Kötü amaçlarla kullanıldığında birçok potansiyel tehdit barındıran Flipper Zero cihazının sahibi Flipper Devices şirketi, bu yıl 80 milyon dolar değerinde cihaz satmayı planlıyor.
Kredi kartı kopyalamaktan, telefon parolası kırmaya kadar pek çok özelliği bulunan Flipper Zero cihazının, başta ABD olmak üzere birçok ülkede satışı yasaklandı.
FLIPPER ZERO CİHAZI NEDİR?
Flipper Zero, güvenlik araştırmacıları için tasarlanmış çok amaçlı bir cihaz olarak biliniyor. Elektronik hackleme, pentest, radyo frekans analizi, çevresel kontrol, veri protokol analizi ve daha birçok özelliği içinde barındırıyor.
Flipper Zero, aynı zamanda kullanıcılara çeşitli yetenekler sunan bir hackleme cihazı. Özellikleri arasında radyo frekans sinyallerini tespit edebilme, kablosuz iletişimi analiz edebilme, IR (kızılötesi) cihazları kontrol edebilme, uzaktan kumandaları kopyalayabilme, NFC etkileşimi gerçekleştirebilme, dokunmatik ekranlı cihazları kontrol edebilme ve daha fazlası bulunuyor.
Bununla birlikte Flipper Zero, kullanıcıların kendi programlarını ve uygulamalarını oluşturabilecekleri bir platform sağlıyor. Cihaz, Python programlama diliyle uyumlu olmakla birlikte kullanıcılar tarafından programlanabilir özelliklere sahip.
Bu sayede kullanıcılar, cihazı kendi ihtiyaçlarına göre özelleştirebiliyor ve yeni işlevler ekleyebiliyor.
FLIPPER ZERO NEDEN TEHLİKELİ?
Flipper Devices şirketinin, “Dünyanın çoğunluğunun gerçekte ne kadar güvensiz olduğunu ortaya koyan eğlenceli bir deney cihazı” olarak söz ettiği Flipper Zero’yu tehlikeli kılan şey ise siber saldırganlar.
Kötü niyetli amaçlarla kullanıldığında, Flipper Zero gibi bir cihaz, siber saldırılar, veri hırsızlığı veya kişisel gizlilik ihlalleri gibi potansiyel tehlikelerin bir parçası hâline gelebiliyor.
Kredi kartı, toplu ulaşım kartı gibi çeşiti kartları kopyalama, araç kapısı açma, ekran açıp kapatma, telefon parolası kırma gibi özellikleri bulunan bu cihaz, teknoloji çağının tehlikeli oyuncağı olarak görülüyor.
ŞİRKETİN HEDEFİ 2023’TE 80 MİLYON DOLARLIK ÜRÜN SATMAK
2020 yılında Rusya’da kurulan Flipper Devices şirketi savaş hâli nedeniyle merkezini Rusya’dan taşımıştı.
Dünyanın çeşitli ülkelerinde ofisler açan şirketin, şu ana dek Kickstarter’da 5 milyon dolarlık ön siparişi bulunuyor. Flipper Zero cihazı bu yıl 80 milyon dolar değerinde ürün satma yolunda ilerliyor.
Türkiye dâhil birçok ülkede yasaklanan veya önlem alınan cihazın çeşitli platformlarda satışı bulunuyor.
Siber saldırganların cihazı suç amaçlı kullanmaya başlamasıyla ABD, ülkeye getirilen Flipper Zero cihazlarına gümrükte el koymuştu.
Avrupa’nın en büyük füze geliştirici ve üreticilerinden biri olan MBDA, altyapısına yönelik siber saldırı söylentilerine cevap verdi. Şirket sistemlerinin ihlal edildiği iddialarının doğru olmadığını söyledi.
Şirketten yapılan açıklamada, kuruluşa fidye ödemesi için şantaj yapmak amacıyla bilgi sistemlerinin hacklendiğine dair yanlış haberler yayan bir suç grubunun hedefi oldukları belirtildi.
