Siberbülten Editoryal tarafından yazılmış tüm yazılar

Dünyanın önemli siber tehdit platformlarından Abuse.CH’nin kurucusu hikayesini Siber Bülten’e anlattı: Her şey bir blogla başladı

18 Mayıs 2022 Siberbülten Editoryal Yorum yapın

Tehdit istihbaratının önemli isimlerinden Roman Hüssy, her geçen gün siber saldırı yüzeyinin genişlediğini hatırlatarak tehditlere karşı uluslararası iş birliğininin önemine dikkat çekti.

Siber Bülten’e konuşan abuse.ch girişiminin kurucusu İsviçreli tehdit istihbaratı uzmanı, önemli açıklamalarda bulundu:

Siber Bülten: abuse.ch girişimini başlatmaya nasıl karar verdiniz?

Roman Hüssy: Aslında biraz tesadüfi gelişti. 15 yıldan fazla önce çeşitli IT konuları hakkında blog yazmaya başladım. Bu yazılar arasında okuyuculardan en çok ilgiyi gören yazıların siber güvenlikle ilgili olduğunu fark ettim. Birçok okuyucunun siber güvenlikle ilgili olduğunu keşfettim.

Siber Bülten: Girişimin arkasındaki fikir nedir?

Roman Hüssy: Siber güvenlik şirketlerinin, güvenlik uzmanlarının, hükümetlerin ve kolluk kuvvetlerinin siber tehditler hakkında güvenilir, hayata geçirilebilir teknik bilgileri aradıklarını anladım.

Bu yüzden geçen 15 yılda güvenlik araştırmacılarının böyle bilgileri paylaşabileceği birçok açık tehdit istihbaratı (Open Threat Intelligence) platformu kurdum ve yayımladım.

Siber Tehdit İstihbaratının gözdesi: OpenCTI nedir?

Amaç mümkün olduğunca çok kuruluşu ve internet kullanıcısını korumak. Aynı zamanda güvenlik güçlerine de tehdit aktörlerini tespit etmekte yardımcı olmak.

Siber Bülten: abuse.ch girişiminin nasıl bir endüstri olmasını umuyorsunuz?

Roman Hüssy: İlk başta, abuse.ch benim boş vakitlerimde internet kullanıcıların faydası için kâr amacı gütmeden yürüttüğüm özel bir girişimimdi.

Bununla beraber proje hızlı bir gelişme gösterdi. Proje bugün sadece platformlar geliştirmiyor tehdit avı da gerçekleştiriyor ama aynı zamanda milyon dolarlık rakamlarla ifade edilen büyük bir alt yapıyı da koruyor.

“PLATFORM MİLYONLARCA KİŞİYE HİZMET VEREN FİRMALARCA KULLANILIYOR”

Siber Bülten: Bu kadar yıl sonra abuse.ch girişiminin durumunu nasıl değerlendiriyorsunuz?

Roman Hüssy: 2021’den bu yana proje İsviçre’de Bern Uygulamalı Bilimler Üniversite’sinin (BFH) ev sahipliğini yaptığı kâr amacı gütmeyen bir araştırma projesiydi.

Projenin alt yapısı ve personel giderleri tamamen bağışlara dayanıyor.

Şu anda her gün milyonlarca internet kulllanıcısına hizmet veren birçok güvenlik ürünü satıcısı ve tehdit istihbaratı firmaları abuse.ch tarafından sağlanan bilgiyi kullanıyor. Ama bizim sağladığımız tam olarak bilgi değil. Mesela İnternet Tahsisli Sayılar ve İsimler Kurumu (ICANN) ve AB Komisyonuna da teknik uzmanlığımızla destek veriyoruz.

Siber Bülten: Şu anda girişim içim kaç kişi çalışıyor?

Roman Hüssy: Kısıtlı finansal kaynaklardan dolayı çalışanlar ben ve bizzat kendim sadece…

Siber Bülten: Kaç sponsorunuz var?

