SOC ekibimizin sahipliğinde hazırlanan aylık güvenlik bültenimiz.

1. SOC’unYeniYardımcısı
KoçSistemResilientYatırımı
NO.20•Mayıs2017
Editör:ÖzgeÇELİK
KoçSistemSecurityOperationCenter
www.kocsistem.com.tr/guvenlik-hizmetleri
EnPopülerSaldırı:
DDoSAtakları
Zaafiyetlerinİnterneti
IoTvs.IoV
DDoSYönetimHizmeti
KRİTİKAÇIKLAR
NİSANAYINAAİT
Ransomware
KılıkDeğiştirdi
WANNACRY

2. DenialofService,yaniDoSsaldırıları,birbilgi-
sayar aracılığıyla hedef olarak belirlenen
bilgisayarın kullanılabilirliğini ortadan
kaldırmaya yönelik gerçekleştirilir. Saldırı
esnasında PC ve PC'nin kullandığıağların
olabildiğinceyavaşlatılmasıvekullanılamazhale
gelmesiamaçlanır.Ayrıca DoS saldırılarıyla
hedefhedefsisteme aitkaynakların tüketilmeside
amaçlanır.Busaldırıönemlisunucularınservis
vermeyidurdurmasıgibibüyüksorunlarayol
açabilir.
DoSsaldırılarının başarılıolmalarınısağlayan,
herwebsitesininvesunucularınbelirlibirkapa-
siteyesahipolmasıdır.Birwebsitesibelirlibir
bantgenişliğindehizmetvermektedir.Örneğin,
Asitesibiranda5binkişiyehizmetverebilecek
birsunucuyasahipken,Bsitesi5milyonkişiye
hizmetverebilecekbirsunucuyasahiptir.Asite-
sine de B sitesine de (sahte ya da gerçek
kullanıcılarla) kapasitesinden fazla giriş
yaptığınızandaositelerhizmetveremeyecektir.
BöyleceDoSsaldırısıdaamacınaulaşmışolur.
DistributedDenialofService(DDoS)saldırıları
ise,aynıandabirdenfazlabilgisayarın,hedef
bilgisayarveağlarayönelikbirdenfazlafarklı
noktadan eş zamanlı olarak saldırmasıyla
gerçekleştirilir.SaldırıesnasındabinlercefarklıIP
adresindenyararlanılırveçokciddizararlarver-
ilebilir.Busaldırılarıönlemek,birçokwebsitesi
içinçokzoiçinçokzordur.
DDoSsaldırılarındanfarklıolarakgeneldetek
bilgisayarvetekinternetbağlantısıüzerinden
gerçekleştirilenDoSsaldırıları,ikiaşamalıolarak
gerçekleştirilir;
Toplugüvenliğikırma:Buaşamadailkolarak
DoSsaldırısıyapacakolansistemlereulaşılırve
saldırıyıgerçekleştirecekolanprogramlaryükle-
nir.Busistemlerilkzarargörecekolansistemler-
dir.
DoS saldırıları:Bu aşamada hedefsitelere
saldırıyapılırvebunun için deilkaşamada
saldırıyı gerçekleştirecek programların
yüklendiği bilgisayarlar kullanılarak hedefe
saldırıgerçekleştirilir.
DoSsaldırıtürlerininbaşlıcalarışunlardır;
ArabellekArabellekAşımıSaldırıları:DoSsaldırılarının
enyaygınçeşitidir.Arabellek;hafızadaartarda
dizilitürdeşveridepolayanhafızabloğudur.Ara-
bellekaşımısaldırıları;birinternetsitesine,sit-
eninprogramcısınıngelmesininbeklediğivebu
amaçla veri akışı için planladığı arabellek
değerinin karşılayamayacağıkadarçok trafik
yollanmasısonucuoluşur.Saldırı,hedefsistem-
dekibilinenzayıfbirnoktanınüzerine,başarıya
ulaşacağıbilinerekyapılabileceğigibizayıfbir
nokta bilinmeden başarı ihtimaliyle de
yapılabilir.
SYNSaldırıları:Busaldırıtüründesaldırgan,in-
ternetüzerindekullanılmayanIPadreslerinikul-
lanarakbirçokSYN paketinihedefmakineye
yollar.Hedefmakine,alınanherSYNpaketiiçin
kaynakayırırvebironaypaketini(SYN-ACK),
SYNpaketiningeldiğiIPadresineyollar.Hedef
makine,kullanılmayan IP adresinden yanıt
alamayacağıiçin SYN-ACK paketinidefalarca
tekrarlar. Saldırgan bu yöntemi üst üste
uyguladığındahedefmakineayırdığıkaynaklar-

