Pdf Oku

1
İÇİNDEKİLER
Giriş............................................................................................................................. 3
Bilgi Sızıntısı............................................................................................................... 3
Vatandaşlık Bilgilerimiz İnternette............................................................................................................. 4
Panama Belgeleri............................................................................................................................................. 4
MKE Bilgi Sızıntısı............................................................................................................................................. 4
Siber Saldırılar.......................................................................................................................... 5
Sağlık Bakanlığı Hastanelerine Siber Saldırı............................................................................................. 5
Sosyal Medya Mecralarına Saldırılar............................................................................................................ 6
117 Milyon LinkedIn E-Postası ve Şifresi Satılık........................................................................................ 6
32 Milyon Twitter Hesabının Satılık İlanı.................................................................................................... 6
SWIFT Sistemine Saldırılar............................................................................................................................. 7
Zararlı Yazılımlar...................................................................................................................... 8
PTT Kargo Virüsü............................................................................................................................................. 8
“Petya-Misha” Tehdidi..................................................................................................................................... 8
Akıllı Televizyonlar İçin Android Fidye Yazılımı....................................................................................... 9
Siber Zafiyetler.........................................................................................................................10
İnternet Üzerinde Saldırıya En Açık Ülkeler..............................................................................................10
Lisanssız Yazılım Kullanımı............................................................................................................................1 1
Siber Suçlar...............................................................................................................................12
Kırılan E-Reçete Şifreleri................................................................................................................................12
“Zeus” ve “Zitmo” Virüsleriyle 2 Milyon TL Vurgun...............................................................................12
Kredi Kartı Dolandırıcıları...............................................................................................................................13
Siber Güvenlik Altyapısı...........................................................................................................14
Türkiye’nin İlk Siber Füzyon Merkezi..........................................................................................................14
2
GİRİŞ
Türkiye’nin ilk Siber Füzyon Merkezi, Savunma Sanayi Müsteşarı Sayın İsmail Demir ve beraberindeki
heyetin katıldığı törenle 17 Mayıs 2016 tarihinde Ankara’daki Merkez Ofisimizde açıldı. Bilişim güvenliği
konusunda önemli çalışmalara imza atan ve kritik teknolojileri ülkemize kazandıran firmamızın imzasını
taşıyan Siber Füzyon Merkezi’yle Türkiye önemli bir güce kavuşmuş oldu. Çok farklı disiplinleri bir araya
getiren ve tamamen tarafımızca geliştirilen yapay zekâ mekanizmalarıyla çalışan bu merkezin ülkemize
hayırlı olmasını diliyoruz.
2016 yılının ikinci çeyreğine üç önemli bilgi sızıntısı olayı ile giriş yaptık. Yaklaşık elli milyon vatandaşlarımıza ait nüfus bilgileri ile Panama menşeli bir hukuk firmasının 2.6 TB büyüklüğündeki belgelerinin
İnternette yayımlanması ve patenti MKE’ye ait olan iki silahın üretim çizim ve planlarının kurum içerisinden para karşılığı satılma girişimi şüphesiz birçok kişi veya kurumda bilgi güvenliğinin bir kez daha
sorgulamasına neden oldu. İç tehditlere yönelik alınması gereken tedbirlerin belki de en önemlisi kullanıcı
eğitimleri. Son dönemde ABD’de yapılan bir araştırma, bilgi güvenliği ihlâllerine sebep olarak üç hususu
ön plana çıkarıyor:
- Kurum personelinin yaklaşık üçte birinin kurumunun siber güvenlik politika ve esaslarından ve kurumunun karşı karşıya olduğu siber risklerden haberdar olmamaları,
- Kurumların sadece % 45’inde tüm çalışanların siber eğitimlerinin zorunlu tutulması, kurumların
% 60’ında siber güvenlik olaylarından sonra personelin güvenlik eğitimlerinin tekrarına gerek duyulmaması,
- Kurumların %43’ünün çalışanlarının temel bir siber eğitim alması, sadece %3’ünün temel eğitimin
yanında yüksek riskli bölümlerde çalışan veya ayrıcalıklı çalışanlarının ileri seviye eğitime tabi tutulması.
Oltalama aktivitelerine yönelik araştırma yapan APWG (Anti-Phishing Working Group) tarafından yapılan açıklamalara göre zararlı yazılımlardaki artış dikkati çekiyor. Maalesef ülkemiz zararlı yazılımlardan
etkilenen bilgisayar sayısında %51,35’le liste başı olan Çin’den sonra %48,02 ile ikinci sırada yer alıyor.
Ayrıca, oltalama saldırılarının tarihte en yoğun yaşandığı bir yılı yaşıyoruz. Öyle ki oltalama web sitelerinin sayısının 2015 son çeyreği ile 2016 ilk çeyreği arasında %250 arttığı ifade ediliyor. Saldırıya uğrayan
sektörlerin başında da perakende ve finans geliyor.
Ayrıca, fidye yazılımlarının dünya genelinde yılın en önemli siber tehdidi olmaya devam ettiği ve özellikle sağlık kurumlarına yönelik fidye yazılım saldırılarının artış gösterdiğini görüyoruz. Bu durumu daha
da vahim hale getiren hususun, bazı fidye yazılımlarının kaynak kodunun temel yazılım bilgisi ile ele geçirilebilir olması ve Bitcoin kullanımının yardımı ile organize saldırıların kolaylaştırılması olarak gösteriliyor.
Bu konuda dikkat çekici bir nokta da Amerikan Federal Araştırma Bürosu’nun (FBI) fidye yazılımlarıyla
ilgili çarpıcı belirlemeleri. FBI’a göre ABD şirketleri geçen yıl içerisinde 25 milyon dolar fidye ödemiş durumda. 2016 sonunda bu rakamın 200 milyon dolardan fazla olmasını bekleyen FBI, fidye yazılımlarıyla
baş etmek için herkese ‘İnternette güvenliğe dikkat’ çağrısı yapıyor.
