Rik Ferguson

Dropbox Sızıntısı ve tehlike çanları!

Dropbox Sızıntısı Akıllarda Soru İşaretleri Bıraktı...

18 Temmuz günü Dropbox, sadece Dropbox hesaplarıyla bağlantılı olarak kullandıkları e-mail hesaplarına spam mesajlar almaya başlayan kullanıcılarının iddialarını incelemeye başladıklarını duyurdu. Aradan geçen iki hafta sonunda, gizem çözülmüşe benziyor.


Dropbox'ın açıklaması, "başka sitelerden çalınan kullanıcı adı ve şifreler çok az miktarda Dropbox hesabına giriş yapmakta kullanıldı" yönündeydi. İşte bu girişlere hedef olan az sayıdaki hesaptan birinin, içinde "kullanıcı e-mail adresleri içeren bir döküman" bulunduran bir Dropbox çalışanına ait olduğu belirlendi. Bu döküman, istenmeyen mesajların kaynağıydı.


Benim açımdan bu haber ve olayların ele alınış biçimi endişe verici bir kaç detay içeriyor. Örneğin, bir Dropbox mühendisinin geliştirdiği projede gerçek kullanıcı bilgileri üzerinde çalışıyor olması. Sadece iş görmesi için üretilmiş yapay bilgiler kullanılamaz mıydı? Bu döküman ele geçirildi, çünkü Dropbox çalışanı firma şifresini başka web sitelerinde de kullanıyordu. Tam olarak hangi sitelerden bahsedildiği belli değil, ama bu büyük bir hata değil mi?


İki detay, Dropbox'ın kullanıcılarına bu güvenlik açığını içinde şifrelerini baştan oluşturmalarını sağlayan bir link bulunduran e-mail mesajlarıyla bildirmiş olması. Kullanıcılarımıza yıllardır e-mail yoluyla gelip bazı linklere tıklayarak açılan web sitelerine kişisel bilgilerini girmelerini isteyen mesajlara asla uymamalarını öğütleriz. Dropbox'ın uygulamasıysa, bizim bu en temel güvenlik önerimizin tam zıttı. Üstelik kullanıcıların belirttiğine göre, Dropbox'ın ana sayfasında bu saldırı ve şifre resetleme gerekliliği üzerine hiç bir bilgi olmaması, firmanın yolladığı mesajların güvenilirliğini daha da belirsiz hale getirmiş. En ideal durumda etkilenen firmanın kullanıcılarına bir bilgilendirme mesajı göndermesi, ama mesajın içinden link vermek yerine kullanıcıları firmanın ana sayfasında verilecek yöntemi izlemeye davet etmesi gerekirdi.
Son detaysa Dropbox'ın uğradığı saldırı sonucunda bazı kullanıcı şifrelerinin sıfırlandığını belirtmesi. Firmaya göre, bazı durumlarda kullanıcı şifresini değiştirmek zorunda kalabilir. Kullanıcı şifresinin çok kullanılan bir şifre olması ya da çok uzun süredir değiştirilmemesi bu durumlara örnek olarak belirtilmiş. Peki, Dropbox bir kullanıcı şifresinin "çok kullanılan bir şifre" olduğunu nasıl anlıyor? Şifreleri jargonda "tuz" denilen ek bilgilerle şifrelemeden, düz metin olarak mı kaydediyorlar? Ya da güvenlikten çok hız için optimize edilmiş bir şifreleme algoritmasına dayanarak tüm şifreler için aynı "tuz" verisini mi kullanıyorlar? Eğer bu düşüncelerimizden herhangi birisi doğruysa, şifre veritabanları "Rainbow Attack" denen türde saldırılara açık demektir. Uygun olan, her kullanıcının şifresinin kendisine özel bir "tuz" ile işlenerek depolanması ve Blowfish gibi ek çalışma faktörleri eklenebilen algoritmaların kullanılmasıdır. Bu yöntem şifrelerin kırılması için gerekecek süreyi büyük ölçüde arttırır ve ek çalışma faktörü değiştirilebildiğinden işlemci gücü arttıkçe şifrelemenin gücü de arttırılabilir. Çalışma faktörünün artması kullanıcı şifresinin tekrar şifrelenmesini yavaşlatır, bu yavaşlama tek bir kullanıcı düşünüldüğünde önemsiz düzeydedir ancak şifreleri kırmaya yarayan tabloların oluşturulmasını yararsız kılar.
Dropbox'ın kullanıcılarına ikili şifre kontrolü olanağını sağladığını duymak güzel, üstelik diğer bazı güvenlik iyileştirmeleri de söz konusu, ancak bu bahsettiğimiz detaylar ve firmanın olaya yaklaşımı kafamızdaki soru işaretlerini hala silmedi.


