Siber Güvenlik Raporu

1
Siber Güvenlik Raporu
2014’den Öne Çıkanlar
2015 Tahminleri
Bilgi Güvenliği Derneği – 2014 Siber Güvenlik Raporu
2
Bilgi Güvenliği Derneği Hakkında
Bilgi Güvenliği Derneği, bilgi güvenliği alanında faaliyet gösteren tarafsız bir ulusal sivil toplum
kuruluşudur. Dernek, bireysel, kurumsal, ulusal ve evrensel boyutlarda bilgi ve iletişim güvenliği
alanında teknik, bilimsel, sosyal ve kültürel faaliyetler yürütmek, üyelerinin mesleki gelişimini
arttırmak ve kamu yararına faaliyet gösteren dernek olmak amacı ile 2006 yılında kurulmuştur.
Hazırlayan
Mehmet Meral
E-posta: [email protected]
@mehmetmeral
Danışman
Prof. Dr. Şeref Sağıroğlu
Bilgi Güvenliği Derneği – 2014 Siber Güvenlik Raporu
3
Yönetici Özeti
Siber güvenlik tarihini yazmak için henüz çok erken ama eğer son 20
yılın siber güvenlik tarihini yazacak olsaydık, 2014 yılı en çok referans
vereceğimiz yıl olurdu. Heartbleed gibi çok basit bir yazılım
hatasından
kaynaklanan
güvenlik
açıklarının
internetteki
sunucuların üçte ikisinde kritik veri sızmasına neden olabileceğini
2014
yılı
içerisinde
deneyim
ettik.
Amerika’nın
büyük
kuruluşlarından JPMorgan Chase Bank’a ve Home Depot
mağazalarına yapılan siber saldırıların maliyeti korkulanın hiç de
uzak olmadığını ortaya koydu. Yılın sonlarına doğru tanıklık ettiğimiz
film yapım şirketi Sony Pictures Entertainment ile Kuzey Koreli
bilgisayar korsanları arasında yaşanan siber saldırılar siber gücün
artık yumuşak güç olmadığını, nükleer güç gibi caydırıcı ve asimetrik
etkisi olabileceğini ispatlar gibiydi. Bu raporun ilk bölümünde, 2014
yılının siber güvenlik olaylarına ilişkin ENISA, Symantec, Cisco ve
Websense gibi kuruluşların yayınladığı raporlardan yararlanarak
hazırladığımız genel bir değerlendirme bulabilirsiniz. İkinci bölümde
ise 2014 yılı içerisinde yaşadığımız öne çıkan 8 adet siber güvenlik
olayını kronolojik olarak sıralı bir şekilde analiz ediyoruz. Bu
olaylardan alınması gereken dersleri okuyucunun dikkatine
getiriyoruz. Ne yazık ki 2015 yılı ve sonraki yılların daha güvenli
olması beklenmiyor. Firmaların siber güvenliğe yatırım yapmaları,
devletlerin ise yasal düzenlemelerini tamamlamaları ve ar-ge ve
savunma harcamalarını artırmaları daha güvenli bir siber ortam için
kaçılmaz gözüküyor. 2015 yılı için tahmin ve beklentileri raporun
son bölümünde bulabilirsiniz.
Bilgi Güvenliği Derneği – 2014 Siber Güvenlik Raporu
4
İçerik
Yönetici Özeti....................................................................................................................................... 2
2014 Yılı Genel Değerlendirme ........................................................................................................... 5
Güvenlik Zafiyetleri .......................................................................................................................... 5
Veri Açıklıkları .................................................................................................................................. 5
Zararlı Yazılımlar .............................................................................................................................. 6
Siber Casusluk ve Sürekli Tehditler (APT) ....................................................................................... 6
Mobil Tehditler ................................................................................................................................ 7
E-Posta Tehditleri - Spam, Phishing ............................................................................................... 7
Sosyal Medya Tehditleri .................................................................................................................. 8
Bulut Teknolojileri Tehditleri........................................................................................................... 8
2014 Yılında Öne Çıkan Siber Güvenlik Olayları ................................................................................. 9
Target ............................................................................................................................................... 9
Apple'ın SSL/TLS Yazılım Hatası - “goto fail;" ................................................................................. 9
Heartbleed ..................................................................................................................................... 10
JP Morgan Chase ........................................................................................................................... 11
Home Depot................................................................................................................................... 11
POODLE ve Shellshock Güvenlik Açıklıkları................................................................................... 12
Axiom Raporu ve Amerika – Çin ilişkileri ...................................................................................... 12
Sony Pictures Entertainment’a Kuzey Kore tarafından yapılan siber saldırılar .......................... 13
2015 Yılı Tahminleri ........................................................................................................................... 14
Bilgi Güvenliği Derneği – 2014 Siber Güvenlik Raporu
5
2014 Yılı Genel Değerlendirme
Güvenlik Zafiyetleri
Güvenlik zafiyetleri, bilgisayar sistemlerinin güvenliğini tehlikeye sokan yazılım, donanım veya
tasarım hatalarından kaynaklanan açıklıklardır. Bilgisayar sistemlerindeki güvenlik zafiyetleri virüs,
trojan gibi zararlı yazılımlarla istismar edilerek veri açıklıkları meydana gelmektedir. Symantec’in
Aralık ayı Siber Güvenlik İstihbarat Raporuna göre 2014 yılında toplam 6204 güvenlik zafiyeti
ortaya çıkmıştır [Symantec]. Bu sayı küçük bir farkla bir önceki yılın gerisinde olsa da 2014 yılı
içerisinde yaşadığımız Heartbleed, Shellshock ve Poddle gibi çok sayıda sistemi etkileyen
zafiyetlerin etki alanının 2013’u geçmiş olması bekleniyor.