2016 yılının ikinci çeyreği için yurt içi ve yurtdışından dikkatinizi çekmek istediğimiz hususları içeren bir
girişten sonra, bu dönemde öne çıkan konuları derlediğimiz tehdit raporumuzu bilgilerinize sunuyoruz.
3
Bilgi Sızıntısı
Vatandaşlık Bilgilerimiz İnternette
Nisan 2016 başında bilgisayar korsanları tarafından yaklaşık 50 milyon vatandaşımıza
ait kişisel veri İnternet’te yayımlanmıştır. İfşa
edilen veriler arasında; vatandaşlık numarası,
adres, doğum tarihi ve anne-baba adı bilgileri
bulunmaktadır. Veriler her ne kadar 2009 yılına ait olsa ve adres bilgisi gibi, değişken verinin bir kısmının güncelliğini yitirmiş olabileceği kabul edilse de bu hacimde kişisel verinin,
6698 Sayılı Kişisel Verilerin Korunması Kanunu’nun TBMM’de kabulünün hemen sonrasında ve hatta henüz onaylanıp Resmi Gazete’de
yayımlanmadan sızdırılmasının oldukça dikkat çekici olduğu değerlendiriliyor. Söz konusu veri sızıntısı,
ülkemiz nüfusunun üçte ikisini kimlik hırsızlığı ve dolandırıcılık riskiyle karşı karşıya bırakması yönüyle,
kendi türünde küresel ölçekte de en büyük ihlâllerden birisi olarak kabul edilmektedir.
Panama Belgeleri
Panama menşeili Mossack Fonseca adlı kurumda 214 binden çok off-shore kurum için
düzenlenmiş olan 11.5 milyon gizli belge, kimliği belirsiz bir kaynak tarafından dünya bilgi
çağının bu zamana kadarki en büyük sızıntısı
olarak nitelenecek şekilde Almanya’nın Süddeutsche Zeitung gazetesine ve ABD merkezli International Consortium of Investigative
Journalists kurumuna iletilmiştir. 40 yıllık bir
arşivi kapsadığı belirtilen Panama belgeleri,
bazı zenginlerin off-shore hesaplarını kullanarak vergi kaçırdıklarını belgeliyor. Belgelerde
kurumların ortakları ve yöneticilerinin de isimleri geçmekte ve adı geçen isimler arasında çok sayıda ülkenin varlıklı kişilerinin, siyasetçilerinin adı da
yer almaktadır. 1970’li yıllardan bu yana tutulan kayıtlar 2.6 Terabayt büyüklüğündedir. Belgelere dair ilk
haberler 03 Nisan 2016 tarihinde yayımlanmıştır.
MKE Bilgi Sızıntısı
Makine ve Kimya Endüstrisi Kurumu’nda (MKE) iki
adet silahın üretim çizim ve planlarının iki adet USB
bellek içerisinde ABD’de silah fabrikası bulunan bir
Türk işadamına kurum içerisinden para karşılığı satılma
girişimi, Nisan 2016 ayı başında ortaya çıkarılmıştır. İhbar üzerine başlatılan soruşturma kapsamındaki teknik
takip sonucunda, MKE’de Ar-Ge çalışmaları yapılarak
tamamlanan ve patenti MKE’ye ait olan MP-5 marka silahın çizim ve üretim planlarının 200 bin TL karşılığında, üretime henüz başlanan MPT-76 Marka (Milli Piyade
Tüfeği) silahın çizim ve üretim planlarını ise 300 bin ABD doları karşılığında satılacağı tespit edilmiştir.
Olayın sorumlusu yapılan operasyon sonucunda suçüstü yakalanmıştır.
4
Değerlendirme:
Farklı hedeflere yönelmiş olsa da karakteristik
olarak benzer özellikler taşıyan bu üç örnek olay,
tarafımızca tek bir başlık altında aşağıda özetlendiği şekilde değerlendirilmiştir.
Tehdit Hedefi: Gizlilik
- Olay kayıt toplama ve korelasyon sistemlerinin
tesis edilmesi.
Siber Saldırılar
Sağlık Bakanlığı Hastanelerine Siber Saldırı
Risk:
- Bilişim sistemlerinde işlenen ve muhafaza edilen
kişisel verinin yetkisiz erişimle ele geçirilmesi.
- Sanayi, ticaret ve hizmet sektöründeki kuruluşların faaliyetleriyle ilgili bilişim sistemlerinde muhafaza edilen hassas veya ticari değere sahip bilgilerinin, kurum dışına sızdırılması.
- Suçlular veya kötü niyetli kişiler tarafından elde
edilen kişisel ve ticari verinin, dolandırıcılık ve sahte
işlem yapmak, haksız ticarî kazanç sağlamak veya
kurumların/kişilerin itibarını zedelemek üzere kullanılması.
Alınabilecek Karşı Önlemler:
- Kurum bazında bir güvenlik politikası oluşturulması, dokümante edilmesi, güncellenmesi, periyodik olarak kurum çalışanlarına imza karşılığı tebliğ
edilmesi, uygulanması ve uygulandığının kontrol
edilmesi,
- Veri işleyen ve muhafaza eden tüm sistemlerin,
hem en güçlü unsuru, hem de en zayıf halkası olan
insan faktörünün unutulmaması, tüm çalışanların
bilgi güvenliği konusunda bilinçlendirilmesi, erişebildikleri bilgiye sahip çıkmalarının öneminin vurgulanması,
- Hangi veriye kimin nasıl ulaşacağının saptanıp
buna göre erişim yetkilerinin düzenlenmesi,
- Kullanıcıların, parolalarını sık sık değiştirmeye
zorlanması.
