Kategori arşivi: Sektörel

Türkiye

Bankbot, Türk bankacılık uygulamalarını hedef alıyor

Yorum yapın

Dünyada tüm dikkatler WannaCry siber saldırısına odaklanmışken, Türkiye aynı dönemde, sadece Türk mobil bankacılık müşterilerini hedef alan ve halen devam eden bir saldırıyla karşı karşıya.

Şu an 16 Türk bankasının müşterileri hedefte. Zararlı yazılım, Türkiye’de film izlemek için gerekli olduğunu belirtilen sahte Flash Player uygulamaları ile bulaşıyor. ESET Güvenlik Araştırmacısı Lukas Stefanko’ya göre ‘saldırı büyüyebilir’. Çünkü zararlı yazılımın kaynak kodları Rus yeraltı forumlarında ücretsiz olarak dağıtılıyor.

Global antivirüs yazılım kuruluşu ESET, WannaCry saldırısıyla neredeyse eşzamanlı olarak gelişen ama ağırlıklı olarak Türkiye’yi hedef alan Bankbot saldırısına dikkat çekti. Bankbot truva atı, oturum açma bilgilerini alabilmek için Türk mobil bankacılık müşterilerine odaklanıyor.

İlgili haber >> “WannaCry”in Türkiye’ye etkisi sınırlı kaldı

Sahte Flash Player uygulaması yükletiyor

Bankbot, telefon üzerinden film izlemek isteyenleri, gerekli olduğunu belirterek sahte bir Flash Player uygulamasına yönlendiriyor. Uygulamayı indirince de truva atı bulaşıyor. Zararlı yazılım, bulaştığı cihazdaki yasal bankacılık uygulamalarını tespit ediyor ve sahte bir form hazırlayarak kullanıcının bilgilerini bu forma girmesini sağlıyor. Böylece de mobil bankacılık müşterilerinin oturum açma bilgilerine ulaşıyor.Son belirlemelere göre Bankbot, Türkiye’deki toplam 16 bankanın mobil bankacılık uygulamalarını taklit etmiş görünüyor.

Halka açık kod kullanıyor

Bankbot Truva atı, halka açık bir kodu temel alıyor. Sözkonusu kod Rusya’daki yeraltı internet forumlarında ücretsiz paylaşılıyor. ESET Güvenlik Araştırmacısı Lukas Stefanko’ya göre esas tehlike burada yatıyor. Stefanko, kodun ücretsiz dağıtılması nedeniyle önümüzdeki dönemde daha fazla bankacılık truva atı görebileceğimizi ve saldırı alanının genişleyebileceğine dikkat çekiyor.

Doğrudan Türk kullanıcılar hedef

Lukas Stefanko, tespitlerine göre bugüne kadar 11 farklı sunucu kullanılarak, ağırlıklı olarak Türkiye’den olmak üzere en azından 640 kullanıcının etkilendiğini tespit edebildiklerini bildirdi. Saldırganların sunucuları ise Dubai’de görünüyor.

Önceden korunmak gerekir

ESET Güvenlik Araştırmacısı Lukas Stefanko, Flash Player uygulamalarına dikkat edilmesini ve karşınıza çıkan her yerden indirilmemesi konusunda uyarıda bulunuyor.

Stefanko, “Saldırıya uğradığını düşünenler sahte Flash Player uygulamasını telefonlarının ayarlar kısmından kaldırmaya çalışmalı. Ancak truva atının doğası gereği bu, bazen mümkün olmayabilir. O nedenle önceden korunmak çok önemli. Tıpkı bilgisayarlarda olduğu gibi akıllı cep telefonlarında da mutlaka güncel ve proaktif bir mobil güvenlik uygulaması kullanılmalı” diye konuştu.

Siber Bülten abone listesine kaydolmak için formu doldurunuz
[wysija_form id=”2″]

 

Küresel

Windows’un Korkulu Rüyası: ‘Bondnet’

Yorum yapın

2000’e yakın sunucuyu tehdit altında bırakan botnet, şifreli paraların peşinde. Geçtiğimiz yılın sonlarında izi bulunan ve o zamandan beri güvenlik uzmanları tarafından takip edilen ve ‘Bondnet’ adı verilen botnetin yapılış amacı Monero, Bytecoin ve ZCash gibi şifreli paraları ele geçirmek. Bu yüzden akıllı cihaz tüketicileri yerine sunucuları takip ediyor.

