KoçSistem | Aralık 2016 Güvenlik BülteniKocSistem_
BOTNET : Yeni Nesil Siber Silah
Kasım Ayında Kayıtlara Geçen Ataklar
Kasım Ayına Ait Kritik Açıklar
KoçSistem Güvenlik Hizmetleri : İşletim Danışmanlığı
SOC Hizmetlerinde Bir Lider Daha : Koçtaş
Setur ile Yine İleriye
Fidye yazılımı, kurbanın dosyalarını şifreleyen kötü amaçlı bir yazılım türüdür. Saldırgan, ödeme yapıldıktan sonra
verilerine tekrar erişebilmesi için kurbandan fidye talep eder.
GTU Bilgisayar Mühendisliği Bitirme Projesi-2 kapsamında hazırlamakta olduğum projenin ara değerlendirme raporudur. Projenin neleri içerdiği, başarı kriterleri ve konu hakkında bilgileri içermektedir.
Ransomware nedir? TBD Antalya Şubesi ve AOSB birlikte düzenledikleri "Sanayide Bilişim Buluşmaları" etkinliğinde sunumunu yaptığım Ransomware (Fidye Yazılım) Sunumudur.
KoçSistem | Aralık 2016 Güvenlik BülteniKocSistem_
BOTNET : Yeni Nesil Siber Silah
Kasım Ayında Kayıtlara Geçen Ataklar
Kasım Ayına Ait Kritik Açıklar
KoçSistem Güvenlik Hizmetleri : İşletim Danışmanlığı
SOC Hizmetlerinde Bir Lider Daha : Koçtaş
Setur ile Yine İleriye
Fidye yazılımı, kurbanın dosyalarını şifreleyen kötü amaçlı bir yazılım türüdür. Saldırgan, ödeme yapıldıktan sonra
verilerine tekrar erişebilmesi için kurbandan fidye talep eder.
GTU Bilgisayar Mühendisliği Bitirme Projesi-2 kapsamında hazırlamakta olduğum projenin ara değerlendirme raporudur. Projenin neleri içerdiği, başarı kriterleri ve konu hakkında bilgileri içermektedir.
Ransomware nedir? TBD Antalya Şubesi ve AOSB birlikte düzenledikleri "Sanayide Bilişim Buluşmaları" etkinliğinde sunumunu yaptığım Ransomware (Fidye Yazılım) Sunumudur.
Bu dokümanda 2020 yılının Şubat ayında çıkan 70’den fazla siber güvenlik haber özeti
yer alıyor. Kritik açıklar, fidye yazılımı saldırıları, veri ihlalleri, DoS saldırıları, yeni yöntemler, internet sansürleri, acil güncelleme duyuruları ve daha birçok haber bu sayıda bulunabilir. Özetle; Şubat ayında siber güvenliğe dair kaçırmamanız gerektiğini düşündüğümüz her şey burada.
BGA Türkiye Bankacılık Sektörü 1. Çeyrek Phishing RaporuBGA Cyber Security
Bu raporda 2020 yılının ilk yarısı için Türkiye'de bulunan bankalar adına açılan sahte alan adları
(domain), bu alan adlarının SSL sertifikası durumları ve kayıt bilgilerine yönelik analizler yer almakta
olup, aylara göre artışları ve saldırganların motivasyonları incelenmiştir.
DDoS Saldırıları ve Benzetim TeknikleriOğuzcan Pamuk
GTU Ağ ve Bilgi Güvenliği dersi kapsamında hazırlamış olduğum dönem projesi dökümanıdır. Temel DDoS bilgilerini ve literatür incelemesini içermektedir. Dökümanı okuyanların temel bilgi edinmesi ve saldırı yapabilecek seviyeye gelmesi hedeflenmektedir.
İstanbul Şehir Üniversitesi - İnternet Üzerinde Anonimlik ve Tespit Yöntemleri - Bilgi Güvenliği Mühendisliği Yüksek Lisans Programı - Bilgisayar Adli Analizi Dersi
Hazırlayan: Muhammed Zaid Alperen
KoçSistem, üretimden enerjiye pek çok cihazı uzaktan yöneterek başlayan Nesnelerin İnterneti yolculuğuna, Nesnelerin İnterneti Platformu “Platform 360” vizyonunu ortaya koyarak devam ediyor.
KoçSistem Güvenlik Çözümleri “Yolu Güvenle Geçmek”- IDC Security Roadshow KocSistem_
IDC Security Roadshow etkinliğinde “Yolu Güvenle Geçmek” sunumumuz ile güncel tehditler, 2017 öngörülerimiz ve bunlara yönelik geliştirdiğimiz KoçSistem Toplam Güvenlik Yaklaşımımız ile yer aldık.
Dijital Yıkıcı İnovasyonlar ile Finans’ı Yeniden TanımlamakKocSistem_
Geleneksel finans dünyasına ait tüm bildiklerimiz yıkıcı inovasyonlar sonucunda yeniden tanımlanıyor. Yeni nesil ödeme sistemleri, dijital para birimleri, dijital cüzdan gibi kavramlar günlük hayatımıza çoktan dahil oldu. KoçSistem olarak tüm bu gelişmeleri radarımıza aldığımız Finans İş Çözümleri grubumuzu 2016 yılı başında oluşturduk ve kendi çözümlerimizi geliştiriyoruz. Bu stratejimizin en önemli örneği Türkiye’nin en büyük leasing kuruluşlarına hizmet sunduğumuz “finaLease” markasıdır.
