Verisign - WordPress.com
Transkript
Verisign - WordPress.com
RAPOR 2015 SIBER TEHDITLER VE TRENDLER AĞINIZI VE VERINIZI KORUMAK IÇIN BILMENIZ GEREKENLER İÇERİK 2 YÖNETICI ÖZETI 3 GIRIŞ 4 1. SIBER SUÇ: SATIŞ NOKTASI (POS) SISTEMLERI'NE YÖNELIK SALDIRILARDA ARTIŞ 5 2. SIBER SUÇ: BANKALARA YÖNELIK YENI TRUVA ATLARI VE İNDIRME UYGULAMASI KULLANIMINDA ARTIŞ 7 3. İNTERNET KORSANCILIĞI: FIZIKSEL VE DIJITAL PROTESTOLARIN BULUŞMASI 9 4. İNTERNET KORSANCILIĞI: HÜKÜMET YANLISI İNTERNET KORSANCILIĞI ETKINLIĞI 11 5. İNTERNET KORSANCILIĞI: DDoS SALDIRILARININ KARMAŞIKLIĞI VE SAYISINDA ARTIŞ 13 6. GÜVENLIK AÇIKLARI: SALDIRGANLARIN KRITIK ALTYAPILARI HEDEF ALMA SAYISINDA ARTIŞ 14 7. GÜVENLIK AÇIKLARI: AÇIK KAYNAK YAZILIMLARIN (OSS) HEDEFLENMESINDE ARTIŞ 16 8. GÜVENLIK AÇIKLARI: GÜVENLIK AÇIĞI ARAŞTIRMA "KITLE KAYNAK" TRENDINDE ARTIŞ 18 9. SONUÇ 20 Verisign Public | 2015 Siber Tehditler ve Trendler YÖNETICI ÖZETI Günümüzde bir işletmeyi korumak hiç olmadığı kadar karmaşık ve zorlu bir iş haline gelmiştir. Kişisel ve profesyonel saldırı yüzeylerimiz daha önce hiç olmadığı kadar geniş olmakla birlikte kurumların ve kişilerin çeşitli işler nedeniyle dijital dünyaya bağlı olma ihtiyaçları artıkça daha da genişleyeceği beklenmektedir. Güvenlik görevlileri yalnızca işletmenin varlıklarını korumakla kalmamalı aynı zamanda da tedarik zincirini ve diğer işletme ekosistemlerini de tehditlere karşı korumalıdır. Bu tehditler, siber tehdit manzaralarının aktörler, taktikler ve motivasyonlar açısından sürekli evrilmesi ile bir araya gelerek hızla değişen saldırı taktikleri, teknikleri ve prosedürleri (TTP'ler) ile baş edebilmek için kurumların istihbarat odaklı, bütünsel bir güvenlik yaklaşımına yönelmelerini gerektiren bir durum oluşturmuştur. 2014 yılı boyunca ve 2015 yılında Verisign iDefense® Security Intelligence Services, siber suçluların satış noktası (PoS) sistemlerine ve yeni banka zararlı yazılımları geliştirmeye ve kullanmaya odaklandığını gözlemlemiştir. Global etkinlikler, internet korsancılığı faaliyetlerinin ve hükümet yanlısı siber operasyonların sıklığını ve ciddiyetini artırmaya devam etmektedir. Savunmasız eski ve açık kaynak işletim sistemleri ofis otomasyon ağlarından endüstriyel kontrol sistemi (ICS) ağlarına kadar kritik ağların güvenliği açısından sorun oluşturmaya devam etmektedir. Günümüzde bir işletmeyi korumak hiç olmadığı kadar karmaşık ve zorlu bir iş haline gelmiştir. Bunlar, siber saldırılarda kullanılan TTP'lerdeki diğer temel değişiklikler ve 2014 yılında kullanılmaya başlanan yeni araçlar bir araya gelerek dağıtılmış hizmet reddi (DDoS) saldırıları ve gittikçe daha gizli zararlı kodlar da dahil olmak üzere güçlü bir saldırı kombinasyonu oluşturmaktadır. Verisign Public | 2015 Siber Tehditler ve Trendler 3 GIRIŞ Verisign iDefense 2015 Siber Tehditler ve Trendler Raporu, geçen yılın kilit siber güvenlik trendlerine genel bir bakış sağlar ve bu trendlerin gelecek yıl ne şekilde evrileceği hakkında fikir verir. Bu raporun amacı, şirketlerini etkileyen kritik siber tehditler ve trendler hakkında güvenlik ve işletme faaliyetleri ekiplerini bilgilendirmek ve böylece bu ekiplerin kilit siber güvenlik gelişimlerini ön görmelerine ve saldırıları daha etkin şekilde sınıflandırmalarına ve giderek daha kısıtlı hale gelen kaynakları daha verimli paylaştırmalarına imkan tanımaktır. Bu rapor, Verisign'ın 2014 yılında ve 2015 başında belirttiği ve 2015’in kalanında da gözlemlemeyi beklediği kilit siber güvenlik trendlerine genel bir bakış sunar. Bu rapor, Verisign'ın 2014 yılında ve 2015 başında belirttiği ve 2015’in kalanında da gözlemlemeyi beklediği kilit siber güvenlik trendlerine genel bir bakış sunar. Siber suç, internet korsancılığı ve zayıflıkları kapsayan Verisign iDefense araştırması ve analizinden alınan sonuçları içerir. Kapsam dahilindeki alanlar arasında kamu ve sıfır gün güvenlik açığı, tehdit taktikleri, DDoS saldırıları, tehdit aktörleri, kilit altyapılara yönelik siber güvenlik tehditleri, stratejik amaç, zararlı yazılım araçları ve tehdit ve güvenlik açığı yönetimi, azaltması ve karşı önlemler yer alır. iDefense, bu bilgiyi sunarak, girişimlerini etkileyen kritik siber tehditler ve trendler hakkında çevrimiçi güvenlik ve işletme faaliyetleri ekiplerini bilgilendirmeyi ve böylelikle gelecekteki kilit siber güvenlik sorunlarını etkin bir şekilde ön görebilmelerine ve hazırlık yapabilmelerine imkan tanımayı ummaktadır. 4 Verisign Public | 2015 Siber Tehditler ve Trendler 1. SIBER SUÇ: SATIŞ NOKTASI (POS) SISTEMLERI'NE YÖNELIK SALDIRILARDA ARTIŞ 2014 yılında, siber suçlular saldırılarında hedef aldıkları platform türlerinde ciddi değişiklikler yaptılar. Windows tabanlı bankacılık Truva atı programlarının kullanımı siber suç dünyasında kilit bir taktik olmaya devam ederken Verisign iDefense analizi büyük perakendecileri ve küçük işletmeleri hedef alan PoS zararlı yazılımı kullanımının da arttığını gözlemledi. Ticari ödeme işlemi, envanter ve müşteri ilişkileri yönetimi (CRM) işlevleri ile bağlantılı olduğundan PoS sistemleri tüm perakende ortamları için kritik bileşenlerdir. Bunların çoğu Microsoft Windows gibi sıkça hedef alınan işletim sistemlerini kullanan sıradan bilgisayarlardır ve bu nedenle siber suçlular tarafından işletme ağına sızmak için kullanılabilecek zararlı yazılım riskine açıktırlar. Bu durum sıklıkla ad, posta adresi, kredi/ banka kartı bilgisi, telefon numarası ve e-posta adresleri dahil olmak üzere müşteri verisini ifşa eder. Etkilenen işletmelerde bu sistemlere sızılması marka ve itibar açısından ciddi kayıplara ve hasar kontrolü, verisi çalınan müşteriye destek, hukuki danışmanlık, olası davalar, ilave teknik korunma yöntemleri ve dahasının yol açtığı maliyetlere neden olabilir. Bu nedenle, kurumsal ağların ve Web sunucularının gereksiz ifşa veya sızmaya karşı korunması veya gerçekleşmiş yasal olmayan bir sızmanın azaltılması kritik önem taşır. Target Corp. veri sızıntısı gibi büyük ses getiren olaylar nedeniyle 2014 yılında PoS riskleri medyada daha fazla yer aldı.1 Target sızıntısı ilk olarak 2013 yılında ortaya çıktı ancak olaya yönelik araştırma 2014 yılının ilk yarısına yayıldı. Target sızıntısıyla