ݺߣ

ݺߣShare a Scribd company logo

KocSistem | SOC Aylik Bulten Subat 2017

KocSistem_
KocSistem_

Güvenlik Yönetilen Hizmetler olarak Nisan 2014’ten beri faaliyet gösterdiğimiz SOC ekibimizin sahipliğinde aylık güvenlik bültenimiz.

1 of 14
Download to read offline
KoçSistemIDC2017 BTGüvenliğiKonferansı‘ndaydı! NO.17•Şubat2017 Editör:ÖzgeÇELİK KoçSistemSecurityOperationCenter www.kocsistem.com.tr/guvenlik-hizmetleri SiberSaldırganlar40 ÜlkedeŞirketlereSızdı TekrarGüncellendi: GootKitZARARLISI KüreselYükDengeleme YönetimHizmeti KRİTİKAÇIKLAR OCAKAYINAAİT SAVAŞINYENİ BOYUTU SİBER
Soğuksavaşınsürdüğü1957yılındaSSCB'nin (SovyetSosyalistCumhuriyetlerBirliği)yani günümüzün RusyaFederasyonu,Sputnikadlı uyduyu uzaya gönderdi.ABD gerek uzay çalışmalarındageriyedüştüğünüdüşünerek,ge- rekseSSCB’dengelebileceknükleersaldırılara karşıbağışıklıkoluşturmakamacıylabiriletişim ağıağıoluşturmakistedi.Soğuksavaşprojesiolan buağ,akademikçalışmalarladesteklenipgünü- müzdekiinternetioluşturdu [SMITSHONIAN]. Savaşprojesiolarakoluşturulanbuağaynıza- manda modern savaşların yenibirboyutta yapılmasınadasebepolmuşveartıksiberortam kara,deniz,havaveuzaydansonra5.savaşalanı olarakbelirlendi. AmerikanSavunmaBakanlığıtarafındanyapılan açıklamadainternet;telekomünikasyonağlarıve bilgisayarsistemlerinideiçinealan,birbirine bağlıbilgiteknolojilerialtyapılarının olduğu küreselbiralan”olaraktanımlanmıştır.Diğerbir tanımlamadaiseşuşekildeydi;“insanlarınbilgi- sayarlar ve telekomünikasyon sistemleri aracılığıylaaracılığıyla herhangibir coğrafisınırlamaya maruzkalmadantamamenbirbirinebağlıolma durumudur.”[Hildreth]Sibersavaşise,siber uzayıveiçindekivarlıklarıkorumakiçinyürü- tülenharekâtlarıngenelineverilenisimdir.Siber saldırıgirişimlerinedüşman olarakbelirlenen hedefe saldırıda bulunmak,karşı savunma yapmayapmak,hedeftekisiberuzaydaistihbaratve- rileri toplamak siber savaş faaliyetlerini oluşturmaktadır.Sibersavaşlarınanahedefiül- kelerin güvenlik, sağlık, enerji, ulaşım, haberleşme,su,bankacılık,kamuhizmetlerigibi kritiksektörlerininbilgisistemaltyapılarıdır. BirsibertehdittürüolanAPT(AdvancedPersis- tentThreat)kavramı;çok gelişmişteknikler kullanılarak tasarlanmış, sistemden kendini gizleyerekveolabildiğincesistem üzerindeka- laraksistemdenbilgisızdırma,sistemdecasus- lukfaaliyetleridüzenlemeyadasistemezarar verme amacını taşıyan, hedefi net olarak belirlenmiş tehdittürü olarak tanımlanabilir. Genellikledevletlerinkritikaltyapılarınıhedefle- mektedir. Sibersavaşlardaneleryapılabileceğinegelirsek; havavekaratrafiğininsinyalizasyonsistemleri değiştirilebilir,barajlarınınkapaklarıaçılabilir,su dağıtımsistemlerikapatılabilir,nükleersantraller hedefalınarakçalışmasıengellenebilir,finans sektörü durdurulabilir ve benzeri siber saldırılarlaülkehalkınsilahsızbirşekildekaosa gigirmesisağlanabilir.Ayrıcadevletlereaitgizli bilgiler,istihbaratbirimlerivecasuslarkullan- madan çalınabilmektedir. Geçmiş yıllarda gerçekleşmişolan sibersavaşlardan örnekler aşağıdayeralmaktadır: ÇölFırtınasıOperasyonu(1991):KörfezSavaşı sırasında Hollandalı bilgisayar korsanları tarafından Pentagon bilgisayar sistemine sızılmış,askeripersonelbilgilerigibigizliolma- yantasnifdışıverilerelegeçirilmiştir. AyışığıLabirenti(1998):Pentagon,NASA ve ABDEnerjiBakanlığı,askerikurumlarveüniver- sitelerMart1998’deAyIşığıLabirentiolarakni- telendirilenbirsibersaldırıyauğramıştır.Buku- rumlardakiaskerigizlibilgilerçalınmıştır.Ameri- kan istihbaratyetkilileritarafından bu siber
2008'de Gürcistan'a savaş açtı. Bu savaş başlamadanöncesibersavaşzatenbaşlamıştı. Saldırılar,20Temmuz2008tarihindeGürcistan DevletBaşkanıMihailSaakaşvili’nin internet sitesiolanwww.president.gov.geadresinihedef aldı.BusaldırılarınbaşınıçekenDDoSsaldırıları idi.AskeriharekâtınbaşladığıtarihteiseGür- cistancistaninternetsitelerineyöneliksaldırılarartmış, birçoksiteyeerişim engellenmişvebazısite içeriklerideğiştirilmişti.Bueylemlerhiçbirfizik- selzararvermedi.Ancakbusaldırılarçatışmanın çokkritikbiraşamasındaGürcistanhükümetini zayıfdüşürmeyeyöneliksibersaldırılardı.Ayrıca hükümetinşaşkınadönenulusalveküreselka muoyu ile iletişim yeteneğinide etkilediler. Dünya kamuoyu psikolojik olarak etkilenmiş, Gürcistan’ayöneliksaldırılarınhaklıolduğuna yönelikbirimajoluşturulmayaçalışılmıştır. Kırgızistan(2009):2009yılınınbaşlarındaABD, Kırgızistan’dabirüskurmakiçingirişimlerdebu- lundu. Bu girişimin hemen sonrasında Kırgızistan’ın dört ISP’si (İnternet servis sağlayıcısı)sibersaldırılaramaruzkalarakbatı Kırgızistan’ın%80’inebellibirsüreinternethiz- meti verilememesine sebep olmuştur. Saldırılarınüskurulmasınailişkinmüzakerelerin hemen ardından gelmesi,şüphelerin Rusya üzerineyoğunlaşmasınasebepolmuştur. 2010yılıveöncesindekisibersaldırılardagenel- liklehedeflenensistemleriDDoSsaldırılarıile ulaşılamazhalegetirme,provokasyonyapmak vehalkıyanıltmakamacıylawebsitesiiçeriği değiştirmeveyabaşkasiteyeyönlendirmeyada istenmeyene-postagöndermegibiçeşitliyön- casusluğun arkasında Rusya’nın olduğu belirtilmiştir. NATOKosovakrizi(1999):Kosovakrizisırasında NATO uçaklarının kazara Çin büyükelçiliğini vurmasıileÇinkızılhackerittifakıoluşturulmuş ve NATO, ABD askeri web sitelerine saldırmışlardır. EsEstonyaSiberSavaşı(2007):İkinciDünyaSavaşı sırasındaEstonya,SovyetlerBirliğiilebirlikte, Almanya’yakarşısavaşmıştı.Savaşsonaerince BronzAskerAnıtıdikildi.Buheykel,Estonya’nın NaziistilasındankorunmasıamacıylaSovyetler Birliği’nin verdiğimücadeleyisembolize edi- yordu.26Nisan2007’deEstonya,BronzAsker HeyHeykeli'niyerinden kaldırdı.Birgün sonra heykelinkaldırılmasıRusyatarafındankınandı. Dahasonraiseülkedeayaklanmalarçıktı.Rusya yanlısıgöstericiler ülkenin çeşitliyerlerinde gösterileryapmayabaşladı.Özelliklebaşkent Tallinn’de ayaklanmalar ve yağmalamalar başladı.27-29 Nisan 2007 tarihleriarasında devletindevletininternetsayfalarıelegeçirildi;ufakçaplı DDoS saldırıları başladı; ulusal e-posta sunucularına ve haber portallerine spam saldırılarıdüzenlendi.Dördüncü günden iti- baren,özellikle 30 Nisan-18 Mayıs tarihleri arasındadahaorganizesaldırılaryapıldı.Ulusal bilgisistemleri,internethizmetsağlayıcılarıve bankalarabüyükzararlarverensaldırılaroldu. GürcistanSiberSavaş(2008):Gürcükuvvetler,8 Ağustos2008tarihindebağımsızlığınıilaneden GüneyOsetyatopraklarınaoperasyondüzenle- diler.Rusyadabuolayınardından11Ağustos
temlerkullanılırdı.Bahsedilensibertehditlerden dahatehlikelisonuçlardoğurabileceksistemlere fizikizararlarverebilecekveilerisibercasusluk tehditlerininkullanıldığızararlıyazılımlarortaya çıktı. Stuxnet,Duqu,Flame,Gauss 20102010yılıveöncesindekisibersaldırılardagenel- likleservisdışıbırakma,spam mailgönderme, web sitesiiçeriğideğiştirme/yönlendirme ile provokasyonyapmavehalkıyanıltmaamacıyla saldırılarkullanılırdı.Butehditlerdendahateh- likelisonuçlardoğurabilecekveilerisibercasus- luktehditlerininkullanılaraksistemleregerçek hasarverebilecekzararlıyazılımlarortayaçıktı. Özellikle endüstriyelsistemlergibikritik alt yapılarıhedefalanzararlıyazılımlarİran’ıniddia edilen nükleerfaaliyetlerinidurdurma/kontrol altınafaaliyetlerinin hemen arkasından geldi. Sibercasusluk,istihbaratve sibersabotajiçin oluşturulmuşbuyazılımlarçokbüyükbütçeler, devletdevletdesteğiile organize çalışılarak hedef olarakbelirlenmişsistemlereyönelikyazılıyordu. Endüstriyelsistemleriyönetmekiçinkullanılan sistemlerSupervisoryControlandDataAcqus- tionkelimelerinbaşharflerindenoluşanSCADA terimi ileTürkçede“MerkeziDenetim veVeri Toplama”olarakkarşılıkbulmaktadır. SCADAsistemigenişalanayayılmışüretim te- sislerin birmerkezden bilgisayararacılığıile izlenmesivekumandasıolaraktanımlanabilir. SCADAsistemleri,birçokalandafaaliyetgöster- mektedir.Su,elektrik,doğalgaz,petrolrafine- riler,termikvenükleersantraller,enerjinakil hatları,uydukontrolmerkezleri,köprü,otoyol, sanayitesislerinekadarhayatıntüm alanlarında çokönemliişlevleresahiptir. 