3. adım DoSsaldırısınındoğruanalizedilmesive
kaynağınıntespitedilmesidir.DoSsaldırılarının
ağınızadışarıdanyapıldığıgibi,ağınızdakibir
unsurtarafındaniçerdendeyapılıyorolabilir.
DoSsaldırılarınınçoğununtespitiiçininternet
hızınındüşüklüğüyadae-postaalamamagibi
sorunlaradikkatedilmesigerekmektedir.Butür
durumladurumlarda ilk aşamada bakılmasıgereken
sisteminçıkışnoktasıdır.EğerçıkışnoktasıHTTP
Proxyisebüyükisteklerinbirsistemdenmiyada
dahafazlasistemdenmiyapılmaktaolduğuna
bakılmalıdır.Eğerçıkışnoktasıağ geçidiise
sistemdengeçenpaketlerinkontroledilmesige-
rekmektedir.
DoSsaldırılarındankorunmayöntemleritemel
olarakikigrubaayrılır;
BantBantgenişliğisaldırılarıvekorunmayöntem-
leri:Butürsaldırılarsavunulmasıenzorolan
DoS saldırılarıdır,bu sebeple ataklaraneden
olan paketlergüvenliğisağlanılmasıistenen
sisteminağ geçidinegirmedenbupaketlerin
alımınıdurdurmaktır.Paketlerinağgeçidinegir-
medenengellenmesiiçinTCPSYN,UDPveya
ICMPgibiaynıtürpaketlerinarkaarkayageldiği
takdirdetakibinivekontrolünüsağlayanyazılım
kurulmasıgerekmektedir.Paketlerinbiryada
ikidenfazlafarklıipadresindengönderildiğigöz
önüne alınırsa bu durumda İnternetServis
Sağlayıcısı'ndandestekalınmasıgerekmektedir.
Sistem veservissaldırılarıvekorunmayön-
temleri:Butürsaldırılartüm ağdançokbirya
dabirkaçsistemeyönelikyapılır.Busaldırılar
birimzamandaçokyükseksayıdapaketgönder-
ilerek,hafızada sorun yaratılarak ve yüksek
danötürüyenibirbağlantıyıkaldıramazduruma
gelirvebusebeptenmakineyebağlanılamaz.
TTeardropSaldırıları:Birbilgisayarainternetüzeri-
nden gelen paketler,bilgisayarda bölünerek
aktarılır.Paketverilereayrıştırılırken,pakettebulu-
nan ofsetler kullanılır. Bu ofset bilgilerinin
çakışmaması gerekmektedir. Teardrop
saldırılarında,paketigönderensaldırgan,pakete
üstüstegelecekofsetlerekler.Paketialanbilgi
sayar,böylebirdurumukontroledebilecekme-
kanizmayasahipdeğilse,sistemçöker.
SmurfSaldırıları:Busaldırıtüründe,saldırgan
hedefbilgisayardanpingisteğindebulunur.Ancak
pingpaketi,hedefmakineninIP’sindengeliyormuş
gibigörünecekşekildehazırlanmıştır.Budurumda
ağüzerindekibütünmakineler,hedefmakineye
pingatar.Hedefmakinebutrağikarşılayamazve
bağlantıkesilir.
SServislereAşırıYüklenme:Busaldırıtipibelirli
kullanıcıve servisleridüşürmekiçin kullanılır.
Saldırıyapankişiözelportvekullanıcıyabirçok
ICMPpaketigönderir.Buolayağizleyicisiileko-
laycaanlaşılır.
MessageFlooding:ServislereAşırıYüklenme'den
farklıolaraksisteminnormalçalışmasınıengelle-
mez.Yineaynışekildepaketlergönderilirancakbu
defakullanıcıyadaservislerbupaketgönderimini
normalolarakalgılar.Örnekolarak;Nissunucusun-
da'ood'yapılırsa(Unixnetwork)Nisbuisteğişifre
isteğigibigörürveböylecesaldırganınkullanıcıya
hükmetmesisağlanmışolur.
Sistemingüvenliğiaçısındanyapılmasıgerekenilk

4. sayıdageçerliistekgönderilerekyapılabilir.
SStandartolarakağkartıpaketaldığıherdefada
işlemciyeyönelikbiristekyaratır.Bununüzerine
işlemcibupaketiağkartındanalmaküzerebe-
lirlibirzamanayırır.TCPSYNpaketleriSYNACK
paketlerinicevapolarakgöndermedenöncebir
zamangeçmesigerekir.AynışekildeTCP,UDPve
ICMPpaketlerideSYNkadarzamanalmasada
yineyinedebelirlibirzamankaybınanedenolur.
Bunlarındışındapaketbüyüklüğüvesayısınında
bantgenişliğindeoluşabileceksorunlardabüyük
etkisivardır.
Zamanayırma,paketbüyüklüğüvesayısıgibi
problemleriçindahagüçlücihazlaryadabu
sorunlarıazaltmak,engellemekiçineklenmesi
gerekenkomutlarkullanılmalıdır.Donanım için
fazla harcamalardışında bu sorunların çoğu
"sysctl(8)" komutu kullanılarak çözülebilir.
"sysctl(8)"komutusayesindeyüksekpaketgeliş
oranındasınırlamalaryapılabilioranındasınırlamalaryapılabilir.
Güçlü sunucular (mümkünse birden fazla),
GüvenlikDuvarı(Firewall)vebutipsaldırılara
karşıherzamangüvenlikönlemlerininalınması
tavsiye edilir.Birsunucuya saldırıolursa,o
esnadadiğersunucudevreyesokularakperfor-
manssorunuortadankaldırılabilir.Amatabiibu
tipönlemler,birçokfirmaiçinyüksekmaliyet
anlamınıanlamınıtaşıyor.Busebepledeçoğufirmabu
konudakorumasızdenebilir.
Ençokhangisektörleretkilenir?
AAlışveriş siteleri, bahis siteleri, oyun satış
platformları,yemeksektörüvebankacılıksektörü,
geneldebutipsaldırılardailkhedeerolarakseçilir.
Saldırısırasındaparasalişlemleryapılamazhale
gelebilir.Vetabiikigenelbirsaldırıdamobilveev
kullanıcılarıdaciddibağlantısorunlarıylakarşılaşır.
Kaynaklar:
[1][1]https://goo.gl/pu3JbO,
[2]https://goo.gl/8ZxwQw,
[3]https://goo.gl/99wlsN

