KoçSistem SOC ekibi tarafından hazırlanan aylık güvenlik bültenidir. Bu ayki kapak konumuz "exploit"

1. BiZ’denHaberler
DominosPizzaProaktifGüvenlik
ÇözümleriiçinKoçSistemtecrübesine
güvendi!
KurumlaraÖzel#SOMEve#SOCSiber
GüvenlikEtkinliği
NO.09•Haziran2016
Editör:ÖzgeÇELİK
socKoçSistem
KoçSistemSecurityOperationCenter
www.kocsistem.com.tr
MayısAyında
KayıtlaraGeçenAtaklar
MailFiltreleme
YönetimHizmeti
MAYISAYINAAİT
KRİTİKAÇIKLAR
EXPLOIT
HEDEFSİZSİNİZ

2. Fidyecilikgünümüzfilm vedizisektörününen
popülerkonularından biridir.Neredeyse tüm
polisiye, aksiyon filmlerinde ve dizilerinde
karşımızaçıkmaktadır.Filmlerdevedizilerdeki
kişilerinenfazladeğerverdiğiinsanlarsilahlı
kişilertarafındankaçırılırveserbestkalmaları
karşılığında fidye ödenmesi istenmektedir.
KaçırılanKaçırılan kişilerikurtarmak için ikiyöntem
bulunmaktadır.Yöntemlerdenbiriistenilenfidy-
enin ödenmesidir,diğeryöntem ise polisten
yardım istenereksilahlıkişilerinpolistarafından
yakalanması sonucunda kaçırılan kişinin
kurtarılmasıdır.
Fidyecilikgünümüzsiberdünyasındadefalarca
gündemegelmektedir.Filmlerdevedizilerdeki
fidyeciliğebenzerolarakkişivekurumlariçin
çokönemliolanverilervesistemler,hackerlar
tarafından şifrelenmesisonucunda erişilmez
hale gelmektedir ve şifrenin verilmesi
karşılığındafidyeödenmesitalepedilmektedir.
VerileVerilereerişmekiçinikiyöntem bulunmaktadır.
Yöntemlerdenbirifidyeninhackerlaraödenmesi
karşılığında şifreyi elde edilerek veriye
erişmektir,diğeryöntem iseşifreninçözülmesi
sonucundaveriyeerişmektir.Fidyecilikgünümüz
siber dünyasında ransomware atağıolarak
adlandırılmaktadır.
Kanada’da bulunan Calgary Üniversitesi,
geçtiğimizÇarşambagünü8Haziran’dahacker-
larakritike-postasistemlerinigerialmakiçin
fidyeödediğiniaçıkladıvebukararınmaalesef
hackerlarıcesaretlendirdiğinibelirtti.
Okulyönetimi,profesörleriveöğrencileri10gün
boyuncae-postalarınaerişemediklerinibelirtti.
ITteknisyenlerisaldırınınetkilerinigidermekiçin
şifre sayesinde sunucunun kilidini açmayı
başardı.Şifre,ransomwaresaldırısınınbirparçası
olaraktalep edilen,toplamda20.000Kanada
dolarıödenmesisonucundaeldeedildi.Herhan-
gigibirkişiselveyaüniversiteverisininkamuoyuna
sızdırıldığınadairbirgöstergeninbulunmadığı
belirtildi.Calgarypolisi,KanadaveABD’debulu-
nanokulları,hastaneleri,karakollarıveNasa’yı
bile içeren kurumlarıhedef alan saldırıları
soruşturmakapsamınaaldı.
ÜniversiteyöneticisiLindaDalgettygazetecilere
fidyeödemekararını"Buradabirincisınıfbir
araştırma yapıyoruz ve insanların emek
harcadığı çalışmalarını geri elde etme
seçeneğimizinkalmadığıbirpozisyondaolmak
istemiyoruz.”diyereksavunmuştur.NewBruns-
wickÜniversitesiITDepartmanıBaşkanıDavid
ShipleyShipley ise fidye ödemenin hackerları
iştahlandırdığıvedahafazlasaldırınınolmasına
yol açacağı görüşünde olduğunu belirtti.
