Etiket arşivi: TEKNOLOJİ

TEKNOLOJİ : TTNET İzinsiz İzleme Ve Raporlama Yapıyor


Öncelikle TR-069 protokolünün hemen hemen bütün sağlayıcılar da kullanıldığını biliyoruz. Fakat bu protokol tamamen kullanıcıların modem panelleri üzerinden kontrol edilebiliyor kapatılabiliyor. Temel olarak modem üzerinde bir takım erişimler sağlayan bu protokol vasıtasıyla modemin bağlantı durumu, firmware bilgilerinin güncel olup olmadığı, uzaktan firmware yükleme, yapılandırmaları sıfırlama gibi bir takım özelliklere sahip. Fakat ülkemizde durum biraz farklı çünkü bu bölüm kullanıcılardan saklanmaya çalışılıyor fakat biz ne yapıyoruz kapatıyoruz

Gizlilik ve hız açısından yapılması gereken bu protokolün kapatılmasıdır.

TR-069 protokolü ile neler yapabilirler ?

  • Servis etkinleştirme ve ayarlarını değiştirme.
  • Sıfır ayar – ya da tek tuşla ayar hizmeti verebilmek için servisin ilk ayarlarının yapılması.
  • Servisin tekrar kurulması (cihaz fabrika ayarlarına döndükten sonra)
  • Müşteriye Uzaktan Destek
  • Cihazın durumunun ve fonksiyonelliğinin teyit edilmesi
  • Elle tekrar ayarlama
  • Firmware ve Ayar Yönetimi
  • Firmware güncelleme, sürüm düşürme
  • Ayar yedekleme, geri getirme
  • İnceleme ve İzleme
  • Başarım (TR-143) ve bağlantı testleri
  • Parametre değerini öğrenme
  • Günlük dosyası elde etme

Kendi modemim üzerinden örnek verecek olursam, Airties modemlerde Yönetim bölümünde gizlenmiş olarak TR-069 bölümü bulunuyor. Bu bölümü açtığınız taktirde sayfaya erişemiyorsunuz. Özellikle son firmware sürümüne sahip ve TTNET tarafından kullanıcılara verilen modemlerde bu bölüm kapalı. Normal olarak bu bölümün var olduğunu dahi göremiyorsunuz. Yani Yönetim altında bu bölümü görmezseniz şaşırmayın.

Fakat eski firmware sürümlerine sahip Airties modemlerde bu panele ulaşabiliyorsunuz. Zaten bu protokol desteği eski modemlerin hiç birinde hemen hemen bulunmuyor. Fakat TTNET bir takım raporlamalar alması için bu protokole ihtiyaç duyarak Airties modemlerde kullanmaya karar verdi.

Telnet üzerinden modeme root olarak ulaştığım da kullanılan sistemin BusyBox v1.14.1 olduğunu görebiliyoruz. Aslında bir nevi modemin içinde özelleştirilmiş BusyBox sürümü mevcut.

help komutunu verdiğimiz de modem üzerinde izin verilen komutları görebiliyorsunuz. Bu bizim için önemli. Burada gözükmese de wget’in çalışması güzel bir haber. Bazı modemlerle wget kapalı olabilir.

ps komutuyla modem üzerinde çalışan process’lerde göründüğü üzere Agent adında bir işlem çalışmıyor. Ben bir takım işlemlerle bu protokolü modemde kapattım. TR-069 aktif olan modemlerde agent adıyla birden fazla process çalışıyor. Her ne kadar kill process yapsanız da bir süre sonra tekrar aktif oluyor onun için boşuna sonlandırma işlemini denemeyin.

Bu protokolü kapatmanızı teker teker anlatamam çünkü her modem üzerinde farklı işlemler gerekebilir. Fakat ipucu vermek gerekirse eski firmware sürümlerini indirin bunları decompiler vasıtasıyla ayıklayın içerisinde bulunan TR-069 bölümünü modem üzerine çekmeniz gerekiyor. Yada eski firmware’leri yüklemeyi deneyerek bu bölümü arayın. Bunun dışında konu biraz firmware düzenleme işine giriyor oda teknik bir iş.

Açıkçası TTNET bunu kullanıcıların görüşüne bırakmalıdır. Mesela ben sistemimin raporlanmasını istemiyorum. TR-069 kapatırsanız hız artışını anlayacaksınız. Raporlamalar anladığım kadarıyla anlık sürekli yapılıyor. Fakat kota üzerinde bir etkisi yok.

Reklamlar

TEKNOLOJİ : Windows XP Desteği Sona Eriyor Kriz Kapıda !


Bildiğiniz üzere Nisan 2014’te XP desteği sona erecek ve bu tarihten itibaren XP için hiçbir güvenlik güncelleştirmesi ve işletim sistemi desteği verilmiyor olacak. Peki ama bankacılık sektörü buna hazır mı? Microsoft Hindistan ekibi, yayınladığı bir bültenle birlikte ülkede toplam 34.000 banka şubesinde hala Windows XP işletim sisteminin kullanıldığını açıklayarak bu alanda oluşabilecek sorunlara dikkat çekti.

