O slideshow foi denunciado.
Utilizamos seu perfil e dados de atividades no LinkedIn para personalizar e exibir anúncios mais relevantes. Altere suas preferências de anúncios quando desejar.

KoçSistem SOC Güvenlik Bülteni, Ocak 2016

516 visualizações

Publicada em

KoçSistem SOC ekibi tarafından hazırlanan aylık güvenlik bültenidir. Bu ayki sayımızda 2015 önemli güvenlik olaylarını da ele aldık.

Publicada em: Internet
  • Seja o primeiro a comentar

KoçSistem SOC Güvenlik Bülteni, Ocak 2016

  1. 1. ABD'nin en büyük sağlık sigortasışirketi Anthem Hacklendi Şubat'tayaşananhack'lenmesonucu80milyon civarındamüşterininadı,doğum tarihi,sağlık kimliği/sosyalgüvenlik numarası,eposta ve posta adresi ortaya döküldü. Saldırıdan Anthem'inCEO'subilenasiplendi. AnthemAnthem adlıABD'nin ikincien büyüksağlık sigortasışirketikimliğibilinmeyenamaKuzey Koreliolduğutahminedilenbirhackerekibi tarafından oldukça ciddibirsaldırıya maruz kaldı.Hattayapılanaçıklamayagöreortadaçok önemliekonomik saldırıplanıvardı;ancak başarıya ulaşamadı.Şirketin CEO'su Joseph SwSwedish yaptığı açıklamada, olabildiğine karmaşıkvegüçlübirsaldırıyapıldığınıbelirtti. Sigortaşirketiaynızamandacesurbirkarar alaraksaldırıdanbirsonrakigüntüm detayları kamuoyuilepaylaştı.80milyoninsanınsigorta numarası,advesoyadıileadresdetaylarıele geçirilirken,Anthem'egöremedikalvefinansal verilerhalengüvendedurmakta. ABD'ninABD'ninMilliGelirlerİdaresi’nden(IRS)Vergi MükellefiBilgileriSızdırıldı ÇinliÇinlihackerlartarafındanABDPersonelİdaresi Dairesi'ninağlarınasızmasınailişkinskandalın boyutlarınıntahminedilendençokdahabüyük olduğuvegeçtiğimizyılbilgileriçalınanAmeri- kanvatandaşısayısının20milyonuaştığıbildiril- di.NewYorkTimesgazetesinegöre21,5Milyon, CNN'egöre22,1MilyonABCveReuters'egöre ise 25 Milyon Amerikalının sosyalgüvenlik numaralarıvemahrembilgileriniiçerendosyalar, Amerikan hükümetinin sistemine sızan Çinli hackerlartarafındançalındı. ChryslerveJeep’eBüyükŞok İkiİkigüvenlikaraştırmacısı,Temmuzayındabir gazeteciylebirarayagelerekharekethalindeki birJeep'inkontrolünüelegeçirmeyibaşardılar. Tehlikelideneydetekhasaralan,Chryslerve Jeep'in güvenliğioldu.Hack sonrasında 1,4 milyonaraç,güvenlikonarımıiçingeriçağrıldı. AshleyMadisonKullanıcıBilgileriniSızdırdı Mayıs'takiMayıs'takiAdultFriendFinderveAğustos'taki AshleyMadisonhack'ivesızıntısınınardından kimse,"aldatma"sitelerine gerçek bilgilerini vermek istemeyecek gibigörünüyor.Adult FriendFinder saldırısında 60 milyona yakın kullanıcınınözelbilgileriortayaçıkarıldı.Ashley Madisonhack'indeiseonlarcamilyonkişinin bilgisibilgisisızdırıldı,ancak daha sonra bunların çoğununsahteolduğuanlaşıldı.DahasıAshley Madison'un"ücretlisilme"işleviiçin19dolardan fazlasını ödeyen kullanıcılar, ortaya çıkan veritabanında isimlerinin bulunmamasından (ödemesiyapılan hizmetin kayıtlıkullanıcıları arasındayeralmadıklarıiçin)şikayetçioldular. Yayınlananverilerarasındaüyelerinepostaadre- sleri,kredikartıtransferleribilgilerivehattapro- fillervar.İddialaragöredosyalarıindirenler,ver- iler arasında her türlü dedikodunun bulunduğunusöylüyorlar. Hacker'lar,AshleyMadison'unanaşirketiolan AvidLifeMedia'yayaptıklarısiteyikapatmatale- bini gerçekleştirmediğinden, kullanıcıların gizliliğihaketmediklerinidüşünmüşlerdi.Kend- isiniImpactTeam olarakadlandıranhacker'lar, sitedebinlercesahtekadınprofiliolduğunuve gerçek kullanıcıların yüzde 90-95'inin erkek olduğunusöylüyorlar.