aynı dönemde Michaels Stores2 3 milyon müşteri kaydını kaybetti ve üst sınıf bir perakendeci olan Neiman Marcus'a3 da sızıldı. Target olayından sorumlu olan ve saldırganların kredi kartı verisi çalmak için Target PoS sistemlerine yüklediği PoS zararlı kodu, Black PoS olarak biliniyor. Black PoS ile bağlantısı olmayan Backoff PoS zararlı yazılımı, 2014 yılındaki çok sayıda veri hırsızlığında kullanıldı. Bunlar arasında P.F. Chang’s China Bistro Inc., Goodwill Industries International Inc., Sally Beauty Supply LLC ve Jimmy John’s Franchise LLC yer aldı.4 Backoff PoS Java güncelleme dosyası veya media player dosyası gibi zararsız bir yazılım gibi görünüyor ancak yazılım içine yerleştirilen kullanıcı-ajan dizesini kullanarak komut ile kontrol (C&C) sunucusu ile iletişim kuruyor. Kurumlar, ağlarındaki zararlı yazılımı algılamak için aynı dizeyi kullanabilir. US-CERT Alert (TA14-212A) Backoff Satış Noktası Zararlı Yazılımı Etki: Sızılmış bir PoS sisteminin etkisi ad, posta adresi, kredi/banka kartı numarası, telefon numarası ve e-posta adresinin suçlu taraflarca ele geçirilmesi nedeniyle hem işletme hem de tüketiciyi etkiler. Bu olaylar işletmenin markasını ve itibarını zedeleyebilir ve tüketicinin bilgisinin sahte satın alımlar için kullanılması veya banka hesaplarının ele geçirilmesi riski doğurur. Kurumsal ağların ve Web sunucularının gereksiz ifşa veya sızmaya karşı korunması veya gerçekleşmekte olan hasarların azaltılması kritik önem taşır. 1 Krebs, Brian. “A First Look at the Target Intrusion, Malware.” KrebsonSecurity. 14 Ocak 2014 http://krebsonsecurity.com/2014/01/a-first-look-at-the-target-intrusion-malware/ 2 Jayakumar, Amritha. “Michaels say 3 million customers hit by data breach.” 19 Nisan 2014 The Washington Post. http://www.washingtonpost.com/business/economy/michaels-says-nearly-3-million-customers-hit-by-databreach/2014/04/18/3074e432-c6fc-11e3-8b9a-8e0977a24aeb_story.html 3 Elgin, Ben, Dune Lawrence and Michael Riley. “Neiman Marcus Hackers Set Off 60,000 Alerts While Bagging Credit Card Data.” 21 Şubat 2014 Bloomberg. http://www.businessweek.com/articles/2014-02-21/neiman-marcus-hackers-set-off-60-000-alertswhile-bagging-credit-card-data 4 Perlroth, Nicole. “Checking In From Home Leaves Entry for Hackers.” The New York Times. 31 Temmuz 2014 http://www.nytimes.com/2014/07/31/technology/checking-in-from-home-leaves-entry-for-hackers.html?_r=0 Verisign Public | 2015 Siber Tehditler ve Trendler 5 ABD Bilgisayar Acil Durum Hazırlık Ekibi (US-CERT), 31 Temmuz 2014 tarihinde Blackoff PoS zararlı yazılım kodunu ele alan bir Uyarı (TA14-212A) yayınladı ve “backoff”, “goo”, “MAY”, “net” ve “LAST” değişkenlerini tanımladı.5 Verisign, geçtiğimiz yılda yaşanan ve ses getiren olayların başarısı ile hassas verileri diğer ağlarından ayırmayan küçük ve büyük işletmeler nedeniyle PoS saldırılarının 2015'te artmasını bekliyor. PoS saldırılarının önlenmesine yardımcı olmak için Verisign, perakendecilerin ağ bölümleri için güvenlik duvarı kullanımı, noktalar arası şifreleme ve gelişmiş izleme özellikli güvenlik yazılımı, güvenlik açığı yönetimi ve uygulama kontrol becerileri gibi koruyucu önlemleri uygulamaya koymalarını öneriyor. Verisign aynı zamanda, kurumların tüm ağ giriş noktalarında iki faktörlü kimlik doğrulama kullanmasını da öneriyor. 5 US-CERT. “Alert (TA14-212A): Backoff Point-of-Sale Malware.” 31 Temmuz 2014 https://www.us-cert.gov/ncas/alerts/TA14-212A 6 Verisign Public | 2015 Siber Tehditler ve Trendler 2. SIBER SUÇ: BANKALARA YÖNELIK YENI TRUVA ATLARI VE İNDIRME UYGULAMASI KULLANIMINDA ARTIŞ Siber suçlular tarafından en sık kullanılan araçlardan biri Truva atlarıdır. Bunlar genellikle e-posta eki veya Web üzerinden yapılan indirmelerde karşılaşılan ve zararsız gibi görünen yazılım parçalarıdır. Ancak, cihaza indirildiklerinde büyük hasar verebilirler ve sıklıkla fark edilmezler. Çevrimiçi bir banka hesabına sızmak ve suçlular tarafından kontrol edilen diğer hesaplara para aktarmak için özel olarak tasarlanmış olan Bankalara yönelik Truva atı zararlı yazılımı, uzun süre boyunca uyku halinde kalabilir ve harekete geçmek için kurbanın çevrimiçi banka web sitesini ziyaret etmesini bekleyebilir. Bu olduğunda, Truva atı fark ettirmeden banka hesabı kullanıcı adını ve parolasını alır ve siber suçlular tarafından kontrol edilen kimi zaman dünyanın diğer ucundaki bir bilgisayara gönderir. 2014 yılında Verisign iDefense araştırmacıları bankalara yönelik çeşitli Truva atları yakaladı ve analiz etti. Bunlar arasında yer alan önemli örnekler şunlardır: •• Dyre/Dyreza:6 Verisign, bankalara yönelik bu Truva atının ABD FBI tarafından yönetilen global operasyonla kontrol altına alınan Zeus'un yerine tasarlanmış olabileceğine inanıyor. Zararlı yazılımın ardındaki aktörler her gün yeni özellikler ve hedefler eklemeye devam ediyor. Bu zararlı yazılımın dağıtımında kullanılan en yaygın yöntem Upatre indirme uygulamasının türevleri ile geniş kitlelere gönderilen kimlik avı e-postalarında yer alan ve PDF belgesi gibi görünen eklentilerdir. •• Blockade (a.k.a., Cridex, Dridex):7 Bankalara yönelik Blockade Truva atları kendi başlarına çalıştırılan bir dosya olmayı bırakıp, "explorer.exe" işlemine dahil olan bir dinamik bağlantı kitaplığı (DLL) haline geldi. Blockade ABD, Avrupa ve Orta Doğu'daki bankaları ve finans kurumlarını hedef alıyor. Blockade, kullanıcıların çevrimiçi bankacılık oturumları sırasında kurbanlardan sosyal güvenlik numarası, doğum tarihleri ve doğum yerleri gibi ek hassas bilgiler almak için Web enjeksiyonları kullanıyor. Blockade'i dağıtmak için kullanılan en yaygın yöntem tipik olarak Uygulamalar için Visual Basic (VBA) kaçak makrolarının bulunduğu zararlı Microsoft Word belgeleri içeren ve geniş kitlelere gönderilen kimlik avı e-posta kampanyalarıdır. Çalışmaya başladığında, VBA makroları, komuta ve kontrol sunucusundan Yakes indirme uygulaması ikilisini almayı deniyor. Yakes, tek amacı Blockade DLL dosyalarını indirmek olan küçük bir exe dosyasıdır. 