- Sistem zafiyetlerinin sürekli olarak taranması ve
giderilmesi,
- Periyodik risk değerlendirmeleri yapılarak gerektiğinde zafiyeti bulunan hizmetlere yönelik risk
giderme çalışmalarının yapılması,
- Siber güvenlik farkındalık eğitimlerinin verilmesi,
tatbikatların ve testlerin periyodik olarak yapılması,
18 Mayıs 2016 tarihinde Sağlık Bakanlığına bağlı
Diyarbakır, Siirt, Tekirdağ ve Kocaeli illerinde bulunan bazı hastanelere yönelik bir siber saldırı girişiminde bulunulmuştur. Bakanlık tarafından yapılan
açıklamada, söz konusu saldırıdan sadece Diyarbakır’daki hastanelerin kısmen etkilendiği, bilgi
sistem altyapısındaki yedekleme mekanizması sayesinde olası veri kayıplarının önüne geçildiği ifade
edilmiştir. Siber korsan grubu Anonymous, önce
Youtube üzerinden yayımlanan videoyla, Hollywood’daki Presbyterian Sağlık Merkezi ve Methodist
Hastanesi’nin veri tabanına yapılan siber saldırılar
nedeniyle suçladıkları Türkiye’den intikam almanın
amaçlandığını ve hasta kayıtlarını içeren 2 GB’lık bir
veri elde edildiğini duyurmuş, fakat akşam saatlerinde Twitter hesabından yaptıkları açıklamada bu
iddiaları yalanlamıştır.
TÜBİTAK’a bağlı Siber Güvenlik Enstitüsü’nden
kamu kurumlarına yönelik siber saldırı yapılacağına
ilişkin uyarısı üzerine Sağlık Bakanlığının, 05 Mayıs 2016 tarihinde sisteminde açıklık tespit edilen
tüm illeri uyardığı, buna rağmen sadece bir yazılım
firmasının iş yaptığı Diyarbakır, Siirt, Tekirdağ ve
Kocaeli illerinde söz konusu basit açıkların giderilmemesi üzerine sağlık hizmetlerinde bazı sıkıntılar
yaşandığı iddia edilmektedir. Söz konusu olayın
firmalar arasında mahkemeye uzanan patent mücadelesinden kaynaklanabileceği üzerinde durulmaktadır.
5
Sağlık Bakanlığı yetkileri tarafından, bu tür olayların yaşanmaması için, sağlık hizmeti veren kurumların çoğunluğunun özel VPN ağının içine alınacağı
ifade edilmiştir.
Ayrıca, sağlık sektörünü ilgilendiren bir başka konuda Sosyal Güvenlik Kurumu (SGK) tarafından
açıklama yapılarak, sahte reçete üzerinden yapılan
ilaç kaçakçılığının önüne geçmek için hekimlerin ve
eczacıların, reçete provizyon sistemi Medula için
kullandıkları şifrelere her ay güncelleme zorunluluğu getirilmesi, eczane ile hekimin görev yaptığı
hastanenin bilgisayarlarının IP’lerinin eşleştirilmesi,
hastaların da reçeteleriyle ilgili uyarılması için çalışma yapıldığı bildirilmiştir.
Değerlendirme:
Tehdit Hedefi: Gizlilik
Risk: Kamu kurumlarının ve kritik altyapıların kullandığı bilişim sistemlerine yapılacak hedefe yönelik saldırılar sonucunda, vatandaşa ait kişisel bilgilerin veya kamuya ait gizli bilgilerin saldırganların
eline geçmesi, ifşa olması, değiştirilmesi veya yok
edilmesi.
verilen ad olan Deep Web’deki ilanda, söz konusu verinin 5 Bitcoin (yaklaşık 3.250 $) fiyatla satışa çıkarıldığı duyurulmuştur. Söz konusu olayda,
satışı yapan saldırganın 2012’de siteye saldıran saldırganla aynı olması dikkat çekmiştir. Böylece 2012
yılında duyurulan saldırı olayında elde edilen bilgilerin, düşünülenden daha fazla olduğu da ortaya çıkmıştır. Yapılan değerlendirmelerde, LinkedIn
hesaplarının SHA1 algoritması yardımıyla çalındığı
belirtilmektedir.
32 Milyon Twitter Hesabının Satılık İlanı
Son dönemde sosyal medya web sitelerine yönelik saldırılar artmaktadır. Daha önce LinkedIn, MySpace, Tumblr, Fling ve VK.com hesaplarına ait bil-
Alınabilecek Karşı Önlemler:
- Sistemlerin zafiyetlerinin sürekli olarak taranması ve giderilmesi,
- Sistemlerde bulunan zararlı yazılım önleme yazılımlarının (Antivirüs, vb.) güncel bulundurulması,
- Periyodik risk değerlendirmeleri yapılarak gerektiğinde zafiyeti bulunan servislerin risk giderme
çalışmalarının yapılması,
- 0-gün saldırılarına karşı davranış tabanlı güvenlik sistemlerinin tesis edilmesi,
- Kritik ve önemli zafiyetlerin sistem yöneticileri
tarafından test edilip uygulanması.
Sosyal Medya Mecralarına Saldırılar
117 Milyon LinkedIn E-Postası ve Şifresi Satılık
2012 yılında siber saldırıya maruz kalan ve 6.5
milyon kullanıcısının bilgileri ifşa edilen profesyonel
iş ve insan kaynakları, kariyer sosyal ağı LinkedIn’in
117 milyon kullanıcısının hesapları Mayıs 2016 ayı
içerisinde satışa çıkarılmıştır. Google gibi arama
motorlarının ulaşamadığı web sayfalarının tümüne
gilerin Rus siber korsanlar tarafından Dark Web’te
yayımlanmasının ardından, aynı kişi(ler) tarafından
Twitter hesaplarına ait bilgiler de sızdırılmıştır.