Platform 360 ile firmalara, nesnelerin interneti çözümlerini ortak bir platform üzerinde ve bütün sistemleri ile entegre olarak kullanabilecekleri altyapıyı sağlıyoruz. Büyük veri ve analitik çözümlerimiz ile de toplanan verilerin değere dönüştürülmesine katkı sağlıyoruz.
İPZ 2012 kapsamında KoçSistem Pazarlama ve Satış Genel Müdür Yardımcısı Can Barış Öztok'un sunduğu "İnteraktif Ekonomide Dijital Dönüşümün Rolü" sunumunu inceleyebilirsiniz.
Bu dokümanda 2020 yılının Şubat ayında çıkan 70’den fazla siber güvenlik haber özeti
yer alıyor. Kritik açıklar, fidye yazılımı saldırıları, veri ihlalleri, DoS saldırıları, yeni yöntemler, internet sansürleri, acil güncelleme duyuruları ve daha birçok haber bu sayıda bulunabilir. Özetle; Şubat ayında siber güvenliğe dair kaçırmamanız gerektiğini düşündüğümüz her şey burada.
BGA Türkiye Bankacılık Sektörü 1. Çeyrek Phishing RaporuBGA Cyber Security
Bu raporda 2020 yılının ilk yarısı için Türkiye'de bulunan bankalar adına açılan sahte alan adları
(domain), bu alan adlarının SSL sertifikası durumları ve kayıt bilgilerine yönelik analizler yer almakta
olup, aylara göre artışları ve saldırganların motivasyonları incelenmiştir.
DDoS Saldırıları ve Benzetim TeknikleriOğuzcan Pamuk
GTU Ağ ve Bilgi Güvenliği dersi kapsamında hazırlamış olduğum dönem projesi dökümanıdır. Temel DDoS bilgilerini ve literatür incelemesini içermektedir. Dökümanı okuyanların temel bilgi edinmesi ve saldırı yapabilecek seviyeye gelmesi hedeflenmektedir.
İstanbul Şehir Üniversitesi - İnternet Üzerinde Anonimlik ve Tespit Yöntemleri - Bilgi Güvenliği Mühendisliği Yüksek Lisans Programı - Bilgisayar Adli Analizi Dersi
Hazırlayan: Muhammed Zaid Alperen
KoçSistem, üretimden enerjiye pek çok cihazı uzaktan yöneterek başlayan Nesnelerin İnterneti yolculuğuna, Nesnelerin İnterneti Platformu “Platform 360” vizyonunu ortaya koyarak devam ediyor.
KoçSistem Güvenlik Çözümleri “Yolu Güvenle Geçmek”- IDC Security Roadshow KocSistem_
IDC Security Roadshow etkinliğinde “Yolu Güvenle Geçmek” sunumumuz ile güncel tehditler, 2017 öngörülerimiz ve bunlara yönelik geliştirdiğimiz KoçSistem Toplam Güvenlik Yaklaşımımız ile yer aldık.
Dijital Yıkıcı İnovasyonlar ile Finans’ı Yeniden TanımlamakKocSistem_
Geleneksel finans dünyasına ait tüm bildiklerimiz yıkıcı inovasyonlar sonucunda yeniden tanımlanıyor. Yeni nesil ödeme sistemleri, dijital para birimleri, dijital cüzdan gibi kavramlar günlük hayatımıza çoktan dahil oldu. KoçSistem olarak tüm bu gelişmeleri radarımıza aldığımız Finans İş Çözümleri grubumuzu 2016 yılı başında oluşturduk ve kendi çözümlerimizi geliştiriyoruz. Bu stratejimizin en önemli örneği Türkiye’nin en büyük leasing kuruluşlarına hizmet sunduğumuz “finaLease” markasıdır.
Platform 360 ile firmalara, nesnelerin interneti çözümlerini ortak bir platform üzerinde ve bütün sistemleri ile entegre olarak kullanabilecekleri altyapıyı sağlıyoruz. Büyük veri ve analitik çözümlerimiz ile de toplanan verilerin değere dönüştürülmesine katkı sağlıyoruz.
İPZ 2012 kapsamında KoçSistem Pazarlama ve Satış Genel Müdür Yardımcısı Can Barış Öztok'un sunduğu "İnteraktif Ekonomide Dijital Dönüşümün Rolü" sunumunu inceleyebilirsiniz.
2. DenialofService,yaniDoSsaldırıları,birbilgi-
sayar aracılığıyla hedef olarak belirlenen
bilgisayarın kullanılabilirliğini ortadan
kaldırmaya yönelik gerçekleştirilir. Saldırı
esnasında PC ve PC'nin kullandığıağların
olabildiğinceyavaşlatılmasıvekullanılamazhale
gelmesiamaçlanır.Ayrıca DoS saldırılarıyla
hedefhedefsisteme aitkaynakların tüketilmeside
amaçlanır.Busaldırıönemlisunucularınservis
vermeyidurdurmasıgibibüyüksorunlarayol
açabilir.
DoSsaldırılarının başarılıolmalarınısağlayan,
herwebsitesininvesunucularınbelirlibirkapa-
siteyesahipolmasıdır.Birwebsitesibelirlibir
bantgenişliğindehizmetvermektedir.Örneğin,
Asitesibiranda5binkişiyehizmetverebilecek
birsunucuyasahipken,Bsitesi5milyonkişiye
hizmetverebilecekbirsunucuyasahiptir.Asite-
sine de B sitesine de (sahte ya da gerçek
kullanıcılarla) kapasitesinden fazla giriş
yaptığınızandaositelerhizmetveremeyecektir.
BöyleceDoSsaldırısıdaamacınaulaşmışolur.