Roman Hüssy: Abuse.ch girişimine sponsorluk desteği veren 15 kuruluş var. Sponsorlar arasında bazı akademik kuruluşlar da var.

Siber Bülten: Onlarla nasıl bir ortaklık ya da iş birliğiniz var?

Roman Hüssy: Akademik kuruluşlara siber tehditler konusunda araştırmalara destek olması için geniş çaplı veri setleri sunuyoruz.

“ULUSLARARASI SİBER OPERASYONLARA KATILDIK”

Siber Bülten: Abuse.ch’nin daha önce yürüttüğü bir indirme (take down) operasyonu oldu mu?

Roman Hüssy: 2014 yılında, ABD Adalet Bakanlığı ile Game “Gameover ZeuS” ve “Cryptolocker” botnetine yönelik operasyona katıldık.

2015’te ise FBI ile Bugat botnetine yönelik operasyona katıldık.

Ayrıca network operatörlerinin ve hosting hizmeti veren firmaların istismar raporlarına ne kadar zamanda tepki verebildiğini ölçüyoruz. En güncel istatistikler internet sitemizde yer alıyor.

Siber Bülten: Abuse.ch bilgi platformunun bilgi paylaşımında kaliteyi nasıl geliştirdiniz?

Roman Hüssy: Yazılımı büyük kısmını ben boş vaktimde geliştiriyorum. Bununla beraber platformlarımızı geliştirmek için sıklıkla açık kaynak yazılım kullanıyoruz.

Siber Bülten: Siber güvenlikte tehdit istihbaratının en temel sorunlarından biri olduğu dikkate alındığında, abuse.ch gibi açık kaynak platformların problemin çözümünde ne ölçüde işlevsel olacağını düşünüyorsunuz?

Roman Hüssy: Siber tehdit istihbaratı bugünlerde önemli bir iş haline geldi. Bu tarz veri satan çok firma var.

Böyle satıcılara bilgilerimizi ticari olarak kullanma hakkı veriliyor. Biz de internet kullanıcılarının faydası için bu tür bir paylaşımı ücretsiz olarak gerçekleştirmek istiyoruz.

SOCRadar: Dark Web’de Türkçe konuşulan grupların sayısı artıyor

Siber Bülten: Açık kaynak platformlarıyla ve tehdit istihbaratı firmaları arasında bir rekabet var mı?

Roman Hüssy: Öyle düşünmüyorum. Birçok tehdit istihbaratı firması abuse.ch’dan sağladıkları bilgileri ürünlerine ekliyorlar. Bu yüzden geniş bir kitleye ulaşıyoruz.

“ÇOĞU FİRMA BİR TIKLAMAYLA BÜYÜK SALDIRILAR GERÇEKLEŞTİĞİNDEN HABERSİZ”

Siber Bülten: Tehdit aktörleri kendi aralarında paylaşım ve iş birliği konusunda daha iyi olduğunu görüyoruz. Savunma alanında kuruluşların daha etkin bir iş birliği yapmasını engelleyen faktörler neler?

Roman Hüssy: IT güvenliği araştırmacıları arasında arka planda çok bilgi paylaşımı yapılıyor. Hepimiz daha iyi bir internet için mücadele ediyoruz. Asıl meselenin bazı firmaların siber güvenlikteki en iyi uygulamaları kullanmamalarından kaynaklandığını düşünüyorum.

Birçok şirket siber saldırıyla karşılaşmayacağına inanıyor. Dünyanın herhangi bir yerinde herhangi bir teknoloji meraklısının bir tıklamayla tüm internette tarayıp bulduğu zafiyetlere sahip cihazlara kitlesel saldırılar düzenleyebileceğini bilmiyorlar.

Siber Bülten: Siber tehditler her geçen gün daha da karmaşık bir hal alıyor. 15 yıldan fazla bir süredir tehdit alanını takip eden birisi olarak gelecek için tahminleriniz neler?

