Rik Ferguson

Mutlu Yıllar ve Çok önemli bir uyarı!

Eğer şu anda Internet Explorer kullanıyorsak, belki de bilgisayarlarımızın kötüye kullanılmasına hazır olmalıyız!

Evet, nihayet işlerimiz tatil sezonu nedeniyle azalıyor ve midelerimiz birkaç gün kötüye kullanmak için hazır. Eğer şu anda Internet Explorer kullanıyorsak, belki de bilgisayarlarımızı aynı oranda kötüye kullanılmaya hazır olmalıyız.

Öncelikle bu fırsat elime geçmişken tüm okuyucularımın tatil sezonunun iyi geçmesini ve geçtiğimiz yıl gerçekleşen kötü şeylerin önümüzdeki yıl iyi şeylere dönüşmesini dilerim! Ve bir endişeyi şimdiden kafanızdan atmak için, Microsoft Internet Explorer 0-day vulnerability (Microsoft Internet Explorer 0 gün savunmasızlığı) yamasının yokluğunda bu açıktan korumayı vaat eden bedava araç Browser Guard 2010 yükleyerek kendinizi koruyabilirsiniz.
Savunma zafiyeti çok ciddi görünüyor, öyle ki Windows 7, Vista ve XP de dâhil olmak üzere Internet Explorer kullanılan tüm Windows’ları etkiliyor. Bu tür açıklarda en endişe vericisi de uzaktan ifa kodu (remote execution code) oluyor. Bunun anlamı, saldırgan istediği programı (malware de olabilir) doğrudan kurban bilgisayarda çalıştırabiliyor. Ayrıca bu noktada Microsoft’un özellikle son Windows’larda sağladığı güvenlik çözümleri bilgisayar belleğini kullanmayı engelleyen Data Execution Prevention (DEP) ve saldırganın hedeflediği adrese ulaşmasını zorlaştıran Address Space Layout Randomisation (ASLR) hiçbir işe yaramıyor.

Microsoft kullanıcılarına internet ve yerel intranet güvenlik seviyelerini “yüksek” yapmalarını tavsiye ediyor ama eğer planladıkları yamanın dışında bir şey olursa ne olacağı hakkında bir şey söylemiyor. Savunma zafiyeti için geliştirilen exploit (sömürücü) kod çoktan yayılmış ve metasploit aracının içine yerleşmiş. Bizler bu açık için geniş çapta saldırı göreceğimizi öngörüyoruz.

Bu savunma zafiyeti, iki yıl önceki zafiyeti hatırlatıyor. O dönemde de birçok devlet Internet Explorer kullanılmaması ve alternatif tarayıcıya geçilmesi konusunda uyarıda bulunmuştu. Benim o dönemdeki sorun için görüşlerime bu adresten (http://countermeasures.trendmicr ... -that-the-question/) ulaşabilirsiniz.

Saldırganlar Facebook'çulara olta atıyor!

Pek çok Facebook kullanıcısı endişe verici istenmeyen doğrudan mesajlar aldıklarına dair bana uyarıda bulundu.

 

Facebook olta (phishing) mesajı
 
Yukarıda ekran görüntüsü alınan mesajın Facebook Müşteri Hizmetleri’nden geldiği belirtiliyor. Ayrıca “Birkaç ihlalden dolayı hesabınızın sunucularımızla olan bağlantısının kesildiğini üzülerek bildirmek isteriz. Hesabınızın devre dışı kalmasını önlemek için ya da bu mesajın yanlışlıkla gönderildiğini düşünüyorsanız, aşağıdaki linke tıklayarak hesabınızı doğrulayın. Teşekkür ederiz” yazılı mesajda linke tıklanması isteniyor.
 
Mesajda ihlalin neden kaynaklandığı belirtilmemiş, ancak yardımsever(!) dolandırıcılar kimliğinizi onaylayabileceğiniz bir link öneriyor.
Eğer herhangi bir kullanıcı linke tıklarsa, mesaj onları Facebook Güvenlik sayfasının birebir kopyası olan bir web sitesine yönlendirecek. Aşağıdaki ekran görüntüsünde fark edebileceğiniz gibi, durum sadece Facebook kimliğinizle ilgili değil. Saldırganlar doğum tarhinizi ve e-posta bilgilerinizi de ele geçiriyor.
 

Facebook Güvenlik sayfasının benzeri olan olta (phishing) sitesi
 
Ben zaten Facebook’ta bu tür saldırı mesajlarıyla ilgilenen biri tarafından uyarılmıştım ve şimdi ben sizi uyarıyorum. Eğer Trend Micro kullanıyorsan meraklanma, biz zaten bu tür olta sitelerini engelliyoruz.

Botnet’lerin Tarihi III

Bu makale, botnetlerin zaman içindeki gelişimini anlatan üç serilik yazının sonuncusudur!

Karmasada kaybolmak (White noise- bir deyim)
2007'nin ikinci yarısından bu yana, suçluların Web 2.0'da kullanıcı bazlı içeriği suistimal ettiği görülüyor.  Belirlenen ilk alternatif komut ve kontrol kanalları, suçlular tarafından komutların halka açık bir bloga gönderildiği ve bot'ların RSS beslemeleri aracılığıyla bu komutlara eriştiği bloglar ve RSS beslemeleriydi. Aynı şekilde bot bulaşan bilgisayarlardan çıktılar komut ve kontrol sunucuları tarafından meşrulaştırılmak üzere yine RSS üzerinden, tümüyle ayrı ve yasal kamusal bloga gönderiliyordu.
 