  2. 2. VTechdeHacklendi! 2015'in2015'inenkorkunçgüvenlikfelaketiniseçmemiz gerekirse,buunvanıHongKong'luoyuncaküre- ticisiVtech'inhack'lenmesiolayınaverebiliriz.Bir hacker,KasımsonundaVtech'inçocuktabletleri- nikorumakiçin SSLveya parolalarıdüzgün biçimde kullanmadığını ortaya çıkardı. Hacker'lariçinverileriçalmak"çocukoyuncağı" olmuştu.Saldırısonucunda6,4milyonçocuğun verileri,isimler,epostaadresleri,evadresleri,in- dirme geçmişleri,parolalar,parola kurtarma bilgileri,IPadresleri,fotoğraflarveseskayıtları dahilolmaküzereortayaçıktı. ÇocuklariçinoyuncaküretenÇinmerkezlifirma VTech'in uygulama mağazası hack'lendi. Firmanınyaptığıduyuruyagöre"izinsizbirtaraf" 14 Kasım'da Learning Lodge uygulamasına erişimsağladıvemüşteribilgilerinielinegeçirdi. HacHacker'larınulaştığıveritabanınınisim,eposta adresi,parola,IPadresi,postaadresiveindirme geçmişigibimüşteriverileriniiçerdiğiortaya çıktı.Firmayagöreveritabanı,kredikartıbilgile- rini içermiyor. VTech, hack olayından kaç müşterisininetkilendiğinisöylemesede,hack'i ilk haberleştiren Motherboard,5 milyondan fazlafazlaebeveyninve200.000'denfazlaçocuğun bilgilerinin ortaya çıktığını söylemişti. Hack'lenen veriler içerisinde iddiaya göre çocuğunadı,cinsiyeti,doğumgünüdevardı. Motherboard,hack olayının sorumluluğunu üstünealan,ancakisminiaçıklamayanbirhacker tarafından bilgilendirildiğini belirtti. İddiaya göre hacker,verilerle "hiçbir şey" yapmayı planlamıyor. OpISIS–AnonymousOrtadoğuDenklemine Giriyor! 20152015Şubatayımedyanındikkatiniçekenönemli hedefodaklısibersaldırılarınaçıklandığıbiray oldu.BunlardanilkiSuriye’deyaşananiçsavaşın siberortamayansımalarıydı.Busaldırılardaha çokwebsayfasıçökertmeveyasosyalmedya hesaplarınınelegeçirilmesişeklindeydi.Ayınilk günlerinde,FireEyefirmasınınaçıkladığırapora gögöresahteSkypehesaplarıkullanarakSuriyeli rejim muhalifi gruplarla iletişime geçen saldırganlar,muhaliflerinbilgisayarlarınazararlı yazılımyerleştirip7,7GBboyutundaveriçalmayı başardılar. Saldırganların arkasında rejim destekçisiSuriye Elektronik Ordusu’nun olup olmadığıbelirlenemedi.ÖbürtaraftanAnony- mousisimli“hacktivist”grupOpISISadınıver- diklerioperasyon çerçevesindeİŞİD’eaityü- zlerce Facebook ve Twitter hesabını ele geçirdiğiniduyurdu.İŞİDdestekçisiTheCyber- CaliphateiseNewsweekdergisineaitTwitter hesabınıelegeçirdi.Türkiyecephesindeisebir bilgisayarkorsanıpolitikveideolojiksebepler belirterek Afyon ValiliğiAfetve AcilDurum Başkanlığınaaitweb sitesinigeçicisüreliğine erişilemezdurumagetirdi. AmerikaDışİşleriBakanlığı’naSaldırı… Amerikan Dışişleri Bakanlığı’nın kurumsal ağlarına Rus bilgisayarkorsanlarıtarafından girildiğitespitedildi.Bakanlıkzararlıyazılımı temizleyebilmekiçingünlercebilgisayarsistem- lerinierişimekapattı.Martayısonlarınadoğru, GitHubisimliyazılım geliştiricilerinaçıkkaynak kodlu projelerini web üzerinden
  3. 3. paylaşabilmelerineimkân sağlayan web sitesi Çinlibilgisayar korsanlarıtarafından erişimi engelleme(DDoS)saldırılarınınhedefindeoldu. SaldırganlarınhedefindeözellikleÇin’inGreat Firewallisimligüvenlik duvarınıaşabilmeye imkânsağlayanprojelervardı. FransızWebAdreslerineSaldırı… OcakOcakayındahedefodaklısibersaldırılarda büyükbirartışyaşandı.Fransızordusununsiber güvenlikbirimininbaşındakiisim Coustilliere’in basına verdiğibilgiye göre,Charlie Hebdo terörist saldırılarının ardından 19.000 adet Fransızwebsayfasısibersaldırılaramaruzkaldı. AlmanHükümetineaitbazıwebsayfalarıise RusyaRusya yanlısı CyberBerkut isimli bilgisayar