MBDA’dan yapılan açıklamada şu ifadeler yer aldı: “Siber zorbalar, şirketin İtalya bölümü tarafından kullanılan harici bir sürücüdeki MBDA verilerini ele geçirmiş ve dosyaları sızdırmamak ya da satmamak karşılığında fidye talep etmişlerdir. Verilerin kaynağı halihazırda tespit edilmiş olup, harici bir sabit diskten elde edilmiştir. Şirketin güvenli ağlarına herhangi bir saldırı gerçekleşmediği teyit edilmiştir. Şu ana kadar şirket bünyesinde yapılan araştırmalar, çevrimiçi olarak kullanıma sunulan verilerin ne gizli veri ne de hassas veri olduğunu göstermektedir.”
Firma, saldırganların MBDA İtalya’dan harici sabit diski nasıl ele geçirdiklerine dair herhangi bir açıklama yapmıyor. MBDA ayrıca şantaja boyun eğmeyeceklerini ve suçlulara fidye ödemeyeceklerini de sözlerine ekledi. Öte yandan İtalya’daki kolluk kuvvetleriyle birlikte çalışacaklarını ve faillere karşı tüm yasal işlemleri başlatacakları da ifade edildi.
30 Temmuz 2022 tarihinde, kendilerini bir grup siber güvenlik araştırmacısı olarak tanımlayan “Andrastea” adlı bir hacker grubu, popüler bir hacker forumunda, kritik ağ açıklarından yararlanarak MBDA’yı ihlal ettiklerine dair bir iddia yayınladı. Hackerlar, saldırı sonucunda MBDA’nın çalışanları, çeşitli gizli askeri projeler, teknik şemalar, sözleşmeler, anlaşmalar ve daha fazlası hakkında bilgiler de dahil olmak üzere yaklaşık 60 GB veri indirdiklerini iddia etti. Andrastea, ellerindeki verilerin gerçek olduğunun kanıtı olarak çalınan verilerin örneklerini paylaştı.
MBDA halihazırda 90 müşteriye satılan 45 füze tipi üreten büyük bir füze sistemleri geliştiricisi. Havadan havaya, karadan havaya, havadan karaya, gemisavar, tanksavar ve çoklu fırlatıcı sistemleri de dahil olmak üzere 15 tane yeni füze de geliştirme aşamasında.
Yıllık geliri 4,2 milyar Avro olan firmanın Fransa, Almanya, İtalya, İngiltere, ABD ve Hindistan’da merkezi ve 13 bin çalışanı bulunuyor.
Web hayatımıza girmeye başladığında, gördüğümüz, kullandığımız web sitelerini oluşturmak görece daha kolaydı. Ancak web siteleri popülerlik kazandıkça daha gelişmiş siteler ortaya çıktı. Gelişen web siteleri ise kullanıcı verilerini, site içeriklerini veritabanlarında depoladı. Depolarken de bir veri tabanı uygulaması olan Structured Query Language (SQL) adı verilen Yapılandırılmış Sorgu Dili kullanılmaya başlandı.
Dünya çapında birçok veri tabanı SQL ile ilişkili olmakla birlikte, siber tehdit aktörlerinin de gözünden hiç kaçmadı. SQL ortaya çıktığından beri siber tehdit aktörlerinin veri çalmak için en sık kullandığı saldırılardan biri SQL Injection oldu. Öyle ki, OWASP’ın(Açık Web Uygulama Güvenliği Projesi) günümüzün web uygulamalarına yönelik en ciddi tehditleri listelediği top 10 sıralamasında SQL Injection uzun yıllardır ilk on içerisinde yer almasının yanında 2021 yılında dahi bu sıralamadaki yerini koruyor.
Öyleyse bu yazıda SQL ve SQL Injection’a yakından bakmak, ne olduğunu, kısa tarihini, teknik ayrıntılarını, ne amaçla kullanıldığını ve nasıl önlenebileceğini anlatmaya çalışalım.