Bildiğiniz üzere Nisan 2014’te XP desteği sona erecek ve bu tarihten itibaren XP için hiçbir güvenlik güncelleştirmesi ve işletim sistemi desteği verilmiyor olacak. Peki ama bankacılık sektörü buna hazır mı? Microsoft Hindistan ekibi, yayınladığı bir bültenle birlikte ülkede toplam 34.000 banka şubesinde hala Windows XP işletim sisteminin kullanıldığını açıklayarak bu alanda oluşabilecek sorunlara dikkat çekti.

Microsoft’un yayınladığı bültende, Ascentius Consulting adlı danışmanlık firmasının yaptığı bir çalışmaya yer veriliyor. Bu çalışma sonucunda Hindistan’daki bankacılık sektöründe XP penetrasyonunun %40’ın üzerinde olduğu saptanmış. Ülkedeki 34.000’i aşkın banka şubesinde hala Windows XP kullanıldığının tespit edildiği bu rapor, önümüzdeki 5 ay içinde hızlı bir geçiş sağlanmazsa Hindistan’daki bankaları zor günlerin bekleyebileceği uyarısında bulunuyor.

Raporda söz konusu XP işletim sistemlerinin hangi bilgisayarlarda kullanıldığına net olarak yer verilmese de, müşteri temsilcilerinin PC’lerinden vezne ve gişe operasyonlarına, ATM’lerden banka sunucularına dek pek çok bilgisayar ve donanımda XP kullanıldığı söyleniyor. Hindistan’da hiçbir güncelleme yapılmaması durumunda Nisan ayından itibaren her gün işgücü kaybının 150 milyon $ seviyesine ulaşabileceği söyleniyor.

Alsında benzer bir durumun aynı ölçekte olmasa da Türkiye’de de yaşandığı ve özellikle pek çok ATM cihazında hala baz işletim sistemi olarak XP kullanıldığı görülmekte. Microsoft Türkiye ekibiyle yaptığımız bir basın buluşmasında Microsoft yetkilileri de aynı konuya dikkat çekmişlerdi. Bu ATM makineleri her ne kadar doğrudan internete bağlı olmasalar da, XP’ye bağlı kararlılık sorunları bu cihazları da etkileyebilmekte. Analistler, binlerce cihazın bir an önce güncellenmesi gerektiği görüşünde.

TEKNOLOJİ : Güvenlik Önlemi Alınmamış Kablosuz Yerel Alan Ağlarından Bağlantı Riskleri


Fatih Koç, BTYÖN Danışmanlık

Kablosuz Yerel Alan Ağlarının (WLAN) yaygınlığı, özellikle kablosuz ADSL modem ile ülkemizde ciddi bir artış göstermiştir. Son kullanıcılara hareket serbestliği sağlaması sebebiyle daha özgür ortamlar yaratan kablosuz ağlar, gerek kamuya açık alanlarda gerekse kullanıcıların ev ve iş yeri ortamlarında internet ve intranet erişimlerinde tercih edilmeye başlanmıştır. Özellikle halka açık internet ortamlarında (Hot Spot olarak da bilinir), kablosuz ağ kullanıcıları için kimlik doğrulama yapılması veya trafiğin şifrelenmesi beraberinde anahtar dağıtımı ve güncellenmesi gibi sorunları doğuracaktır. Bu sorunlar sebebiyle günlük hayatımızda sıkça bulunduğumuz kafeteryalarda, restoranlarda, ulaşım araçları gibi ortamlarda kullanılan kablosuz ağlarda güvenlik önlemleri ile karşılaşmamaktayız. Bu yazıda son kullanıcı bilgisayarlarından güvenlik önlemi alınmamış erişim noktaları kullanılmasının kullanıcı bilgisayarları için doğuracağı risklere değinilmiş ve bu risklerden kaçınılması için alınabilecek önlemler anlatılmıştır.

Kablosuz Yerel Alan Ağlarının (WLAN) yaygınlığı, özellikle kablosuz ADSL modem ile ülkemizde ciddi bir artış göstermiştir. Son kullanıcılara hareket serbestliği sağlaması sebebiyle daha özgür ortamlar yaratan kablosuz ağlar, gerek kamuya açık alanlarda gerekse kullanıcıların ev ve iş yeri ortamlarında internet ve intranet erişimlerinde tercih edilmeye başlanmıştır.

Kablosuz Ağların tarihçesinin daha eski olması ile birlikte, alınan güvenlik önlemlerinin tarihçesine bakılacak olursa, 1999 yılında kullanılmaya başlanan Wired Equivalent Privacy (WEP), ardından 2003’te geliştirilen Wi-Fi Protected Access (WPA) ve 2004 Haziranda 802.11i ile kablosuz yerel alan güvenliği için kullanılan kimlik doğrulama ve şifreleme önlemleri bugünkü halini almıştır.