Geçtiğimiz yıllarda son kullanıcıyı hedef alan Microsoft veya Adobe Flash güvenlik
zafiyetlerine sıklıkla rastlamaktaydık. 2014 yılında bunlara ek olarak, daha çok sunucu sistemlerini
ve açık kaynak kodlu yazılım ve işletim sistemlerini etkileyen güvenlik zafiyetleri gördük.
Heartbleed ve Poddle isimleri verilen güvenlik zafiyetleri ücretsiz olması sebebiyle birçok web
sunucusunda kullanılan OpenSSL yazılımında bulunan yazılım hatalarından kaynaklanmaktaydı.
Benzer şekilde Shellshock açıklığı Unix’in türevlerini kullanan bütün işletim sistemlerini etkiledi.
Öbür taraftan, Apple işletim sistemlerinde bulunan ve “goto fail;” adıyla anılan yazılım hatası
“kapalı” ve “paralı” yazılımın güvenli yazılım olmadığını gösteriyordu.
Veri Açıklıkları
Veri açıklıkları, bilgisayar sistemlerinde verilerin istenmeyen şekilde dışa sızmasına sebep olan
olaylardır. Bu olaylar güvenlik zafiyetlerinin bilgisayar korsanları tarafından kullanılması, hedef
odaklı siber saldırılar veya siber suç kategorisine giren daha çok mali çıkarlara hizmet eden “hack”
olaylarını kapsamaktadır. Symantec’in Aralık ayı Siber Güvenlik İstihbarat Raporuna göre 2014
yılında toplam 250 adet veri açıklığı oluşturan olay meydana gelmiş ve bu açıklıklar 346 milyon
sistemi etkilemiştir [Symantec]. Bu rakam Symantec’in 2013 yılına ait verilerinin gerisinde
olmasına rağmen Avrupa Ağ ve Bilgi Güvenliği Kurumu (ENISA) 2014 yılının veri açıklıkları yılı olma
şansının yüksek olduğunu belirtmektedir [Enisa].
2014 yılının veri açıklığına yol açan siber saldırıları diğer yıllara göre daha çok hedef
odaklıydı ve veri çalma amaçlıydı. Perakende satış firmalarından Target, Home Depot, Staples,
Bilgi Güvenliği Derneği – 2014 Siber Güvenlik Raporu
6
Neiman Marcus ve çevrimiçi mağaza eBay’ı hedef alan siber saldırılar verdikleri mali zararlarla yıla
damgasını vurdular. JPMorgan Chase Bank’ın sistemlerine girilip, verilerin dışa sızdırılması ise
finans sektörünün şimdiye kadar gördüğü en büyük veri hırsızlığıydı. Yıl içerisinde mali çıkar amacı
olmayan veri hırsızlıkları da meydana geldi. Apple’ın iCloud bulut teknolojisine sızan bilgisayar
korsanları ise ünlülerin kişisel resimlerini internette yayınladılar. Sony Pictures Entertainment
firmasının sistemlerine Kuzey Koreli bilgisayar korsanları tarafından girilmesi ve verilerinin
internete yüklenmesi ise daha çok siyasi çıkarlara hizmet etmekteydi.
Zararlı Yazılımlar
2014’ün siber tehditleri arasında zararlı yazılımlar ilk sırada yer almaktadır. AV-Test isimli bağımsız
araştırma şirketine göre 2014 yılında 143 milyonun üzerinde yeni zararlı yazılım tespit edilmiştir.
2013 ile karşılaştırıldığında bu sayı %72 daha fazladır [AVTest]. 2014 yılında anti-virüs
programlarına takılmamak için verileri çalarken şifreleme yöntemlerini kullanan, TOR gibi anonim
networkleri kullanan veya gizlenme teknikleri kullanan zararlı yazılımlarda özellikle büyük bir artış
görülmüştür. Bu nedenlerle zararlı yazılımların %50’si anti-virüs programlarınca yakalanamamıştır
[ENISA].
Etkilediği bilgisayarlarda kullanıcının verilerini şifreleyerek fidye talep eden “ransomware”
adı verilen zararlı yazılımlar ise 2014’un ilk aylarında 2013’ün son aylarındaki yükseliş eğilimini
devam ettirmiş fakat bu eğilim Mayıs ayından itibaren azalmaya başlamıştır. Cryptolocker isimli
bu kategorideki zararlı yazılımın etkilediği bilgisayarlardaki şifrelemeyi kırmak imkânsız
olduğundan kullanıcıların %3’u fidye ödemek zorunda kalmıştır [ENISA].