Roman Hüssy: Bunu söylemek zor. Hiç fidye yazılım saldırısı tahmin etmedim. Ne kadar çılgınca bir iş.

Genel olarak yakın zamanda herhangi bir ilerleme olacağını düşünmüyorum. Her gün daha çok cihaz internete bağlanıyor. Sonuç olarak saldırı yüzeyi büyüyor. Aynı zamanda güvenlik güçleri için bizim her gün gördüğümüz siber saldırılardan sorumlu tehdit aktörlerini yakalamak zor. Siber saldırılara karşı alt yapımızı güçlendirmeli ve tehdit aktörlerini soruşturmak için uluslararası iş birliğimizi geliştirmeliyiz.

Türkiye

2022’de daha kötüsüne hazır mısınız?

23 Ocak 2022 Siberbülten Editoryal Yorum yapın

İnternet ve akıllı telefonlar bir yandan hayatı kolaylaştırırken öte yandan da en büyük kâbusumuz haline gelebiliyor. Örneğin, 30 milyon kullanıcısı olan yemeksepeti.com’un sistemine sızılması, kullanıcının müşteri ve kimlik bilgilerinin çalınması yüzünden kim bilir kaç kişi geceleri uykusuz geçirdi? Ya da bazı bankaların siber saldırılar yüzünden saatlerce hizmet vermemesi yüzünden kaç kişi ciddi paralar kaybetti? Hal böyle olunca siber güvenlik alanında yaşanan gelişmeler sıradan insanlardan, üst düzey yöneticilere kadar herkesi yakından ilgilendiriyor.

Bu gerçekten hareketle Siber Bülten, dünyada ve Türkiye’de yaşanan son gelişmelerin şirketlerin siber güvenlik politikalarını nasıl etkilediğini sektöre yön veren isimlerle birlikte masaya yatırdı.

Keepnet Labs sponsorluğunda ve Siber Bülten Koordinatörü Minhac Çelik’in moderatörlüğünde gerçekleştirilen webinara Mastercard Siber Güvenlik Direktörü Yaşar Yüzer, Trendyol Bilgi Güvenliği Takım Lideri Sibel Akay ve Keepnet Labs Eş Kurucusu Ozan Uçar katıldı. Alanında uzman isimler sektörün dününü ve geleceğini farklı bakış açılarıyla değerlendirirken, çok önemli bilgileri paylaştı.

SİBER GÜVENLİKTE YENİ RİSKLER NELER?

Mastercard Siber Güvenlik Direktörü Yaşar Yüzer, siber güvenlik suç pazarının toplam büyüklüğünün 6 trilyon dolara ulaştığını belirterek, “Bu da sektörü ABD ve Çin’in ardından dünyanın üçüncü büyük ekonomisi haline getiriyor.” dedi. Siber saldırıların sadece ekonomik kazanç elde etmek için gerçekleştirilmediğini politik ve ideolojik çıkarlar için de kullanıldığına işaret eden Yüzer, bu nedenle tehditlerin doğru analiz edilmesinin önemine dikkat çekti. Sanal dünyadaki tehditlerin sürekli biçim değiştirdiğini vurgulayan Yüzer, “Biz bu dönemin en önemli sorununun üçüncü parti saldırıları olduğunu düşünüyoruz. Şirketler artık sadece kendi veri ve altyapı güvenliğinden değil, birlikte iş yaptığı, çalıştığı veya hizmet aldığı kurumların da güvenlik zafiyetlerini önemsemek ve ciddiye almak zorunda.” dedi.

Trendyol Bilgi Güvenliği Takım Lideri Sibel Akay ise siber saldırganların sürekli yeni taktikler geliştirdiğine dikkat çekerek, “ Örneğin bu yıl alışık olmadığımız türden bir saldırı çeşidiyle karşı karşıyayız. DDoS fidyeciliği adını verdiğimiz bu yeni nesil siber saldırılarda saldırganlar, bir e-ticaret platformuna Ddos saldırısı düzenliyor sonra saldırıyı durdurmak için fidye talep ediyor. E-ticaret sitelerinin bir dakikalık işlem yapamama maliyetinin milyonlarca dolara ulaştığı bir dönemde bu saldırılara anında yanıt vermeniz hayati önem taşıyor” bilgisini paylaştı.