Önce erişim sağlayıp sonra sistemle ilgili bilgileri ele geçirmek için dosya yükleyerek işe başlayan botnet, cihaz Çin sınırları dışındaysa kripto para birimi bulucuyu yükleyerek; Çin’de bulunuyorsa da korsan sunucuyla görevini tamamlıyor.

Botnetin barındırdığı tüm araçlar şifreli para takibinde değil: Bir kısmı tarayıcı hizmeti görüp IP takibi yaparak kıymetli bilgisayar avına çıkarken; başka bir bölümü de dosya sunucusu olarak yazılım peşinde.

İlgili haber >> Programlanabilir para bankaların sonunu getiriyor

Bilinen kötücül yazılım havuzunda bulamayacağınız botnet, çeşitli kod gizleme kombinasyonları ve girişi zor olan temel kodlama yöntemleri sayesinde güvenlik çözümleri tarafından bulunamıyor.

Uzmanların aynı temel kodlara rastlaması, define bulucu yazılımı da aynı kişinin yalnız olarak çalıştığını düşündürüyor. Korsana dair fikir yürütülen bir diğer şeyse Çin’de yaşaması: Sebebiyse, Bondnet’in kurbanlarını Çin’den seçmesi ve araçları içindeki kopyala-yapıştır kodları Çinli web siteden alması.

İlgili haber >> Mirai botneti artık kiralanabiliyor

2000’den fazla bot barındıran botnete her gün 200 tanesi eklense de bir o kadarı listeden çıkıyor. Uzmanlar bunu tehlikeli botu fark eden sunucuların kaldırmasıyla açıklıyor. Ya sunucu üzerindeki araçları yönetirken ya da daha büyük olasılıkla para işlerken dikkatleri üzerine çeken botnetin kurbanları geri çekilmekle kalmayıp sonrasında karşı harekete geçiyor. Buradan da botneti kaldırmanın güvenlik için yeterli olmadığını anlıyoruz.

Windows sunucularını hedef alan botnet, eski zafiyetler ve açıklar yoluyla ya da zayıf kullanıcı şifreleriyle ilerliyor. Help Net Security raporuna göre aralarında önde gelen şirket, kamu kurumları ve üniversitelerin de bulunduğu yaklaşık 15000 cihazın gizliliği ihlal edildi. Bunlardan çoğu Windows 2008 kullanıyordu. Uzmanlarsa kurumları bu tehlikeye karşı elektrik faturası artışından ibaret görmemeleri konusunda uyarıyor: Çünkü Bondnet, basit bir modifikasyonla bulaştığı sunucu üzerinde tam kontrol sağlayabilir. Hassas bilgiler içeren kurumların özellikle bu yönden dikkatli olması gerekiyor.

Siber Bülten abone listesine kaydolmak için formu doldurunuz
[wysija_form id=”2″]

Küresel

“WannaCry”in Türkiye’ye etkisi sınırlı kaldı

Yorum yapın

Bugüne kadar görülen en büyük fidye yazılımı saldırısı 12 Mayıs tarihinde başladı ve bir anda önce 74 sonra 100, son bilgilere göre de 150’ye yakın ülkede 200 bini aşkın sistemi etkiledi. Söz konusu saldırıda, bilgisayarlardaki verileri şifreleyip, verilerin şifresini çözme karşılığında 300 ila 600 dolar arasında fidye talep eden “WannaCry“ isimli zararlı yazılım kullanıldı.

Fidye yazılımlarında solucan dönemi

WannaCry, genellikle spam e-postaların ekinde bulunan virüslü dosyalar üzerinden yayılıyor. Ancak onu diğer fidye yazılımlarından farklı yapan şey ise, bir windows güvenlik açığını kullanarak bulunduğu ağdaki tüm makinelere kendini bulaştırabilmesi. Yanı solucan (worm) gibi davranarak, kendini farklı sistemlere taşıyabiliyor.

İlgili haber >> WannaCry, en çok Rusya’yı etkiledi

ESET Türkiye Güvenlik Uzmanı Yemliha İpek’nin verdiği bilgiye göre, zararlı yazılımın bunu yaparken kullandığı güvenlik açığı tüm Windows işletim sistemlerinde mevcuttu. Microsoft, bir güncelleme yayınlayarak söz konusu açığı kapattı. Ancak Yemliha İpek uyarıyor: “Bu güncellemeyi almayan bilgisayarlar hala saldırıya açık.“

Hangi ülkeler en çok etkilendi?