Siber Casusluk ve Sürekli Tehditler (APT)
Siber casusluk daha çok devletler veya büyük organizasyonlar tarafından büyük kaynaklarla uzun
vadede yürütülen veri hırsızlığına verilen isimdir. “Advanced Persistent Threat (APT)” adıyla anılan
tehditler de bu kategori altında değerlendirilir. 2014 yılında siber casusluk faaliyetlerinde %3’lük
bir artış gözlenmiştir [ENISA]. 2013’de Mandiant firmasının yayınladığı “advanced persistent
threats - APT” raporunun ardından, 2014’de 5 Çinli subay FBI tarafından arananlar listesine
eklenmiştir. 2014 yılında yayınlanan Çin’in siber casusluk faaliyetlerine ilişkin APT raporu Axiom
ise Mandiant raporu kadar ses getirmemiştir.
Bilgi Güvenliği Derneği – 2014 Siber Güvenlik Raporu
7
Öbür taraftan, Edward Snowden’ın Amerikan istihbarat kuruluşu National Security Agency
(NSA)’dan sızdırdığı belgeleri, Alman Der Spigel dergisi 2014 yılı içerisinde yayınlamaya devam etti.
NSA’nın internet üzerinde yaptığı izleme faaliyetlerini ortaya koyan belgelerden Ağustos ayında
yayınlananları NSA’nın faaliyetlerini ülkemiz üzerinde de uyguladığını göstermekteydi [DerSpigel].
Öbür taraftan, istihbarat örgütlerinin internet üzerinde yaptıkları bu faaliyetlerini, kişisel bilgilerin
mahremiyeti açısından değerlendiren Apple ve Google firmaları mobil işletim sistemlerinde
şifrelemenin varsayılan olarak bütün veri iletişimine uygulanacağını duyurdular.
Mobil Tehditler
Mobil platformları etkileyen zararlı yazılımlar son bir kaç yılda ortaya çıkmıştır. Özellikle Android
tabanlı platformların yaygınlaşması ve bu platformun resmi uygulama mağazalarının dışından
uygulama yüklenmesine izin vermesi mobil tehditlerin artmasını hızlandırmıştır. Mobil zararlı
yazılımlar daha çok kullanıcı verilerini tehdit etmektedir. 2014 yılında kullanıma sunulan Apple’ın
mobil ödeme platformu gibi uygulamaların artmasıyla bu tehditlerin artması beklenmektedir.
2014’te 46 farklı yeni Android zararlı yazılımı tespit edilmiştir [Symantec]. 2014 yılı için Kurumsal
Mobil Tehditler raporu hazırlayan Lookout isimli firmaya göre 2014 yılında mobil tehditler
karmaşıklaşarak artış göstermiş, buna rağmen firmaların tehdidin büyüklüğünü ve önemini
kavrayamadıkları gözlenmiştir [Lookout]. Aynı rapora göre Amerika’da mobil zararlı yazılımlar
geçen yıla oranla %75 oranında artış göstermiştir. “Ransomware” kategorisindeki zararlı
yazılımların 2014 yılında akıllı telefonları da etkilediği gözlenmiştir.
E-Posta Tehditleri - Spam, Phishing
2014 yılında gönderilen her 10 e-postadan 6’si reklam amaçlı gönderilen istenmeyen (SPAM) epostalardı [Symantec]. Bu oran son iki yıl aynı seviyede devam etmektedir. İçerisinde zararlı
yazılım veya zararlı sitelere bağlantı barındıran e-postaların sayısı ise her geçen gün artmaya
devam etmektedir. 2014 yılı da bu eğilimi göstermiştir. Symantec’in raporuna göre 2014 yılında
gönderilen her 243 e-postadan biri virüs içermektedir. Aynı rapora göre gönderilen her 10 epostadan 1 tanesi zararlı sitelere bağlantı veren içerik barındırmaktadır. Kasım ayında bu oran
%41’e çıkarak rekor seviyeye ulaşmıştır.
Bilgi Güvenliği Derneği – 2014 Siber Güvenlik Raporu
8
Sosyal mühendislik tekniklerini kullanarak tanıdık birinden geliyormuş izlenimi veren
(phishing) e-postalarda geçen yıla göre yarı yarıya bir düşüş gözlenmiştir. “Phishing” e-postalar
gönderilen SPAM e-postalardan %3’unu oluşturmuştur. “Phishing” e-postalar daha çok kullanıcıya
ait parolaları çalma ve mali çıkarlar etmeyi amaçlamaktadır. Siber casusluk olaylarının %67 si
“phishing” ile başlamaktadır [Enisa]. E-postalardaki “phishing” oranının düşüşü bu saldırıların
daha çok sosyal medya araçlarına yönelmesiyle açıklanabilir.
Sosyal Medya Tehditleri
Facebook, Twitter, Instagram gibi sosyal medya platformlarının kullanımının artmasıyla bu
platformlara yönelik siber tehditlerde de artış gözlenmektedir. 2014’te bu platformlara yönelik 3
farklı tehdit görülmüştür. Bunlardan ilki sosyal mühendislik saldırılarıdır. Sosyal medya
hesaplarına yönelik sosyal mühendislik saldırılarında, bilgisayar korsanları kişiler hakkında sosyal
medya ve diğer kamuya açık araçlarla bilgi toplar ve bu bilgileri diğer kişileri kandırmak için
kullanır. İkinci yöntem sosyal medya hesaplarına yönelik “phishing” saldırılarıdır. İki yöntem de
2014 yılında artış gözlenmiştir. Büyük bir artış gösteren diğer sosyal medya tehdidi ise zayıf
kullanıcı parolası gibi nedenlerle ünlülere, devlet adamlarına, basın organlarına ve devlet
kurumlarına ait sosyal medya hesaplarının bilgisayar korsanları tarafından geçici bir süreliğine ele
geçirilmesidir. 2014 yılında Suriye Elektronik Ordusu adı verilen organizasyonun bu yönde
saldırıları olmuş ve Amerikan Başkanı Obama’ya, Associated Press’e ve The Guardian’a ait Twitter
hesaplarını geçici bir süre ele geçirmişlerdir.