10 Bitcoin, yani yaklaşık 6.500 $ gibi bir fiyatla
satışa çıkarılan veri tabanında 32.888.300 hesaba
ait kullanıcı adları, e-posta adresleri düz metin halinde parola ve kimi hesaba ait ikincil e-posta adresi gibi bilgiler yer almaktadır.
Twitter ise konuyla ilgili olarak yaptığı açıklamada, bilgilerin sistemlerine sızılarak elde edilmediğini iddia etmektedir. Daha doğru bir ifadeyle, ele
6
geçirilmiş olan Twitter hesaplarına ait bilgilerinin,
Twitter sunucularına sızma şeklinde değil, başka
hedeflere yapılan saldırılar sonucu ele geçirildiği
belirtilmektedir.
Uzmanlar tarafından, kullanıcıların sistemlerinde
bulunan kötücül yazılımların bu sızıntıya sebep olduğu ve bahse konu kötücül yazılımın, Chrome ve
Firefox gibi tarayıcı programlar aracılığıyla ulaşılan
web sitelerinde her kaydedilen kullanıcı adı ve şifreyi siber korsanlara gönderdiği ifade edilmektedir.
Değerlendirme:
Tehdit Hedefi: Gizlilik
Risk: Hedefe yönelik saldırılar sonucunda; kişisel
bilgilerin saldırganların eline geçmesi, ifşa olması,
değiştirilmesi veya yok edilmesi.
Alınabilecek Karşı Önlemler:
- Kullanıcıların kullandıkları şifreleri belirli aralıklarla değiştirmeleri,
- Kullanıcıların, kendilerini gelecekte benzer olaylardan koruyabilmeleri için şifre gerektiren farklı sitelere/sosyal medya mecralarına, farklı e-posta adresleri, kullanıcı adları ve şifrelerle giriş yapmaları,
- Kullanıcıların kişisel bilgileriyle bağıntısı olmayan (doğum tarihi, evlilik tarihi, çocukların ismi vb.)
şifreler kullanmaları,
- Sistemlerde bulunan zararlı yazılım önleme yazılımlarının (Antivirüs, vb.) güncel bulundurulması.
SWIFT Sistemine Saldırılar
Dünya üzerindeki kurulu finansal sistemin en
önemli parçalarından olan SWIFT ( the Society for
Worldwide Interbank Financila Telecommunication) sistemine saldırılar devam etmektedir. Geçtiğimiz Şubat ayında Türk bankalarının da dahil
olduğu küresel bankalar arası para transfer şirketi
olan SWIFT sistemini kullanarak Bangladeş Merkez
Bankası’na saldıran İnternet korsanları, yaklaşık 1
milyar dolarlık vurgun yapmak istemiş, fakat bankanın yazılımcılarının saldırıyı fark etmesi sonucu
tehlike ucuz atlatılmıştır. Bangladeş Merkez Bankası, saldırıyı 81 milyon dolarlık kayıpla savuşturmayı
başarmıştır.
Şimdiye kadar yapılan açıklamalarda teknik açıdan fazla detay paylaşılmazken, para transferi
emirlerinin SWIFT sistemine bir virüs aracılığı ile
yerleştirildiği doğrulanmış ve sonrasında SWIFT
kullanan tüm banka ve şirketlere acil bir güncelleme gönderilmiştir.
Ancak, tehlike hâlâ gündemdedir. Mayıs ayı içerisinde adı açıklanmayan iki kurumsal banka ve bir
Filipinler bankasından sonra Haziran ayı sonlarında da bir Ukrayna bankasının SWIFT üzerinden saldırıya uğradığı ortaya çıkmıştır.
Uzmanlar, kullanılan zararlı yazılımın günlük kayıtları değiştirmek, işlem geçmişini silmek ve çıktı
alınmasını engellemek gibi özelliklere sahip olduğunu, hatta para transferinin gerçekleştiğine dair
mesajları yakalayıp silerek tamamen tespit edilemez halde kalmasını sağlayabildiğini ifade etmektedirler. Korsanların, dolandırıcılıkları engellemek
için hazırlanan SWIFT mesajlaşma platformu olan
Partner Erişimi adlı yazılımı kullanarak SWIFT sistemine eriştikleri düşünülmektedir.
Saldırıların Kuzey Kore bağlantılı “Lazarus” adlı
korsan grubu tarafından gerçekleştirildiğine yönelik bazı ipuçları bulunduğu ifade edilmektedir.
Değerlendirme:
SWIFT, ana mesajlaşma sistemini etkileyen bir
durum olmadığını, SWIFT sistemini kullanan kuruluşların, SWIFT ağına mesaj gönderen kendi bilgisayarlarının güvenliğinden sorumlu olduklarını
söyleyerek konuya açıklık getirse de saldırılarda
korsanların bazılarında kısmen de olsa hedeflerine
ulaştıkları görülmektedir.
Burada dikkat çekici bir husus da siber korsanların artık tek tek kullanıcılarla uğraşmak yerine doğrudan bankalara yönelmiş olmalarıdır. Bu soygun
girişimlerinin, finans alanındaki kuruluşların sistemlerini tasarım ve güvenlik hataları yönüyle sürekli
gözden geçirmelerinin önemini bir kez daha ortaya
koyduğu değerlendirilmektedir.
7
Zararlı Yazılımlar
PTT Kargo Virüsü
“Petya-Misha” Tehdidi
2014 sonu ve 2015 başlarında tüm Türkiye’yi sarsan CryptoLocker virüsü hakkında, PTT tarafından
Mayıs 2016 ayı başında müşterilerine bir bilgilendirme yapılmıştır. Bilgilendirmede, son günlerde,
gerek şirket tarafından sürdürülen araştırmalar gerekse çağrı merkezi ve müşterilerden çeşitli iletişim kanalları ile gelen geri bildirimler neticesinde,
PTT adı kullanılarak kötü amaçlı yazılım barındıran
birtakım e-postaların, kimi vatandaşların e-posta adreslerine gönderildiği, bu durumun ise çeşitli
mağduriyetlere neden olduğunun tespit edildiği
bildirilmiştir.
