Rik Ferguson

AB’ye “ciddi” siber saldırı!

Avrupa Komisyonu sıkça siber saldırılara hedef oluyor fakat bu seferkinin kapsamı alışılmış saldırılardan daha geniş görünüyor.

Avrupa Birliği sözcüsünün açıklamasına göre ‘ciddi bir siber saldırı’ nedeniyle Libya’da gerçekleşen askeri harekât, Avrupa nükleer programı ve mali krizin ele alınacağı AB Zirvesi arifesinde ana sistemler kapatıldı ve çalışanlar için bir uyarı yayınlandı.
 
Ayrıntılara bakıldığında saldırının kapsamı ve neye yol açacağı konusunda pek bir bilgi yok. Fakat saldırının zamanlaması ve hedeflediği nokta açısından iki hafta önce Fransa Maliye Bakanlığı’na yönelik gerçekleşen saldırıyı oldukça anımsatıyor. O dönemde yapılan açıklamalara göre o saldırı G20 Zirvesi’yle ilgili bilgileri ele geçirmeyi hedeflemişti.
 
Avrupa Komisyonu sıkça siber saldırılara hedef oluyor fakat bu seferkinin kapsamı alışılmış saldırılardan daha geniş görünüyor. Bu kapsamda resmi olmayan bilgilerin ifşa edilmesini önlemek adına, personelin şifrelerini değiştirmeleri istendi, e-posta sistemine ve Komisyon’un intranetine dışarıdan giriş geçici olarak durduruldu.  EUObserver’ın bildirdiğine göre bütün personel, “Hem Komisyon hem de EEAS (European External Action Service) geniş kapsamlı bir siber saldırının hedefi konumundadır” şeklinde e-posta ile uyarıldı.
 
AFP’nin bildirdiğine göre AB Sözcüsü Antony Gravili, zirve konularına dair gizli belgeleri ortaya çıkarma girişimi olarak değerlendirmektense saldırının temelini malware’e dayandırdı.  Ticari ve kamusal kurumlara yapılan saldırıların yapısına bakıldığında, bu iki olasılık arasında net bir çizgi çekmek çok mümkün değil. Malware, suç ve uluslararası casusluk olaylarında kullanılan araçlardan biri ve bir yargıya varmak için inceleme yapmaya gerek kalmadan en azından üretim karşıtı olduklarını söyleyebiliriz.
 
Uluslararası siber-casusluk ve ticari avantaj elde etmek için yapılan bilgi hırsızlığı son birkaç yıldır devam ediyor. Ancak 2009/2010’da Aurora saldırılarıyla gerçekleşen sansasyon sonucunda, bu konu kamunun dikkatini çekti.  O zamandan beri, bu saldırıların kamusal ifşa durumu hızla değişti ve artık saldırıların sıklıkla artığı izlenimine biraz olsun katkı sağlayabilir.
 
Bununla birlikte Aurora, Night Dragon, Stuxnet’in yanı sıra G20 ve AB zirvelerine yapılan saldırılar, yeni gerçekliği grafiksel olarak ortaya koyuyor. Siber casusluk siber suç işlemek kadar kolay fakat yakalanması daha zor ve geleneksel yöntemlerden daha az risk taşıyor. Bu hepimiz için yeni bir cephe!

Google Android arka kapıdan girilerek hacklendi!

21 Android uygulamasının yasal sürümlerinin değiştirilerek marketlere konulmasının fark edilmesinin ardından zararlı yazılım sayısı şu anda 50!

Reddit’te sıklıkla “Tüm Android zararlı yazılımların anası olarak” olarak tanımlanan malware’in ayrıntıları Android Police sitesinde (http://www.androidpolice.com/201 ... -and-open-backdoor/) detaylarıyla yayınlandı.