DistributedDenialofService(DDoS)saldırıları
ise,aynıandabirdenfazlabilgisayarın,hedef
bilgisayarveağlarayönelikbirdenfazlafarklı
noktadan eş zamanlı olarak saldırmasıyla
gerçekleştirilir.SaldırıesnasındabinlercefarklıIP
adresindenyararlanılırveçokciddizararlarver-
ilebilir.Busaldırılarıönlemek,birçokwebsitesi
içinçokzoiçinçokzordur.
DDoSsaldırılarındanfarklıolarakgeneldetek
bilgisayarvetekinternetbağlantısıüzerinden
gerçekleştirilenDoSsaldırıları,ikiaşamalıolarak
gerçekleştirilir;
Toplugüvenliğikırma:Buaşamadailkolarak
DoSsaldırısıyapacakolansistemlereulaşılırve
saldırıyıgerçekleştirecekolanprogramlaryükle-
nir.Busistemlerilkzarargörecekolansistemler-
dir.
DoS saldırıları:Bu aşamada hedefsitelere
saldırıyapılırvebunun için deilkaşamada
saldırıyı gerçekleştirecek programların
yüklendiği bilgisayarlar kullanılarak hedefe
saldırıgerçekleştirilir.
DoSsaldırıtürlerininbaşlıcalarışunlardır;
ArabellekArabellekAşımıSaldırıları:DoSsaldırılarının
enyaygınçeşitidir.Arabellek;hafızadaartarda
dizilitürdeşveridepolayanhafızabloğudur.Ara-
bellekaşımısaldırıları;birinternetsitesine,sit-
eninprogramcısınıngelmesininbeklediğivebu
amaçla veri akışı için planladığı arabellek
değerinin karşılayamayacağıkadarçok trafik
yollanmasısonucuoluşur.Saldırı,hedefsistem-
dekibilinenzayıfbirnoktanınüzerine,başarıya
ulaşacağıbilinerekyapılabileceğigibizayıfbir
nokta bilinmeden başarı ihtimaliyle de
yapılabilir.
SYNSaldırıları:Busaldırıtüründesaldırgan,in-
ternetüzerindekullanılmayanIPadreslerinikul-
lanarakbirçokSYN paketinihedefmakineye
yollar.Hedefmakine,alınanherSYNpaketiiçin
kaynakayırırvebironaypaketini(SYN-ACK),
SYNpaketiningeldiğiIPadresineyollar.Hedef
makine,kullanılmayan IP adresinden yanıt
alamayacağıiçin SYN-ACK paketinidefalarca
tekrarlar. Saldırgan bu yöntemi üst üste
uyguladığındahedefmakineayırdığıkaynaklar-
3. adım DoSsaldırısınındoğruanalizedilmesive
kaynağınıntespitedilmesidir.DoSsaldırılarının
ağınızadışarıdanyapıldığıgibi,ağınızdakibir
unsurtarafındaniçerdendeyapılıyorolabilir.
DoSsaldırılarınınçoğununtespitiiçininternet
hızınındüşüklüğüyadae-postaalamamagibi
sorunlaradikkatedilmesigerekmektedir.Butür
durumladurumlarda ilk aşamada bakılmasıgereken
sisteminçıkışnoktasıdır.EğerçıkışnoktasıHTTP
Proxyisebüyükisteklerinbirsistemdenmiyada
dahafazlasistemdenmiyapılmaktaolduğuna
bakılmalıdır.Eğerçıkışnoktasıağ geçidiise
sistemdengeçenpaketlerinkontroledilmesige-
rekmektedir.
DoSsaldırılarındankorunmayöntemleritemel
olarakikigrubaayrılır;
BantBantgenişliğisaldırılarıvekorunmayöntem-
leri:Butürsaldırılarsavunulmasıenzorolan
DoS saldırılarıdır,bu sebeple ataklaraneden
olan paketlergüvenliğisağlanılmasıistenen
sisteminağ geçidinegirmedenbupaketlerin
alımınıdurdurmaktır.Paketlerinağgeçidinegir-
medenengellenmesiiçinTCPSYN,UDPveya
ICMPgibiaynıtürpaketlerinarkaarkayageldiği
takdirdetakibinivekontrolünüsağlayanyazılım
kurulmasıgerekmektedir.Paketlerinbiryada
ikidenfazlafarklıipadresindengönderildiğigöz
önüne alınırsa bu durumda İnternetServis
Sağlayıcısı'ndandestekalınmasıgerekmektedir.
Sistem veservissaldırılarıvekorunmayön-
temleri:Butürsaldırılartüm ağdançokbirya
dabirkaçsistemeyönelikyapılır.Busaldırılar
birimzamandaçokyükseksayıdapaketgönder-
ilerek,hafızada sorun yaratılarak ve yüksek
danötürüyenibirbağlantıyıkaldıramazduruma
gelirvebusebeptenmakineyebağlanılamaz.
TTeardropSaldırıları:Birbilgisayarainternetüzeri-
nden gelen paketler,bilgisayarda bölünerek
aktarılır.Paketverilereayrıştırılırken,pakettebulu-
nan ofsetler kullanılır. Bu ofset bilgilerinin
çakışmaması gerekmektedir. Teardrop
saldırılarında,paketigönderensaldırgan,pakete
üstüstegelecekofsetlerekler.Paketialanbilgi
sayar,böylebirdurumukontroledebilecekme-
kanizmayasahipdeğilse,sistemçöker.