2014 yılında siber suçlular, bankalara yönelik Truva atı zararlı yazılımlarını kurbanlarına göndermek için kullandıkları yöntemlerini büyük ölçüde değiştirdiler. •• Tinba (a.k.a., Tiny Banker, Zusy):8 Rinba banka Truva atı ailesi 2014 yılında bir takım değişiklik yaşadı. Bunlar arasında 64 bitlik bir modül gelişimi ve C&C sunucularının bulunmasında kullanılan yeni alan adı oluşturma algoritması (DGA) yer alıyor. Tinba banka Truva atı küçük bir hedef listesine sahip ve bunların çoğu Batı Avrupa ile ABD'de yer alıyor. 6 Kirk, Jeremy. “New powerful banking malware called Dyreza emerges.” 16 Haziran 2014 PCWorld. http://www.pcworld.com/article/2364360/new-powerful-banking-malware-called-dyreza-emerges.html 7 Mimoso, Michael. “Cridex Variant Geodo part Trojan, Part Email Worm.” 1 Temmuz 2014 ThreatPost. https://threatpost.com/cridex-variant-geodo-part-trojan-part-email-worm/106943 8 Kirk, Jeremy. “Source code for tiny ‘Tinba’ banking malware leaked.” July 10, 2014. PCWorld. http://www.pcworld.com/article/2453160/source-code-for-tiny-tinba-banking-malware-leaked.html Verisign Public | 2015 Siber Tehditler ve Trendler 7 2014 yılında siber suçlular, bankalara yönelik Truva atı zararlı yazılımlarını kurbanlarına göndermek için kullandıkları yöntemlerini büyük ölçüde değiştirdiler. Yukarıda bahsedilen banka Truva atlarının büyük çoğunluğu artık, antivirüs programlarından gizlenmek için küçük boyutlu ve kendilerine özel gizleme teknikleri kullanan indirme uygulamaları ile dağıtılıyor. Kurbanın bilgisayarında çalışmaya başladıktan sonra indirme uygulamaları, sızılan web siteleri ile bağlantı kuruyor ve zararlı yazılım yüklerini indiriyor. Bu yeni yöntem (tek seferde bütün bir yükü göndermeye kıyasla) dağıtımı artırıyor ve C&C esnekliği, zararlı yazılım tekrar kullanımı ve güvenlik kontrollerinin daha granüler bir şekilde hedeflenmesine imkan tanıyor. 2015 yılının başında Upatre/Dyre ve Yakes/Blockade kampanyalarının ardındaki aktörler, otomasyonlu çözümleri ve sanal ortamları algılamak ve antivirüs programlarından gizlenmek için yöntemlerinde değişiklik yaptılar. Buna ek olarak bazı kampanyalarda sızma sürecinde son zararlı yükün indirilmesi için doğrudan kullanıcı girişi kullanıldı. Verisign iDefense araştırmacıları büyük kampanyaları kapsamlı bir şekilde analiz ederek aşama 0 (kimlik avı e-postası) ila aşama 3 arasında (çoklu gönderim modülleri) 4 aşamalı bir model eğilimi gösteren (bkz. şekil 1) kampanyalara ilişkin bütünsel bir görünüm elde etti. Her bir kampanya aşamasının tanımlanması Verisign'ın yeni oluşturulan ikili kodları yakalamasına ve sızıntı konusunda erken belirtiler sağlayarak müşterilerini proaktif bir şekilde korumasına imkan tanıdı. Verisign iDefense, siber suçluların, ana dağıtma yöntemi olarak eklentili kimlik avı e-postalarını kullanmaya devam edeceklerine inanıyor. Aynı zamanda, saldırganların kimlik avı e-postalarının ilk yükü olarak asıl zararlı yazılımdan ziyade, indirme uygulamaları modülleri kullanmaya devam etme olasılıkları yüksek. Verisign, bu tip Truva atlarından korunmak için en yeni güvenlik güncellemeleri kullanılarak bilgisayarların güncel tutulmasını, en azından aylık otomatik güncellemeler yapan bir antivirüs yazılımının yüklenmesini tavsiye ediyor. Risk altındaki kurumlar çok sayıdaki zararlı yazılım tehdidinden korunmaya yardımcı olmak için güvenlik duvarı da kullanabilir. Son olarak, kullanıcılar, tanımadıkları veya güvenmedikleri kişilerden gelen e-postalardaki bağlantılara tıklamamalı veya ekleri indirmemeli. 0. Aşama: Kimlik Avı E-Postası 1. Aşama: Yakes İndirme Uygulaması 2. Aşama: Blockade Banka Truva Atı 3. Aşama: Spam Zararlı Yazılımı Şekil 1: Banka Truva Atı Kampanyası Aşamaları 8 Verisign Public | 2015 Siber Tehditler ve Trendler 3. İNTERNET KORSANCILIĞI: FIZIKSEL VE DIJITAL PROTESTOLARIN BULUŞMASI 2014 yılında dünyada fiziksel ve dijital protestoların bir arada kullanımında artış gözlendi. Ferguson, Missouri'de polis tarafından açılan ateş9, Brezilya Dünya Kupası için yapılan harcamaya tepkiler10, Suriye'deki iç savaş11 dahil olmak üzere yıl boyunca gerçekleşen global etkinliklerde görüldüğü üzere korsan gruplar, sorumlu olduklarını, suç ortaklığı yaptıklarını veya en çok ses getireceğini düşündükleri kişi ve kurumlara karşı siber olarak harekete geçiyorlar. 2014 yılında Orta Doğu ve Doğu Avrupa'daki çok sayıda savaş, korsancılık saldırıları gerçekleştirerek bu çatışmalara sanal olarak katılmak için çok sayıda tehdit aktörünü faaliyete geçirdi. Uluslararası bir korsan grubu olan Anonymous, Filistin'i desteklemek için İsrail'i hedef alan ve Irak ve Suriye'deki İslami Devlet (IS) yükselişi ve yayılımına tepki olarak kampanyalar başlattı. Suriye ve Ukrayna'daki sivil ayaklanmalar da ilgili bölgelerde ulusal korsancılık tarzı Suriye Elektronik Ordusu (SEA) ve CyberBerkut aktörlerin harekete geçmesine neden oldu. 25 Aralık 2014 tarihinde çevrimiçi oyun sağlayıcısı PlayStation Network (PSN) ve Xbox Live, DDoS saldırısı olduğu iddia edilen bir kampanya ile ciddi bir süre boyunca çevrimdışı kaldı. 2014 yılının Ağustos ayında LizardSquad adındaki hacker grubu bu DDoS saldırıları ve bir dizi diğer saldırıyı üstlendiğini açıkladı.12 DDoS saldırıları geçmişte olduğu gibi günümüzde de korsancılık topluluğu tarafından kullanılan bir saldırı yöntemidir ve en yaygın kullanılan araç Low Orbit Ion Cannon (LOIC) adı verilen bir araç veya bu aracın her bir faaliyet için üzerinde değişiklik yapılmış sürümleridir. Korsanların amaçlarına ulaşmak için kullanabilecekleri bir diğer yöntem ise web sitelerinin tahrif edilmesidir. Bir zamanlar amatörlerin kullandığı bir araç olarak değerlendirilen tahrif yöntemi, bir hedefin itibarını zedelemek amacıyla yeniden kullanılmaya başlandı. Saldırganların tahrifatlar sırasında hedeflerinin itibarını zedeleyici bilgiler vermesi veya bildirimde bulunmaları daha yaygın şekilde görülüyor. Bu amaçla, sosyal medyaya ve diğer halka açık hesaplara sızmak korsanlar için ortak bir hedef olmaya devam ediyor. DDoS saldırıları geçmişte olduğu gibi günümüzde de korsancılık topluluğu tarafından kullanılan bir saldırı yöntemidir ve en yaygın kullanılan araç Low Orbit Ion Cannon (LOIC) adı verilen bir araç veya bu aracın her bir faaliyet için üzerinde değişiklik yapılmış sürümleridir. Geçtiğimiz yıl sosyal medya mühendisliği de siber saldırılarda büyük pay sahibi olmaya devam etti. Bunlar arasında deneyimli hacker gruplarının haber, devlet ve endüstri kuruluşlarının sosyal medya platformlarına ve alan adı sistemlerine (DNS) sızmak için ilgili kurumların bilgilerini ele geçirmeye odaklandığı korsancılık saldırıları da yer alıyor. 