Rik Ferguson

Ödüller yüksek, ancak aldıran yok galiba…

Neden siber suçlular için konan ödüller işe yaramıyor?

Ödüller, bugüne kadar yüksek profil zararlı yazılım yaratıcıları/operatörlerinin yakalanması karşılığında teklif edildi. Bu tür girişimler ne kadar başarıya ulaştı ve kısıtlayan etkenler nelerdi?

Microsoft Anti-Virus Ödül programı 2003’ten bu yana Sasser, Sobig, Blaster, Conficker ve şimdi de Rustock’un yaratıcıları için çeşitli ödüller teklif etti. Ödül parası Microsoft tarafından sunulsa da ödülü kimin hak ettiğini tutuklama ve mahkeme sonucunda kamu güçleri karar verdi.

Teklif edilen ödüllere rağmen başarıya ulaşan dosya sayısı oldukça az. 2005 yılında Sasser solucanının arkasındaki isim olan Sven Jaschan’ın bilgilerini veren iki kişi 250 bin dolarlık ödülü paylaşmıştı. Ancak dediğim gibi başarılar oldukça sınırlı. Sobig ile ilgili henüz bir tutuklama gerçekleşmedi ve belki de son dönemin en fazla can yakan zararlı yazılımı Conficker yaratıcısıyla ilgili bir gelişme kaydedilemedi. 

Zararlı yazılım üretenlerin yakalanması konusunda bilgi verenlere ödülleri elbette sadece Microsoft vermiyor. 2004 yılında SCO MyDoom’un yazarının tutuklanması ve mahkûm edilmesi için 250 bin dolar teklif etmişti. Yine ortaya bir sonuç çıkmadı.

Bu sınırlı başarılını birkaç sebebi bulunuyor; suçlular takma isimler altında hareket ediyor ve gerçek kimlikleri hakkında gerçekten ser verip sır vermiyor. Ödüller “gerçek dünyadaki” suçlarda birçok bilginin açığa çıkmasını sağlarken tanıkların ortaya çıkma olasılığının çok daha yüksek olduğunu anlamamız gerekiyor. Sanal dünyadaysa bu tür suçlara tanık olabilmek için bir şekilde olayların içinde, hatta ortak olmak gerekiyor. 

Ayrıca yüksek profilli zararlı yazılımlar konusunda verilen ödüllere bakıldığında 250 bin ila 500 bin dolarlık ödüller göze çarpıyor. Ancak bu ödüller yüksek profilli bir suç şebekesinin normalde kazanabileceği paranın yanında çok düşük kalıyor.

Büyük hack olayının yan etkileri!

Eğer aynı şifreyi birçok web sitesinde kullananlardansanız hemen şifreleri değiştirmeli ve bu huydan vazgeçmelisiniz!

Sony’den son gelen haberler ne yazık ki başımıza gelebileceklerin en kötülerinin birçoğunu kapsıyor. 17 ile 19 Nisan arasında “kimliği bilinmeyen kişi” Sony’nin 70 milyondan fazla müşterisinin kişisel bilgilerine erişti. Çalındığı onaylanan bilgiler şu şekilde:

  • İsim
  • Adres
  • E-posta adresi
  • Doğum tarihi
  • PlayStation Network/QRiocity kullanıcı adı ve şifresiyle online ID


“Çalınmış olması muhtemel” bilgilerse şöyle:

  • Fatura adresi
  • Satın alma geçmişi
  • PlayStation Network/Qriocity güvenlik sorusu cevapları
  • Bağımlı tüm hesapların yukarıdaki bilgileri (çocuğunuzun size bağlı hesabı gibi)

Kredi kartı bilgilerinin çalındığına dair hiçbir kanıt olmamasına rağmen Sony, “bu ihtimali göz ardı edilemeyeceğini” ifade etti ve müşterilerini uyardı.

Bu sizin için ne ifade ediyor? Eğer aynı şifreyi birçok web sitesinde kullananlardansanız hemen şifreleri değiştirmeli ve bu huydan vazgeçmelisiniz. Siber suçlular e-posta adresinizi ve ortak kullandığınız şifrenizle birlikte adresinizi geri alabilmek için kullandığınız güvenlik sorularınıza verdiğiniz cevapları biliyor bile olabilir.

Hiçbir zaman aynı şifreyi birçok web sitesinde kullanmak iyi bir fikir değildir. Bu sebeple her site için farklı bir şifre edinmeye özen gösterin. Bu belki size karmaşık ve hatırlaması imkansız bir seçenek gibi görünebilir ama bunu başarmanın kolay bir yolu var. Büyük ve küçük harfler, numaralar ve $%&! gibi özel karakterlerin bulunduğu karmaşık bir şifre oluşturun. Her site için farklı bir şifre oluşturmak için bir yol benimseyin. Örneğin, web sitesi isminin ilk ve son harflerini karmaşık şifrenizin başına ya da sonuna yerleştirin. Bu sayede şifreniz farklılaşırken hatırlamanız da kolaylaşacak.