Tüm bunlardan öte, Dropbox kullanıcılarının şimdi Dropbox temalı phising furyalarına hazır olmaları gerekiyor. Açığa çıkan bilgilerin eninde sonunda kötü niyetli birilerinin ekmeğine yağ süreceği kesin. İşte bu durum, şifre oluşturma servislerini kullanarak her kullanıcı hesabınız için farklı şifreler belirlemeniz gerekliliğinin göstergesi. Eğer servis sağlayıcı firmalara güvenemiyorsanız, kendi güvenliğinizi kendiniz sağlamanız gerekiyor.

DNS günü – Evde biri var mı?

DNSChanger'ın ne kadar büyük bir baş belası olduğundan haberiniz var mı?

DNSChanger zararlı yazılımı sızdığı bilgisayardaki DNS ayarlarını değiştirebiliyor. Aslında bunun anlamı siber suçlular DNS sayesinde kurbanın bilgisayarını kontrol edebiliyor, istedikleri gibi seçecekleri yere yönlendirebiliyor, kullanıcı bir banka ya da arama motoruna girmeye çalışırken kolaylıkla tuzağa düşürülüyor.

Bu hack'leme yöntemi Esthost çetesi tarafından tıklama dolandırıcılığı amacıyla kullanılmıştı. Saldırganlar kullanıcı aramaları ve siteleri başka yerlere yönlendirerek reklamverenler ve reklam ağlarını dolandırarak milyonlarca dolar kazanmıştı.

Zararlı yazılımdan etkilenen ya da henüz etkilendikten sonra DNS ayarları düzeltilmeyen kişisel bilgisayarların, zararlı yazılım temizlense bile suçluların istedikleri yerlere yönlendirildiğini hatırlatmakta fayda var. FBI'ın takibinde bulunan zararlı yazılım bulaşmış farklı IP adresleri için verilen süre doldu ve temizlenmemiş bilgisayarların internet bağlantıları kesildi. Yaklaşık 300 bin bilgisayarın internetle ilişkisine son verildiği tahmin ediliyor.

Trend Micro'nun FBI'la ortak çalışmalar yürüttüğü Esthost çetesinin adalet sürecine taşınmasında 4 milyon PC'nin o dönemde etkilendiği tespit edilmişti. Şu anda bu rakamın 300 bin seviyesine çekilmesi büyük bir başarı olarak görülmelidir. Yine de DNS sunucularının kapatılmasının ardından en azından 300 bin insanın web erişiminin tamamen kaybettiğini unutmamak gerekiyor.

Şu an bunu okuyorsanız şanslısınız, ancak eğer olan bitenden bihaber komşular kapınıza gelip de internet neden kesildi diye sorarsa, zırhınızı kuşanıp şövalyecilik oynayabilirsiniz. Eğer internet servis sağlayıcınızın yardım masasına müracaat ederseniz... Güç sizinle olsun! (May the force be with you!)

Şapşal olma, sessiz ol! Şapşal olma, sessiz ol!

Uzun dönemde emniyet güçlerinin başarısı, sadece basit pazarlama inisiyatiflerine kurban edilmemelidir.

“Microsoft tarafından açılan davanın da bir parçası olduğu (siber suçlardaki) temizlikte, suçla mücadelede yürütülen agresif kampanyalar, yasal mercilerin hareketini beklemekten daha fazla etkili oluyor” cümlesi benim şu tweet’i atmama sebep oldu:

“Emniyet güçlerini beklemeden 39 John Does’a ve bulundurduğu online varlığa karşı harekete geçmek çok saçma bir fikir.”