YaşananolaysonrasındaDavidShipley,Calgary
Üniversite’sinin fidye ödemesinin kendisini
üzdüğünü ve gereksiz yere diğer Kanada
okullarınındatehlikeyeatıldığınıtweetatarak
belibelirtti.

3. Çözüm olarak ransomware atağı hakkında
kişilerin bilinçlendirilmesive şifrenin çözümü
hakkındadahayoğunçalışmalarvearaştırmalar
içinegirilmesisonucundakişilerinvekurumların
bu tip saldırılardan dahaazzarargörmeleri
sağlanacaktır.Kişilervekurumlartarafındanbu
duruşunsergilenmesidurumundasaldırılarve
saldırılarınsaldırılarınkişivekurumlarüzerindekietkileri
azalacaktır.
Ransomware atağı genellikle bilinmeyen,
tanınmayanbirkişininveyagrubunbirbilgi-
sayaraveyaağasızmasıvesonrasındabilgisa-
yardaveağdabulunanverininşifrelemesisonu-
cundaoluşur.Hackerlarbilgisayarlaraveağlara
sızmakiçindışarıdanfarkedilmeyenkötüniyetli
yazılımlarkullanmaktadır.Bu yazılımlarhedef
alınankişilertarafındansonuçlarındanhaberdar
olmadanyüklenebilmektedirveyagüvenilirbir
kurumun gönderdiği gibi görülen, aslında
hackerlarınbukurumlarınisimlerinikullanarak
gönderilen e-postaların açılmasısonucunda
yüklenebilmektedir.Bilgisayaraveağlarasızan
hackerlarveriyierişilmezhalegetirerekfidye
ödenmesiödenmesidahilindeşifreninverileceğinihedef
kişilere bildirerek, karşılığında para almayı
amaçlamaktadır.
Fidyeödemekısavadededahabasitbirçözüm
olarak görünse de uzun vadede hackerların
gözündehedefkişilerinvekurumlarınçaresiz
kaldığını göstermektedir. Bununla birlikte
hackerlarınparaeldeetmekamacıylabuyön-
temiseçmelerinin kendilerince doğru karar
aldıklarını düşünmelerine ve saldırıların
aartmasınayolaçmaktadır,bununyanısırahedef
kişilervekurumlarhackerlaraşifreyieldeede-
bilmekiçinfidyeödeselerbileşifreninverilmesi
hackerların insiyatifinde olduğundan şifrenin
eldeedilmesiningarantisibulunmamaktadır.Bu
nedenlerden dolayıfidye ödeme sonucunda
hedefkişilerve kurumlarsistemlerinin zarar
görmesininyanındabüyükmeblağlardaparada
kaybetmektedir.

4. Exploitlerilesistemşifrelerigörülebilir,sistemler
hakkındabilgilereldeedilebilir.Exploitlersiste-
min olağan olarakçalışmasına engelolurlar.
Siteme dışarıdan kod göndererek sistemin
normalolarakçalıştığınaiknaederlervegenelde
yetkisizerişim için kullanırlar.Bu tip virüsler
bulaştıkları bilgisayarın hafızasında bulunan
e-postae-postaadreslerininhepsineobilgisayarüzerin-
den e-postagöndererekvirüsün diğerbilgi-
sayarlaradabulaşmasınısağlarlar.E-mailialan
kişigelen mailin daha önce haberleştiğive
tanıdığıbirkişidengeldiğinigörüncemailiaç-
maktahiçtereddütetmezvekendibilgisayarına
davirüsübulaştırır.Virüsbubilgisayarüzerinden
deaynıişlemigerçekleştirerekyayılmayadevam
eder.Butipvirüslerinbirçokkullanıcıyahitap
eden sunuculara yayıldığınıdüşünürsek su-
nucuyabağlananherbilgisayarabutipvirüslerin
yayılmasıilebirandaçoksayıdabilgisayarzarar
görmektedir.Bunun gibiişletim sistemlerini,
tarayıcılarınıveuygulamazafiyetleriniExploit
edengelişmişsaldırılariledosyavemultimedia
içerikleriiçinegömülükötüniyetlikodlarıdur-
durmak için anti-spam tipi cihazlar
kullanılmalıdır.Anti-Spam tipicihazlar,Exploit
gibi tehditleri, ZIP/ RAR/TNEF arşivlerine
gizlenmiş saldırılarıve kötü niyetliURL’ler
açısından elektronik postalarıanaliz ederek
sisteminizisaldırılarakarşıkorur.
