Güvenlik Bülteni – 6
Güvenlik Bülteni – 6
Asus Wi-Fi Router’larındaki Zayıf Güvenlik Nedeniyle 20 Yıllık Denetimle Karşı Karşıya
Şu sıralar, Asus’un başı (FTC) Amerikan Federal Ticaret Komisyonu’nun açtığı Router güvenliği ya da güvensizliği ile ilgili dava yüzünden dertte.
FTC, Asus ile ilgili olarak davayı Asus’un 20 yıl boyunca her 2 yılda bir bağımsız güvenlik denetimlerinden geçmeyi kabul etmesi ile anlaşarak neticelendirdi.
Asus Wireless Router’larda güvenlik zafiyetleri yüzünden yüzbinlerce ev ve firma müşterileri risk altındaydı. Eğer Asus bu anlaşmayı ihlal edecek olursa her bir ihlal için $16.000 ceza ödeyecek.
Davada öne çıkan güvenlik açıklıkları ise:
– 2014 yılındaki tüm router cihazlarının kullanıcı adı ve parolası “ADMIN”. 2014 yılında bir çok cihaz bu yüzden ele geçirilmişti. Esas problem ise Asus’un bu parolayı değiştirmeleri gerektiğini müşterilerine bildirmemiş olması.
– Kolayıkla kırılabilen web arayüzü sayesinde cihazlar ele geçirilebiliyordu.
– Asus AiCloud ve AiDisk servislerindeki zafiyetler yüzünden dünyanın herhangi bir yerindeki saldırgan uzaktan sabit diskinize erişebilir ve tüm sisteminizi ele geçirebilir duruma gelebiliyordu.
– “Güncellemeleri Kontrol Et” tuşunun aslında çalışmaması.
Çin ISP’leri Web Sitelerine Reklam ve Zararlı Yayarken Yakalandı
Çin geçtiğimiz senelerde gerek internet politikaları, gerek Çin İşletim Sistemi (COP), gerek se kendi arama motorları Baidu ile dikkatleri üzerine çekmişti.
Bu gelişmelerin yanı sıra Çin’in kendi ürünlerine (Xiaomi, Star N9500 akıllı telefonları) arka kapılar koyduğu şüphesi de gündemdeydi.
Şimdi de Çin internet servis sağlayıcıları (ISP) reklamlar ve zararlı yazılımları ağlarından yayarken yakalandı.
Üç İsrail’li araştırmacının ortaya çıkarttığı, Çin’in en büyüklerinden China Telecom ve China Unicom yasa dışı yollardan içerik yerleştirme konusu şok yarattı. Herhangi bir internet kullanıcısı bu ISP’ler altında bulunan alan adlarına ulaşmaya çalıştıklarında kullanıcıların paketlerini yönlendiriyorlar.
Kullandıkları yöntemler ise:
– Out of Band Injection
Dönüş paketini klonlayıp ikisini birden kullanıcıya döndürerek önce gelen paketin işlenmesini sağlıyorlar. Böylece her seferinde yönlendirme olmadığı için yakalanma olasılığını düşürüyorlar.
– HTTP Injection
Dönüş başlığında 200 (OK) yerine 302 (Redirection) alarak istedikleri linklere yönlendirebiliyorlar.
Bu durumdan kaçınmanın en kolay yolu ise HTTP yerine HTTPs olan linkerin kullanılması.
Apple vs FBI: Kaçıncı Raunttayız?
Apple ve FBI aralarındaki savaşı kongreye taşdı. Bu arada Apple kendinin bile kıramayacağı bir iPhone yapabilmek için dünyanın en güvenli mesajlaşma uygulamasının geliştiricisini transfer etti. FBI ise “Ya Apple Mühendisleri Kaçırılır ve iPhone’ları kırmak için uygulama yazdırılırsa” çıkışı ile tepkileri yine üzerine çekiyor.