5. Taramaişlevidevamlıolarakherbotüzerinde23
veya 2323 portundan telnet protokolü
kullanılarak ve rastgele IP adreslerine login
işlemi denenerek devam eder. 60 farklı
varsayılankullanıcıadıveşifrekombinasyonu
denendikten sonra başarılıolunan login de-
nemelerindeelegeçirilenyenicihazınkimliği
C&C’C&C’yeyollanır.Bukimlikleredevirüskoduoto-
matikolarakgeçtiktensonrayenibotlardaaynı
görevedevam ederler.C&C,saldırıvektörünün,
kurbanınIPadresivesaldırısüresininbelirtilmesi
gibiseçeneklerin sunulduğu basitbirkomut
satırarayüzünüdestekler.
Miraikoduincelendiğindevirüsün,çeşitliIoTci-
hazlardagörülenx86,ARM,Sparcgibibirçok
farklı CPU mimarisi için geliştirildiği
görülmüştür.İmajın kendisiküçüktürve ters
mühendislik denemelerine karşın iç
mekanizmasınıgizlemekiçinbazıkeşfedilmemiş
teknikler barındırmaktadır. Virüs, bot’un
hafızasınahafızasınayüklendiktensonrakendisinibot’un
diskindensiler.Böylecebotyenidenbaşlatılana
kadaraktifdurumda kalır.Yeniden başlatma
işlemisonrasındacihazvirüstentemizlenirfakat
tekrarelegeçirilmesiiçinbirkaçdakikayeterlidir.
Gelişmekteolandünyada,bütüncihazlardaha
akıllıolup birbiriyleiletişimegeçebilmektedir.
Akıllıev,akıllıhastanegibifarklıalanlardakihızlı
gelişmeilenesnelerininternetigenelmahremi-
yetin sağlanması konusunda zorluklarla
karşılaşmaktadır.Bualandabirçokaçıklıklamü-
cadele edilse de en sıkkarşılaşılan problem
gegerçekkullanıcının kullanımınıengelleyen ve
kaynağınerişilemezdurumagelmesinisağlayan
DoSsaldırısıdır.
DDoSalanındadünyaçapındaençokgörülenve
ençoketkiyibırakanzararlıMiraizararlısıdır.
Mirai,Linuxcihazlarıetkileyerekonlarıuzaktan
kontroledilebilen zombilere çevirerek DDoS
saldırılarında kullanılmaları sağlar. Öncelikli
olarakrouter’lar,dijitalvideokayıtcihazlarıve
CCTV kameralargibiIoT(InternetofThings)
cihazlarıcihazlarıhedefalır.MiraibotnetiDynDNSser-
vislerinindevredışıbırakılarakbirçokbüyükweb
sitesininkullanımakapanmasıgibibilinenen
büyük DDoS saldırılarından bazılarında
kullanılmıştır.
Mirai’nin kaynak kodu Krebbs web sitesine
yapılan başarılısaldırısonucunda halka açık
olarakyayınlanmıştır.Miraibotnetkodudüşük
seviyedekorunancihazlaratelnetilebağlanarak
varsayılan kullanıcıadıve şifrelerikullanan
cihazlarıelegeçirir.
İkianabileşeniİkianabileşenivardır:Saldırıvektörlerinitaşıyan
virüsün kendisi ve C&C sunucusu.
Çalıştırılabilecek10adetvektörtaşıyanMiraiele
geçirilecekbaşkacihazlarıdaaktifolarakarayan
birtaramaişlevinesahiptir.