KISA WEB TARİHİNDEN SQL’E ÇIKAN YOL
1980’li ve 90’lı yıllardan başlayarak dünya, webin ve kişisel bilgisayarların hayatımıza girişine tanıklık etti. AOL, CompuServe, Juno ve diğer birçok şirket bilgi portalları ve web ağ geçitleri sağlamaya başladı. Böylelikle bilgi çağı doğarken, bilgi güvenliği de hayatımıza girmiş oldu.
İnsanlar, interneti keşfederken, yavaş yavaş birçok web sitesi oluşmaya başladı. İlk web siteleri statik metin ve resimler içerirken, webin popülerleşmesiyle arkasındaki teknoloji de gelişerek dinamik webleri ortaya çıkardı. HTML, CSS ve JavaScript ile gelişen süreç, çeşitli programlama dilleriyle birlikte devam etti. Birçok “Yapılandırılmış Sorgu Dili” gidip gelse de ilk olarak ABD hükümetine ait proje olarak 1970’lerde ortaya çıkan SQL, kullanımının yaygınlaşmasıyla giderek popülerleşti.
SQL NEDİR? NE İŞE YARAR?
SQL, genel olarak veri tabanı yönetiminin mihenk taşlarından birisidir. Veri tabanlarında bulunan verileri yöneten, işleyen, kontrol eden, sorgulayan SQL, veri tabanına ihtiyaç duyulan hemen her sektörde kullanılabilir. Özellikle SQL, web sitesi geliştirmek isteyenlerin vazgeçilmezidir.
SQL’in temel hedefi, verilerin ve veri kümelerinin modellenmesidir. Büyük boyutlu verileri bile birkaç işlemle işleyen SQL ile, veri tabanında var olan verileri kaydedebilir, veri tabanına yeni veriler işleyebilir, verilerin tamamını güncelleyebilir, sorgulama ve arama yapabilir, verileri silebilir, veri kayıtlarını yeniden oluşturabilir, veri tabanına ait yeni tablolar yaratabilir, veri tabanlarına kimlerin ulaşabileceğini ayarlayabilirsiniz. Bu anlamda SQL, sistemi birçok işlemi mümkün kılar. Tabii aynı zamanda da ‘veri hırsızlığı’nın da vazgeçilmez unsuru olarak karşımıza çıkar.
SİBER TEHDİT AKTÖRLERİNİN GÖZ BEBEĞİ SQL Injection NEDİR?
OWASP’ın tanımlamasıyla Injection, “güvenilmeyen verinin bir yorumlayıcı programa komut veya sorgu olarak iletilmesi”dir.SQL Injection da bu anlamda siber tehdit aktörlerinin SQL sorgularına müdahale etmesiyle gerçekleşen bir güvenlik açığı olarak bilinir.
SQL Injection saldırılarında bilinen yaygın risk, oturum açma bilgilerinin, kimlik bilgilerinin, e-posta adreslerinin çalınmasıdır. Bu veriler ise dark web’de satışa çıkarılarak siber tehdit aktörlerinin bir kazanç biçimine dönüştürülür.
SQL Injection NASIL GERÇEKLEŞTİRİLİR?
Çok uzun bir süredir OWASP’ın top 10 listesinde yer alan, bununla birlikte en eski güvenlik açıklarından biri olan SQL Injection, istemciden uygulamaya giriş verileri aracılığıyla bir SQL sorgusunun eklenmesiyle gerçekleştirilir.
SQL komutları, önceden tanımlanmış SQL komutlarının yürütülmesini etkileyen veri düzlemi girişine bulaştırılır. Dikkat ve koordinasyon gerektiren DDoS saldırılarıyla karşılaştırıldığında SQL Injection saldırısı, daha çok sabır, deneme yanılma, yaratıcılık ve biraz da şans gerektirir. Çok fazla beceri gerektirmeyen SQL Injection saldırısı tek bir bilgisayarda gerçekleştirebilir.
