ݺߣ

ݺߣShare a Scribd company logo

KocSistem | SOC Aylik Bulten Mart 2017

KocSistem_
KocSistem_

Güvenlik Yönetilen Hizmetler olarak Nisan 2014’ten beri faaliyet gösterdiğimiz SOC ekibimizin sahipliğinde aylık güvenlik bültenimiz.

1 of 7
Download to read offline
KişiselVeriGüvenliğiBilinçlendirme EtkinliklerimizBaşladı NO.18•Mart2017 Editör:ÖzgeÇELİK KoçSistemSecurityOperationCenter www.kocsistem.com.tr/guvenlik-hizmetleri BilgiİfşaSaldırısıNedir? Ortadoğu’daYeniTehditler: Shamoon2.0&StoneDrill WebUygulama GüvenlikDuvarı(WAF) KRİTİKAÇIKLAR ŞUBATAYINAAİT AÇIĞAVURMAYIN! BİLGİLERİNİZİ
Güvenliksadecegizlilikdeğildir.Kimişirketler kullandıklarısistemlerin SSLilegizliolmasını sağlayıpgerikalankısım içingüvenlikönlemi almıyorlar. Bu kanının aksine güvenlik üç kısımdanoluşuyor:Confidentality(Gizlilik),In- tegrity(Bütünlük),Availability(Erişilebilirlik) Hernekadarverilerinizikorusanızdaverilerinizi görmedenonlarıyokedebileceklerçıkabilirya daverileriniziulaşılamazhalegetirebilirler.Bu durumlara karşı çoğu uygulamada önlem alınmıyor.Bilgiifşasaldırısı,birsaldırganınbir sistem hakkında değerlibilgileredinmesine olanak tanır.Bu saldırıtürü,birweb sitesi hakkındahakkındayazılım dağıtımı,versiyonnumaraları vepatch(yama)düzeyleridedahilolmaküzere sistemeözgübilgileriedinmeyiamaçlar.Ayrıca eldeedilenbilgileryedekdosyalarınveyageçici dosyaların yerlerinideiçerebilir.Bu nedenle, hangibilgileriaçığavurduğunuzuvebubilgile- rin kötü niyetli kullanıcılar tarafından kullanılabileceğiniherzamanaklınızdaolmalı. Çoğuwebsitesi,birmiktarbilgiifşaetmektedir. Birsaldırgan,birwebsitesihakkındanekadar çokbilgiedinirse,sistem ileuzlaşmasıokadar kolayolacaktır.Bilgiifşasaldırılarınıaşağıdaki saldırıtiplerindegörebiliriz: DirectoryIndexing:Normaltemelbirdosya mevcut değilse,istenen bir dizindekitüm dosyalarınlistelendiğiwebsunucusundakibir fonksiyonuistismaredebilir.Birkullanıcı,birweb sitesindekisayfayaistektebulunduğunda,web sunucusuisteğiişler,webdosyasıkökdizininde varsayılan dosya adınıarar ve bu sayfayı kullanıcıyakullanıcıyagönderir.Sunucusayfayıbulamazsa, birdizinlistesioluştururvebuçıktıyıHTMLbiçi- mindekullanıcıyagönderir.Bueylem,istenme- yendizinlistelerininiçeriğinin,belirlibirweb isteğiyle birleştirilen yazılım güvenlik açıkları nedeniyle, kullanıcıya açıklanmasına olanak tanır.Bubilgisızıntısı,birsaldırganasisteme karşıdahafazlasaldırıbaşlatmakiçingerekli bilgilerisağlayabilir. InfoInformationLeakage:Geliştiriciyorumlarıveya hatamesajlarıgibihassasverileriaçığavuranbir websitesiniistismaredebilir. Path Traversal: Web belge root dizininin dışındabulunankomutlara,dizinlerevedos- yalaraerişimizorlar. BirBirsaldırgan,birURL'yiwebsitesininyürüttüğü veyawebsunucusundakidosyalarıniçeriğiniifşa edecek şekilde kullanabilir.Çoğu web sitesi, kullanıcılarınwebbelgesiköküveyaCGIroot dizinineerişimikısıtlasada,birsaldırganözel karakterdizilerikullanarakbudizinlereerişebilir. Örneğin,../dizisi,saldırgantarafındandosyalara erişmekerişmek veya dosya sistemindekikomutları yürütmekiçinkullanılanyaygınbirdizidir. PredictableResourceLocation:Gizlenmişweb sitesiiçeriğiniveişlevleriniortayaçıkarır.Infor- mationDisclosure’uönlemekiçinSSL(Secure SocketsLayer)kullanılır.HTTPkatmanıüzerin- den iletidüzeyinde güvenlik kullanıyorsanız, bunun HTTP üstbilgilerini korumayacağının farkında olmalısınız. HTTP üstbilgilerini korumanın tek yolu, HTTP yerine HTTPS aktarımınıkullanmaktır.HTTPSaktarım,HTTP üstbilgileridedahilolmaküzeretümiletinin,SSL protokolünükullanarakşifrelenmesinisağlar.