6. SaldırıvektörleriC&C üzerinde son derece
yapılandırılabilirdir.Mirai,saldırıpaketlerindeki
portnumarası,dizinumarası,identgibiçeşitli
alanlarıgönderilenherpakettedeğişmeleriiçin
rasgeleatar.
IoTÜzerindenDDoSSaldırıları
BotnetlerBotnetleriçerisinde bulunan IoT cihazlarının
yükselişison5yıldırgüvenlikaraştırmacılarının
ençokdikkatettiğikonulardanbiri.“Thingbot”
adıdaverilenvebilgisayarkorsanlarıtarafından
silahlandırılmış bu cihazlar birçok DDoS
saldırısındakullanıldılar.Bunlardanenbüyüğü
de,2016 yılında 400Gbps gibibir boyuta
ulaşarakMiraibotnetikullanılarakyapılanDDoSulaşarakMiraibotnetikullanılarakyapılanDDoS
saldırısıydı.Busaldırıda500.000üzericihazın
kullanıldığı öngörülmekte IBM tarafından
yapılanbazıaraştırmalarMiraizararlısınınDDoS
kabiliyetininyanısıra“BitcoinMining”bileşeni
detaşıyanyenibirvaryantıolduğunugösteriyor.
2016Ekim ayındawebcam,routerveDVR’lar
kullanılarakDyn’e(DynamicNetworkServices)
yapılanDDoSsaldırısıaralarındaNetflix,Twitter,
Reddit,CNNgibiservislerindeolduğu1200web
sitesineerişimiengelledi.
2017Şubatayındabaşkabirüniversitedeise
kahve ve yiyecekotomatları,ışıklarve 5000
başka IoT cihazıkullanılarak yapılan DDoS
saldırısıbütünyöneticileridevredışıbıraktı.
20162016yılıbitimininhemenöncesindeImperva
araştırmacıları“Leet”olarakadlandırılanyenibir
IoT botnet’inin 650 Gbpsbüyüklüğünde bir
DDoS saldırısı gerçekleştirdiğini ortaya
çıkardılar.Burakam,bubotnetinMiraiilereka-
betedebilecekboyuttaolduğunugösteriyor.20
dakikaboyunca400Gbpsboyutlarındasaldırılar
ileileImpervaCapsulaağınıhedefalansaldırganlar
başarısızbuturunardından17dakikalıkikinci
birturile 650 Gbpsboyutunda birflood’a
erişmişlervesaniyede150milyonpaketgibibir
rakamaulaşmışlar.Yapılanpayloadanaliziise
binlerceIoTcihazındangelensistem dosyaları
olduğunuortayaçıkarmış.Botnet’inLeetolarak
adlandırılmasınıadlandırılmasınısağlayan olay ise malware’i
yazan kişinin TCP başlığında bıraktığı1337
imzası.Bubilgisayarkorsanlarıtarafından“Elite”
anlamınagelen“Leet”itemsilediyor.

7. Referanslar:
[1]corero.com
[2]securityintelligence.com
[3]theregister.co.uk
GörülenengüncelvekalıcıhasarbırakanIoT
DoSsaldırısı,2017MartayınınsonundaRad-
ware araştırmacılarıtarafından tespitedildi.
Araştırmacılar,Brickerbotismiverilenmalware
ileilkkezkarşılaştılar.Kurulanhoneypotile4
günlüksüreçteçoğunluğuArjantinüzerinden
gelen 2000’den fazla Brickerbot denemesi
görüldü.görüldü.
SaldırılarbirTornode’undan geldiğiiçin izi
sürülemesedekaynakkodanalizimalware’in
amacınıortaya çıkardı.Brickerbotda Mirai
tarafındankullanılanbenzersaldırıvektörlerin-
den telnet’ikullanarak brute-force deniyor.
Brickerbirbinaryindirmediğinden kullanılan
bütün kimlik bilgilerini çıkarmak mümkün
olmasaolmasadailksıradaençokdenenenkombi-
nasyonunun“root/vizxv”olduğugörülmüş.
MalwareüzerindeBusyBoxtoolkit’içalışanLinux
tabanlıIoTcihazlarıhedefalıyorveiçerigirdik-
ten sonra “rm –rf/*”komutu ile onbaord
hafızasyı karıştırmaya başlıyor. TCP zaman
damgalarınıdevredışıbıraktıktansonramaksi-
mumkernelthreadsayısını1ilesınırlıyor.
BuişlemlersonrasındabütünIPtablolarını,FW
veNATkurallarınısiliyorveçıkanbütünpaketleri
düşürmekiçinkendisibirkuralekliyor.Enson
olarakdaetkilenencihazdakibütünkodute-
mizleyerektamamenişlevsizkonumagetiriyor.
Böyle bir saldırıya karşı koymak için
yapılabilecekbirkaçşeyvar.Bunlardanbirtanesi
telnet’itelnet’i devre dışı bırakmak veya cihazın
varsayılanşifrelerinideğiştirmek.AyrıcaIPSgibi
sistemlerkullanmakve sürekliolarakizleme
yapmak.