Özellikle halka açık internet ortamlarında (Hot Spot olarak da bilinir), kablosuz ağ kullanıcıları için kimlik doğrulama yapılması veya trafiğin şifrelenmesi beraberinde anahtar dağıtımı ve güncellenmesi gibi sorunları doğuracaktır. Bu sorunlar sebebiyle günlük hayatımızda sıkça bulunduğumuz kafeteryalarda, restoranlarda, ulaşım araçları gibi ortamlarda kullanılan kablosuz ağlarda güvenlik önlemleri ile karşılaşmamaktayız. İnternete bağlanmak için kablosuz ağın ismini (Service Set Identifier – SSID) bilmemiz yeterlidir. SSID ise halka açık internet erişimi verilen yerlerin hemen hemen hepsinde yayınlanmaktadır.

Günümüzde sıklıkla karşılaşılmamakla beraber, kimi kurumsal ağlarda dahi güvenlik önlemi alınmamış kablosuz ağlarla karşılaşmaktayız. Bu kablosuz ağlar kimi zaman sadece internete erişim için tasarlanmış mimaride kullanılırken, kimi zaman da kurumsal amaçlarla iç ağa erişimde kullanılmaktadır.

Kullanıcı bilgisayarı açısından kablosuz ağ hakkında bilinen; ağın adı (SSID) ve güvenlik yapılandırmasıdır. Güvenlik önlemi alınmamış bir kablosuz ağ için güvenlik yapılandırması “Kimlik doğrulama yöntemi: Açık (Open), Şifreleme: Yok (Disabled)” olacaktır.

Güvenli olmayan kablosuz ağlardan yapılacak tüm erişimler şifresiz (kullanıcı tarafında kullanılabilecek VPN uygulamaları bu kapsamda değerlendirilmemiştir) olacağı için gerek diğer kullanıcılar gerekse Erişim Noktası için tüm trafik dinlenebilir niteliktedir.

Yaygın olarak kullanılan işletim sistemlerinde kullanıcılar, kablosuz bir ağa bağlandıklarında, bağlantı bilgileri (SSID ve güvenlik yapılandırması) tercih edilen ağ listesine (Preferred Network List – PNL) kaydedilir. Bağlantının kopması, kapsama alanı dışına çıkma ve ardından tekrar kapsama alanına girme durumunda otomatik olarak ağa bağlanma işi işletim sistemi (başka bir deyişle işletim sistemi üzerinde çalışan bir servis) tarafından sağlanır. Kullanıcı tespit edilen bir kablosuz ağa (ağ ismine çift tıklayarak) bağlanmak istediğinde ve ağı tekrar gördüğünde işletim sistemi üzerinde çalışan bir servis tarafından otomatik olarak bağlanacak şekilde yapılandırılır. Bu yapılandırma kolay kullanım maksadı ile geliştirilmiştir.

Kablosuz ağlarda Şeytani İkiz (Evil Twin) olarak bilinen saldırı yönteminin kullandığı argüman yukarıda bahsedilen -güvenlik yapılandırması yapılmamış- ağlardır. Yani saldırı hedefi olan bilgisayarlar, daha önceden güvensiz bir ağa bağlanmış, PNL’de ilgili ağ bilgileri bulunan ve saldırı anında herhangi bir ağa bağlı olmayan bilgisayarlardır. Saldırgan güvenlik önlemi alınmamış ağı taklit ederek kullanıcıların oluşturulan bu sahte ağa bağlanmalarını sağlarlar. Bu saldırının gerçekleşmesi için kullanıcının herhangi bir kablosuz ağa bağlanmamış olması veya saldırgan tarafından bağlı olduğu ağdan koparılması gerekmektedir.

Microsoft Windows “Kablosuz Sıfır Konfigürasyon”(Wireless Zero Configuration-WZC) serisi çalışan bir bilgisayarda, kullanıcı kablosuz ağlara bağlandıkça “Tercih Edilen Ağ Listesi” (Preferred Network List -PNL) genişlemeye başlayacaktır. Yeni ağlara bağlandıkça, bağlanılan ağ bilgileri bu listeye eklenecektir. Kablosuz herhangi bir ağa bağlı olmayan kullanıcı, PNL’de bulunan ağlar için istek paketleri (Probe Request Packet) gönderecektir. İsteklerine cevap veren Erişim Noktaları’na PNL’de ki öncelik sırasına göre bağlanacaktır.

Kullanıcı bilgisayarı aynı SSID yayınını yapan iki erişim noktasından da (Access Point) sinyal alıyorsa bunlardan sinyali en güçlü olanı tercih edecek ve güçlü sinyal yayan erişim noktasına bağlanacaktır. Yani saldırgan, kurbana ne kadar yaklaşırsa veya ne kadar güçlü sinyalle yayın yaparsa, kurban kullanıcıyı kendi üzerine çekmesi de o kadar kuvvetle muhtemel olacaktır.