ediyorsanız kullanıcının bütün atakları deneyebileceğinivarsaymalıvebunagöreön- lemlerinizialmalısınız. Örnekler DirectoryIndexing:BöylebirHTTPisteği'GET /<nullbyte>.jspHTTP/1.0'kullanıcınınistediği dosyayıveyadizinigörmesinezeminhazırlar. Directory Traversal: Bu şekilde bir URL http://www.example.com/../restricted-file.cgi kullanıcıyadışarıkonumlandırılanrootdirectory webdökümanlarınaerişimimkanısağlar. DiDirectorytraversalwithencodedcharacters: ÖrnektekigibibirURLhttp://www.example.com /..%255c..%255c/restricted-file.cgibirüsttekine benzemeklebirlikteiki‘/’arasındakidouble- encodedifadeylegüvenlikfiltrelerigeçilebilir. Birçokhatamesajıörneklerindenbazıları: -Kullanıcıiçingeçersizuser:test -Testkullanıcısıbusistemdevarolamaz. Kısacasıhiçbirhatamesajıiçbileşenlerhakkında bilgisunmamalıdır. InfoInformationDisclosure’unyakıngeçmiştekien önemliörneği,henüzbirkaçgün öncesinde Wikileaks’in,CIA’inolduğunuiddaaettiği8000 belgeyikamuoyunasunmasıolmuştur.Ayrıcabu belgeleriniçerisindeadıgeçenönemlişirketler adına zafiyetyaratıp yaratmayacağıve siber saldırıların büyük boyutlara ulaşma durumu merakmerakkonusuolmuştur. Bilgi ifşa saldırısı, hassas bilgilerin açığa çıkarılmasınıamaçlar.Bir öncekiyazımızda ayrıntılarıyla bahsettiğimiz; bilgi ifşa saldırılarınınbeslendiğialtsaldırılarışuşekilde sıralayabiliriz: -DirectoryIndexing -InformationLeakage --PathTraversal -PredictableResourceLocation Bilgiifşaataklarınakarşıalınacakönlemlerden bazılarıaşağıdakigibidir: DilDilözelindeyorum kullanma:Buyorumlar ayrıştırıcılaryadaderleyicilertarafındanotoma- tikolaraksilinmeliveclienttarafındagörünme- melidir.Göründüğütakdirdezafiyetyaratabilir. Ancak HTML yorumlarının ColdFusion yorumlarınabenzerliğinedikkatedilmelidir. Uygun izin kullanma:Sunucudakidizin ve dosyaerişimkısıtlamalarınaçokdikkatedilmeli- dir. Güçlü şifreleme algoritmaları kullanma: Hassasverinintutulduğuherdurumdaonun korunduğundaneminolunmalıvebununiçin degüçlüşifrelemealgoritmalarıkullanılmalıdır. Enazayrıcalıkprensibi:Uygulamalarınızarka planda bir database kullanıyorsa, uygulamalarınıza mümkün olduğunca az ayrıcalıkverdiğinizdeneminolun. KısaKısahatamesajıkullanımı:Hatamesajlarınızı mümkünolduğuncakısatutmayaözengösterin ki hassas bilgilerinizi açığa çıkarmasın. Uygulamalarınızın hata mesajları kullanıcı tarafındandirekgörünmemelidir. Açıklıkprensiplidizayn:Biruygulamadizayn
CVE-2017-5953 Summary:vim beforepatch8.0.0322doesnot properlyvalidatevaluesfortreelengthwhen handlingaspellfile,whichmayresultinaninte- geroverflowatamemoryallocationsiteanda resultantbufferoverflow. Published:2/10/20172:59:00AM CVSSSeverity:v3-9.8CRITICAL v2-7.5HIGH Özet:Özet: Vim editörü , kullanıcı tarafından oluşturulan veriyi yeteri kadar boyutlandıramadığıiçinbuffer'akopyalamadan öncesınırlandırmakonusundabaşarısızolmak- tabudalocalinteger-overflowzafiyetinesebe- biyetvermektedir. Saldırganlarbuetkilenenuygulamadarastgele birkodçalıştırarakbuaçıklığıkötüyekullanabilir vebaşarısızexploitdenemelerimuhtemelbir DOSdurumuoluşturabilir. Sonsürümlerdezafiyetmevcutdeğildir. Detaylıbilgiiçin: https://github.com/vim/vim BUNUBİLİBUNUBİLİYORMUYDUNUZ? Ortalamabüyüklüktebirşirket,gerçektenzarar verebilecek2vakayıtespitetmekiçinhaftada 1.764.720sibersaldırıyıfiltrelemekzorundadır. CVE-2016-9269 SummaSummary:Remote Command Execution in com.trend.iwss.gui.servlet.ManagePatches in TrendMicroInterscanWebSecurityVirtualAp- pliance (IWSVA) version 6.5- SP2_Build_Linux_1707 and earlierallowsau- thenticated,remoteuserswithleastprivilegesto runarbitrarycommandsonthesystem asroot viaPatchUpdatefunctionality.Thiswasresolved inVersion6.5CP1737. Published:2/21/20172:59:00AM CVSSSeverity:v3-9.9CRITICAL v2-9.0HIGH Özet:Etkilenen uygulamalarda rastgele kod çalıştırılarakyetkininüstdüzeylereçıkartılması, veyineetkilenenbrowserlardanHTMLvescript kodlarıçalıştırılaraktacookie tabanlıkullanıcı bilgilerinin çalınabileceğiremotecode-execu- tion,privilege-escalation,HTML-injectionzafi- yetleritespitedilmiştir.Sonsürümlerdezafiyet bulunmamabulunmamaktadır. Detaylıbilgiiçin: https://success.trendmicro.com/solution/11166 72 Kaynak:https://nvd.nist.gov/