8. 1.IoTveBlockchainBirleşecek
IoTIoTcihazlarınıngünümüzekadarpopülerliğinin
azolmasınınenbüyüksebebiverigüvenliğiydi.
Sektör,busorunuçözmekadınaBitcoindenilen
şifrelidijitalparabirimiiçingeliştirilenzincirleme
kimlikdoğrulamayöntemini(Blockchain)kullan-
maya kararverdi.Blockchain sisteminde bir
bağlantının onaylanmasıiçin ağa bağlıtüm
cihazlarıncihazların bağlantıyaonayvermesigerekiyor.
Karşılıklıparoladoğrulamateknolojisiveşifreli
bağlantılar,hackerlarınIoTcihazlarıüzerinden
sibersaldırıgerçekleştirmesinizorlaştırıyor.Aksi
takdirdeakıllıbuzdolabıüzerindenbirevdeki
bilgisayarlarasibersaldırıyapmaksonderece
kolay olurdu.Blockchain ile birlikte,finansal
tteknolojilerileIoT’ninbirleşmesisağlanacak.
2.DDoSSaldırılarıIoTCihazlarıÜzerinden
Yapılacak
Forresteranalizkuruluşununtahminlerinegöre,
geçenyılsadeceAmerika’da1600websitesine
karşıgerçekleştirilenDDoSsaldırılarıbuzdağının
görünen yüzü:21 Ekim 2016’da aynıanda
gerçekleştirilen saldırılarTwitter,NetFlix,NY-
TimesvePaypalgibişirketlerinsibersaldırılara
karşınekadarkorumasızolduğunugösterdi.
TTüm bu şirketlerMiraibotnetkaynaklısiber
saldırınınasılhedefiolanDyn’eyapılansaldırıda
virüsbulaşmışkapalıdevregüvenlikkameraları
veakıllıcihazlarkullanıldı.
3.IoTveMobilCihazlar
2017yılındaakıllıtelefonlarbeacondenilenakıllı
sensörveelektroniketiketteknolojisiylebirlikte
kullanılacak. Örneğin, AVM restoranları
müşterilerine akıllıtelefondan ve oturduğu
yerden siparişvermeimkanısunacak.Ayrıca
onlinealışverişvebankacılıktasohbetbotlarıve
kişiseldijitalasistanlarkullanıcalak.
4.IoT,YapayZekaveAkıllıKutular
20172017yılındaRFID vediğerelektroniketiketler
depolardakiürünkutularındaçokdahayaygın
olarak kullanılacak. Böylece mağazalara
dağıtılanveyaonlinealışverişsonrasıevegön-
derilentüm ürünlerinternettendirekizlenecek.
Böyleceürünlerin çalınması,kaybolmasıveya
hasara uğraması gibi durumlarda gerçek
sorumlularınsorumluların bulunmasınıkolaylaştıracak.E-
ticaretteenbüyükrekabetinalternatifteslimat
seçenekleriüzerinden yürüdüğü düşünülürse,
IoT çözümlerisektöre yenibirsolukgetirecek
gibigörünüyor
5.IoTveKablosuzBağlantılar
IoTteknolojisiiçinsıradanWi-Fialanlarınaek
olarak20km mesafelisüperWi-Fi,sadeceyüz
yüzebağlantıdestekleyendüşükgüçlüWi-Fi
bağlantısı, düşük güç tüketimli Bluetooth,
Wi-Max,sıradanEthernetveikincikuşak4G
mobil internet bağlantısı kullanılacak
(Türkiye’deki4.5 G aslında gerçek 3.5 G’ye
kakarşılıkgeliyorveyaygınIoTdesteğiiçingüncel-
lenmesigerekiyor).Ancak,IoT’de en büyük
sorunAfrikagibialtyapısıeksikolanbölgelerde
ortaya çıkıyor (açık araziye yerleştirilen ve
şebeke elektriğikullanmayan güneş enerjili
cihazların yaygınlaştırılması gibi sorunlar):
Bunlarınkatlanabilirgüneşpanellerikullanması
içindüşükgüçtüketmesigerekiyor.

9. ŞirketlerNedenIoTÇözümlerineGeçiyor?
%47:Ürünvehizmetkalitesiniartırmak
%45:İşgücüverimliliğiniartırmak
%44:İşletmeidaresindegüvenirliğiartırmak
%37:Şirketvarlıklarındanalınanverimiartırmak
%35%35:Hammadde,yarımamulveatıkmaliyetini
azaltmak
%34:Yenimüşterilereulaşmak
%33:Müşterimemnuniyetiniartırıp müşteri
kaybınıazaltmakvemüşteridesteğimaliyetini
düşürüpgelirleriartırmak
%32%32:Yeniürünvehizmetgeliştirmekveyamali-
yetleriazaltmakiçinbilgitoplamak
%26: Ürünlerin hızla pazara sürülmesini
sağlamakvegeliştirmemaliyetleriniazaltmak
%22:Hırsızlıkriskinivediğerkayıplarıazaltmak
%18:Hizmetolarakçözümmodelinegeçmek
%16:İşhedeflerineuygunfiyatpolitikasıbe-
lirlemek.
Kaynaklar:
[1]popularscience.com
6.IoTveKalifiyeElemanSorunu
IoIoT’ningünümüzdekullanımınınartmasıilebu
artışa paralel istihdam açığı da artacak.
Dolayısıyla IoT’de uzmanlaşan teknisyen ve
yazılımcılarabüyükihtiyaçduyulacak.Özellikle
akıllışehirlerveendüstriyeyönelikdijitalotoma-
syonalanlarındabüyüktalepoluşmasıbekleni-
yor. TEKsystems tarafından yapılan son
araştırmayagöre,IoTşirketlerinin%45’iönce-
likle güvenlik uzmanı bulmakta zorlanıyor.
%30’uiseIoTilekişiselleştirilmişdijitalpazar-
lamayapabilecekçalışanlararıyor(örneğinakıllı
takılarlakullanıcıverilerinin toplanması).Tüm
bunlardaIoT’yeyönelikeğitimlerinartacağını
gösteriyor.
7.IoTveYeniİşModeli
20172017yılındayazılım veuygulamalarınürünle
birliktesunulduğupaketçözümleröneçıkıyor.
Amazon’un akıllıaramadesteklikişiseldijital
asistanıAlexa’nınAmazonEchocihazıylabirlikte
kullanılmasıveUberaraçkiralamauygulamasına
sesli komut özelliğinin eklenmesi, bunlar
arasındaenpopülerçözümlerolarakgösterili-
yyor.Kullanıcının telefonda dinlediğimüziği
tanıyıpinternettenbulanHounduygulamasıyla
Uber’ın işbirliğiyapmasısektörün ne kadar
yaratıcıolduğunugösteriyor.

