2014 yılı sistem yöneticileri için kabus, hackerlar için rüya gibi bir yıldı. Geçtiğimiz yıl, Heartbleed, Shellshock, Sandworm, Schannel, POODLE, Drupal SQL enjeksiyonu gibi sıfır-gün ataklarının yanı sıra Dragonfly, Regin, Turla gibi devletlerin sponsor olduğu zararlı yazılım ataklarının adından söz ettirdiği ve Sony, HomeDepot ve Domino's Pizza gibi dev şirketlerin, hatta iCloud üzerinden ünlülerin hacklendiği bir yıl oldu.2014'te 15.000 civarında güvenlik açığı ortaya çıktı, fakat bunlardan sadece %5'inin sömürü kodu var. Peki, bu kadar az istismar kodu varken hackerlar nasıl bu kadar başarılı oluyor? IT departmanlarının korkulu rüyası herkese açık herkese açık istismar kodlarıyla yapılan saldırılar mı, sıfır-gün atakları mı, yoksa zararlı yazılım saldırıları mı? Bu saldırılardan nasıl korunabiliriz? Bütün bu soruların cevaplarını bu sunumda bulacaksınız.

1. 2014: Hackerların Yükselişi
Dr. Süleyman Özarslan
suleyman@picussecurity.com Twitter: @su13ym4n

2. • Kurucu ortak ve Ar-Ge yöneticisi @ PICUS
SECURITY www.picussecurity.com
• Öğretim üyesi @ ODTÜ Enformatik Enstitüsü
Siber Güvenlik Yüksek Lisans Programı
• Siber savunma uzmanı ve eğitmeni @ NATO
SPS Bilim ve Barış için Güvenlik Programı
#whoami

3. • Ransomware
• 16 Milyon e-mail adresinin ele geçirilmesi
• Apple GoToFail Bug
Ocak
–
Mart
2014

4. • Fidye zararlı yazılımları
1. Kurban bilgisayardaki dosyaları şifreler.
2. Sonra dosyaları kurtarmak için fidye ister.
• En ünlüsü: Cryptolocker
• Windows API’deki bir bugı kullanır
Ransomware

5. Cryptolocker
Ransomware

6. Cryptolocker
Ransomware

7. Cryptolocker
Ransomware

8. Cryptolocker
Ransomware

9. • Kullanıcı farkındalığı
• Kullanıcı farkındalığı
• Kullanıcı farkındalığı
• Yedekleme
• Güncelleme
• Antivirüs
Cryptolocker
-­‐
Önlemler

10. • Ransomware
• Hacklenen 16 Milyon e-posta
• Apple GoToFail Bug
Ocak
–
Mart
2014

11. • Duyuruyu yapan: Alman Bilgi Güvenliği
Kurumu (BSI)
• 16 milyon kullanıcı adı ve şifre ele
geçirilmiş.
• Alman nüfusunun 1/5 ‘i
• Yöntem: Antivirüslere yakalanmayan
küçük zararlı yazılımlar.
Hacklenen
16
Milyon
E-­‐posta

12. • Ransomware
• Hacklenen 16 Milyon e-posta
• Apple GoToFail Bug
Ocak
–
Mart
2014

13. sslKeyExchange.c:
hashOut.data = hashes + SSL_MD5_DIGEST_LEN;
hashOut.length = SSL_SHA1_DIGEST_LEN;
if ((err = SSLFreeBuffer(&hashCtx)) != 0)
goto fail;
if ((err = ReadyHash(&SSLHashSHA1, &hashCtx)) != 0)
goto fail;
if ((err = SSLHashSHA1.update(&hashCtx, &clientRandom)) != 0)
goto fail;
if ((err = SSLHashSHA1.update(&hashCtx, &serverRandom)) != 0)
goto fail;
if ((err = SSLHashSHA1.update(&hashCtx, &signedParams)) != 0)
goto fail;
goto fail; /* WTF J */
if ((err = SSLHashSHA1.final(&hashCtx, &hashOut)) != 0)
goto fail;
err = sslRawVerify(...);

14. • Heartbleed
Nisan–
Haziran
2014

15. • OpenSSL kriptografi kütüphanesinde ortaya
çıkan bir bug
• 2 yıldan uzun bir süre hackerlar tarafından
çaktırmadan kullanılmış
• OpenSSL kullanan sunucuların hafızasından
parola, private key vb. bilgilerin elde edilmesi
• SSL kullanan sunucuların %17’sini etkilemiş
• Örnek etki: 4.5 Milyon hasta verisinin çalınması
Heartbleed

16. • Shellshock
• Apple cloud hack
• 5 milyon Gmail hesabı
• 2014 FIFA Dünya Kupası Brezilya
Temmuz
–
Eylül
2014

