Web Sitesi Güvenliği İçin Dikkat Edilmesi Gereken 3 Ana Zafiyet ve Önleme Yöntemleri
Web sitesi güvenliği, günümüzde büyük bir önem arz etmektedir çünkü birçok web sitesi, kişisel bilgilerin veya maddi varlıkların saklanmasına olanak sağlamaktadır. Bu nedenle, web sitesi sahipleri ve geliştiricileri, web sitelerinin güvenliğini sağlamak için bu tarz önemli zafiyetlere dikkat etmelidirler.
Zafiyet Türleri
Bir web sitesinde bulunabilecek çok sayıda zafiyet vardır, bu makalede her birine tek tek değinememiz ne yazık ki mümkün olmasada, konu ile alakalı seçtiğimiz özellikle dikkat edilmesi gereken en çok karşılaşılan kritik derecede olan üç zafiyet şu şekildedir;
1. SQL Injection (SQL Enjeksiyonu):
SQL injection, web uygulamalarında yaygın bir güvenlik açığıdır. SQL enjeksiyonu, bir saldırganın, web sitesindeki SQL veritabanına kötü amaçlı kodlar göndererek, verileri çalmasına veya değiştirmesine olanak tanır.
2. Cross-Site Scripting (XSS):
Cross-Site Scripting, (XSS) kullanıcıların güvenilir web siteleri aracılığıyla kötü amaçlı web sitelerine yönlendirilmesini sağlar. Bu saldırı, saldırganların, web sitesine gönderilen form alanları ve arama kutuları gibi giriş alanlarını kullanarak, kötü amaçlı kodları web sitesinde yayınlamasına olanak tanır.
3. DoS (Denial of Service) Saldırıları:
DoS saldırıları, web sitesine gelen istekleri engelleyerek, web sitesinin kullanılamaz hale getirilmesine neden olur. Bu saldırı, web sitesindeki sunucuların veya ağ kaynaklarının yüksek trafik seviyelerine maruz kalması nedeniyle gerçekleşir.
Zafiyet Etkileri
Bahsi geçen kritik derecede öneme sahip üç güvenlik açığının gerçekleşmesi durumunda ise etkileri şu şekildedir;
SQL Injection
SQL injection saldırıları, web uygulamalarına gönderilen giriş verilerindeki kötü amaçlı SQL kodlarını kullanarak, veritabanlarına erişim sağlamak için kullanılır. Bu saldırıların etkileri şunlardır:
1. Veri Çalma: SQL injection saldırıları, veritabanında saklanan hassas bilgilerin çalınmasına neden olabilir. Bu, kullanıcıların kişisel bilgilerinin (kredi kartı numaraları, adresler, telefon numaraları vb.) ifşa olmasına neden olabilir.
2. Veri Değiştirme: Saldırganlar, SQL injection kullanarak veritabanındaki verileri değiştirebilirler. Bu, web sitesindeki tüm kullanıcıların verilerinin değiştirilmesine ve hatta veritabanının tamamen bozulmasına neden olabilir.
3. Veri Silme: SQL injection saldırıları, veritabanındaki verilerin silinmesine neden olabilir. Bu, web sitesindeki tüm verilerin kaybedilmesine ve hatta web sitesinin tamamen kullanılamaz hale gelmesine neden olabilir.
4. Sistem Komplikasyonları: SQL injection saldırıları, web sitesindeki veritabanı sistemlerinin tümünün ele geçirilmesine neden olabilir. Bu, saldırganların web sitesindeki tüm verileri ele geçirmesine ve hatta web sitesindeki tüm kullanıcıların hesaplarını ele geçirmesine neden olabilir. Bunların yanında saldırganların veri tabanı üzerinden tüm sisteme erişimi, veri tabanı sunucusunu zombiye çevirerek aynı veya farklı ağdaki cihazlara erişmesi mümkündür.
Cross-Site Scripting (XSS)
Cross-Site Scripting (XSS) saldırıları, bir web sitesindeki güvenlik açığından yararlanarak, saldırganların kullanıcılara zararlı kodlar enjekte etmesine olanak sağlar. Bu saldırıların etkileri şunlardır:
1. Kişisel Bilgilerin Çalınması: XSS saldırıları, kullanıcıların kişisel bilgilerinin çalınmasına neden olabilir. Saldırganlar, kullanıcılara zararlı kodlar enjekte ederek, kullanıcıların girdiği bilgileri (kullanıcı adı, şifre, kredi kartı bilgileri vb.) çalabilirler.
2. Oturum Çalma: XSS saldırıları, kullanıcıların oturum açma bilgilerini çalabilir ve saldırganların kullanıcıların hesaplarına erişim sağlamasına olanak tanır. Bu, saldırganların kullanıcının hesabını ele geçirmesine ve hassas bilgilere erişim sağlamasına neden olabilir.
3. Zararlı Kodların Yürütülmesi: XSS saldırıları, saldırganların web sitesindeki kullanıcılara zararlı kodlar enjekte etmelerine neden olabilir. Bu, kullanıcıların tarayıcılarında kötü amaçlı yazılımların yürütülmesine ve hatta kullanıcının bilgisayarının tamamen ele geçirilmesine neden olabilir.
4. Web Sitesi Çökmesi: XSS saldırıları, web sitesindeki kodların çalışmasını engelleyebilir ve hatta web sitesinin tamamen çökmesine neden olabilir. Bu, web sitesinin kullanılamaz hale gelmesine ve hatta işletmelerin maddi kayıplara uğramasına neden olabilir.
DoS (Denial of Service) Saldırıları
Denial of Service (DoS) saldırıları, bir web sitesine aşırı trafik göndererek, sunucunun hizmet verememesine veya verimliliğinin düşmesine neden olur. Bu saldırıların etkileri şunlardır:
1. Hizmet Kesintileri: DoS saldırıları, bir web sitesinin hizmetlerinin kesintiye uğramasına neden olur. Bu, kullanıcıların web sitesine erişememesine ve hatta web sitesinin tamamen çökmesine neden olabilir.
2. Veri Kaybı: DoS saldırıları, sunucuların kapasitesinin üzerinde trafik göndererek, sunucudaki verilerin kaybolmasına neden olabilir. Bu, web sitesinin tüm verilerinin kaybedilmesine ve hatta işletmelerin maddi kayıplara uğramasına neden olabilir.
3. Güvenlik Zafiyetleri: DoS saldırıları, bir web sitesinin güvenliğinde açıklar oluşturabilir. Bu açıklar, saldırganların web sitesine zararlı yazılımlar enjekte etmesine veya kullanıcıların bilgilerine erişmesine neden olabilir.
4. İtibar Kaybı: DoS saldırıları, bir web sitesinin itibarının zarar görmesine neden olabilir. Bu, kullanıcıların web sitesine olan güvenlerinin azalmasına ve hatta işletmelerin müşteri kaybına uğramasına neden olabilir.
Alınabilecek Önlemler
Üzerine durduğumuz bu önemli zafiyetlerin sistemlerinizde meydana gelip olumsuz sonuçlar doğurmaması için bir dizi önlem alınması gerekmektedir. Bu önlemler;
SQL Injection
1. Güvenli Kodlama Uygulamaları: SQL Injection saldırılarının çoğu, web sitesi geliştiricilerinin kötü niyetli kullanıcılara karşı aldıkları yeterli önlemleri almamalarından kaynaklanır. Bu nedenle, güvenli kodlama uygulamalarına uygun kod yazmak, bu tür saldırıları önlemek için en iyi yollardan biridir.
2. Parametrelerin Doğrulanması: SQL Injection saldırıları, web sitelerindeki parametrelerin eksik veya yanlış doğrulanması nedeniyle gerçekleşebilir. Bu nedenle, tüm girdilerin doğru şekilde doğrulandığından emin olunmalıdır.