Exploitleriledoğansistem zafiyetleri,Exploiting
hedefaldığıüreticiişletimsistemiveyaprogram
sahibincekoddayapılandüzenlemelervebu
düzenlemeler sonrası yayımlanan sistem
yamalarıilekapanır.Buyüzdenkullandığımız
sistemveyaprogramlarıgünceltutmakgüvenlik
Exploit’inkelimeanlamıfaydalanmak,istifaet-
mektir.DijitaldünyadaiseExploitbilgisayar,
yazılım,programveyadijitalherhangibirsistem
üzerinde,sistem açıklarından,kodhatalarından
faydalanarakistenmeyenhatalaroluşturmakiçin
düzenlenmiş küçük kod veya programlardır.
Örnek vermek gerekirse sisteme izinsizgiriş
yapmayapmak,yetkilikullanıcıoluşturmak,sistemi
devre dışı bırakmak için oluşturulan
programlardır.
Belirlenmişvesavunmasıolmayansistemlerher
zaman saldırıalma hedefindedir.Akabinde
sistemlerinaçıklarınıbulur,buaçıklarıkullanan
scriptleryazılır.Buscriptleriyazmaksonderece
uzmanveprofesyonelnitelikleresahipkişiler
tarafındanderlenir.Hackerlarzararvermekiste-
dikleriherhangibirsistem içinExploityazabi-
lirlelirler.Malwareveyaherhangibirzararlıyazılım,
tüm işletim sistemleriveya programlariçin
yazılabilir.ExploitlerdeWindows,Linux,Unix,
MacOs,Java,AdobeFlash,AdobeReadergibi
birçokfarklıyazılımdakendinigösterebilir.Ex-
ploitlersistemlerdekispesifikaçıklardanfaydala-
narakbellibiramaçiçintasarlanırlar.Örneğin;
bazıExploitlersistemeuzaktanbağlanmakiçin
tasarlanmıştır.Bazılarıise sistemidevre dışı
bırakmakiçinkullanılırlar.Fakatsaldırganafayda
sağlayanönemliExploitlergenelolaraksisteme
girişveyasistemdeyetkilikullanıcıoluşturmak
içinkullanılır.Exploitilesistemedüşükseviyeli
birkullanıcıilegirişyapmakvedahasonra
sissistemdekiyetkileriyükseltmekveyayetkilibir
kullanıcıoluşturmakmümkündür.

5. Kaynak:https://tr.wikipedia.org/wiki/Exploit,http://www.mshowto.org/exploit-nedir.html
açısından önemlidir.Örnek olarak Windows
işletimsisteminihedefalanbirExploit,Microsoft
firmasıtarafından değerlendirilir ve hemen
yamasıçıkılır.Buyamanınkurulduğusistemartık
buExploittenetkilenmez.
Exploitçeşitleriniaşağıdakigibisayabiliriz:
**LocalExploits:LokalExploit'lermeselabir*.exe
*.gifvs.gibidosyaçalıştırıldığındadevreyegirer
ve yerelbilgisayarda yüklü olan vulnerable
(savunmasız/yaralı)yazılım sayesindeExploit'te
entegreedilmişShellcode'uçalıştırvekötükod
enjekteeder.Bununsayesindesaldırganyüksek
haklarasahipolur.
**Remote Exploits: Bir Remote Exploit
İnternet(ağ)üzerinden çalışmakta ve mevcut
olangüvenlikaçığınıkullanarak,birvulnerable
sistemeerişimsağlamaktadır.