Oracle, SQL Server veya MySQL gibi SQL veri tabanları bir web sitesi veya uygulamasında kullanılıyorsa, SQL Injection saldırısına karşı savunmasız kalabilir. SQL Injection zafiyetini istismar eden saldırganlar, SQL veri tabanının içeriğini ele geçirebilir, değiştirebilir veya silebilir. Üstelik saldırganlar bu açığı kullanarak uygulamanın veri tabanında yönetici yetkisine sahip olabilir.
SQL Injection YOLLARI
Bunların yanı sıra SQL Injection saldırısı gerçekleştirmek için farklı yollar bulunur. Bunlar arasında aşağıdaki yollar yer alır:
Kullanıcı girişine dayalı SQL Injection
Çerezlere dayalı SQL Injection
HTTP başlıklarına dayalı SQL Injection
İkinci dereceden SQL Injection
Kullanıcı girişine dayalı SQL Injection, genellikle web uygulamalarının kullanıcı girdilerini incelemediği durumlarda ortaya çıkar. Normalde uygulama, kullanıcı girdilerini formlar aracılığıyla incelenip kabul ederken, söz konusu durumda bu girdiler incelenmeyerek kabul edilir.
Çerezlere dayalı SQL Injection ise, siber tehdit aktörlerinin kullanıcı veya kullanıcının cihazına zararlı yazılım dağıtmasına denir.
Web uygulamasının HTTP başlıklarından girdileri kabul ettiği durumda, rastgele SQL içeren sahte başlıklar veri tabanına kod ekleyebilir. Böylece HTTP başlıklarına dayalı SQL Injection ortaya çıkmış olur.
İkinci dereceden SQL Injection ise hem iyi hem de kötü amaçla kullanılabilen ‘zehirli’ veriler sunmasıyla bilinir.
Saldırganlar, SQL Injection güvenlik açıklarından çeşitli şekillerde yararlanarak sunuculardan veri sızdırabilir. Yaygın yöntemler arasında “Hata tabanlı (error-based), Boole tabanlı, Zamana dayalı (time-based) ve Bant dışı SQL Injection” bulunur.
Hata tabanlı SQL Injection:
Tehdit aktörleri, hata tabanlı bir SQL Injection zafiyetini istismar ederken, görünür veritabanı hatalarından tablo adları ve içerik gibi bilgileri alabilir. Üretim sistemlerinde hata mesajlarının devre dışı bırakılması, saldırganların bu tür bilgileri toplamasını önlemeye yardımcı olur.
Boole tabanlı SQL Injection:
Bazen bir SQL sorgusu başarısız olduğunda sayfada görünür bir hata mesajı olmaz. Bu durum saldırganın güvenlik açığı bulunan uygulamadan bilgi almasını zorlaştırır. Ancak yine de bilgi çıkarmanın bir yolu vardır.
Bir SQL sorgusu başarısız olduğunda, bazen web sayfasının bazı bölümleri kaybolur, değişir ya da web sitesinin tamamı yüklenemeyebilir. Bu göstergeler, saldırganların giriş parametresinin savunmasız olup olmadığını ve verilerin çıkarılmasına izin verip vermediğini belirlemesine olanak tanır.
Saldırganlar, bir SQL sorgusuna bir koşul ekleyerek bu durumu test edebilirler.Sayfa her zamanki gibi yüklenirse, bir SQL Injection’a karşı savunmasız olduğunu gösterebilir.
Zamana dayalı SQL Injection:
Bazı durumlarda güvenlik açığı bulunan bir SQL sorgusunun, sayfanın çıktısı üzerinde görünür bir etkisi olmamasına rağmen temeldeki bir veri tabanından bilgi çıkarmak mümkün olabilir.
Tehdit aktörleri bunu, veri tabanına yanıt vermeden (uyku) talimatı vererek belirler. Sayfa savunmasız değilse, hızlı bir şekilde yüklenir; savunmasızsa, yüklenmesi normalden daha uzun sürer. Bu, sayfada görünür bir değişiklik olmamasına rağmen saldırganların verileri çıkarmasını sağlar.
