verisign'ın Hizmetleri'ne dahildir.
Powered by Verisign ibaresinin ne anlama geldiğini öğrenmek için, lütfen VerisignInc.com
adresini ziyaret edin.
Verisign Public | 2015 Siber Tehditler ve Trendler
21
VerisignInc.com
© 2015 VeriSign, Inc. Tüm hakları saklıdır. VERISIGN ve diğer ticari markalar, hizmet markaları ve tasarımlar, VeriSign, Inc.’nin ve Amerika Birleşik Devletleri ve diğer ülkelerdeki bağlı
kuruluşlarının tescilli veya tescilli olmayan ticari markalarıdır. Diğer tüm ticari markalar ilgili sahiplerinin mülkiyetidir.
Verisign Public VRSN_CyberThreatsTrends_WP_201505