Kablosuz istemci bilgisayarı, işletim sistemi Microsoft Windows ise -WZC servisi ile kontrol edilen bir kablosuz adaptör ile- oturum açmadan, Mac OS da ise oturum açtıktan sonra bu saldırı için hedef bilgisayarlardır. Açık kaynak kodlu işletim sistemlerinde ise varsayılan yapılandırma değiştirilip “ilgili ağın gözlenmesi durumunda bağlan” gibi davranması sağlanmışsa aynı tehlikeler bu işletim sistemleri için de geçerlidir.

Peki, bu saldırı sonucunda kayıpların boyutu, kablosuz istemci bilgisayarları açısından veya bir adım öteye gidersek kurumsal bilgi güvenliği açısından ne seviyede olacaktır?

İşletim sisteminden bağımsız olarak, kablosuz istemcinin sahte bir ağa bağlanması, saldırgan ile istemci arasında HUB’a eşdeğer bir ağ kurulması anlamına gelir. Bu seviyeden sonra saldırgan çeşitli ağ tarama ve saldırı teknikleri ile istemci bilgisayarın dosya sistemine erişmeye çalışacaktır. Saldırganın kendi üzerinden internet hizmeti vermesi durumunda ise istemcinin tüm trafiği saldırgan üzerinden geçtiği için saldırgan açık trafiğin tamamına erişebilecektir. Saldırganın hedef bilgisayara erişip bir truva atı yerleştirmesi, daha sonra kullanılabilecek bir arka kapı yaratması anlamına gelmektedir. Saldırganın kurban bilgisayarında kablolu arayüzü ile kablosuz arayüzü arasında yönlendirme yapmayı başarması durumunda ise kablolu ağa kablosuz arayüz kullanılarak erişim söz konusu olabilir.

Kurumsal ağlar düşünüldüğünde, -ağ mimari yapılandırmasına bağlı olarak- böyle bir saldırı için kurumun sınır güvenlik önlemlerinin (internetten gelebilecek saldırılar için konumlandırılmış, Saldırı Tespit Sistemi(Intrusion Detection System-IDS), Saldırı Engelleme Sistemi (Intrusion Prevention System-IPS), Güvenlik Duvarı, İçerik Kontrolcüsü, vs.) pek bir önemi kalmamaktadır. Çünkü saldırı önlem alınmış kanallardan (kurumun internet çıkışı üzerinden) değil kullanıcı bilgisayarı üzerinden kurulmuş bir “yan kanal” dan gelmektedir.

Dikkat edilmesi gereken başka bir husus ta bir kurumsal ağda kablosuz ağ altyapısı kullanılmasa (başka bir deyişle bir tane dahi erişim noktası -access point- bulunmasa) dahi kullanıcıların kullandığı bilgisayarlarda bir kablosuz ağ kartı olması ve bu ağ kartının bir yerlerde kullanılması durumunda yukarıda anlatılan saldırı senaryosu geçerlidir.

Şekil 1’de araya girme ve kullanıcıyı kendi üzerine çekme yolu ile gerçeklenebilecek saldırı senaryoları bağlantı şemaları verilmiştir.

Şekil 1 Araya girme ve bir ağ oluşturup kablosuz kullanıcıyı çekme

Bu tipte bir saldırıya maruz kalınmaması için aşağıdaki önlemler alınabilir;

Kullanıcı bilgisayarları için:

  • Kullanılmıyorsa kablosuz arayüz kapatılmalıdır.
  • PNL’de güvensiz ağ profilleri bırakılmamalıdır.
  • İşletim sistemi ve kullanılan uygulama yazılımları güncel tutulmalı, özellikle güvenlik yamaları tam olmalıdır.
  • Dosya paylaşımı için gereğinden fazla yetkiler verilmemeli, gizli paylaşımlar kapatılmalıdır.
  • Halka açık internet erişimi kullanılırken hassas bilgi (e- posta, dosya vb.) transferinden kaçınılmalıdır.
  • Uyarı mesajlarına dikkat edilmeli, https bağlantılarında sertifika bilgileri kontrol edilmelidir.
  • Kişisel güvenlik duvarı açık olmalı, istisnai erişim ayarları gereksiz erişimler için açılmamalıdır.
  • Anti virüs yazılımları kullanılmalı, zararlı kod imzaları güncel tutulmalıdır.

Kurumsal ağlar için:

  • Bir etki alanı kullanılıyorsa grup politikası ile kullanıcıların kablosuz ağ yapılandırması için yapabilecekleri eylemler kısıtlanmalıdır.
  • Bir Ağ Erişim Kontrolcüsü (Network Access Controller – NAC) kullanılıyorsa bununla kullanıcıların yapılandırmasının güvenli olup olmadığı kontrol edildikten sonra kurumsal ağa alınmaları sağlanabilir.
  • Kablolu ve kablosuz ağların 24/7 izlenmesi ile saldırıların tespiti sağlanmalıdır.
  • Kurumsal ağda kablosuz ağ kullanılması durumunda WPA, WPA2 tercih edilmeli, kimlik doğrulama için PEAP veya sertifika tabanlı kimlik doğrulama yöntemleri kullanılmalıdır.