10. Dünyaçapında12Mayıs2017tarihiitibariyleet-
kisinigösterenvebüyükbirhızlayayılan“Wann-
aCry”zararlıyazılımı,sonbirkaçyıldırpopüler
olanfidyeyazılımlarındanbiridir.Çokkısaza-
manda,başta Çin,Rusya ve Avrupa ülkeleri
olmaküzere106ülkede230,000’denfazlacihazı
etkilemiştir.
WannaCry zararlıyazılımın yayılım hızınıve
oluşturduğu travmayı değerlendirdiğimizde
günümüz siber saldırılarının anive büyük
krizlerenedenolabileceğinigörmekteyiz.
PekiNedirBuWannaCry?
BildiğinizBildiğinizüzere“Shadow Brokers”isimligrup
NisanayıiçerisindeNSAtarafındankullanıldığını
önesürdükleribirdiziaraçsızdırmıştı.Buaraçlar
içerisindeendikkatçekeniMS17-010zafiyetini
istismaredenEternalblueexploit’iydi.Buexploit;
kullanıcı adı ve parola bilgisine ihtiyaç
duymaksızın,UDP137-138,TCP139ve445SMB
poportlarıüzerinden hedefsistemeetkiederek
sistemielegeçirmeyeimkansağlıyordu.Wanna-
Cryisimliransomewaredebu zafiyetitemel
alarakSMBportuinterneteaçıkolanveMicro-
softtarafındanyayınlanmışolangüvenlikgün-
cellemesihenüzyapılmamışWindowsişletim
sistemlerinesahipcihazlararasındabüyükbir
hızlayayılmıştır.
Zafiyetibaşarılıbirşekildeistismaredereksis-
temeerişim sağlayanWcryfidyeyazılımı,hızlı
birşekilde Harddiskte bulunan kritik bilgiler
içerebilecekolanuzantılara(.lay6.sqlite3.sqlit-
edb.accdb.java.class.mpeg.djvu.tiff.backup
.vmdk.sldm.sldx.potm.potx.ppam.ppsx.ppsm
.pptm .xltm .xltx.xlsb.xlsm .dotx.dotm .docm

11. BunuBiliyorMuydunuz?
DahaDahaönceDDoSsaldırılarınınkaynağıolanül-
kelersıralamasında2016yılıiçerisindedönem-
selolarakilk10 listesinde yeralan Türkiye,
CompariTechfirmasınınsonaraştırmasına3göre
artık bu listede görünmüyor.Ancak Türkiye,
zararlıyazılımlardan(virüsler,casusyazılımlar,
fidyeyazılımlarıvb.)enfazlaetkilenenbilgi
sayarasahipülkelersıralamasındaÇin(%49)ve
Tayvan(%47,34)’ınardından%40,99ileüçüncü
sıradayeralıyor.
.docb .jpeg .onetoc2.vsdx.pptx.xlsx.docx)
sahip dosyaları;kullandığıgüçlü,asimetrik
şifreleme algoritması olan RSA-2048 ile
şifreleyerek kullanıcıdan belirli bir süre
içerisinde300$/300€ödeyerekdosyalarına
tekrarerişebileceğiniaksitakdirdekullanıcının
birdaha dosyalarına erişemeyeceğinibelirt-
memektedir.
Referanslar:
[1]goo.gl/UTJaFd