KORSANLAR ŞİRKETLERE NASIL SIZIYOR?

Keepnet Labs Eş Kurucusu Ozan Uçar, şirketlerin müşteri bilgilerini hedef alan saldırıların %97’sinin yemleme ya da bilinen adıyla ‘Phishing’ yoluyla gerçekleştiğine dikkat çekerek, şirket olarak bu alanda güvenlik çözümleri ürettiklerini anlattı.

2021 yılında ek BT harcamaları tavan yaptı

Bilgisayar korsanlarının hedef aldıkları kişi veya kurumlara hediye, indirim ve benzeri cezbedici sahte iletiler göndererek parola, kimlik bilgisi veyahut benzeri verilerini çalmaya çalıştıklarını anlatan Uçar, sözlerini şöyle sürdürdü:

“Kullanıcı dikkatsiz ve eğitimsiz ise gelen dosyayı açıyor ve sonrasında sızıntı süreci başlıyor. Ardından şirketlerin siber güvenlik uzmanları saldırının meydana getirdiği zararı minimize etmek için geceli-gündüzlü büyük bir mücadele veriyor. Biz her bir bireyin bir siber güvenlik ajanı gibi hareket etmesini, güvenlik kültürünün tüm şirket çalışanları tarafından benimsenmesini ve bu sayede siber güvenlik birimlerinin iş yükünün azalması ve olası risklerin erkenden bertaraf edilmesi konularında hizmetler veriyoruz.”

SİBER GÜVENLİK UZMANI SAYISI YETERSİZ

Trendyol Bilgi Güvenliği Takım Lideri Akay, şirket olarak siber güvenlik alanına ciddi yatırımlar yaptıklarını ve 60 kişilik bir ekiple hizmet verdiklerini aktardı. Türk ekonomisinin hızla dijitalize olduğunu buna karşın siber güvenlik alanında ciddi bir nitelikli iş gücü açığı olduğunun altını çizen Mastercard Siber Güvenlik Direktörü Yüzer, bu alanda çalışacak kişilerin farklı disiplinleri doğru analiz etme yeteneğine sahip olmasının şart olduğunu söyledi.

KEEPNET’TEN DİKKAT ÇEKEN BÜYÜME

Farkındalık ve zararlı e-posta tespiti konusunda çalışmalar yapan Keepnet Labs‘in kurucu ortağı Ozan Uçar da şirket açısından 2021 yılının çok iyi geçtiğini belirtti. Yüzde 200’ün üzerinde bir büyüme yakaladıklarına dikkat çeken Uçar, ABD, İngiltere ve Türkiye’deki çalışan sayısını da genişletmeyi başardıklarını söyledi.

Türkiye

‘Türkiye’den 40 milyon veri satışa çıkarıldı’ iddiasıyla ilgili bilmeniz gereken 5 şey

6 Haziran 2021 Siberbülten Editoryal Yorum yapın

Geride bıraktığımız haftanın ses getiren gelişmelerinden biri Türkiye’de 3 farklı şirketten toplam 40 milyon verinin satışa çıkarıldığına dair medyada yer alan iddia oldu. Medyanın da geniş bir şekilde yer verdiği iddiaya göre, iki özel banka ve bir telekomünikasyon şirketinin müşterilerine ait kişisel veriler elde edilerek siber tehdit unsurlarınca hacker forumunda satışa çıkarıldı.

Peki haberlere konu olan bu iddialar ile ilgili neler bilmeniz gerekiyor?

HANGİ ŞİRKETLERİN VERİSİ SATILIYOR?