TEKNOLOJİ : Kablosuz Ağlardaki (Hotspot) Riskler ve Alınabilecek Güvenlik Önlemleri


Sıkça bulunduğumuz kafeteryalarda, restoranlarda, ulaşım araçları gibi ortamlarda kullanılan kablosuz ağlarda güvenlik önlemleri ile karşılaşmamaktayız. İnternete bağlanmak için kablosuz ağın ismini (Service Set Identifier – SSID) bilmemiz yeterlidir. SSID ise halka açık internet erişimi verilen yerlerin hemen hemen hepsinde yayınlanmaktadır.

Güvenli olmayan kablosuz ağlardan yapılacak tüm erişimler şifresiz olacağı için gerek diğer kullanıcılar gerekse Erişim Noktası için tüm trafik dinlenebilir niteliktedir. (kullanıcı tarafında kullanılabilecek VPN uygulamaları bu kapsamda değerlendirilmemiştir.)

Şekilde "Araya Girme ve Kullanıcıyı Kendi Üzerine Çekme Yolu" ile gerçekleşebilecek saldırı senaryoları bağlantı şemaları verilmiştir.

Bu tipte bir saldırıya maruz kalınmaması için aşağıdaki önlemler alınabilir;

Kullanıcı bilgisayarları için:

  • Kullanılmıyorsa kablosuz arayüz kapatılmalıdır.
  • PNL’de güvensiz ağ profilleri bırakılmamalıdır.
  • İşletim sistemi ve kullanılan uygulama yazılımları güncel tutulmalı, özellikle güvenlik yamaları tam olmalıdır.
  • Dosya paylaşımı için gereğinden fazla yetkiler verilmemeli, gizli paylaşımlar kapatılmalıdır.
  • Halka açık internet erişimi kullanılırken hassas bilgi (e- posta, dosya vb.) transferinden kaçınılmalıdır.
  • Uyarı mesajlarına dikkat edilmeli, ‘https’ bağlantılarında sertifika bilgileri kontrol edilmelidir.
  • Kişisel güvenlik duvarı açık olmalı, istisnai erişim ayarları gereksiz erişimler için açılmamalıdır.
  • Antivirüs yazılımları kullanılmalı, zararlı kod imzaları güncel tutulmalıdır.

Kurumsal ağlar için:

  • Bir etki alanı kullanılıyorsa grup politikası ile kullanıcıların kablosuz ağ yapılandırması için yapabilecekleri eylemler kısıtlanmalıdır.
  • Bir Ağ Erişim Kontrolcüsü (Network Access Controller – NAC) kullanılıyorsa bununla kullanıcıların yapılandırmasının güvenli olup olmadığı kontrol edildikten sonra kurumsal ağa alınmaları sağlanabilir.
  • Kablolu ve kablosuz ağların 24/7 izlenmesi ile saldırıların tespiti sağlanmalıdır.
  • Kurumsal ağda kablosuz ağ kullanılması durumunda WPA, WPA2 tercih edilmeli, kimlik doğrulama için PEAP veya sertifika tabanlı kimlik doğrulama yöntemleri kullanılmalıdır.

Okuma kalitesini artırmak amacı ile kısaltılmıştır ve özet niteliği taşımaktadır. Ayrıntılı bilgilere buradan ulaşabilirsiniz.

TEKNOLOJİ : SOCKS 4/5 ve HTTP Proxy Yayınlayan Servisler


[​IMG]

Güncel olarak listesini yenileyen SOCKS 4/5 ve HTTP proxy siteleri mevcut. Bu tür hizmetler sunan ücretli yerler var fakat bu alternatif olabilir. Hepsi belli aralıklarla listelerini günceller.

SOCKS 4/5 ve HTTP Proxy Yayınlayan Servisler

TEKNOLOJİ : Worpress Çoklu Site (Multisite) Desteğini Aktifleşti rmek


Internet yayıncılığının hayatını kolaylaştıran yazılımlardan birisi de hiç şüphesiz ki WordPress. Özellikle de bu gelişmişlikte bir yazılımın ücretsiz olması da tadından yenmeyecek bir durumdur.

WordPress yazılımının bir kurulumda bir den fazla site desteklediğini biliyor muydunuz? Yani bir ana alan adınız var ama videoları ayrı bir site, makaleleri ayrı bir site şeklinde tasarlamayı düşünebilirsiniz. WordPress programında bu desteği açmak oldukça basit.

wp-confg.php

dosyanıza aşağıdaki satırları eklemeniz yeterli. Dosyanın en altına ekleyebilirsiniz bir sorun olmuyor.

/* Multisite */

define( ‘WP_ALLOW_MULTISITE’, true );

Satırları ekledikten sonra yönetici (admin) panelinden çıkarak tekrar girmeniz gerekiyor.

Yönetici panelinde Ayarlar -> Ağ Kurulumu bölümüne gelerek KUR düğmesine basarak aktifleştirme işleminizi yapabilrisiniz.