Söz konusu e-postalarda bulunan linkler tıklandığında, PTT’ye ait gönderi takip sayfasının bir
benzerinin açılmakta olduğu ve “Adres Değişiklik
Formu”nun indirilmesinin istendiği, dosyanın indirilmesi durumunda ise içerisinde bulunan virüsün
(zararlı yazılım) kişinin bilgisayarına bulaştığı ve
bilgisayardaki verilerin ulaşılamaz hale geldiği ifade edilmektedir.
Kullanıcılar; bu tür e-postaların hiçbir şekilde PTT
tarafından gönderilmediği, mağdur olunmaması
için e-posta ile gelen linklerin tıklanmaması gerektiği, ayrıca zararlı siteden indirilen dosyanın zamanla farklı türevleri çıktığından, söz konusu yazılımdan etkilenmemek için kullanıcı bilgisayarlarında
muhtelif antivirüs programlarının en güncel halinin
bulundurmasına ihtiyaç olduğu yönünde ikâz edilmektedir.
Fidye zararlı yazılımlarının son yıllarda büyük bir
hızla yayılmaya başlaması hepimizin malumudur.
Yakın zamanda siber uzayı tehdit altına alan bir
fidye zararlı yazılımı da Petya olmuştur.
Petya, CryptoLocker’da olduğu gibi spam e-posta şeklinde yayılmaktadır. Ancak bu sefer fatura
yerine, çoğunlukla farz edilen iş başvurusu şeklinde bir içeriğe sahip PDF dosyası söz konusudur.
E-posta, iş başvurusu yapan kişinin özgeçmişinin
bulunduğu bir Dropbox adresini içeren linke sahiptir. Ancak özgeçmişin olduğu belge aslında “.exe”
uzantılı bir dosyadır. İnsan Kaynakları (İK) çalışanının bu dosyayI açmasıyla birlikte zararlı yazılım
bilgisayara/sisteme sızmakta ve arka planda çalışmaya başlamaktadır.
Petya bilinen fidye yazılımlarından farklılık göstermektedir. Genel olarak fidye yazılımları fotoğraf, ofis belgeleri veya müzik dosyaları gibi belli
bir takım dosya tiplerini şifrelemektedirleri. Bunun
dışında, işletim sistemine zarar vermememkte fakat dosyaların kullanılabilmesi için de belli bir ücret
istemektedirler. Petya ise bunun çok daha fazlasını
yaparak, tüm sabit diske erişimi engellemektedir.
Petya bilgisayar açılırken diskteki Master Boot
Record (MBR) üzerinde işlem yaparak devreye girmekte ve dosyalarla klasörlerin nerede bulunduğunu gösteren bilgileri barındıran Master File Table’ı
(MFT) şifrelemektedir. Böylece hem MBR, hem de
MFT etkilendiğinden tüm diske erişim engellenmektedir. Ancak, MBR üzerinde işlem yapmak için
yönetici haklarına sahip olmak gerekmektedir.
Eğer bu haklar elde edilemez ise Petya’nın yeni
8
sürümünde yönetici haklarına sahip olması gerekmeyen “Mischa” zararlı yazılımı devreye girmekte
ve doğrudan dosyaları şifreleyerek fidyeyi garanti
altına almaktadır. Mischa’nın bir özelliği de “.exe”
uzantılı dosyaları da şifreleyebilmesidir.
Değerlendirme:
Zararlı yazılım;
- Cihazın ekranını kilitlemekte,
- ABD Siber Polisi veya başka bir kolluk kuvvetinden gelmiş gibi görünen bir uyarı ile kullanıcıları
işlemedikleri suçlara yönelik suçlamakta,
Benzer kategoride sınıflandırdığımız zararlılarla
ilgili değerlendirmelerimiz, aşağıda özetlenmiştir.
Tehdit Hedefi: Bütünlük ve Erişilebilirlik
Risk: Kişilerin, siber güvenlik alanında yeterli düzeyde bilgi ve bilinç seviyesine sahip olmaması,
kullandığı bilgi sistemlerinde kişisel güvenlik önlemlerini almaması gibi nedenlerle zararlı yazılım ve
oltalama saldırılarına, dolandırıcılık ve kimlik hırsızlığına maruz kalması, kişisel bilgilerin ve cihazların
saldırganlar tarafından ele geçirilmesi, değiştirilmesi veya yok edilmesi, sahte işlem yapılması.
Alınabilecek Karşı Önlemler:
- Kurumsal e-posta adreslerinin kişisel amaçlar
için kullanılmaması,
- Kurumsal sistemlerde önemli ve hassas bilgilerin
yedeklenmesi,
- Alınan bu yedeklere kullanıcı ağ bölümlendirmelerinden erişimlerin engellenmesi,
- Sistemlerin zafiyetlerinin sürekli olarak taranması ve giderilmesi,
- Şüpheli linkler ve e-posta eklerine tıklanmaması,
- Makroların varsayılan ayar olarak devre dışı bırakılması,
- Sistemlerde bulunan zararlı yazılım önleme yazılımlarının (Antivirüs, vb.) güncel bulundurulması,
- Siber güvenlik farkındalık eğitimlerinin verilmesi,
tatbikatların ve testlerin periyodik olarak yapılması.
Akıllı Televizyonlar İçin Android Fidye Yazılımı
Siber güvenlik araştırmacıları son günlerde, ilk
kez Mayıs 2015 ayında ortaya çıkan ve 7.000’den
fazla türüne rastlanan “Frantic Locker (FLocker)”
fidye yazılımının akıllı televizyonları da kapsayan
tüm Android cihazları tehdit eden en yeni türünü
takip etmeye başlamışlardır.
