Kayhan Kayıhan – IETT siber saldırı röportajı

21.03.2016 da  IETT’ye ait bazı sistemlerin hacklenmesi sonucunda otobüs, metrobüs ve IETT’ye ait tüm araç takip ekranlarında durak isimleri “Ekber was here” olarak değiştirildi. Bu konu üzerine ATV haber den İrem Sansak ile gerçekleştirmiş olduğumuz röportaj.

Share Button

Penetration Testing // Kayhan Kayıhan // 18 Şubat 2016

IstanbulCoders‘un her perşembe  gerçekleştirmiş olduğu bilgi paylaşım etkinliğinde Penetration Testing den bahsettim. Keyifli seyirler.

Share Button

Tox Ransomware Dağıtıcısı

Bildiğiniz gibi fidyeclik zararlı yazılımı ülkemizde  ve dünyamızda oldukça yaygın, bunun başlıca sebebleri ise ciddi paralar kazanılıyor olması ve zararlı yazılım geliştirme yeteneğine sahip olmayan kişiler kişilerin bile bu zararlı yazıılımları ücretsiz olarak erişebilmesi ve bunun üzerinden iyi paralar kazanması.

Mcafee tarafından keşif edilen ve yaygın olarak kullanılan bir zararlı yazılım kitinden bahsetmek ve bu işin ne kadar basit olduğunu göstererek ciddi önlemler almamız gerektiğini anlatmak istiyorum.

Bahsetmek istedğim kitin adı Tox, tox sadece de tor networkünden erişilebilen bir uygulama, uygulamaya erişerek size özel bir zararlı yazılım oluşturabiliyorsunuz.

Tox-Ransomware

 

 

 

 

 

Tox’ un çalışma yapısı günlük hayatımızdaki ticari yapıya çok benziyor, TOX’ a register olunması gerekiyor,  register işlemi sonrasında Tox üzerinden zararlı yazılım indirilebiliyor. Bu zararlı yazılım sosyal mühendislik vb yöntemler ile kullanıcılara dağıtılabiliyor.

Tox-Ransomware2

 

 

 

 

 

 

 

Zararlı yazılımı çalıştıran kullanıcının bilgisayarındaki birçok dosya şifrelenerek kullanılmaz duruma geliyor ve kullanıcının ekranına bir uyarı çıkıyor. Dosyalarınızı kurtarmak için aşağıdaki bitcoin hesabına 100$ gönderin gibi.

Kullanıcı gerçekten dosyalarını kurtarmak istiyorsa bu ücreti ödemek zorunda.

Tox-Ransomware3

 

 

 

 

 

 

 

Saldırgan bundan sonraki adımda yukarıdaki ekran görüntüsü bulunan sayfayı takip ediyor, gerçekleştirdiği saldırı ile kaç kişiyi etkilediğini, kaç kişinin ne kadar para ödediği gibi bilgileri izliyor.

Saldırı başarılı olur ve kurban ücret öderse bu panelde ödenen ücret görüntülenebiliyor, bu ücretin %30’u sistemin sahibi olduğu için TOX’a ait, %70 ise saldırıyı gerçekleşiren kişiye.

Gördüğünüz gibi sadece bilgisayar kullanmayı bilen birisi bile böyle bir atak gerçekleştirebilir ve sonunda ciddi gelirler elde edebilir. Gelir elde etme motivasyonu nedeni ile bu saldırılar oldukça yaygın ve tehlikeli, korunmak için linkteki yazımı inceleyebilirsiniz.

Not: TOX servisinin kurucusunun başı şu aralar federaller ile belada olduğu için servisi kapatmış durumda, bende bu nedenle içeriği yayınlıyorum, aksi taktirde gençlere kötü örnek olurdu.

Kaynak:

https://blogs.mcafee.com/mcafee-labs/meet-tox-ransomware-for-the-rest-of-us/

Share Button

Ransomware(Fidye) Yazılımları

Ülkemizde ve dünyada yaygın olarak görülen bir siber saldırı ransomware(fidye) saldırısından bahsetmek istiyorum bu yazımda. Bu yazımda içerik olarak aşağıdaki başlıkları işliyor olacağım.

1- Ransomware(Fidye) yazılımları nedir, ne yapar?

2- Ransomware yazılımları nasıl bulaşıyor?

3- Bu yazılımın türevleri?

4- Ransomware yazılımları için çözüm önerileri

5- Ransomware yazılımları neden bu kadar yaygınlaştı?