En çok zarar gören ülkelerden biri olarak Rusya öne çıkıyor. Ülkede bankalar, İçişleri ve Sağlık Bakanlığı ile devletin demiryolları gibi kamu kurumlarınınetkilendiği bildiriliyor. Saldırı sayısı açısından Rusya’yı Tayvan ve Ukrayna takip ediyor.

Saldırı sayısı ile saldırıların etkisi aynı oranda değil

Sayısal olarak “WannaCry“ zararlı yazılımına daha az maruz kalmasına karşın saldırıdan en ağır etkilenen ülkelerden biri İngiltere oldu. Burada Ulusal Sağlık Sistemi (NHS) çöktü. Yine İngiltere ve Fransa’da bazı otomotiv işletmeleri üretimlerini durdurdu. Türkiye’de de bazı otomotiv şirketleri üretimlerine geçici olarak ara verdi.

Türkiye şu an 14’üncü sırada

Türkiye, diğer ülkelere göre daha az etkilenmesine karşın, saldırıya maruz kalan ülkeler açısından sayısal olarak şu an 14’üncü sırada yer alıyor görünüyor. Virüsün yayıldığı ilk iki saat içerisinde Türkiye en çok etkilenen 3’üncü ülke konumundaydı. 12 Mayıs akşamı 8’inci sıraya oturan Türkiye, haftabaşı itibarıyla 14’üncü sırada yer alıyor.

ESET Türkiye Genel Müdür Yardımcı Alev Akkoyunlu’ya, Türkiye’nin en çok hedef olan ülkeler arasında yer almasının temel sebebi, güncel olmayan yazılımların yaygınlığı.

İlgili haber >> 5 soruda Türkiye’yi de etkileyen fidye yazılımı WannaCry

Akkoyunlu, şu bilgiyi paylaştı: “Maalesef hem kurumsal hem de bireysel düzeyde, güncel olmayan işletim sistemi ve güvenlik yazılımı kulanımı çok yaygın. Aynı şekilde korsan yazılım kullanımı da çok fazla. Durum böyle olunca, Türkiye her tür global saldırıdan fazla etkileniyor. Bu tarz siber saldırı dalgalarında, korunmasız bilgisayarlar, bir botnetin parçası olarak birer saldırı aracına dönüşüyor. Zaten WannaCry saldırısında da bunu gözlemliyoruz. Korunmasız bireysel bilgisayarlardan botnet oluşturularak, global düzeyde kurumsal sistemler hedef alındı.“

Ne yapmalı?

“En son Windows işletim sistemi güncellemeleri ve yamaları yüklenmiş olmalı“ diyen ESET Türkiye Genel Müdür Yardımcısı Alev Akkoyunlu, ayrıca şu uyarılarda bulundu:

  • Mutlaka güncel ve proaktif bir güvenlik yazılımı kullanınız
  • Tanımadığınız kişilerden gelen e-postalardaki ekleri açmayınız. Ayrıca bildiğiniz ve güvendiğiniz birinden gelen e-mail içerisinde beklemediğiniz ve talep etmemiş olduğunuz bir ek varsa açmamanızı öneriyoruz.
  • İşleri gereği sürekli farklı kişilerden e-posta alan iş arkadaşlarınızı uyarınız – örneğin muhasebe departmanları veya insan kaynakları departmanlarını.
  • Verilerinizi düzenli olarak yedekleyiniz. Bu, tehdidin bulaşması durumunda; verilerinizi geri yükleyebilmenizi sağlayacaktır. Yedeklerinizi depoladığınız harici depolama aygıtlarını bilgisayarlara bağlı durumda bırakmayarak yedeklerinize de virüs bulaşma riskini ortadan kaldırınız. Sisteminizin, güvenlik açığını kapatmak için Windows Update üzerinden güncelleme alması gerekiyorsa, güncelleme yaptıktan sonra yeni bir yedek alınız.
  • ESET ürününüzde ESET Live Grid özelliğinin aktif olduğuna emin olunuz.
  • Kullandığınız ESET ürünü ve Virüs İmza Veritabanı Sürümünün en güncel sürümde olduğuna emin olunuz.

Bu saldırının kaynağı neresi veya kim?

