Haftanın öne çıkan zafiyetleri:
Türkiye'de yaygın olarak kullanıldığını bildiğimiz sistemlerde çıkan zafiyetlerden bir kaçını aşağıda görebilirsiniz. Aşağıda CVE ile başlayan zafiyet numarasını araştırarak zafiyetler hakkında ayrıntılı bilgiye ulaşabilirsiniz. 
Bu açıklardan birinin sistemlerinizi etkilediğini düşünüyorsanız veya etkilenip etkilenmediğinizden emin olamadıysanız labs@infosec.com.tr adresinden güvenlik hizmetleri birimimiz Infosec Labs'a ulaşabilirsiniz. 

• F5 BIG-IP hedef kullanıcıyı zararlı olabilecek sayfaya yönlendirme açığı (CVE-2016-3687)
• Adobe Flash Player komut çalıştırma açığı (CVE-2016-4171)
• Citrix XenServer AD kullanıcılarının XenServer'a giriş yapmalarını sağlayan açık (CVE-2016-5302)
• EMC Data Domain yetki yükseltme açığı (CVE-2016-0911 ve CVE-2016-0912)
• VMware vRealize Log Insight betik çalıştırma açığı (CVE-2016-2081 ve CVE-2016-2082)
• Microsoft DNS sunucu üzerinde uzaktan komut çalıştırma (CVE-2016-3227)
• Microsoft Office komut çalıştırma zafiyeti ( CVE-2016-0025, CVE-2016-3233, CVE-2016-3234 ve CVE-2016-3235)
• Microsoft Exchange bilgi ifşası (CVE-2016-0028)

Siber Saldırı Fiyatları 6 Dolardan Başlıyor
Siber suçlular tarafından kullanılan bir online alışveriş sitesinde yapılan araştırma daha önce ele geçirilmiş yaklaşık 70,000 sunucunun kiralandığını ortaya çıkartmış. Rusça iletişim kuran satıcının elinde 173 farklı ülkede kamu kurumları ve üniversitelere ait sunucuların bulunduğu ve bunları, siber saldırılarda kullanılmak üzere, kiraladığı belirtiliyor.
Dağıtık hizmet dışı bırakma saldırılarında kullanılabilecek sunucuların kirası 6 dolardan başlarken, ele geçirilmiş sunucuya erişim 7 dolardan başlıyor. Sunucular hizmet dışı bırakma (DDoS) saldırıları dışında spam gönderimi, bitcoin madenciliği veya başka sistemlere saldırı düzenlemek amacıyla kullanılabilecek araçlar yüklenmiş olarak tahsis edilmekte.
Daha gelişmiş özelliklere sahip ve önemli internet bağlantısı olan sunucularda fiyatların sunucu başına 15 dolara kadar çıkabildiği görülmüş.
Kolay kullanılan arayüzü, site içi arama özellikleri ve site üyelerinin kimliklerinin gizlenmesi için harcanan ek çaba nedeniyle bu site sadece giriş seviyesi saldırganlar için değil, daha gelişmiş saldırılar düzenleyen devlet sponsorlu siber saldırı grupları için de önemli bir alışveriş noktası haline gelmiş.
Sitede milyonlarca kullanıcı adı ve parola bilgisinin de satıldığı belirtiliyor.
 
Televizyonları Hedef Alan Fidye Yazılımı Tespit Edildi
Sahte fatura e-postaları ile gelen fidye yazılımlarını (bilgisayarınızdaki bütün dosyaları şifreleyerek bu şifreyi çözmek için para talep eden zararlı yazılımlar) Android telefonlarda görmeye başlamamızın üzerinden çok az bir zaman geçmişti ki Android üzerinde çalışan akıllı televizyonlara da sıçradılar. “FLocker” olarak adlandırılan zararlı yazılımın ilk görüldüğü Mayıs 2015’ten bu yana 7,000’den fazla türevi tespit edilmiş.
Flocker’ın son günlerde yaygın olarak görülen variyantı “Siber Polis” uyarısıyla Android işletim sisteminin yüklü olduğu cihazı kilitliyor ve karşılığında 100 dolarlık Apple iTunes hediye çeki talep ediyor.
Aynı zararlı yazılımın televiyonları ve Android telefonları aynı biçimde etkilediği görülüyor. Bu davranış kalıbının, Android’in buzdolaplarından televizyonlara kadar tercih dilen başlıca işletim sistemi olması nedeniyle, önümüzdeki süreçte daha sık görüleceğini rahatlıkla söyleyebiliriz.
Şu anda yaygın olarak görülen türevinden etkilenenlerin cihazlarını bilgisayara bağladıktan sonra “ADB Debugging” seçeneğini aktifleştirmeleri ve ADB komut satırından “PM clear %pkg%” komutunu çalıştırmaları yeterli olmaktadır. Diğer fidye yazılımlarında olduğu gibi, siber suçluların yazılımlarını geliştirmeye devam edeceklerini düşünebiliriz, bu yöntem yeni çıkacak türevlerde etkili olmayabilir.
 