Bant dışı SQL Injection:
Bazen bir saldırganın bir veri tabanından bilgi alabilmesinin tek yolu bant dışı teknikleri kullanmaktır. Genellikle bu tür saldırılar, verilerin doğrudan veri tabanı sunucusundan saldırgan tarafından kontrol edilen bir makineye gönderilmesini içerir.
SQL Injection saldırılarına olanak sağlayan çeşitli etmenler bulunur. Verileri savunmasız kılan bu yaklaşımların değişmesi, SQL Injection saldırılarından en az hasarla atlatmanın ön koşuludur.
Örneğin veri tabanları yöneticilerine verilen yetkiler veya ayrıcalıkların sınırlandırılmamış olması, SQL Injection saldırısı gerçekleştiren herhangi bir saldırganın yönetici yetkisine sahip olmasıyla sonuçlanabilir.
Tüm verilerin aynı veri tabanında depolanması da yine kötü bir şekilde sonuçlanabilir. Elinizdeki tüm parayı evinizde saklamak ne kadar mantıklı değilse, hassas bilgileri, finans bilgileri, kişisel bilgileri aynı veri tabanında bulundurmak da siber tehdit aktörlerinin eline yağ sürmektir.
SQL Injection SALDIRILARI NASIL ÖNLENİR?
SQL Injection saldırılarını engellemenin tek bir geçerli yolu vardır. Bu da giriş doğrulaması ve hazırlanmış ifadeleri içeren parametreli sorguları içerir. Tek tırnak gibi kötü amaçlı kod öğelerinin de kaldırılması gerekir. Bunların yanında hata görünürlüğünü kapatmak da yardımcı etmenlerdendir.
SQL zafiyetlerini engellemek pek kolay olmasa da atılabilecek önemli adımlar mevcuttur.
Özetleyecek olursak:
Farkındalığınızı artırın
Kullanıcı girdilerine güvenmeyin
Katı beyaz listeler kullanıp filtreleyin
Son teknolojileri ve doğrulanmış mekanizmalar kullanın
Türkiye’nin dört bir yanındaki devlet üniversiteleri günlerdir siber saldırıya hedef oluyor. Aynı saldırganın gerçekleştirdiği veri hırsızlığında, toplamda 200 bin öğrenci ve üniversite çalışanının bilgilerinin çalındığı iddia ediliyor.
Dark web forumunda paylaştığı gönderilerde siber tehdit aktörü, üniversitelerin veri tabanlarına yaptığı saldırıyla üniversitelerin öğrenci ve teknik personellerinin adres, telefon, TC kimlik numaraları, öğrenci numaraları, e-posta adreslerini ele geçirdiğini ileri sürmüştü.
SÜREÇ NASIL BAŞLADI?
Sürecin başlangıç noktasını İzmir Kâtip Çelebi Üniversitesi (İKÇÜ) oluşturuyor. İKÇÜ’deki veri tabanı sızıntısı sonrası tehdit aktörü, Diş Hekimliği Fakültesi öğrencilerinin verilerinin bulunduğu 15 sütunluk örnek yayımladı.
İKÇÜ tarafından öğrencilere gönderilen toplu mesaj, telaşa yol açmıştı. Mesajda “Bilindiği üzere 17/10/2021 tarihinde uğradığımız siber saldırı sonucunda öğrenci ve personel bilgileri saldırganlar tarafından ele geçirildi. Yaşanan durumdan dolayı özür diler gerekli işlemlerin başlatıldığını bildiririz.” ifadeleri yer aldı.
İKÇÜ, paylaştığı başka bir mesajda ise “Kurumumuz adına gönderilen sahte SMS mesajları olduğu tespit edilmiştir. Kurumumuz resmi SMS gönderici ismi IKCU ve kodu B002’dir. Diğer gönderilen mesajlara itibar etmeyiniz. Verilerin çalındığı bilgisi doğru değildir.” uyarısında bulunmuştu.