Bulut Teknolojileri Tehditleri
Son yıllarda ortaya çıkan siber güvenlik tehditlerinden birisi de bulut teknolojilerine yönelik
tehditlerdir. ENISA’nın 2014 yılı raporuna göre bulut teknolojilerine yönelik tehditler 2014’te artış
göstermiştir ve 2015 yılında artmaya devam edecektir. Yıl içerisinde karşılaşılan en önemli olay
Apple’a ait iCloud platformundan ünlülere ait resimlerin çalınarak, internete sızdırılmasıdır. Apple
firması bu saldırıda sorumluluk kabul etmemiş, veri kaybının kullanıcıların yanlış kullanımından
kaynaklandığını ifade ederek kullanıcıları suçlamıştır.
Bilgi Güvenliği Derneği – 2014 Siber Güvenlik Raporu
9
2014 Yılında Öne Çıkan Siber Güvenlik Olayları
1
Ocak
2
3
4
5
6
7
8
9
10
11
12
Target
2014 yılı, 2013’un sonlarında gerçekleşen Amerika’nın yaygın perakende zinciri Target
mağazalarının müşterilerine ait 40 milyon kredi kartının çalınmasını konuşarak başladı [Target].
Bu tarihe kadar karşılaşılan en büyük kredi kartı hırsızlığı olarak kabul edilen saldırının ardında ise
17 yaşında bir Rus bilgisayar korsanı olduğu iddia edildi [NYPost]. Mağazanın kasiyerlerinde
kullanan POS cihazlarının bağlı olduğu bilgisayarlara zararlı yazılım yerleştirmeyi başaran saldırgan
saldırı tespit edilene kadar geçen 3 hafta boyunca 11 GB boyutunda kredi kartı ve kullanıcı bilgisini
kendi sunucularına aktarmayı başarmıştı [Cybersecurityaid]. Çalınan milyonlarca kredi kartının
internet üzerinden 20 dolar karşılığında karaborsada satıldığı tespit edildi [Krebs].
Target’ın müşterilerini bilgilendirmede geç kalması eleştirilere sebep olmuştu
[Fiegerman]. Bu durum Amerika’da siber saldırı olaylarında veya veri sızıntılarında müşterilerin en
geç 30 içerisinde bilgilendirilmesinin yasal olarak zorunlu olmasını sağlayan maddenin yeni siber
güvenlik yasasına eklenmesine sebep olmuştur [NYTimes].
1
2
Şubat
3
4
5
6
7
8
9
10
11
12
Apple'ın SSL/TLS Yazılım Hatası - “goto fail;"
2014 yılı içerisinde karşılaştığımız güvenlik açıklıklarından ilki Apple’ın “goto fail;” adıyla bilinen
yazılım hatasıydı. Çevrimiçi bankacılık ve e-ticaret uygulamaları gibi web siteleri kullanıcı ve
sunucu arasında iletişimin şifreli olması için SSL/TLS mekanizmasını kullanır. Kullanıcı, sunucu ile
oturumu başlatmadan önce doğru siteye bağlandığını tespit etmek için sunucunun sertifikasını
kontrol eder. Bu kontrol işlemi sırasında Apple’ın bütün iOS 6 ve iOS 7 ve Mac OS X işletim
sistemlerinde ciddi bir yazılım hatası olduğu Şubat ayında ortaya çıktı. Bu hata sebebiyle sunucu
sertifikası gerçekte kontrol edilmemiş olmasına rağmen, kullanıcı kontrol edildiğini
zannetmekteydi. Bu açıklığı kullanan saldırgan kullanıcıyı kolaylıkla kendisinin kurduğu taklit web
sayfasına sahte sertifika ile yönlendirebilmekteydi [Gotofail].
Bilgi Güvenliği Derneği – 2014 Siber Güvenlik Raporu
10
Hatanın ortaya çıkmasının ardından, kamuoyundan gelen baskılar neticesinde Apple bu
hataya neden olan kodu açıklamak durumunda kalmıştır [Apple]. Hata, yeni sürüm Apple işletim
sistemlerinde düzeltilmesine rağmen Apple gibi kurumsal bir firmanın ürünlerinde son derece
basit bir yazılım hatası bulunması güvenlik topluluklarında uzun süre tartışıldı. Hata, kurumsal
yazılımların da çok ciddi güvenlik zafiyetlerine yol açabileceğini göstermesi açısından da önemli
bir dönüm noktası olmuştur.