Siber tehdit aktörünün Turkcell’den 31 milyon, Garanti Bankası’ndan 4 milyon ve QNB Finansbank’tan 2.8 milyon verinin kendisinde olduğunu iddia ediyor. 2020 yılının resmi rakamlarına göre Turkcell’in Türkiye’de 36 milyon abonesi bulunuyor. Saldırganın elindeki veriler için kullandığı sayılar verilerin ait olduğu kişi sayısını değil toplam veri sayısını belirttiğine dikkat çekiliyor.

TEHDİT AKTÖRÜ NE KADAR GÜVENİLİR?

Paylaşımı yapan tehdit aktörü, 40 milyonluk veri satışından önce de Türkiye’deki bazı şirketlerin verisini satışa koymuştu. Fakat bu paylaşımlardan bazıları gerçeği yansıtmadığı için moderatörler tarafından kaldırılmıştı. Türkçe bir nick kullanan ve İngilizcesinin kırık olduğu görülen saldırganın repütasyonu hacker forumunda ciddi oranda düşmüştü. Son paylaşımından sonra etnik siyasi söylemleri ön plana çıkaran tehdit aktörü repütasyonunu biraz yükseltmeyi başardı. Saldırganın güvenilirliğini azaltan başka bir nokta ise çok kısıtlı bir örnek veri paylaşması.

NE KADAR ÜCRET İSTENİYOR?

Saldırgan toplam 28 bin dolarlık bir ödeme talep ediyor. Her bir paylaşım için ayrı fiyat konulmuş durumda. Turkcell’in 31 milyon verisi de, Garanti’nin 4 milyon verisi de 10 biner dolardan satışa çıkarıldı. QNB Finansbank’a ait 2.8 milyon veri ise 8 bin dolara satışta. Siber güvenlik uzmanları verilerin niteliğine göre istenen ücretin oldukça yüksek olduğunu söylüyor.

VERİLER NASIL ELDE EDİLMİŞ?

Veriler bahsi geçen kurumların sistemlerine sızılarak elde edilmiş değil. Saldırgan bunu kendisi de söylüyor. Verileri satılan şirketlerin dışarıdan hizmet aldığı bir kurumda çalışan birinin yardımıyla verilerin ele geçirildiği öne çıkan senaryoların başında geliyor.

HANGİ VERİLERİN ÇALINDIĞI İDDİA EDİLİYOR?

Saldırganın paylaştığı veri setlerinde ad-soyad, cinsiyet, doğum yeri ve tarihi gibi bilgilerin yanı sıra e-posta ve cep telefonu numarası gibi kişisel bilgiler de yer alıyor. Banka müşterilerine ait kredi kartı bilgisi çalınan veriler arasında bulunmuyor.

Makale & Analiz

İki Forum İki İnternet Yaklaşımı

8 Eylül 2014 Siberbülten Editoryal Yorum yapın

Türkiye’nin siyasi gündemi içerisinde kaybolsa da, İstanbul geçen hafta internetin geleceği ile ilgili iki önemli toplantıya ev sahipliği yaptı. Bunlardan bir tanesi olan 9. İnternet Yönetişimi Forumu (Internet Governance Forum-IGF) 2-5 Eylül 2014 tarihleri arasında Harbiye’de düzenlenirken; Internet’i daha kritik bir perspektiften ele alan Internet Ungovernance Forum’da (IUF) İstanbul Bilgi Üniversitesinde aynı hafta içerisinde yapıldı. 2014’ten önce Mısır ve Çin gibi internet kısıtlamaları ile dünya gündemine gelen ülkelerde yapılan IGF’de, hükümet temsilcileri, sivil toplum mensupları, teknik uzmanlar ve özel sektörden katılımcılar Internet yönetişiminin nasıl olması gerektiği konusunda kafa yordular. Özellikle ABD ile ilişkili kurumların Internet yönetişiminde belirleyici olmasının diğer ülkerlerde oluşturduğu tepkiyi dindirmek için Washignton uzun zamandır Internet yönetişiminin daha geniş katılımlı bir yapıyla devam ettirilmesini savunuyor. Özellikle Edward Snowden vakasından sonra ortaya çıkan durum ABD’yi artık kaldıramayacağı bir baskı ile karşı karşıya kalmak üzere olduğunu bir kez daha gösterdi.