- Ekranın kilidini açmak için 200 $ değerinde iTunes hediye kartından oluşan bir fidye talep etmektedir.
Zararlı yazılım hakkında bir ilgi çekici detay da
Rusya, Bulgaristan, Macaristan, Ukrayna, Gürcistan,
Kazakistan, Azerbaycan, Ermenistan ve Belarus’ta
çalışmayacak şekilde geliştirilmiş olmasıdır.
Değerlendirme:
Tehdit Hedefi: Bütünlük ve Erişilebilirlik
Risk: Kişilerin, siber güvenlik alanında yeterli düzeyde bilgi ve bilinç seviyesine sahip olmaması,
kullandığı bilgi sistemlerinde kişisel güvenlik önlemlerini almaması gibi nedenlerle zararlı yazılım ve
oltalama saldırılarına, dolandırıcılık ve kimlik hırsızlığına maruz kalması, kişisel bilgilerin ve cihazların
saldırganlar tarafından ele geçirilmesi, değiştirilmesi veya yok edilmesi, sahte işlem yapılması.
Alınabilecek Karşı Önlemler:
- Android kullanıcılarının tarama yaparken ziyaret
ettikleri siteler ve şüpheli linkler konularında dikkatli olması,
- Tüm Android akıllı cihazlarına, güvenlik ürünü
kurulması,
- Saldırı halinde cihazın teknik servisine haber verilmesi.
9
Siber Zafiyetler
- 4.7 milyon sistemde Microsoft sistemleri tarafından kullanılan ve en çok saldırı alan portlardan biri
olan “445/TCP” açık bulunmaktadır.
- “Telnet” üzerinde “SSH (secure shell)” kullanımı, “telnet” kullanımına göre daha fazla rağbet görmektedir. %50’den fazla bölgede “telnet” sunucusundan çok “SSH” sunucusu olmasına rağmen hâlâ
“telnet”e dayalı geniş bir saldırı alanı bulunmaktadır.
- Hemen hemen her ülkede “şifresiz POP veya
IMAP” protokolleri aracılığıyla web tabanlı olmayan
e-posta erişimi standart olarak kullanılmaktadır.
“Rapid7” adlı güvenlik firması tarafından 2016 Haziran ayı başında yapılan bir çalışma, İnternet güvenliğine yönelik çarpıcı sonuçlar ortaya koymaktadır. Çalışma, İnternet üzerinde en yaygın kullanılan
30 adet “TCP” hizmetini baz alarak, hizmetlere
yönelik portların taranması ve bu hizmetlerde herhangi bir şifreleme kullanılıp kullanılmaması temel
alınarak gerçekleştirilmiş. Konuya ilişkin hazırlanan
raporda öne çıkan hususlar şu
şekildedir:
- Açıklık anlamında, ABD’nin 43.518.110 cihaz ile
birinci, Çin’in 11.342.574 cihaz ile ikinci olduğu araştırma için belirlenen 30 portu da dinleyen cihaz sayıları listesinde, ülkemiz 1.304.294 cihaz ile 22’nci
sırada bulunmaktadır.
- Ülkemizin 29’uncu sırayı aldığı İnternet üzerinde
en çok açığı bulunan ülkeler listesinde Belçika ilk
- İnternet üzerinde milyonlarca sistem halka
açık ağlara maruz
kalmaması
gereken hizmetler
sunmaktadır. Araştırma 15
milyon sistemin
“telnet” imkânı
sunduğunu, 11.2
milyon sistemin
“veri tabanlarına
doğrudan erişim”
izni verdiğini ve
4.5 milyon sistemin de “yazıcı
hizmeti”nin erişilebilir olduğunu
ortaya koymaktadır.
10
sırada bulunmaktadır. ABD, Çin, Fransa ve Rusya
gibi GSYH’si en yüksek olan ülkeler de ilk 20 içerisinde yer almaktadırlar.
- Bir ülkenin gayri safi yurt içi hasılası (GSYH) ile
o ülkedeki İnternet mevcudiyeti ve İnternet üzerinde güvenli olmayan/şifresiz hizmetlerin sunulması arasında karşılıklı bir ilişki bulunmaktadır. Bunun
nedeni de GSYH’si yüksek ülkelerde İnternet’e bağlı
güvenliği olmayan cihazların daha fazla olması olarak gösterilmektedir.
Değerlendirme:
İnternet üzerindeki şifreli ve şifresiz hizmetler
arasındaki sayısal dengesizlik önemli bir sorun alanıdır ve bu durum modern İnternet mühendisliğinin
bir mağlubiyeti olarak gösterilmektedir. Yaşanan
birçok tecrübeye rağmen önceliğin güvenlikten
çok işlevselliğe ve çalışabilirliğe verilmesi ve İnternet protokol tasarımlarında şifrelemenin zorunlu bir standart haline getirilmemesi, büyük bir
eksikliktir. Her geçen gün daha fazla bağımlı hale
geldiğimiz İnternet’in güvenliğinin artık yeni bakış
açılarıyla değerlendirilmesi ve gerekli önlemlerin
alınması kaçınılmaz görülmektedir.
Lisanssız Yazılım Kullanımı
BSA | The Software Alliance’ın yeni Küresel Yazılım Araştırmasına göre Türkiye’deki bilgisayar
kullanıcıları, lisanssız yazılım ile siber saldırılar arasındaki bağlantıya rağmen, endişe verici oranda
lisanssız yazılım kullanmaya devam etmektedirler.
Araştırma, Türkiye’de bilgisayarlarda kurulu olan
uygun biçimde lisanslanmamış yazılım oranının
%58 olduğunu ortaya koymaktadır. Bu oran BSA’nın
2013 tarihli, bir önceki küresel araştırmasına kıyasla
2 puanlık bir düşüşe karşılık gelmektedir.