1
2
3
4
Nisan
5
6
7
8
9
10
11
12
Heartbleed
2014’un en çok ses getiren güvenlik açıklığı Heatbleed’di. Heartbleed, sunucularda SSL/TLS
mekanizmasının uygulanabilmesi için şifreleme servisleri sunan yazılımlardan biri olan
OpenSSL’de bulunan bir açıklığa verilen isimdir. 2012 yılında, OpenSSL’e “Heartbeat” adında yeni
bir protokol eklenmişti. Bu protokoldeki çok ciddi bir yazılım hatası 2014 yılının Nisan ayında
Google’ın güvenlik mühendislerinden Neel Mehta ve eşzamanlı olarak Finlandiyalı güvenlik firması
Codenomicon tarafından ortaya çıkarıldı. Güvenlik açığına neden olan bu yazılım hatasının teknik
detaylarına [Heatbleed]’den ulaşabilirsiniz. Özetle, bu açıklık, OpenSSL kullanan bir web
sunucusundan saldırganın kullanıcı adı, şifre, sunucunun şifreleme anahtarları, sertifikaları gibi
hassas bilgileri kolaylıkla ele geçirebilmesine imkân tanır.
Açıklık ortaya çıktığında internetteki bütün web sunucularının üçte ikisi bu zafiyete açıktı
[NetCraft]. Bu durum Heartbleed açıklığının bu zamana kadar karşılaşılan açıklıklılar arasında en
fazla sunucu sistemini etkileyen açıklık olarak birinci sıraya oturmasına yol açmıştır. OpenSSL ekibi
hemen bir yama yayınlayarak hatayı düzeltti. Fakat OpenSSL kullanan bütün web sitelerinin bu
yamayı kendi web sunucularına uygulamaları ve sertifikalarını ve güvenlik anahtarlarını
yenilemeleri gerekmekteydi. Buna rağmen, 2014’in üçüncü çeyreğine ait raporlar web sitelerinin
büyük bir çoğunluğunun hala Heartbleed saldırısına karşı korumasız olduklarını ortaya çıkarmıştır
[Venafi]. Sitelerin bir kısmı yamayı yüklemezken bir kısmı eski anahtarlarını ve sertifikalarını
kullanmaya devam ettikleri tespit edilmiştir. 2015 yılının başlarında yayınlanan Cisco Güvenlik
raporunda incelenen sunuculardan %56’sinin 40 aydan daha eski OpenSSL sürümü kullandıkları
ve Heartbleed saldırısına açık oldukları belirtilmektedir [Cisco].
Bilgi Güvenliği Derneği – 2014 Siber Güvenlik Raporu
11
Heartbeat protokolünün eklendiği 2012 yılından zafiyetin açığa çıktığı 2014 Nisanına kadar
bu zafiyetin kimler tarafından kullanmış olduğu ve ne kadar sistemi etkilediği bilinmiyor. NSA’nın
bu açıklığı bildiği ve kullandığı söylentileri ise hiçbir zaman doğrulanamadı.
1
2
3
4
5
6
7
8
Ağustos
9
10
11
12
JP Morgan Chase
Ağustos ayının başlarında, Amerika’nın büyük bankalarından JP Morgan Chase Bank’ın bilgisayar
sistemlerine girilmesi olayı, etkilediği kullanıcı sayısıyla sıradan bir e-bankacılık veri hırsızlığının çok
ötesindeydi. Bankanın 90’un üzerine sunucu sistemlerine iki aydan daha fazla süre giren
saldırganlar 76 milyon bireysel ve 7 milyon kurumsal banka hesabının bilgilerini çalmışlardı
[JPMorgan]. Etkilenen müşteri sayısı itibariyle siber saldırılar, tarihin en büyük veri hırsızlığı olarak
tanımlandı. Olayın arkasında devlet destekli Rus bilgisayar korsanlarının olabileceği ve Ukrayna
nedeniyle Rusya’ya uygulanan yaptırımlara karşılık olarak gerçekleştirildiği iddia edildi [CNN].
Finans sektörüne yönelik bu büyüklükte devlet destekli bir siber saldırının olabilme ihtimali
uzun süreden beri tartışılmaktaydı. Bu ölçekte bir siber saldırının finans sektöründe yaratacağı kriz
ortamı ve domino etkisine dikkat çekilmekteydi. JP Morgan Chase siber saldırıları ekonomik
kayıpları itibariyle böyle bir etki yaratmaktan uzaktı. Öbür taraftan, yapılan milyonlarca dolar siber
güvenlik yatırımına rağmen bankacılık sistemlerinin siber saldırılara karşı kırılganlığını ortaya
çıkarması açısından bir dönüm noktası olmuştur.
1
2
3
4
5
6
7
8
9
Eylül
10
11
12
Home Depot
Perakende ev ürünleri satan Home Depot isimli Amerikan mağaza zinciri, Eylül ayı başlarında 2200
mağazasının POS cihazlarına bağlı bilgisayarlarından 56 milyon kredi kartı bilgisini çalındığını
duyurdu [HomeDepot]. Güvenlik araştırmacıları 2013 yılı sonunda Target mağazalarını etkilen
aynı zararlı yazılımın bu defa Home Depot mağazalarında kullanıldığını tespit ettiler [Krebs2]. Bu
kez etkileri daha yıkıcıydı. Zararlı yazılım Nisan ayından Eylüle kadar tespit edilemeden kullanıcı
verilerini saldırganlara göndermişti.