Singapur Kamu Bilgisayarlarını İnternetten Ayırıyor
Singapur Başbakan’lığı tarafından yapılan bir açıklamada kamu kurumlarındaki personeller tarafından kullanılan bilgisayarların 1 yıl içerisinde internetten ayrılacağı belirtildi. Singapur’un dünyanın en teknolojik ülkelerinden birinin olması bu kararın şaşkınlıkla karşılanmasına neden oldu. Basına yapılan açıklamada bazı kamu personelinin bilgisayarlarının internetten ayrıldığını ve bu çalışmanın bütün bilgisayarlar internetten yalıtılana kadar, 1 sene içerisinde, tamamlanacağı belirtiliyor. Kamu çalışanlarının, internete kişisel bilgisayarları veya telefon ve tablet benzeri cihazlarla erişebileceği bu yapının vatandaş verilerini korumaya yönelik alınan bir tedbir olduğu söyleniyor. Başbakan Loong, güvenlik amacıyla, dışişleri ve savunma bakanlığı gibi kritik ağların zaten internetten ayrı olduğunu söyledi.
Singapur’da vatandaşa verilen pek çok hizmetin internet üzerinden sunuluyor olması bu kararın uygulanmasının düşünülenden biraz daha zor olabileceğini düşündürüyor.
Bu tip radikal güvenlik tedbirlerini ne zaman okusam aklıma Putin’in Kremlin sarayındaki gizli ve üzeri seviyedeki yazışmaların daktilo ile yapılmasını istemesi geliyor. Amerikan istihbaratının bu tedbir sonrası bilgi akışı bir miktar sekteye uğrasa da kısa sürede Moskova’daki ajanlar çöpçülerden para karşılığı kullanılmış daktilo şeritlerini satınalmaya başlamıştı. Daktilo teknolojisini yakında tanımaya yaşı yetmeyenler için kısa açıklama: daktiloda basılan her harfin izi daktilo şeridi (kağıda mükrebbin geçmesi için kullanılan şerit) üzerinde kalır. Bu şeritleri toplayan istihbarat daktilo ile yazılan metinleri yeniden oluşturma imkanı bulmuştu. Kremlin bunun üzerine kullanılmış daktilo şeritlerini yakmaya başladı.
 
Kritik Flash Zafiyeti
Adobe Flash Player ürünleriyle ilgili CVE-2016-4171 olarak numaralandırılan kritik bir zafiyet duyurdu. https://helpx.adobe.com/security/products/flash-player/apsa16-03.html adresinden yapılan açıklamada bu kritik zafiyetin hedefli saldırılarda kullanıldığının tespit edildiği de belirtiliyor. Zafiyetten faydalanan saldırgan hedef sistemi ele geçirebilmektedir.
Zafiyetin Windows, Macintosh, Linux ve Chrome OS işletim sistemlerinde kurulu Adobe Flash Player 21.0.0.242 ve öncesi sürümlerde bulunduğu açıklanmış.
Adobe bu zafiyetle ilgili yamayı hızlıca çıkartacağını belirtmiş.
Konuyla ilgili bu hafta içerisinde yayınlanacak Adobe güncellemelerini yakından takip etmekte fayda var.
 