Tüketiciler, bilgi işlem yöneticileri ve firmalarda
bulunan bilgisayar kullanıcılarını kapsayan araştırma, lisanssız yazılım kullanımının hâlâ yüksek olduğu ve bireylerin yanı sıra firmaların da lisanssız yazılım kullanarak ateşle oynadıklarını göstermektedir.
Lisanssız yazılımın kullanımda olduğu her yerde
kötü amaçlı yazılım ile karşılaşma olasılığı önemli
ölçüde artış göstermektedir. Kötü amaçlı yazılım ile
baş etmenin maliyeti ise sarsıcı olabilmektedir. Bu
konuda bir rakam vermek gerekirse, sadece 2015
yılında, siber saldırıların işletmelere olan maliyetinin en az 400 milyar $ olduğu tahmin edilmektedir.
Araştırmanın ortaya çıkardığı diğer önemli sayılabilecek bulgular aşağıda
özetlenmiştir.
• 2015 yılında dünya
genelindeki
bilgisayarlarda kurulmuş
olan yazılımların %39’u
uygun biçimde lisanslanmamıştır.
• Bazı kritik endüstri kollarında
dahi lisanssız kullanım şaşırtıcı
derecede yüksektir. Araştırma sonuçlarına göre
bankacılık, sigorta ve menkul değerler sektörlerinde dünya çapındaki oran %25 olarak gösterilmektedir.
• CIO’lar, çalışanların %15’inin kendi bilgileri dışında ağa yazılım
yüklediğini öngörmektedir. Ancak, bu öngörü
de doğru değildir ve CIO’ların sorunu ciddi ölçüde
hafife aldıklarını kanıtlamaktadır, zira çalışanların
%26’sı ağa izinsiz yazılım yüklediklerini belirtmektedirler.
Değerlendirme:
Tehdit Hedefi: Gizlilik, Bütünlük ve Erişilebilirlik
Risk: Kurum ve kuruluşların faaliyetlerinin lisanssız yazılım kullanımından dolayı kesintiye uğraması, hassas veya ticari değere sahip bilgilerin
11
saldırganların eline geçmesi, ifşa olması, değiştirilmesi veya yok edilmesi.
Alınabilecek Karşı Önlemler:
- Yazılımların sadece güvenilir şirketlerden satın
alınması,
- Online alışveriş yapılırken web sitesinin yasal olduğundan emin olunması,
- Çok düşük fiyatlı yazılımlara karşı temkinli olunması, satın alınan yazılımların orijinal olduğunun
çok iyi kontrol edilmesi,
- Kullanıcıların kurum ağındaki bilgisayarlara
kontrol dışı yazılım yüklemesinin engellenmesi,
Şebekenin yaptığı ilaç vurgunuyla bu zamana
kadar SGK’yı toplam 6 milyon lira zarara uğrattığı
tespit edilmiştir.
Değerlendirme:
Tehdit Hedefi: Gizlilik
Risk: Kişisel bilgilerin ve cihazların dolandırıcılar
tarafından ele geçirilmesi, değiştirilmesi veya yok
edilmesi, sahte işlem yapılması.
Alınabilecek Karşı Önlemler:
- Sistemlerin zafiyetlerinin sürekli olarak taranması ve giderilmesi,
- Yazılım envanterinin sürekli güncel tutulması ve
güvenlik yamalarının zamanında uygulanması,
- Periyodik risk değerlendirmeleri yapılarak gerektiğinde zafiyeti bulunan servislerin risk giderme
çalışmalarının yapılması,
- Sistemlerde bulunan zararlı yazılım önleme yazılımlarının (Antivirüs, vb.) güncel bulundurulması.
- Sistemlerde bulunan zararlı yazılım önleme yazılımlarının (Antivirüs, vb.) güncel bulundurulması,
Siber Suçlar
Kırılan E-Reçete Şifreleri
- 0-gün saldırılarına karşı davranış tabanlı güvenlik sistemlerinin tesis edilmesi,
- Kritik ve önemli zafiyetlerin sistem yöneticileri
tarafından test edilip uygulanması.
“Zeus” ve “Zitmo” Virüsleriyle
2 Milyon TL Vurgun
Çok sayıda vatandaş hesaplarından bilgileri dışında para çekildiği yönündeki ihbar üzerine çalışma başlatan polis ekipleri tarafından, yaklaşık
5 aylık fiziki ve teknik takibin ardından 2 kardeşin
yönettiği şebekeye Nisan 2016 başında ulaşılmıştır.
Mayıs 2016 ayı başında yapılan operasyonla ortaya çıkarılan şebekenin, bazı doktorların e-Reçete
şifrelerinin bilgisayar korsanları tarafından kırılarak
ele geçirilmesi sonrasında, özellikle kanser ve şeker
hastalarının kimlik bilgilerini kullanarak sahte reçete yazdığı belirlenmiştir. Şebekenin deşifre olmamak için ilaçları farklı illerdeki eczanelerden temin
ettiği tespit edilmiştir.
Polis ekipleri şebeke üyelerinin elde ettiği kanser
ilaçlarını Suriye, Irak, Mısır ve Azerbaycan’a kaçak
yollardan götürdüğünü ortaya çıkarmıştır.
Siber çetesinin “Zeus” ve “Zitmo” virüsleriyle,
bazı şirketlerin ve vatandaşların bilgisayar ve cep
telefonlarını köleleştirerek ele geçirdikleri, banka
hesap bilgilerini tespit ettikleri belirlenmiştir.
Rus siber korsanları tarafından geliştirilen “Zeus”
virüsü, e-posta veya girilen bir site üzerinden vatandaşların bilgisayarlarını ele geçirmektedir. Daha
sonra bilgisayar siber korsanların kölesi haline gelerek tamamen korsanların kontrolüne girmektedir.