çevesindeyapılmaktadır. Paylaşımlıolarak; PPaylaşımlıWAF Hizmeti,KoçSistem’in Bulut yapısındansahipolduğuyedeklifizikselkaynak havuzu üzerinden müşteriweb sunucularına özelgüvenlik korumasısağlanan yapıdır.Bu hizmet,firmalarındonanım veyazılım yatırımı yapmalarıihtiyacınıortadankaldırmaktaolup tüm yatırım ve cihaz yönetimi hizmet kapsamındakapsamındasunulmaktadır.Hizmetdonanım ve yazılım seviyesinde paylaşımlıdır. Hizmet kapsamında sağlanan Paylaşımlı WAF’ın bakımları,müşteriiçin devreye alınmasıve yönetimiKoçSistem tarafından gerçekleştirilir. Buhizmet,KoçSistem VeriMerkezi'ndesanal veyafizikselwebveuygulamasunucusubulu- nan(bulunacak)ve/veyadedikeWAFyatırımı yapmamıştümmüşterileresunulmaktadır. Hizmetkapsamında WAF sisteminin merkezi yönetim sistemleriile7x24 izlenmesi(online otomatikalarm mekanizmasıdahil)veproaktif yönetimsağlanmaktadır. KoçSistem PaylaşımlıWAF Hizmeti,müşteri sunucularınınve/yakullanıcılarınıntoplam bant genişliğiileaylıkolarakfiyatlandırılır.Müşteri’nin talebidoğrultusundaIPve/veyaHatkapasite artırımıyapılabilir. WAFgünümüzgüvenlikriskleriaçısındanlüks olmaktan çıkmış ve tamamen gereklilik olmuştur.StandartFirewallveyaIPSgibigüven- likcihazlarıLayer7seviyesindekiaçıklarıkapa- tamazlar.WAFözellikleSQLInjection,Comment Spam,Cross-siteScripting(XSS),Application SpesificDDoSattacks,Wordpress,CoreCom merce,CSRFtarzıataklarauyarlanmışolanbir güvenlik sistemidir. WAF zararlı veya tanımlanmış kurallara uymayan erişimcilerin erişimleriniblokeedereksistemezararvermesini engeller. •Webaçıklıklarınıgidericikurallaroluşturulur. (VirtualPatching) •Web sitesindeki değişikliklerin izlenmesi sağlanır.(AnomalyDetection) •Upload yapılan işlemlerde virüs koruması sağlanır. •BotnetvekötücülIPadresleriüzerindengelen isteklerengellenir. DediDedikevePaylaşımlıolarakverilebilenhizmeti- mizindetaylarınıaşağıdabulabilirsiniz. Dedikeolarak; DedikeWAFyönetimihtiyacıolanmüşterileriçin WAF yönetimisağlanmasınıkapsar.Web ve uygulama sunucularına yönelik geliştirilmiş ataklarakarşıkorumaWAFyönetim hizmetiile gerçekleştirilir.Bu hizmet müşterinin sahip olduğuyedekli/yedeksizmerkezifizikselWAF’in KoçSistem tarafından yönetilmesi ve raporlanmasıilesağlanıraporlanmasıilesağlanır. YükdengelemecihazlarıüzerindebulunanWAF modüllerinin yönetimi de bu hizmet çer-
Kaspersky Lab Research and Analysis ekibi tarafından;gelişmiş,yeni,yokediciStoneDrill isimli wiper malware'i keşfedilmiştir. Kötü şöhretiylebilinenbirdiğermalwareolanSha- moon'a(nam-ıdiğerDisttrack)fazlasıylaben- zetilmektedir.Shamoon2012yılında35bincivarı bilgisayarda dataların silinmesine sebep olmuştuolmuştur.ShamoondaolduğugibiStoneDrill’in dehedefiOrtaAsyaveAvrupa’daözelliklede buralardakipetrolfirmalarıolduğubelirtilmek- tedir. Shamoon2 Shamoonyıkıcıbirmalwaretürüdür.2012’deilk çıktığı andan itibaren geliştirilmiş ve güncellenmişolarak2016’nınsonlarındatekrar yayınlanmıştır.MalwarekaynakkodundaArapça veYemenceifadelergörülmüştür. Ataklar:2012,17-29Kasım2016,23Ocak2017 HedeHedefler:SuudiArabistan -kamu,endüstri, telekomünikasyonveulaşımsektörü Shamoon2’deGüncellenenTehditler -Ransomwareözelliği -Adminhesapbilgilerinielegeçirebilecekön taramayapabilme -Silmesaldırısınızamanlama,otomatikleştirme --Etkilenmişbilgisayarınbulunduğunetworkteki tümsistemlerekolaycadağılabilme Yaygınlık:Shamoon2.0’ınşuanakadar11or- ganizasyondagörüldüğütespitedildi.2012’de ise enerji sektöründe bir firmanın 35000 bilgisayarınınverilerininyokedilmesinesebep oldu. StoneDrillinnasılyayıldığıhenüzbilinmemekte- dir.Anti-detectionözelliğinikullanarakvecasus- lukyazılımlarıylaberaber izinibellietmeden eriştiğibilgisayardakendinehasözellikleriyle güvenlikçözümleriniatlatarakdisktekidosyaları yoketmeyebaşlamaktadır.Ayrıcabumalwarein wiper tipi eski malwareler ile bağlantılı olabileceği söz konusudur. Aşağıda 2012 yılındakibüyükvurgunuylaadındansözettiren Shamoonileolanbenzerliğikarşılaştırılmıştır: StoneDrill Shamoon2.0analiziesnasındakeşfedilenyıkıcı birwipermalware’dir.İlgilimalware’inkaynak koduna bakıldığında Farsça ifadeler görülmüştür. Ataklar:2016ve2017 Hedefler:SuudiArabistanveAvrupalokasyonlu farklıbirhedef SStoneDrill’inTehditleri -Shamoon2.0’labirçoközellikaçısındanben- zerlikgösterme - Sandboxlar tarafından tespit edilmemesi maksadıyla kullandığı yüksek kabiliyetli gizlenmeteknikleri Yaygınlık:Şuanakadarbiryaygınlıköngörüsü çıkarılamamıştır. Amaçları:Organizasyonlardamaksimum zarar, ekonomik sorunlar yaratma, yüksel profilli organizasyonlarıhedefalma
24/3/2016tarihindekabuledilen7/4/2016tari- hindeResmiGazetede 29677sayıile5.tertip 57.ciltte yayınlanan KişiselVerilerinKorunması Kanunu (6698) gereğince “Kişisel Veri“ kapsamınagiren ad,soyad,TCkimlikno,pasa- portno,plaka,IPadresiEmailAdresi,Resimgibi bilgilerve “ÖznitelikliKişiselVeri“olup tek başınayeterlibilgivermesedebirleştiğindetek birkişiyiadresleyenbilgiler(siyasidüşünce,vakıf /sendika,biyometrikveri,sağlık,cezamahku- miyeti,ırk/etnikköken,din/mezhepvb.)korun- makla yükümlüdür.Verisorumlusu ve veri işleyen kişisel verilerin korunmasında müşterekensorumludur. Koçsistem olarakProaktifGüvenlikanlayışıile hem “VeriSorumluları”hem de“Veriyiİşleyen” taraflariçinkişiselverilerinkorunmasınayönelik teknik hizmet çözümlerini 2016’da hayata geçirmiştik.2017itibarıilefirmalarınvebüyük organizasyonların kişisel veri güvenliği farkındalığınıarttırmaküzere“Koçsistem Kişisel VerilerinVerilerin Korunmasıve Güvenlik Çözümleri Etkinliği”nisektörlerindekienbüyükfirmaların yer aldığı ve teknolojiye önem veren OSB’lerimizden Gebze Organize Sanayi Bölgesi’nde yoğun katılımla gerçekleştirdik. 14.03.2017 tarihinde Koçsistem olarak; iş ortağımızDeloitteilebirlikteKVK6698kanunu vvegetirdiklerini,KoçSistem'inuçtanucagüven- likyaklaşımınıvebunayöneliksunduğumuz kapsamlı çözümleri aktardık. GOSB Bölge MüdürüZ.NilSönmez,BölgeMüdürYardımcısı HülyaKaynak veBilgiİşlem Müdürü Engin Işık’ın da iştirak ettiği toplantıya, GOSB firmalarınınilgisiyoğunoldu. Artansibergüvenliktehditleri,alınabilecekön- lemlerveyönetilenhizmetler,yasalmevzuatlar, globalmevzuatlar,Türkiyemevzuatları,kişisel verilerinkapsamı,kişiselverilervehassasverile- rintanımı,kişiselverilerinişlenmesi,kişiselver- ilerin saklanması,kişiselverilerin korunması, kanuna uyum gereksinimleri, verilerin toplanması,mahremiyetetkianalizi,rızagerek- sinimleri,veri saklama yükümlülükleri,veri anonimleştirmeteknikleri,KoçSistem Güvenlik Çözümleri,VeriTabanıGüvenliğiÇözümü ve kişiselverininnasılizlenip korunduğudetaylı olaraküzerindengeçilenkonularoldu. KoçSistem Yönetilen HizmetlerKıdemliSatış YöneticisiAslıYılmaz,KoçSistem BilgiTeknolo- jileriGüvenlikYönetilenHizmetlerBirim Yöneti- cisiSerkan Özden,Deloitte KurumsalRisk HizmetleriKıdemliMüdürüCihanSalihoglu,DL Hukuk Bürosu’ndan Avukat Asilhan Özkaya tarafındanişletmelerdeverilerinkorunmasıve güvenliğeyönelikuyulmasıgerekenyükümlül- üklerhakkındabilgiverilentoplantı,soru-cevap ilesonlandırıldı.