Reddit’ten Lompolo’nun 21 Android uygulamasının yasal sürümlerinin değiştirilerek marketlere konulmasını fark etmesinin ardından zararlı yazılım sayısının şu anda 50’yi aştığı görülüyor. Değiştirilerek marketlere koyulan sürümler “rageagainstthecage” gibi cihazı ele geçirebilen zararlı yazılımları içeriyor. Truva atına dönüştürülmüş bu uygulamalar cihazın IMEI ya da IMSI gibi detaylarını çalmakla kalmıyor, telefonu ele geçirmenin yanı sıra daha sonra kullanıcının cihazda dahi bulunmayan kişisel bilgilerini toplamak için gizli yazılımlar da yüklüyor. Şöyle ki Android Police’in yaptığı araştırmaya göre yüklenen bu gizli yazılımlar, herhangi bir şifreyi de indirerek ele geçirebiliyor.

Lompolo’nun yazısına yorum olarak bir geliştirici şunları söylüyor:

“Orjinal Guitar Solo Lite uygulamasının geliştiricisiyim. Bu ismi cismi bilinmeyen uygulamayı bir haftadan biraz fazla bir süre önce fark ettim (Uygulamanın korsan sürümünden çakışma raporları alıyordum). Google’ı bu konuda bildiğim tüm kanallardan uyarmaya çalıştım. Bana henüz cevap verdiler. Reddit de böyle bir mesaj yayınladığı için minnettarım. Çünkü bu mesajdan sonra o ismi bilinmeyen geliştirici ve tüm uygulamaları marketten kaldırıldı. Google’ı harekete geçirmenin daha hızlı ve kolay bir yolu olmalı!”

Trend Micro, genel olarak DroidDream olarak tanınan tehdidi ANDROIDOS_LOTOOR.A olarak tanımladı.

Geçen 5 günlük süre içerisinde adeta genetiğiyle oynanmış bu uygulamalar 50 binden fazla kez Android cihazlara indirildi. Google şu anda uygulamaları geri çekti ve ismi bilinmeyen geliştiriciyi Android piyasasında engelledi. Bunun yanında uygulamalardan zarar gören telefonlardaki uygulamalar da kaldırıldı. Tabii ki uygulamanın kaldırılmış olması cihazın içine sızarak taramalardan kaçabilen yazılımların etkisini yitireceğini ifade etmiyor. Yani eğer uygulamaları indirmiş 50 bin kişiden biriyseniz cep telefonunuzu değiştirmeniz ya da işletim sistemini baştan yüklemeniz çok daha iyi olacaktır.

İçinde çok geniş yelpazede uygulama mağazası bulunması ve uygulamaların kullanıcılara dakikalar içinde ulaşabilmesi Android uygulama ekosisteminin açık yönlerini ortaya koyuyor. Tıpkı Facebook’un suçlular için çok geniş ve çekici bir oyun alanına dönüşmesi gibi Android geliştiricilerin çevresindeki bu geniş açık, suçlular için yaratıcı ortamın oluşumunu tetikliyor.

Aslında Google Android için Trend Micro’nun (http://us.trendmicro.com/us/prod ... curity-for-android/) ürettiği gibi güvenliği garanti altına alan yazılımlar olduğunu da unutmamak gerekiyor. Mobil platformlardaki tehditlerin sayısı gün geçtikçe hızla ve düzenli şekilde artıyor. Tabi ki mobil cihazlara yönelik zararlı yazılımların toplam hacmine bakıldığında Windows için üretilen malware’lerin yanına bile yaklaşamaz ama suçluların mobil platformlar ilgisinin ne denli arttığı açıkça görülüyor. Aslında geleneksel olarak Wintel sistemlerine odaklanmış suç gruplarının birçok platforma birden saldırdığını görüyoruz. Bunun yanında örneğin SMS ile koruma sağlayan banka şifrelerini çalan Zeus gibi yazarlı yazılımların daha karmaşık hale geldiği ortaya çıkıyor. Suçlular müşteri davranışlarına göre hareket ediyor ve artık doğrudan para kazanmayı hedefledikleri mobil platformlara yöneldi.