“Zitmo” virüsüyle de, vatandaşın akıllı cep telefonunun kontrolü tamamen siber korsan çetesinin
eline geçmektedir. Hesap boşaltma işlemleri sırasında bankaların müşterinin cep telefonuna gönderdiği tek kullanımlık şifre de çeteye ulaşmaktadır.
12
Kredi Kartı Dolandırıcıları
Kredi kart bilgilerini ele geçirdikten sonra değişKredi kart bilgilerini ele geçirdikten sonra değişik
yöntemlerle kart sahiplerinin dolandırılması için
uygulanan yöntemler hayret verici boyuta erişmiş
bulunmaktadır. Son olarak uygulandığı tespit edilen
bir sosyal mühendislik yöntemiyle; kredi kartlarının
kayıp ve çalınmaya karşı sigortalanması maksatlı
arayan dolandırıcılar, yıllık sigorta süresinin dolduğunu ve yenilenmesi gerektiğini söyleyerek lafa
girmekte, aradıkları kişinin böyle bir sigortanın
İlk belirlemelere göre şebekenin bu yolla 2 milyon liralık vurgun yaptığı tespit edilmiştir.
Değerlendirme:
Tehdit Hedefi: Gizlilik
Risk: Bankaların, müşterilerine ait hassas bilgilerin saldırganlar tarafından ele geçirilmesi nedeniyle
itibar kaybına, mobil bankacılık hizmetlerini kullanan müşterilerin ise maddi kayba uğramaları.
Alınabilecek Karşı Önlemler:
- Banka hesaplarındaki anormal hareketlerin bildirilmesi için kişisel ayarların yapılması,
- Akıllı telefonlara yüklenen programların kaynaklarının kontrol edilmesi ve güncel anti-virüs programları kullanılması,
- Ürünlerin güvenliği ile ilgili hususlar hakkında
bankalar tarafından verilen bilgilerin/açıklamaların
İnternet Bankacılığı ve Mobil Bankacılık kullanıcıları
tarafından okunması ve belirlenen talimatlara uygun olarak işlem yapılması,
- Banka yazılımlarının bütünlüklerinin çalıştırma
zamanında kontrol edilmesi, sürüm kontrollerinin
bu zamanda yapılabilecek şekilde tasarlanmaları,
- Android ve iOS işletim sistemleri için yazılım depolarındaki farklı sürümlerin kaldırılması ve kullanıcıya yazılımın tek sürüm olarak sunulması,
olmadığını söylemesini müteakip sigorta yaptırması konusunda ikna etmeye çalışmakta, ikna edemezlerse de kartın iptalini yapmayı teklif etmektedirler.
Bu arada kartla ilgili bilgileri eksiksiz olarak ileterek kart sahibini doğru yerden aradıklarına inandıran dolandırıcılar, son olarak teyit için bir kısa mesaj geleceğini ve onu okumalarını isteyerek aldıkları
bilgi doğrultusunda kartla yüklü miktarda alışveriş
gerçekleştirmektedirler. Dolandırıcılık anlaşıldığında ise iş işten geçmiş olmaktadır.
Değerlendirme:
Tehdit Hedefi: Gizlilik
Risk: Kişisel bilgilerin ve cihazların dolandırıcılar
tarafından ele geçirilmesi, değiştirilmesi veya yok
edilmesi, sahte işlem yapılması.
Alınabilecek Karşı Önlemler:
- Siber güvenlik farkındalığının artırılmasına ve
sosyal mühendislik riskine yönelik eğitimler verilmesi, yayınlar yapılması.
- Birden fazla ülkede hizmet veren bankaların,
sundukları yazılımları, kullanıcı hesabının ilişkili olduğu ülke bankalarıyla eşleştirmeleri ve kullanıcıya
bu konuda açık bilgi vermeleri.
13
Siber Güvenlik Altyapısı
Türkiye’nin İlk Siber Füzyon Merkezi
2016 İlk Üç Aylık Türkiye Siber Tehdit Durum Raporunda açılacağını duyurduğumuz Türkiye’nin ilk
Siber Füzyon Merkezi, 17 Mayıs 2016 tarihinde Savunma Sanayi Müsteşarı Sayın İsmail Demir’in katıldığı törenle hizmete girmiştir.
Demir, konuya ilişkin açıklamasında, “Dünyada
sadece birkaç ülkede bulunan Siber Füzyon Merkezi ile Türkiye, siber güvenlik konusunda önemli bir
güce kavuştu. Dünyada ülkelerin güvenliğini tehdit eden en büyük unsurlardan biri, siber saldırılar. Siber saldırıları gerçekleşmesinden önce analiz
etmek, önüne geçebilmek kritik bir öneme sahip.
Bugün bunun için büyük bir adım atıldı” değerlendirmesinde bulunmuştur.
Değerlendirme:
Hem sayıları artan, hem karmaşıklık anlamında
boyut değiştiren siber tehditleri, klasik yöntemlerle tespit etmek imkânsız hale gelmiştir. Bu nedenle saldırı olmadan haberdar olmak ve buna göre
otomatik olarak savunma kurgusunu oluşturmak,
yani reaktif değil, proaktif bir yaklaşım göstermek
gerekmektedir. Siber Füzyon Merkezi’miz, bu yeni
nesil siber güvenlik anlayışının bir ürünü olarak
ülkemiz için her anlamda pek çok ilki bünyesinde
barındırmaktadır. Merkez sayesinde, sadece bilinen
siber tehditlerin değil, henüz ortaya çıkartılmamış,
gelişmiş karmaşık metotlar kullanan yeni tehditlerin de saldırıdan önce tespit edilebilmesini ve önlem
alınabilmesini hedeflemekteyiz.
14
15