Etiket arşivi: Vault 7

ABD

CIA’in gizli ‘Domatesi’

Yorum yapın

WikiLeaks internet sitesi ‘Kasa Dairesi 7’ (Vault 7) diye adlandırdığı Amerikan Merkezi Haberalma Teşkilatı’na (CIA) ait gizli belgeleri parça parça açıklamaya devam ediyor. En son  geçtiğimiz hafta yayınlanan bir belgeye göre evinizin bir köşesinde duran Wi-Fi router’ınız (Wi-Fi yönlendiricisi) sadece fidye peşinde koşan hackerların değil, CIA’in de hedefinde olabilir. 2016 yılına ait yeni belgeler, Amerikan istihbaratının, router hackleme yazılımları hakkında bilgi veriyor. Buna göre CIA, D-Link ve Linksys markaları dahil olmak üzere evinizde, işyerinizde kullandığınız routerların güvenlik zaafiyetlerinden istifa ediyor. Kullanılan teknikler ağınızın parolalarının hacklenmesinden donanım yazılımının (firmware) internet trafiğini uzaktan denetlemek üzere yeniden yazılmasına kadar değişiyor.

TESPİT ETMEK MÜMKÜN DEĞİL

Routerlar, CIA dahil hackerlar için cezbedici bir giriş noktası. Çünkü çoğu router hacklendikleri zaman bunu ortaya çıkaracak arayüz veya performans açığı vermiyor. Hacker House şirketinin kurucusu güvenlik uzmanı Matthew Hickey bu noktaya dikkat çekerken, “Hemen hemen her evde bir kablosuz router var ve bu cihazlarda neler olup bittiğini kontrol etmek içinse pek bir aracımız yok. Dolayısıyla bu, birinin evine kötü amaçlı yazılım sokmanın oldukça gizli bir yolu. Yönlendiricinizin (router) hacklendiğini ve hacklenmediğini söyleyecek bir işaret yok. Normal bir şekilde internette olduğunuzu sanıyorsunuz. Sadece bir şey var ki o da internette yaptığınız her şey CIA’den geçiyor.” diyor.

İlgili haber >> CIA’in siber silahları deşifre olmaya devam ediyor: Arşimed

Birçok insanı, internet bağlantısında bir sorun çıkmadıkça gözardı ettiği routerlarını update etmeye itecek Wikileaks sızıntısına göre herşey, cihazları belirlemek üzere bir ağı tarayıp ardından CIA’in router hackleme startını veren ‘Claymore’ adı verilen aygıtla başlıyor. Belgelerde, yetkisiz erişim imkanı veren iki yazılımdan bahselidiyor: Tomato (domates) ve Surfside. Tomata, özellikle D-Link ve Linksys tarafından satılan en az iki router modelinin güvenlik açıklarından istifade ederek cihazların  yönetici parolalarını çalıyor. Kimlik bilgisinin alınmasının ardından CIA hackerı, hedef kullanıcının routerına ‘Flytrap’ adı verilen  kendi yazılımını kuruyor. Bu casus yazılım da hedefin tüm internet aktivitelerini izleyebiliyor, tıklanan web bağlantılarından SSL şifrelemesini kaldırabiliyor, hedefin bilgisayarına veya telefonuna erişim imkanı sağlayabiliyor, hatta farklı casus yazılımlar yükleyebiliyor.

İlgili haber >> CIA, Mac bilgisayarlara sızmanın yolunu bulmuş

Hacklenen routerlar için bir komuta-denetim sistemi olarak hizmet veren CherryTree adı verilen başka bir yazılım, operatörlerin virüsten etkilenen ağ aygıtlarını CherryWeb adlı tarayıcı tabanlı bir arayüzden izlemesine ve güncellemesine imkan tanıyor.

ROUTER HACKLENMESİNE KARŞI ÇÖZÜM

Sızdırılan dosyaların 2016’nın başlarına ait olduğu göz önüne alındığında, CIA’in bu routerlar üzerinden hâlâ casusluk faaliyeti yürütüp yürütmediği ya da üretici firmaların güvenlik açıklarını giderip gidermediği konusunda bir bilgi yok. Konuyla ilişkili olarak D-Link veya Linksys şirketlerinden henüz bir açıklama yapılmadı.  Bu firmalar zaafiyetleri gidermek için bir yama yapmış olsa dahi router yazılımının update edilmesinin zorluğu sebebiyle kullanıcıların belki de yıllarca suistimale açık olacağı söyleniyor.

HACKERLAR İÇİN MADEN YATAĞI

Ortalama ev routerlarının genel güvensizliği göz önüne alındığında, dünyanın en iyi imkanlarına sahip isithbarat teşkilatlarından biri olan CIA’in bunları suistimal etmesi kimseyi şaşırtmamalı. Ancak Wikileaks’in ifşa ettiği belgeler routerların update edilmesi konusunda kullanıcılara uyarı niteliğinde. Hacker House kurucusu Hickey de kullanıcıların routerlarını update etmeleri konusunda dikkatli olmaları halinde, CIA’in casusluk faaliyetlerine karşı korunmasız kalmayacaklarına işaret ediyor. Ancak çoğu kullanıcının routerlarını sıkça update etmedikleri ve antivirüs programlarının router casus yazılımlarını takip etmediği düşünüldüğünde bu Wi-Fi erişim noktalarının hackerlar için zengin bir maden yatağı olduğuna hiç şüphe yok.