9 KChuck, Elizabeth. “The Killing of an Unarmed Teen: What We Know About Brown’s Death.” 13 Ağustos 2014 NBC News. http://www.nbcnews.com/storyline/michael-brown-shooting/killing-unarmed-teen-what-we-know-about-brownsdeath-n178696 10 Fick, Jeff. “Brazilian Protesters Burn U.S. Flag As Americans Shine in World Cup Debut.” 16 Haziran 2014 Forbes. http://www.forbes.com/sites/jefffick/2014/06/16/brazilian-protesters-burn-u-s-flag-as-americans-shine-in-world-cup-debut/ 11 “Syrian Civil War.” 13 Ocak 2015 Erişimi The LA Times. http://www.latimes.com/topic/unrest-conflicts-war/demonstration/syrian-civil-war-EVGAP00010-topic.html 12 Kain, Erik. “Hacker Group Lizard Squad Takes Down Sony’s PlayStation Network.” 8 Aralık 2014 Forbes.com. http://www.forbes.com/sites/erikkain/2014/12/08/hacker-group-lizard-squad-takes-down-sonys-playstation-network/ Verisign Public | 2015 Siber Tehditler ve Trendler 9 2015 yılında fiziksel ve dijital protestoların bir arada kullanılması yukarıdaki analizi destekleyen etkinlikler sağlamıştır. Örneğin, internet korsanları 7-9 Ocak 2015 tarihinde Fransa'da gerçekleştirilen terör saldırılarına karşı kampanyalar başlattı. Arap ve Müslüman korsanlar, Fransız web sitelerine karşı #OpFrance paylaşımları yaparken Anonymous korsan grubunun Frankofon ve Anglofon üyeleri #OpCharlieHebdo paylaşımları ile cihat yapısına karşı harekete geçti. #OpFrance hareketinin katılımcılarından iki tanesi 15 Ocak 2015'te Fransa'ya karşı yapılan saldırıları planladığını önceden bildirdi ve bu tarihte #OpFrance geçici olarak taktik değiştirerek veri sızdırma ve kişisel bilgilerin ifşasına yöneldi. 15 Ocak tarihinde #OpFrance hareketinin 19.000'den fazla web sitesini etkilediği bildirildi. Başka bir örnekte ise, PawSecReturns hacker grubu 22 Şubat 2015 tarihinde #OpTigerStorm kampanyasının bir parçası olarak Taylandlı hedeflere karşı yüksek profilli DDoS saldırıları gerçekleştirdiğini açıkladı. Kampanyada, tanınan kurumlar hedef alınarak Asya'daki kaplanların soylarının tükenmeye karşı ve kötü muameleye karşı korunmaya alınması için insanların dikkatini çekmek amaçlandı. Hedefler arasında World Gas Company, wp-energy.co.th ve sosyal ağ olan Thailand Friends yer alırken, grubun hedef aldığı iddia edilen diğer hedefler arasında Exxon Mobil ve Esso vardı. Bu tip etkinlikler çok sayıda insanın dikkatini çektiği ve DDoS hizmet tipinin kullanımı ve popülaritesi arttığı için Verisign, 2015 yılında internet korsancılığı vakalarının artacağını düşünmektedir. 10 Bu tip etkinlikler çok sayıda insanın dikkatini çektiği ve DDoS hizmet tipinin kullanımı ve popülaritesi arttığı için Verisign, 2015 yılında internet korsancılığı vakalarının artacağını düşünmektedir. Bu tip saldırılara karşı korunmakta kullanılabilecek yöntemlerden bazıları DNS kayıtlarını güvene almak için kayıt kilitleme uygulamak, sosyal medya ve diğer kritik web siteleri için iki faktörlü kimlik doğrulama kullanmak ve modern DDoS saldırılarının artan boyut ve karmaşıklığına karşı korunmaya yardımcı olmak için proaktif DDoS korunma çözümleri uygulamaya koymaktır. Verisign Public | 2015 Siber Tehditler ve Trendler 4. İNTERNET KORSANCILIĞI: HÜKÜMET YANLISI İNTERNET KORSANCILIĞI ETKINLIĞI 2014 yılında özellikle dikkat çeken bir olay da hükümet yanlısı aktörlerce gerçekleştirilen korsancılık vakalarıydı. İnternet korsancılığı bir zamanlar gizli aktörler tarafından sıklıkla devlet veya hükümet aleyhine yapılan bir eylem olarak görülürken, günümüzde hükümet ve destekçileri tarafından kullanılabilecek ve sıklıkla bağımsız motivasyon aldatmacasının ardına gizlenmeye çalışılan bir araçlar dizisi sunmaya başladı. Bu noktada, hükümet lehine saldırılarda bulunan saldırganların hükümet içinde yer alan aktörler olmayabileceğine dikkat edilmeli. Politik saldırılar için botnet kullanan suçlular bu senaryoya örnek olarak gösterilebilir. Hükümet yanlısı olmalarına rağmen bu aktörlerin motivasyonları farklılık gösterebilir. Bu kişiler saldırı yapmaları için hükümetten ödeme alan kişiler, vatansever gönüllüler veya yasalar gibi hükümet kontrolündeki diğer baskılara maruz kalan kişiler olabilir. Hükümet yanlısı korsanların kullandığı çok sayıda teknik, geniş korsancılık toplulukları tarafından kullanılan tekniklerin yansımalarıdır ancak, hükümet yanlısı aktörlerin daha sık kullandığı bir takım bakış açıları mevcuttur. Ana hükümet yanlısı korsanlar, sıklıkla operasyonları engellemeye, itibar zedelemeye (genellikle politik hedefler için) veya casusluk yapmaya odaklanır. Bu noktada, hükümet lehine saldırılarda bulunan saldırganların hükümet içinde yer alan aktörler olmayabileceğine dikkat edilmeli. 2014 korsancılık küresinde, hükümet çıkarlarını desteklemek için yapılan hükümet yanlısı eylemler NATO uygulamalarını kınamak, politik rakipleri zayıflatmak, muhalefeti hedef almak, protestoları durdurmak ve geniş çapta propaganda yapmak gibi çok çeşitli şekillerde uygulandı. Diğer saldırılar, karşı taraftaki kritik endüstrileri ve kurumları ve gerek özel gerekse kamu sektörlerindeki büyük uluslararası aktörleri hedef aldı. Hükümet yanlısı korsancılık sırasında sık kullanılan araçlardan bir tanesi DDoS saldırılarıydı. Bu, hedefin zayıflığını göstermek için belirli bir siteyi çökertmek veya daha büyük bir operasyona müdahil olmak için çok sayıda siteyi, ağı ve hatta şahsi aygıtları hedef almak amacıyla kullanılabilir. Hükümet yanlısı bir Rus grup olan CyberBerkut, 500'den fazla Ukrayna devlet sitesine ve "bilgi kaynaklarına" DDoS saldırısı yaptığını ve Ukrayna parlamenterlerine karşı telefon DDoS saldırıları yaptığını açıkladı.13 Verisign, 2015 başlarında, hükümet yanlısı korsancılık faaliyetlerinin daha da gelişeceği beklentisini destekleyen etkinlikler gözlemledi. Aşağıda bu gözlemlerden birkaçı verilmiştir: Hükümet yanlısı korsancılık sırasında sık kullanılan araçlardan bir tanesi DDoS saldırılarıydı. •• 21 Ocak tarihinde Suriye Elektronik Ordusu'nun (SEA) Fransız gazetesi Le Monde'un twitter hesabına girdiği ve @lemondefr hesabından düzmece tweetler yayınladığı açıklandı. Bunlardan bir tanesi Filistin ve Suriye yanlısıydı ve mesajda "Je Ne Suis Pas Charlie" yazıyordu. Ek olarak, SEA'nın lemonde.fr etki alanına DDoS saldırısı yaptığı ve 13 “24.08.2014 г. Армия КиберБеркута заблокировала телефоны депутатов верховной рады и более 500 проправительственных информационных ресурсов” (“Army of CyberBerkut tarafından engellenen Rada telefonlar ve 500'ün üzerinde bilgi kaynağı”). 