*Dos-Exploits:İlktanınmışolanaçığıyazılan
Exploit'lerDos-Exploitlerdir(Denial-ofService).
Birsistemiyavaşlatırveyadurdururlar.
**Command-Execution-Exploits: Saldırgan
tarafındankontroledilenbirprogram kodunun
hedefsisteme uygulanmasıyla gerçekleştirilir.
Böyle bir exploit'in doğru şekilde
çalıştırılabilmesiiçinprogramcıveyasaldırganın,
hedefuygulamayıiyibilmesigerekir.Bubilgileri
açıkbirprogram kodukaynağındanveyatest
edeederek edinir. Command-Execution-Exploits,
hedefolansistemdesaldırgantümhaklarasahip
olabildiğivebuhaklarilesistemiyönetebildiği
içinçoktehlikelidir.
*SQL-Injection-Exploits
*Zero-Day-Exploits:ButipExploitlerintehlikeli
olmasinin sebebi ise hiçbir üretici veya
geliştiricininbugüvenlikaçığınıkısabirsüre
içerisindeyenibiryamailedoğruveyaanlamlı
birşekildekapatamamasıdır.
ZeZero-Day-Saldırıları,hızlıve otomatize edil-
medenyenibirgüvenlikaçığınıkullanabildiği
içinetkilidir.

6. “IBM X-ForceInteractiveSecurityIncidents” http://goo.gl/Yxgc5
10Mayıs2016
İngilizoyuncakfirmasımüşterilerininisimlerini,
adreslerini,e-posta ve telefon numaralarını
içeren794.000kaydınçalınarakifşaedildiğini
açıklamıştır.
16Mayıs2016
YYüksektrafiğesahipsitelerdenbazılarınahizmet
verenDNSservisiDDoSatağınahedefolmuştur.
AyrupaveAmerikadakamuoyuncaiyibilinen
sitelerin milyonlarca kullanıcısının erişimi
kesilmiş,birhaylikarışık ve birkaç tekniği
barındıranatakolduğuraporlanmıştır.
3Mayıs2016
Politikamaçlıhackerlar,evrenselyolsuzluğupro-
testoederekYunanistan’dahedeflenenbanka-
laraerişimikısıtlamakiçingünboyuncaDDoS
atağıyapmıştır.
5Mayıs2016
Politik amaçlıhackerlar,süregelen bankacılık
yolsuzluklarına karşıyapılan protestolarçer-
çevesinde gerçekleştirdiği DDoS saldırısıyla
Kıbrısbankasınınwebsitesiniçökertmişlerdir.
Kanada’da online eğitim websitesine aitbir
NoSQLveritabanınınyanlışkonfigüreedilmesi
sonucundae-posta,parolavediğerkişiselbil-
gilerinyeraldığı61.552kayıtaçığaçıkarılmıştır.
6Mayıs2016
BirBirhackforumugüvenliğikırılmışve9.45GBveri
sızdırılmıştır.Bu verilerkayıtlıkullanıcılarıve
onların ip adreslerini, bunların yanı sıra
kullanıcılar arasındaki bazı olaylarda suç
oluşturabilecek aktivitelerle alakalı özel
mesajlarıiçermektedir.Verileraynızamanda
PayPalve diğer ikiödeme gateway’lerinin
ödemebilgilerinideiçeödemebilgilerinideiçermektedir.
9Mayıs2016
Amerika’dabirmüşteriservisyazılımıdestek
firması,back-endsistemlerinden3.Partikişilerce
bazımüşteribilgilerininsızdırıldığınıbildirmiştir.
Önlem olarak,tüm zayıfolan SHA1 karma
şifreleriresetlenmişvedahagüçlübirkarma
algoritmasıkullanılmayabaşlanmıştır.

7. “NationalVulnerabilityDatabase”https://goo.gl/ZtmN76
CVE-2016-1209
Summary:The Ninja Forms plugin before
2.9.42.1forWordPressallowsremoteattackers
to conductPHP objectinjection attacksvia
craftedserializedvaluesinaPOSTrequest.