Myournet tarafından yayınlanmış ve Truva atına dönüşen uygulamaların listesini aşağıda bulabilirsiniz:

  • Falling Down
  • Super Guitar Solo
  • Super History Eraser
  • Photo Editor
  • Super Ringtone Maker
  • Super Sex Positions
  • Hot Sexy Videos
  • Chess
  • 下坠滚球_Falldown
  • Hilton Sex Sound
  • Screaming Sexy Japanese Girls
  • Falling Ball Dodge
  • Scientific Calculator
  • Dice Roller
  • 躲避弹球
  • Advanced Currency Converter
  • App Uninstaller
  • 几何战机_PewPew
  • Funny Paint
  • Spider Man
  • 蜘蛛侠

Guardian gazetesi de zararlı uygulamaların daha geniş bir listesini yayımladı. (http://www.guardian.co.uk/techno ... market-apps-malware)

Facebook kendi eliyle JavaScript açığı yarattı

Facebook fan sayfalarındaki değişiklikler ne gibi tehlikeler besliyor

Geçtiğimiz günlerde markalar (TrendMicro), müzik grupları(Clearly Deluded) ve hatta salatalıklar(Cucumbers) için yaratılmış Facebook fan sayfalarında önemli değişiklikler gerçekleşti.

Geçmişte bu sayfalara eklenebilen sekmeleri yaratmanın iki yolu vardı; birincisi Facebook FBML uygulamasıydı. Bu uygulama sayfa sekmelerinin Facebook Markup Language (FBML) ya da HTML ile yaratılmasına imkân veriyordu. Çok umut verici olmasa da kullanması oldukça kolay bir yöntem denebilir.

Sayfa sekmeleri yaratmak için ikinci yöntemse özel Facebook uygulamasının içine standart bir FBML sekmesi eklemekten geçiyordu. Bunun anlamı şuydu; özel uygulama üçüncü parti bir ortamdan veri istiyor ve sayfa sekmesinde görüntüleniyor. Bu yöntemde Facebook’un engelleri nedeniyle aynı pikselin tekrar istenmesi, JavaScript ve Flash gibi birçok şey kullanılamaz duruma gelerek teknik engeller ortaya çıkıyordu.

Peki, büyük değişim ne? Artık sayfalardaki sekmelerde yer alan Facebook uygulamalarında iframe’ler kullanılabiliyor. Aslında bu durumun anlamı şu: Facebook’un yönlendirmesinden kaçınılabilir. Kuşkusuz bu durum dürüst geliştiriciler için iyi bir haber anlamı taşırken, zararlı yazılımların da çok daha kolay sızmasına yol açacak.

Şimdi bir Facebook sayfası hazırlarken varsayılan bir sekme ve iframe içeren bir uygulamadan yararlanılabiliyor. Örneğin Bu iframe’lerden JavaScript içereni, kullanıcının etkileşimine bakmaksızın kendi seçeceği herhangi bir siteye yönlendirebilir. Yine örnek vererek devam edersek; FakeAV (sosyal mühendislik yöntemleriyle kullanıcıları zararlı sitelere yönlendirmeye çalışan yazılım) barındıran ya da zararlı yazılımlarla sessizce kullanıcıya sızmaya çalışan sayfalar artık kolaylıkla Facebook’ta görülebilir.

Artık kullanıcıları beğenileri doğrultusunda kandırmaya gerek yok. Zira bir suçlu kullanıcıların sadece sayfayı ziyaret etmesi için yeterince tatlı bir yem ortaya attıysa, bilgisayarınızın kötü niyetli kişilerin emellerin alet olmasına yeterli olacak.
Tabii ki Facebook, kendi geliştiricilerine bu tür aktivitelerden uzak durmaları için yürütme kodundan emin olmaya çalışıyor ancak suçlulara dönüp bakarsak, bu durum sadece gezintiye çıkan bir şoförün ehliyetine el koymak gibi görünüyor.
Bahsettiğim yeni Facebook fonksiyonuyla ilgili genel bir bilgi edinebildim ve dahasını duyarsam paylaşmaya devam edeceğim. Bu arada Stig Edvartsen’e keskin gözleri, Heidi Obschil-Müller’e de iframe için teşekkür ederim.

Takip Edin

 

Turhost