3. SQL Veritabanı Yönetim Sistemlerinde Parametre Kullanımı: SQL Injection saldırıları, SQL sorgularının doğrudan oluşturulması nedeniyle ortaya çıkabilir. Bu nedenle, SQL sorgularını oluştururken parametre kullanmak, bu tür saldırıları önlemek için en iyi yollardan biridir.
4. Güvenlik Duvarı Kullanımı: Güvenlik duvarları, web sitelerinin SQL Injection gibi saldırılara karşı korunmasına yardımcı olur. Bu duvarlar, gelen istekleri analiz eder ve zararlı istekleri tespit eder. Bu sayede, zararlı isteklerin web sitesine erişimi engellenir.
5. Güncellemeleri Takip Etme: SQL Injection saldırıları, birçok web sitesinin eski veya güncelleştirilmemiş yazılım ve araçları kullanmasından kaynaklanır. Bu nedenle, web sitesi sahipleri, yazılım ve araçları düzenli olarak güncellemeli ve bu tür saldırılara karşı korunmak için gerekli güvenlik yamalarını yüklemelidir.
6. Veri Şifreleme: Web sitelerinde saklanan hassas verilerin şifrelenmesi, SQL Injection gibi saldırılara karşı korunmak için önemlidir. Verilerin şifrelenmesi, kötü niyetli kullanıcıların bu verileri doğrudan erişememelerini sağlar.
7. SQL Injection Testleri: Web siteleri için düzenli SQL Injection testleri yapmak, bu tür saldırılara karşı alınacak önlemlerin belirlenmesine yardımcı olabilir. Bu testler, web sitesinin güvenliğinin test edilmesini sağlar ve zafiyetlerin tespit edilmesine ve kapatılmasına olanak tanır.
Cross-Site Scripting (XSS)
1. Input verilerinin doğrulanması: Web uygulamalarına girilen kullanıcı verilerinin doğrulanması önemlidir. Giriş kontrolleri, kullanıcının girdiği verileri belirli bir formata uygun olup olmadığını kontrol etmelidir. Bu, verilerin gereksiz karakterler veya kodlar içermesini önler ve saldırganların kötü amaçlı kodları göndermesini engeller.
2. Çıktı verilerinin temizlenmesi: Çıktı verileri, kullanıcının girdiği verileri doğrudan yansıtmamalıdır. Veriler, özel karakterlerin yerine kodlanmalıdır. Bu, kötü amaçlı kodların çalışmasını önler ve kullanıcılara güvenli bir deneyim sunar.
3. HTTPOnly ve Secure Cookie kullanımı: Web uygulamaları, kullanıcıların kimlik doğrulama bilgilerini (örneğin, oturum bilgileri) saklarlar. Bu bilgiler, saldırganlar tarafından ele geçirilebilir ve kötüye kullanılabilir. HTTPOnly özelliği, JavaScript aracılığıyla erişilemeyen ve sadece sunucu tarafından kullanılabilen çerezler oluşturur. Secure özelliği, çerezlerin sadece HTTPS bağlantıları üzerinden iletilmesini sağlar.
4. Güvenli kodlama uygulamaları: Web uygulamalarının kodlama sürecinde güvenlik en iyi uygulamaları takip edilmelidir. Kodlama sürecinde, güvenli yazılım geliştirme döngüsü (SDLC) gibi özel prosedürler takip edilmeli ve sık sık kod incelemeleri yapılmalıdır.
5. Güncel yazılım kullanımı: Web uygulamaları, açıkların giderilmesi için düzenli olarak güncellenmelidir. Ayrıca, web uygulamaları için yayınlanan güvenlik yamaları da zamanında uygulanmalıdır.
6. WAF (Web Uygulama Güvenliği) kullanımı: Web Uygulama Güvenliği (WAF), saldırıları tespit eden ve önleyen bir güvenlik cihazıdır. WAF, web uygulamalarına erişen trafikleri izleyerek zararlı trafiği engeller ve kötü amaçlı kodların sunuculara ulaşmasını önler.
DoS (Denial of Service) Saldırıları
1. DDoS koruma hizmeti kullanın: Bu hizmetler, gelen DDoS saldırılarını tespit etmek ve mümkün olan en kısa sürede engellemek için tasarlanmıştır. Örneğin: Cloudflare DDoS
2. Sunucu kapasitesini artırın: Sunucunuzun kapasitesini artırmak, DoS saldırılarını engellemeye yardımcı olabilir. Sunucunun işleme gücü arttırkça gelen saldırıların sistemi dar boğaza sokma ihtimali azalacaktır.
3. Web Uygulaması Güvenlik Duvarı (WAF) kullanın: Bir web uygulama güvenlik duvarı, web uygulamasına giden ve uygulamadan gelen tüm HTTP trafiğini filtreler, inceler ve saldırı esnasında bloklamaya yarar. Örneğin: Cloudflare WAF
4. İstek filtreleme kullanın: Web sitesine gelen isteklerin filtrelenmesi, özellikle DoS saldırılarına karşı etkilidir. Bu filtreler, web sunucusu üzerinden ayarlanabilir. Örneğin belirli IP adreslerinden veya belirli türde isteklerden gelen trafikleri engelleyebilir.
5. Load Balancer kullanın: Load Balancer ile desteklenen Cluster yapıları web uygulamasına gelen aşırı trafiği birden fazla alana yayarak yoğunluğun azaltılmasını sağlamaktadır.
Bir başka önemli adım, web sitesinin Zafiyet Testlerinin gerçekleştirilmesidir. Bu testler, web sitesinde bulunan yeni güvenlik açıklarının tespit edilmesi ve düzeltilmesi için önemlidir.
Ayrıca, web siteleri için SSL (Secure Sockets Layer) sertifikası kullanılması da önemlidir. Bu sertifika, web sitesinin güvenli bir şekilde veri aktarımı yapmasını sağlar ve kullanıcıların bilgilerinin şifrelenmesini sağlar.
Sonuç olarak, web sitesi güvenliği, web sitelerinin başarısı ve kullanıcıların güvenliği için kritik önem taşımaktadır. Web site sahipleri ve geliştiricileri, kullanıcıların bilgilerinin güvenliği için doğru önlemleri alarak, kullanıcıların güvenli bir şekilde web sitelerini kullanmalarını sağlayabilirler.
Yazar: Ömer Akincir
CVE-2022-3792 Terminal Operation System
Exploit Title: CVE-2022-3792 Terminal Operation System Exploit
Author:Ömer Yılmaz Fordefence.com
Team:Onur Savaş(Vxshellew) – Ömer Akincir(WASP)
CVE-ID: CVE-2022-3792
Vuln Details: SQL Injection
Post parametresi “MainContentTXTContainerNo” Syntax SQL injection Zafiyetli dosya “ContainerWeigherReceiptForGuest.aspx”
HTTP REQUEST
KÖTÜ AMAÇLI YAZILIM NEDİR?
Kötü amaçlı yazılım, yetkisiz erişim elde ederek verilere ve sistemlere büyük zarar vermek için kullanılan virüsler, fidye yazılımları ve casus yazılımlar dahil olmak üzere bir dizi kötü amaçlı kod parçacığının toplu adıdır.
Kötü amaçlı yazılım türleri arasında bilgisayar virüsleri, solucanlar, Truva atları, fidye yazılımları ve casus yazılımlar bulunur. Bu kötü amaçlı programlar hassas verileri çalar, şifreler veya silebilirler.
KÖTÜ AMAÇLI YAZILIM ANALİZİ
Şüpheli dosyanın, özellikle kötü amaçlı yazılımın amacını, işleyişini veya davranışını anlar. Kötü amaçlı yazılım analizinin sonucu, kötü amaçlı yazılımla ilgili olası tehditlerin algılanması ve azaltılmasında yardımcı olur.