SmurfSaldırıları:Busaldırıtüründe,saldırgan
hedefbilgisayardanpingisteğindebulunur.Ancak
pingpaketi,hedefmakineninIP’sindengeliyormuş
gibigörünecekşekildehazırlanmıştır.Budurumda
ağüzerindekibütünmakineler,hedefmakineye
pingatar.Hedefmakinebutrağikarşılayamazve
bağlantıkesilir.
SServislereAşırıYüklenme:Busaldırıtipibelirli
kullanıcıve servisleridüşürmekiçin kullanılır.
Saldırıyapankişiözelportvekullanıcıyabirçok
ICMPpaketigönderir.Buolayağizleyicisiileko-
laycaanlaşılır.
MessageFlooding:ServislereAşırıYüklenme'den
farklıolaraksisteminnormalçalışmasınıengelle-
mez.Yineaynışekildepaketlergönderilirancakbu
defakullanıcıyadaservislerbupaketgönderimini
normalolarakalgılar.Örnekolarak;Nissunucusun-
da'ood'yapılırsa(Unixnetwork)Nisbuisteğişifre
isteğigibigörürveböylecesaldırganınkullanıcıya
hükmetmesisağlanmışolur.
Sistemingüvenliğiaçısındanyapılmasıgerekenilk
5. Taramaişlevidevamlıolarakherbotüzerinde23
veya 2323 portundan telnet protokolü
kullanılarak ve rastgele IP adreslerine login
işlemi denenerek devam eder. 60 farklı
varsayılankullanıcıadıveşifrekombinasyonu
denendikten sonra başarılıolunan login de-
nemelerindeelegeçirilenyenicihazınkimliği
C&C’C&C’yeyollanır.Bukimlikleredevirüskoduoto-
matikolarakgeçtiktensonrayenibotlardaaynı
görevedevam ederler.C&C,saldırıvektörünün,
kurbanınIPadresivesaldırısüresininbelirtilmesi
gibiseçeneklerin sunulduğu basitbirkomut
satırarayüzünüdestekler.
Miraikoduincelendiğindevirüsün,çeşitliIoTci-
hazlardagörülenx86,ARM,Sparcgibibirçok
farklı CPU mimarisi için geliştirildiği
görülmüştür.İmajın kendisiküçüktürve ters
mühendislik denemelerine karşın iç
mekanizmasınıgizlemekiçinbazıkeşfedilmemiş
teknikler barındırmaktadır. Virüs, bot’un
hafızasınahafızasınayüklendiktensonrakendisinibot’un
diskindensiler.Böylecebotyenidenbaşlatılana
kadaraktifdurumda kalır.Yeniden başlatma
işlemisonrasındacihazvirüstentemizlenirfakat
tekrarelegeçirilmesiiçinbirkaçdakikayeterlidir.
Gelişmekteolandünyada,bütüncihazlardaha
akıllıolup birbiriyleiletişimegeçebilmektedir.
Akıllıev,akıllıhastanegibifarklıalanlardakihızlı
gelişmeilenesnelerininternetigenelmahremi-
yetin sağlanması konusunda zorluklarla
karşılaşmaktadır.Bualandabirçokaçıklıklamü-
cadele edilse de en sıkkarşılaşılan problem
gegerçekkullanıcının kullanımınıengelleyen ve
kaynağınerişilemezdurumagelmesinisağlayan
DoSsaldırısıdır.
DDoSalanındadünyaçapındaençokgörülenve
ençoketkiyibırakanzararlıMiraizararlısıdır.
Mirai,Linuxcihazlarıetkileyerekonlarıuzaktan
kontroledilebilen zombilere çevirerek DDoS
saldırılarında kullanılmaları sağlar. Öncelikli
olarakrouter’lar,dijitalvideokayıtcihazlarıve
CCTV kameralargibiIoT(InternetofThings)
cihazlarıcihazlarıhedefalır.MiraibotnetiDynDNSser-
vislerinindevredışıbırakılarakbirçokbüyükweb
sitesininkullanımakapanmasıgibibilinenen
büyük DDoS saldırılarından bazılarında
kullanılmıştır.
Mirai’nin kaynak kodu Krebbs web sitesine
yapılan başarılısaldırısonucunda halka açık
olarakyayınlanmıştır.Miraibotnetkodudüşük
seviyedekorunancihazlaratelnetilebağlanarak
varsayılan kullanıcıadıve şifrelerikullanan
cihazlarıelegeçirir.
İkianabileşeniİkianabileşenivardır:Saldırıvektörlerinitaşıyan
virüsün kendisi ve C&C sunucusu.
Çalıştırılabilecek10adetvektörtaşıyanMiraiele
geçirilecekbaşkacihazlarıdaaktifolarakarayan
birtaramaişlevinesahiptir.
6. SaldırıvektörleriC&C üzerinde son derece
yapılandırılabilirdir.Mirai,saldırıpaketlerindeki
portnumarası,dizinumarası,identgibiçeşitli
alanlarıgönderilenherpakettedeğişmeleriiçin
rasgeleatar.
IoTÜzerindenDDoSSaldırıları
BotnetlerBotnetleriçerisinde bulunan IoT cihazlarının
yükselişison5yıldırgüvenlikaraştırmacılarının
ençokdikkatettiğikonulardanbiri.“Thingbot”
adıdaverilenvebilgisayarkorsanlarıtarafından
silahlandırılmış bu cihazlar birçok DDoS
saldırısındakullanıldılar.Bunlardanenbüyüğü
de,2016 yılında 400Gbps gibibir boyuta
ulaşarakMiraibotnetikullanılarakyapılanDDoSulaşarakMiraibotnetikullanılarakyapılanDDoS
saldırısıydı.Busaldırıda500.000üzericihazın
kullanıldığı öngörülmekte IBM tarafından
yapılanbazıaraştırmalarMiraizararlısınınDDoS
kabiliyetininyanısıra“BitcoinMining”bileşeni
detaşıyanyenibirvaryantıolduğunugösteriyor.