24 Ağustos 2014 CyberBerkut. http://cyber-berkut.org/ Verisign Public | 2015 Siber Tehditler ve Trendler 11 kısa bir süreliğine erişilmez hale getirdiği de bildirildi. Saldırılar, Fransa'nın "#Suriye'de terörizm"i desteklediği iddiasıyla yapıldı. Verisign, bu saldırıların gerçekleştiğini doğruladı.14 •• Mart 2015 tarihinde yeni bir korsan grup ortaya çıktı: French Red Army – Electronic Division (ARF-DE). Adına rağmen Verisign bu grubun liderlerinden ikisinin Suriyeli olabileceğini ve bunlardan birinin Rusya'da yaşıyor olabileceğini düşünüyor. Grubun hedef listesinde NATO, Körfez Arap Ülkeleri İşbirliği Konseyi (GCC), İsrail ve aynı "dünya düzeni"nin parçaları olarak gördüğü terörist gruplar yer alıyor ve bu liste, müttefik hükümetlere sahip Suriye ile Rusya'nın ortak veya paylaşılan çıkarları ile tutarlı. ARF-DE, SEA ve CyberBerkut'u destekliyor.15 •• Verisign, korsancılık iletişimleri üzerine yaptığı analizde gelecekte yapılacak siber saldırı belirtileri ve 2015 yılı başında Yemen'de Şii Huti direnişçilerine karşı Suudi liderliğinde gerçekleştirilen çok uluslu bir askeri operasyon olan "Çözüm Fırtınası"na tepki olarak saldırılar yapıldığına dair raporlar açığa çıkardı. Bir tarafta, Huti'leri destekleyen Huti ve Şii İran'a saldırılar yaptığı veya teşvik ettiği iddia edilen Suudi aktörler yer alırken, diğer tarafta Orta Doğu ve ötesinde tutucu veya solcu ideolijilere sahip olduğu veya Çözüm Fırtınası'na karşı durmayı teşvik eden korsanlar yer alıyor ki Verisign, bu durumun aktörlerin bazılarının karakteristiğine uymadığını düşünüyor. Verisign iDefense analistleri, Çözüm Fırtınası destekçilerinin genellikle Arapça iletişim kurduğunu, rakiplerinin ise çoğunlukla İngilizce kullandığını ortaya koyuyor.16 •• SEA, 30 Mart 2015 tarihinde Endurance Group bünyesindeki çok sayıda Web sağlayıcı şirketine sızdığını ve bünyelerinde terörist web siteleri barındırdıklarını iddia etti. Verisign bu olayın, şirketlerin sahip olduğu müşterilerden birkaçına ulaşabilmek için grubun servis sağlayıcılara saldırmayı göze aldığını ve Suriye hükümetini desteklemek için Batı terörizmi karşıtlığı düşüncesinden faydalanma çabalarını ortaya koyduğuna inanıyor.17 Hükümet yanlısı korsancılık, birkaç yıldır motivasyon ve başarılı bir saldırı yöntemi olmaya devam ettiğinden ve bu tip saldırılara karşı uluslararası yasalar veya yaptırımlar olmadığından Verisign, ülke-hükümet teşvikli korsancılık eylemlerinin 2015'in kalanında ve sonraki tarihlerde devam etmesini bekliyor. 14 15 16 17 12 iDefense. “iDefense Weekly Threat Report, Vol. XIII, No. 4”. 26 Ocak 2015, Belge ID 1079423 iDefense. “iDefense Weekly Threat Report, Vol. XIII, No. 13”. 30 Mart 2015 Belge ID 1081070 iDefense. “Risk of Cyber-attacks Responding to Saudi-Led Military Operation in Yemen”. 6 Mayıs 2015 Belge ID 1081193 iDefense. “Syrian Electronic Army Claims to Have Breached Web Hosting Companies”. 1 Nisan 2014 Belge ID 1081085 Verisign Public | 2015 Siber Tehditler ve Trendler 5. İNTERNET KORSANCILIĞI: DDoS SALDIRILARININ KARMAŞIKLIĞI VE SAYISINDA ARTIŞ DDoS saldırıları 2014 yılında da değişmeye devam etti. Bu değişimde saldırı boyutlarının artması ve genişleyen hedef dizisine karşı özel saldırı türleri ve vektörlerinin kullanılması yer aldı. 2014 süresince Verisign, DDoS saldırılarının boyutlarında düzenli bir artış gözlemledi ve 2014 yılının sonunda Verisign müşterilerine karşı yapılan saldırılarda kullanılan ortalama bant genişliği saniyede 7 gigabit (Gbps) oldu.18 Kıyaslamak gerekirse, 2013 yılının sonunda saldırılar ortalama 2 Gbps ile yapılıyordu. 2014 yılında Verisign'ın etkisini azalttığı en büyük saldırı tepe noktasında 300 Gbps ve saniyede 90 milyon üzere paket civarındaydı.19 2014'te, en sık DDoS saldırısına maruz kalan iki unsur medya ve eğlence sağlayıcıları (örn. çevrimiçi oyun) ve BT hizmetleri organizasyonları (örn. Bulut işlem amaçlı yazılım) oldu. 2014 yılında çok sayıda saldırıya maruz kalan diğer sektörler e-ticaret, finans hizmetleri ve kamu sektörü oldu. 2014 yılındaki güçlendirme (yansıtma) saldırılarının çoğu hatalı yapılandırılmış sunuculara gönderilen sahte "monlist" talepleri ile Ağ Zaman Protokolü'nün (NTP) kötüye kullanılmasını içerdi. Ancak, 2014'ün ikinci yarısında Verisign daha fazla sayıda saldırının Basit Hizmet Keşif Protokolü'nü (SSDP) kullanmaya başladığını keşfetti. Bu protokol daha düşük bir güçlendirme faktörüne sahiptir ancak saldırılarda kullanılabilecek yönlendirici gibi çok sayıda hatalı yapılandırılmış ve izlenmeyen (ve hatta yönetilmeyen) hosta sahiptir. Uygulama katmanlı saldırılar Verisign'ın 2014 yılında gözlemlediği saldırıların yaklaşık yüzde 20'sini oluşturdu. Kullanıcı datagram protokolü (UDP) güçlendirmesi gibi diğer DDoS yöntemleriyle kıyaslandığında bu tür saldırılar, hem gerçekleştirmek hem de azaltmak için daha fazla uzmanlık gerektirir. Bunları ve diğer tip saldırıları gerçekleştiren saldırganlar, saldırı sırasında taktiklerini sık sık değiştirirler ve bu nedenle savunanların da değişikliklere hızla adapte olması gerekir. Verisign, 2015'in ilerleyen dönemlerinde bu trendlerin çoğunun devam etmesini bekliyor. Saldırı boyutları ve kullanılabilir kaynaklar geçerli "silah yarışı"nı muhafaza edecek ve hedefler genişlemeye ve yeni vektörleri içermeye devam edecek. Muhtemelen güçlendirme saldırıları, daha az beceri sahibi saldırganlar tarafından kullanılmaya devam edecek ancak, daha yüksek beceri sahibi saldırganlar TTP'lerini yeni yönde değiştirecek ve savunanların tetikte ve çabuk davranması gerekecek. Verisign, işletmenizin DDoS saldırılarında farkında olmadan kullanılmamasını sağlamak için giden ağ akışları dahil olmak üzere şirket içi varlıkların denetlenmesini tavsiye eder. Ek olarak, modern DDoS saldırılarının boyut ve karmaşıklığında artış sorununu azaltmak için proaktif bir DDoS koruma çözümü uygulamaya koyulmasını tavsiye ediyor. Verisign, işletmenizin DDoS saldırılarında farkında olmadan kullanılmamasını sağlamak için giden ağ akışları dahil olmak üzere şirket içi varlıkların denetlenmesini tavsiye eder. 18 Verisign. “Infographic: Verisign 3 Aylık DDoS Trendleri Raporu: Ç4 2014." 