20062006yılındaAmerikanaskeriveistihbaratyet- kililerigizlibirsibersavaşprogramıhazırladılar. Bu programın amacı İran'ın uranyum zenginleştirmeprogramınıdurdurmaktı.Kodadı "OlimpiyatOyunları"olanbuprogramileAmeri- kan ulusallaboratuvarlarında İran’ın Natanz kentindekivarolannükleersantrallerininsanal birkopyasıçıkartıldı. AmerikanNSAveİsrail UNIT8200adlıistihbaratkurumlarınınberaber çalışarakhazırlandıklarıprojeileoanakadar görülmüş en karmaşık zararlı yazılım oluşturuldu.2010yılındayaklaşık1000santrifüj, kibusayıİran’dakiçalışırdurumdaolansantrifüj sayısının1/5'inedenkgelmektedir,hedefalınıp donanımlarıdonanımlarıçalışılamaz hale getirildiğiiddia edilmektedir. Stuxnetilkdefahaziranayınınortalarındaanti virüsüreticileriarasındaçokdapopülerolmayan BelarusmenşeliküçükbirfirmaolanVirusBlok- Ada[VIRUSBLOKADA]tarafındantespitedildi. İlk incelemelervirüsün standartbirsolucan olmadığınızatengösteriyordu.Fakatstuxnet’in teknikanaliziyapılırkenişinboyutufarklınokta- laralara geldi.Özellikle solucanın çok karmaşık yapısı,kullandığıtaktiklervehedefigözönüne alınınca,sibersavaşadıaltındayıllarcadillen- dirilensenaryolarınaslındaçokdagerçekdışı olmadığı ortaya çıktı. Stuxnet zararlı yazılımından yaklaşık 130.000 bilgisayarın etkilendiğibelirtilmektedir.Ayrıcadünyaüze- rinde Stuxnet bulaşan bilgisayarların %60'ı İran’dayeralmaktadır.[OLYMPICGAMES]
faaliyetgösterendiğerfaaliyetvekuruluşlarda daartışolmuştur. ZURICHZURICH Grubu’nunheryılgerçekleştirdiğive hem kişilerihem deişdünyasınıetkileyecek riskleriaraştıran “2017 KüreselRisk Raporu” açıklandı.Heryılyapılan araştırma,sadece risklerianalizetmeklekalmıyor,10yıllıksüreçte küreselgündemibelirleyecekenönemlitrendler ile bu trendlerin küresel risklerle olan bağlantılarınıbağlantılarınıdaortayakoyuyor.KüreselRisk Raporu’nagörede2017içinenbüyükriskler grubundaterördensonrasibersaldırılarikinci sırada yer alıyor. Küresel Risk Raporu’nu değerlendiren Zurich Türkiye CEO’su Yılmaz Yıldız,dikkatçekensiberriskleriçin“Türkiye, geçtiğimiz5-10yıllıkdönemdedijitalleşmede çokçokönemlimesafelerkatetti.Bireylerinyaklaşık yarısıbilgisayarsahibi.Ceptelefonukullanım oranıyüzde97,interneterişimiyüzde70’lerse- viyesinde.İnternetbankacılığıkullanımı45mil- yonlarseviyesinde.E-ticaretebaktığınızda6 milyardolardan büyük birpiyasa olduğunu görüyoruz.Siberkorsanların kimlikbilgilerini, telefonunuzdan banka şifrelerini herşeyi çalmalarımümkün.Türkiye’de siberrisklerle mücadelekonusundahemkamuotoritelerihem deözelsektöryoğunbirçabaiçerisinde.Bizde bualandakiyaratıcıürünlerimizlesiberrisklerin azaltılmasınakatkısağlıyoruz.Özelliklebirey- lerdengelentalepdeçokfazla.Bireyselkullanıcı iseniz siber dolandırıcılara karşı çok korumazsınız.”ifadelerineyerverdi. TürkiyeİçişleriBakanlığı’nınhazırladığıJandar- maİstihbaratraporuda‘sibersavaşın’boyutunu Stuxnet’inkeşfindenbirsenesonraDuquadı verilenyenibirzararlıyazılım dahakeşfedildi. Endüstriyelsistemlerhakkındabilgitoplamak içinoluşturulanbuzararlıyazılım muhtemelen Stuxnetöncesiistihbaratsağlamak amacıyla oluşturulmuştur.BöyleceStuxnet’indahaetkin çalışmasısağlanmıştır. BiBirersenearalıklarlatespitedilensibersilahlara biryenisidahaeklenmişti:Flameenbüyüken karmaşıksibercasuslukyazılımıolarakortaya çıkanbuyazılım senelercesiberortamdabilgi toplarkenkendisinidevamlıgüncellemesiilean- tivirüs tarayıcıları tarafından tespit edilememiştir.2012 yılındatespitedildiğinde diğerdiğer zararlıyazılımların aksine çok büyük (20MBboyutunda)olmasıvemodülerolması diğerzararlıyazılımlardankendisiniayırıyordu. Stuxnet ve duqu örneklerinde olduğu gibi geliştiricileri tarafından dahi bilinmeyen açıklıkları kullanarak uzun süre faaliyet göstermiştir. 2012yılındaçıkanyenisibersilahlardanbiriside Gauss’tu.Buzararlıyazılım yineOrtadoğu’yu hedefalmışfakatbuseferendüstriyelkontrol sistemleriyerinefinansalbilgilerihedefalıyordu. Rusya’nın,Rusya’nın,ABD’nin veÇin’in güçlü istihbarat ağınaveyükseksiberyetenekleresahipolması, başka devletler üzerinde siber tehdit oluşturmaktadır.Dolayısıylasibertehditlerve sibergüvenlikbütünülkeleriçinönemligüvenlik unsurlarınınbaşındagelmektedir.Ülkemizdede 2009 yılında sibergüvenlik stratejisiolarak hazırlananhazırlananilkresmibelgedensonrabualanda
ortaya koydu.Rapora göre 2016‘nın ikinci yarısından itibaren Jandarma’yayöneliksiber saldırılaryüzde 965 arttı.Yurtdışından gelen saldırılardadayüzde984artışoldu.Yapılanbu saldırılar,JandarmaGenelKomutanlığınınMu- habereElektronikveBilgiSistemleri(MEBS)bir- imlerivesistemlerinceengellendi. McAfeeLabs’in2017tahminlerinegöre,yeni yılda siber suçlular fidye yazılımı,sofistike donanım ve donanım yazılımısaldırılarıve Nesnelerinİnternetiile“akıllıev”sistemlerine yöneliksaldırılarkonularınaodaklanacak.Sosyal mühendislik saldırılarını geliştirmek üzere makineöğrenimininkullanımıartacak.Bununla birlibirliktesibergüvenliksektörüilekanunkoyucu- lararasındakiişbirliğigüçlenecek. 2017’ninöneçıkansibertehditöngörüleriise şunlar: –Fidye yazılımısaldırıları2017 yılının ikinci yarısındahemhacimhemdeetkinlikanlamında düşüşgösterecek. –Windowsodaklı‘exploit’tehditlerinsayısıazal- mayadevam edecekancakaltyapıyazılımıve sanallaştırma yazılımınıhedef alan ‘exploit’ saldırılarındaartışbeklenecek. –Donanım vedonanım yazılımı,sibersuçluların radarındayeralmayadevamedecek. –Laptop üzerinden çalışan yazılım kullanan hacker’lar,pekçokfarklıamaçladronekaçırma eylemlerigerçekleştirecek. –Siberhırsızlarmobilcihazkilitlerinihedefalan mobilsaldırılarlabilgihırsızlığıgerçekleştirecek vebankahesaplarıvekredikartıgibifinansal bilgilerieldeedebilecek. –Nesnelerinİnternetiodaklızararlıyazılımlar, akıllıev sistemlerine sızacak ve bu alanın güvenliğigözardıedilirsevarlıklarıyıllarcafark edilmeyebilecek. –Makine öğrenimi, sosyal mühendislik saldırılarınınhem sayılarınınartmasınıhem de dahasofistikehalegelmelerinisağlayacak. ––Sahte reklamlarve satın alınan “beğeni”ler nedeniyledijitaldünyadagüvenhızlaazalmaya devamedecek. –Reklam verenlerarasındakireklam savaşları şiddetlenecekveyenitekniklergeliştirilecek,bu tekniklerikopyalayansibersuçlulardazararlı yazılımdağıtımkabiliyetlerinigüçlendirecek. ––Politikyadasosyalamaçlıhack’lemeeylemle- rindebulunanlar,kişiselgizlilikleilgilikonuları açığaçıkarmadaönemlibirroloynayacak. –Sibergüvenlikendüstrisiilekanunkoyucular arasındakigüçlenenişbirliğisayesindeartan uygulamalarlasibersuçlarınönünegeçilmede önemlibiradımatılacak. ––Tehditlerleilgilibilgiveistihbaratpaylaşımı,bu alanda pozitif gelişmeler yaşanmasını sağlayacak. –Sibercasusluk,ulus-devletlerdeolduğugibi özelsektörve yeraltısuç dünyasında da yaygınlaşacak. ––Fizikselvesibergüvenlikendüstrilerindeyer alan kurumlar dijitaltehditlere karşıdaha gelişmişürünlersunmaküzerebirliktehareket etmeyebaşlayacak. NNATO’dasibergüvenlikelçisiolarakgörevyapan Kenneth Geers, 2017’de siber savaşların hızlanacağını,psikolojikoperasyonlardönemi başlayacağını,askerianlamda,özelliklesosyal
analizinin,siberalandasaklanmayıherkesiçin güçhalegetireceğinisöyledi. KültüKültüreldönüşüm süreciile birlikte,bilgive iletişimteknolojilerinietkinveyaygınbirşekilde kullananmilyarlarcainternetkullanıcısıbulun- maktavegündemilyarlarcae-postagönder- ilmektedir.Yapılanaraştırmalaragöre2020yılına gelindiğindeinternetebağlıcihazseviyesinin50 milyara çıkması öngörülmektedir. Aynı araştırmalaragöre;2020yılındadünyadakişi başına düşen birbirleriyle bağlantılı cihaz oranınınyüzde6,48’eçıkmasıbekleniyor.Ayrıca 2020yılında,20adettipikevcihazınınüreteceği bilgitrafiğinin,günümüzdeüretilentüminternet trafiğindendahafazlaolacağıtahminedilmek- tedir. İnternetşuandabiledörtbiryanımızda.Yıllardır arabalarınbilgisayarlarıvardı,şimdideinternete bağlanıyorlar.Sıradaevlervar.Buzdolabı,derin dondurucu ve çamaşır makinesi çevrimiçi çalışacak. En büyük atılım makinelerle bütünleşipinternetinağınatam düştüğümüzde gerçekleşecek.Buduruma"tekillik"deniyor.Yani bibiyolojiveteknolojininbirleşmesiyleinsanve makinenin bir bütün olması. Tekillik düşüncesininenünlüsavunucusuGoogle'ınfi- nanseettiğiSingularity(Tekillik)Üniversitesirek- törü,yapayzekâvebilgisayaruzmanıRayKurz- weil.Kurzweil2029'akadarbilgisayarlarıninsan- lardandahaakıllıolacağınainanıyor.Doktorlar