korsanlarıtarafındançökertildi.TheCyberCa- liphateisimliİŞİDdestekçisi“hacker”grubuise ABD ordusunun Ortadoğu operasyonlarını yönetenMerkeziKomutanlığa(CENTCOM)ait YouTubeveTwitterhesaplarınıelegeçirdi. SonyveMicrosoft’aYeniYılSaldırısı 2014sonuve2015’inilkgünleriitibariilede kendilerine Lizard Squad adınıveren hacker grubuXboxLivevePSN’esaldırıgerçekleştirerek servislerinçökmesinisağladı. ÖncelikliÖncelikliolarak Xbox’tan yapılan açıklamada özellikleXboxOnekullananoyuncularınetkin- lendiaktarıldı.XboxLive kullanıcıları1 gün boyuncaonlineserviseerişimsağlayamadı.PSN durumunda ise durum biraz daha hafif sancılıydı.Olayınsabahındanbaşlayarakyaklaşık ikigünsüresincePSNkullanıcılarıiçinsistemler çokçokyavaşçalıştı,zamanzamandatamamen kopmalaryaşandı;ancak PSN ve XboxLive kopmalaryaşandı;ancak PSN ve XboxLive tarafından gelen bilgilere göre herhangibir kredikartıbilgisiçalınmadığıbelirtildi. YılYılbaşı döneminde ve herkesin özellikle yurtdışında birbirine hediyeleraldığı,online satın almaların dolayısıyla kredi kartı kullanımınınçokarttığıbirdönemdeböylebir saldırınıngerçekleştirilmişolmasıbuikifirmanın müşterilerinioldukçakorkuttu. TTürkiyeDNSSunucularıveKritikSektörlere YapılanSaldırı 2015’in2015’insongünlerindesibersavaşınyıkıcıet- kileriTürkiye’yidevurmayabaşladıveöncelikle .truzantılıalanadlarınınyönetimininyapıldığı alanadısunucuları(DNS)40Gbpshacmindebir trafikleDDoSsaldırısınamaruzkalarakhizmet veremezdurumageldi.Anonymous,.TR alan adlarınınçalışmamasınayöneliksaldırıyıüstlendi vveTürkiye’ninteröreolandesteğinikesmemesi halindesibersaldırılarındevamedeceğinibildir- di.24Aralık2015tarihindeisebankalarbaşta olmaküzereolmaküzerefinansileilgiliinternet sitelerineerişimsağlanamadı. Anonymoustarafındanyayınlananbildiride.TR alanadlarınayöneliksaldırıyanındahavacılık, bankacılık sistemive devletsitelerine saldırı yapılacağıbilgisiverilmişti.Yapılansaldırısonu- cundabankalarıninternetadresleri,sanalposve fiziksel pos hizmetlerinde aksama olması nedeniylee-ticaretsektörüdesaldırıdannasi- binialdı. YusufKuş BTGüvenlikOlayYönetimi
  4. 4. 2015yılındagerçekleşenvekayıtlarageçento- plamda 270 olayın %42.2’lik diliminiUndis- closed yani açıklanmamış olaylar oluşturmaktadırveçoğubüyükverikayıplarına nedenolmuştur.Kayıtlarageçenbuyüzatağın %31’ibilişim sektöründe görülmekle birlikte perakende ve finans sektörleribaşta olmak üzere her sektörde gerçekleşmiştir.Olaylar, içindeTürkiye’nindeyeraldığıbirçokülkedeve özellikleAmerika’dakayıplarasebepolmuştur. EnsıkgörülensaldırılardanbirdiğeriiseMal- ware. %18.1’lik dilimi oluşturan Malware saldırılarının %39’u perakende sektöründe gerçekleşmiştir.Amerika’daensıkgerçekleşirken RusyaveJaponya’damilyonlukkayıplasonuçla- nan saldırılar mevcuttur.En sık görülen saldırılardan bir diğeri ise Malware.%18.1’lik dilimioluşturan Malware saldırılarının %39’u perakende sektöründe gerçekleşmiştir.Amerika’daensıkgerçekleşirken RusyaveJaponya’damilyonlukkayıplasonuçla- nan saldırılarmevcuttur.Misconfig yaniyanlış yapılandırmadankaynaklananverisızıntılarıise aralıkayındagerçekleşenolaylarnedeniyleyüz- delikdilimini7.8’eçıkarmıştır.Toplamda21olay gerçekleşirken özellikle yılın son ikiayında büyükkayıplarlasonuçlananolaylarmevcuttur. Amerika’dakasım ayında6.000.000 ve aralık ayında 191.337.174 ve 13.000.000 verinin kaybıylasonuçlananolaylargibi. Malvertising(ZararlıReklam)yöntemideçoksık karşılaşılan saldırılardan. Büyük çoğunluğu bilişimsektöründegörülmeklebirliktetoplamda 14saldırıkayıtlarageçmiştir.