19 Şubat 2015 VerisignInc.com. http://www.verisigninc.com/assets/Q4_verisign_ddos-trends_infographic.pdf 19 McPherson, Danny. “Verisign 300 Gbps. DDoS Saldırısını ve diğerlerini azalttı Ç2 2014 DDoS Trendleri.” 13 Ağustos 2014 VerisignInc.com. http://blogs.verisigninc.com/blog/entry/verisign_mitigates_300_gbps_ddos Verisign Public | 2015 Siber Tehditler ve Trendler 13 6. GÜVENLIK AÇIKLARI: SALDIRGANLARIN KRITIK ALTYAPILARI HEDEF ALMA SAYISINDA ARTIŞ Bir zamanlar yalnızca film senaryolarına ve casusluk romanlarına konu olan, kritik ulusal altyapılara saldırı yapan tehlikeli şahıslar konsepti günümüzde ulusal güvenlik tartışmalarında başı çekmektedir. 2014 yılında ABD İç Güvenlik Bakanlığı (NSA) ve ABD Ulusal Güvenlik Teşkilatı, endüstriyel kontrol sistemlerinin (ICS) genel olarak hacker ve özellikle de ideolojik olarak motive olan hackerların saldırılarına karşı güvenlik açıklarıyla ilgili duydukları kaygıyı dile getirdi.20 Enerji, iletişim, acil durum hizmetleri, taşımacılık ve benzeri gibi kritik altyapı sektörleri, bir ülkenin küresel pazarda rekabet etme gücünü zayıflatmak için gelişmiş teknoloji şirketleri ve kritik üretim gruplarını hedef alacak siber suçlular için önem taşıyan hedefler haline geldi. Saldırganlar, halka açık web sitelerine ek olarak ofis otomasyon ağlarına, tesis zemini süreç kontrol sistemlerine ve tedarik zinciri ile dağıtım kanallarına bir dizi fiziksel ve siber tehdit vektörü kullanarak saldırabilir ve bunlar arasında zararlı yazılımlar da bulunabilir. Kayda Değer 2015 Başı ICS Güvenlik Açıkları Henüz 2015'in başında (8 Nisan 2015 itibariyle) ICS-CERT, birden fazla ICS yazılımı tipini etkileyen toplam 49 adet tavsiye yayınladı. Bu 49 tavsiyenin arasında beş tane ICS güvenlik açığı hem kritik fiziksel altyapı desteğinde tekrarlanması hem de kötü amaçlı kullanımın saldırganlara sağlayacak kontrol derecesinin yüksekliği nedeniyle göze çarpmaktadır. Kritik altyapı mühendisliği, tüketici hizmetleri otomasyonu ve ticari siber-fiziksel sistemlerin gelişim ve büyümesindeki artış; belirleyici olmayan davranış gibi aygıt izleme güçlüklerini, yeni güvenlik açıklarını ve yeni tehdit vektörlerini de beraberinde getirecek. Saldırganlar, İnternet'te arama yaparak ICS donanımının açık bir şekilde (şifreleme veya kimlik doğrulama olmadan) kullanıldığı siteleri bulacak araçlara sahiptir. Kurumlar, ağ aygıtlarının ve hizmetlerinin İnternet maruziyetlerini kapsamlı bir şekilde analiz etmeli veya maruziyeti azaltmalı ya da maruz kalan aygıt ve hizmetlerin güvenliğini ve takibini artırmalıdır. ABD kritik altyapı koruma (CIP) sektöründe, diğer tüm sektörlerin enerji şirketlerinin verdiği hizmetlere bağımlı faaliyet gösterdikleri bilinciyle enerji şirketlerinin siber saldırılara ve fiziksel saldırılara karşı korunması konusunda endüstri çapında kaygı söz konusudur. Enerji şebekesi, ABD kritik altyapı bileşenlerinin en eskilerinden biridir ve farklı jenerasyonlardan personel, ulusal şebekeyi neredeyse 80 yıl desteklemiştir. Ancak endüstride artık yalnızca teknolojinin geliştirilmesine değil aynı zamanda siber ve fiziksel tehditlere karşı güvenlik kaygılarına odaklanma gereği de anlaşılmaya başlandığından kültürel bir değişim söz konusudur. Bu da tasarımda, üretimde ve aygıtlar ile bileşenlerin BT ve ICS için kullanılmasında güvenlik çözümlerinin de yer alması anlamına gelir.21 Verisign, saldırganların global olarak ICS zayıflıklarını arayıp bunları kötü amaçlı kullanmaya devam edeceklerini göz önünde bulundurarak, CIP girişimlerine odaklanmada 2015 yılında artış görülmesini beklemektedir. 20 Behr, Peter. “Cyberattackers have penetrated U.S. infrastructure systems -- NSA chief.” 21 Kasım 2014 Energywire. http://www.eenews.net/stories/1060009391 21 Magnuson, Stew. “Power Companies Struggle to Maintain Defenses Against Cyber Attacks.” March 2014. Ulusal Savunma Endüstrisi Birliği http://www.nationaldefensemagazine.org/archive/2014/March/Pages/PowerCompaniesStruggletoMaintain DefensesAgainstCyber-Attacks.aspx 14 Verisign Public | 2015 Siber Tehditler ve Trendler Verisign, saldırganlar bu sistemleri kontrol eden yazılımlardaki açıkları bulmak ve kötü amaçlı kullanmak konusunda gelişme kaydedeceğinden, 2015 yılında ICS yazılımlarındaki güvenlik açıklarında artış görülmesini beklemektedir. Yönetilmesine yardımcı oldukları fiziksel sistemlerin önemi nedeniyle daha kritik bir hal alan bu tip güvenlik açıkları sebebiyle US DHS, Endüstriyel Kontrol Sistemleri Siber Acil Durum Müdahale Ekibi'ni (ICS-CERT)22 kurmuştur. Bu ekip güvenlik açıkları hakkında uyarı vermek ve etkilenen çeşitli OCS ürünlerine ilişkin danışmanlık sağlamakla görevlendirilmiştir. CVE ID: CVE-2015-144823 Satıcı: Siemens Güvenlik Açığı Türü: Güvenlik Baypası Güvenlik Açığı Bulunan Yazılım: Ruggedcom WIN5100, WIN5200, 7000 ve 7200 Ethernet Switch'leri için Aygıt Donanımı Tanım: Tümleşik yönetim hizmeti, saldırganların kimlik doğrulaması olmaksızın yönetici işlemleri gerçekleştirmesine imkan tanıyabilir. CVE ID: CVE-2015-144924 Satıcı: Siemens Güvenlik Açığı Türü: Önbellek taşması Güvenlik Açığı Bulunan Yazılım: Ruggedcom WIN5100, WIN5200, 7000 ve 7200 Ethernet Switch'leri için Aygıt Donanımı Tanım: Etkilenen aygıtların tümleşik Web sunucusu (port 443/tcp), uzaktan kod çalıştırmaya imkan tanıyabilecek önbellek taşmasına karşı güvenlik açığı taşımaktadır. CVE ID: CVE-2014-919725 Satıcı: Schneider Electronics Güvenlik Açığı Türü: Kimlik Doğrulama Baypası (yapılandırma dosyaları) Güvenlik Açığı Bulunan Yazılım: ETG3000 FactoryCast HMI Gateway Aygıt Yazılımı Tanım: Yapılandırma dosyaları ayrıntılarını içeren rde.jar dosyasına kimlik doğrulama olmaksızın erişim. Bu durum sayesinde saldırgan, veri geçidinin kurulum ve yapılandırma bilgilerine erişebilir. CVE ID: CVE-2014-919826 Satıcı: Schneider Electronics Güvenlik Açığı Türü: Kimlik Doğrulama Baypası (FTP kimlik bilgileri) Güvenlik Açığı Bulunan Yazılım: ETG3000 FactoryCast HMI Gateway Aygıt Yazılımı Tanım: Aygıtın FTP sunucusu değiştirilemez şekilde kodlanmış kimlik bilgilerine sahiptir. Bu durum sayesinde saldırgan, uygun bir kimlik doğrulaması olmadan hizmetlere erişebilir. CVE ID: CVE-2014-838527 Satıcı: Advantech Co. Güvenlik Açığı Türü: Önbellek Taşması Güvenlik Açığı Bulunan Yazılım: EKI-1200 Serisi Modbus Gateways Aygıt Yazılımı Tanım: Advantech EKI-1200 ürünler, uzak saldırganların keyfi bir kod çalıştırmak için kullanabileceği önbellek taşması güvenlik açığına sahiptir. 