bugün bezelye kadar aygıtları Parkinson hastalarının beyinlerine yerleştirebiliyorlarsa, (Kurzweil'e göre)20 yılsonra elimizde kan hücresiboyutundaaygıtlarınolmasımümkün medya platformlarına odaklanan yeni bir psikolojik operasyonlar (PSİKOP) dönemi başlayacağınısöyledi.Otoriterrejimleyönetilen birülkede,hattabelkiRusya,Çin,İranyada Kuzey Kore’de,internetin getirdiğihızlıbir devrim yaşanacağı, internetin muhalif vatandaşlarınelindeçokbüyükgüçolduğunuve bubugücün dinamik,tahminedilmesigüçbir siyasiortamınoluşmasınayolaçacağıüzerinde durdu. Budurumunotokratikrejimlerininternetüzeri- ndebüyükbirbaskıkurmalarınasebepolacağını vebudurumundakısavadede,tümvatandaşlar içinvahim sonuçlardoğuracağınıbelirtti.Gel- ecekseçimlerin,e-devlethizmetlerininvedijital toplumu koruma yöntemlerinin 2017’de çok tartışılacağı,sibersilahkontrolüneyönelikilk gerçek girişimlere şahit olunacağıüzerinde duranGeers,dünyanınbüyükbirhızlaSanal Gerçeklik(SG)dünyasınadönüşeceğivesuç,ca- susluk,devrim vesavaşların,buyenidünyada varolmayadevam edeceğinibelirtti.Siberalan- dakibarışortamının,internetüzerindehâkimiy- etkurma isteğiyüzünden süreklibirsavaş ortamışeklindeseyredeceğinivebudurumun, kritik ulusalaltyapılardakiinternetgüvenliği açısındanolumsuzsonuçlardoğuracağınısöyle- di.Geers,ABD’deNesnelerinİnternetiüzerinden yapılan siber saldırılara da dikkat çekerek, uluslararasıaskeribilgiveistihbarathacker’ları için patlama merkezihaline geleceğini,tost makinelerive mikrodalgafırınların,yaygın kullanılancasuslukaraçlarıolacağınıdilegetirdi. Her yere sirayet eden,nesneleri birbirine bağlayannesnelerininternetivestratejiktrafik
gibi.Gelecekteinsanverobotkarışımısibernetik organizmalara dönüşmemiz mümkün.Niha- yetindebizinternetinbirparçasınadönüşeceğiz, internetdebize. Kaynaklar [SMITSHONIAN] https://goo.gl/l7gC6c [HILDRETH] HildHildreth,S.A.(2001),"CyberwarfareCongres- sionalResearchServiceReportforCongress", CongressionalResearchService&TheLibrary [INTIFADA] C.16,S.2 Yrd.Doc.Dr.Muharrem GURKAYNAK, Adem AliIREN -ReelDunyadaSanalAcmaz: SiberAlandaUluslararasıIlişkiler [VIRUSBLOKADA] https://goo.gl/WNJq4W [OLYMPICGAMES] https://goo.gl/vnE45y https://goo.gl/vlcCv2 https://goo.gl/7ZismK https://goo.gl/jCQP38 https://goo.gl/iUCeh1https://goo.gl/iUCeh1 https://goo.gl/8x5YDe https://goo.gl/ChkhE2 https://goo.gl/QdKQgl https://goo.gl/Okiatf https://goo.gl/IPLHgs
Kaynak:[DHA]https://goo.gl/vCc9kt dor,Kenya,BirleşikKrallıkveRusya’dabulunu- yor.Saldırganlarınkimliğihenüzbilinmesede baş şüphelilerolarak GCMAN ve Carbanak gruplarınınisimlerianılıyor.Açıkkaynaklıkötü niyetlikodlar,her gün kullanılan Windows uygulamalarıvetanınmayanalanadlarısebe- biylesorumlularınbulunmasıveyayapılanlartek birbirgrubunyoksaaynıaraçlarıkullananbirden fazlagrubunişiolup olmadığınınanlaşılması neredeyseimkansız.Kullanılanaraçlarsaldırılar hakkındadetaylıbilgiedinilmesinizorlaştırıyor. Normalbir süreçte araştırmacılar bir olay sonrasındasaldırganlarınağdabıraktıklarıizleri takipederler,ancakbirsabitsürücüdekiveriler aylaaylarcaerişilebilirkalsada,bellektekalanizler bilgisayarınyenidenbaşlatılmasıylabirliktesilinir fakatsözkonusuolaydauzmanlarınbusefer zamanında yetişebilmiş olmaları yapılan saldırıların ölçeğinin anlaşılmasına yardımcı oldu.KasperskyLabBaşGüvenlikAraştırmacısı SergeyGolovanov,saldırganların,faaliyetlerini saklamaksaklamak ve olaylara müdahale edilmesini zorlaştırmakkonusundakikararlılığının,adliin- celemelerizorlaştıran benzeritekniklere ve bellek odaklızararlıyazılımlara olan eğilimi açıklarnitelikteolduklarınısöylediveekledi: ”Bu sebeplebellekodaklıadlibilişim,zararlı yazılımların ve işlevlerinin analizikonusunda kritikönem kazanmaktadır.Sözkonusuolay- lardasaldırganlaraklagelebilecekhertürlüadli inceleme karşıtıtekniğikullanmışlar;zararlı yazılım kullanmadan bir ağdan başarılıbir şekilde nasılverisızdırılabileceğinive meşru vveyaaçıkkaynaklıuygulamalaryardımıylakim- liklerini başarıyla saklayabildiklerini göstermişlerdir.” Küreselsibergüvenlik şirketiKaspersky Lab uzmanlarısadecemeşruyazılımlarkullanan,bir dizi hedefli “görünmez” saldırı tespit etti. Saldırılar,karışıkbiryaklaşım sayesindebeyaz listelemeteknolojilerindenfaydalanaraktespit edilemiyorve adliaraştırmacılariçin geride neredeysehiçbirizveyazararlıyazılım örneği bırakmıbırakmıyor.Saldırganlarsadeceistedikleribilgiyi eldeetmelerineyetecekkadarbirsüresistemde kalıyor. Sistem yeniden başlatıldığında ise arkalarındabıraktıklarıtümizlersiliniyor. MeşhurGCMAN veCarbanakgruplarınınbaş şüphelilerolduğusaldırılardaönceliklihedefler arasında ABD,Güney Amerika,Avrupa ve Afrika’dakibankalar,telekomünikasyonşirketleri vedevletkurumlarıyeralıyordu.2016’nınso- nundaBDTülkelerindekibirçokbankaKaspersky Lab uzmanlarıyla irtibata geçerek, orada olmamasıolmamasıgerektiğibirzamandasunucularının belleklerinde,Meterpreteradlıpenetrasyontesti yazılımını bulduklarını bildirdiler. Kaspersky Lab’ın incelemeleri sonucunda Meterpreter yazılımının,diğerbazıyardımcıuygulamalarla birleştirildiğikeşfedildi.Birleştirilenbuaraçların, bellekte gizlenerek sistem yöneticilerinin şifşifrelerinitoplayan ve böylece saldırganlara kurbanlarının sistemlerini uzaktan kontrol imkanısağlayanzararlıkodlaraadapteedilmiş olduğuvefinansalişlemlereerişim sağlamayı hedeflediği ortaya çıktı. Kaspersky Lab tarafındanortayaçıkarılantabloyagöre,çeşitli sektörlerde faaliyetgösteren 140’ın üzerinde büyükbüyükölçeklikuruluşunağlarısaldırıyauğramış ve aralarında Türkiye’den şirketlerin de bulunduğukurbanlarınçoğuABD,Fransa,Ekva-
IBM Trusteeraraştırmacılarıtarafındanyapılan bildirimlerdeGootKitv2’ninyeniyapılankon- figürasyongüncellemeriyleUkiçerisindeki21 bankadakikişiselmüşterilerihedefaldığıgörü- lüyor.Malware’inönümüzdekigünlerdedaha farklıbölgelerevekullanım alanlarınasıçraması bekleniyor. YeniEklenenler GootKitiçinyapılangüncellemeincelendiğinde malware’indetectionsistemlerinigeçmekiçin deploymentakışınındeğiştirildiğigörülmüştür. AyrıcaPersistanceSetupvebinarydosyalarının dadeğiştirildiğigörülmüştür. ••Deploymentsafhasında GootKitsuspended stateolarakmstsc.exeprocess’ibaşlatıyor. •Daha sonra droppee’yi %APPDATA%MicrosoftInternet Explorer altındaexecutable(.exe)olarakyazıyor. •OSGroupPolicymekanizmasıleverageedi- lerekpersistancesağlanıyor. •GootKit,ScheduledTaskkullanaraketkilenen cihazdakalıcılığınıdevam ettiriyor.Butaskher dakikaçalışmaküzeredevamediyor. GootKitHakkında 20142014 yazındakeşfedilen GootKitgünümüzde kullanılanengelişmişbankacılıkTrojanlarından birisiolaraknitelendiriliyor.GenellikleAvrupa’da varlıkgösteriyor,kişiselveşirketbankacılığında fraudsaldırılardakullanılıyor. GootKitGootKithalendevam etmekteolanbirmalware projesiolmakla birlikte gelişmiş gizlilik ve süreklilikgöstermeninyanındaetkilenencihazın browserındadirektolarakgörülebilendinamik web injection’lar gibigerçek zamanlıweb tabanlıaktivitelergöstermekte.Ençokkullanılan üçwebtarayıcıdaGootKittarafındanetkilen- mekte:InternetExplorer,Mozilla Firefox ve GoogleChrome. KKendisınıfıveseviyesindekidiğermalware’lerin aksineGootKitgeçmişjenerasyonlardankalma sızdırılmışSourceCode’abağlıçalışmıyor.ZeuS Trojan Web Injection Mechanism’den ödünç alınmışbirkaçmodüldışındatamamenprivate olaraknode.jsilegeliştirilmişbirmalware.IBM Trusteer’ın yaptığıaçıklamaya göre GootKit RusyaRusya’dan küçük bir siber çete tarafından geliştirilmiş olup çete malware’in kaynak kodunusatmayaveyapaylaşmayayanaşmıyor. YayılmaYöntemleri Gootkit farklı yöntemler kullanılarak endpoint’lereaktarılabiliyor.Bunlardansonun- cusuAralık2016veOcak2017’degörülmüşolup malwarein bazıOffice makrolarının e-posta attachment’larından ve Godzilla Loader’dan yayıldığınıgösteriyor. Son birkaç haftadaki GootKit aktivitesine bakıldığındaUKdışındaUSveFransa’dadabazı aktivitelertespitedilmiş. GeçtiğimizGünlerdeGörülenGootKitAktiviteleri-IBMTrusteer