  5. 5. 14saldırıkayıtlarageçmiştir. KayıtlaraKayıtlara geçen azörneğiolmasına rağmen büyükkayıplarlasonuçlananataktürüSQLIn- jection.Gerçekleşen12saldırıdanHindistan’da 10.000.000,HongKong’ta6.400.000,Fransa’da 1.900.000 ve İngiltere’de 1.200.000 kayıpla sonuçlananlarörnekolarakverilebilir. "Password"(Şifre)ve"Fishing"(Balıkavlamak) sözcüklerinin birleştirilmesiyle oluşturulan Türkçe'ye yemleme(oltalama)olarakçevrilmiş birsaldırıçeşidiolanPhishing,sonzamanların en gözde saldırı çeşidi olarak karşımıza çıkmaktadır.2015yılındasağlıksektöründeçok kez karşılaşılmışolan saldırıtüründe,Şubat ayındaayında78.800.000verininsızrıldığıolay"very sophisticated externalcyber attack" olarak kayıtlarageçmiştir. StratejikataktiplerindenWateringHoleveBrute Forsesaldırılarıiseçoksıkgörülmemeklebirlikte KasımayındaAmerika’dabirISP’yeyapılanBrute Forse saldırısında 200.000 veri sızıntısıyla sonuçlanmıştı. ÖzgeÇelik BTSOCOlayYönetimi
  6. 6. CVE-2015-6537 Summary:SQLinjectionvulnerabilityinthe loginpageinEpiphanyCardioServer3.3allows remoteattackerstoexecutearbitrarySQLcom- mandsviaacraftedURL. Published:12/27/20152:59:00PM CVSSSeverity:v3-9.8CRITICAL,v2-7.5HIGH ÖzetÖzet:Oluşanaçıklailgiliyayınlananraporda EpiphanyCardioServer,saldırganınadministra- torhaklarınıelegeçirmesiyleSQLinjectionve LDAPinjectionsaldırılarınamaruzkalmıştır.SQL komutunungirişsayfasınınolduğuURLeeklen- mesiyle,yetkisiolmayanbirkişininyöneticigibi erişmesine,LDAP komutunun dayinegiriþ sayfasının olduðu URL e eklenmesiyle, saldırganınseçtiğibirIPadresiyleLDAPkomu- tunu çalıştırmasına yol açmış olabileceði belirtilmiştir.Bu zaafiyetten etkilenen sadece CardioServer'ın3.3,4.0ve4.1versiyonlarıdır. Çözüm olarakEpiphanyHealthcarezaafiyetten etkilenen Cardio Server 3.3,4.0 and 4.1 versiyonlarıiçinpatchyayınlamıştır. Detaylıbilgiiçin: https://www.kb.cert.org/vuls/id/630239 CVE-2015-7919 Summary:SearchBlox8.3before8.3.1allows remoteattackerstowritetotheconfigfile,and consequently cause a denial of service (applicationcrash),viaunspecifiedvectors. Published:12/21/20156:59:11AM CCVSSSeverity:v3-10.0CRITICAL,v2-6.4 MEDIUM ÖzetÖzet:SearchBlox'a aitweb tabanlıarama motoruuygulamasındadosyasızdırmazaafiyeti tanımlanmıştır.Başarıileyapılanbuatakadmin oturumuaçılmadanConfigdosyasınınüzerine yazma, ekleme, silme işlemini yapma ve dosyanın dışa aktarımıdır. Bu zaafiyet SearchBlox'ın8.3versiyonundabulunmuşturve zaafizaafiyeti azaltmak için 8.3.1 versiyonunu yayınlamışlardır. Detaylıbilgiiçin:https://ics-cert.us- cert.gov/advisories/ICSA-15-337-01 ÖznurToklu BTSOCOlayYönetimi BUNUBİLİYORMUYDUNUZ? LordfenixtarafındangeliştirilipsatılanbankacılıkTruvaatlarındanbiriolanTSPY_BANKER.NJH, kullanıcınınhedefbankaadreslerindenbiriniyazdığınıtespitedebiliyor.Buhedefbankalar: BancodeBrasil,Caixa,veHSBCBrasil’dir.BunlardanbirinegirilmesidurumundaaktifGoogle ChromepenceresinikapatarakbirhatamesajıgörüntüleyereksahtebirGoogleChromepencer- esiaçar.Tarayıcı,pencereleresorunsuzbirşekildegeçişyaptığıiçinfarketmekneredeyse imkansızdır.KullanıcınıntarayıcısınınInternetExplorerveyaFirefoxolmasıhalinde,orijinalpen- cereaçıkkalırancakhatamesajıvesahtetarayıcıyinedeaçılır