Bilgi Güvenliği Derneği – 2014 Siber Güvenlik Raporu
12
Home Depot saldırılarının ardından, Target saldırılarında kullanılan aynı zararlı yazılımın
aynı yöntemlerle başka bir perakende firmasını hedef alması güvenlik topluluklarında eleştirilere
yol açarken, kredi kartlarında Avrupa’da olduğu gibi çipli kart uygulamasının Amerika’da da
kullanılması gerektiğinin önemi ortaya çıkmıştır.
1
2
3
4
5
6
7
8
9
Eylül
10
11
12
POODLE ve Shellshock Güvenlik Açıklıkları
Eylül ayı aynı zamanda iki önemli güvenlik açığının duyurulduğu bir ay oldu. Bu açıklıklardan ilki
olan PODDLE web sayfalarını şifrelemede kullanılan SSL 3 şifreleme mekanizmasının tasarımına
dayanan bir hatadan kaynaklanmaktaydı. PODDLE, geçen yıllarda keşfedilen BEAST ve Lucky 13
açıklıklarına çok benzeyen bir yöntemi kullanmaktadır [SSLSaldırılar]. Açıklığı ortaya çıkaran
araştırmacılar kullanıcı ve sunucu arasında iletişimi şifreleyen oturum anahtarını 256 tahminde
ele geçirebilmeyi başarabildiler [Poddle]. Oturum anahtarını ele geçiren bir saldırgan, bir
kullanıcının e-bankacılık web sayfası ile olan bütün iletişiminin şifresini çözebilir. SSL 3 yerine TLS
1’in şifreli iletişimde kullanılması ve SSL 3 kullanan web tarayıcı isteklerinin reddedilmesiyle bu
açıklığın zafiyete dönüşmesi kolaylıkla engellenebilmiştir.
Eylül ayının sonlarına doğru ortaya çıkan Shellshock isimli açıklık ise Unix işletim
sistemlerinde bulunan bir yazılım hatasına verilen isimdir. Bu hata sayesinde saldırganlar Unix
kullanan sunucular üzerinde uzaktan kod çalıştırabilirler. Hata, Unix kullanan sunucuların çokluğu
nedeniyle Heartbleed gibi milyonlarca sistemi etkilemiştir. Yayınlanan yamaların etkilenen
sistemlere uygulanmasıyla hata giderilmektedir. Fakat gerekli yamayı zamanında uygulamayan
birçok sistem açıklığın duyurulmasından sonra saldırılara maruz kalmışlardır.
1
2
3
4
5
6
7
8
9
10
Ekim
11
Kasım
12
Axiom Raporu ve Amerika – Çin ilişkileri
2013 yılında Mandiant firmasının yayınladığı “APT1: Exposing One of China's Cyber Espionage
Units” isimli rapor çok konuşulmuştu. Rapora göre Çin ordusu uzun süreden beri Amerikan askeri
ve endüstriyel bilgi sistemlerine sızmakta ve ekonomik ve stratejik değeri olan bilgiyi kendi
sistemlerine aktarmaktaydı [Mandiant]. 2014 yılının Mayıs ayında ise 5 Çinli asker Amerikan
Bilgi Güvenliği Derneği – 2014 Siber Güvenlik Raporu
13
mahkemeleri tarafından 2006-2014 yılları arasında Amerika’ya karşı siber casusluk suçundan
suçlu bulundu ve FBI tarafından arananlar listesine eklendi [FBI].
Obama’nın Kasım ayında Çin’e yapacağı ziyaretten bir kaç hafta öncesinde ise Novetta
isimli bir firma tarafından Axiom isimli yeni bir rapor yayınlandı [Axiom]. Rapor, Çin’in ticari amaçlı
siber casusluğun yanında, dış istihbarat ve muhalifleri izlemek için istihbarat önleme yöntemlerini
siber ortamda etkin olarak kullandığını iddia etmekteydi. Obama’nın Çin’i ziyaret ettiği sırada
Amerikan Resmi Posta Servisinden (USPS) 800.000 çalışanın bilgilerinin Çinli bilgisayar korsanları
tarafından çalınması ise uzmanlar tarafından Amerika – Çin siber güvenlik görüşmelerinin başarısız
geçtiği olarak yorumlandı [Dailysignal].
1
2
3
4
5
6
7
8
9
10
11
12
Aralık
Sony Pictures Entertainment’a Kuzey Kore tarafından yapılan siber saldırılar
2014 yılı Sony’nin Hollywood’daki sinema stüdyolarına Kuzey Kore tarafından yapılan siber
saldırıları konuşarak sona erdi. Ölçek olarak düşük düzeyde bir siber saldırı olsa da yarattığı etki
Amerikan kamuoyunu uzun süre meşgul etti. Öbür taraftan, iki ülkeyi siber saldırılar üzerinden
karşı karşıya getirmesi, devlet başkanlarının doğrudan dâhil olmaları gibi nedenlerle 2007 RusyaEstonya olaylarından sonra uluslararası ilişkiler alanında siber güvenliğin tartışıldığı önemli
olaylardan biri olmaya aday özelliğini taşıdığı söylenebilir.