AVAlgılamaİsimleri Antivirüs cihazlarının ZeuS GootKit’i tespit etmesisürealabiliyor,bazıdurumlardaisehiç tespitedemiyorlar.BazıAVmotorlarıtarafından belirtilenaliaslaraşağıdadır: Win327Kryptik.FNMI TTrojan.GenericKD.4226576 Trojan-Dropper.Win32.Injector.qbvx RDN/Generic.hbg GlobalBakışAçısı GloGlobalolarakbakıldığındaGootKitfinansalmal- waresıralamasında8.sıradabulunuyor.Trojan 2015yılındanberiaktifdurumdavegenellikle hedeflerinidikkatlibirşekildeseçiyor.Panda, Sphinxve FlockiBotgibivaryantlarile ZeuS trojanı%28’likpayilelisteninbaşındageliyor. Detaylıbilgiiçinaşağıdakilinklerdendefaydala- nabilirsiniz: https://securityintelligence.com/gootkit-bob- bing-and-weaving-to-avoid-prying-eyes/ https://securelist.com/blog/research/76433/insi de-the-gootkit-cc-server/ Son birkaç haftadaki GootKit aktivitesine bakıldığındaUKdışındaUSveFransa’dadabazı aktivitelertespitedilmiş. MalwareIOCs(IndicatorsofCompromise) MaliciousDöküman 4a8d2c1f5c6a1bf210ceaaa0114e4943 MalwareÖrnekleri 60e079ec28d47ef85e93039c21afd19c60e079ec28d47ef85e93039c21afd19c d2cf4a495fb23b4f60868580163ba241
CVE-2016-6269 SummaSummary:Multipledirectorytraversalvulner- abilitiesinTrendMicroSmartProtectionServer 2.5beforebuild2200,2.6beforebuild2106,and 3.0beforebuild1330allowremoteattackersto readanddeletearbitraryfilesviathetmpfname parameterto: (1)log_mgt_adhocquery_ajaxhandler.php, (2)log_mgt_ajaxhandler.php, (3)log_mgt_ajaxhandler.phpor (4)tfparametertowcs_bwlists_handler.php. Published:1/30/20175:59:00PM CVSSSeverity:v3-9.1CRITICAL v2-7.5HIGH Özet:Özet:TrendMicroSmartProtectionServerda birbirindenfarklıdirectorytraversalzafiyetleri tespitedilmiştir.Bu zafiyetile uzaktan kod çalıştırmadenemeleriamaçlanmışvebusayede yüksekayrıcalıkeldeedilmeyeçalışılmıştır.Trend Microtarafındanzafiyetingiderilmesiileilgili updateyayınlanmıştır. DetaylıBilgiİçin:DetaylıBilgiİçin: https://success.trendmicro.com/solution/11149 13 CVE-2017-5342 Summary:Intcpdumpbefore4.9.0,abugin multipleprotocolparsers(Geneve,GRE,NSH, OTV,VXLAN andVXLAN GPE)couldcausea bufferoverflowinprint-ether.c:ether_print(). Published:1/27/20178:59:01PM CCVSSSeverity:v3-9.8CRITICAL v2-7.5HIGH Özet:Özet:Tcpdump'tabuffer-overflowzafiyetitespit edilmiştir.Bu sayede saldırgan uygulama ile rastgelekodçalıştıraraksistemikötüyekullana- bilecektir.Ayrıcahatailesonuçlananexploitde- nemeleride DOS(denialof-service)'asebebiyet verebilmektedir. 4.9.0 versiyonundan öncekilerdezafiyetmevcuttur.Buyüzdenson sürümönerilmesürümönerilmektedir. DetaylıBilgiİçin: http://www.securityfocus.com/bid/95852/info Kaynak:https://nvd.nist.gov/
Dedike BuBuhizmet,dedikeyükdengeleme(LoadBalan- cer)yönetim ihtiyacıolanmüşterileriçinyük dengeleme sistemi yönetimi sağlanmasını kapsar.Yükdengelemeyönetim hizmeti,Koç- Sistem tarafındansorunsuzolaraksağlananyük dengeleme sistemiyönetimiile müşterinin ihtiyaçları doğrultusunda gerçekleştirilir. MüşMüşterisistemiyönetime alma öncesiKoç- Sistem tarafındangereklitestlerdengeçirilirve ancakyeterliliğionaylandıktansonrayönetime alınır.Hizmet kapsamında sistemin merkezi yönetim sistemleriile7x24izlenmesi(online otomatikalarm mekanizmasıdahil)veproaktif yönetim sağlanmaktadır.Sistem ileilgiliolarak çağrılar,müşterininbakım hizmetikapsamında üreticive/veya 3.partibakım işortaklarına aktarılırvetakipedilereksonuçlandırılır. Paylaşımlı Bu hizmet,KoçSistem verimerkezinde sanal veyafizikselsunucusubulunanmüşterileriçin sunuculararasıyükdengelemehizmetiverilme- sinikapsar.Paylaşımlıyükdengelemeikiyada dahafazlasunucuarasındayüküpaylaştırma teknolojisinin paylaşımlı bir donanım ortamındansunulmasıdır.Buteknolojiyikulla- narakeniyikaynakkullanımı,enyüksekişlem hacmi,endüşükcevapsüresisağlanabilir;su- nucularüzerindeoluşanaşırıyükazaltılabilir.Tek sunucu kullanmakyerine,yükdengelemeile birden fazla sunucu kullanarak yedekleme sağlanabilir. Dedikevepaylaşımlıolarak,temelveileriseviye yükdengelemehizmetiolmaküzereikimodel sunulmaktadır.İleriseviyeyükdengelemeyön- temlerinden biriolan GSLB Yönetimi;birden fazla lokasyonda bulunan sunuculara yük dengelemeyapılmasıveyüksekerişilebilirliğin sağlanmasıteknolojisininyönetilmesidir. GloGlobalTraffic Manager(GTM)ile sağlanan hizmet ile; yüksek performanslı donanım, kullanıcılarınneredevenezamangeçişyaptığı konusundaişletmemantığıgüderekyükdenge- leme,müşterikonumunagöreeniyikaynağın belirlenmesi(CoğrafiKonumlarınüçüncüparti veritabanıiçerirveaylıkolarakgüncellenir.),izle- meninsonkullanıcıyauygulamanıneniyişekilde kullanılabilirliğini sağlaması, veri merkezleri arasındakioturumlarınkalıcılığınınvedinamik yükdevrinin sağlanması,DNSSEC ortamında çalışılabilirliğigibiavantajlarıvardır. Bunların yanında DNS ve uygulamaları ölçeklendirme ve yönetme, uygulama performansınıvekullanılabilirliğiniiyileştirme, sağlam, esnek ve güvenli DNS altyapısı oluşturma,DNSDDoSsaldırılarınıkolaycaha- fifletmeveIPv4veIPv6desteklemesiyleDNS güvenliğinizideüstseviyelereçıkarır.
IDCBTGüvenliğiKonferansı2017 KKoçSistem olarak9Şubattarihindedüzenlenen IDCBTGüvenliğiKonferansı’ndayeraldık.Koç- Sistem BTGüvenliğiYönetilenHizmetlerBirim YöneticisiSerkanÖzden,sunumuylabeğenitop- larken;gelişenteknolojiveartansibertehditlere karşı sunduğumuz Yönetilen Güvenlik Hizmetlerimizdeherzamankigibiilgiodağı oldu. SunumumuzdaSunumumuzdadabelirttiğimizüzerekurumlar artıkhergünonlarcagüvenliktehdidiilebaşa çıkmakzorunda.Bukonularınüstesindengele- bilmekvegeleceğeeminadımlarlailerlemekiçin toplambirkurumsalbakışaçısınaherzamankin- dendahafazlaihtiyaçbulunuyor.Buihtiyacıgi- dermekadınaKoçSistemgenişyönetilengüven likhizmetleriylemüşterilerinehizmetvermeye devamediyor.

Recommended

KocSistem | E-Bulten Ocak 2016
KocSistem | E-Bulten Ocak 2016KocSistem | E-Bulten Ocak 2016
KocSistem | E-Bulten Ocak 2016
KocSistem_
KoçSistem Güvenlik Çözümleri “Yolu Güvenle Geçmek”- IDC Security Roadshow
KoçSistem Güvenlik Çözümleri “Yolu Güvenle Geçmek”- IDC Security Roadshow KoçSistem Güvenlik Çözümleri “Yolu Güvenle Geçmek”- IDC Security Roadshow
KoçSistem Güvenlik Çözümleri “Yolu Güvenle Geçmek”- IDC Security Roadshow
KocSistem_
KoçSistem | Aralık 2016 Güvenlik Bülteni
KoçSistem | Aralık 2016 Güvenlik BülteniKoçSistem | Aralık 2016 Güvenlik Bülteni
KoçSistem | Aralık 2016 Güvenlik Bülteni
KocSistem_
KocSistem | SOC Aylik Bulten Mart 2017
KocSistem | SOC Aylik Bulten Mart 2017KocSistem | SOC Aylik Bulten Mart 2017
KocSistem | SOC Aylik Bulten Mart 2017
KocSistem_
KocSistem | SOC Aylik Bulten Mayıs 2017
KocSistem | SOC Aylik Bulten Mayıs 2017KocSistem | SOC Aylik Bulten Mayıs 2017
KocSistem | SOC Aylik Bulten Mayıs 2017
KocSistem_
KocSistem | SOC Aylik Bulten Nisan 2017
KocSistem | SOC Aylik Bulten Nisan 2017KocSistem | SOC Aylik Bulten Nisan 2017
KocSistem | SOC Aylik Bulten Nisan 2017
KocSistem_
KocSistem | E-Bulten Kasim 2016
KocSistem | E-Bulten Kasim 2016KocSistem | E-Bulten Kasim 2016
KocSistem | E-Bulten Kasim 2016
KocSistem_
KocSistem | E-Bulten Haziran 2016
KocSistem | E-Bulten Haziran 2016KocSistem | E-Bulten Haziran 2016
KocSistem | E-Bulten Haziran 2016
KocSistem_
KocSistem | E-Bulten Ocak 2017
KocSistem | E-Bulten Ocak 2017KocSistem | E-Bulten Ocak 2017
KocSistem | E-Bulten Ocak 2017
KocSistem_
KoçSistem | Kasım 2016 Güvenlik Bülteni
KoçSistem | Kasım 2016 Güvenlik Bülteni KoçSistem | Kasım 2016 Güvenlik Bülteni
KoçSistem | Kasım 2016 Güvenlik Bülteni
KocSistem_
Dijital Yıkıcı İnovasyonlar ile Finans’ı Yeniden Tanımlamak
Dijital Yıkıcı İnovasyonlar ile Finans’ı Yeniden TanımlamakDijital Yıkıcı İnovasyonlar ile Finans’ı Yeniden Tanımlamak
Dijital Yıkıcı İnovasyonlar ile Finans’ı Yeniden Tanımlamak
KocSistem_
IDC Industry 4.0 - Can Barış Öztok
IDC Industry 4.0 - Can Barış ÖztokIDC Industry 4.0 - Can Barış Öztok
IDC Industry 4.0 - Can Barış Öztok
KocSistem_
Koç Sistem - Soc bülten 08.2016
Koç Sistem - Soc bülten 08.2016 Koç Sistem - Soc bülten 08.2016
Koç Sistem - Soc bülten 08.2016
KocSistem_
Dijital Dönüşüm
Dijital Dönüşüm Dijital Dönüşüm
Dijital Dönüşüm
KocSistem_
İnteraktif Ekonomide Dijital Dönüşümün Rolü
İnteraktif Ekonomide Dijital Dönüşümün Rolüİnteraktif Ekonomide Dijital Dönüşümün Rolü
İnteraktif Ekonomide Dijital Dönüşümün Rolü