Rusya’dan “Milli Mobil İşletim Sistemi” Hamlesi
Rus İletişim Bakanı Nikolai Nikiforov Rusya’nın, iOS ve Android’e alternatif olarak kendi mobil işletim sistemini geliştirdiğini Twitter hesabı üzerinden duyurdu. Linux tabanlı olacağı belirtilen işletim sisteminin, büyük şirketlerden bireylere kadar, güvenli bir mobil ortam arayan herkese hitap edeceği de konuşuluyor. Nikiforov Rusya’nın Brezilya, Çin, Hindistan ve Güney Afrika ile birlikte Sailfish işletim sistemine destek vereceği ve bu grubun işletim sistemleri konusunda A.B.D.’nin sahip olduğu tekeli kırmaya çalıştığını söyledi.
Bu çabalara ek olarak Rusya Tizen olarak adlandırdığı ve bilgisayar, akıllı telefon, tablet ve nesnelerin interneti (Internet of Things) bileşenlerinde kullanılabilecek kendi işletim sistemini de geliştirmeye devam ediyor. Rusya’nın popüler mobil uygulamalarını Sailfish işletim sistemine uyarlamak için çok sayıda yazılımcıya iş fırsatı oluşturacağı da gelen bilgiler arasında. Rusya “milli işletim sistemi” konusundaki çabalarında yalnız değil, Çin de bir süredir Kylin adında masaüstü bilgisayarlarda kullanılacak bir işletim sistemi üzerinde çalışıyor.
 

IK Firmaları üzerinden oltaya gelmek

Özellikle son aylarda sızma testi konusunda çalışanlara “Dubai’de iş var” diye yaklaşan çok sayıda yabancı insan kaynakları firması görüyoruz. Bunların bir kısmı gerçek iş teklifleriyken, bir bölümü ise çeşitli bilgi edinme faaliyetleri gibi görünüyor.

Anadilim Fransızca olduğu için ve sanıyorum sertifikalarımın, yurt dışında da 1-2 konferansta konuşup eğitimler vermemin de etkisiyle beni sıkça Dubai ve Fransa’daki işler için arıyorlar.

Nisan ayının sonunda aşağıdaki ileti gelmişti.

Özetle; Birleşik Arap Emirliklerinde bir sızma testi işi için benimle görüşmek istiyormuş. İlk teması maille kurmalarından hoşlanmadığım için ve biraz da tembelliğime geldiği için bu iletiyi umursamadım.

Dün ise aynı adresten aşağıdaki mail geldi:

Bu seferde finans yönetimiyle ilgili güzel bir makale bulmuş, onu paylaşmış.

İşim beni paranoyak yaptığı için bu maili okumayı bitirmeden kendime şu soruları sormuştum bile;

• Beni niye gizli kopya olarak (bcc) eklemiş?
• Finans yönetimiyle benim ne alakam var?
• Finans yönetimiyle ilgili makale neden http://ofgurpinarspor.com/trade/ adresinde?

Ofgurpinarspor.com 2015 yılında Trabzon’da adres gösteren birinin üzerine kayıtlı bir alandıymış.

Saldırının türünü anlamak için Forcepoint (önceki ve daha bilinen adıyla Websense) tarafından sunulan ücretsiz bir hizmeti kullanarak bana gelen linki analiz ettirdim. https://csi.websense.com adresindeki otomatik analiz aracını siz de ücretsiz kullanabilirsiniz.

Servis bu sayfayı, önceden taramış ve sınıflandırmış olmamasına rağmen, “FakeEmailPortal.Phishing.Web.RTSS” yani sahte e-posta giriş ekranı olarak tespit etti.

Sayfayı ziyaret ettiğimizde ise Google Giriş ekranıyla karşılaşıyoruz.

Burada da ilk aklıma gelen sorular Ofgurpinarspor.com sayfasından neden Google Docs’a giriş yapıyorum? Bu sayfa neden HTTPS değil? oldu.

Gördüğünüz gibi oltalama saldırıları artık çok kolay şekilde özelleştirilebiliyor.
Bu nedenle her zamankinde fazla dikkat etmeliyiz. Oltalama saldırılarına karşı en etkili yöntemler farkındalık eğitimleri ve kuruluş ağından çıkan trafiği ve kullanıcıların bağlanmaya çalıştıkları sayfaları denetleyen etkili bir ağ geçidi (proxy/gateway) çözümüdür.