Bu maalesef henüz bilinmiyor. Fidye yazılımları, siber hırsızların giderek artan bir sıklıkla kullandığı yöntem olarak öne çıkıyor. İzi sürülmesi zor olan sanal para birimi Bitcoin sayesinde de ödemeleri alabiliyorlar.

Küresel

Akıllı fırınlar SMS yoluyla hacklenmeyecek kadar akıllı mı?

Yorum yapın

İngiltere merkezli Pen Test Partners güvenlik araştırmacıları, Aga’nin akıllı fırın hattında şaşırtan güvenlik açıkları keşfetti.

Bleeping Computer isimli sitede yer alan habere göre, araştırmacılar bu açıkların sms yoluyla kötüye kullanılabileceği yönünde uyarıyor. Bu açığın sebebinin ise Aga yönetiminin, cihazlarını kontrol etmek için klasik Wi-Fi modülünü kullanmak yerine bir GSM SIM modülü kullanmayı tercih etmiş olması ihtimali üzerinde duruluyor.

Bu SMS tabanlı yönetim özelliği, Aga kullanıcılarının fırınlarını uzaktan SMS göndererek açıp kapatmalarını sağlıyor. Fakat bu fırınlar SMS yoluyla hacklenebiliyor.

İlgili haber >> Tayvan’da hackerlar sahte SMS ile banka müşterilerini avladı

Bu senaryoda, saldırgan, kurbanın fırın SMS numarasına ihtiyaç duyuyor ve Pen Test araştırmacılarına göre, web tabanlı yönetim panelindeki açıklar saldırganların Aga fırınlarına bağlı tüm aktif SIM kart numaralarını ele geçirmesine olanak sağlıyor.

SMS yönetim komutlarıyla kimlik doğrulaması yapılmamakta ve bu da herhangi birinin insanların “akıllı” fırını SMS yoluyla kurcalayabileceği anlamına geliyor. Aga iTotal Kontrol gibi profesyonel fırınlar, en uygun pişirme sıcaklığına ulaşmadan önce saatlerce ısınmaya ihtiyaç duyuyor.

Bu açık sayesinde saldırganlar fırın sahiplerinin cihazlarını kapatarak rahatsızlık verebiliyor, lakin Pen Test Partners araştımacıları, kötü niyetli bir saldırganın bilinen tüm Aga fırınlarını açabileceğini ve bir bölgedeki elektrik enerjisi tüketiminde bir artışa neden olabileceği iddiasına çok gerçekçi bakmıyorlar.

“Bunun için o civarda bu cihazlardan binlerce olması gerek,” diyor araştırmacılar.

Kimliği doğrulanmamış SMS tabanlı uzaktan yönetim özelliğinin yanı sıra, araştırma ekibi Aga’nın akıllı fırınlarıyla ilgili bazı başka problemler de keşfetmiş. Birincisi, Aga web yönetim paneli HTTPS kullanmıyor ve kullanıcılarını ele geçirmesi çok kolay beş basamaklı bir şifre kullanmaya zorluyor.

İkincisi, Aga mobil uygulaması HTTP ile de çalışabiliyor; ancak geliştiriciler HTTPS kullansa bile, uygulama, sertifika doğrulamasını bilinçli olarak devre dışı bırakıyor, yani saldırganlar, uygulama içinden veya dışından gelen trafiği engellemek için herhangi bir SSL sertifikası kullanabilir.

Esasen bu sorunlar kritik güvenlik kusurları değiller ve düzeltilmesi oldukça kolay olmalı diye düşünüyor bir çok araştırmacı.  Fakat sorun şu ki, Aga temsilcileri araştırma ekibini görmezden geliyor ve hatta Twitter’da, güvenlik açığını şirkete bildirmeye çalışan araştırmacılardan birini engelliyor.

İlgili haber >> Akıllı saatler güvenlikte sınıfta kaldı

İngiltere merkezli IoT üreticisini iki hafta boyunca uyarmaya çalışan Pen Test Araştırmacıları ise elindeki  bulguları kamuoyuyla direk paylaşmaya karar vermiş.

Ayrıca Pent Test Partners, Aga’nın iTotal Control akıllı fırınında kullanılan GSM SIM uzaktan yönetim modülünün, aynı zamanda yağ depolama tankları, ısıtma sistemleri, süreç kontrolü ve tıbbi cihazlar için benzer SMS yönetim bileşenleri satan Tekelek adlı bir şirket tarafından oluşturulduğunu iddia ediyor.

Aga yönetiminin Pen Test Parteners’ı dinleyip dinlemeyeceği ise şuan merak konusu.

Siber Bülten abone listesine kaydolmak için formu doldurunuz

[wysija_form id=”2″]
Türkiye

NETAŞ ile TÜBİTAK, siber güvenlik için güçlerini birleştiriyor

Yorum yapın

NETAŞ ve TÜBİTAK BİLGEM (TÜBİTAK Bilişim ve Bilgi Güvenliği İleri Teknolojiler Araştırma Merkezi), Tüyap Fuar ve Kongre Merkezi’nde gerçekleşen Uluslararası Savunma Sanayii Fuarı IDEF’ 17’de, Siber Güvenlik konusunda geniş yelpazeli bir iş birliği protokolü imzaladı.

Ülke kaynaklarının etkin ve verimli bir şekilde kullanılarak milli rekabet gücümüzü artırma konusunda katma değer oluşturmak için imzalanan iş birliği çerçevesinde kurumlar Siber Güvenlik teknolojilerinin geliştirilmesi için güç birliği yapma kararı aldı.

Türkiye’nin lider dijital dönüşüm şirketi NETAŞ, Savunma Sanayii Fuarı’na katılarak savunma sanayiine yönelik yenilikçi çözümlerini paylaştı. Fuar dâhilinde, NETAŞ CEO’su C. Müjdat Altay ve TÜBİTAK Başkanı Prof. Dr. A. Arif Ergin, iki şirket arasında Siber Güvenlik konusunda geniş yelpazeli bir iş birliği protokolüne imza attı. Siber Güvenlik konusunda NETAŞ ve TÜBİTAK BİLGEM, yeni nesil Siber Güvenlik ürün ve projeleri geliştirecek.

İlgili haber >> Türkiye’de bir ilk: Siber Politikalar dergisi çıktı

NETAŞ ve TÜBİTAK BİLGEM, imzaladıkları iş birliği protokolü çerçevesinde geliştirilecek projelerde bilgi, personel, altyapı, proje planlama, proje geliştirme, proje yürütme, fikri mülkiyet yönetimi, teknoloji transferi, değişik iş modelleri ile ticarileştirme, üretim, tanıtım ve pazarlama, ürün satış, saha destek alanlarında paylaşımlarda bulunacak.

NETAŞ CEO’su C. Müjdat Altay, NETAŞ’ın TÜBİTAK BİLGEM ile imzaladığı Siber Güvenlik iş birliğinden duyduğu memnuniyeti dile getirirken şu açıklamalarda bulundu: “NETAŞ olarak 50 yıldır, ArGe ve inovasyondan aldığımız güçle bilgi ve iletişim teknolojileri alanındaki yeniliklerimizi birçok sektöre başarıyla aktarmaya devam ediyoruz. Bu süre boyunca hizmet verdiğimiz müşterilerimizden önemli deneyimler edindik. Bunları ürün ve hizmete dönüştürdük. 700 kişilik ArGe birimimizde geliştirdiğimiz, Türkiye’nin ilk yerli siber güvenlik ürün ailesi NOVA by NETAŞ’ı sunduk.

Bunun yanında, NETAŞ Siber Operasyon Merkezi’ni kısa süre önce hizmete açtık. Tüm sektörlere hizmet verebilecek kapasitede güvenlik ve network uzmanlarından oluşan ekibimizle, en güncel ve en gerekli siber güvenlik operasyon hizmetlerini bir arada gerçekleştiriyoruz. Bu hizmetlerimizle birçok ulusal ve uluslararası şirketi tüm siber saldırılara karşı güvenle koruma altına aldık. Şimdi ise, TÜBİTAK BİLGEM ile çok verimli olacağına inandığımız bir Siber Güvenlik iş birliğine giriyoruz. NETAŞ ilkeleri çerçevesinde attığımız bu adımın, ülkemizin ekonomik ve stratejik gelişimine etkin katkılar sunacağına, ulusal arenada milli rekabet gücümüzü artıracağına ve TÜBİTAK BİLGEM ile birlikte Siber Güvenlikte başarılı projelere imza atacağımıza yürekten inanıyoruz.”

Siber Bülten abone listesine kaydolmak için formu doldurunuz
[wysija_form id=”2″]