KocSistem_
Uygulama yönetim hizmeti etkinlik sunumu 10.04.2012
Uygulama yönetim hizmeti etkinlik sunumu 10.04.2012Uygulama yönetim hizmeti etkinlik sunumu 10.04.2012
Uygulama yönetim hizmeti etkinlik sunumu 10.04.2012
KocSistem_

More Related Content

More from KocSistem_ (8)

KocSistem | E-Bulten Ocak 2017
KocSistem | E-Bulten Ocak 2017KocSistem | E-Bulten Ocak 2017
KocSistem | E-Bulten Ocak 2017
KocSistem_
KoçSistem | Kasım 2016 Güvenlik Bülteni
KoçSistem | Kasım 2016 Güvenlik Bülteni KoçSistem | Kasım 2016 Güvenlik Bülteni
KoçSistem | Kasım 2016 Güvenlik Bülteni
KocSistem_
Dijital Yıkıcı İnovasyonlar ile Finans’ı Yeniden Tanımlamak
Dijital Yıkıcı İnovasyonlar ile Finans’ı Yeniden TanımlamakDijital Yıkıcı İnovasyonlar ile Finans’ı Yeniden Tanımlamak
Dijital Yıkıcı İnovasyonlar ile Finans’ı Yeniden Tanımlamak
KocSistem_
IDC Industry 4.0 - Can Barış Öztok
IDC Industry 4.0 - Can Barış ÖztokIDC Industry 4.0 - Can Barış Öztok
IDC Industry 4.0 - Can Barış Öztok
KocSistem_
Koç Sistem - Soc bülten 08.2016
Koç Sistem - Soc bülten 08.2016 Koç Sistem - Soc bülten 08.2016
Koç Sistem - Soc bülten 08.2016
KocSistem_
Dijital Dönüşüm
Dijital Dönüşüm Dijital Dönüşüm
Dijital Dönüşüm
KocSistem_
İnteraktif Ekonomide Dijital Dönüşümün Rolü
İnteraktif Ekonomide Dijital Dönüşümün Rolüİnteraktif Ekonomide Dijital Dönüşümün Rolü
İnteraktif Ekonomide Dijital Dönüşümün Rolü
KocSistem_
Uygulama yönetim hizmeti etkinlik sunumu 10.04.2012
Uygulama yönetim hizmeti etkinlik sunumu 10.04.2012Uygulama yönetim hizmeti etkinlik sunumu 10.04.2012
Uygulama yönetim hizmeti etkinlik sunumu 10.04.2012
KocSistem_
KocSistem | E-Bulten Ocak 2017
KocSistem | E-Bulten Ocak 2017KocSistem | E-Bulten Ocak 2017
KocSistem | E-Bulten Ocak 2017
KocSistem_
KoçSistem | Kasım 2016 Güvenlik Bülteni
KoçSistem | Kasım 2016 Güvenlik Bülteni KoçSistem | Kasım 2016 Güvenlik Bülteni
KoçSistem | Kasım 2016 Güvenlik Bülteni
KocSistem_
Dijital Yıkıcı İnovasyonlar ile Finans’ı Yeniden Tanımlamak
Dijital Yıkıcı İnovasyonlar ile Finans’ı Yeniden TanımlamakDijital Yıkıcı İnovasyonlar ile Finans’ı Yeniden Tanımlamak
Dijital Yıkıcı İnovasyonlar ile Finans’ı Yeniden Tanımlamak
KocSistem_
IDC Industry 4.0 - Can Barış Öztok
IDC Industry 4.0 - Can Barış ÖztokIDC Industry 4.0 - Can Barış Öztok
IDC Industry 4.0 - Can Barış Öztok
KocSistem_
Koç Sistem - Soc bülten 08.2016
Koç Sistem - Soc bülten 08.2016 Koç Sistem - Soc bülten 08.2016
Koç Sistem - Soc bülten 08.2016
KocSistem_
Dijital Dönüşüm
Dijital Dönüşüm Dijital Dönüşüm
Dijital Dönüşüm
KocSistem_
İnteraktif Ekonomide Dijital Dönüşümün Rolü
İnteraktif Ekonomide Dijital Dönüşümün Rolüİnteraktif Ekonomide Dijital Dönüşümün Rolü
İnteraktif Ekonomide Dijital Dönüşümün Rolü
KocSistem_
Uygulama yönetim hizmeti etkinlik sunumu 10.04.2012
Uygulama yönetim hizmeti etkinlik sunumu 10.04.2012Uygulama yönetim hizmeti etkinlik sunumu 10.04.2012
Uygulama yönetim hizmeti etkinlik sunumu 10.04.2012
KocSistem_

KocSistem | SOC Aylik Bulten Subat 2017

  • 2. Soğuksavaşınsürdüğü1957yılındaSSCB'nin (SovyetSosyalistCumhuriyetlerBirliği)yani günümüzün RusyaFederasyonu,Sputnikadlı uyduyu uzaya gönderdi.ABD gerek uzay çalışmalarındageriyedüştüğünüdüşünerek,ge- rekseSSCB’dengelebileceknükleersaldırılara karşıbağışıklıkoluşturmakamacıylabiriletişim ağıağıoluşturmakistedi.Soğuksavaşprojesiolan buağ,akademikçalışmalarladesteklenipgünü- müzdekiinternetioluşturdu [SMITSHONIAN]. Savaşprojesiolarakoluşturulanbuağaynıza- manda modern savaşların yenibirboyutta yapılmasınadasebepolmuşveartıksiberortam kara,deniz,havaveuzaydansonra5.savaşalanı olarakbelirlendi. AmerikanSavunmaBakanlığıtarafındanyapılan açıklamadainternet;telekomünikasyonağlarıve bilgisayarsistemlerinideiçinealan,birbirine bağlıbilgiteknolojilerialtyapılarının olduğu küreselbiralan”olaraktanımlanmıştır.Diğerbir tanımlamadaiseşuşekildeydi;“insanlarınbilgi- sayarlar ve telekomünikasyon sistemleri aracılığıylaaracılığıyla herhangibir coğrafisınırlamaya maruzkalmadantamamenbirbirinebağlıolma durumudur.”[Hildreth]Sibersavaşise,siber uzayıveiçindekivarlıklarıkorumakiçinyürü- tülenharekâtlarıngenelineverilenisimdir.Siber saldırıgirişimlerinedüşman olarakbelirlenen hedefe saldırıda bulunmak,karşı savunma yapmayapmak,hedeftekisiberuzaydaistihbaratve- rileri toplamak siber savaş faaliyetlerini oluşturmaktadır.Sibersavaşlarınanahedefiül- kelerin güvenlik, sağlık, enerji, ulaşım, haberleşme,su,bankacılık,kamuhizmetlerigibi kritiksektörlerininbilgisistemaltyapılarıdır. BirsibertehdittürüolanAPT(AdvancedPersis- tentThreat)kavramı;çok gelişmişteknikler kullanılarak tasarlanmış, sistemden kendini gizleyerekveolabildiğincesistem üzerindeka- laraksistemdenbilgisızdırma,sistemdecasus- lukfaaliyetleridüzenlemeyadasistemezarar verme amacını taşıyan, hedefi net olarak belirlenmiş tehdittürü olarak tanımlanabilir. Genellikledevletlerinkritikaltyapılarınıhedefle- mektedir. Sibersavaşlardaneleryapılabileceğinegelirsek; havavekaratrafiğininsinyalizasyonsistemleri değiştirilebilir,barajlarınınkapaklarıaçılabilir,su dağıtımsistemlerikapatılabilir,nükleersantraller hedefalınarakçalışmasıengellenebilir,finans sektörü durdurulabilir ve benzeri siber saldırılarlaülkehalkınsilahsızbirşekildekaosa gigirmesisağlanabilir.Ayrıcadevletlereaitgizli bilgiler,istihbaratbirimlerivecasuslarkullan- madan çalınabilmektedir. Geçmiş yıllarda gerçekleşmişolan sibersavaşlardan örnekler aşağıdayeralmaktadır: ÇölFırtınasıOperasyonu(1991):KörfezSavaşı sırasında Hollandalı bilgisayar korsanları tarafından Pentagon bilgisayar sistemine sızılmış,askeripersonelbilgilerigibigizliolma- yantasnifdışıverilerelegeçirilmiştir. AyışığıLabirenti(1998):Pentagon,NASA ve ABDEnerjiBakanlığı,askerikurumlarveüniver- sitelerMart1998’deAyIşığıLabirentiolarakni- telendirilenbirsibersaldırıyauğramıştır.Buku- rumlardakiaskerigizlibilgilerçalınmıştır.Ameri- kan istihbaratyetkilileritarafından bu siber
  • 3. 2008'de Gürcistan'a savaş açtı. Bu savaş başlamadanöncesibersavaşzatenbaşlamıştı. Saldırılar,20Temmuz2008tarihindeGürcistan DevletBaşkanıMihailSaakaşvili’nin internet sitesiolanwww.president.gov.geadresinihedef aldı.BusaldırılarınbaşınıçekenDDoSsaldırıları idi.AskeriharekâtınbaşladığıtarihteiseGür- cistancistaninternetsitelerineyöneliksaldırılarartmış, birçoksiteyeerişim engellenmişvebazısite içeriklerideğiştirilmişti.Bueylemlerhiçbirfizik- selzararvermedi.Ancakbusaldırılarçatışmanın çokkritikbiraşamasındaGürcistanhükümetini zayıfdüşürmeyeyöneliksibersaldırılardı.Ayrıca hükümetinşaşkınadönenulusalveküreselka muoyu ile iletişim yeteneğinide etkilediler. Dünya kamuoyu psikolojik olarak etkilenmiş, Gürcistan’ayöneliksaldırılarınhaklıolduğuna yönelikbirimajoluşturulmayaçalışılmıştır. Kırgızistan(2009):2009yılınınbaşlarındaABD, Kırgızistan’dabirüskurmakiçingirişimlerdebu- lundu. Bu girişimin hemen sonrasında Kırgızistan’ın dört ISP’si (İnternet servis sağlayıcısı)sibersaldırılaramaruzkalarakbatı Kırgızistan’ın%80’inebellibirsüreinternethiz- meti verilememesine sebep olmuştur. Saldırılarınüskurulmasınailişkinmüzakerelerin hemen ardından gelmesi,şüphelerin Rusya üzerineyoğunlaşmasınasebepolmuştur. 2010yılıveöncesindekisibersaldırılardagenel- liklehedeflenensistemleriDDoSsaldırılarıile ulaşılamazhalegetirme,provokasyonyapmak vehalkıyanıltmakamacıylawebsitesiiçeriği değiştirmeveyabaşkasiteyeyönlendirmeyada istenmeyene-postagöndermegibiçeşitliyön- casusluğun arkasında Rusya’nın olduğu belirtilmiştir. NATOKosovakrizi(1999):Kosovakrizisırasında NATO uçaklarının kazara Çin büyükelçiliğini vurmasıileÇinkızılhackerittifakıoluşturulmuş ve NATO, ABD askeri web sitelerine saldırmışlardır. EsEstonyaSiberSavaşı(2007):İkinciDünyaSavaşı sırasındaEstonya,SovyetlerBirliğiilebirlikte, Almanya’yakarşısavaşmıştı.Savaşsonaerince BronzAskerAnıtıdikildi.Buheykel,Estonya’nın NaziistilasındankorunmasıamacıylaSovyetler Birliği’nin verdiğimücadeleyisembolize edi- yordu.26Nisan2007’deEstonya,BronzAsker HeyHeykeli'niyerinden kaldırdı.Birgün sonra heykelinkaldırılmasıRusyatarafındankınandı. Dahasonraiseülkedeayaklanmalarçıktı.Rusya yanlısıgöstericiler ülkenin çeşitliyerlerinde gösterileryapmayabaşladı.Özelliklebaşkent Tallinn’de ayaklanmalar ve yağmalamalar başladı.27-29 Nisan 2007 tarihleriarasında devletindevletininternetsayfalarıelegeçirildi;ufakçaplı DDoS saldırıları başladı; ulusal e-posta sunucularına ve haber portallerine spam saldırılarıdüzenlendi.Dördüncü günden iti- baren,özellikle 30 Nisan-18 Mayıs tarihleri arasındadahaorganizesaldırılaryapıldı.Ulusal bilgisistemleri,internethizmetsağlayıcılarıve bankalarabüyükzararlarverensaldırılaroldu. GürcistanSiberSavaş(2008):Gürcükuvvetler,8 Ağustos2008tarihindebağımsızlığınıilaneden GüneyOsetyatopraklarınaoperasyondüzenle- diler.Rusyadabuolayınardından11Ağustos