Published:5/14/201611:59:03AM
CCVSSSeverity:v3-9.8CRITICAL v2-7.5
HIGH
ÖzetÖzet:WordPressblogsisteminineklentisiolan
Ninja Forms 'da çok sayıda kritik seviyede
güvenlikzafiyetitespitedilmiştir.NinjaForms
WordPressde kolayca form oluşturmak için
kullanılanbireklentidir.GüvenilirolmayanPOST
değerlerindekihatanedeniylePHPobjectinjec-
tionzafiyetinerastlanılmıştır.Saldırgankişinin
PHPPHPkodunuçalıştırmasıylaetkisigörülebilir.
Çözüm :Eğer2.9.42versiyonundandahaeski
versiyonlarıkullanıyorsanızyapılacakupdateile
zafiyetgiderilebilir.
Detaylıbilgiiçin:
https://ninjaforms.com/important-security-
update-always-hurt-ones-love/
CVE-2016-2108
SummaSummary: The ASN.1 implementation in
OpenSSLbefore1.0.1oand1.0.2before1.0.2c
allowsremote attackersto execute arbitrary
codeorcauseadenialofservice(bufferunder-
flowandmemorycorruption)viaanANYfieldin
craftedserializeddata,akathe"negativezero"
issue.
Published:5/4/20169:59:04PM
CVSSSeverity:v3-9.8CRITICAL v2-10.0
HIGH
ÖzetÖzet:OpenSSL'inşifrelenmişbazıASN.1veri
yapılarını engelleyici hatalara rastlanmıştır.
Saldırganbuhatalarıözelliklesahteserfikaları
yaratmak için kullanabilir,OpenSSL tarafından
doğrulandığıyadatekrarşifrelendiğizaman
zararasebebiyetverebilir.Ayrıcakullanıcıizin-
lerinikullanarakOpenSSLkütüphanesinekarşı
uuygulamalarıderleyerekçalıştırabilir.
Detaylıbilgiiçin:
https://access.redhat.com/security/cve/cve-
2016-2108
BUNUBİLİYORMUYDUNUZ?
2016’nın2016’nınbirinciçeyreğindetehlikelispam e-postalarınsayısındabüyükbirartışoldu.KasperskyLab
Spam E-postaveKimlikAvcılığıRaporunda,hernekadarspam e-postalarıntoplam sayısındabir
azalmaolsadatehlikeliolanlarınsayısınınarttığıgörüldü.Aynızamandakötüniyetlitoplue-posta
gönderilerininseviyesidebüyükölçüdearttı.KasperskyLab,ürünlerinin2016’nınMartayındazararlı
eklentileriçerene-postalaryoluylakullanıcılaravirüsbulaştırmayıdeneyen22.890.956kişiningirişimi
engellediğiniaçıkladı.Burakam2016’nınŞubatayındabildirilengirişimsayısınınikikatı.

8. İnternetüzerindeaynımesajınyükseksayıdaki
kopyasının,bu tip birmesajialmatalebinde
bulunmamışkişilere,zorlayıcıniteliktegönder-
ilmesiSpamolarakadlandırılır.Spamçoğunlukla
ticarireklam niteliğinde olup,bu reklamlar
sıklıklagüvenilmeyenürünlerin,çabukzengin
olma kampanyalarının,yarıyasalservislerin
duyurulmasıamacınaduyurulmasıamacınayöneliktir.
Spam’ınistenmeyenbirşeyolması,rahatsızedici
içerik, bilgisayara zararverme riski,spam
e-maillerin yüksekboyutu,müstehcen içerik,
gizlilikhaklarınatecavüz,durdurulamıyoroluşu
ve zaman kaybettirmesi gibi çok sayıda
rahatsızlık nedenimevcuttur.Anti-Spam ise
Spam ve e-postaaldatmacalarınıengeller.
Önemsiz,Önemsiz,istem dışıgelen,sahtecilikbilgileri
içeren ve spam olarak adlandırılan e-posta
aldatmacalarınakarşıkullanıcılarıkorur.