Güvenlik ve şifre sıfırlama sorularıysa bir hesaba sızılmasının en yaygın yollarından biridir. Eğer “güvenlik sorularına” iyi cevaplar vermek istiyorsanız verdiğiniz cevabın gerçekten güvenli olup olmadığını düşünün. Güvenlinin buradaki anlamı sadece sizin verebileceğiniz bir cevap olması. Eğer kendi sorularınızı yaratma ihtimaliniz bulunuyorsa, bunu kullanın. Eğer “İlkokul” ya da “İlk hayvanınız” gibi daha standart sorulara cevap vermek zorundaysanız doğru cevabı vermek zorunda olmadığınızı unutmayın. Doğru cevap yerine hatırlayabileceğiniz bir cevabı tercih etmek daha iyi olacaktır.

Bunların yanında, Sony’nin uyarılarını dikkate alın ve banka hesaplarınızdaki hareketlerinizi sıkça kontrol ederek olası bilinmeyen aktiviteleri bankanıza bildirin.

Botnet’lerin Tarihi II

Bu makale, botnetlerin zaman içindeki gelişimini anlatan üç serilik yazının ikincisidir. İlkine bir önceki blogumdan ulaşabilirsiniz.

Organize Suç
Suç dünyasının botnetlerin sunduğu imkanları farkederek bu konuyla ilgilenmeye başlaması 2003 yılına denk geliyor. Yeni yüzyılın başladında SPAM hala büyük oranda “evde yapılan” bir işti. Büyük miktarda SPAM gönderimi yapmak için adanmış sunuculara gerek duyuluyordu. Bagle, Bobax ve Mytob tüm bu süreci değiştirdi. Bagle ve Bobax ilk SPAM botnetleriydi ve Mytob da daha eski toplu mail gönderim worm’ları MyDoom ve Sdbot’un bir karışımıydı. Bu yeni yaklaşım suçlulara kurban PC’ler üzerinden SPAM yapmaya ve iyice agresifleşmeye başlayan yasal takipten kaçınmaya imkan veren geniş botnetler oluşturma imkanı sağladı.

O zamandan itibaren pek çok botnetin yükselişine ve düşüşüne sahne olduk; en eski spam botneleri, yukarda da belirttiğim gibi Bagle ve Bobax’ı. Bunlardan Bobax, 2008’deki McColo’nun çöküşüyle çok büyük yara aldı. Şu anda çok popüler olan ZeuS suç ailesinin geçmişi ise 2006 yılında çıkan RuStock’a dayanıyor. RuStock başka bir spam botnetiydi ve ZeuS ise bir bilgi hızsızlığı aracı. O yıldan itibaren ZeuS, muhtemelen en yaygın kullanılan bilgi hırsızlığı aracı haline geldi. ZeuS’un yaratıcısı düzenli olarak araç kitinin yeni versiyonlarını oluşturuyor, beta testini yapıyor ve yayınlıyor. Tüm bunları yaparken de araç kitine yeni yeni özellikler ekliyor veya mevcut özellikleri iyileştiriyor.

Bu yeni sürümler çok yüksek fiyatlarla satışa çıkartılırken eski sürümler de ücretsiz olarak dağıtılıyor. Fakat genelde bu eski sürümler, suçluların içine gizlediği arka kapılar da içeriyor ve hırsızlar aynı zamanda kurban haline geliyor. Bu ücretsiz suç araçlarının bolluğu, sibersuç dünyasına girmek için gerekli olan maliyet engelinin küçülmesine ve online suç dünyasında daha fazla suç baronu oluşmasına olanak tanıdı. ZeuS, bu konudaki tek araç değil, daha pek çoğu internetin koridorlarında geziniyor ve hatta birbirleriyle rakabet halindeler. Üstelik uzman olmayan kullanıcılar için işaretle ve tıkla gibi çok basit kontroller sayesinde etki altındaki tüm bilgisayarlar kolaylıkla yönetilebiliyor.

2007 yılı, Cutwail ve Srizbi ile birlikte meşhur Storm botnetinin de doğum yılı oldu. Aynı yıl Asprox da sahneye çıktı. Unutmayın ki bunlar, dışardaki bir kaç bin botnetden sadece bir kaçı. Şu anda Shadowserver Foundation adlı kurum 6 bin farklı komut ve kontrol (Command & Control – C&C) sunucusunu takip ediyor ki bu rakam tüm botnetleri ifade etmiyor. Trend Micro her an SPAM gönderimi için kullanılan on milyonlarca virüs bulaşmış bilgisayarı takip ediyor ve bu rakama bilgi hırsızlığı, DdoS veya diğer tür suçlar için kullanılan bilgisayarlar dahil değil.
 