More Related Content

KocSistem | SOC Aylik Bulten Mart 2017

  • 2. Güvenliksadecegizlilikdeğildir.Kimişirketler kullandıklarısistemlerin SSLilegizliolmasını sağlayıpgerikalankısım içingüvenlikönlemi almıyorlar. Bu kanının aksine güvenlik üç kısımdanoluşuyor:Confidentality(Gizlilik),In- tegrity(Bütünlük),Availability(Erişilebilirlik) Hernekadarverilerinizikorusanızdaverilerinizi görmedenonlarıyokedebileceklerçıkabilirya daverileriniziulaşılamazhalegetirebilirler.Bu durumlara karşı çoğu uygulamada önlem alınmıyor.Bilgiifşasaldırısı,birsaldırganınbir sistem hakkında değerlibilgileredinmesine olanak tanır.Bu saldırıtürü,birweb sitesi hakkındahakkındayazılım dağıtımı,versiyonnumaraları vepatch(yama)düzeyleridedahilolmaküzere sistemeözgübilgileriedinmeyiamaçlar.Ayrıca eldeedilenbilgileryedekdosyalarınveyageçici dosyaların yerlerinideiçerebilir.Bu nedenle, hangibilgileriaçığavurduğunuzuvebubilgile- rin kötü niyetli kullanıcılar tarafından kullanılabileceğiniherzamanaklınızdaolmalı. Çoğuwebsitesi,birmiktarbilgiifşaetmektedir. Birsaldırgan,birwebsitesihakkındanekadar çokbilgiedinirse,sistem ileuzlaşmasıokadar kolayolacaktır.Bilgiifşasaldırılarınıaşağıdaki saldırıtiplerindegörebiliriz: DirectoryIndexing:Normaltemelbirdosya mevcut değilse,istenen bir dizindekitüm dosyalarınlistelendiğiwebsunucusundakibir fonksiyonuistismaredebilir.Birkullanıcı,birweb sitesindekisayfayaistektebulunduğunda,web sunucusuisteğiişler,webdosyasıkökdizininde varsayılan dosya adınıarar ve bu sayfayı kullanıcıyakullanıcıyagönderir.Sunucusayfayıbulamazsa, birdizinlistesioluştururvebuçıktıyıHTMLbiçi- mindekullanıcıyagönderir.Bueylem,istenme- yendizinlistelerininiçeriğinin,belirlibirweb isteğiyle birleştirilen yazılım güvenlik açıkları nedeniyle, kullanıcıya açıklanmasına olanak tanır.Bubilgisızıntısı,birsaldırganasisteme karşıdahafazlasaldırıbaşlatmakiçingerekli bilgilerisağlayabilir. InfoInformationLeakage:Geliştiriciyorumlarıveya hatamesajlarıgibihassasverileriaçığavuranbir websitesiniistismaredebilir. Path Traversal: Web belge root dizininin dışındabulunankomutlara,dizinlerevedos- yalaraerişimizorlar. BirBirsaldırgan,birURL'yiwebsitesininyürüttüğü veyawebsunucusundakidosyalarıniçeriğiniifşa edecek şekilde kullanabilir.Çoğu web sitesi, kullanıcılarınwebbelgesiköküveyaCGIroot dizinineerişimikısıtlasada,birsaldırganözel karakterdizilerikullanarakbudizinlereerişebilir. Örneğin,../dizisi,saldırgantarafındandosyalara erişmekerişmek veya dosya sistemindekikomutları yürütmekiçinkullanılanyaygınbirdizidir. PredictableResourceLocation:Gizlenmişweb sitesiiçeriğiniveişlevleriniortayaçıkarır.Infor- mationDisclosure’uönlemekiçinSSL(Secure SocketsLayer)kullanılır.HTTPkatmanıüzerin- den iletidüzeyinde güvenlik kullanıyorsanız, bunun HTTP üstbilgilerini korumayacağının farkında olmalısınız. HTTP üstbilgilerini korumanın tek yolu, HTTP yerine HTTPS aktarımınıkullanmaktır.HTTPSaktarım,HTTP üstbilgileridedahilolmaküzeretümiletinin,SSL protokolünükullanarakşifrelenmesinisağlar.