Ağ kurulumunda sizden “site2.alanadiniz.com” gibi bir alt alan adı şeklinde mi yoksa “www.alanadiniz.com/site2″ şeklinde bir alt dizin şeklinde mi yapacağınız soruluyor. Eğer ”site2.alanadiniz.com” şeklinde alt alan adı kullanmak isterseniz, site tanımlamasından sonra hosting yönetim panelinizin DNS ayarları bölümünden ”site2.alanadiniz.com” şeklinde bir DNS tanımlaması yapmanız gerekmektedir.

Kur düğmesine basıldığında size wp-confg.php ve .htaccess dosyalarının içerisine kopyalanmak üzere bazı kodlar verilecektir. Verilen ayar kodlarının bu dosyalarda, ekranda belirtildiği şekilde yapıştırmanız gerekiyor..

Daha sora admin panelinden çıkılarak tekrar girilmesi gerekiyor. Giriş yapıldıktan sonra Sitelerim bölümünden ana sitenizi görebileceğiniz gibi, yeni site ekleme işlemi yapılabilmektedir.

Bol yazılı günler dilerim.

TEKNOLOJİ : Microsoft Güvenlik İstihbarat Raporu v15 ve Türkiye Yansımaları


Fatih Karayumak, TÜBİTAK BİLGEM
Microsoft Güvenlik İstihbarat Raporu’nun, 2013 yılının ilk yarısı için yazılan SIRv15, geçtiğimiz günlerde yayınlandı. MS SIR raporları, özellikle yazılım zafiyetleri, istismarları, zararlı yazılımlar ve zararlı web sayfalarını odaklı, sayıları 120’yi aşan ülke ve bölgede toplamda 1 milyardan fazla bilgisayardan veri toplayarak oluşturulan kapsamlı güvenlik raporlarıdır. Daha önceki raporlara ve ilgili kaynaklara http://www.microsoft.com/sir adresinden ulaşılabilmektedir.

Bu yazıda MS SIRv15 raporunun genel sonuçları yanında özellikle Türkiye’ye bakan yönlerini zafiyet, istismar, zararlı yazılım başlıkları altında özetleyeceğiz.

Zaafiyetler(Vulnerabilities)

Zaafiyet, saldırganların yazılımın ve yazılımın kullandığı verilerin bütünlüğünü, sürekliliğini ve gizliliğini ihlal etmek için kullandıkları yazılım zayıflıklarıdır.

Bu rapordaki zafiyetler, ABD hükümetinin ulusal zaafiyet veri bankasından (NVD) toplanmıştır. Figür 1’de 2010’un ikinci yarısından günümüze yazılım endüstrisindeki zafiyet bildirimleri resmedilmiştir.

Figür 1: Yazılım endüstrisi zaafiyet bildirimleri

Figür 1’den anlaşılabileceği gibi, yazılım geliştiren enstitülerin zafiyet bildirimi konusundaki motivasyonları yılla içinde çok artmamıştır. Hatta, yılda 3500’ün üzerinde zafiyet bildirimi yapılan 2009 öncesine göre, bildirimlerde ciddi bir azalma mevzu bahistir.

Zaafiyet Derecesi

Zaafiyet derecelendirmesi zafiyetlerin tehlike oranına göre “common vulnerability scoring system” adlı standardize edilmiş, platform bazlı bir sisteme göre belirlenmiştir. Düşük dereceler 0-4 arası, orta dereceler 4-7 arası ve yüksek dereceler 7-10 arası olacak şekilde sınıflandırılmışlardır. Figür 2’de 2010’un ikinci yarısından günümüze bildirilen zafiyetlerin derecelerini görebilirsiniz.

Figür 2: Zaafiyet dereceleri

Güvenlik konusunda yapılacak ilk iş, yüksek derceli zaafiyetleri bertaraf etmektir; 9.9 ve üzeri derecede, yani son derece tehlikeli zaafiyetler tüm bildirimlerin %12.8’ini oluşturmaktadır. Bu rakam, yazılım güvenliği konusunda hiç de iç açıcı olmayan sonuçlara ulaşmamıza sebep olacak ipuçları veriyor.

İşletim sistemleri, tarayıcı ve uygulama zaafiyetleri

Figür 3’te 2010’un ikinci yarısından günümüze kadar bildirilen işletim sistemleri(linux, windows vs.), tarayıcılar(MS Internet Explorer, Safari, Firefox, Chrome) ve uygulama(çalıştırılabilir dosyalar, servisler ve diğer bileşenler) açıklık sayılarını bir arada görebilirsiniz.

Figür 3: Farklı alanlardaki zaafiyet sayıları

Yazılımlardaki bu zafiyetlerin tamamının, kapatabileceği ön görülemese de, bunları en aza indirmek için yazılım geliştiricilere, projelerinde yazılım geliştirme yaşam döngülerini uygulamalarını tavsiye ediyoruz. İnternette bulunabilecek bu yazılım döngüsü programlarından öne çıkan üçü şunlardır: OWASP OpenSAMM, MS SDL ve BSIMM. Bu modellerin, yayınlandıkları veya yayıncı kurulların ön gördükleri şekilde uygulanmaları küçük ve orta boy projelerde çok da rahat olmasa da, bunlardan öğrenilen şeylerin projelere uygun olduğu boyutta tatbik edilmesi yazılım güvenliğini önemli derecede artıracaktır.