Karşı Atak
Komut ve yönetim altyapıslarını önemli kısmını elinde bulunduran suç servis sağlayıcılarına yönelik olarak geçmişte pek çok başarılı koordine girişim oldu; 2008’de Intercage/Atrivo  neredeyse Mega-D botnet’i yok ediyordu ama haftalar içerisinde intikam ateşiyle yanarak geri döndü. Yukarıda McColo’nun çöküşünden bahsetmiştim. McColo her türlü suç işinde parmağı olan bir yapıydı ve diğer aktivitelerin yanı sıra Srizbi, yeniden ayağa kaldırılmış Mega-D, RuStock, Asprox, Bobax, Gheg ve Cutewail için C&C sunucularının barındırmasını yapıyordu. 2008 Kasım ayında McColo internetten çekilince dünya genelindeki SPAM aktiviteleri yüzde 80 düştü. Fakat ne yazık ki 2009’un Ocak ayında SPAM trafiği önceki seviyesine yeniden ulaştı. 2009 Haziran’ında ISP 3FN, Federal Ticaret Komisyonu tarafından kapatıldı. 3FN bazı Cutewail C&C sunucularını barındırıyordu ve o Cuma Cutwail öldü. Ama sonraki Pazartesi tüm gücüyle yeniden canlandı. Tarih bize gösteriyor ki bu dünyada suçluların öylece bırakıp gidemeyecekleri kadar büyük paralar dönüyor.

Kamu ve özel kurumlar botnetlere karşı toplu bir atak gerçekleştiriyor olsalar da suç evrimi hiç duraklamıyor. Yeni teknolojiler ortaya çıktıkça suçlular kazançlarını korumak, ölçeklenebilirliklerini ve esnekliklerini artırmak veya daha etkin kamuflaj için bu yeni teknolojileri kendilerine adapte ediyorlar.

Başlangıçta Komut ve Kontrol (Command & Control – C&C) IP adresleri bot içerisine yazılmıştı. Bu sayede tanımlama ve nihai dağıtım malware araştırmacıları tarafından çok daha basitçe yapılabiliyordu ama kötü adamlar her zaman hatalarından ders alır. Mesela Cutwail, alternatif olarak yedek bağlantılar içeriyor. Her bot, Command ve Control sunucuları için günlük olarak kriptolu alternatif alan adları üretiyor. Suçlular tabiki hangi gün hangi alan adının üretileceğini bildikleri için alternatif komut kanalını kolaylıkla aktif hale getirebiliyorlar. Benzer teknikler Conficker’ın ardındaki suçlular tarafından da kullanılıyor. Conficker her gün 50 bin alternatif isim üretiyor. Güvenlik endüstrisi tüm bu isimlere erişimi engellemek durumunda ama suçlular önceden bu bilgiye sahip oldukları için sorun yaşamıyorlar. İki yıl önce ortaya çıkığından bugüne yaklaşık 6 milyon bilgisayar Conficker tarafından ele geçirildi. Bu bilgisayarlar SPAM’a ek olarak bilgi hırsızlığı gibi pek çok suç için de kullanılabiliyorlar.
 
Botnetler pek çok yoğun kullanımlı yazılım dağıtım ağlarına da sızmış ve bu ağları suç çalışmaları için kullanır durumdalar. Suçlulular, bu tehlikeli bilgisayarlara binlik paketler şeklinde erişip yeni malwareler yüklemek için önemli paralar ödüyorlar. Mesela bir SPAM botu, ikinci olarak beraberinde bir data hırsızlığı malware’i de taşıyabiliyor. Sahte antivirüs yazılımları ve fidyeci yazılımlar (bilgisayarınızdaki dosyaları şifreleyen ve geri açmak için sizden fidye isteyen yazılımlar) da virüs bulaşmış bilgisayarlardan uzun vadede daha fazla faydalanmanın diğer yolları. Ama genelde pek çok suçlu, kazançlarını SPAM, DdoS ve bilgi hırsızlığı gibi konulara girmeden sadece botnetlerine erişimden sağlıyor.
 

Bir bot ağı ile parayı kaldırdılar!

Bir bot ağı, suçlulara 100 bin avronun üzerinde para kazandırdı. Soruşturma bugüne kadar gizli tutuldu.

 
Belçika gazetesi De Tijd’de çıkan bir habere göre, Belçikalı yatırımcıların online portföylerinin gizliliğini ihlal etmek amacıyla tehdit içerikli yazılımlar kullanıldı. Bot ağı, daha sonra hisse bedellerini etkilemek için kullanıldı ve suçlulara 100 bin avronun üzerinde para kazandırdı. Soruşturma bugüne kadar gizli tutuldu.
 