Günvelik endüstrisi ve araştırma şirketleri emniyet güçleriyle birlikte hareket etmeli, onlara rağmen değil. Bu nedenle botnetlerin varlığından sorumlu olduğu düşünülen 39 kişi, şu anda araştırmaya dahil olduklarını biliyor ve “kaçma” şansları bulunuyor.

Daha önce benzer bir durum Koobface’in emniyet güçlerini beklemeden ortaya çıkarılmasında yaşandı. Bilgi, yasal süreci beklemeden bir kez yayımlandığında suçluların kaçma fırsatı ortaya çıkıyor.

Microsoft’un sivil örneğine geri dönersek, çalışan gruplar arasında bilginin paylaşılmasına istinat ediliyor. Normalde, endüstri ve yasa güçlerinin bir araya gelerek işbirliğine gitmesi gerekiyor.

Esthost botnetinin ortadan kaldırılmasındaki başarı, güvenlik endüstrisi ve emniyet güçleri bir arada çalışarak suçluların yakalanmasından kaynaklanmıştı. Bu sayede internet ve internet kullanıcılarının daha fazla güvende olması sağlanmıştı. Bu soruşturma tam 6 yıl sürmüş ve tüm suç zincirinin tutuklanmış ve tüm altyapının çökertilmişti.

Uzun dönemde emniyet güçlerinin başarısı, sadece basit pazarlama inisiyatiflerine kurban edilmemelidir.

ZeuS/SpyEye sonun başlangıcında mı?

Microsoft botnet'lerin peşine düştü. Bu sefer yanında büyük bir destek de var!

Microsoft, Bilgi Paylaşım ve Analiz Merkezi (FS-ISAC), 4 bin 400 finansal enstitüyü temsil eden bir ticari grup ve Elektronik Ödeme Birliği (NACHA) tam 162 sayfalık dava dosyasıyla birlikte ZeuS, SpyEye ve Ice IX botnetlerinin arkasında bulunduğuna inanılan suçluların peşine düştü.

ZeuS, Ice-IX ve SpyEye’ın ardında bulunan kod yapısının, internet suçları konusunda uzun ve yüz kızartıcı bir tarihi bulunuyor. 2006 yılından bu yana Zeus ve dolayısıyla ortaya çıkan yüzlerce bireysel botnet kişisel ve kurumsal banka hesaplarından milyonlarca pound çaldı. SpyEye ise aslında ZeuS’a rakip olması için ortaya çıkarıldı. Hatta ZeuS bir bilgisayardan kaldırılmaya çalışıldığında SpyEye o bilgisayara sızmaya çalışıyordu. Daha sonra iki zararlı kod bir araya gelerek tek bir suç kaynağı haline dönüştü.

Microsoft’un davada yetkili avukatı, bu önemli suç kaynağının ardındaki dev altyapıyı ortaya çıkarmak için çok uzun süre çalıştı. ZeuS, SpyEye ve Ice-IX kodcuları olarak üç ayrı kimliklendirme yapılırken, iki kod geliştirici, iki PDF ve Flash açıklarını yaratan kodcu, web sitelerine zararlı yazılım yüklenerek sahte bankacılık web sitelerinin yaratılmasına sebep olan üç kişi, dört botnet barındırıcısı ve on beş botnet operatörü, yedi para çalan yazılım üreticisi, çalınan paraların nakde döndürülmesini sağlayan üç uzman ve bir de kandırılan kurbanlardan gelen bildirimleri yöneten siber suçlu dava dosyasına girdi.