Kongreye taşınan tartışmalarda “güvenlik uygulamalarını zayıflatmak kötü adamları etkilemeyeceği gibi bizleri güçsüzleştirecektir” ve “Aslında şifrelemenin kırılması sağlanırsa geri dönülmez bir noktaya gidileceği” tartışılıyor. Yasalarda değişiklik yapılması ihtimali ise trajik olarak yorumlanmakta.
Bu arada Apple yeni iPhone’u hacklenemez yapmak için çalışmalara başladı. Bunun için Dünyanın en güvenli şifreli mesajlaşma uygulaması Signal’ın geliştiricisini transfer etti. Frederic Jacobs’ın tweeti konuyu ortaya çıkartıyor. “Bu yaz CoreOS güvenlik takımı ile birlikte çalışacağım teklifi kabul ettiğim için mutluluk duyuyorum.”
FBI ise hem kamuoyunun hem de sayısız teknoloji devinin karşısında konuya farklı bir yaklaşım sergiliyor. FBI Direktörü James B. Comey şu soruyla gündem yaratmak istedi: “Ya Apple mühendisleri kaçırılıp zararlı yazılım üretmeye zorlanırsa”.
Sonucunu merakla beklediğimiz savaşın sonu ne olacak, takip etmeye devam ediyoruz.
Hakim, Hükümetin FBI için Tor Kullanıcılarını Hacklemesi Amacıyla CMU Bilim Adamlarını Tuttuğunu Açıkladı
Carnegie Mellon Üniversitesi’nden (CMU) güvenlik araştırmacıları suç araştırmalarının bir parçası olarak federal yetkililer tarafından Tor kullanıcılarının gerçek IP adreslerini ortaya çıkartmaları için tutulmuş.
Kasım 2015’de Tor Projesi Direktörü Roger Dingledine FBI’ı CMU’ya suçluların bilgilerini ortaya çıkartmak için bir milyon dolar ödemekle suçlamıştı. FBI’ın cevabı ise TOR’u hacklemek için CMU’ya bir milyon dolar ödediklerinin gerçeği yansıtmadığı yönünde olmuştu.
23 Şubat’ta dosyalanan dava dosyasında ise yazanlar tersini söylüyor. “Davalının IP adresi Amerikan Savunma Bakanlığı (DoD) tarafından finansal olarak desteklenerek Carnegie Mellon Üniversitesi (CMU) Uygulama Mühendisliği Enstitüsü (SEI) tarafından Tor ağından ortaya çıkartılmıştır.”
Geçen yaz DoD uygulama bazlı güvenlik ve mühendislik konuları ile ilgili SEI ile olan sözleşmesini 1,73 milyar dolara yeniledi.
Tor kullanıcılarının gizliliklerini ya da IP adreslerini koruduklarına inanmaları için geçerli bir neden böylelikle kalmamış oluyor.
DROWN Saldırısı – 11 Milyondan Fazla Openssl HTTPS Web Sitesi Risk Altında
OpenSSL’de yeni keşfedilen bu öldürücü güvenlik açığı 11 milyondan fazla modern web sitesi ve eposta servisini tehdit ediyor.
Saatler içinde ya da bazen saniyeler içinde parolalarınız, kredi kartı bilgileriniz gibi bir çok bilgi HTTPs üzerinden güvenli olduğunu düşündüğünüz anda OpenSSL’deki güvenlik açığı sayesinde saldırganların eline geçebiliyor.
CVE-2016-0703 olarak kaydedilen açıklık TLS kullanan ama aynı zamanda SSLv2 protokolüne de izin veren bir sistemde keylerin ele geçmesi ve tüm trafiğin çözülmesi ile sonuçlanıyor.
Yahoo, Alibaba, Weibo, Sina, BuzzFeed, Flickr, StumbleUpon, 4Shared ve Samsung web sunucularının da aralarında olduğu dünya çapında 11,5 milyon sunucuyu etkilediği öngörülüyor.