Kötü amaçlı yazılımın cihazınıza girmesinin 6 yolu;
1-Kimlik Avı ve Kötü Amaçlı E-Postalar
Genellikle kimlik avı e-postalarının temel amacı, çeşitli hizmetlere erişim bilgileriniz, kart doğrulama kodunuz, PIN kodu veya diğer kişisel bilgilerinize erişmek olarak tanımlanabilir. Güvenilir bir kurumdan posta gibi görünerek, cihazınıza kötü amaçlı yazılım bulaşmasına neden olacak ekler veya bağlantılar içerebilirler.
2-Sahte Web Siteleri
Suçlular, kurbanları kötü amaçlı uygulamaları indirmeleri için kandırmak için ünlü markaların veya kuruluşların web sitelerini taklit ederler. Dolandırıcılar kuruluşun alan adına benzeyen alan adının, bir harf veya simge veya hatta tam bir kelime ekleme gibi bazı ince farklılıklarla, olabildiğince yakından taklit edilerek sahte web sayfaları oluşturur.
3-Usb Flash Sürücüler
Harici depolama aygıtları, dosyaları depolamanın ve aktarmanın popüler araçlarındandır; ancak, birtakım riskler taşırlar. Etkilenen bir sürücü cihazınıza takıldığında ve açıldığında, cihazınız bir keylogger veya fidye yazılımı tarafından istila edilebilir.
4-Güvenliği İhlal Edilmiş Yazılım
Sık sık olmasa da yazılımların doğrudan tehdit aktörleri tarafından ele geçirilmesi nadir görülen bir durum değildir. Bir uygulamanın güvenliğinin tehlikeye girmesinin göze çarpan bir örneği CCleaner örneğiydi. Bu saldırılarda, siyah şapkalar kötü amaçlı yazılımı doğrudan uygulamaya enjekte eder ve daha sonra şüpheli olmayan kullanıcılar uygulamayı indirdiğinde kötü amaçlı yazılımı yaymak için kullanılır.
5-Reklam Yazılımı
Bazı web siteleri, web sayfasının herhangi bir bölümünü tıkladığınızda açılan veya belirli web sitelerine eriştiğinizde hemen görünebilen çeşitli reklamlarla doludur. Bu reklamların amacı genellikle bu siteler için gelir elde etmek olsa da bazen çeşitli kötü amaçlı yazılım türleri ile bağlanmıştır ve bu reklamlara veya reklam yazılımlarına tıklayarak, istemeden cihazınıza indirebilirsiniz. Hatta bazı reklamlar, kullanıcılara cihazlarının güvenliğinin ihlal edildiğini ve yalnızca reklamda sunulan çözümün bu tehlikeyi ortadan kaldırabileceğini söyleyen korkutma taktikleri kullanır; ancak, bu neredeyse hiçbir zaman böyle değildir.
6-Sahte Uygulamalar
Bu listedeki son madde, sahte mobil uygulamalarla ilgilidir. Bu uygulamalar genellikle gerçekmiş gibi görünür ve kullanıcıları kurbanların cihazlarına indirmeleri için kandırmaya çalışır, böylece cihazlardan ödün verir. Fitness izleme araçları, kripto para uygulamaları ve hatta COVID -19 izleme uygulamaları gibi davranarak her şeyin kılığına girebilirler. Ancak gerçekte, reklamı yapılan hizmetleri almak yerine, cihazlara fidye yazılımı, casus yazılım veya tuş kaydediciler gibi çeşitli kötü amaçlı yazılım türleri bulaşacaktır.
BİR BİLGİSAYARA KÖTÜ AMAÇLI YAZILIM BULAŞTIĞI NASIL ANLAŞILIR?
Bir bilgisayara herhangi bir tür kötü amaçlı yazılım bulaştığını gösteren çeşitli işaretler vardır.
Cihazınıza kötü amaçlı yazılım bir şekilde bulaştıysa, makine genellikle normalden daha yavaş çalışabilir.
Beklenmeyen çökmeler.
Açılır pencereler ve güvenlik uyarıları.
Fidye talepleri.
Azaltılmış depolama alanı.
Şüpheli ağ trafiği.
Tarayıcı yönlendirmeleri.
Devre dışı bırakılmış antivirüs yazılımı.
Sizden garip mesajlar alan kişiler
KÖTÜ AMAÇLI YAZILIMDAN NASIL KORUNABİLİRİZ?
1. İşletim sistemlerini düzenli olarak güncelleyin
Cihazlarınızı düzenli olarak yazılım güncellemeleri için kontrol etmeyi alışkanlık haline getirmek önemlidir. Belirtildiği gibi, bilgisayar korsanları, cihazlarınızı ve ağınızı tehlikeye atmak için sıfırıncı gün açıklarını açığa çıkarmak için genellikle botnet’leri ve diğer kötü amaçlı yazılım türlerini kullanır.
2. Şüpheli bağlantılara ve eklere dikkat edin
Şüpheli bağlantılara ve eklere dikkat etmek, bir kötü amaçlı yazılım saldırısının bilgisayarınıza gizlice girmesini önlemeye yardımcı olabilir. Bunlar, görmeye alışık olduğunuza veya bilinmeyen gönderenlerden gelen e-posta eklerine pek benzemeyen URL’ler gibi görünebilir. Siber suçlular, kullanıcıları özel bilgilerini vermeleri için kandırmak için kimlik avı e-postalarına ve sosyal mühendislik taktiklerine ek olarak bunları kullanmayı sever.
3. Bir reklam engelleyici düşünün
Siber hırsızlar, ağ etkinliğinizi yasa dışı bir şekilde izlemek ve cihazınıza kötü amaçlı yazılım yüklemek için casus yazılım ve/veya reklam yazılımı içeren açılır pencereleri kullanabilir. Bu tür kötü amaçlı yazılım saldırılarını önlemeye yardımcı olmak için bir reklam engelleyici indirmeyi düşünün. Bu siber güvenlik aracı, kötü niyetli reklamların ekranınızda görünmesini engellemeye yardımcı olur ve karşılığında onları tıklamanızı engeller.
4. İki faktörlü kimlik doğrulamayı etkinleştirin
Bir siber suçlu oturum açma kimlik bilgilerinize erişebiliyorsa, iki faktörlü kimlik doğrulama kullanışlı olur. Parmak izi tarama ve yüz tanıma gibi biyometrik güvenlik özellikleri, hesabınıza tam olarak erişmeden önce kimliğinizi kanıtlamayı bir zorunluluk haline getirir. Ve bilgisayar korsanları muhtemelen DNA’nızı ve/veya yüz yapınızı kopyalayamayacaklarından, erişime engel olacaklardır.
5. Ağınızı izleyin
Kullanıcılar, potansiyel olarak bir kötü amaçlı yazılımın cihazlarına bulaşıp bulaşmadığını görmek için ağ etkinliklerini inceleyebilir. Tanıdık olmayan IP adreslerinin kullanımınızın büyük bir kısmını kapladığını fark ederseniz, bir bilgisayar korsanı cihazlarınızdaki verilerin güvenliğini aşmaya çalışıyor olabilir.
6. Virüsten koruma yazılımı indirin
Güvenilir antivirüs yazılımı, cihazlarınıza Siber Güvenliğinizi tehdit eden kötü amaçlı yazılım saldırılarına karşı 7/24 koruma sağlamaya yardımcı olabilir. Genellikle donatılmış şifre yöneticileri ve tehdit algılama yazılımı, güvenlik yazılımı, sizi güvende tutmak için çalışan doğru siber güvenlik araçlarına sahip olduğunuzu bilerek daha güvenle gezinmenize yardımcı olabilir.