Web 2.0 servisleri yaygınlaşması ve kurumsal tarafta ciddi oranda kabul görmesiyle birlikte, suçluların inovatif çalışmaları da ilerlemeye devam etti. Örneğin Amazon'un EC2 bulutu, ZeuS bot için konfigürasyon dosyalarının barındırılmasında kullanılıyor. Twitter, e-posta mesajlarında URL filtrelemeyi geçmek üzere, spam kampanyalarında çıkarma sayfası olarak kullanıldı. Yine Twitterlar, Facebook, Pastebin, Google Groupları ve Google AppEngine, komut ve kontrol altyapıları için bir platform gibi kullanıldı. Bu kamuya açık forumlar, şaşırtmalı komutları küresel bazda dağıtılmış botnet'lere yayınlamak üzere ayarlandılar. Bu komutlar, bot'un komut ve bileşenler indirmek üzere erişebileceği URL'leri barındırıyor.
 
Bu site ve servislerdeki çekicilik; onların kamusal, açık, esnek, yüksek erişim ve anonimlik gerçeğini de ortaya koyuyor, ki bu bir komut ve kumanda altyapsını için süreklilik anlamına geliyor. Ağ içerik inceleme çözümlerinin kötü siteler olarak bilinen, şüpheli görülen ya da istenmeyen IRC gibi kanallarla isteyerek iletişim kuran uç noktaları bulabilmesi beklenebilirken; PC'nin her gün pek çok kez port 80 üzerinden Facebook, Google ya da Twitter gibi içerik sağlayıcılara standart HTTP GET istekte bulunması tümüyle normal görüldüğünü kabul etmek gerekiyor.
Her ne kadar botnet sahipleri ve suçlular, komut ve kontrol altyapılarını geliştirmek için yöntemler geliştirse ve internetin karmaşık yapısına (the white noise) karışsa da, bunun böyle gitmesi söz konusu değil. Tabii zaman geçtikçe biz nasıl ilerliyorsak, suçluların da sürekli inovasyonu sürdürmesini beklemeliyiz. Daha fazla botnet, efektif uçtan uca iletişimi, güncel ve güdümlü kanalları kullanacaktir. Bot'lar ya da bot'la kontrol eden arasındaki iletişim, belki PKI'ın uyarlanmasıyla daha etkin şekilde şifreli hale gelecek. Komut ve kontrol işlevi, uzlaşmalı yasal servislere (compromised legitimate services) rağmen, bulut servislerini uçtan uca  ve gizli kanallarla kullanarak daha etkin şekilde dağılacak. Spam kapasiteleri artacak. Ölümcül Koobface gibi botnet'ler, halihazırda sosyal ağ servislerini mesajlar yollayarak yayılmak için kullanıyor. Çok yakın zamanda sosyal ağların spam kapasitelerinin bot agent'lara eklenmesini bekleyebiliriz. 
 
Nereye gidiyoruz?
O halde bütün yapabileceğimiz ümidimizi kaybetmek mi? Tamamen değil ve bunu kanıtlayabilirim. Çatışmalar farklı platformlarda gerçekleşen bir savaş halinde sürüyor. Hükümetlerin ve AB, OECD ve Birleşmiş Milletler gibi uluslararası organizasyonların, daha etkin cezai takibat için siber-suç alanında kanunların küresel boyutta uyumlulaştırılmasına daha fazla odaklanmaları gerekiyor. Yasa uygulayıcı makamlar, milletlerüstü suçları kontrol etmek için eş zamanlı anlaşmalar gerçekleştirmeli. Aynı zamanda internet servis sağlayıcılar ve alan adı kayıt şirketleri de önemli bir role sahip. ISS’ler bu konuda uyumlu olmak adına müşterilerini bilgilendirmeli ve onlara bu konuda yardımcı olmalı. (Bu son dönemde gelişen olumlu bir eğilim.)Aynı zamanda müşterilerine zarar verdiğine inandıkları servislere son vermeliler. Alan adı kayıt şirketleri kayıt sırasında daha etkin takip edilebilir kimlik formları talep etmeliler ve  kötü niyetli kullanıcılar üzerindeki şüphler arttığında servisleri kapatılmalı.
 
Güvenlik sektörü Conficker’a karşı savaşırken rakipler arası işbirliklerinden önemli dersler aldı. Umut verici bir şekilde bu işbirliğinin süreceği ve derinleşeceği görülüyor. Vatandaşları siber-suçlarla gelen tehlikelerden korumak ve güvenli bilgisayar kullanımını desteklemek adına eğitmek ve bilgilendirmek için insiyatifler ulusal seviyede finanse edilmeli.  Son olarak güvenlik endüstrisi kazandığı başarıya güvenerek yelkenleri suya indirmemeli. Geçmiş başarılarımızdan güç alabiliriz ancak eskimiş teknolojiyle güvende olamayız. İnovasyon güçlü olmak için anahtar konumunda ve umut verici şekilde, kötü çocukların geliştirdiği tekniklerden de üstün konumda.
 

Takip Edin

 

Turhost