6- Sonuç

 

1- Ransomware(Fidye) yazılımları nedir, ne yapar?

Ransomware(Fidye) yazılımı olarak adlandırılan yazılımlar çalıştırıldıkları bilgisayarlardaki bazı dosyları şifreleyerek dosya sahibinin dosyaya erişimini engeller. Bu yazılımarın amacı ilgili dosyaları şifreleyerek erişimi engellemek ve kullanıcının dosyaya erişmek istemesi durumda kullanıcı dan para istemek.

İlgili kişi dosyalarını kurtarmak istiyorsa malesef parayı ödemekten başka çaresi yok, çünkü şifreleme methodu olarak kullanılan methodlar çok güçlü ve kırılabilmesi mümkün değil veya diğer bir deyişle yıllar sürüyor.

2- Ransomware yazılımları nasıl bulaşıyor?

Ransomware yazılımları genellikle kullanıcılara gönderilen mailler ile sistemlere bulaşıyor, kimse sisteme erişerek sistemde her hangi bir zararlı yazılım çalıştırmıyor(Yaygın olarak mail kullanılıyor, sisteme erişilerek bu yapılmaz anlamına gelmiyor). En büyük güvenlik riskinin insan hatası olduğunu ve insanın da kolay hata yapan bir canlı türü olması durumunu kullanıyorlar.

Genellikle sizin adınıza düzenlenmiş bir fatura maili geliyor ve fatura değeri oldukça yüksek, siz panik ile ekteki veya link olarak size gönderilmiş faturayı indirmeye çalışıyorsunuz ve zararlı yazılım sizin sisteminizde çalışıyor.

Örnek birkaç mail örneğine ait ekran görüntüsünü aşağıdaki gibi:

ransomware-spam1

Ransomware-spam2

 

 

 

 

 

 

 

 

 

 

 

Bu vb maillar geldiğinide açmamanız gerekir. Düzenli olarak şirket çalışanlarına sosyal mühendislik mühendislik saldırı senaryoları uygulanarak kullanıcıların bu konuda bilinçlenmesi sağlanmalıdır.

3- Bu yazılımın türevleri?

Bu yazılım ilk versiyonlarında sertifika yazılım ile birlikte gelmesi vb. gibi basit hatalar sonucunda dosyalar şifrelenebilse de kurtarmak mümkün oluyordu ancak bunu fark eden zararlı yazılım geliştiricileri zaman içerisinde zararlı yazılımı geliştirerek farklı methodlar kullanmaya başladılar. Başlıca ransomware yazılım isimleri şu şekiilde: Cryptolocker, Cryptowall, TeslaCrypt, AxCrypt, TeslaCrypt ve nicesi.

4- Ransomware yazılımları için çözüm önerileri

Ransomware yazılımları çalıştırıldıkları sistemlerde dosyaları şifreleyebilmesi için bazı yetkilere ihtiyaç duyar, bu yetkiler sistemde mevcut değilse ransomware yazılımları sistemdeki dosyaları şifreleyemez.

Bu konu ile ilgili olarak yapmanız gereken adımları işlem adımlarının anlatıldığı iki konuyu aşağıda sizlerle paylaşıyorum, bu konuları incelemenizi ve sistemlerinizde uygulamadıysanız uygulamanızı tavsiye ederim.

TeslaCrypt – Cryptowall – Cryptolocker Analiz ve Korunma

Software Restriction Policy

Fidye Yazılımlarına Karşı Etkili Savunma Yöntemleri – Cryptolocker

 

5- Ransomware yazılımları neden bu kadar yaygınlaştı?

Ransomware benzeri uygulamalar geliştirmek basit bir scriipt yazmak kadar kolay değil ancak ransomware yazılımları çok yaygın ve bazı adreslere gün içerisinde birden fazla zararlı yazılım içeren mail geliyor. Nasıl oluyorda bu işler bu duruma geliyoru merak ettim ve araştırdım.

Ransomware yazılımlarını dağıtmak artık deep web de ticari bir faaliyet haline gelmiş, iş ortakları aranıyor vs.

Onlarca ransomware kit ilanı gördüm, fiyatı 1000 ile 4000 $ civarında ancak TOX benim çok daha fazla dikkatimi çekti, sebebi ise ücretsiz olarak zararlı yazılımı alabiliyor olmanızdı.