KoçSistem Dedike ve Paylaşımlı olarak
müşterilerine mail filtreleme hizmeti
sağlayabilmektedir.
DedikeHizmet
Mailfiltreleme yönetim hizmeti,müşterinin
sahipolduğudedikemailfiltrelemecihazının
KoçSistem tarafından yönetilmesi ve
raporlanmasıilesağlanır.Hizmetkapsamında
mailsunucularınagelenmaillerintemizlenmesi,
belirlenen politikalarçerçevesinde anti-virüs,
malware,vbgibikontrollerinyapılmasıvekaran-
tinautinauygulamasıyapılır.
Güvenlikduvarıüzerindeekfonksiyonolarak
verilecek Mail Filtreleme de bu hizmet
kapsamındadeğerlendirilecektir.
Paylaşımlı
PPaylaşımlımailfiltrelemehizmeti,paylaşımlıbir
donanım üzerinden sağlanan bir hizmettir.
Hizmetkapsamında mailsunucularına gelen
maillerin temizlenmesi,belirlenen politikalar
çerçevesindeanti-virüs,malware,vbgibikon-
trollerin yapılmasıve karantina uygulaması
yapılmaktadır.
“NationalVulnerabilityDatabase”https://goo.gl/ZtmN76

9. Kurumlara Özel #SOME ve #SOC Siber
GüvenlikEtkinliği
KurumlarınKurumların bilgiteknolojilerine bağımlılığının
arttığıvesonbirkaçyıldasibersaldırılarınkatla-
narak artış gösterdiği günümüz teknoloji
dünyasında Hackivizim odaklıSibersaldırılar
evrimleşerek hedef odaklı siber saldırılara
dönüşüyor.Sigorta,sağlık,enerji,telekomüni-
kasyonvefinansgibiönemlisektörlerhedef
odaklısibersaldırılaramaruzkalıyor.
Sibergüvenlikvebilgigüvenliğieğitimleriko-
nusunda kurumların ihtiyaçlarına yönelik
çözümlergeliştirenBilgiGüvenliğiAKADEMİSİ,
kurumlarayöneliksibersaldırılarıSOCveSOME
konusunu tüm yönleriyleelealarakgüvenlik
sektörününöndegelenuzmanlarıilemasaya
yatırdı.KoçSistem olarakyeraldığımızetkinlikte
BBT Güvenlik Yönetilen Hizmetler Birim
Yöneticimiz Serkan Özden tarafından
gerçekleştirilen“ServisOlarakSOCveSIEM”adlı
sunum dikkatleriçekti.Katılımcılarayeninesil
tehditler ve korunma yöntemleri hakkında
detaylıbilgiaktarımısağlanarak artan siber
tehditlere yönelik güvenlik ihtiyacının farklı
boyutlaraboyutlarataşındığıüzerindeduruldu.SOC ve
SIEM hizmetlerininsektördekiöneminebirkez
dahadeğinilmişoldu.
DominosPizzaProaktifGüvenlikÇözümleri
içinKoçSistem tecrübesinegüvendi!
SeSektöründeliderfirmaolanDominosPizza,net-
workvegüvenlikanlamındadahaiyibirkonuma
gelmek,sistemlerinireaktifliktençıkarıpproaktif
biryapıyadönüştürmekiçinSecurityOperation
Center(SOC)olarakKoçSistem’iseçti.Böylece
13.SOCmüşterimizolanDominosPizzailebe-
raberbualandabüyümeyedevamediyoruz.
2014yılındakurduğumuzveTürkiye’deilkolan
SecurityOperationCenter’ımızhalenTürkiye’de
öncüolmaözelliğiniyenimüşteriveekser-
visleriyle sürdürmektedir.Bu projenin,Koç-
SistemveDominosPizzaarasındabundansonra
kurulacakvegiderekbüyüyecekolanişbirlikte-
liklerinetemeloluşturacağınainancımıztamdır!
Yeniprojelerilebüyümeyedevamediyoruz…