17. • Etkilenen sistemler: Linux, Unix, Mac OS X
• Common Gateway Interface (CGI) kullanan
websiteleri bir anda hacklenebilir hale geldi
• CGI aracılığıyla The Bourne Again Shell (Bash)
üzerinde komut çalıştırmak mümkün hale geldi
ShellShock
(Bash
Bug)

18. • Heartbleed açığı Poodle açığını döver J
• Poodle’da atak yapan kişinin man-in-the-middle
yapması zorunlu
• Herkese açık Wi-Fi noktaları
Heartbleed
vs
Shellshock

19. • Shellshock
• Apple cloud hack
• 5 milyon Gmail hesabı
• 2014 FIFA Dünya Kupası Brezilya
Temmuz
–
Eylül
2014

20. • Apple Cloud Hack – Giyinik olmayan ünlüler J
• Bir sonraki slide’da örnek fotoğraflar var
• Telefondan 3 kere yanlış parola girilmesi =
hesabın kilitlenmesi
• API üzerinden binlerce parola deneme = ?
Apple
Cloud
Hack

21. • Shellshock
• Apple cloud hack
• 5 milyon Gmail hesabı
• 2014 FIFA Dünya Kupası Brezilya
Temmuz
–
Eylül
2014

22. • 5 milyon Gmail kullanıcı adı ve parolası
sızdırıldı.
• Peki Gmail gerçekten hackendi mi?
5
Milyon
Gmail
Hesabı

23. • Shellshock
• Apple cloud hack
• 5 milyon Gmail hesabı
• 2014 FIFA Dünya Kupası Brezilya
Temmuz
–
Eylül
2014

24. FotoğraTaki
yanlış
nerede?

25. Bu
Bir
İlk
Değil
J

26. • Kerberos
• Sandworm
• Poodle
• Drupal 7
• Sony
Ekim
–
Aralık
2014

27. • Bütün Microsoft Windows sürümlerini etkiledi
• Yetkisiz bir domain kullanıcısının yetkilerini
Domain Administrator yetkilerine yükseltmesine
olanak sağlar.
• Bu haklara sahip olan bir kullanıcı Domain
Controller’lar dahil, Domain’de bulunan bütün
bilgisayarlara erişebilir.
Kerberos
KDC
Açığı

28. • Kerberos
• Sandworm
• Poodle
• Drupal 7
• Sony
Ekim
–
Aralık
2014

29. • Microsoft Windows versiyonlarının tamamını
etkiledi
• Microsoft’un bit dosya içerisine başka bir dosya
gömülmesine izin veren OLE (Object Linking
and Embedding) teknolojisindeki bir açık
• Örnek: Bir Word dökümanının içerisine bit Excel
dosyası gömmek
• Önşart: Bir kullanıcının özel olarak hazırlanmış
bir dosyaya tıklamasını sağlamak
Sandworm

30. • Kerberos
• Sandworm
• Poodle
• Drupal 7
• Sony
Ekim
–
Aralık
2014

31. • Google tarafından Ekim ayında tespit edildi
• SSL 3.0 kullanan sunucular etkilendi.
• Ortadaki adam saldırısı (MiTM – man in the
middle) ile güvenli HTTP çerezleri (cookie) ele
geçirilebiliyor.
• Böylece saldırgan kurbanın çerezlerini çalıp
internetteki hesaplarını ele geçirebiliyor.
• En az Heartbleed kadar önemli (mi?)
Poodle

32. • Heartbleed açığı Poodle açığını döver J
• Poodle’da atak yapan kişinin man-in-the-middle
yapması zorunlu
• Herkese açık Wi-Fi noktaları
Poodle
vs.
Hearbleed

33. • Parolasız
• Bedava
• Güvenlik ?
Herkese
Açık
Wi-­‐Fi

34. • Kerberos
• Sandworm
• Poodle
• Drupal 7
• Sony
Ekim
–
Aralık
2014

35. • Drupal 7 Pre-auth SQLi
• SQL enjeksiyonu kullanarak açığın bulunduğu
websitesinde Admin haklarına sahip olmaya izin
veriyor.
Drupal
7
Pre-­‐auth
SQLi

36. • Kerberos
• Sandworm
• Poodle
• Drupal 7
• Sony
Ekim
–
Aralık
2014

39. Sony
Pictures
Hack
-­‐
Kasım

40. Sony
Pictures
Hack
-­‐
Kasım

41. Sony
Pictures
Hack
-­‐
Kasım

42. • Regin
• Turla
• Energetic Bear
• Careto
• Cloud Atlas
• NetTraveller
• Operation Cleaver
2014
–
APT
yılı

43. Süleyman
Özarslan
suleyman@picussecurity.com
@su13ym4n