Bunun yanında, özellikle kod yazarken, girdi-çıktı denetimi, doğru kimlik denetimi ve yetkilendirme vs. gibi en iyi yazılım çözümlerini(best practices) uygulamak, ayrıca SSO, ESAPI, JAAS, SHIRO vs. gibi yazılımlarda güvenliği otomatize edebilen güvenlik üst ana çatılarını kullanmak, yazılım güvenliği doğrultusunda atılmış önemli adımlar olacaklardır.

İstismarlar(Exploits)

İstismar, kullanıcının bilgisayarını enfekte etmek, engellemek veya ele geçirmek amacı ile yazılımdaki zafiyetlerden faydalanan zararlı betikler veya uygulamalardır. İstismarlar, işletim sistemleri ve tarayıcıları hedef alabilecekleri gibi, yazılımları ve sistem bileşenlerini de etkileyebilirler. Figür 4’te istismar edilen değişik bileşenlerin yüzde ağırlıklarını görebilirsiniz.

Figür 4: İstismar ağırlıkları

Görüldüğü üzere, web bileşenlerine yönelik istismarlar(düşüş eğilimde gözükseler bile) hala başı çekmektedirler. 2013’ün ilk yarısındaki yükseliş, dünya üzerindeki bilgisayarların %1.12’sini etkilemiş olan “Blacole” istismar ailesi nedeniyle oluşmuştur. 2013’ün ilk yarısında rastlanan diğer istismar ailelerini ve zaman bazlı yüzdelik ağırlıklarını figür 5’te görebilirsiniz. Bu istismarların ayrıntılarını raporun kendisinde bulabilirsiniz.

Figür 5: İstismar aileleri

Zararlı Yazılımlar(Malwares)

Microsoft, zararlı yazılımları belirlemek için “karşılaşma endeksi” ve “enfekte derecesi” adında iki metrik kullanmıştır. Aşağıda sunulacak verilerde istenmeyen yazılımlar dahil edilmemiştir.

Sunacağımız veriler, enfekte olmuş bilgisayarların sahipleri tarafından Microsoft’un kullanımına sunulmuş, IP jeo-lokasyonları da içermektedir. Dolayısıyla, hangi zararlı yazılımın dünya üzerinde, nerelerde yoğunlaştığını analiz etme imkanı bulabiliyoruz. Ayrıca zararlı yazılım trend ve kalıplarını(patterns) de görebileceğiz. Girişte de ifade edildiği gibi, bu yazıda daha çok Türkiye’yi ilgilendiren veriler üzerinde duracağız.

Figür 6’da dünya üzerinde rapor edilen zararlı yazılımların ülke bazlı yüzde ağırlıklarını bulabilirsiniz.

Figür 6: Ülkelere göre zararlı yazılım yüzdeleri

2012 ikinci yarısından günümüze tüm büyük ülke veya bölgelerde zararlı yazılımlarda yüzde 5 ila 10 arası düşüş yaşandığı gözleniyor.

Türkiye, maalesef 10 ülke arasında bir yıl içinde en fazla zararlı yazılım artışı gözlenen ülke olarak öne çıkıyor. Özellikle, Türkiye’deki bilgisayarların %1.3’ünü etkilemiş olan Win32/Gamarue solucanı(worm), Obfuscator(%7.1) ve Autorun(%6.3) temel tehditleri oluşturmuşlardır. Daha çok bilinen adı FatMal olan Win32/Gamarue ailesinden kaynaklı solucanın Tübitak SGE araştırmacıları tarafından yapılmış ve Bilgi Güvenliği Kapısı İnternet sitesinin şu linkinde görülebilir: http://www.bilgiguvenligi.gov.tr/zararli-yazilimlar/fatura-zararli-yazilimi-fatmal.html

Türkiye’nin bu oranda zararlı yazılıma maruz kalmasının sebebi olarak, Türkiye’deki son kullanıcıların siber tehditler hususundaki farkındalık eksiklikleri ve bilgisayarlarında gerçek-zamanlı güvenlik yazılımlarının eksiklikleri olduğunu söyleyebiliriz. Figür 7’de zararlı yazılım karşılaşma trendinin son bir yılda en çok Türkiye’de yükselmesi de, bize Türkiye’nin zararlı yazılım yayan ve kullanan saldırganların hedefine daha çok girmeye başladığına dalalet etmektedir.

Figür 7: Zararlı yazılımla karşılaşma trendi

Tehdit Kategorileri

Microsoft zararlı yazılım koruma merkezi(MMPC), tekil tehditleri, yayılma hızları ve amaçları gibi birkaç faktöre göre sınıflandırmaktadır. Ortaya çıkan 7 tehdit sınıfı ve bunların karşılaşma oranlarını figür 8’de bulabilirsiniz.