KÖTÜ AMAÇLI YAZILIM ANALİZİ TÜRLERİ
Kötü Amaçlı Yazılım Analizi, statik, dinamik veya ikisinin melezi olabilir. Bunları ayrıntılı olarak tartışalım:
1. Statik Kötü Amaçlı Yazılım Analizi
Burada, kötü amaçlı yazılım bileşenleri veya özellikleri, kodu gerçekten çalıştırmadan analiz edilir. Statik kötü amaçlı yazılım analizi, dosyayı kötü niyetli niyet belirtileri açısından incelemek için kullanılır. İmza tabanlı bir tekniktir, yani kötü amaçlı yazılımın ikili dosyasının imzası, kriptografik karması hesaplanarak belirlenir. Kötü amaçlı yazılımın ikili dosyası, bir sökücü kullanılarak tersine mühendislik yapılabilir. Statik kötü amaçlı yazılım analizi ayrıca parmak izi, virüs taraması ve bellek boşaltmayı da içerir. İmza tabanlı olduğundan, en yeni veya bilinmeyen kötü amaçlı yazılım türlerine karşı veya daha karmaşık saldırı senaryolarının kötü amaçlı yazılımı gizlediği durumlarda etkisiz olacaktır.
2. Dinamik Kötü Amaçlı Yazılım Analizi
Kötü amaçlı yazılım bileşenleri, davranışını gözlemlemek için güvenli bir sanal ortamda (korumalı alan adı verilir) yürütülür. Dinamik kötü amaçlı yazılım analizi, gözlem altındaki kötü amaçlı yazılımı tespit etmek ve analiz etmek için davranışa dayalı bir yaklaşımdır. Kötü amaçlı yazılımın ikili dosyası, kötü amaçlı yazılımın çalıştırılırken işlevlerini anlamak ve kontrol etmek için bir ayrıştırıcı ve hata ayıklayıcı kullanılarak tersine mühendislik yapılabilir. Ayrıca bellek yazmalarını, kayıt defteri değişikliklerini ve API çağrılarını içerir. Statik analize göre daha verimli, etkilidir ve daha yüksek algılama oranı sağlar.
3. Hibrit Kötü Amaçlı Yazılım Analizi
Statik kötü amaçlı yazılım analizi, karmaşık kötü amaçlı kodları tespit edemez ve dinamik kötü amaçlı yazılım analizi, bir korumalı alan ortamının varlığında gizlendikleri için karmaşık kötü amaçlı yazılımları tespit etmede başarılı olmayabilir. Bu nedenle güvenlik ekipleri, her iki yaklaşımın en iyisi olan hibrit analiz olarak bilinen statik ve dinamik kötü amaçlı yazılım analizinin bir kombinasyonuna başvurur. Hibrit Kötü Amaçlı Yazılım Analizi, gizli kötü amaçlı kodları kolayca tespit edebilir ve görünmeyen koddan statik olarak güvenlik ihlali göstergelerini (IOC’ler) çıkarabilir. Ayrıca, en karmaşık kötü amaçlı yazılımlardan bazılarından bilinmeyen tehditlerin algılanmasına da yardımcı olur.
Sosyal Mühendislik Testi Nedir?
Sosyal mühendislik, bir ağa, sisteme veya değerli bilgilere erişmek için insanı hedef alan saldırı biçimi olarak tanımlanabilir. Sosyal mühendislik birçok farklı biçimde gelebilir: e-posta yoluyla, telefonla veya hatta yüz yüze yapılabilir.
Sosyal mühendislik testleri, çalışanlarınızı, indirilmesi gereken şüpheli bir ekten tıklanması istenen şüpheli bir bağlantıya kadar değişen gerçek saldırıları tespit etmelerine ve bildirmelerine olanak sağlayacak adımlar konusunda eğitmeye yardımcı olur. Sosyal Mühendislik Testinin sonucu, gerçek bir saldırganın bunları istismar edebilmesi için bir istemcinin kapatması gereken güvenlik açıklarını özetleyen ayrıntılı bir raporun oluşturulmasıdır.
Sosyal mühendislik testleri, personellerin nerede en zayıf olduğunu anlamanıza yardımcı olabilir ve aynı zamanda onlara kimlik avı e-postaları veya sahte telefon görüşmeleri gibi gerçek hayattaki güvenlik tehditleriyle karşılaşma şansı verir. Test sonuçları, yönetime hangi iyileştirme adımlarının atılması gerektiğini ve ek eğitimin düzenlenmesi gerekip gerekmediğini gösterecektir.
Neden Sosyal Mühendislik Testine Girmelisiniz?
Sosyal mühendislik değerlendirmeleri müşterilere şu konularda yardımcı olacaktır:
Bir şirketin sosyal mühendislik saldırılarına karşı savunmasızlık düzeyini anlayarak internet tabanlı tehditler ve dolandırıcılık planlarına karşı farkındalığı arttırabiliriz;
Bir kuruluşun e-posta filtrelerinin hedeflenen kimlik avı e-postalarını yakalayıp yakalamadığına bakabiliriz. Kimlik avı, sosyal mühendislik saldırılarının en çok kullanılan yollarından biridir.
Çalışanları benzer saldırılara karşı hazırlayın ve eğitin. Saldırı hedefleriyle yapılan görüşmeleri takip etmek ve onlara gelecekte güvenlik hatalarından nasıl kaçınılacağına dair önerilerde bulunmak, bir sosyal mühendislik testinin en önemli parçasıdır.
Kimlik Avı Saldırısı Nasıl Çalışır?
Kimlik avı saldırıları, tehdit aktörünün güvenilen veya tanıdık biri gibi davranarak bir iletişim göndermesiyle başlar. Gönderici, alıcıdan bir eylemde bulunmasını ister ve çoğu zaman bunu yapması için acil bir ihtiyaç olduğunu ima eder. Dolandırıcılığa düşen kurbanlar, hassas bilgileri verebilirler.
Kimlik avı saldırılarının nasıl çalıştığı hakkında daha fazla ayrıntı:
Gönderen: Bir kimlik avı saldırısında, gönderen, alıcının muhtemelen tanıyacağı güvenilir birini taklit eder (veya ” sahtekarlık yapar “). Kimlik avı saldırısının türüne bağlı olarak, alıcının bir aile üyesi, çalıştığı şirketin CEO’su veya hatta sözde bir şey veren ünlü biri gibi bir birey olabilir. Kimlik avı mesajları genellikle PayPal, Amazon veya Microsoft gibi büyük şirketlerden ve ayrıca bankalardan veya devlet dairelerinden gelen e-postaları taklit eder.
Mesaj: Saldırgan, güvendiği birinin kisvesi altında, alıcıdan bir bağlantıyı tıklamasını, bir ek indirmesini veya para göndermesini isteyecektir. Kurban mesajı açtığında, onları korkuyla doldurarak daha iyi karar verme yetilerinin üstesinden gelmeyi amaçlayan korkutucu bir mesaj bulurlar. Mesaj, mağdurun bir web sitesine gitmesini ve hemen harekete geçmesini veya bir tür sonuç alma riskini talep edebilir.
Hedef: Kullanıcılar yemi alır ve bağlantıyı tıklarsa, meşru bir web sitesinin taklidine gönderilirler. Buradan kullanıcı adı ve şifre bilgileriyle giriş yapmaları istenir. Buna uymak için yeterince saflarsa, oturum açma bilgileri, kimlikleri çalmak, banka hesaplarını çalmak ve karaborsada kişisel bilgileri satmak için kullanan saldırgana gider.
Kimlik Avına Karşı Kendimi Nasıl Korurum?
Tanımadığınız kişilerden gelen e-postaları açmayın.
Tam olarak nereye gittiğini bilmediğiniz bir e-postanın içindeki bir bağlantıya asla tıklamayın.
Emin olmadığınız bir kaynaktan e-posta alırsanız, tarayıcınıza meşru web sitesi adresini girerek sağlanan bağlantıya manuel olarak gidin.
Bir web sitesinin dijital sertifikasını arayın.
İÇERİK, YER VE ERİŞİM SAĞLAYICILAR
İÇERİK SAĞLAYICI:
İçerik sağlayıcı; internet ortamında kullanıcılara sunulan her türlü bilgi veya veriyi üreten, değiştiren ve sağlayan gerçek veya tüzel kişileri ifade etmektedir.