Görüntü, rednuht'ın Creative Commons başlıklı Flickr fotoğraf arşivinden.
 
Belçika’daki federal savcı ve ulusal polis teşkilatının bilgisayar suçları birimi, 2007’de meydana gelen olayları araştırıyordu. 2007’nin Nisan ve Mayıs ayları arasında suçlular Dexia, KBC ve Argenta gibi bankaların müşterilerine ait PC’lere bir botla (Botun özelliği tam olarak bilinmiyor) sızdı. Bot, online hisse alışverişi platformlarında kullanılan kullanıcı adlarını ve şifreleri çaldı. 
 
Makale, bot ağ genelinde hisse alışverişini otomatikleştirmeyi başaran ve son derece hedef gözeterek özel yazılmış gibi görünen saldırı hakkında detaylar vermeye devam ediyor. 
 
“Bot ağ yöneticisi, tek bir tuşa basarak, bütün bilgisayarlara aynı anda aynı hisseleri satın alma ya da satma talimatı veriyor.”
Elbette, şirketin ardındaki suçlular, klasik “pump-and-dump” (hisse senedi fiyatlarıyla ilgili yanlış ve yanlı yorumlar sonrasında fiyatlarının birden artıp sonrasında sönmesi) taktikleri dahilinde doğru zamanlarda hisse alınıp satılmasıyla manipüle edilmiş, bir doların altındaki hisselerde yaşanan ani değişimlerden kâr etmeye devam ettiler.
Belçika Bankacılık, Finans ve Sigorta Komisyonu (CBFA) çalışanlarından Hein Lannoy, şunları söylüyor: “Temmuz 2007’deki korsan saldırının ardından ülkede benzeri başka bir olay yaşanmadı. Nisan 2009’da finansal kuruluşlarımızın güvenlik standartlarını iyileştirmeye yönelik bir sirküler gönderdik. Belçika online bankacılık hizmetleri şu anda çok iyi bir biçimde korunuyor. Standartlarımızı ülkemizdeki yabancı bankalarda uygulatma yetkimiz yok.”
 
Ne var ki, yerel bir gazetecinin yaptığı görüşmelere bakılırsa, pek çok Belçika bankası (aslında dünyadaki bankaların çoğu) hâlâ klasik iki faktörlü yetkilendirmeyi uyguluyor. Bu uygulamada, işlemden ziyade kullanıcıyı yetkilendirmek amaçlanıyor. Bu tür bir teknoloji bu botu mevcut haliyle engellese de, alt edilmesi imkansız bir teknoloji değil. Daha önce de bu sayfalarda yazdığım gibi, tehdit içerikli yazılımlar, çok faktörlü kullanıcı yetkilendirmeyi etkisiz kılacak aşamaya çoktan geldi. 
 
Bunu göz önüne alarak, online bankacılık güvenliğinde yapılacak herhangi bir iyileştirmede basitçe kullanıcıyı yetkilendirmekten ziyade tek tek işlemlerin doğrulanması hayati önem taşıyor. Yetkilendirme dizgeciğinin kendisi, işlemin içeriği ya da değeri ile ilgili doğrudan girdiyi kabul edebilecek kapasitede olmalı. Bu, daha sonra her iki tarafça doğrulanabilir ve “tarayıcıdaki kötü niyetli adam” tarafından değiştirilemez.
 
Belçika polis teşkilatı, şu anda suçluları takip etmek amacıyla diğer ülkelerden meslektaşlarıyla işbirliği yapıyor.

Twitter’daki büyük tehlike!

Bilgisayar korsanlarının yeni hedefi Twitter’daki acemi kullanıcılar gibi görünüyor…

 
Birkaç saat önce, aşağıdakine benzer, son derece şüpheli görünen tweet’ler (mesajlar) almaya başladım. 
 

 
Mesajdaki link (bağlantı) kısaltılmış; ama, kullanıcıyı gizlenmiş JavaScript barındıran bir siteye yönlendiriyor.
 

 
Eğer bu JavaScript tarayıcı tarafından çalıştırılırsa, kurban, sevimsiz bir veri yüküne maruz bırakılıyor. Şu ana kadar tehdit içeren PDF dokümanları ve yürütülebilir dosyalarla karşılaştık. Bu Truva atları, daha fazla tehdit içeren yazılım yüklemesi yapmak için ek lokasyonlara bağlanmaya çalışıyor. TrendLabs şu anda konuyu araştırıyor, güncellemeler için blogu takip edin. 
 
Twitter’ın bu son tehdit içeren spam’i, bu ayın başında ortaya çıkan Gazze ve FIFA spam’inin hemen arkasından geldi.
 
Sözün özü, nereye tıkladığınıza dikkat edin ve güvenlik yazılımınızın bu uğursuz link’leri engellediğinden emin olun.

Takip Edin