  • 3. ediyorsanız kullanıcının bütün atakları deneyebileceğinivarsaymalıvebunagöreön- lemlerinizialmalısınız. Örnekler DirectoryIndexing:BöylebirHTTPisteği'GET /<nullbyte>.jspHTTP/1.0'kullanıcınınistediği dosyayıveyadizinigörmesinezeminhazırlar. Directory Traversal: Bu şekilde bir URL http://www.example.com/../restricted-file.cgi kullanıcıyadışarıkonumlandırılanrootdirectory webdökümanlarınaerişimimkanısağlar. DiDirectorytraversalwithencodedcharacters: ÖrnektekigibibirURLhttp://www.example.com /..%255c..%255c/restricted-file.cgibirüsttekine benzemeklebirlikteiki‘/’arasındakidouble- encodedifadeylegüvenlikfiltrelerigeçilebilir. Birçokhatamesajıörneklerindenbazıları: -Kullanıcıiçingeçersizuser:test -Testkullanıcısıbusistemdevarolamaz. Kısacasıhiçbirhatamesajıiçbileşenlerhakkında bilgisunmamalıdır. InfoInformationDisclosure’unyakıngeçmiştekien önemliörneği,henüzbirkaçgün öncesinde Wikileaks’in,CIA’inolduğunuiddaaettiği8000 belgeyikamuoyunasunmasıolmuştur.Ayrıcabu belgeleriniçerisindeadıgeçenönemlişirketler adına zafiyetyaratıp yaratmayacağıve siber saldırıların büyük boyutlara ulaşma durumu merakmerakkonusuolmuştur. Bilgi ifşa saldırısı, hassas bilgilerin açığa çıkarılmasınıamaçlar.Bir öncekiyazımızda ayrıntılarıyla bahsettiğimiz; bilgi ifşa saldırılarınınbeslendiğialtsaldırılarışuşekilde sıralayabiliriz: -DirectoryIndexing -InformationLeakage --PathTraversal -PredictableResourceLocation Bilgiifşaataklarınakarşıalınacakönlemlerden bazılarıaşağıdakigibidir: DilDilözelindeyorum kullanma:Buyorumlar ayrıştırıcılaryadaderleyicilertarafındanotoma- tikolaraksilinmeliveclienttarafındagörünme- melidir.Göründüğütakdirdezafiyetyaratabilir. Ancak HTML yorumlarının ColdFusion yorumlarınabenzerliğinedikkatedilmelidir. Uygun izin kullanma:Sunucudakidizin ve dosyaerişimkısıtlamalarınaçokdikkatedilmeli- dir. Güçlü şifreleme algoritmaları kullanma: Hassasverinintutulduğuherdurumdaonun korunduğundaneminolunmalıvebununiçin degüçlüşifrelemealgoritmalarıkullanılmalıdır. Enazayrıcalıkprensibi:Uygulamalarınızarka planda bir database kullanıyorsa, uygulamalarınıza mümkün olduğunca az ayrıcalıkverdiğinizdeneminolun. KısaKısahatamesajıkullanımı:Hatamesajlarınızı mümkünolduğuncakısatutmayaözengösterin ki hassas bilgilerinizi açığa çıkarmasın. Uygulamalarınızın hata mesajları kullanıcı tarafındandirekgörünmemelidir. Açıklıkprensiplidizayn:Biruygulamadizayn
  • 4. CVE-2017-5953 Summary:vim beforepatch8.0.0322doesnot properlyvalidatevaluesfortreelengthwhen handlingaspellfile,whichmayresultinaninte- geroverflowatamemoryallocationsiteanda resultantbufferoverflow. Published:2/10/20172:59:00AM CVSSSeverity:v3-9.8CRITICAL v2-7.5HIGH Özet:Özet: Vim editörü , kullanıcı tarafından oluşturulan veriyi yeteri kadar boyutlandıramadığıiçinbuffer'akopyalamadan öncesınırlandırmakonusundabaşarısızolmak- tabudalocalinteger-overflowzafiyetinesebe- biyetvermektedir. Saldırganlarbuetkilenenuygulamadarastgele birkodçalıştırarakbuaçıklığıkötüyekullanabilir vebaşarısızexploitdenemelerimuhtemelbir DOSdurumuoluşturabilir. Sonsürümlerdezafiyetmevcutdeğildir. Detaylıbilgiiçin: https://github.com/vim/vim BUNUBİLİBUNUBİLİYORMUYDUNUZ? Ortalamabüyüklüktebirşirket,gerçektenzarar verebilecek2vakayıtespitetmekiçinhaftada 1.764.720sibersaldırıyıfiltrelemekzorundadır. CVE-2016-9269 SummaSummary:Remote Command Execution in com.trend.iwss.gui.servlet.ManagePatches in TrendMicroInterscanWebSecurityVirtualAp- pliance (IWSVA) version 6.5- SP2_Build_Linux_1707 and earlierallowsau- thenticated,remoteuserswithleastprivilegesto runarbitrarycommandsonthesystem asroot viaPatchUpdatefunctionality.Thiswasresolved inVersion6.5CP1737. Published:2/21/20172:59:00AM CVSSSeverity:v3-9.9CRITICAL v2-9.0HIGH Özet:Etkilenen uygulamalarda rastgele kod çalıştırılarakyetkininüstdüzeylereçıkartılması, veyineetkilenenbrowserlardanHTMLvescript kodlarıçalıştırılaraktacookie tabanlıkullanıcı bilgilerinin çalınabileceğiremotecode-execu- tion,privilege-escalation,HTML-injectionzafi- yetleritespitedilmiştir.Sonsürümlerdezafiyet bulunmamabulunmamaktadır. Detaylıbilgiiçin: https://success.trendmicro.com/solution/11166 72 Kaynak:https://nvd.nist.gov/