2016Ekim ayındawebcam,routerveDVR’lar
kullanılarakDyn’e(DynamicNetworkServices)
yapılanDDoSsaldırısıaralarındaNetflix,Twitter,
Reddit,CNNgibiservislerindeolduğu1200web
sitesineerişimiengelledi.
2017Şubatayındabaşkabirüniversitedeise
kahve ve yiyecekotomatları,ışıklarve 5000
başka IoT cihazıkullanılarak yapılan DDoS
saldırısıbütünyöneticileridevredışıbıraktı.
20162016yılıbitimininhemenöncesindeImperva
araştırmacıları“Leet”olarakadlandırılanyenibir
IoT botnet’inin 650 Gbpsbüyüklüğünde bir
DDoS saldırısı gerçekleştirdiğini ortaya
çıkardılar.Burakam,bubotnetinMiraiilereka-
betedebilecekboyuttaolduğunugösteriyor.20
dakikaboyunca400Gbpsboyutlarındasaldırılar
ileileImpervaCapsulaağınıhedefalansaldırganlar
başarısızbuturunardından17dakikalıkikinci
birturile 650 Gbpsboyutunda birflood’a
erişmişlervesaniyede150milyonpaketgibibir
rakamaulaşmışlar.Yapılanpayloadanaliziise
binlerceIoTcihazındangelensistem dosyaları
olduğunuortayaçıkarmış.Botnet’inLeetolarak
adlandırılmasınıadlandırılmasınısağlayan olay ise malware’i
yazan kişinin TCP başlığında bıraktığı1337
imzası.Bubilgisayarkorsanlarıtarafından“Elite”
anlamınagelen“Leet”itemsilediyor.
7. Referanslar:
[1]corero.com
[2]securityintelligence.com
[3]theregister.co.uk
GörülenengüncelvekalıcıhasarbırakanIoT
DoSsaldırısı,2017MartayınınsonundaRad-
ware araştırmacılarıtarafından tespitedildi.
Araştırmacılar,Brickerbotismiverilenmalware
ileilkkezkarşılaştılar.Kurulanhoneypotile4
günlüksüreçteçoğunluğuArjantinüzerinden
gelen 2000’den fazla Brickerbot denemesi
görüldü.görüldü.
SaldırılarbirTornode’undan geldiğiiçin izi
sürülemesedekaynakkodanalizimalware’in
amacınıortaya çıkardı.Brickerbotda Mirai
tarafındankullanılanbenzersaldırıvektörlerin-
den telnet’ikullanarak brute-force deniyor.
Brickerbirbinaryindirmediğinden kullanılan
bütün kimlik bilgilerini çıkarmak mümkün
olmasaolmasadailksıradaençokdenenenkombi-
nasyonunun“root/vizxv”olduğugörülmüş.
MalwareüzerindeBusyBoxtoolkit’içalışanLinux
tabanlıIoTcihazlarıhedefalıyorveiçerigirdik-
ten sonra “rm –rf/*”komutu ile onbaord
hafızasyı karıştırmaya başlıyor. TCP zaman
damgalarınıdevredışıbıraktıktansonramaksi-
mumkernelthreadsayısını1ilesınırlıyor.
BuişlemlersonrasındabütünIPtablolarını,FW
veNATkurallarınısiliyorveçıkanbütünpaketleri
düşürmekiçinkendisibirkuralekliyor.Enson
olarakdaetkilenencihazdakibütünkodute-
mizleyerektamamenişlevsizkonumagetiriyor.
Böyle bir saldırıya karşı koymak için
yapılabilecekbirkaçşeyvar.Bunlardanbirtanesi
telnet’itelnet’i devre dışı bırakmak veya cihazın
varsayılanşifrelerinideğiştirmek.AyrıcaIPSgibi
sistemlerkullanmakve sürekliolarakizleme
yapmak.
8. 1.IoTveBlockchainBirleşecek
IoTIoTcihazlarınıngünümüzekadarpopülerliğinin
azolmasınınenbüyüksebebiverigüvenliğiydi.
Sektör,busorunuçözmekadınaBitcoindenilen
şifrelidijitalparabirimiiçingeliştirilenzincirleme
kimlikdoğrulamayöntemini(Blockchain)kullan-
maya kararverdi.Blockchain sisteminde bir
bağlantının onaylanmasıiçin ağa bağlıtüm
cihazlarıncihazların bağlantıyaonayvermesigerekiyor.
Karşılıklıparoladoğrulamateknolojisiveşifreli
bağlantılar,hackerlarınIoTcihazlarıüzerinden
sibersaldırıgerçekleştirmesinizorlaştırıyor.Aksi
takdirdeakıllıbuzdolabıüzerindenbirevdeki
bilgisayarlarasibersaldırıyapmaksonderece
kolay olurdu.Blockchain ile birlikte,finansal
tteknolojilerileIoT’ninbirleşmesisağlanacak.
2.DDoSSaldırılarıIoTCihazlarıÜzerinden
Yapılacak
Forresteranalizkuruluşununtahminlerinegöre,
geçenyılsadeceAmerika’da1600websitesine
karşıgerçekleştirilenDDoSsaldırılarıbuzdağının
görünen yüzü:21 Ekim 2016’da aynıanda
gerçekleştirilen saldırılarTwitter,NetFlix,NY-
TimesvePaypalgibişirketlerinsibersaldırılara
karşınekadarkorumasızolduğunugösterdi.