  • 4. temlerkullanılırdı.Bahsedilensibertehditlerden dahatehlikelisonuçlardoğurabileceksistemlere fizikizararlarverebilecekveilerisibercasusluk tehditlerininkullanıldığızararlıyazılımlarortaya çıktı. Stuxnet,Duqu,Flame,Gauss 20102010yılıveöncesindekisibersaldırılardagenel- likleservisdışıbırakma,spam mailgönderme, web sitesiiçeriğideğiştirme/yönlendirme ile provokasyonyapmavehalkıyanıltmaamacıyla saldırılarkullanılırdı.Butehditlerdendahateh- likelisonuçlardoğurabilecekveilerisibercasus- luktehditlerininkullanılaraksistemleregerçek hasarverebilecekzararlıyazılımlarortayaçıktı. Özellikle endüstriyelsistemlergibikritik alt yapılarıhedefalanzararlıyazılımlarİran’ıniddia edilen nükleerfaaliyetlerinidurdurma/kontrol altınafaaliyetlerinin hemen arkasından geldi. Sibercasusluk,istihbaratve sibersabotajiçin oluşturulmuşbuyazılımlarçokbüyükbütçeler, devletdevletdesteğiile organize çalışılarak hedef olarakbelirlenmişsistemlereyönelikyazılıyordu. Endüstriyelsistemleriyönetmekiçinkullanılan sistemlerSupervisoryControlandDataAcqus- tionkelimelerinbaşharflerindenoluşanSCADA terimi ileTürkçede“MerkeziDenetim veVeri Toplama”olarakkarşılıkbulmaktadır. SCADAsistemigenişalanayayılmışüretim te- sislerin birmerkezden bilgisayararacılığıile izlenmesivekumandasıolaraktanımlanabilir. SCADAsistemleri,birçokalandafaaliyetgöster- mektedir.Su,elektrik,doğalgaz,petrolrafine- riler,termikvenükleersantraller,enerjinakil hatları,uydukontrolmerkezleri,köprü,otoyol, sanayitesislerinekadarhayatıntüm alanlarında çokönemliişlevleresahiptir. 20062006yılındaAmerikanaskeriveistihbaratyet- kililerigizlibirsibersavaşprogramıhazırladılar. Bu programın amacı İran'ın uranyum zenginleştirmeprogramınıdurdurmaktı.Kodadı "OlimpiyatOyunları"olanbuprogramileAmeri- kan ulusallaboratuvarlarında İran’ın Natanz kentindekivarolannükleersantrallerininsanal birkopyasıçıkartıldı. AmerikanNSAveİsrail UNIT8200adlıistihbaratkurumlarınınberaber çalışarakhazırlandıklarıprojeileoanakadar görülmüş en karmaşık zararlı yazılım oluşturuldu.2010yılındayaklaşık1000santrifüj, kibusayıİran’dakiçalışırdurumdaolansantrifüj sayısının1/5'inedenkgelmektedir,hedefalınıp donanımlarıdonanımlarıçalışılamaz hale getirildiğiiddia edilmektedir. Stuxnetilkdefahaziranayınınortalarındaanti virüsüreticileriarasındaçokdapopülerolmayan BelarusmenşeliküçükbirfirmaolanVirusBlok- Ada[VIRUSBLOKADA]tarafındantespitedildi. İlk incelemelervirüsün standartbirsolucan olmadığınızatengösteriyordu.Fakatstuxnet’in teknikanaliziyapılırkenişinboyutufarklınokta- laralara geldi.Özellikle solucanın çok karmaşık yapısı,kullandığıtaktiklervehedefigözönüne alınınca,sibersavaşadıaltındayıllarcadillen- dirilensenaryolarınaslındaçokdagerçekdışı olmadığı ortaya çıktı. Stuxnet zararlı yazılımından yaklaşık 130.000 bilgisayarın etkilendiğibelirtilmektedir.Ayrıcadünyaüze- rinde Stuxnet bulaşan bilgisayarların %60'ı İran’dayeralmaktadır.[OLYMPICGAMES]
  • 5. faaliyetgösterendiğerfaaliyetvekuruluşlarda daartışolmuştur. ZURICHZURICH Grubu’nunheryılgerçekleştirdiğive hem kişilerihem deişdünyasınıetkileyecek riskleriaraştıran “2017 KüreselRisk Raporu” açıklandı.Heryılyapılan araştırma,sadece risklerianalizetmeklekalmıyor,10yıllıksüreçte küreselgündemibelirleyecekenönemlitrendler ile bu trendlerin küresel risklerle olan bağlantılarınıbağlantılarınıdaortayakoyuyor.KüreselRisk Raporu’nagörede2017içinenbüyükriskler grubundaterördensonrasibersaldırılarikinci sırada yer alıyor. Küresel Risk Raporu’nu değerlendiren Zurich Türkiye CEO’su Yılmaz Yıldız,dikkatçekensiberriskleriçin“Türkiye, geçtiğimiz5-10yıllıkdönemdedijitalleşmede çokçokönemlimesafelerkatetti.Bireylerinyaklaşık yarısıbilgisayarsahibi.Ceptelefonukullanım oranıyüzde97,interneterişimiyüzde70’lerse- viyesinde.İnternetbankacılığıkullanımı45mil- yonlarseviyesinde.E-ticaretebaktığınızda6 milyardolardan büyük birpiyasa olduğunu görüyoruz.Siberkorsanların kimlikbilgilerini, telefonunuzdan banka şifrelerini herşeyi çalmalarımümkün.Türkiye’de siberrisklerle mücadelekonusundahemkamuotoritelerihem deözelsektöryoğunbirçabaiçerisinde.Bizde bualandakiyaratıcıürünlerimizlesiberrisklerin azaltılmasınakatkısağlıyoruz.Özelliklebirey- lerdengelentalepdeçokfazla.Bireyselkullanıcı iseniz siber dolandırıcılara karşı çok korumazsınız.”ifadelerineyerverdi. TürkiyeİçişleriBakanlığı’nınhazırladığıJandar- maİstihbaratraporuda‘sibersavaşın’boyutunu Stuxnet’inkeşfindenbirsenesonraDuquadı verilenyenibirzararlıyazılım dahakeşfedildi. Endüstriyelsistemlerhakkındabilgitoplamak içinoluşturulanbuzararlıyazılım muhtemelen Stuxnetöncesiistihbaratsağlamak amacıyla oluşturulmuştur.BöyleceStuxnet’indahaetkin çalışmasısağlanmıştır. BiBirersenearalıklarlatespitedilensibersilahlara biryenisidahaeklenmişti:Flameenbüyüken karmaşıksibercasuslukyazılımıolarakortaya çıkanbuyazılım senelercesiberortamdabilgi toplarkenkendisinidevamlıgüncellemesiilean- tivirüs tarayıcıları tarafından tespit edilememiştir.2012 yılındatespitedildiğinde diğerdiğer zararlıyazılımların aksine çok büyük (20MBboyutunda)olmasıvemodülerolması diğerzararlıyazılımlardankendisiniayırıyordu. Stuxnet ve duqu örneklerinde olduğu gibi geliştiricileri tarafından dahi bilinmeyen açıklıkları kullanarak uzun süre faaliyet göstermiştir. 2012yılındaçıkanyenisibersilahlardanbiriside Gauss’tu.Buzararlıyazılım yineOrtadoğu’yu hedefalmışfakatbuseferendüstriyelkontrol sistemleriyerinefinansalbilgilerihedefalıyordu. Rusya’nın,Rusya’nın,ABD’nin veÇin’in güçlü istihbarat ağınaveyükseksiberyetenekleresahipolması, başka devletler üzerinde siber tehdit oluşturmaktadır.Dolayısıylasibertehditlerve sibergüvenlikbütünülkeleriçinönemligüvenlik unsurlarınınbaşındagelmektedir.Ülkemizdede 2009 yılında sibergüvenlik stratejisiolarak hazırlananhazırlananilkresmibelgedensonrabualanda
  • 6. ortaya koydu.Rapora göre 2016‘nın ikinci yarısından itibaren Jandarma’yayöneliksiber saldırılaryüzde 965 arttı.Yurtdışından gelen saldırılardadayüzde984artışoldu.Yapılanbu saldırılar,JandarmaGenelKomutanlığınınMu- habereElektronikveBilgiSistemleri(MEBS)bir- imlerivesistemlerinceengellendi. McAfeeLabs’in2017tahminlerinegöre,yeni yılda siber suçlular fidye yazılımı,sofistike donanım ve donanım yazılımısaldırılarıve Nesnelerinİnternetiile“akıllıev”sistemlerine yöneliksaldırılarkonularınaodaklanacak.Sosyal mühendislik saldırılarını geliştirmek üzere makineöğrenimininkullanımıartacak.Bununla birlibirliktesibergüvenliksektörüilekanunkoyucu- lararasındakiişbirliğigüçlenecek. 