Mahkeme, Kuzey Amerika’dan Britanya, Almanya’ya, İran, Hong Kong’tan Avustralya’ya kadar neredeyse tüm dünyayı saran zararlı ağ altyapısını da belirledi. 3357 alan adına sahip 35 kayıtlı kullanıcının “ZeuS botnetleri” ile ilişkilendirildiği, bu alan adlarının bin 703 tanesinin Verisign ile kayıt altına alındığı bilgisi verildi. Botnet saçan ve suç işleyen iki barındırma noktasına 23 Mart’ta el konuldu. Ancak Microsoft’un da notlarında belirttiği gibi, bu el koyma işlemi sadece iki IP adresini ve 3 binin üzerindeki alan adından sadece 800’ünü barındıran sunuculara gerçekleştirildiği için botnetlerin bitmesi için henüz çok büyük bir adım olmadığı görülüyor.

Elbette siber suçlular 39 kişiden çok daha fazlasını oluşturuyor ve şu anda yeterince tanımlama yapılamadı. Ancak bu hiçbir şey değiştirmez. Slavik ve gribodemon gibi suçlular uzunca süre adaletten kaçmayı başardı ancak bu uluslararası operasyonlar ve işbirliğinin devam etmesini umalım ve emniyet güçlerinin yasa dışı faaliyetler üzerinde önemli bir etki yaratmasının takipçisi olalım.

Bugün bilinen 806 ZeuS ve Ice IX sunucularının emir komuta sunucularının listesini çıkarak ZeuS Takipçisi Projesi’ne göre, hala 343 sunucu online ve aktif halde. SpyEye Takipçisi listesine göre ise bilinen 487 sunucunun 16’sı şu anda aktif durumda.

Yılbaşı alışverişinde yalancı fırsatlara kanmayın!

Sahte mağazalar çok ciddi bir tehdit, haberiniz var mı?

Yılbaşının gelmesiyle birlikte siber saldırganlar da bilgisayar kullanıcılarının yorgun gözler ve parmaklarla yapacakları alışverişleri beklemeye başladı. İnternet üzerinden satış yapan mağazaların isimleriyle oynayarak binlerce sahte site yaratıldı. Birçok markanın web sitesinin benzerleri şimdiden ortaya çıktı.

Suçluların yarattığı web siteleri genelde ismen benzer oldukları markaların web sitelerinin birebir kopyası oluyor. Bu sitelerde ziyaretçiler doğrudan saldırganlara para getiren reklam bağlantılarına yönlendiriliyor ya da kişisel ve finansal bilgilerin paylaşılmasına zorlanıyor. Ayrıca, bazı sahte web sitelerinde de birçok zararlı yazılım ziyaretçilerin bilgisayarına sızarak kişisel bilgileri ele geçirmek ya da saldırganların bilgisayarları uzaktan kontrolüne imkan vermek için bekliyor.

İnternet kullanıcılarının yanlış web sitelerine yönlenmesine sebep olan ‘typosquatting’ yöntemi neredeyse dünyanın her yerinde kullanılıyor. Konuyla ilgili Amerika Birleşik Devletleri, 1999 yılında Anticybersquatting Müşteri Koruma Hareketi ile önlem almaya çalışarak bu sorunla savaşmaya başladı. Geçmişte birçok şirket bireysel başvuruları sonucunda kendi markaları üzerinden para kazanan bu sitelerle mücadele etmek için önemli miktarlarda para harcadı. Örneğin Lego, kendi markasını korumak için yarım milyon dolardan fazla bütçe kullandı.

Son zamanlarda karşımıza çıkan ‘typosquatting’ saldırılarında sadece sıkça duyduğumuz markaların isimleri üzerinden alınmış alan adları sorun teşkil etmiyor, doğrudan bizim dikkatsizliğimizden para kazanılmaya çalışılıyor. Örneğin, yılbaşı alışverişlerinde hepsiburada.com yerine hepsiburda.com adresine ya da gittigidiyor.com yerine gitigidiyor.com adresine girmediğinizden nasıl emin olabilirsiniz ki?

Sonuç olarak tıkladığınız yere dikkat etmeli ve eğer yılbaşında önemli miktarda online alışveriş yapacaksanız, daha önceden doğruluğundan emin olduğunuz online satış sitelerini işaretleyerek, yılbaşı telaşından yanlış yazma riskini ortadan kaldırabilirsiniz.

Takip Edin

 

Turhost