ABD, Uluslararası İlişkiler

CIA’in siber silahları deşifre olmaya devam ediyor: Arşimed

Yorum yapın

 

WikiLeaks, ‘Kasa Dairesi 7’ (Vault 7) diye adlandırdığı Amerikan Merkezi Haberalma Teşkilatı’na (CIA) ait gizli belge sızıntıları kapsamında yeni dökümanlar yayınladı. İlki mart ayında kamuoyu ile paylaşılan sızıntıların 7. ayağında, CIA’in ofis bilgisayarlarına gizlice sızmak için kullandığı ‘Arşimed’ adlı araç deşifre edildi. Buna göre Aralık 2012 tarihli kullanım klavuzu bulunan Arşimed, yerel ağ kullanan (LAN) bilgisarları hacklemek için kullanıldı. ‘Fulcrum’ adlı benzer bir aracın update versiyonu olan Arşimed, hedef bilgiyasardan yapılan web sayfası aramalarını, CIA sunucusuna yönlendiriyor. Kullanıcının karşısına çıkan sayfa, istenilen orijinal web sitesi gibi gözükse de aslında CIA kontrolündeki, kötü yazılım yüklü bir sayfa oluyor. Bu tuzağı tespit edebilmenin tek yolu ise sayfanın kaynağını kontrol etmekten geçiyor. WikiLeaks’e göre bu yolla kötü yazılım yüklenen bilgisayara giriş elde ediliyor, bu bilgisayar  üzerinden de ağa bağlı diğer bilgisayarlar da CIA tarafından kontrol altına alınıyor.

Software şirketi Rendition Infosecurity’nin kurucusu Jake Williams, Arşimed’in ağ katmanı adreslerinin veri bağlantısı katmanı adreslerine (IP adreslerinin MAC adreslerine) çözümlenmesini sağlayan Adres Çözümleme Protokolü’nü (ARP) hedef alarak bilgisayarlara sızdığına işaret etti. Bu tür saldırılardan korunmak için de öncelikle yerel ağın güvenlik altına alınması gerektiğini söyledi.

“Kasa Dairesi 7” kod adıyla CIA ile ilgili 8 bin 761 belgeyi yayınlayan Wikileaks, Amerikan istihbaratının mobil telefonlar, bilgisayar ve tabletler üzerinden dinleme yaptığını, kullanıcıların Whatsapp ve Signal gibi uygulamalardan gönderdikleri şifrelenmiş mesajlara dahi erişimi olduğunu iddia ediyor.

 

 

ABD, Uluslararası İlişkiler

CIA, Mac bilgisayarlara sızmanın yolunu bulmuş

Yorum yapın

Wikileaks’ın son yayınladığı belgelere göre, Amerikan Merkezi Haberalma Teşkilatı (CIA), Mac bilgisayarlara bir şekilde sızmayı başarmış.

Wired’in haberine göre, CIA’ın bu sızma işlemini gerçekleştirebilmesi için bilgisayara fiziksel olarak erişimi gerekiyor. Vault 7 adlı belgelere göre, CIA’ın bu çok gizli yöntemi, antivirüs programlarının gözardı ettiği bir yerden Mac bilgisayarlara sızıyor. EFI diye bilinen bu program, bilgisayarın işlemi sistemi başlatıyor ve sabit diskinin haricinde çalışıyor.

Wired’a konuşan Güvenlik Araştırmaları Laboratuarı kurucusu Karsten Nohl, “EFI, tüm önyükleme sırasını düzenler. Bundan önce bir şey değiştirirseniz, herşeyi kontrol edersiniz. Bilgisayarınızın bir parçası haline gelir. Bilgisayarınızda olduğunu bilemezseniz ve silmesi de zordur” dedi.

Vault 7’den sızan belgeye göre, ajanların bilgisayara fiziksel erişiminin ardından bir program aracılığıyla Mac bilgisayarda bulunan Thunderbolt girişinin ethernet girişi haline dönüştürülüyor. Bunun ardından, bilgisayar, işletim sistemini yüklediğini düşünerek bu ağdan yüklemeyi gerçekleştiriyor. CIA’ın “DerStarke” diye nitelendirdiği bu program, kötü niyetli yazılım olan “Tritron”u çalıştırıyor ve bu program, her türlü bilginizi belirlenen merkeze gönderiyor. İşletim sistemini tamamen silip yeniden yüklemek isteseniz bile, Tritron bir anlığına silinip sonra tekrar yükleniyor.

Wired, CIA’ın geliştirdiği bu tekniğin, eski Mac bilgisayarlarda çalıştığını, Apple’in ürettiği yeni bilgisayarlarda buna karşı bir önlem olduğuna dikkat çekti. Yalnız, CIA’ın yayınlanan bu belgeleri 2013 yılına ait olması nedeniyle Apple’in bu önlemine karşı CIA’ın de yeni bir teknik geliştirmiş olabileceğine dikkat çekildi.

Malware Bytes adlı şirketten Mac güvenlik araştırmacısı Thomas Reed, “CIA’ın modern sistemler için araçlarını güncellemediğini düşünmek aptallık olur” uyarısında bulundu.

Belgelere göre, CIA benzer bir tekniği iPhone telefonlar için 2008 yılında denemiş. Wired’a konuya ilişkin açıklama yapan Apple, iPhone’lardaki açığın 2009 yılında kapatıldığını, Mac bilgisayarlarda da 2013 yılında kapatıldığını belirtti.