Aralık ayına birkaç gün kala kendilerini Barışın Bekçisi olarak tanımlayan saldırganlar Sony
Pictures’un yüzlerce bilgisayarına uzaktan bağlanarak kullanılamaz hale getirmişlerdi. Devam
eden günlerde bilgisayar korsanları Sony’e ait gösterimde olan filmlerden, çalışanların maaş,
pasaport bilgilerine ve birbirleriyle yaptıkları e-posta yazışmalarına kadar bütün bilgileri internete
sızdırdılar [Deadline]. Bilgisayar korsanlarının 26 Aralık günü gösterime girecek olan “The
Interview” isimli Kuzey Kore lideri Kim Jong-un’un öldürülmesini konu olan bir filme karşılık
saldırıları gerçekleştirdikleri iddia edildi. Kuzey Kore saldırının arkasında olduğunu reddetmekle
birlikte, filmi eleştirmeye devam etti.
Saldırganlardan 26 Aralık günü için yeni bir “hediye” hazırladıkları şeklinde tehdit alan
sinema dağıtımcıları filmi yayınlamaktan vazgeçtiler. Bu durumu Anayasanın 1. Maddesinin
Bilgi Güvenliği Derneği – 2014 Siber Güvenlik Raporu
14
verdiği basın ve yayın özgürlüğünün başka bir devlet tarafından engellenmesi olarak yorumlayan
Amerikan kamuoyu geniş bir şekilde tepki gösterdi. Bunun neticesinde FBI yaptığı araştırmalara
göre saldırıların ardında Kuzey Kore Devletinin olduğunu kesin olarak belirlediklerini, Başkan
Obama ise orantılı bir karşılık verileceğini duyurdu [Washpost]. Kuzey Kore’ye verilecek bütün
karşılıklar ölü doğacak gibiydi; askeri karşılık orantısız, siber karşılık etkisiz, diplomatik ve hukuki
karşılıklar Kuzey Kore bağlamında geçersiz olacaktı. Böylesi bir siber saldırıya nasıl bir ‘orantılı’
karşılık verileceği tartışılırken, Kuzey Kore’nin interneti 22 Aralık günü 8 saat süreyle tamamen
kesildi. Devam eden günlerde Amerika, Kuzey Kore’ye artırılmış ekonomik yaptırım uygulayacağını
duyurdu.
Sonuç olarak, siber gücün Kuzey Kore gibi küçük bir ülke tarafından büyük bir firmaya geri
adım attırtmasının etkisi ve Amerika Başkanı Obama’nın orantılı karşılık verileceğini açıklaması
uluslararası ortamda tartışmalara yol açtı. Kuzey Kore’ye verilecek orantılı karşılık açmazı siber
güvenliğin sorumlu belirleme (attribution) sorunundan sonra yeni bir uluslararası sorun olarak
ortaya çıktı.
2015 Yılı Tahminleri
2014 yılının ardından 2015 yılı için yapılan tahminler bekleneceği üzere pek iç açıcı değil.
CyberSheath ve Websense firmaları tarafından 2014 yılı analiz edilerek yapılan 2015 tahminleri
benzer beklentilere yer vermekte [CyberSheath, Websense]. Bu çerçevede, 2015 yılında;
 Nesnelerin interneti (Internet of Things) adı verilen internete bağlı akıllı cihaz veya giyilebilir
elektroniklere yönelik siber saldırılarda artış gözlenecek.
 Sağlık sektörüne ait kişisel veriler daha çok bilgisayar korsanlarının hedefinde olacak.
 Mobil telefonlar ve bu telefonlar için oluşturulan bulut veri depolama sistemleri daha çok
siber saldırılara maruz kalacak.
 Firmalar, mobil güvenlik için strateji belirlemek ve daha fazla kaynak ayırmak zorunda
kalacaklar.
Bilgi Güvenliği Derneği – 2014 Siber Güvenlik Raporu
15
 Açık kaynak kodlu yazılımlardan kaynaklanan güvenlik açıklıkları 2015 yılında da artarak
devam edecek.
 Zafiyet yönetimi firmalar için ilave masraflar getirecek.
 Özel sektör ve kamu sektörü arasında özellikle sağlık, finans, ödeme ve savunma
sanayilerinde bilgi ve istihbarat paylaşımının önemi artacak.
 Kredi kartı hırsızlığı devam edecek. Amerika manyetik şeritli kredi kartlarını çipli kartlar ile
değiştirme yoluna gitmek zorunda kalacak.
 “Ransomware” zararlı yazılımı kullanılarak yapılan ve fidye istenen bilgisayar korsanlığı 2015
yılında da artarak devam edecek.
 Bulut teknolojilerine yönelik siber saldırılarda artış gözlenecek.
 Devletler siber savaş ve siber casusluk için yatırım yapmaya ve silahlanmaya daha çok hız
verecek.
 Ülkeler arasında siber güvenlik işbirliğine ilişkin ikili anlaşmalar imzalanacak.
Bilgi Güvenliği Derneği – 2014 Siber Güvenlik Raporu
16
Referanslar
[Apple]
Apple
Inc.
sslKeyExchange.c.
http://opensource.apple.com/source/Security/Security-
55471/libsecurity_ssl/lib/sslKeyExchange.c
[Axiom] Novetta. Operation SMN. https://www.novetta.com/library/downloads/
[AVTest] AV-TEST Institute. http://www.av-test.org/en/statistics/malware/
[Cisco] Cisco Systems. 2015 Annual Security Report
[CNN]
Egan,
Matt
v.d.