  • 5. çevesindeyapılmaktadır. Paylaşımlıolarak; PPaylaşımlıWAF Hizmeti,KoçSistem’in Bulut yapısındansahipolduğuyedeklifizikselkaynak havuzu üzerinden müşteriweb sunucularına özelgüvenlik korumasısağlanan yapıdır.Bu hizmet,firmalarındonanım veyazılım yatırımı yapmalarıihtiyacınıortadankaldırmaktaolup tüm yatırım ve cihaz yönetimi hizmet kapsamındakapsamındasunulmaktadır.Hizmetdonanım ve yazılım seviyesinde paylaşımlıdır. Hizmet kapsamında sağlanan Paylaşımlı WAF’ın bakımları,müşteriiçin devreye alınmasıve yönetimiKoçSistem tarafından gerçekleştirilir. Buhizmet,KoçSistem VeriMerkezi'ndesanal veyafizikselwebveuygulamasunucusubulu- nan(bulunacak)ve/veyadedikeWAFyatırımı yapmamıştümmüşterileresunulmaktadır. Hizmetkapsamında WAF sisteminin merkezi yönetim sistemleriile7x24 izlenmesi(online otomatikalarm mekanizmasıdahil)veproaktif yönetimsağlanmaktadır. KoçSistem PaylaşımlıWAF Hizmeti,müşteri sunucularınınve/yakullanıcılarınıntoplam bant genişliğiileaylıkolarakfiyatlandırılır.Müşteri’nin talebidoğrultusundaIPve/veyaHatkapasite artırımıyapılabilir. WAFgünümüzgüvenlikriskleriaçısındanlüks olmaktan çıkmış ve tamamen gereklilik olmuştur.StandartFirewallveyaIPSgibigüven- likcihazlarıLayer7seviyesindekiaçıklarıkapa- tamazlar.WAFözellikleSQLInjection,Comment Spam,Cross-siteScripting(XSS),Application SpesificDDoSattacks,Wordpress,CoreCom merce,CSRFtarzıataklarauyarlanmışolanbir güvenlik sistemidir. WAF zararlı veya tanımlanmış kurallara uymayan erişimcilerin erişimleriniblokeedereksistemezararvermesini engeller. •Webaçıklıklarınıgidericikurallaroluşturulur. (VirtualPatching) •Web sitesindeki değişikliklerin izlenmesi sağlanır.(AnomalyDetection) •Upload yapılan işlemlerde virüs koruması sağlanır. •BotnetvekötücülIPadresleriüzerindengelen isteklerengellenir. DediDedikevePaylaşımlıolarakverilebilenhizmeti- mizindetaylarınıaşağıdabulabilirsiniz. Dedikeolarak; DedikeWAFyönetimihtiyacıolanmüşterileriçin WAF yönetimisağlanmasınıkapsar.Web ve uygulama sunucularına yönelik geliştirilmiş ataklarakarşıkorumaWAFyönetim hizmetiile gerçekleştirilir.Bu hizmet müşterinin sahip olduğuyedekli/yedeksizmerkezifizikselWAF’in KoçSistem tarafından yönetilmesi ve raporlanmasıilesağlanıraporlanmasıilesağlanır. YükdengelemecihazlarıüzerindebulunanWAF modüllerinin yönetimi de bu hizmet çer-
  • 6. Kaspersky Lab Research and Analysis ekibi tarafından;gelişmiş,yeni,yokediciStoneDrill isimli wiper malware'i keşfedilmiştir. Kötü şöhretiylebilinenbirdiğermalwareolanSha- moon'a(nam-ıdiğerDisttrack)fazlasıylaben- zetilmektedir.Shamoon2012yılında35bincivarı bilgisayarda dataların silinmesine sebep olmuştuolmuştur.ShamoondaolduğugibiStoneDrill’in dehedefiOrtaAsyaveAvrupa’daözelliklede buralardakipetrolfirmalarıolduğubelirtilmek- tedir. Shamoon2 Shamoonyıkıcıbirmalwaretürüdür.2012’deilk çıktığı andan itibaren geliştirilmiş ve güncellenmişolarak2016’nınsonlarındatekrar yayınlanmıştır.MalwarekaynakkodundaArapça veYemenceifadelergörülmüştür. Ataklar:2012,17-29Kasım2016,23Ocak2017 HedeHedefler:SuudiArabistan -kamu,endüstri, telekomünikasyonveulaşımsektörü Shamoon2’deGüncellenenTehditler -Ransomwareözelliği -Adminhesapbilgilerinielegeçirebilecekön taramayapabilme -Silmesaldırısınızamanlama,otomatikleştirme --Etkilenmişbilgisayarınbulunduğunetworkteki tümsistemlerekolaycadağılabilme Yaygınlık:Shamoon2.0’ınşuanakadar11or- ganizasyondagörüldüğütespitedildi.2012’de ise enerji sektöründe bir firmanın 35000 bilgisayarınınverilerininyokedilmesinesebep oldu. StoneDrillinnasılyayıldığıhenüzbilinmemekte- dir.Anti-detectionözelliğinikullanarakvecasus- lukyazılımlarıylaberaber izinibellietmeden eriştiğibilgisayardakendinehasözellikleriyle güvenlikçözümleriniatlatarakdisktekidosyaları yoketmeyebaşlamaktadır.Ayrıcabumalwarein wiper tipi eski malwareler ile bağlantılı olabileceği söz konusudur. Aşağıda 2012 yılındakibüyükvurgunuylaadındansözettiren Shamoonileolanbenzerliğikarşılaştırılmıştır: StoneDrill Shamoon2.0analiziesnasındakeşfedilenyıkıcı birwipermalware’dir.İlgilimalware’inkaynak koduna bakıldığında Farsça ifadeler görülmüştür. Ataklar:2016ve2017 Hedefler:SuudiArabistanveAvrupalokasyonlu farklıbirhedef SStoneDrill’inTehditleri -Shamoon2.0’labirçoközellikaçısındanben- zerlikgösterme - Sandboxlar tarafından tespit edilmemesi maksadıyla kullandığı yüksek kabiliyetli gizlenmeteknikleri Yaygınlık:Şuanakadarbiryaygınlıköngörüsü çıkarılamamıştır. Amaçları:Organizasyonlardamaksimum zarar, ekonomik sorunlar yaratma, yüksel profilli organizasyonlarıhedefalma
  • 7. 24/3/2016tarihindekabuledilen7/4/2016tari- hindeResmiGazetede 29677sayıile5.tertip 57.ciltte yayınlanan KişiselVerilerinKorunması Kanunu (6698) gereğince “Kişisel Veri“ kapsamınagiren ad,soyad,TCkimlikno,pasa- portno,plaka,IPadresiEmailAdresi,Resimgibi bilgilerve “ÖznitelikliKişiselVeri“olup tek başınayeterlibilgivermesedebirleştiğindetek birkişiyiadresleyenbilgiler(siyasidüşünce,vakıf /sendika,biyometrikveri,sağlık,cezamahku- miyeti,ırk/etnikköken,din/mezhepvb.)korun- makla yükümlüdür.Verisorumlusu ve veri işleyen kişisel verilerin korunmasında müşterekensorumludur. Koçsistem olarakProaktifGüvenlikanlayışıile hem “VeriSorumluları”hem de“Veriyiİşleyen” taraflariçinkişiselverilerinkorunmasınayönelik teknik hizmet çözümlerini 2016’da hayata geçirmiştik.2017itibarıilefirmalarınvebüyük organizasyonların kişisel veri güvenliği farkındalığınıarttırmaküzere“Koçsistem Kişisel VerilerinVerilerin Korunmasıve Güvenlik Çözümleri Etkinliği”nisektörlerindekienbüyükfirmaların yer aldığı ve teknolojiye önem veren OSB’lerimizden Gebze Organize Sanayi Bölgesi’nde yoğun katılımla gerçekleştirdik. 14.03.2017 tarihinde Koçsistem olarak; iş ortağımızDeloitteilebirlikteKVK6698kanunu vvegetirdiklerini,KoçSistem'inuçtanucagüven- likyaklaşımınıvebunayöneliksunduğumuz kapsamlı çözümleri aktardık. GOSB Bölge MüdürüZ.NilSönmez,BölgeMüdürYardımcısı HülyaKaynak veBilgiİşlem Müdürü Engin Işık’ın da iştirak ettiği toplantıya, GOSB firmalarınınilgisiyoğunoldu. Artansibergüvenliktehditleri,alınabilecekön- lemlerveyönetilenhizmetler,yasalmevzuatlar, globalmevzuatlar,Türkiyemevzuatları,kişisel verilerinkapsamı,kişiselverilervehassasverile- rintanımı,kişiselverilerinişlenmesi,kişiselver- ilerin saklanması,kişiselverilerin korunması, kanuna uyum gereksinimleri, verilerin toplanması,mahremiyetetkianalizi,rızagerek- sinimleri,veri saklama yükümlülükleri,veri anonimleştirmeteknikleri,KoçSistem Güvenlik Çözümleri,VeriTabanıGüvenliğiÇözümü ve kişiselverininnasılizlenip korunduğudetaylı olaraküzerindengeçilenkonularoldu. KoçSistem Yönetilen HizmetlerKıdemliSatış YöneticisiAslıYılmaz,KoçSistem BilgiTeknolo- jileriGüvenlikYönetilenHizmetlerBirim Yöneti- cisiSerkan Özden,Deloitte KurumsalRisk HizmetleriKıdemliMüdürüCihanSalihoglu,DL Hukuk Bürosu’ndan Avukat Asilhan Özkaya tarafındanişletmelerdeverilerinkorunmasıve güvenliğeyönelikuyulmasıgerekenyükümlül- üklerhakkındabilgiverilentoplantı,soru-cevap ilesonlandırıldı.