İÇERİK SAĞLAYICININ SORUMLULUĞU
İçerik sağlayıcı, internet ortamında kullanıma sunduğu her türlü içerikten sorumludur. Bu bağlamda içerik sağlayıcı, İnternet ortamına sunduğu hukuka aykırı içeriği İnternet ortamından kaldırsa dahi suçu işlemiş olacaktır ve sorumluluğu vardır.
İçerik sağlayıcı, bağlantı sağladığı başkasına ait içerikten sorumlu değildir. Ancak, sunuş biçiminden, bağlantı sağladığı içeriği benimsediği ve kullanıcının söz konusu içeriğe ulaşmasını amaçladığı açıkça belli ise genel hükümlere göre sorumludur.
İÇERİK SAĞLAYICI ÖRNEĞİ:
Üyelik gerektiren veya hesap sahibi olunan web sitelerde, hesap sahipleri veya üyeler tarafından paylaşılan içerikler yönünden bakıldığında paylaşımı gerçekleştiren kişiler içerik sağlayıcıdır. İçeriğin paylaşıldığı web adresinin sahibi olan gerçek veya tüzel kişi ise yer sağlayıcısıdır. Fakat içeriği paylaşan, üreten ya da web sitesine yükleyen bizzat web sitesinin admini ise bu kez web sitenin sahibi olan tüzel kişi veya gerçek kişi içerik sağlayıcı, hosting hizmeti veren firma ise yer sağlayıcı konumundadır.
YER SAĞLAYICI NEDİR?
Üretilen içeriği veya hizmeti internet ortamında bünyesinde tutan sistemlerin altyapısını sağlayan ya da bu sistemleri içerik sağlayıcıların kullanımına sunan, pazarlayan gerçek ya da tüzel kişidir.
Özellikle data centerlar, web hosting sağlayıcıları ve benzeri kurumlar bu kapsamda yer almaktadır. Örneğin bir veri merkezinde bulunan bir sunucudaki bir web sitesi işleteni içerik sağlayıcı olmasına karşın veri merkezi işleteni ise bir yer sağlayıcıdır.
YER SAĞLAYICININ YÜKÜMLERİ VE SORUMLULUKLARI
Kural olarak yer sağlayıcı;
Yer sağladığı içeriği kontrol etmek zorunda değildir, hukuka aykırı faaliyetin mevcut olup olmadığını araştırma yükümlülüğü yoktur.
Konusu suç teşkil eden içeriği haberdar edildikten itibaren 24 saat içerisinde yayından çıkarmakla yükümlüdür.
Yer sağladığı tüm hizmetlere ilişkin trafik bilgilerini Yönetmelikle belirlenen süre boyunca en az 1 en fazla 2 yıl olmak üzere saklamak ve bu bilgilerin doğruluğunu, bütünlüğünü ve güvenliğini sağlamakla yükümlüdür.
Yer Sağlayıcılığı Bildirimin de bulunmalıdır. Bu bildirim yapılmadığı takdirde veya diğer yükümlülükler yerine getirilmediği takdirde BTK Başkanı tarafından 100.000 TL – 1.000.000 TL arasında idari para cezası uygulanır.
KENDİ BÜNYESİNDE HİZMET VEREN YER SAĞLAYICILAR:
Genellikle üyelik gerektiren üyelerin çeşitli biçim ve şekillerde paylaşım yapabildiği ortamların sahiplerine denilir. Üyelik gerektiren veya üye olmaya gerek olmadan paylaşım yapılabilen veya içerik girişi imkanı sunan web ortamlarının domain sahipleri yer sağlayıcısı konumundadır.
TİCARI AMAÇLI HİZMET VEREN YER SAĞLAYICILAR:
Genellikle hosting hizmeti veren firmaları içerisine almaktadır.
İÇERİK SAĞLAYICI VE YER SAĞLAYICI ARASINDAKİ FARKLAR NELERDİR?
İçerik sağlayıcı ve yer sağlayıcının hukuki yükümlülükleri ve sorumlulukları farklı olmakla birlikte aradaki farkı somutlaştırabilmeniz açısından örnek olarak yukarıda yer verdiğimiz çeşitli youtube, instagram, twitter gibi siteler yer sağlayıcı iken bu sitelere üye olarak kendi profillerinde paylaşım yapan bir başka deyişle bu tip sitelerde içerik oluşturan kişilerin içerik sağlayıcı sıfatına sahip olduğunu söyleyebiliriz. Yine doğrudan başka bir firmadan sunucu hizmeti alan kişiler kendi web sayfalarında yapmış oldukları yayınlarda da içerik sağlayıcı olabilmektedir. Yine aşağıda da izah ettiğimiz gibi internet ortamında yapılan yayınlara ilişkin sorumluluk ve yükümlülükler anlamında da yer sağlayıcı ve içerik sağlayıcı arasında önemli farklar bulunabilmektedir.
ERİŞİM SAĞLAYICI NEDİR?
Kullanıcılarına İnternet ortamına erişim olanağı sağlayan her türlü gerçek veya tüzel kişilere erişim sağlayıcı denir.
Erişim sağlayıcı ise İnternet ortamına erişim olanağı sağlayan gerçek veya tüzel kişilerdir. Örnek vermek gerekirse TTNET, Turkcell Superonline gibi firmalar erişim sağlayıcısı olarak tanımlanır.
Erişim Sağlayıcı ve Servis Sağlayıcı aynı anlama gelmektedir.
Erişim sağlayıcı da yer sağlayıcı gibi faaliyet belgesi almak zorundadır. Ayrıca erişim sağlayıcı Erişim Sağlayıcıları Birliği üyesi olmalıdır.
Erişim Sağlayıcı Sorumluluğu
Erişim sağlayıcı, kendisi aracılığıyla ulaşılan İnternet sitelerini ve içerikleri kontrol etmek, bu içeriklerin hukuka aykırı olup olmadığını tespit etmek ile yükümlü değildir. Ancak erişim sağlayıcıya bu hukuka aykırı içerik veya İnternet sitelerinin bildirilmesi halinde erişim sağlayıcı o içeriğe veya İnternet sitesine erişimi engellemek ile yükümlüdür. Ayrıca erişim sağlayıcı, erişimi engellediği bu içeriklere alternatif erişim yollarını da engellemek ile yükümlüdür.
Sosyal Ağ Sağlayıcı Nedir?
Sosyal etkileşim amacıyla kullanıcılara İnternet ortamında metin, görüntü, ses ve konum gibi içerikleri oluşturmalarına, görüntülemelerine veya paylaşmalarına imkan sağlayan gerçek veya tüzel kişilerdir.
Sosyal Ağ Sağlayıcı Sorumluluğu
Yeni düzenleme ile sosyal ağ sağlayıcıları söz konusu hukuka aykırı içeriği mümkün ise kaldırmak/içeriği yayından çıkarmak, eğer mümkün değil ise erişimin engellenmesini sağlamak yükümlülüğü altında.
Sosyal ağ sağlayıcı, “içeriğin yayından çıkarılması ve erişimin engellenmesi” ile “özel hayatın gizliliği nedeniyle içeriğe erişimin engellenmesi” kapsamındaki taleplere en geç 48 saat içinde cevap vermekle yükümlü hale geldi. Ayrıca olumsuz cevaplar gerekçeli olarak verilmek zorunda.
Günlük 1 milyondan fazla erişimi olan sosyal ağ sağlayıcı en az 1 kişiyi Türkiye temsilcisi olarak belirlemek zorunda. Ayrıca bu temsilcinin iletişim bilgilerini kolayca erişilebilecek şekilde İnternet sitesinde yer verilmelidir.