İzmir Kâtip Çelebi Üniversitesi’yle başlayan siber saldırı sürecini Bolu Abant İzzet Baysal Üniversitesi, Erzurum Teknik Üniversitesi ve Kastamonu Üniversitesi takip ederken Hitit Üniversitesi, Gaziantep Üniversitesi, Bartın Üniversitesi, Sivas Cumhuriyet Üniversitesi ve Bakırçay Üniversitesi’nin de siber saldırıya hedef olduğu siber tehdit aktörü tarafında iddia edildi.
Abant İzzet Baysal
Bartın
Bakırçay
Sivas
Kastamonu
Leak2
Gaziantep
Erzurum
Öte yandan Bakırçay Üniversitesi’nden sızdırılan datalara da önceki tarihlerde erişildiği ve şimdi yayımlandığı düşünülüyor. Kâtip Çelebi Üniversitesi’ne yönelik bir süredir brute-force saldırılarının devam ettiği de gelen bilgiler arasında. Siber tehdit aktörünün iddiaları doğruysa, söz konusu saldırılarda toplamda 200 bin öğrenci ve üniversite çalışanının bilgileri çalınmış olabilir.
TEHDİT AKTÖRÜ SALDIRILARI NASIL GERÇEKLEŞTİRİYOR?
Elde ettiği verileri dark web forumunda satışa çıkaran siber tehdit aktörü, satış ilanlarının saldırılarla ilgili detayların yer aldığı bir paylaşım da yaptı. Saldırgan, verileri ele geçirmek için CVE-2019-0708 kodlu güvenlik zafiyetini ve SQL Injection zafiyetini kullandığını açıkladı. Ayrıca MoreToCome takma adını kullanan saldırgan, 2500 dolar karşılığında SQL Injection zafiyetini de satışa çıkardı.
SİBER SALDIRILARA DAİR ÇEŞİTLİ SENARYOLAR
İddia edilen veri sızıntılarına dair çeşitli yaklaşımlar bulunuyor. Bunlardan biri, saldırganın istismar ettiğini söylediği CVE-2019-0708 zafiyeti. 2019 yılında keşfedilen ve giderilen kritik seviyedeki zafiyet genel olarak Microsoft tarafından desteği kesilen işletim sistemlerinde tespit edilmişti. RDS hizmetlerinde uzaktan kod yürüterek işletim sisteminin manipüle edilmesini sağlayan zafiyet, Windows XP ve Vista gibi sürümlerde bulunuyor.
Microsoft tarafından güncellemeler yayımlanmış olsa da gerekli güncellemelerin yapılmaması zafiyetin istismar edilebileceği anlamını taşıyor. Bununla birlikte zafiyetin desteği kesilmiş işletim sistemlerinde bulunması ve istismar edilmesi, saldırıya uğrayan devlet üniversiteleri tarafından hâlâ eski işletim sistemleri kullanıldığını düşündürtse de Siber Bülten’e konuşan üniversite yetkilileri sistemlerin yeni ve tüm güncelleştirmelerin düzenli bir şekilde yapıldığını belirterek, ne eski bir işletim sisteminin kullanıldığını ne de söz konusu zafiyetin istismar edildiğini ifade ediyor.
Bununla birlikte üniversitelere yönelik veri sızıntısının arkasında phishing (oltalama) saldırısı ihtimali değerlendiriliyor. Bu senaryoda sistemlerde yönetici yetkisi bulunan kişilerin kullanıcı-adı parolalarının ele geçirilmesiyle bazı raporlara ulaşmış olduğu düşünülüyor. Ayrıca yine kurum içi kişilerin veri sızdırmış olabileceği de yaklaşımlar arasında bulunuyor.