TOX’un web sayasında size özel ransomware yazılımı oluşturulabiliyor, oluşturduğunuz zararllı yazılımı istediğiniz sistemlere bulaştırabiliyorsunuz.  Ransomware yazılımını bulaştırdığınız sistemin sahibi dosyalarını kurtarmak için para ödemeyi kabul ederse TOX’un bitcoin hesabına ödeme yapıyor, TOX’da ödenen paranın %70 ni sizin bitcoin hesabına gönderiyor. Buradan da anlayabileceğini gibi henüz 13-15 yaşında facebook kullanmaktan bir adım öte bilgisayar kullanmayı bilen bir genç bile bu tip atakları yapabilir ve ciddi gelirler elde edebilir. Bu nedenle ransomware uygulamaları hızla yayıllıyor.

 

6- Sonuç

Kullanıcılar sosyal mühendilslik saldırılarına karşı eğitilmeli,

Sistemler de dosya şifreleyeme karşı önlemler alınmalı,

Anti spam gateway sistemleri güzenli olarak güncellenmeli ve sıkılaştırılmalı,

Web gateway cihazları düzenli olarak güncellenmeli ve sıkılaştırıllmalı,

 

Share Button

VoIP Sistemlerde Görülen 10 Güvenik Zafiyeti

Bu içerik sadece konu başlıklarını içermekte olup, konu hakkında bilgi sahibi olmayan kişilerin giriş seviyesinde bilgi edinmmesini sağlamak amacı ile hazırlanmıştır.

1- VoIP trafiğinin direkt olarak internete çıkması
VoIP trafiği dinlenerek telefon görüşmeleri dinlenebilir, bu nedenle VoIP trafiği VPN ile şifrelenerek iletilmelidir.

2- Gateway de VoIP için güvenlik limitlerinin belirlenmesi
Özellikle yeni nesil IPS/IDS ve Firewall cihazları VoIP trafiğini tanıyabilmekte, bu tip bir cihaza sahipseniz bu cihazların VoIP için ihtiyaç duyulan limitlemeleri set edilmelidir.

3- VoIP cihazlarına ait güncellemeler
Telefon, gateway cihazları ve TFTP server gibi birçok bileşenden oluşan VoIP ağında çalışan tüm cihazların güncelleeleri düzenli olarak kontrol edilmelidir.

4- Network güvenliği
VoIP sistemlerin bulunduğu ağ yeterince güvenli olmaması durumunda VoIP sistemleri ne kadar güvenli olursa olsun güvenlik riski yüksektir.

5- VoIP sistemlerin çalıştığı işletim sistemlerinin güncellenmesi
VoIP sistemleri manage eden yazılımlar linux, windows gibi işletim sistemleri üzerinde çalışırlar. Bu sistemmlerde oluşacak bir zafiyet VoIP sistemlerinde etkilenmesi anlamına gelir.
VoIP sistemler ile çalışan işletim sistemleri düzenli ve sık aralıklarla güncellenmelidir.

6- DDos atakları
VoIP sistemler de kullanımayan servislerin kapatılması ve kullanılan servislere erişimin sadece ilgili kişilerin erişimine izin verecek şekilde sınırlanması önerilir.
Aksi taktirde tcp ve udp paketleri ile yapılacak istekler sonucunda sistemin işleyişi bozulabilir.

7- VoIP görüşmelerin dinlenmesi
VOMIT ve SipTap gibi araçlar ile VoIP trafiğini dinleyebilmek mümkün, bu nedenle VoIP datası şifrelenmelidir.

8- Spam over IP Telephony (SPIT)
Gerçek olmayan spam telefon aramları, ses kayıtları olarak adlandırabiliriz. Düzenli güncelleme ve VoIP servisini tanıyan firewall cihazlarında alınacak önlemler ile korunabilinir.

9- Basit şifre kullanımı
Kullanılan basit şifreler sayesinde saldırganlar istedikleri sistem ve servislere erişerek VoIP trafiğini istediği gibi yönetebilmektedir. Güçlü şifre politikaları ile sistem korunabilir.

10- Wireless telefonlar
Teknolojinin gelişmesi ile birlikte VoIP cihazlarıda wireleess ağında çalışabili duruma geldi, wireless ağındaki her hangi bir güvenlik zafiyeti VoIP trafiğinide tehdit etmektedir.
Güvenliğiniz için güçlü parola, düzenli şifre değişliği ve 802.1x gibi güvenlik önlemleri ile korunabilirsiniz.

Share Button