ŞİFRELENMİŞ VAKA İNCELEMELERİ
İlk ortaya çıktığından beri, veri şifreleme yöntemleri bilgi sistemlerini ve verileri en iyi koruma tekniklerinden biri olarak bilinmektedir. Bu güvenlik yaklaşımı, kullanıcının korunan sistemlerin ve verilerin içeriğini erişimi için bir şifre çözme anahtarı kullanılması olarak tanımlanır. Bu şekilde, yalnızca yetkili kişiler korunan sisteme veya verilere erişebilmektedir. Bir açık metnin bir şifreleme algoritması vasıtasıyla anlaşılamaz bir metin haline getirilmesi işlemine Encryption (şifreleme) denir. Decryption (şifre çözme) işlemi ise bir şifreleme algoritması şifrelenmiş veriyi çözerek ilk haline getirme işlemidir.
Kurumlar ve kullanıcılar veri şifreleme yönteminin sunabileceği güvenlik avantajlarının farkında olsa da şifrelenmiş veriler adli incelemelerde birtakım zorluklarla karşılaşılmasına neden olmaktadır. Adli bilişim uzmanı, bilgi sistemindeki veriye ulaşabilmesi için bu şifreleme mekanizmalarını aşması gereklidir. Çoğu zaman yapılan adli incelemelerdeki şüpheli bilgi sistemlerinin şifrelemeyi aşmaları çok zor hatta imkânsız olabilmektedir. Günümüzde suç işleyenler veya şüpheli durumda olan insanlar kendilerini veya kişisel verilerini gizlemek amacıyla veri şifreleme yöntemlerini kullanarak işlerini kolaylaştırırken adli uzmanların işlerini zorlaştırmaktadır.
BİTLOCKER NEDİR?
Bitlocker, Windows işletim sistemlerinde kullanılan sistemde bulunan verileri ve dosyaları güvenli şekilde şifreleme yöntemidir. BitLocker, diğer dosya şifreleme yöntemlerinden farklı olarak, sitemdeki sürücünün tamamını şifrelemektedir. Kullanıcı sürücü içerisine bir veri ya da dosya eklendiğinde BitLocker otomatik şifreleme işlemini gerçekleştirmektedir. Böylece kullanıcı ağ üzerinden üçüncü kişilere veriler ya da dosyalarını paylaşsa da şifreli şekilde iletilir ve şifreler ancak yetkili kişi tarafından parolası girilerek açılmaktadır.
ŞİFRE KIRMA (PASSWORD CRACKING) YÖNTEMLERİ
Şifre ve parolalar dijital dünyada siber saldırganların odağında olmakta ve kırılan tek bir şifre ile tüm güvenlik sistemleri atlatılarak tüm sistem veya veriler ele geçirilebilmektedir. Şifreli verilere veya bilgi sistemlerine ulaşmak saldırganlar kadar sıradan insanlarında ilgisini çekmekte bu durum şifre kırmak için her geçen gün yeni yöntemler geliştirmeye çalışılmaktadır. Bu nedenle bu çalışmada şifre kırmak için kullanılan en popüler yöntemlere değinilmiştir. Şifre kırma yöntemlerini “aktif” ve “pasif” yöntemler olarak iki ana gruba ayrılabilir. Bunlar;
• Aktif şifre kırma yöntemlerinde; hedef bilgi sistemine veya veri dosyalarına çevrimiçi (anlık) olarak şifre kırma saldırıları gerçekleştirilmektedir.
• Pasif şifre kırma yöntemlerinde; ise çevrimdışı ortamlarda önceden hazırlanan tahmini şifreler hazırlanarak, incelemeler sonucunda ele geçirilen şifreler denenerek veya olası şifre tahminleriyle yapılan şifre kırma saldırılarıyla gerçekleşmektedir.
Aktif şifre kırma yöntemi kullanılabilmesi için bir şekilde hedef veri tabanı yâda kullanıcı bilgilerinin (olası hesap kullanıcı adı veya parolalar gibi) bilinmesi gereklidir. Bu durum dışında kalan senaryolarda pasif şifre kırma yöntemleri kullanılmaktadır.
Sözlük Saldırısı (Dictionary Attack)
Sözcük saldırısı oluşturulan olası her kelimeyi otomatik şifre kombinasyonları halinde şifrelenmiş sistem veya veri dosyasına karşı deneyerek şifreyi kırma denemelerine denilmektedir. Sözcük dosyası içerisinde kullanıcıların daha önce en sık kullandıkları şifreleri içeren bir dosyadan oluşmaktadır. Sözcük saldırısı üretilen Hash fonksiyonu elde edilmiş şifreler hedef sistemdeki parolayı veri tabanında karşılık gelen olasılıkları tahmin etmesiyle şifre kırılmaktadır.
Kaba Kuvvet Saldırısı (Brute Force Attack)
Kaba Kuvvet saldırıları yöntemi hedef sistemdeki parolayı deneme saldırılarıyla kırmak mantığıyla çalışmaktadır. Bu amaçla oluşturulan harfler ve özel karakterler içeren bir liste hazırlanır. Kaba Kuvvet saldırısının başarı süresi hedef sistemdeki parolanın karmaşıklığına ve saldırıda kullanılan sistemimin donanım gücüne göre değişiklik göstermektedir.
Gökkuşağı Tablosu Saldırısı (Rainbow Table Attack)
Gökkuşağı tablosu saldırısı yönteminde hedef sistemdeki parolaları kırmak için belirli ölçüte göre seçilen içerisinde düz ve hash fonksiyonlarını içeren bir şifre tablosu hedef sistemdeki parolayı kırmak mantığıyla çalışmaktadır. Kaba kuvvet saldırılarında olduğu gibi hazırlanan şifre tablosu tek tek hedef sistemdeki parolayı kırmak için kullanılmaktadır. Kaba kuvvet saldırısından ayıran en önemli farkı ise tüm parolaları denemeye dayalı olmasıdır. Dahası denenen parolaları belirli bir düzene dayalı olarak seçmektedir. Bu düzen ise düz karşılığı olan hash edilmiş parolaları bilgisayar sisteminde sürekli olarak denemekten geçmektedir.
Otalama (Phishing) Saldırı Yöntem
Oltalama saldırıları, kurbana ait şifrelerini ele geçirmek üzere yapılan saldırılardır. Oltalama saldırıları, sahte bir e-posta ile kurbana ulaşarak ilk bakışta zararsız gibi görülen ekinde hedef kişiyi sahte web sitelerine yönlendiren saldırgan kurban kişiden kullanıcı adı ve şifresini sisteme girmesi üzerine kurulmuştur.
Kötücül Yazılım (Malware) Saldırıları
Saldırganlar, şifre kırma yöntemlerinde en çok kötücül yazılım saldırıları tercih etmektedirler. Hedef bilgi sistemindeki parolayı kırmak ya da ele geçirmek için önceden hazırlanmış kötücül yazılımları kullanmaktadır. Saldırgan bu tür kötücül yazılımları sahte web siteleri, önceden tahrip edilmiş sosyal medya platformları, haber siteleri, ilan siteleri, sahte e-postalar ile hedef sisteme ulaşmaktadır. Hedef sisteme sızan kötücül yazılım sistemde kayıtlı olan tüm kullanıcı adı ve parolayı ele geçirerek saldırgana bir e-posta ile göndermektedir. Böylece saldırgan amacına ulaşmış olup kurbana ait kredi kartı bilgileri, sosyal medya hesaplarını, kimlik verileri, e-posta hesap şifrelerini kolayca ele geçirmektedir.