UBS’DEN ALINMIŞ RAPORUN MANİPÜLE EDİLMİŞ HALİ
Siber Bülten’e bilgi veren yetkililer
İletişime geçebildiğimiz üniversiteler arasında bulunan Hitit Üniversitesi tarafından yapılan açıklamada, “Güncelleştirmelerimiz sürekli ve düzenli bir şekilde yapılırken güvenlik ağımız da çeşitli katmanlarla korunuyor. Üniversitemize dair herhangi bir veri paylaşımı da yapılmadı. Teknik ekibimiz yoğun bir şekilde çalışıyor. Kâtip Çelebi Üniversitesi’ndeki olayda olası tek senaryo, phishing yöntemiyle yönetici yetkisine sahip birinin kullanıcı adı-parolası ele geçirilip veri sızdırılması. Şu an için üzerinde durduğumuz konu bu. Bu konu hakkında ilk defa bizimle iletişime geçildi. Bizimle olayı öğrenmek amacıyla iletişime geçtiğiniz için çok teşekkür ederiz.” ifadeleri yer aldı.
Bolu Abant İzzet Baysal Üniversitesi Bilgi İşlem Daire Başkanı’nın yaptığı açıklamada şu ifadeler yer aldı:
“Tehdit aktörü tarafından yayımlanan datalara baktık. Öncelikle Kâtip Çelebi olsun bizim olsun yayımlanan dataların bir veri tabanını yansıtmadığını gördük. Tehdit aktörünün ilgili üniversitelere dair örnek olarak sunduğu data Kâtip Çelebi Üniversitesi tarafından geliştirilen UBS’den (Üniversite Bilgi Sistemi) alınmış bir raporun manipüle edilmiş hâlleri olduğunu gördük. Söz konusu UBS sistemini kullanan bizim de içerisinde olduğumuz toplam 25 üniversite var. Kâtip Çelebi Üniversitesi ile olay gününden itibaren iletişim hâlindeydik, beraber yoğun mesai harcadık ancak yayımlanan belgelerin gerçek olmadığını biliyorduk. Loglarımızı ve sistemlerimizi kontrol ettik, bizimle birlikte ismi geçen tüm üniversiteler de aynı işlemleri gerçekleştirdi. Sonuç olarak baktığımızda yayımlanan dataların gerçek olmadığını tekrar görmüş olduk.
Tehdit aktörünün CVE-2019-0708 zafiyetini kullanarak verileri elde ettiği bir senaryo da söz konusu değil. Çünkü söz konusu zafiyeti kullanabilseydi tüm verilere erişebilirdi ki sistemlerimiz yeni ve güncel olduğu için bu da mümkün değil. Bununla birlikte ilgili üniversitelerle neler yapabiliriz diye bir konferans gerçekleştirdik. Alabileceğimiz güvenlik önlemleri hakkında istişarelerde bulunduk. Bunlar arasında UBS sistemini kurum dışına kapattık. Şimdilik sadece kampüs içerisinde girilebiliyor. Dışarıdan girmek için proxy kullanılmasını isteyeceğiz.
EK GÜVENLİK ÖNLEMLERİ GELİYOR
Yakın tarihte iki faktörlü doğrulamaya geçiş yapacağız. Kullanıcı yetkilendirme kararlarında değişiklik yapacağız, güvenlik anlamında olası bir olumsuz senaryoya karşılık raporlar üzerinde TCKN maskelemesi uygulayacağız ve bunların yanında SMS doğrulaması kullanmayı düşünüyoruz. Söz konusu olay ya kullanıcı zafiyetinden ya da kurum içi personelin veri sızdırmasıyla alakalı olduğunu düşünüyoruz. Ancak daha önce belirttiğim gibi sistemlerimizde herhangi bir sıkıntı yok, sızdırıldığı iddia edilen ‘veri tabanı’ hem bir raporlama sayfası yani veri tabanı değil hem de manipüle edilmiş. Durumla alakalı iletişime geçtiğiniz için de teşekkür ederiz.”