22 https://ics-cert.us-cert.gov/ 23 Siemens AG (SSA - 753139), 2015-02-03 24 ibid Verisign Public | 2015 Siber Tehditler ve Trendler 25 ICS-CERT (Advisory (ICSA-15-020-02)), 2015-01-20 26 ibid 27 ICS-Cert (ICSA-15-041-01), 2015-02-10 15 7. GÜVENLIK AÇIKLARI: AÇIK KAYNAK YAZILIMLARIN (OSS) HEDEFLENMESINDE ARTIŞ OSS Yazılım dünyasında çok sayıda OSS ürün bulunmaktadır. Bu ürünlerden veya kitaplıklardan bazıları, örneğin OpenSSL, diğer yazılımlara entegre edilmiştir ve bu da bağımlı sistemlerde geniş çaplı güvenlik açığına neden olur. Pek çok OSS projesi, çok sayıda satır ve binlerce kod satırı içerse de istekli bir ters mühendis, programın bir kopyasını istediği zaman indirebilir ve kötüye kullanabileceği açıkları bulmak için kaynak kodunu inceleyebilir. iDefense 2014 yılında kritik OSS güvenlik açıkları hakkında istihbarat toplamıştır. Bunlar arasında OpenSSL ve Bourne Again Shell (BASH) komut satırı yorumlayıcıya büyük hasar veren "Heartbeed" ve "Shellshock" güvenlik açıkları da bulunmaktadır. Açık kaynak yazılımların hedeflenmesinde artışa bir diğer örnekse, mobil uygulamaların Android cihazları hedefleyen Truva atlarına dönüştürülmesidir. 2014 yılında, Avrupa ve Japonya'da bulunan kuruluşları hedef alan ve devam eden Operation Emmental28 kampanyası, tek bir operasyonda iki faktörlü kimlik doğrulama mekanizmalarını baypas etmek için hem Windows hem de Android platformları etkileyen ilk kötü amaçlı yazılımdır. Bu çalışmanın kurbanları, ödenmemiş faturalar hakkındaki resmi banka bildirimlerini taklit eden kimlik avı e-postaları alır. Bu e-posta mesajları, Windows platformu için zararlı yazılım içeren zararlı bir eklentiyi açmaları için kandırılırlar. Bu Android zararlı yazılımı kurbanın el tipi aygıtıyla hedeflenen banka arasındaki iletişimi keser ve kullanıcılara genellikle metin mesajı olarak gönderilen ikincil kimlik doğrulama kodlarını alır. Siber güvenlik topluluğu, uzaktan kod çalıştırmayı en büyük güvenlik açığı durumlarından biri olarak değerlendirmektedir ancak, işletme faaliyetleri ve para transferleri geniş çapta Web üstünden yapıldığı için uzaktan hizmet reddi (DoS) saldırılarına neden olabilecek güvenlik açıkları artık kurumları ciddi derece etkileyebilir. Ek olarak, özel anahtar bilgisini sızdıran güvenlik açıkları, güvenli iletişim için güvenli soket katmanı (SSL) veya taşıma katmanı güvenliği (TLS) kullanan kurumlarda yıkıcı etkiye sahip olabilir. OpenSSL'in yaygın doğası ve güvenli iletişim için İnternet kullanan çok sayıda insanın olması saldırganlara hedef alabilecekleri geniş bir nüfus sağlar. 28 Kovacs, Eduard. “Attackers Bypass 2FA Systems used by banks in ‘Operation Emmental.’” 22 Temmuz 2014 Security Week. http://www.securityweek.com/attackers-bypass-2fa-systems-used-banks-operation-emmental 16 Verisign Public | 2015 Siber Tehditler ve Trendler Yalnızca 2015'in ilk kısmında Verisign, OSS ürünlerde "Ghost" ve "Freak" adı verilen iki büyük güvenlik açığı gözlemlemiştir. Ghost (CVE-2015-0235), GNU Project'in glibc kitaplığında oluşan, yığın tabanlı önbellek taşması güvenlik açığıdır. Tam olarak ifade etmek gerekirse, hata GetHOSTbyname işlevinde meydana gelir. Bu nedenle "Ghost" takma adı verilmiştir. Freak (CVE-2015-0204), zararlı kullanıcıların hedeflenen hostun güvenlik önlemlerini baypas etmesine imkan tanıyan bir OpenSSL güvenlik açığıdır. Bu hata, uzak SSL sunucusu tarafından RSA-to-Export_RSA alt sınıf saldırısı için neden olunan bir hatadır ve kaba kuvvetle şifre çözmeye neden olur. "Freak", RSA Dışa Aktarma Anahtarlarının Oluşturulması (Factoring RSA Export Key) söyleminin kısaltılmasıdır. Yalnızca 2015'in ilk kısmında Verisign, OSS ürünlerde "Ghost" ve "Freak" adı verilen iki büyük güvenlik açığı gözlemlemiştir. Verisign, 2015'in geri kalanında ve sonrasında saldırganların açık kaynak yazılımların güvenlik açıklarını hedef almaya devam etmelerini beklemekte ve Vulnerability Researh Lab ve Vulnerability Contributor Program29 çalışmalarını OSS güvenlik açıkları için proaktif uyarı sağlamaya odaklamayı planlamaktadır. 29 iDefense Labs Vulnerability Contributor Program web sitesi. https://labs.idefense.com/vcpportal/login.html. 13 Ocak 2015 Erişimi Verisign Public | 2015 Siber Tehditler ve Trendler 17 8. GÜVENLIK AÇIKLARI: GÜVENLIK AÇIĞI ARAŞTIRMA "KITLE KAYNAK" TRENDINDE ARTIŞ 2014 yılında güvenlik endüstrisinde, güvenlik açığı araştırma ile ilişkilendirilmeyen bazı şirketler de dahil olmak üzere çok sayıda şirket geniş çaplı yazılım hatası ödül programları uygulamaya başladı. Yazılım hatası ödül programlarının uyarlanmasındaki artış şu iki hedef açısından etkinliklerini doğrular: 1.Güvenlik araştırmacılarının güvenlik açıklarını gizli bir şekilde rapor etmesini teşvik etmek 2.Araştırmacılara ödeme yapmak ve böylece daha fazla güvenlik açığı bulmalarını teşvik etmek. 2014 yılında, mevcut yazılım hatası ödül programı ödül miktarlarını artıran şirketler arasında ise Facebook göze çarptı. 2014 yılında başlayan çok sayıda yazılım hatası ödül programları arasında Microsoft'un yazılım hatası ödül programı öne çıktı. 