Figür 8: Tehdit kategorileri ve karşılaşma oranları

“Çeşitli Truva atı(trojan)” kategorisi son bir yılda en sık rastlanan tehdit olarak görünüyor. Bu oranın büyük kısmında etkili olan Truva atları şu ailelerden kaynaklıdır: Jenerik bildirim solucanları: Win32/Obfuscator, INF/Autorun ve Truva atı ailesi Win32/Sirefef.

Blacole gibi solucanlar ortaya çıkarılıp, imzaları tanındıkça yayılma hızları da düşmüştür. Bunda tabii ki, bu solucanların hedefledikleri yazılım zafiyetlerinin yamanmalarını da sebep olarak sayabiliriz. Aşağıdaki figür 9’da bu tehditlerin ülkelere bağlı yüzde ağırlıklarını bulabilirsiniz.

Figür 9: Ülkelere göre tehdit dağılımı

Neredeyse tüm kategorilerde en fazla zararlı yazılımla Türkiye’de(%30.2) karşılaşılmıştır. 2013’ün ikinci yarısında Türkiye’deki tüm bilgisayarların %7 sini enfekte eden Win32/Obfuscator yanında, solucanlarda da çok sık rastlanan bir kategoridir. %7.3’ünün tek bir solucanla(FatMal) etkilendiği düşünüldüğünde, olayın vahameti anlaşılmaktadır. İstismarlar konusunda, HTML/IFrameRef %5.8 karşılaşma oranı ile Truva atı indirici ve düşürücüsü Win32/Wintrim %3.0 ile Türkiye’yi etkilemişlerdir. Son olarak, maalesef virüs kategorisinde de öncülüğü kimseye bırakmadığımızı görüyoruz; Win32/Sality ve Win32/Ramnit ülkemizde çok rastlanan virüslerdir.

Son Söz

Bilgisayar ve internet kullanımının son derece hızlı arttığı ülkemizde siber tehditlere yönelik bilinç aynı hızla artmamaktadır. Özellikle son kullanıcı seviyesinde, kullanılan bilişim sistemlerinin sıkılaştırmaları ihmal edilmekte, hatta önceden ayarlı olarak gelen bazı güvenlik kontrolleri, sistemleri ve yazılımları dahi, kullanıma biraz zorluk getirdiklerinden dolayı kapatılmakta veya kaldırılmaktadır. İnternet kullanırken, gezilen sitelerin tehdit oluşturabilecekleri pek hesaba katılmamakta, kişisel bilgiler çok farklı platformlarda her hangi bir şüpheye düşmeden paylaşılabilmektedir.

Tüm bunlar göz önüne alındığında, sadece Türkiye’deki bilgisayar son kullanıcıların değil, ülke siber güvenlik emniyeti için büyük kampanyalarla insanların siber güvenlik bilinci artırılmalı, güvenlik mekanizmalarını bilgisayarlarında kullanmaları teşvik edilmelidir. Ayrıca bu mekanizmalar “kullanışlı güvenlik”(usable security) disiplini metotları uygulayarak insanların endişeleri bertaraf edilmelidir.

Sadece internette gezinme konusunda değil, internet üzerinden eposta veya sohbet yazılımları aracılığıyla haberleşirken, akıllı telefonlarını kullanırken, herhangi bir bilişim sistemine kimlik doğrulatırken dikkat etmeleri gerekenler insanlara, araştırılmış efektif yollarla anlatılmalı ve öğretilmelidir. Bu konuda dikkatinizi şu iki İnternet sitesine çekmek istiyorum: http://www.bilgimikoruyorum.org.tr/ ve http://www.bilgiguvenligi.gov.tr/son-kullanici/index.php .

Tüm bu önlemler alındığında dahi, yukarıda rapor edilen siber tehditlerin tümünün önüne geçilemeyeceği aşikardır. Siber saldırganların finansal ve politik motivasyonları sürdükçe, bu tarz yazılımlar üretilmeye ve yayılmaya devam edecektir. Ancak son kullanıcının güvenlik konusundaki farkındalığı arttıkça, bu tarz saldırılara maruz kalma marjı büyük oranda düşecektir.

İlerleyen yıllarda yayınlanacak bu tarz raporlarda ülkemizin siber tehditlere maruz kalma konusunda bu kadar önde olmamasını temenni ediyorum.

İSTİHBARAT ALANI

Sınırsız, Seçkin, Sansürsüz, Kemalist Haber Blogu

Derin İstihbarat

strateji, güvenlik, araştırma, istihbarat, komplo teorileri, mizah, teknoloji, mk ultra, nwo

İran Analiz

İran-Şii Jeostratejisi ve Dünya Genelinde İran Destekli Şii Örgütler, İran-Şii Lobisine Dair Bilgiler

İç Savaş

Strateji - Taktik - Savunma

İSTİHBARAT

Şifresiz Yayın!

%d blogcu bunu beğendi: