Etiket arşivi: F-Secure

Siber Güvenlik

“Cold booting” kâbusu geri mi döndü?

Yorum yapın

Yeni yapılan bir araştırma, en modern bilgisayarların hatta disk şifrelemesine sahip cihazların bile birkaç dakika içinde hassas bilgileri çalabilecek yeni tür bir saldırıya açık olduğunu ortaya koydu. F-Secure, test ettikleri tüm laptoplardaki mevcut aygıt yazılımı güvenlik önlemlerinin hiçbirinin veri hırsızlığını önlemede yeterli olmadığını açıkladı.

F-Secure’in ana güvenlik danışmanı Olle Segerdhl, TechCrunch sitesine yaptığı açıklamada, güvenlik zaafiyetlerinin neredeyse bütün laptop ve masaüstü bilgisayarları (hem Windows hem Mac kullanıcıları) risk altına soktuğunu ifade etti.

Yeni bulunan açık, hacker topluluğu arasında çok iyi bilinen bir teknik olan geleneksel ‘cold boot attack’ yönteminin temellerine dayanıyor. “Cold booting” yöntemi hackerlara bilgisayar uyku modundayken yeniden açılmaya zorlandığında hafızada (RAM) kısa bir süreliğine kalan bilgileri çalma imkanı veriyor.

Zira RAM’lere giden enerji kesildiğinde üstlerine yazılı olan bilgi hemen silinmiyor. Yani doğru yöntemle, çok kısa süre için de olsa RAM’de yazılı veriyi okumak mümkün hale geliyor. Bununla birlikte cold boot attacks tekniğinin etkisini kırmak adına yeni bilgisayarlar Trusted Computing Grup (TCG) tarafından tasarlanan koruyucularla donatılmış durumda

İLGİLİ HABER>> Bilgisayarları güvenli hale getirmeyi unutun!

Bu koruyucu, verilerin yeniden okunmasını engellemek için cihaz yeniden güce bağlanmaya zorlandığında RAM’deki içeriğin üzerine yazıyor. Ancak Segerdahl ve meslektaşı Pasi Saarinen bu üstüne yazma sürecini etkisiz kılmanın yolunu bularak cold boot attack yöntemini yeniden mümkün kılıyor.

Segerdhal’a göre, bu ekstra birkaç adım daha gerektiriyor ancak açığın ortaya çıkarılması oldukça kolay. Hatta o kadar kolay ki Segerdhal tekniğin bazı hackerlar tarafından halhazırda bilinmeme ihtimalinin oldukça şaşırtıcı olacağını ileri sürüyor.

Bilgisayarınıza fiziksel olarak erişme imkanınız varsa o anda birinin verilerinizi çalma olasılığının oldukça yüksek olduğu gizli bir bilgi değil. Birçok kişinin cihaz kapalı iken bilgisayarı veri hırsızlığından korumak adına Windows için BitLocker, Mac için FileVault gibi disk şifreleme aracı kullanmasının sebebi de bu. Ancak araştırmacılar şimdilerde BitLocker ve FileVault tarafından korunuyor olmasına rağmen verileri neredeyse her şartta çalabildiklerini keşfettiler.

Araştırmacılar bellek üstüne yazma sürecinin nasıl çalıştığını çözdükten sonra aygıt yazılımının bellekten sırları silmesini önleyen ‘kavram kanıtlama aracı’ kurmanın bir kaç saatini alacağını ileri sürüyorlar. Bundan sonra disk şifreleme anahtarı için arama yapan araştırmacılar bulunması halinde, korunan çok yüklü birçok veriye ulaşabiliyor. Segerdahl’a göre tehlikede olan sadece disk şifreleme anahtarı değil, iyi bir hacker hafızada yer alan her şeye erişebilir.

Araştırmacılar, bulguları yayınlamadan önce ilk olarak Microsoft, Apple ve Intel ile paylaştı. Üç büyük şirket, hem fiziksel hem de siber erişimi engellemek için güvenlik yöntemleri geliştirmeye çalışıyor. Araştırmacılar, yeni üretilecek cihazlarda yeni bir yöntemle güvenliğin sağlanabileceğini; mevcut cihazlar da ise güvenliğin sağlanmasının hayli zor olacağını belirtiyorlar.

F-Secure’e göre yeni güvenlik açığını etkisiz hale getirecek hızlı bir çözüm şimdilik yok. Siber güvenlik şirketi laptopları otomatik olarak kapanması yönünde ayarlamayı tavsiye ediyor. Ya da ekran kapatıldığında uyku moduna geçmesi yerine hazırda bekletilmesi gerektiğini belirtiyor.

Siber Bülten abone listesine kaydolmak için formu doldurunuz

İngiltere, Uluslararası İlişkiler

İngiliz Dışişleri Bakanlığı ‘Callisto’nun hedefinde

Yorum yapın

İngiliz BBC kanalı, İngiltere Dışişleri Bakanlığı’nın 2016 yılında boyunca yüksek motivasyona ve iyi bir kaynağa sahip korsan grubunun saldırılarına uğradığını bildirdi.

BBC Milli Siber Güvenlik Merkezi’nin herhangi bir bilginin çalınıp çalınmadığına yönelik açıklama yapmadığını ancak hükümetin geçtiğimiz yıl Nisan ayında başlayan siber saldırıları soruşturduğunu belirtti. Merkez, Dışişleri Bakanlığı’na yönelik saldırının arkasında kimin olduğunu söylemedi.

BBC, İngiltere Dışişleri’nden bir kaynağın, siber korsanların yaptığı saldırıların hedefindeki yerlerde bakanlık bilgisinin tutulmadığını söylediğini kaydetti.

İlgili haber >> Rusya’nın yeni hedefi: Diplomatların mail hesapları

Siber güvenlik şirketi F-Secure, saldırının “oltalama” diye bilinen yöntemle gerçekleştirildiğini açıkladı. Şirket, saldırganların, kullanıcı adı ve şifreleri çalabilmek için İngiltere Dışişleri Bakanlığı’nın internet sitelerine benzer çok sayıda sayfa hazırladığını belirtti. Ancak şirket, saldırının başarılı olup olmadığını bilmediğini kaydetti.

F-Secure, bu siber saldırının arkasında hala aktif olan Callisto Grup diye bilinen bir siber korsan ekibinin olduğunu açıkladı. F-Secure, bu grubun 2015 yılından bu yana, genellikle Doğu Avrupa ve Güney Kafkasya ile Ukrayna ve İngiltere’deki “askeri personel, hükümet yetkilileri, düşünce kuruluşları ve gazetecilere” yönelik siber saldırılar yaptığını bildirdi.

Şirket, bu grubun bir ülke ile ilişkisi olabileceğine yönelik kanıtlar olduğunu, bu grubun kullandığı “altyapının”, Çin, Rusya ve Ukrayna’daki “varlıklar” ile ilişkili olduğunu savundu.

BBC, herhangi bir ülkeyi suçlayan kesin kanıtlar görmediğini kaydetti.

Siber Bülten abone listesine kaydolmak için formu doldurun

[wysija_form id=”2″]

 

 

ABD, Uluslararası İlişkiler

NSA Ortadoğu bankalarından ‘tahsilat’ mı yapıyor?

Yorum yapın

Geçtiğimiz yıl Amerikan Ulusal Güvenlik Ajansı (NSA) tarafından kullanıldığı iddia edilen istismar yazılımlarını ortaya çıkaran Shadow Brokers adlı hacker grubu, yeni bir “dosya hazinesi” daha yayınladı. Grup, ilk önce açık artırma ile satışa sunduğu “NSA’dan çaldığı” bu dosyalar için, daha sonra ücretsiz bir şifre sundu. Söz konusu dosya, bazı eski Windows sürümlerindeki açıkları içeriyor ve bu yüzden Windows, sızıntının ardından bir güvenlik güncellemesi yayınlamakta gecikmedi. Ancak sızdırılan dosyalar arasında özellikle Ortadoğu’daki bazı bankaların hedef alındığını gösteren veriler de yer alıyor.

İlgili haber >> NSA sızıntısı milyon dolarlık siber silahlar çocukların eline mi geçti?

Shadow Brokers ismi daha önce, geçtiğimiz Ağustos ayında, birçok güvenlik ürününde yer alan açıklıkları içeren ve NSA ile Equation Group ile bağlantılı exploitleri sızdırmalarıyla gündem olmuştu. Grup daha sonra da Equation Group tarafından gizliliği ifşa edildiği iddia edilen bazı IP adreslerini sızdırmıştı. Shadow Brokers, sızdırdıkları bu dosya hazinesi için bir açık artırma düzenlemeyi umuyordu, ancak çok fazla ilgi çekmemişti. Bunun üzerine de grup Ocak ayında “bir veda mesajı” ile birlikte Windows işletim sistemi ile ilgili bazı açıklıkları içeren bir yayın daha yapmıştı.

TRUMP’A SELAM ÇAKTILAR

Ancak Shadow Brokers grubu geçen hafta yayınladığı bu son sızıntısını, “Donald Trump’ın liderliğine olan inancını kaybettikten sonra bir protesto olarak” yaptığını duyurdu. Medium’da yayınladığı mesajında Trump’ın “üssü terk ettiği” belirtilirken, “Amerika’yı yeniden güçlü bir ülke yapmak için” bazı tavsiyelerini sıraladı.

Güvenlik araştırmacıları, hâlâ dosyaları inceliyor. Ancak exploitlerin büyük kısmının daha eski veya kullanılmış sistemleri hedef aldığı görülüyor. Ve sadece bir kişi, bu sızıntının hackerların maskesini düşürebileceğini düşüyor: Edward Snowden.

Snowden, sızıntıyla ilgili Twitter mesajında “sızıntının dolu bir kütüphaneden başka bir yerden yapılamayacağını, NSA’nın bu dosyaları nerede kaybettiğini ve nereden geldiğini kolaylıkla bulabileceğini, bunu yapamamasının ise tam bir skandal olacağını” kaydetti.

HAZİNENİN İÇİNDE NE VAR?

Shadow Brokers’ın son sızıntısında yer alan bazı exploitler, daha önce etkilenmiş olduğu bilinmeyen bazı sağlayıcıları da içeriyor. Ayrıca ‘hazinenin’ içinde bankacılık sistemlerinden veri toplanmasına ilişkin bazı dosya ve sunumlar da yer alıyor.

Motherboard’a konuşan Hacker Fantastic isimli bir güvenlik araştırmacısı, bu dosyaların “artık dosyalar” olduğunu söyledi.

Shadow Brokers’ın hazinesinin içinde bazı dosyalar ve klasörler yer alıyor. Bir alt klasör “Exploits” olarak adlandırılmış, içinde ise “Eternalsynergy,” “Erraticgopher” ve  “Emeraldthread” gibi isimleri bulunan çalıştırılabilir dosyalar bulunuyor.

Araştırmacılar bu dosyaların ne için kullanıldığı veya bu hazinenin içinde gerçekten Windows platformuna karşı bir etkili bir exploit olup olmadığı üzerinde çalıştırmalarını sürdürse de, Windows çoktan bir güvenlik güncellemesi yayınladı bile.

Yine Hacker Fantastic’e göre sızdırılan dosyalar “Fevkalade bir veri, dâhili saldırı araçlarının tüm özelliklerini taşıyor.” Daha da önemlisi Hacker Fantastic, bu veriler üzerinde yapılacak analizin bir sıfırıncı gün açıklığı ortaya çıkaracağından emin olduğunu söylüyor.

Güvenlik mimarı Kevin Beaumont’un Motherboard’a yaptığı açıklamaya göre de “Windows implantlarının tümü VirusTotal’ın [bir çevrimiçi dosya tarama aracı] daha önce karşılaşmadığı dosyalar, yani bu dosyalar daha önce hiç görülmemiş.”

Windows tabanlı implantların yer aldığı ODDJOB adlı bir klasörde, “Windows 2003 Enterprise işletim sisteminden Windows XP Professional sistemine kadar hangi sistemlerle çalıştığı” belirtiliyor. Bir başka klasörde ise ODDJOB’un virüs yazılımlarını atlatma başarısı gösteriliyor. Buna göre F-Secure, Kaspersky, Symantec ve daha birçok firmanın yanına “Virüs bulunamadı” etiketi yerleştirilmiş. Dosyanın içinde 2013 ortalarına kadar giden tarih bilgisi bulunuyor.

Bu dosyalara bakıldığında hazinenin, daha eski Windows sistemleri ile ilgili araçlar olduğu anlaşılıyor. Ancak bu elbette rahatlatıcı bir durum değil, zira halen birçok kurum, kuruluş ve şahıslar eski sürüm Windowsları kullanmaya devam ediyor. Exploitlerden bir tanesinin de Windows 8’i hedef aldığı görülüyor.

Bir Microsoft sözcüsü – güvenlik güncellemesi yayınlanmadan önce – Motherboard’a “iddiaları incelediklerini ve müşterileri korumak için gerekli tedbirleri alacaklarını” açıklamıştı.

Hazinede yer alan bir başka klasörde ise “ÇOK GİZLİ” işaretli “JEEPFLEA_MARKET” isimli bir klasör yer alıyor. JEEPFLA’nın, NSA tarafından kullanılan bir elit hackleme birimi olduğu biliniyor.

HEDEFTEKİ BANKALARIN ÇOĞU ORTADOĞU’DA

Dosyalar incelendiğinde ise “JEEPFLEA_MARKET” klasörünün Swift İttifak Erişimi (SSA – Swift Alliance Access) sistemleri ile ilgili olduğu görülüyor. SSA,  dünyadaki bankalar tarafından para transferi yapmak için kullanılan bir sistem. Bu klasörün bir bölümünde “9 SAA sunucusunda devam eden tahsilat” başlığı yer alıyor ve bazı bankalara işaret ediliyor. Bu bankaların büyük kısmı ise Ortadoğu bölgesinde yer alıyor.

Shadow Brokers son olarak “Gelecek sefere elimizde ne olacağını kim bilebilir?” mesajını paylaştı.

Siber Bülten abone listesine kaydolmak için formu doldurunuz

[wysija_form id=”2″]
Türkiye

“Wi-fi hackleme çocuk oyuncağı”

Yorum yapın

Bilgisayar ve Güvenlik Teknolojileri alanında dünyanın önde gelen firmalarından F-Secure Güvenlik Birimleri Genel Müdür Yardımcısı Samu Konttinen, İstanbul’da düzenlenecek WEBİT Konferansı’na katılmak için Türkiye’ye geldi.

F-Secure Güvenlik Birimleri Genel Müdür Yardımcısı Samu Konttinen internet ve bilgisayar güvenliği hakkında DHA’ya konuştu. F-Secure firmasının tükeci güvenliği ürünlerinin ve güvenilk araştırmalarının yapıldığı laboratuvarın başında bulunan Samu Konttinen, internet güvenliğini değerlendirdi.

Dünya genelinde güvenlik zaafiyetlerinin ve bu konuda gelişmelerin iyiye değil kötüye doğru ilerlediğini belirten Konttinen, ” Giderek daha hızlı bir şekilde güvenilk konusundaki zayıflıkların arttığını, ‘malware’ yani kötü niyetli yazılımların ve problemlerin arttığını görüyoruz. Şu an ortalama herhangi bir günde toplam 300 bin malware ortaya çıkıyor. Ayrıca giderek daha fazla cihaz birbiriyle bağlantılı hale geldikten sonra özellikle de nesnelerin interneti yaygınlaştıktan sonra bu problemlerimiz daha da hızlanmış şekilde artacak. Çünkü her şey birbiriyle bağlantılı hale gelecek ve nesnelerin internetinin beraberinde getireceği bugün bilemediğimiz anlayamadığımız sorunlarla karşı karşıya kalacağız” diye konuştu.

İLGİLİ HABER >> DİNLEMEDEN NASIL KURTULABİLİRİZ?

“Bireysel kullanıcılar güncel ataklara karşı nasıl korunma yöntemleri uygulamalı, en başta nelere dikkat etmeliler?” sorumuzu Samu Konttinen şöyle yanıtladı:

“Bu konuda yapılabilecek temelde 3 şey var. Birincisi bütün cihazlarınıza iyi bir antivirüs yazılımı yüklemek. Bu birinci savunma hattınız. ikincisi online hizmetlerden yararlanırken dikkatli olmak. En büyük risk burada. Bütün online hizmetler için farklı şifreler kullanmanız gerek. Üçüncüsü de gizlilik konusunda çok iyi birtakım araçlar var. Bunlardan yararlanarak gizliliğinizi sağlamak. İzlenmeyi ve profilinizin çıkarılmasını bu yolla önlemek. Bu konuda F-Secure olarak iki ana ürün kategorimiz. Birincisi ‘Safe’. Bu program truva atları dahil bütün saldırılara karşı sizi koruma altına alır. İkincisi ‘F-Secure Freedome’, amacı virüslerden korumak değil gizlilik kazandırmak.”

İnternette gizliliğin antivirüs kavramından daha yeni olduğunu belirten Konttinen bu konu üzerine şöyle konuştu:

” Wi-Fi bağlantı insanlar tarafından artık çok kolay kullanılıyor. Ama bunlar genellikle açık ağlar, yani bir koruma altında olmuyorlar. Böyle olduğu için de hacklenmeleri çok kolay. Bugün Youtube’da ‘bir ağı nasıl hacklerim?’ diye arama yapın. Yüzlerce videoya ulaşabilirsiniz. 12 yaşındaki bir çocuk bile bu videolar aracılığıyla Wi-Fi ağları hackleyebilir. Bir Wi-Fi ağa hackleme yoluyla girildiyse, o zaman o ağdaki bilgilere ulaşılabiliyor. Çünkü sizin o Wi-Fi üzerinden yaptıklarınızı görebiliyorlar. Sosyal medayada ne yapıyorsunuz, online bankacılıkta ne yapıyorsunuz ve en sonunda şifre başta olmak üzere kişisel bilgilerinize ulaşmak mümkün olabiliyor. Az önce söylediğim gibi Youtube’da izleyeceğiniz videoları takip ederek Wi-Fi hacklemek o kadar kolay ki, 1 dakikadan daha az sürer.”

İLGİLİ HABER >> ANNENİZ BİLGİ GÜVENLİĞİ UZMANIYSA

Gizlilik üzerine üretilmiş ürünlerin hacklenme durumunda kişisel bilgilerin güvenliğini saylayacağını belirten Konttinen, Freedome ürünlerinin bu konuda hizmet sağladığını belirtiyor ve ekliyor: “Wi-Fi ağınız hacklenmiş bile olsa internet üzerindeki tarama verileriniz ve hareketleriniz program tarafından şifreleniyor. Böylece hackleyen kişi bilgilerinizi göremiyor, eğer bu korumayı sağlayan programınız yoksa hacker internette yaptığınız her şeyi görebiliyor.”

Türkiye pazarında güvenliğe karşı duyarlılığın ne durumda olduğuyla ilgili spesifik olarak bilgisi olmadığını belirten Konttinen, internet güvenliği konusundaki farkındalığın o ülkede insanların ne kadar süredir interneti kullandıklarıyla paralel olarak artış gösterdiğini belirtiyor. Vatandaşları Türkiye’den daha fazla süredir internet kullanan ülkelerde internet güvenliği konusunda farkındalığın daha fazla olacağını söylüyor.

KAYNAK: DHA

HAFTALIK SİBER BÜLTEN RAPORUNA ABONE OLMAK İÇİN FORMU DOLDURUNUZ

[wysija_form id=”2″]