FBI
investigating
hacking
attack
on
JPMorgan.
http://money.cnn.com/2014/08/27/investing/jpmorgan-hack-russia-putin/
[Cybersecurityaid] Cyber Secuirty Aid. Target Attackers Took 11 GB of Data, Researchers Say.
http://www.cybersecurityaid.org/2014/01/17/target-attackers-took-11-gb-of-data-researchers-say/
[CyberSheath] CyberSheath Services International, LLC. CyberSheath’s Security Forecast Report for 2015
[Dailysignal] Inserra, David. Cybersecurity: Time for the U.S. to Stop Negotiating with China and Start
Acting. http://dailysignal.com/2014/11/24/cybersecurity-time-u-s-stop-negotiating-china-start-acting/
[Deadline] Rob, David. Sony Hack: A Timeline. http://deadline.com/2014/12/sony-hack-timeline-anypascal-the-interview-north-korea-1201325501/
[DerSpigel] Poitras, Laura v.d. A Two-Faced Friendship: Turkey Is 'Partner and Target' for the NSA
[ENISA] European Union Agency for Network and Information Security. ENISA Threat Landscape 2014
[FBI] The Federal Bureau of Investigation. Five Chinese Military Hackers Charged with Cyber Espionage
Against
U.S.
http://www.fbi.gov/news/news_blog/five-chinese-military-hackers-charged-with-cyber-
espionage-against-u.s
[Fiegerman] Fiegerman, Seth. Why Target Waited So Long to Disclose Its Massive Security Breach.
http://mashable.com/2014/01/17/retailers-security-breach-timing/
[Gotofail] Meral, Mehmet. Apple’in “goto fail;” Hatası.
https://mehmetmeral.wordpress.com/2015/01/17/apple-goto-fail-hatasi/
[Heartbleed] Meral, Mehmet. Heartbleed’in Teknik Analizi.
https://mehmetmeral.wordpress.com/2015/01/18/heartbleed/
[HomeDepot] The Home Depot Inc. The Home Depot Completes Malware Elimination and Enhanced
Encryption
of
Payment
Data
in
All
U.S.
Stores
http://media.corporate-
ir.net/media_files/IROL/63/63646/HD_Data_Update_II_9-18-14.pdf
[JPMorgan]
Silver,
Jessica
v.d.
JPMorgan
Chase
Hacking
Affects
76
Million
Households
http://dealbook.nytimes.com/2014/10/02/jpmorgan-discovers-further-cyber-security-issues/
Bilgi Güvenliği Derneği – 2014 Siber Güvenlik Raporu
17
[Krebs] Krebs, Brian. Cards Stolen in Target Breach Flood Underground Markets.
http://krebsonsecurity.com/2013/12/cards-stolen-in-target-breach-flood-underground-markets/
[Krebs2] Krebs, Brian. Home Depot Hit By Same Malware as Target.
http://krebsonsecurity.com/2014/09/home-depot-hit-by-same-malware-as-target/
[Lookout] Lookout. 2014 Mobile Threat Report.
https://www.lookout.com/static/ee_images/Consumer_Threat_Report_Final_ENGLISH_1.14.pdf
[Mandiant] FireEye. APT1: Exposing One of China's Cyber Espionage Units.
http://intelreport.mandiant.com/Mandiant_APT1_Report.pdf
[NetCraft] NetCraft Ltd. April 2014 Web Server Survey.
http://news.netcraft.com/archives/2014/04/02/april-2014-web-server-survey.html
[NYPost] Whitehouse, Kaja. Baby-faced teen’s malware eyed in Target data breach
http://nypost.com/2014/01/18/teens-malware-eyed-in-target-data-breach/
[NYTimes] Shear, Michael D. Ve Singerjan, Natasha. Obama to Call for Laws Covering Data Hacking and
Student Privacy. http://www.nytimes.com/2015/01/12/us/politics/obama-to-call-for-laws-coveringdata-hacking-and-student-privacy.html?partner=rss&emc=rss&_r=1
[Poddle] Mollor, Bodo v.d. This POODLE Bites: Exploiting The SSL 3.0 Fallback
https://www.openssl.org/~bodo/ssl-poodle.pdf
[SSLSaldırılar] Meral, Mehmet. SSL/TLS Şifreleme Mekanizmasına Karşı Son Yıllarda Yapılan Saldırılar.
https://mehmetmeral.wordpress.com/2015/01/17/ssltls-sifreleme-mekanizmasina-karsi-son-yillardayapilan-saldirilar/
[Symantec] Symantec Corporation. Cyber Security Intelligence Report DECEMBER 2014.
[Target] Target Corporation. Target Confirms Unauthorized Access to Payment Card Data in U.S. Stores.
http://pressroom.target.com/news/target-confirms-unauthorized-access-to-payment-card-data-in-u-sstores
[Venafi] Venafi Inc. Venafi Labs Q3 Heartbleed Threat Research Analysis
https://www.venafi.com/assets/pdf/wp/Venafi_Labs_Q3_Heartbleed_Threat_Research_Analysis.pdf
[Washpost] Nakashima, Ellen. U.S. attributes cyberattack on Sony to North Korea.
http://www.washingtonpost.com/world/national-security/us-attributes-sony-attack-to-northkorea/2014/12/19/fc3aec60-8790-11e4-a702-fa31ff4ae98e_story.html
[Websense] Websense, Inc. 2015 Security Predictions
Bilgi Güvenliği Derneği – 2014 Siber Güvenlik Raporu