  7. 7. Gelişen teknolojilerile doğru orantılıolarak insanlarınihtiyaçlarıdaartmaktavefirmalarda müşterilerininihtiyaçlarınıkarşılamayayönelik iyileştirmeleryapmaktadır.Çağımızın olmazsa olmazıinternet,güniçindeheranihtiyacımızı karşılamayayönelikbirihtiyacadönüştüğüiçin firmalarmüşterilerineinterneterişimihizmeti vevermeyeözengöstermektedir. KoçSistem olarakçoksayıdabanka,otelvs. müşterimize hotspot hizmetisağlamaktayız. Hizmet kapsamında karşılama sayfası,SMS doğrulama,T.C.KimlikNoSorgulamagibikimlik doğrulamayöntemlerikullanılmaktadır.Kullanıcı firmanınseçtiğikimlikdoğrulamayöntemlerin- denbiriniveyabirkaçınıkullandıktansonrain- terneterişimiiçingereklişifreSMSilegönder- ilmekte ve bu sayede internet erişimi sağlanmaktadır.BöylelikleIPkimlikeşleştirmesi sağlanabilmektedir.Hizmetile birlikte firma talebidoğrultusundaURLfiltrelemeve5651 nolu yasasıkapsamındaerişimlerin veDHCP kayıtlarınınloghizmetiyeralmaktadır. Hotspot hizmeti, müşterilere ait “4ipnet” hotspotcihazlarıüzerinden sağlanır.Hizmet donanım ve yazılım seviyesinde dedikedır. Hizmetkapsamındasağlananhotspotsistemi- nin bakımları,müşteriiçin yeniloglamaser- vislerinin devreye alınmasıve yönetimiKoç- Sistem tarafından gerçekleştirilir.Bu hizmet kapsamındahizmetalanmüşterilerinmisafirl- erine internet erişim hizmeti farklı kimlik doğrulamayöntemleriylesağlanabilir Buyöntemleraşağıdadır: 1.SMSkimlikdoğrulama 2.TCKimlikNosorgulama 3.Kartlıgeçişsistemientegrasyonluerişim 4.Facebook/Twitter 5.Biletbasımı
  8. 8. Pasha Bank SOC ve FullOutsource Proje Kazanımı TTürkiye’nin ilk yabancı yatırım bankası, Azerbaycan'ın ikincibüyük finansalkuruluşu olanPashaBankilegörüşmelerimizsonrasıNet- work,Güvenlik,SesveSOChizmetidesteğiKoç- Sistem tarafındansağlanmayabaşlamıştır.Yeni- likçive çözüm odaklıuzman kadromuz ile müşterilerimiz için en iyihizmetisunmaya devam ediyor olup, Pashbank ile iş ortaklığımızdaikitarafadabaşarılardileriz. ArmağanBegüm Erdem BTGüvenlikOlayYönetimi TüpraşSOCHizmetiBaşlıyor 1983’teTürkiye’dekirafinerilerindevleteliyletek çatıaltındatoplanmasıiçinkurulanTüpraşKo- caeli,Kırıkkale,AliağaveBatmanrafinerileriileo gündenbuyanahizmetvermektedir. Siberatakların2016yılındasağlıkveenerjisek- törlerinihedefalacağınınöngörüldüğübugün- lerde,Tüpraş&KoçSistem birlikteliğiile Türk Enerjisektöründe proaktifgüvenlik anlayışı sağlamlaştırılmıştır.SOChizmetimizgenişleyen uzman ekibimizile müşterilerine biryenisini dahakatarkenTüpraşortaklığımzdaikitarafada başarılardileriz. OnurMustafaErdoğan BTGüvenlikOlayYönetimi

×