TTüm bu şirketlerMiraibotnetkaynaklısiber
saldırınınasılhedefiolanDyn’eyapılansaldırıda
virüsbulaşmışkapalıdevregüvenlikkameraları
veakıllıcihazlarkullanıldı.
3.IoTveMobilCihazlar
2017yılındaakıllıtelefonlarbeacondenilenakıllı
sensörveelektroniketiketteknolojisiylebirlikte
kullanılacak. Örneğin, AVM restoranları
müşterilerine akıllıtelefondan ve oturduğu
yerden siparişvermeimkanısunacak.Ayrıca
onlinealışverişvebankacılıktasohbetbotlarıve
kişiseldijitalasistanlarkullanıcalak.
4.IoT,YapayZekaveAkıllıKutular
20172017yılındaRFID vediğerelektroniketiketler
depolardakiürünkutularındaçokdahayaygın
olarak kullanılacak. Böylece mağazalara
dağıtılanveyaonlinealışverişsonrasıevegön-
derilentüm ürünlerinternettendirekizlenecek.
Böyleceürünlerin çalınması,kaybolmasıveya
hasara uğraması gibi durumlarda gerçek
sorumlularınsorumluların bulunmasınıkolaylaştıracak.E-
ticaretteenbüyükrekabetinalternatifteslimat
seçenekleriüzerinden yürüdüğü düşünülürse,
IoT çözümlerisektöre yenibirsolukgetirecek
gibigörünüyor
5.IoTveKablosuzBağlantılar
IoTteknolojisiiçinsıradanWi-Fialanlarınaek
olarak20km mesafelisüperWi-Fi,sadeceyüz
yüzebağlantıdestekleyendüşükgüçlüWi-Fi
bağlantısı, düşük güç tüketimli Bluetooth,
Wi-Max,sıradanEthernetveikincikuşak4G
mobil internet bağlantısı kullanılacak
(Türkiye’deki4.5 G aslında gerçek 3.5 G’ye
kakarşılıkgeliyorveyaygınIoTdesteğiiçingüncel-
lenmesigerekiyor).Ancak,IoT’de en büyük
sorunAfrikagibialtyapısıeksikolanbölgelerde
ortaya çıkıyor (açık araziye yerleştirilen ve
şebeke elektriğikullanmayan güneş enerjili
cihazların yaygınlaştırılması gibi sorunlar):
Bunlarınkatlanabilirgüneşpanellerikullanması
içindüşükgüçtüketmesigerekiyor.
10. Dünyaçapında12Mayıs2017tarihiitibariyleet-
kisinigösterenvebüyükbirhızlayayılan“Wann-
aCry”zararlıyazılımı,sonbirkaçyıldırpopüler
olanfidyeyazılımlarındanbiridir.Çokkısaza-
manda,başta Çin,Rusya ve Avrupa ülkeleri
olmaküzere106ülkede230,000’denfazlacihazı
etkilemiştir.
WannaCry zararlıyazılımın yayılım hızınıve
oluşturduğu travmayı değerlendirdiğimizde
günümüz siber saldırılarının anive büyük
krizlerenedenolabileceğinigörmekteyiz.
PekiNedirBuWannaCry?
BildiğinizBildiğinizüzere“Shadow Brokers”isimligrup
NisanayıiçerisindeNSAtarafındankullanıldığını
önesürdükleribirdiziaraçsızdırmıştı.Buaraçlar
içerisindeendikkatçekeniMS17-010zafiyetini
istismaredenEternalblueexploit’iydi.Buexploit;
kullanıcı adı ve parola bilgisine ihtiyaç
duymaksızın,UDP137-138,TCP139ve445SMB
poportlarıüzerinden hedefsistemeetkiederek
sistemielegeçirmeyeimkansağlıyordu.Wanna-
Cryisimliransomewaredebu zafiyetitemel
alarakSMBportuinterneteaçıkolanveMicro-
softtarafındanyayınlanmışolangüvenlikgün-
cellemesihenüzyapılmamışWindowsişletim
sistemlerinesahipcihazlararasındabüyükbir
hızlayayılmıştır.
Zafiyetibaşarılıbirşekildeistismaredereksis-
temeerişim sağlayanWcryfidyeyazılımı,hızlı
birşekilde Harddiskte bulunan kritik bilgiler
içerebilecekolanuzantılara(.lay6.sqlite3.sqlit-
edb.accdb.java.class.mpeg.djvu.tiff.backup
.vmdk.sldm.sldx.potm.potx.ppam.ppsx.ppsm
.pptm .xltm .xltx.xlsb.xlsm .dotx.dotm .docm
11. BunuBiliyorMuydunuz?
DahaDahaönceDDoSsaldırılarınınkaynağıolanül-
kelersıralamasında2016yılıiçerisindedönem-
selolarakilk10 listesinde yeralan Türkiye,
CompariTechfirmasınınsonaraştırmasına3göre
artık bu listede görünmüyor.Ancak Türkiye,
zararlıyazılımlardan(virüsler,casusyazılımlar,
fidyeyazılımlarıvb.)enfazlaetkilenenbilgi
sayarasahipülkelersıralamasındaÇin(%49)ve
Tayvan(%47,34)’ınardından%40,99ileüçüncü
sıradayeralıyor.
.docb .jpeg .onetoc2.vsdx.pptx.xlsx.docx)
sahip dosyaları;kullandığıgüçlü,asimetrik
şifreleme algoritması olan RSA-2048 ile
şifreleyerek kullanıcıdan belirli bir süre
içerisinde300$/300€ödeyerekdosyalarına
tekrarerişebileceğiniaksitakdirdekullanıcının
birdaha dosyalarına erişemeyeceğinibelirt-
memektedir.