12. DDoSsaldırısı,çoklusistemlerdehedefsistemin
kaynaklarıyadabantgenişliğiistilayauğradığı
zamanoluşur,bunlargenelliklebirveyabirden
fazla web sunucusudur. Eğer saldırganlar
saldırıyıtekbiranabilgisayardandüzenlersebu
birDoSsaldırısıolaraksınıflandırılır.Diğertaraf-
tan,birsaldırganaynıandauzaktakibirbilgi-
sayara yönelik saldırılar için birçok sistem
kullanıyorsa, bu bir DDoS saldırısı olarak
sınıflandırılır.
Requestfloodingattack,asymmetricattack,re-
peatedsingleattack,applicationexploidattack,
R.U.Dead-Yet,Slowloris,SYN floodgibiuygu-
lamabazlıDDoSataklarıdüşükbantgenişliği
kullanaraksunucuyu çalışamazhalegetirirler.
Hizmetsağlayıcıların sağladığıhacimselbazlı
DDoSatakönlemehizmeti,butipuygulama
bazlıataklarıyakalayamamaktavefirmalarıtam
olarakkoruyamamaktadır.
KoçSistem’in Uygulama BazlıDDoS hizmeti,
servissağlayıcılarınverdiğihacimselbazlıDDoS
hizmetinin tamamlayıcısı niteliğinde olup
müşteri’nin internetileDMZ veyayerelalan
ağındaçalışantüm internetbağımlıservislerin
kullanılabilirliğinikısıtlayıp çalışmazhaleget-
irmeyi hedefleyen DDoS saldırılarını
hafifletmek/önlemekiçinhafifletmek/önlemekiçinverilenhizmettir.
Dedikeolarak;
Uzak(Uzak(remote)tanbağlantıileverilir.Müşteriveri
merkezi veya lokasyonuna fiziksel olarak
erişilmez.Hizmetkapsamındabuhizmetbildiri-
mineuygunolarakmüşteriyesunmakamacıyla
hizmet için gerekli araçların kurulması,
bağlantılarınkurulmasıvetestedilmesi,rapor-
lamaaraçlarınaentegrasyonusağlanır.
Paylaşımlıolarak;
KKoçSistem’in bulutaltyapısıüzerinden sahip
olduğuyedeklifizikselkaynakhavuzuüzerinden
sağlanır.Bu hizmet,firmaların donanım ve
yazılım yatırımıyapmalarıihtiyacınıortadan
kaldırmaktaoluptüm yatırım vecihazyönetimi
hizmet kapsamında sunulmaktadır. Hizmet
donanım veyazılım seviyesindepaylaşımlıdır.
HizmetHizmetkapsamındasağlananpaylaşımlıDDoS
cihazının bakımları, müşteri için devreye
alınmasıve yönetimiKoçSistem tarafından
gerçekleştirilir. Bu hizmet, KoçSistem veri
merkezindesanalveyafizikselsunucusubulu-
nanve/veyadedikeDDoSyatırımıyapmamış
tümmüşterileresunulmaktadır.
HizmetkapsamındaDDoSsistemininmerkezi
yönetim sistemleriile7x24izlenmesi(online
otomatikalarm mekanizmasıdahil)veproaktif
yönetimisağlanmaktadır.Hizmetkapsamında
müşteriinternetbantgenişliğiölçeğindeDDoS
korumasısağlanır,daha yüksek kapasitedeki
DDoSsaldırılarıiçininternetservissağlayıcıdan
DDoShizmetialınmasıtavsiDDoShizmetialınmasıtavsiyeedilir.

13. “NationalVulnerabilityDatabase”https://goo.gl/ZtmN76
CVE-2017-6972
------------------
TheThe path normalization mechanism in
PathResourceclassinEclipseJetty9.3.xbefore
9.3.9onWindowsallowsremoteattackersto
bypassprotectedresourcerestrictionsandother
securityconstraintsviaaURLwithcertaines-
capedcharacters,relatedtobackslashes.
V3:9.8CRITICALV2:7.5HIGH
Published:April13,2017;10:59:01AM -04:00
Özet:Windowsplatformuüzerindeçalışan9.3.0
dan9.3.8ekadarolanJettyversiyonlarızafiy-
etten etkilenmiştir.Eclipse üzerinde uzaktan
erişimeizinvererekrastgelekodçalıştırımasına
nedenolmaktadır.Buzafiyetteexploitiçinkimlik
doğrulamasınagerekduyulmamaktadır.
Jetty path normalleştirme mekanizması,URL
istekleriniparseederkensorunyaşanmaktadır.
9.3.9versiyonubuzafiyettenetkilenmemektedir.
Detaylıbilgiiçin:
http://dev.eclipse.org/mhonarc/lists/jetty-anno
unce/msg00092.html
CVE-2011-3428
------------------
Bufferoverflow inQuickTimebefore7.7.1for
Windowsallowsremoteattackerstoexecutear-
bitrarycode.
V3:9.8CRITICALV2:7.2HIGH
Published:April24,2017;03:59:00PM -04:00
Özet:Özet:QuickTime'ınRLEdosyalarınınişlenmesi
sırasındabufferoverflowzafiyetinerastlanmıştır.
Kötü amaçlıhazırlanmış bir film dosyasını
görüntülemek,beklenmedikbirşekildeuygu-
lama sonlandırılmasına veya rasgele kod
çalıştırılmasınasebepolabilmektedir.Buzafiyet
herhangibirMacOSXişletimsistemlerinietkile-
memektedir.
Detaylıbilgiiçin:
https://support.apple.com/en-us/HT5016