2014 yılında Microsoft, Office 365'teki güvenlik açıklarının bildirilmesi için Çevrimiçi Hizmetler Yazılım Hatası Ödül Programı başlattı.30 Bu güvenlik açıklarını ortaya çıkarma için verilen ödül 500 ABD Doları'ndan başlıyordu. Şirket, test için kullanılabilecek bir dizi etki alanı listesi ve ödül için geçerli olmayan güvenlik açıklarının yer aldığı bir liste sağladı. Bu yıl yazılım hatası ödül yolculuğuna katılan diğer büyük teknoloji şirketleri Twitter, Inc., Heroku Inc. ve Square, Inc. oldu. 2014 yılında, mevcut yazılım hatası ödül programı ödül miktarlarını artıran şirketler arasında ise Facebook göze çarptı. Sosyal medya şirketi Ekim ayında, sosyal ağ sitesindeki reklamlara ilişkin kodunda yer alan güvenlik açıkları için vermekte olduğu yazılım hatası ödül miktarlarını iki katına çıkardığını açıkladı.31 Bu teklif 2014 yılı bitene kadar devam etti. 2015’in ilk kısımlarında Verisign, yazılım hatası ödül programlarının bulunan güvenlik açığı sayısı üzerinde ciddi etkili olduğunu gözlemledi. Bu yazılım hatası ödül programları, güvenlik açığı bulan kişileri, keşiflerini gizli bir şekilde rapor etmeleri için teşvik ediyor. Ödül programı bilgilendirildikten sonra güvenlik açığından sorumlu satıcı genellikle gizli bir şekilde bilgilendiriliyor ve satıcıya açığı doğrulaması ve gidermesi için süre veriliyor. Böylece, yazılım hatası ödül programı keşif nedeniyle ödüllendiriliyor ve satıcı, genel açık bir güvenlik yetersizliği incelemesinden kurtulmuş oluyor. Çoğu yazılım hatası ödül programı, araştırmacılarını keşifleri nedeniyle iyi düzeyde ödüllendiriyor ve bu da araştırmacıları daha fazla sayıda güvenlik açığı bulmaları için teşvik ediyor. 30 Srinivasan,Akila. “Microsoft Online Services Bug Bounty Program launches with Office 365.” 23 Eylül 2014 Technet. http://blogs.technet.com/b/bluehat/archive/2014/09/23/bug-bounty-evolution-online-services.aspx 31 Mimoso, Michael. “Facebook to double bounty payouts for ad code bugs.” 15 Ekim 2014 Threat Post. https://threatpost.com/facebook-to-double-bounty-payouts-for-ad-code-bugs/108863 18 Verisign Public | 2015 Siber Tehditler ve Trendler Örneğin, Verisign, Google'ın Project Zero (adını sıfır gün güvenlik açığı ifşasından alır) ve Hackerone'ın İnternet Bug Bounty (IDD) programlarının, bildirilen güvenlik açığı sayısında ciddi bir artış sağladığını gözlemlemiştir. Hackerone şu ana kadar Flash, Sandbox Escape, The Internet, Phabricator, Ruby on Rails, Ruby, Python, Django, Nginx, OpenSSL, PHP, Perl ve Apache httpd dahil olmak üzere IBB programı aracılığıyla tam 71 adet güvenlik açığı ifşa etti. Verisign, Google'ın Project Zero programının günümüzdeki en katı yazılım hatası ödül programlarından biri olduğuna inanıyor. Şirket, güvenlik açığı ifşası için satıcılara 90 gün veriyor ve bu da satıcıların güvenlik açığı ifşa edilmeden önce yama hazırlamak için yalnızca kısa bir sürelerinin olduğu anlamına geliyor. Ancak Project Zero aracılığıyla tanımlanan bir güvenlik açığını yama ile kapatmak için çalışmakta olan satıcılar, bu politikadan şikayet ettiklerinde 14 günlük bir ek süre alabiliyorlar. Project Zero'nun ifşa programı, diğer araştırmacılara destek olmak için büyük oranda, tavsiye niteliğinde kavram kanıtlama içeriyor. Verisign iDefense, yazılım satıcılarının ve diğer şirketlerin sunduğu yazılım hatası ödül programlarının devam etmesini ve 2015 yılında ve sonrasında başka şirketlerin de kendilerini izleyerek yazılım hatası ödül programları başlatmalarını bekliyor. Verisign Public | 2015 Siber Tehditler ve Trendler 19 9. SONUÇ 2014 yılındaki ana tema, genele bildirilen veri sızıntılarının ve kampanyaların perakende, hükümet, eğlence ve finans kuruluşları da dahil olmak üzere çeşitli endüstrilerde artış gösterdiği şeklinde. Kullanıcı bilgisi ve fikri mülkiyet çalmak için tasarlanan yaygın ve gizlenen zararlı yazılım ile savaş veya yüzlerce Gbps trafik oluşturan DDoS saldırılarını önleme çabası, bilginin güvenliğini sağlamak adına tüm işletmeler için çok katmanlı, ayrıntılı bir savunma yaklaşımının benimsenmesinin gerektiği anlamına geliyor. 2014 yılında, bilgi güvenlik programı, güvenlik ve bilgi güvence politikalarının etkinliğine göre değerlendirildi. Bu ölçümler, geçerliliğini koruyacak ancak artık çevrimiçi güvenlik, ortakların, mobil taşıyıcıların, satıcıların ve yüklenici firmaların işletim prosedürlerine göre de ölçülecektir. Veri sızıntısı, güvenilir ilişki gerektiren paylaşımlı erişimin herhangi bir kısmında kolayca gerçekleşebileceği için tüm paydaşlar, veri koruyucuları sorumluluğu taşımak zorundalar. 2015 yılına baktığımızda, kar ve varlıklarını gerek yerel gerekse ulusal ölçekte korumak için hem devlet hem de özel sektör üyeleri personel alımı, faaliyet merkezleri ve istihbarat servisleri dahil olmak üzere fiziksel ve siber güvenlik savunmalarını güçlendirmeye devam edecektir. 20 Verisign Public | 2015 Siber Tehditler ve Trendler DAHA FAZLA BILGI Verisign iDefense Security Intelligence Services'in siber tehditler ve güvenlik açıklarında sizi nasıl öne geçireceği hakkında bilgi için lütfen www.VerisignInc.com/iDefense adresini ziyaret edin. VERISIGN HAKKINDA Alan adları ve İnternet güvenliğinin global bir lideri olan Verisign, dünyanın en bilinen pek çok alan adı için İnternet'te gezinme ve dünya çapındaki web siteleri ve şirketler için koruma sağlar. Verisign, İnternet'in Alan Adı Sistemi (DNS) çekirdeğinin kök bölge bakımcı işlevlerini gerçekleştirmesinin yanı sıra, .COM ve .NET etki alanları ve İnternet'in iki kök sunucusu da dahil olmak üzere önemli İnternet altyapısı ve hizmetlerinin güvenlik, istikrar ve dayanıklılığını sağlar. İstihbarat odaklı Dağıtılmış Hizmet Reddi (DDoS) Koruması, iDefense Security Intelligence ve Managed DNS de Verisign'ın Hizmetleri'ne dahildir. Powered by Verisign ibaresinin ne anlama geldiğini öğrenmek için, lütfen VerisignInc.com adresini ziyaret edin. Verisign Public | 2015 Siber Tehditler ve Trendler 21 VerisignInc.com © 2015 VeriSign, Inc. Tüm hakları saklıdır. VERISIGN ve diğer ticari markalar, hizmet markaları ve tasarımlar, VeriSign, Inc.’nin ve Amerika Birleşik Devletleri ve diğer ülkelerdeki bağlı kuruluşlarının tescilli veya tescilli olmayan ticari markalarıdır. Diğer tüm ticari markalar ilgili sahiplerinin mülkiyetidir. Verisign Public VRSN_CyberThreatsTrends_WP_201505
Benzer belgeler
Siber Güvenlik Raporu
teknik korunma yöntemleri ve dahasının yol açtığı maliyetlere neden olabilir. Bu nedenle, kurumsal ağların ve Web sunucularının gereksiz ifşa veya sızmaya karşı korunması veya gerçekleşmiş yasal ol...
Detaylı