Birleşmiş Milletler tarafından düzenlenen bu forum, İnternet toplumunun sağlıklı bir şekilde gelişiminin sağlanması amacıyla düşüncelerin paylaşıldığı bir düşünce paylaşım platformu olarak işlev görüyor. Tüm paydaşların eşgüdüm içerisinde çalışmasını sağlamayı amaçlayan IGF’de, elde edilen sonuçların herhangi bir bağlayıcılığı olmasa da, bu sonuçlar orta ve uzun vade İnternet politikalarının şekillenmesinde önemli rol oynuyor. Herkese açık formatta gerçekleştirilen, tartışmaların çevrim-içi olarak tüm dünyaya İnternet üzerinden yayınlandığı forumun en önemli özelliğinden birisi de gelişen ve gelişmekte olan ülkelerin temsilcilerini buluşturması. Forumda ele alınan konuların bir kısmı gelişmekte olan ülkelerin problemlerine çözüm arıyor. Bir çok konunun ele alındığı bu yılki forumda, İnternet erişiminin artırılması ve İnternet içeriğinin global ve lokal düzeyde zenginleştirilmesi, İnternetin çok paydaşlı (multistakeholder) yönetişim yapısının geliştirilmesi, ağ trafiğinin yönetilmesinde her türlü trafiğe eşit davranılmasını öngören ağ tarafsızlığı (net neutrality) konuları öne çıktı. Internet yönetişiminde daha fazla ülkenin söz sahibi olmasını amaçlamak, 2008 küresel mali krizden sonra G-7’nin genişleyerek G-20 halini almasını hatırlatıyor. Sonuç olarak G-7’yi oluşturan ülkelerin belirleyici rolü eksilmese de, gelişmekte olan diğer 13 ülkeye de söz hakkı sunulmuş ve ahlaki bir zorunluluktan kurtulunmuş oluyor.

Internet’in 2008 krizi ise Edward Snowden’ın NSA belgelerini ortaya saçarak internette özgürlük güvenlik tartışmasını zirveye taşıması oldu. Tam da bununla ilgili olarak, Alterntif Bilişim Derneğinin öncülüğünde 4-5 Eylül tarihleri arasında Internet Yönetişimsizlik Forumu (IUF) düzenlendi. Forumun çıkış noktası Internetin yönetişiminde devletlerin ağırlığının olması ve bu durumun internet özgürlüğünü kısıtlaması. Devlet ve şirketleri internetin problemlerinin ana kaynağı olduğunu düşünen IUF ve Alterntif Bilişim Derneği, bu yapıların IGF’de gereğinden fazla temsil edildiğini savunuyor. Özgürlük-Güvenlik dengesini güvenlik lehine biraz daha değiştirilmesine karşılık, IUF internetin halkların, aktivistlerin ve sivil toplumun yönetiminde olması fikrinide. Diğer bir deyişle Özgürlük-Güvenlik ikileminde Özgürlüğün yanında duruyor. Internet Yönetişimi’ne ilgi duyanlar için eşsiz iki etkinliği geride bıraktık. Tartışmalardan aklımızda kalan sorular bu konunun daha çok su götüreceği yönünde. Alternatif Bilişim Derneği’nin çalışmaları sayesinde Internet Yönetişimi konusunda Türkiye sivil toplumun belirli bir duruşu olduğunu görmüş olduk. Peki devletin Internet Yönetişimindeki stratejisi nedir? Çok paydaşlı yapının neresinde durmayı menfaatlerine uygun buluyor? Yoksa Ankara sadece internet yasakları nedeniyle kritikleri gözrmezden gelip, web sitelerinin sonuna ‘istanbul’ eklentisinin gelmesiyle mi ilgileniyor?

Siber Bülten