ŞİFRE KIRMA PROGRAMLARI
a) Passware Kit Forensic (PKF): Özellikle bilgisayarlardaki (Windows, Linux ve Amazon EC2(Amazon Web Services)) şifrelerin kırmak için ve adli uzmanlarında adli analizlerde tercih ettikleri etkili bir şifre kırma yazılımıdır. PKF bilgisayardaki tüm alanları veya seçilen özel dosyalar üzerindeki tüm şifre korumalı öğeleri kaba kuvvet saldırı tekniğinle eksiksiz çözebilme yeteneğine sahiptir. Yazılım 280’den fazla dosya türünü tanır ve şifreleri kırmak için toplu modda (aynı anda birkaç şifreli alan veya dosya üzerinde) çalışabilmektedir.
b) Aircrack-ng: Aircrack-ng yazılımı kablosuz iletişim WI-FI sahip olduğu WEP ve WPA-PSK (kablosuz ağları için bir güvenlik algoritmaları) güvenlik algoritmalarını kaba kuvvet saldırı tekniğiyle şifrelerini kıran bu alandaki en popüler yazılım araçlardan biridir.
c) Hydra: Uzak erişim protokolündeki şifreleri kaba kuvvet saldırı tekniği kullanarak kırmaya yarayan ayrıntılı şifre kırma programlardandır. Hidra programı HTTP, VNC ve TELNET ağ protokollerini desteklemektedir. Linux işletim sisteminde ücretsiz olarak sunulan programın Windows işletim sistemi sürümü de bulunmaktadır.
d) Elcomsoft Distributed Password Recovery: Farklı dosya türlerinin (FAT, NTFS gibi) şifrelerini kırmaya yarayan Elcomsoft şifre kırma programı resmi kurumlarda ve kişisel kullanıcılar tarafından sıklıkla tercih edilmektedir. Windows sişletim sistemlerinde yaygın olarak kullanılmaktadır. Kaba kuvvet saldırı tekniğiyle çalışan bu program TrueCrypt, VeraCrypt, Bitlocker, PGP Disk ve LUKS şifreleme programları üzerinde başarılı sonuçlar vermektedir.
e) Hashcat Password Recovery: Hashcat, kolayca hash algoritma şifrelerini kırmaya yarayan bir şifre kırma programıdır. Çalışma mantığında kaba kuvvet saldırı tekniğini kullanan Hashcat’in Linux, OS X ve Windows işletim sistemleri için sürümler bulunmaktadır.
f) John the Ripper: John the Ripper özellikle hash algoritma şifrelerini kırma programıdır. Linux işletim sisteminde yaygın olarak kullanılan bu programın Windows işletim sistemi versiyonu da bulunmaktadır. Çalışma mantığı Hashcat programına benzeyen John the Ripper, kaba kuvvet saldırı tekniğiyle şifre kırma saldırıları düzenlemektedir.
g) fgdump: fgdump şifre kırma programı lokal veya diğer kullanıcı hesap şifrelerini kırmak için tasarlanmıştır. Programın ilk sürümü olan “pwdump” 2019 yılında güncellenmesiyle programın adı “fgdump” olarak değiştirilmiştir. fgdump şifre kırma programının son sürümümde şifre geçmişlerini görüntüleme özelliğinde eklenmiştir.
h) Medusa: Uzak erişim sistemlerin şifrelerini kırmak üzerine geliştirilmiş bir şifre kırma programıdır. Medusa hedef sistemdeki şifreleri kırmak için kaba kuvvet saldırı tekniklerini kullanmaktadır. Nisan 2018 yılında güncellene son sürümüyle güncellenerek HTTP, SQL, POP3, Telnet ve VNC gibi birçok ağ protokolleri desteklemektedir.
j) Cain and Abel: Microsoft Windows için tasarlanmış bir şifre kırma programıdır. Kaba kuvvet ve kripto analiz teknikleri kullanan Cain and Abel programı, IOS, RDP ve PIX gibi ağ protokollerini desteklemektedir. Ayrıca son sürümünde getirilen güncellemeler ile IP üzerinden ağ parolası dinleme ve kayıt konuşma özelliğide eklenmiştir.
k) RainbowCrack: RainbowCrack şifre kırma programı kaba kuvvet saldırı tekniği yerine gökkuşağı tabloları üretme tekniğiyle hedef sistemdeki şifreleri kırmak üzerine tasarlanmıştır. Gökkuşağı tabloları olarak isimlendirilen bu tablolar önceden planlanmış olarak hazırlanmasıyla geleneksel yöntemlere göre daha kısa sürede şifreleri kırabilmektedir. Ağustos 2020 yılında güncellenen RainbowCrack şifre kırma hızı ve yüksek başarı oranıyla dikkat çekici olmakla birlikte tabloların hazırlanmasındaki güçlükler ve şifreleme algoritmaların karmaşıklığının artması yöntemin uygulanabilirliğini olumsuz yönde etkilemektedir.
Android Zararlı Yazılımı Nedir Nasıl Tespit Edilir
APK (Android Package Kit), Android içerisinde çalışan uygulamaları dağıtmak ve yüklemek için kullanılan bir dosya formatıdır.
Google Play’den bir uygulama yüklendiğinde arka planda gerçekleşen kurulum işlemlerine dair ayrıntılar tam olarak görülmez, ancak el ile bir APK nasıl kuruluyorsa Google Play’de arka olanda aynı işlemleri gerçekleştirir. Yani Google Play, kurulmak istenen uygulamanın APK dosyasını indirir ve kurulum işlemini kullanıcıya bırakmadan otomatik olarak grçekleştirilir.
APK dosyaları, Android kullanıcılarının fazlalığı ve internet ortamında kolay erişilebilir olduklarından dolayı kötü niyetli aktörlerin kullandıkları enstrümanlardan biri olmuştur.
Bu yazıda, Android kullanıcılarına yönelik oluşturulan bir banka truva atı olan ve Türk kullanıcıları hedef alan Güncelleme.apk adlı Android zararlısının incelemesi yapılmıştır. Kurbanlarına, ziyaret ettikleri bir site aracılığıyla indirtilen bu zararlı APK’nın analizi aşağıdaki gibidir.
Uygulama, ilk yüklendiği an erişilebilirlik seçeneklerinin açılmasını talep etmektedir.
Siber Güvenlik Nedir?
Siber Güvenlik, sistemleri,ağları ve programları,mobil cihazları dijital ortamadaki saldıraya karşı koruma
uygulamasıdır aynı zamanda elektronik bilgi güvenliği olarakta tanımlanabilmektedir.
Siber Güvenlik bu bağlamda birkaç kategoriye bağlanmaktadır.
1-Uygulama Güvenliği
Başarılı ve düzgün bir güvenlik oluşturmak için uygulama daha tasarım aşamasında iken program ve
cihaz dağıtılmadan önce başlamaktadır. Güvenliğin yazılım ve cihazların tehditlerinden
etkilenmemesine odaklanmaktadır.
3- Ağ Güvenliği: Saldırganlar, kötü amaçlı yazılımlar bulundurulması fark etmeksizin bilgileri yetkisiz
erişimden korumaktadır. Sadece ağın değil, kişisel bilgisayarlarda depolanan verilerin güvenliğini de
sağlamaktadır.
2- Veri Güvenliği
Veri güvenliği, dijital verilerin yetkisiz erişimine ,bozulmaya veya hırsızlığa karşı korumayı
amaçlamaktadır. Donanım,yazılım,fiziksel güvenliğinden mantıksal güvenliğine kadar bilgi güvenliğinin
her yönünü kapsayan bir kavramdır. Veri güvenliği teknik önlemlerin yanı sıra kurumsal prosedürleri
de içermektedir.
4- Operasyonel Güvenlik
Operasyon güvenliği (OPSEC), kritik bilgilerin ve süreçlerin belirlenilip korunmasını içeren bir süreçtir.
OPSEC, düşmanlara dezavantajlı duruma düşürecek ipuçlarının veya değer katabilecek bilgilerin
tanımlanmasına ve korunmasına odaklanır.
5- Bulut Güvenliği
Bulut güvenliği, siber güvenlik disiplinidir. Verileri çevrimiçi tabanlı altyapı, uygulamalar ve
platformlarda gizli ve güvende tutmayı sağlamaktadır.
7- Kimlik ve Erişim Yönetimi (IAM)
IAM, kullanıcı deneyimini iyleştiren ve kuruluşların dijital kimlikleri yönetmesine ve kritik kurumsal
bilgilere kullanıcı erişimini denetlemesine olanak tanıyan bir politika, süreç ve teknolojiler bütünüdür.