2017’ninöneçıkansibertehditöngörüleriise şunlar: –Fidye yazılımısaldırıları2017 yılının ikinci yarısındahemhacimhemdeetkinlikanlamında düşüşgösterecek. –Windowsodaklı‘exploit’tehditlerinsayısıazal- mayadevam edecekancakaltyapıyazılımıve sanallaştırma yazılımınıhedef alan ‘exploit’ saldırılarındaartışbeklenecek. –Donanım vedonanım yazılımı,sibersuçluların radarındayeralmayadevamedecek. –Laptop üzerinden çalışan yazılım kullanan hacker’lar,pekçokfarklıamaçladronekaçırma eylemlerigerçekleştirecek. –Siberhırsızlarmobilcihazkilitlerinihedefalan mobilsaldırılarlabilgihırsızlığıgerçekleştirecek vebankahesaplarıvekredikartıgibifinansal bilgilerieldeedebilecek. –Nesnelerinİnternetiodaklızararlıyazılımlar, akıllıev sistemlerine sızacak ve bu alanın güvenliğigözardıedilirsevarlıklarıyıllarcafark edilmeyebilecek. –Makine öğrenimi, sosyal mühendislik saldırılarınınhem sayılarınınartmasınıhem de dahasofistikehalegelmelerinisağlayacak. ––Sahte reklamlarve satın alınan “beğeni”ler nedeniyledijitaldünyadagüvenhızlaazalmaya devamedecek. –Reklam verenlerarasındakireklam savaşları şiddetlenecekveyenitekniklergeliştirilecek,bu tekniklerikopyalayansibersuçlulardazararlı yazılımdağıtımkabiliyetlerinigüçlendirecek. ––Politikyadasosyalamaçlıhack’lemeeylemle- rindebulunanlar,kişiselgizlilikleilgilikonuları açığaçıkarmadaönemlibirroloynayacak. –Sibergüvenlikendüstrisiilekanunkoyucular arasındakigüçlenenişbirliğisayesindeartan uygulamalarlasibersuçlarınönünegeçilmede önemlibiradımatılacak. ––Tehditlerleilgilibilgiveistihbaratpaylaşımı,bu alanda pozitif gelişmeler yaşanmasını sağlayacak. –Sibercasusluk,ulus-devletlerdeolduğugibi özelsektörve yeraltısuç dünyasında da yaygınlaşacak. ––Fizikselvesibergüvenlikendüstrilerindeyer alan kurumlar dijitaltehditlere karşıdaha gelişmişürünlersunmaküzerebirliktehareket etmeyebaşlayacak. NNATO’dasibergüvenlikelçisiolarakgörevyapan Kenneth Geers, 2017’de siber savaşların hızlanacağını,psikolojikoperasyonlardönemi başlayacağını,askerianlamda,özelliklesosyal
  • 7. analizinin,siberalandasaklanmayıherkesiçin güçhalegetireceğinisöyledi. KültüKültüreldönüşüm süreciile birlikte,bilgive iletişimteknolojilerinietkinveyaygınbirşekilde kullananmilyarlarcainternetkullanıcısıbulun- maktavegündemilyarlarcae-postagönder- ilmektedir.Yapılanaraştırmalaragöre2020yılına gelindiğindeinternetebağlıcihazseviyesinin50 milyara çıkması öngörülmektedir. Aynı araştırmalaragöre;2020yılındadünyadakişi başına düşen birbirleriyle bağlantılı cihaz oranınınyüzde6,48’eçıkmasıbekleniyor.Ayrıca 2020yılında,20adettipikevcihazınınüreteceği bilgitrafiğinin,günümüzdeüretilentüminternet trafiğindendahafazlaolacağıtahminedilmek- tedir. İnternetşuandabiledörtbiryanımızda.Yıllardır arabalarınbilgisayarlarıvardı,şimdideinternete bağlanıyorlar.Sıradaevlervar.Buzdolabı,derin dondurucu ve çamaşır makinesi çevrimiçi çalışacak. En büyük atılım makinelerle bütünleşipinternetinağınatam düştüğümüzde gerçekleşecek.Buduruma"tekillik"deniyor.Yani bibiyolojiveteknolojininbirleşmesiyleinsanve makinenin bir bütün olması. Tekillik düşüncesininenünlüsavunucusuGoogle'ınfi- nanseettiğiSingularity(Tekillik)Üniversitesirek- törü,yapayzekâvebilgisayaruzmanıRayKurz- weil.Kurzweil2029'akadarbilgisayarlarıninsan- lardandahaakıllıolacağınainanıyor.Doktorlar bugün bezelye kadar aygıtları Parkinson hastalarının beyinlerine yerleştirebiliyorlarsa, (Kurzweil'e göre)20 yılsonra elimizde kan hücresiboyutundaaygıtlarınolmasımümkün medya platformlarına odaklanan yeni bir psikolojik operasyonlar (PSİKOP) dönemi başlayacağınısöyledi.Otoriterrejimleyönetilen birülkede,hattabelkiRusya,Çin,İranyada Kuzey Kore’de,internetin getirdiğihızlıbir devrim yaşanacağı, internetin muhalif vatandaşlarınelindeçokbüyükgüçolduğunuve bubugücün dinamik,tahminedilmesigüçbir siyasiortamınoluşmasınayolaçacağıüzerinde durdu. Budurumunotokratikrejimlerininternetüzeri- ndebüyükbirbaskıkurmalarınasebepolacağını vebudurumundakısavadede,tümvatandaşlar içinvahim sonuçlardoğuracağınıbelirtti.Gel- ecekseçimlerin,e-devlethizmetlerininvedijital toplumu koruma yöntemlerinin 2017’de çok tartışılacağı,sibersilahkontrolüneyönelikilk gerçek girişimlere şahit olunacağıüzerinde duranGeers,dünyanınbüyükbirhızlaSanal Gerçeklik(SG)dünyasınadönüşeceğivesuç,ca- susluk,devrim vesavaşların,buyenidünyada varolmayadevam edeceğinibelirtti.Siberalan- dakibarışortamının,internetüzerindehâkimiy- etkurma isteğiyüzünden süreklibirsavaş ortamışeklindeseyredeceğinivebudurumun, kritik ulusalaltyapılardakiinternetgüvenliği açısındanolumsuzsonuçlardoğuracağınısöyle- di.Geers,ABD’deNesnelerinİnternetiüzerinden yapılan siber saldırılara da dikkat çekerek, uluslararasıaskeribilgiveistihbarathacker’ları için patlama merkezihaline geleceğini,tost makinelerive mikrodalgafırınların,yaygın kullanılancasuslukaraçlarıolacağınıdilegetirdi. Her yere sirayet eden,nesneleri birbirine bağlayannesnelerininternetivestratejiktrafik
  • 8. gibi.Gelecekteinsanverobotkarışımısibernetik organizmalara dönüşmemiz mümkün.Niha- yetindebizinternetinbirparçasınadönüşeceğiz, internetdebize. Kaynaklar [SMITSHONIAN] https://goo.gl/l7gC6c [HILDRETH] HildHildreth,S.A.(2001),"CyberwarfareCongres- sionalResearchServiceReportforCongress", CongressionalResearchService&TheLibrary [INTIFADA] C.16,S.2 Yrd.Doc.Dr.Muharrem GURKAYNAK, Adem AliIREN -ReelDunyadaSanalAcmaz: SiberAlandaUluslararasıIlişkiler [VIRUSBLOKADA] https://goo.gl/WNJq4W [OLYMPICGAMES] https://goo.gl/vnE45y https://goo.gl/vlcCv2 https://goo.gl/7ZismK https://goo.gl/jCQP38 https://goo.gl/iUCeh1https://goo.gl/iUCeh1 https://goo.gl/8x5YDe https://goo.gl/ChkhE2 https://goo.gl/QdKQgl https://goo.gl/Okiatf https://goo.gl/IPLHgs
  • 9. Kaynak:[DHA]https://goo.gl/vCc9kt dor,Kenya,BirleşikKrallıkveRusya’dabulunu- yor.Saldırganlarınkimliğihenüzbilinmesede baş şüphelilerolarak GCMAN ve Carbanak gruplarınınisimlerianılıyor.Açıkkaynaklıkötü niyetlikodlar,her gün kullanılan Windows uygulamalarıvetanınmayanalanadlarısebe- biylesorumlularınbulunmasıveyayapılanlartek birbirgrubunyoksaaynıaraçlarıkullananbirden fazlagrubunişiolup olmadığınınanlaşılması neredeyseimkansız.Kullanılanaraçlarsaldırılar hakkındadetaylıbilgiedinilmesinizorlaştırıyor. Normalbir süreçte araştırmacılar bir olay sonrasındasaldırganlarınağdabıraktıklarıizleri takipederler,ancakbirsabitsürücüdekiveriler aylaaylarcaerişilebilirkalsada,bellektekalanizler bilgisayarınyenidenbaşlatılmasıylabirliktesilinir fakatsözkonusuolaydauzmanlarınbusefer zamanında yetişebilmiş olmaları yapılan saldırıların ölçeğinin anlaşılmasına yardımcı oldu.KasperskyLabBaşGüvenlikAraştırmacısı SergeyGolovanov,saldırganların,faaliyetlerini saklamaksaklamak ve olaylara müdahale edilmesini zorlaştırmakkonusundakikararlılığının,adliin- celemelerizorlaştıran benzeritekniklere ve bellek odaklızararlıyazılımlara olan eğilimi açıklarnitelikteolduklarınısöylediveekledi: ”Bu sebeplebellekodaklıadlibilişim,zararlı yazılımların ve işlevlerinin analizikonusunda kritikönem kazanmaktadır.Sözkonusuolay- lardasaldırganlaraklagelebilecekhertürlüadli inceleme karşıtıtekniğikullanmışlar;zararlı yazılım kullanmadan bir ağdan başarılıbir şekilde nasılverisızdırılabileceğinive meşru vveyaaçıkkaynaklıuygulamalaryardımıylakim- liklerini başarıyla saklayabildiklerini göstermişlerdir.” Küreselsibergüvenlik şirketiKaspersky Lab uzmanlarısadecemeşruyazılımlarkullanan,bir dizi hedefli “görünmez” saldırı tespit etti. Saldırılar,karışıkbiryaklaşım sayesindebeyaz listelemeteknolojilerindenfaydalanaraktespit edilemiyorve adliaraştırmacılariçin geride neredeysehiçbirizveyazararlıyazılım örneği bırakmıbırakmıyor.Saldırganlarsadeceistedikleribilgiyi eldeetmelerineyetecekkadarbirsüresistemde kalıyor. Sistem yeniden başlatıldığında ise arkalarındabıraktıklarıtümizlersiliniyor. MeşhurGCMAN veCarbanakgruplarınınbaş şüphelilerolduğusaldırılardaönceliklihedefler arasında ABD,Güney Amerika,Avrupa ve Afrika’dakibankalar,telekomünikasyonşirketleri vedevletkurumlarıyeralıyordu.2016’nınso- nundaBDTülkelerindekibirçokbankaKaspersky Lab uzmanlarıyla irtibata geçerek, orada olmamasıolmamasıgerektiğibirzamandasunucularının belleklerinde,Meterpreteradlıpenetrasyontesti yazılımını bulduklarını bildirdiler. Kaspersky Lab’ın incelemeleri sonucunda Meterpreter yazılımının,diğerbazıyardımcıuygulamalarla birleştirildiğikeşfedildi.Birleştirilenbuaraçların, bellekte gizlenerek sistem yöneticilerinin şifşifrelerinitoplayan ve böylece saldırganlara kurbanlarının sistemlerini uzaktan kontrol imkanısağlayanzararlıkodlaraadapteedilmiş olduğuvefinansalişlemlereerişim sağlamayı hedeflediği ortaya çıktı. Kaspersky Lab tarafındanortayaçıkarılantabloyagöre,çeşitli sektörlerde faaliyetgösteren 140’ın üzerinde büyükbüyükölçeklikuruluşunağlarısaldırıyauğramış ve aralarında Türkiye’den şirketlerin de bulunduğukurbanlarınçoğuABD,Fransa,Ekva-