Bartın Üniversitesi’nin yaptığı açıklamada, “Siber saldırı sadece bir üniversitede gerçekleşti. Üniversitemizde herhangi bir sızıntı durumu yok. Bizim ismimizi kullanarak yapılmış bir paylaşım bu.” ifadeleri yer aldı.
Erzurum Teknik Üniversitesi’nin yaptığı açıklamada, “Gerekli araştırmaları yaptık, haber asparagastır. İşletim sistemlerimiz güncel ve yeni.” denildi.
Gaziantep Üniversitesi’nin yaptığı açıklamada, “Haberleri gördük, herhangi bir veri sızıntısı olayı yok. Sistemlerimiz yeni. Linux işletim sistemini kullanıyoruz. İKÇÜ tarafından geliştirilen UBS’yi de kullanmıyoruz.” ifadeleri kullanıldı.
Daha önce açıklama yapan Kastamonu Üniversitesi de söz konusu iddiaların gerçeği yansıtmamakta olduğunu belirterek, İKÇÜ’nün yaptığı açıklamayı da referans göstererek, İKÇÜ tarafından geliştirilen ve kendilerinin de kullandıkları Üniversite Bilgi Yönetim Sistemi’nde herhangi bir sorun olmadığını, konunun takip edildiğini söylemişti.
Bakırçay Üniversitesi ve Sivas Cumhuriyet Üniversitesi’yle ise konu hakkında görüşme gerçekleştiremedik.
SİBER SALDIRILAR MECLİS GÜNDEMİNE TAŞINDI
Milliyet’ten Mine Özdemir’in haberine göre, siber saldırı iddialarına yönelik harekete geçen CHP İzmir Milletvekili Mahir Polat, konuyu TBMM gündemine taşıdı. Polat, Ulaştırma ve Altyapı Bakanı Adil Karaismailoğlu’na cevaplanması istemiyle şu soruları yöneltti:
· Siber saldırı yöntemleri ile ilgili incelemeler ne sıklıkla yapılmaktadır? Yapılıyor ise bunlar kamu kurumlarındaki bilişim birimleri ile paylaşılmakta mıdır? Üniversiteler de bu kurumlara dahil midir?
· Son 5 yılda siber saldırıya uğrayan kamu kurumu sayısı kaçtır?
· Son 5 yılda bilişim suçları kapsamında ceza alan kişi sayısı kaçtır?
İran destekli bir siber saldırganın eski bir İsrail Genel Kurmay Başkanının bilgisayarındaki verileri sızdırdığı ortaya çıktı.
Times of Israel’in haberine göre, İran hükümetinin anlaştığı bir siber saldırganın eski İsrail Genelkurmay Başkanının bilgisayarına sızarak veritabanına erişim sağladı.
Yaser Balaghi adlı tehdit aktörü söz konusu saldırıya ilişkin övünürken farkında olmadan kimliğine ilişkin bir iz bıraktı.
İran’ın operasyonla İsrail ordusunun generallerini, insan hakları savunucuları ve bazı akademisyenlerin de bulunduğu 1800 kişiyi hedef aldığı belirtiliyor.
Habere göre saldırganın kendini ele vermesi sonrası Tahran yönetimi siber operasyonu bitirmek zorunda kaldı.
İsrailli yazılım firması Check Point’in CEO’su Gil Shwed, geçtiğimiz ocak ayı sonlarında İsrail Radyosuna verdiği röportajda saldırının iki ay önce başladığını ve hedef bilgisayarlara zararlı yazılım içeren e-postalar aldıklarını belirtmişti.
Shwed, alıcıların dörtte birinden fazlası e-postaları açtığını, istemeden casus yazılım indirdiğini ve sabit disklerinden veri çalınmasına izin vermişti.
Son iki yılda İsrail’e karşı birkaç kez siber saldırı düzenlendi. Yetkililere göre, sızma saldırılarının bir kısmı Hizbullah ve İran hükümetiyle bağlantılı hackerlar tarafından düzenlendi.