8- Ayrıcalıklı Erişim Yönetimi (PAM)
Ayrıcalıklı Erişim Yönetimi (Privileged Access Management – PAM), kritik varlıklara ayrıcalıklı erişimi
güvence altına almaya, denetlemeye, yönetmeye ve izlemeye yardımcı olan bir çözüm sınıfını ifade
eder.
Dosya Yükleme Açığı (File Upload)
Dosya Yükleme Açığı (File Upload)
Bir web sunucusunun, dışarıdan yüklenen bir dosyanın ad, tür, içerik veya boyut gibi şeyleri yeterince doğrulamamasından dolayı ortaya çıkan güvenlik açığına dosya yükleme (File Upload) açığı denir. Basit gibi görünen bu açık, büyük riskler oluşturabilmektedir.
Etkileri
Dosya yükleme açığından dolayı bazı güvenlik zaafiyetleri oluşabilmektedir. Bunlardan en önemlisi; saldırganın, zararlı kod içeren bir dosya ile web sunucusuna erişmesidir. Bu durum gerçekleşirse saldırgan sunucuda bulunan kuruma ait özel verileri çalabilir, sunucu üzerinde tam yetkili kullanıcı olabilir veya diğer sunuculara/bilgisayarlara sızabilir. Bunun dışında dosya adının düzgün bir şekilde doğrulanmaması durumunda, bir saldırgan, sunucuya, aynı ada sahip bir dosya yükleyerek kritik dosyaların üzerine yazabilir. Sunucu aynı zamanda dizin geçişine (directory traversal) karşı da savunmasızsa, saldırganlar sunucu üzerinde kritik konumlara dosya yükleyebilir.
OWASP
Bir web sitesini yönetirken, en önemli güvenlik açıklarından ve güvenlik tehditlerinden haberdar olmak önemlidir. OWASP Top 10 sıralaması, günümüzün web uygulamalarına yönelik en ciddi tehditlerden bazılarını anlamak için mükemmel bir başlangıç noktasıdır.
OWASP nedir?
OWASP açılımı Open Web Application Security Project olarak tanımlanmaktadır. Web uygulamalarındaki güvenlik açıklarının kapatılması ve bu uygulamaların güvenli bir şekilde korunmasını sağlamak için çalışmalar yapan özgür bir topluluktur. OWASP’ye ait dokümanlar ve araçlar tüm dünyadaki herkesin kullanımına açık ve ücretsizdir. Web sitesinde, web uygulamalarındaki zafiyetleri, bu zafiyetlerin nasıl oluştuğunu, hangi açıklıklardan kaynaklandığını, bu zafiyetlerin nasıl exploit edilebileceğini bunun sonucunda zafiyetleri önleyebilme konusunda ayrıntılı dokümanlar bulunmaktadır.
Web güvenliği, dökümantasyon ve çeşitli teknolojiler konusunda makaleler yayınlayan çevrimiçi bir kuruluştur. Kuruluş ve şirketlerin kritik altyapılarını belirleyerek uygulama güvenliği konusunda farkındalık yaratmayı amaçlamaktadır.
OWASP Top 10 nedir?
OWASP Top 10, günümüzde en yaygın on web uygulaması güvenlik açığını bulunduran bir listedir. Bu liste sayesinde kullanıcılar, en kritik risk ve tehditlerini tespit ederek sonuçları konusunda bilinçlenecektirler. . İlk olarak 2003’te yayınlanan “OWASP-Top-10 ” düzenli olarak güncellenmekte olup her üç ile dört yılda bir güncellenmeye devam etmektedir.
OWASP, birçok firma ve web uygulama sızma testleri ile ilgili çalışmalar yapan kişilerden bilgiler toplayarak ve bu bilgileri analiz ederek o yıla ait en riskli 10 güvenlik zafiyetinin istatistiğini çıkartmakta ve ücretsiz olarak sunmaktadır. OWASP Top 10 ismiyle o yıla ait en riskli güvenlik zafiyetlerini listeledikleri Top 10 listesi hazırlamaktadır. OWASP İlk 10, en yaygın 10 uygulama güvenlik açığının listesidir. Ayrıca risklerini, etkilerini ve karşı önlemlerini de gösterir.
OWASP (Open Web Application Security Project) web uygulamaları için top 10 güvenlik risklerini (2021) açıklamıştır. Bu güvenlik açıkları aşağıdaki gibidir;
A01:2021-Broken Access Control: Broken Acess Control 2021 yılının en ciddi ve kritik web uygulaması güvenlik riski olan kategoriye girmekle birlikte yükselmektedir. Kullanıcı bir web uygulamasına girdiğinde yetkilendirmeyi doğru şekilde doğrulayamaz ise bozuk erişim kontrolü güvenlik açığı ortaya çıkmaktadır.
A02:2021-Cryptographic Failures: Veriler aktarımdayken veya beklemedeyken zayıf şifreleme algoritmalarının kullanımı şifrelerin uygulanmaması sertifikaların doğrulanmaması veya verilerin cleartext şekilinde iletilmesi güvenlik açığını meydana getirmektedir.
A03:2021-Injection: Bu güvenlik açığı herhangi bir düzelteme ve temizleme gerçekleştirmeden komut veya veritabanını kullanarak bir saldırganın web sunucusunda sistem komutlarını yürütmesine, arka uç veritabanlarını ve veri depolarını tehlikeye atmasına, kullanıcı oturumlarını ele geçirmesine sebep olmaktadır. Yaygın olarak SQL, NoSQL, OS komutu ve LDAP’yi enjeksiyonları etkilemektedir. XSS güvenlik açıkları ve dosya koruma ekdiliğinden kaynaklanabilmektedir.
A04:2021-Insecure Design: Eksik veya etkisiz kontrol tasarımı olarak tanımlanmaktadır. Kaydedilen veriler için koruma eksikliği, algoritma sorunları ve hassas bilgileri ortaya çıkaran içeriğin görüntülenmesi gereği mükemmel bir uygulama ile düzeltilemez, belirli saldırılara karşı önlem alınması için gerekli güvenlik kontrolleri bulunmamaktadır.
A05:2021-Security Misconfiguration: Hatalı yapılandırmadan veya sistemlerinizi verilerinizi, bulut hizmetlerinizi güvensiz bırakan riskli durumlara sebep olan güvenlik kontrolleridir.
A06:2021-Vulnerable and Outdated Components: Hassas savunmasız ve güncel olmayan bileşen saldırıları anlamına gelmektedir. İstemci ve sunucu tarafı bileşenlerini hedeflemektedir. İşletim sistemi, web sunucuları gibi güncel olmayan destek sistemlerine ve yanlış yapılandırmasına neden olmaktadır.
A07:2021-Identification and Authentication Failures: Doğru olmayan kimlik doğrulama, oturum düzeltme, sertifika uyumsuzlukları, zayıf kullanıcı bilgilerine izin vermeye karşı koruma eksikliğini içermektedir.
A08:2021-Software and Data Integrity Failures: Yazılım ve veri bütünlüğü hataları ile ilgili koruma sağlamayan güvensiz verilerin çıkarılması veya uzak bir kaynaktan alındığında kodun ve güncellemelerin kontrol edilmemesine karşı koruma sağlamayan kod ve alt yapısal durumları içermektedir.
A09:2021-Security Logging and Monitoring Failures: Günlüğe kaydetme sorunları, güvenlikle ilgili verileri de dahil olmak üzere bilgi akışlarını kaydetmeme veri ihlali veya saldırılara karşı biçimlerininanalizini engelleyebilecek sorunlar bu kategorinin içerisinde yer almaktadır.
A10:2021-Server-Side Request Forgery: SSRF güvenlik açıkları, sunucu bir kaynak getirdiğinde kullanıcı tarafından gönderilen URL’leri doğrulamadığında oluşmaktadır.
-Ayşegül AKKAYA