Referanslar:
[1]goo.gl/UTJaFd
12. DDoSsaldırısı,çoklusistemlerdehedefsistemin
kaynaklarıyadabantgenişliğiistilayauğradığı
zamanoluşur,bunlargenelliklebirveyabirden
fazla web sunucusudur. Eğer saldırganlar
saldırıyıtekbiranabilgisayardandüzenlersebu
birDoSsaldırısıolaraksınıflandırılır.Diğertaraf-
tan,birsaldırganaynıandauzaktakibirbilgi-
sayara yönelik saldırılar için birçok sistem
kullanıyorsa, bu bir DDoS saldırısı olarak
sınıflandırılır.
Requestfloodingattack,asymmetricattack,re-
peatedsingleattack,applicationexploidattack,
R.U.Dead-Yet,Slowloris,SYN floodgibiuygu-
lamabazlıDDoSataklarıdüşükbantgenişliği
kullanaraksunucuyu çalışamazhalegetirirler.
Hizmetsağlayıcıların sağladığıhacimselbazlı
DDoSatakönlemehizmeti,butipuygulama
bazlıataklarıyakalayamamaktavefirmalarıtam
olarakkoruyamamaktadır.
KoçSistem’in Uygulama BazlıDDoS hizmeti,
servissağlayıcılarınverdiğihacimselbazlıDDoS
hizmetinin tamamlayıcısı niteliğinde olup
müşteri’nin internetileDMZ veyayerelalan
ağındaçalışantüm internetbağımlıservislerin
kullanılabilirliğinikısıtlayıp çalışmazhaleget-
irmeyi hedefleyen DDoS saldırılarını
hafifletmek/önlemekiçinhafifletmek/önlemekiçinverilenhizmettir.
Dedikeolarak;
Uzak(Uzak(remote)tanbağlantıileverilir.Müşteriveri
merkezi veya lokasyonuna fiziksel olarak
erişilmez.Hizmetkapsamındabuhizmetbildiri-
mineuygunolarakmüşteriyesunmakamacıyla
hizmet için gerekli araçların kurulması,
bağlantılarınkurulmasıvetestedilmesi,rapor-
lamaaraçlarınaentegrasyonusağlanır.
Paylaşımlıolarak;
KKoçSistem’in bulutaltyapısıüzerinden sahip
olduğuyedeklifizikselkaynakhavuzuüzerinden
sağlanır.Bu hizmet,firmaların donanım ve
yazılım yatırımıyapmalarıihtiyacınıortadan
kaldırmaktaoluptüm yatırım vecihazyönetimi
hizmet kapsamında sunulmaktadır. Hizmet
donanım veyazılım seviyesindepaylaşımlıdır.
HizmetHizmetkapsamındasağlananpaylaşımlıDDoS
cihazının bakımları, müşteri için devreye
alınmasıve yönetimiKoçSistem tarafından
gerçekleştirilir. Bu hizmet, KoçSistem veri
merkezindesanalveyafizikselsunucusubulu-
nanve/veyadedikeDDoSyatırımıyapmamış
tümmüşterileresunulmaktadır.
HizmetkapsamındaDDoSsistemininmerkezi
yönetim sistemleriile7x24izlenmesi(online
otomatikalarm mekanizmasıdahil)veproaktif
yönetimisağlanmaktadır.Hizmetkapsamında
müşteriinternetbantgenişliğiölçeğindeDDoS
korumasısağlanır,daha yüksek kapasitedeki
DDoSsaldırılarıiçininternetservissağlayıcıdan
DDoShizmetialınmasıtavsiDDoShizmetialınmasıtavsiyeedilir.
13. “NationalVulnerabilityDatabase”https://goo.gl/ZtmN76
CVE-2017-6972
------------------
TheThe path normalization mechanism in
PathResourceclassinEclipseJetty9.3.xbefore
9.3.9onWindowsallowsremoteattackersto
bypassprotectedresourcerestrictionsandother
securityconstraintsviaaURLwithcertaines-
capedcharacters,relatedtobackslashes.
V3:9.8CRITICALV2:7.5HIGH
Published:April13,2017;10:59:01AM -04:00
Özet:Windowsplatformuüzerindeçalışan9.3.0
dan9.3.8ekadarolanJettyversiyonlarızafiy-
etten etkilenmiştir.Eclipse üzerinde uzaktan
erişimeizinvererekrastgelekodçalıştırımasına
nedenolmaktadır.Buzafiyetteexploitiçinkimlik
doğrulamasınagerekduyulmamaktadır.
Jetty path normalleştirme mekanizması,URL
istekleriniparseederkensorunyaşanmaktadır.
9.3.9versiyonubuzafiyettenetkilenmemektedir.
Detaylıbilgiiçin:
http://dev.eclipse.org/mhonarc/lists/jetty-anno
unce/msg00092.html
CVE-2011-3428
------------------
Bufferoverflow inQuickTimebefore7.7.1for
Windowsallowsremoteattackerstoexecutear-
bitrarycode.
V3:9.8CRITICALV2:7.2HIGH
Published:April24,2017;03:59:00PM -04:00
Özet:Özet:QuickTime'ınRLEdosyalarınınişlenmesi
sırasındabufferoverflowzafiyetinerastlanmıştır.
Kötü amaçlıhazırlanmış bir film dosyasını
görüntülemek,beklenmedikbirşekildeuygu-
lama sonlandırılmasına veya rasgele kod
çalıştırılmasınasebepolabilmektedir.Buzafiyet
herhangibirMacOSXişletimsistemlerinietkile-
memektedir.