  • 10. IBM Trusteeraraştırmacılarıtarafındanyapılan bildirimlerdeGootKitv2’ninyeniyapılankon- figürasyongüncellemeriyleUkiçerisindeki21 bankadakikişiselmüşterilerihedefaldığıgörü- lüyor.Malware’inönümüzdekigünlerdedaha farklıbölgelerevekullanım alanlarınasıçraması bekleniyor. YeniEklenenler GootKitiçinyapılangüncellemeincelendiğinde malware’indetectionsistemlerinigeçmekiçin deploymentakışınındeğiştirildiğigörülmüştür. AyrıcaPersistanceSetupvebinarydosyalarının dadeğiştirildiğigörülmüştür. ••Deploymentsafhasında GootKitsuspended stateolarakmstsc.exeprocess’ibaşlatıyor. •Daha sonra droppee’yi %APPDATA%MicrosoftInternet Explorer altındaexecutable(.exe)olarakyazıyor. •OSGroupPolicymekanizmasıleverageedi- lerekpersistancesağlanıyor. •GootKit,ScheduledTaskkullanaraketkilenen cihazdakalıcılığınıdevam ettiriyor.Butaskher dakikaçalışmaküzeredevamediyor. GootKitHakkında 20142014 yazındakeşfedilen GootKitgünümüzde kullanılanengelişmişbankacılıkTrojanlarından birisiolaraknitelendiriliyor.GenellikleAvrupa’da varlıkgösteriyor,kişiselveşirketbankacılığında fraudsaldırılardakullanılıyor. GootKitGootKithalendevam etmekteolanbirmalware projesiolmakla birlikte gelişmiş gizlilik ve süreklilikgöstermeninyanındaetkilenencihazın browserındadirektolarakgörülebilendinamik web injection’lar gibigerçek zamanlıweb tabanlıaktivitelergöstermekte.Ençokkullanılan üçwebtarayıcıdaGootKittarafındanetkilen- mekte:InternetExplorer,Mozilla Firefox ve GoogleChrome. KKendisınıfıveseviyesindekidiğermalware’lerin aksineGootKitgeçmişjenerasyonlardankalma sızdırılmışSourceCode’abağlıçalışmıyor.ZeuS Trojan Web Injection Mechanism’den ödünç alınmışbirkaçmodüldışındatamamenprivate olaraknode.jsilegeliştirilmişbirmalware.IBM Trusteer’ın yaptığıaçıklamaya göre GootKit RusyaRusya’dan küçük bir siber çete tarafından geliştirilmiş olup çete malware’in kaynak kodunusatmayaveyapaylaşmayayanaşmıyor. YayılmaYöntemleri Gootkit farklı yöntemler kullanılarak endpoint’lereaktarılabiliyor.Bunlardansonun- cusuAralık2016veOcak2017’degörülmüşolup malwarein bazıOffice makrolarının e-posta attachment’larından ve Godzilla Loader’dan yayıldığınıgösteriyor. Son birkaç haftadaki GootKit aktivitesine bakıldığındaUKdışındaUSveFransa’dadabazı aktivitelertespitedilmiş. GeçtiğimizGünlerdeGörülenGootKitAktiviteleri-IBMTrusteer
  • 11. AVAlgılamaİsimleri Antivirüs cihazlarının ZeuS GootKit’i tespit etmesisürealabiliyor,bazıdurumlardaisehiç tespitedemiyorlar.BazıAVmotorlarıtarafından belirtilenaliaslaraşağıdadır: Win327Kryptik.FNMI TTrojan.GenericKD.4226576 Trojan-Dropper.Win32.Injector.qbvx RDN/Generic.hbg GlobalBakışAçısı GloGlobalolarakbakıldığındaGootKitfinansalmal- waresıralamasında8.sıradabulunuyor.Trojan 2015yılındanberiaktifdurumdavegenellikle hedeflerinidikkatlibirşekildeseçiyor.Panda, Sphinxve FlockiBotgibivaryantlarile ZeuS trojanı%28’likpayilelisteninbaşındageliyor. Detaylıbilgiiçinaşağıdakilinklerdendefaydala- nabilirsiniz: https://securityintelligence.com/gootkit-bob- bing-and-weaving-to-avoid-prying-eyes/ https://securelist.com/blog/research/76433/insi de-the-gootkit-cc-server/ Son birkaç haftadaki GootKit aktivitesine bakıldığındaUKdışındaUSveFransa’dadabazı aktivitelertespitedilmiş. MalwareIOCs(IndicatorsofCompromise) MaliciousDöküman 4a8d2c1f5c6a1bf210ceaaa0114e4943 MalwareÖrnekleri 60e079ec28d47ef85e93039c21afd19c60e079ec28d47ef85e93039c21afd19c d2cf4a495fb23b4f60868580163ba241
  • 12. CVE-2016-6269 SummaSummary:Multipledirectorytraversalvulner- abilitiesinTrendMicroSmartProtectionServer 2.5beforebuild2200,2.6beforebuild2106,and 3.0beforebuild1330allowremoteattackersto readanddeletearbitraryfilesviathetmpfname parameterto: (1)log_mgt_adhocquery_ajaxhandler.php, (2)log_mgt_ajaxhandler.php, (3)log_mgt_ajaxhandler.phpor (4)tfparametertowcs_bwlists_handler.php. Published:1/30/20175:59:00PM CVSSSeverity:v3-9.1CRITICAL v2-7.5HIGH Özet:Özet:TrendMicroSmartProtectionServerda birbirindenfarklıdirectorytraversalzafiyetleri tespitedilmiştir.Bu zafiyetile uzaktan kod çalıştırmadenemeleriamaçlanmışvebusayede yüksekayrıcalıkeldeedilmeyeçalışılmıştır.Trend Microtarafındanzafiyetingiderilmesiileilgili updateyayınlanmıştır. DetaylıBilgiİçin:DetaylıBilgiİçin: https://success.trendmicro.com/solution/11149 13 CVE-2017-5342 Summary:Intcpdumpbefore4.9.0,abugin multipleprotocolparsers(Geneve,GRE,NSH, OTV,VXLAN andVXLAN GPE)couldcausea bufferoverflowinprint-ether.c:ether_print(). Published:1/27/20178:59:01PM CCVSSSeverity:v3-9.8CRITICAL v2-7.5HIGH Özet:Özet:Tcpdump'tabuffer-overflowzafiyetitespit edilmiştir.Bu sayede saldırgan uygulama ile rastgelekodçalıştıraraksistemikötüyekullana- bilecektir.Ayrıcahatailesonuçlananexploitde- nemeleride DOS(denialof-service)'asebebiyet verebilmektedir. 4.9.0 versiyonundan öncekilerdezafiyetmevcuttur.Buyüzdenson sürümönerilmesürümönerilmektedir. DetaylıBilgiİçin: http://www.securityfocus.com/bid/95852/info Kaynak:https://nvd.nist.gov/
  • 13. Dedike BuBuhizmet,dedikeyükdengeleme(LoadBalan- cer)yönetim ihtiyacıolanmüşterileriçinyük dengeleme sistemi yönetimi sağlanmasını kapsar.Yükdengelemeyönetim hizmeti,Koç- Sistem tarafındansorunsuzolaraksağlananyük dengeleme sistemiyönetimiile müşterinin ihtiyaçları doğrultusunda gerçekleştirilir. MüşMüşterisistemiyönetime alma öncesiKoç- Sistem tarafındangereklitestlerdengeçirilirve ancakyeterliliğionaylandıktansonrayönetime alınır.Hizmet kapsamında sistemin merkezi yönetim sistemleriile7x24izlenmesi(online otomatikalarm mekanizmasıdahil)veproaktif yönetim sağlanmaktadır.Sistem ileilgiliolarak çağrılar,müşterininbakım hizmetikapsamında üreticive/veya 3.partibakım işortaklarına aktarılırvetakipedilereksonuçlandırılır. Paylaşımlı Bu hizmet,KoçSistem verimerkezinde sanal veyafizikselsunucusubulunanmüşterileriçin sunuculararasıyükdengelemehizmetiverilme- sinikapsar.Paylaşımlıyükdengelemeikiyada dahafazlasunucuarasındayüküpaylaştırma teknolojisinin paylaşımlı bir donanım ortamındansunulmasıdır.Buteknolojiyikulla- narakeniyikaynakkullanımı,enyüksekişlem hacmi,endüşükcevapsüresisağlanabilir;su- nucularüzerindeoluşanaşırıyükazaltılabilir.Tek sunucu kullanmakyerine,yükdengelemeile birden fazla sunucu kullanarak yedekleme sağlanabilir. Dedikevepaylaşımlıolarak,temelveileriseviye yükdengelemehizmetiolmaküzereikimodel sunulmaktadır.İleriseviyeyükdengelemeyön- temlerinden biriolan GSLB Yönetimi;birden fazla lokasyonda bulunan sunuculara yük dengelemeyapılmasıveyüksekerişilebilirliğin sağlanmasıteknolojisininyönetilmesidir. GloGlobalTraffic Manager(GTM)ile sağlanan hizmet ile; yüksek performanslı donanım, kullanıcılarınneredevenezamangeçişyaptığı konusundaişletmemantığıgüderekyükdenge- leme,müşterikonumunagöreeniyikaynağın belirlenmesi(CoğrafiKonumlarınüçüncüparti veritabanıiçerirveaylıkolarakgüncellenir.),izle- meninsonkullanıcıyauygulamanıneniyişekilde kullanılabilirliğini sağlaması, veri merkezleri arasındakioturumlarınkalıcılığınınvedinamik yükdevrinin sağlanması,DNSSEC ortamında çalışılabilirliğigibiavantajlarıvardır. Bunların yanında DNS ve uygulamaları ölçeklendirme ve yönetme, uygulama performansınıvekullanılabilirliğiniiyileştirme, sağlam, esnek ve güvenli DNS altyapısı oluşturma,DNSDDoSsaldırılarınıkolaycaha- fifletmeveIPv4veIPv6desteklemesiyleDNS güvenliğinizideüstseviyelereçıkarır.
  • 14. IDCBTGüvenliğiKonferansı2017 KKoçSistem olarak9Şubattarihindedüzenlenen IDCBTGüvenliğiKonferansı’ndayeraldık.Koç- Sistem BTGüvenliğiYönetilenHizmetlerBirim YöneticisiSerkanÖzden,sunumuylabeğenitop- larken;gelişenteknolojiveartansibertehditlere karşı sunduğumuz Yönetilen Güvenlik Hizmetlerimizdeherzamankigibiilgiodağı oldu. SunumumuzdaSunumumuzdadabelirttiğimizüzerekurumlar artıkhergünonlarcagüvenliktehdidiilebaşa çıkmakzorunda.Bukonularınüstesindengele- bilmekvegeleceğeeminadımlarlailerlemekiçin toplambirkurumsalbakışaçısınaherzamankin- dendahafazlaihtiyaçbulunuyor.Buihtiyacıgi- dermekadınaKoçSistemgenişyönetilengüven likhizmetleriylemüşterilerinehizmetvermeye devamediyor.