Korunmanın yolu ise güvenlik güncellemesinden geçiyor. OpenSSL 1.0.2 yerine 1.0.2g ve OpenSSL 1.0.1 yerine 1.0.1s versiyonlarının kullanılması gerekiyor. Başka versiyon kullanıyorsanız en üst versiyona geçmeniz öneriliyor. Diğer bir öneli konu da SSLv2’nin kapalı olduğundan emin olmak ve “private key”‘in diğer sunucular ile paylaşılmamış durumda olduğuna emin olmak.
CBT-Locker Fidye Zararlısı Hızla Yayılmaya ve Binlerce Web Sunucusunu Hedef Almaya Devam Ediyor
Geçtiğimiz senelerde Cryptowall’dan Locky’ye kadar bir çok fidye zararlısı (ransomware) gördük. Bu sefer websitelerini hedef alan CBT-Locker ailesinden bir fidye zararlısı ile karşı karşıyayız.
Web sitelerini hedef alan ve sitenin ön yüzünü değiştiren bu zararlı, web sitesi yöneticilerini inandırmak için sadece iki dosyanın bedava şifresini çözmek gibi bir yönteme baş vurmuş durumda.
AES-256 algoritması ile scriptler, dokümanlar, fotoğraflar, veritabanları ve diğer önemli dosyaların şifrelendiği bu zararlının bir de saldırganlarla mesajlaşma özelliği bulunuyor.
Android Ve İos Akıllı Telefonlardan Gizli Şifreleme Anahtarlarını Nasıl Çalarsınız?
Dektop bilgisayarların aksine mobil cihazlarınız her türlü kişisel bilginizi, kişisel epostalarınızı, hassas finansal verilerinizi taşır. Bu sebeple de hacker’ların ilgisi mobil platformlara doğru kaymakta.
Her geçen hafta yeni bir zararlı yazılım iOS ve Android platformlarda karşımıza çıkıyor. Çoğunlukla ya iOS ya da Android için hazırlanmış olurlar. Bu sefer durum farklı.
Tel Aviv Üniversitesi, Technion ve Adelaide Üniversitesi güvenlik araştırmacılarından oluşan bir ekip Bitcoin hesabını koruyan kriptografik anahtarları ve başka Android ve iOS cihazlardaki hassas servisleri hedef alan bir atak hazırladı.
Bu yan kanal saldırısı bellek kullanım paternlerini ya da deşifreleme yapan cihazın yaydığı elektromanyetik çıktıları kullanıyor. Bu yöntem için geliştirilen zararlı sadece ECDSA (Elliptic Curve Digital Signature Algorithm) algoritması için kullanılabiliyor. Bu algoritma diğerlerine göre daha hızlı çalıştığı için Apple Pay ve Bitcoin cüzdan gibi bir çok uygulamada kullanılıyor.
Manyetik alıcı ya da USB ses kartı üzerinden cihazın USB girişine bağlantı ile çalışabilen yöntem hem iPhone hem de Sony-Ericsson Xperia X10 telefonlarda denenmiş. Şimdilik cihaza fiziksel erişim ya da kablo mesafesinde olunması gerekmekte ve yeteri kadar işlem yakalayabilecek süre boyunca bunun korunması gerekmekte.
Pentagon’u Hacklemeye Hazır mısınız?
Amerikan Savunma Bakanlığı (DoD) iç ve ağ güvenliğini güçlendirmenin planlarını yapıyor. Federal hükumet tarihinde ilk defa siber açık avı programı (cyber Bug Bounty Program) düzenleniyor.
“Pentagon’u Hack’leyin” sloganıyla çıkan açık avı programına sadece Amerikadan hacker’lar ve güvenlik araştırmacıları katılacak. Sadece ağları ve dışarıya açık DoD siteleri kapsama alınmış durumda.
Nisan 2016’da başlayacak olan program hem para ödülü hem de DoD tarafından işleriyle tanınma fırsatı sağlayacak.