14. KoçSistem’denResilientYatırımı
SaldırıSaldırıtiplerinin karmaşıklaştığı,saldırganların
iseartıkorganizeçalışmayabaşladıklarısiber
dünyadasaltinsangücündenfaydalanıpmü-
cadeleetmeyeçalışmakimkansızhalegeliyor.
Sürekligelişensaldırıtürleri,güvenlikdünyasını
olaylarıilişkilendirmenin de ötesinde artıkiş
gruplarınıilişkilendirmevesüreçleriotomatize
etmeetmeyemecburbırakıyor.Pekçoğumuzsaldırı
önlemeyiveönlenememişsaldırılarıntespitini
insanyönetimlibilgisayarsistemlerinebırakmış
durumdayız.Pekiolay yönetimive müda-
halesindenedurumdayız?
Olayyönetimisüreçleriniotomatikolarakyürüt-
ebilenveotomatikaksiyonalınabilirhalesokan,
kendideyimiylegüvenliği“orkestre”edenResil-
ient,olayyönetimivemüdahalesinibirservis
olarakdeğilürünolaraksunuyor.Resilientile
çokkarmaşıksüreçleridahirahatlıkladüzenleye-
bilir,ilgilikişi,grupveyateknolojileregörevata
yabilirsiniz.Bununyanındasüreçleriniziregü-
lasyon, yasa ve standartlara göre
tasarlayabileceğiniz bir kütüphaneyi de
içerisindebarındıranResilient,halihazırda10
farklısiberistihbaratservisiveçoğusiberolay
türüiçinhazıraksiyonplanlarısunuyor.SIEM
ürünü bağımsız birşekilde siberolaylarınızı
kkoordineedeceğiniz,ekiplerinveteknolojilerin
düzeniçerisindeçalışmasınısağlayabileceğiniz
platform,tüm güvenlikaltyapınızıtekplatform
üzerindeyönetmenizi,entegreedilmişplatform-
larileSLAsürelerinikısaltarakhemdahagüvenli
hem de daha verimlibir güvenlik süreci
işletmenizeyardımcıoluyor
Resilient’ıdeğerliyapan birdiğeretmen ise
mükemmel tasarlanmış API’ si ve sınırsız
entegrasyonyeteneği.Veritabanınıdilediğiniz
şekilde konfigüre etme imkanıda esnekliği
arttıranbirdiğerdeğer.Süreçlerinizdekullan-
mak üzere istediğiniz gibi veri alanları
oluşturabilir,hepsine API üzerinden erişim
sağlayabilisağlayabilirsiniz.Entegrasyon konusunda ise
verdiğiJava,PythonveC#desteğiile“işineya-
rayacaksaneyaparsanyap”diyenmükemmelbir
yazılım altyapısınasahip.Bualtyapıyıkullanarak
güvenlik duvarı üzerinde bloklama, LDAP
sorguları,antivirüs taramasıtalepleri,cihazı
ağdan ayırma,yenisiberistihbaratservisleri
ekleme,başkabirçağrımasasıileentegrasyon
gibiaklagelebilecekhertürlüaksiyonukodla-
yabilir,aksiyonlarıe-postaonayınabağlıhale
getirebilirve aksiyon sonuçlarınısürecinizin
içerisine dahil edip çeşitli varyasyonları
tamamıyla otomatize edebilirsiniz. Ayrıca
gelişmişraporlamamotoruylaistediğinizverileri
gögörselizeedebilir,busayedeoperasyonlailgili
birçokbilgiyidetekekrandantakipedebilir-
siniz.
Resilient,IBM güvenlikplatformlarıylaentegreçalışabiliyor.

15. Son olarak güncelden örnekleme ile WCry2
salgınıileilgiliResilientilebirliktesürecinasıl
işletebileceğimizegözatalım:
-SIEM ürününüzdeoluşanalarmıkategorisine
veyazafiyettürünegöreResilientüzerineoto-
matikeskaleedebilirsiniz.
-Önceden oluşturmuşolduğunuzplan dahil-
inde,saldırıileilgiliIOC’leri(IPadresi,domain,
hashvb.)SIEMürününüzdenotomatikolarakto-
playabilirvebunlarınsiberistihbaratservisinde
otomatiksorgulamasınıgerçekleştirebilirsiniz.
-BuIOC’lerdenetkilenmişveyaetkilenebilecek
olan cihazların listesini yama yönetimi
uygulamanızıkullanarakotomatikolarakalabil-
irsiniz.
-Enfeksiyonauğramışcihazlarıağdanayırabilir
veyacihazınyöneticisinedurumlailgilibilgile-
ndirmedebulunabilir,enfeksiyonauğramayan
cihazlaraotomatikyamauygulayabilirsiniz.
-TopladığınızIOC’lerilegüvenlikduvarları,IPS’
ler, e-posta güvenlik cihazları, antivirüs
uygulamalarıüzerindeotomatikaksiyonalabilir-
siniz.
-Tüm buişlemlerileilgilianlıkraporlarıinceley-
erekmanuelaksiyonkararlarıdaçıkartabilirsiniz.
YukarıdakiörnekteverildiğigibiResilientilehızlı
veetkilisüreçlerişletebilir,insandeneyimive
bilgisinibilgisayaryetenekleriilebirleştirerek
verimliliğimaksimumseviyelereçıkarabilirsiniz.
Resilientkullanıcılarınafonksiyonelbirolayyönetimi
platformusunuyor.