Detaylıbilgiiçin:
https://support.apple.com/en-us/HT5016
14. KoçSistem’denResilientYatırımı
SaldırıSaldırıtiplerinin karmaşıklaştığı,saldırganların
iseartıkorganizeçalışmayabaşladıklarısiber
dünyadasaltinsangücündenfaydalanıpmü-
cadeleetmeyeçalışmakimkansızhalegeliyor.
Sürekligelişensaldırıtürleri,güvenlikdünyasını
olaylarıilişkilendirmenin de ötesinde artıkiş
gruplarınıilişkilendirmevesüreçleriotomatize
etmeetmeyemecburbırakıyor.Pekçoğumuzsaldırı
önlemeyiveönlenememişsaldırılarıntespitini
insanyönetimlibilgisayarsistemlerinebırakmış
durumdayız.Pekiolay yönetimive müda-
halesindenedurumdayız?
Olayyönetimisüreçleriniotomatikolarakyürüt-
ebilenveotomatikaksiyonalınabilirhalesokan,
kendideyimiylegüvenliği“orkestre”edenResil-
ient,olayyönetimivemüdahalesinibirservis
olarakdeğilürünolaraksunuyor.Resilientile
çokkarmaşıksüreçleridahirahatlıkladüzenleye-
bilir,ilgilikişi,grupveyateknolojileregörevata
yabilirsiniz.Bununyanındasüreçleriniziregü-
lasyon, yasa ve standartlara göre
tasarlayabileceğiniz bir kütüphaneyi de
içerisindebarındıranResilient,halihazırda10
farklısiberistihbaratservisiveçoğusiberolay
türüiçinhazıraksiyonplanlarısunuyor.SIEM
ürünü bağımsız birşekilde siberolaylarınızı
kkoordineedeceğiniz,ekiplerinveteknolojilerin
düzeniçerisindeçalışmasınısağlayabileceğiniz
platform,tüm güvenlikaltyapınızıtekplatform
üzerindeyönetmenizi,entegreedilmişplatform-
larileSLAsürelerinikısaltarakhemdahagüvenli
hem de daha verimlibir güvenlik süreci
işletmenizeyardımcıoluyor
Resilient’ıdeğerliyapan birdiğeretmen ise
mükemmel tasarlanmış API’ si ve sınırsız
entegrasyonyeteneği.Veritabanınıdilediğiniz
şekilde konfigüre etme imkanıda esnekliği
arttıranbirdiğerdeğer.Süreçlerinizdekullan-
mak üzere istediğiniz gibi veri alanları
oluşturabilir,hepsine API üzerinden erişim
sağlayabilisağlayabilirsiniz.Entegrasyon konusunda ise
verdiğiJava,PythonveC#desteğiile“işineya-
rayacaksaneyaparsanyap”diyenmükemmelbir
yazılım altyapısınasahip.Bualtyapıyıkullanarak
güvenlik duvarı üzerinde bloklama, LDAP
sorguları,antivirüs taramasıtalepleri,cihazı
ağdan ayırma,yenisiberistihbaratservisleri
ekleme,başkabirçağrımasasıileentegrasyon
gibiaklagelebilecekhertürlüaksiyonukodla-
yabilir,aksiyonlarıe-postaonayınabağlıhale
getirebilirve aksiyon sonuçlarınısürecinizin
içerisine dahil edip çeşitli varyasyonları
tamamıyla otomatize edebilirsiniz. Ayrıca
gelişmişraporlamamotoruylaistediğinizverileri
gögörselizeedebilir,busayedeoperasyonlailgili
birçokbilgiyidetekekrandantakipedebilir-
siniz.
Resilient,IBM güvenlikplatformlarıylaentegreçalışabiliyor.
15. Son olarak güncelden örnekleme ile WCry2
salgınıileilgiliResilientilebirliktesürecinasıl
işletebileceğimizegözatalım:
-SIEM ürününüzdeoluşanalarmıkategorisine
veyazafiyettürünegöreResilientüzerineoto-
matikeskaleedebilirsiniz.
-Önceden oluşturmuşolduğunuzplan dahil-
inde,saldırıileilgiliIOC’leri(IPadresi,domain,
hashvb.)SIEMürününüzdenotomatikolarakto-
playabilirvebunlarınsiberistihbaratservisinde
otomatiksorgulamasınıgerçekleştirebilirsiniz.
-BuIOC’lerdenetkilenmişveyaetkilenebilecek
olan cihazların listesini yama yönetimi
uygulamanızıkullanarakotomatikolarakalabil-
irsiniz.
-Enfeksiyonauğramışcihazlarıağdanayırabilir
veyacihazınyöneticisinedurumlailgilibilgile-
ndirmedebulunabilir,enfeksiyonauğramayan
cihazlaraotomatikyamauygulayabilirsiniz.
-TopladığınızIOC’lerilegüvenlikduvarları,IPS’
ler, e-posta güvenlik cihazları, antivirüs
uygulamalarıüzerindeotomatikaksiyonalabilir-
siniz.
-Tüm buişlemlerileilgilianlıkraporlarıinceley-
erekmanuelaksiyonkararlarıdaçıkartabilirsiniz.
YukarıdakiörnekteverildiğigibiResilientilehızlı
veetkilisüreçlerişletebilir,insandeneyimive
bilgisinibilgisayaryetenekleriilebirleştirerek
verimliliğimaksimumseviyelereçıkarabilirsiniz.
Resilientkullanıcılarınafonksiyonelbirolayyönetimi
platformusunuyor.