Wednesday, July 8, 2020

Hacker Psikolojisi: Kim Sizi Neden Hacklemeye Çalışır?

Radore’nin CEO’su ve sektörün duayenlerinden Barbaros Özdemir’le LinkedIn’de siber saldırganların motivasyonları hakkında kısa bir yazışmamız oldu. Konu birkaç satıra sığdırılamayacak kadar çetrefilli olduğu için ayrıca bir yazı yazmakta fayda gördüm.  


 Saldırgan motivasyonunu anlamak siber güvenlik duruşumuzu doğrudan etkileyecektir. Daha doğrusu etkilemelidir… Saldırganı düşünmeden savunmayla ilgili bir karar alıyorsak büyük ihtimalle yanlış karardır. Kendilerini yapılan her saldırının doğrudan hedefi olarak görenden “bize kim niye saldırsın?” diyene kadar geniş bir yelpazede kuruluşla çalışma fırsatım oldu. Siber güvenlik yatırımı planlarken saldırgandan yola çıkarak bir planlama yapmak karşılaşmanız muhtemel siber saldırıları doğru öngörmenizi sağlayacağı için yatırım getirisi (frenklerin Return on Investment – ROI dedikleri) en yüksek kararları vermenize imkân sağlıyor. 

Bu noktada önerdiğimiz hizmetler tehdit modellemesi, sızma testi ve MITRE ATT&CK saldırı simülasyonları oluyor. 

Siber saldırganların motivasyonlarına bakacak olursak, Varonis tarafından yayımlanan bir araştırma sonucuna göre saldırıların %90’ı maddi kazanç ve casusluk amacıyla yapılıyor. Şirket olarak son 12 ayda olay müdahalesi desteği verdiğimiz kuruluşların tamamında saldırılar maddi kazanç elde etmeyi amaçlıyordu. Online alışveriş siteniz olmasa veya kredi kartı bilgisi tutmasanız bile Business E-mail Compromise veya fidye yazılım saldırıların hedefi olabilirsiniz. Bu durumda saldırgan yine parasını kazanmış olur.
Sektörde yaygın olarak kabul edilen saldırgan motivasyonlarına bakacak olursak karşımıza aşağıdakiler çıkacaktır;

A.   Maddi kazanç: Saldırgan para kazanmayı amaçlar
B.   Siyasi/ideolojik: Saldırgan belli bir ideolojiyi yaymak/duyurmak için veya bu ideolojinin çıkarlarına hizmet etmek için eylem düzenler.
C.   Duygusal/Kişisel: Saldırgan kişisel sebeplerden veya kişisel tatmin amacıyla hareket eder.
D.   Tanıtım/Reklam: Kişisel reklamını veya bağlantısı/sempatisi olan bir grubun adını duyurmak amacıyla hareket eder. 

Saldırgan profilini çıkartmak zor bir iştir ancak bunu basitçe (bkz. sonucun doğruluğundan bir miktar ödün vermeyi gerektiriyor) yapmanın bir yolu olabilir.
Öncelikle maddi kazanç amacıyla düzenlenen saldırılara hedef olacağımızı kabul etmemiz gerekiyor. Modeli sadeleştirip her saldırgan grubuna 10 puan verebiliriz (gerçekte modeli daha gerçekçi kurguluyoruz elbette). Bir miktar marka değerimiz varsa, örneğin televizyona reklam veriyorsak veya finans, savunma sanayi, Telekom gibi kritik bir sektörde faaliyet gösteriyorsanız b grubundaki saldırganlar için de hedef olabileceğinizi düşünmeniz gerekir. İlaveten yakın zamanda işten çıkartmalar olduysa veya kuruluşunuz toplumda hassas bir konuda bir duruş sergilediyse (örn. LGBT hakları) C grubunun da ilgisini çekmiş olursunuz. Bu durumda toplam 30 puan ile geniş tabanlı ve motivasyonu yüksek saldırgan gruplarıyla mücadele etmeniz gerektiği ortadadır.
Buna karşılık küçük çaplı, suya sabuna dokunmayan, adını duyurmayan bir kuruluşsanız sadece maddi kazanç peşinde olan siber saldırganları düşünerek bazı kararlar almak mümkündür. 

Hizmet dışı bırakma saldırılarının (DoS/DDoS – Denial of Service/Distributed Denial of Service) da maddi kazanç elde etmeye imkan verdiğini görebiliyoruz. 2019 yılının ekim ayında dalga halinde ve dünyanın birçok ülkesinde kuruluşlardan DDoS saldırısı tehdidiyle para istendiğine şahit olmuştuk. DDoS saldırılarının düşük maliyetlerle kiralanabilir olması (DDoS as a Service) nedeniyle de eski çalışanlardan rakiplere kadar değişik saldırganlar tarafından intikam veya iş bozma amacıyla kullanıldığını da görüyoruz. 

Science Publishing Group tarafından psikoloji ve davranış bilimi başlığı altında 2016 yılında yayımlanan bir makalede hackerları 5 temel kişilik özelliğine göre değerlendirilmiş. Çalışmada beyaz şapkalı, siyah şapkalı ve gri şapkalı hackerlar aşağıdaki 5 kişilik özelliğine göre sınıflandırılmış;
  • Dışa dönüklük
  • Karşısındaki tarafından olumlu algılanma
  • Deneyimlere açıklık
  •  Görev bilinci
  • Duygusal istikrar



Kuruluşun siber güvenlik risk seviyesini etkileyen faktörler düşünüldüğünde; saldırganın psikolojik durumundan çok motivasyonunun (başarılı olana kadar hangi miktarda efor harcamaya hazır olduğu) ve teknik beceri düzeyinin değerlendirilmesinde fayda vardır.
Maddi çıkar amaçlı saldıran grubun heterojen yapısı gereği hem teknik olarak becerikli hem de daha temel düzeyde saldırganların bu grupta yer aldığını söyleyebiliriz. Buna karşılık siyasi/ideolojik amaçlarla hareket eden grupların önemli bir kısmının devlet destekli olması nedeniyle bu grubun teknik becerisi genel olarak daha yüksektir. 

Saldırgan motivasyonu ve teknik beceri düzeyine de ayrıca bir puan verilmesi gerekiyor.
Son olarak kuruluşunuz bünyesinde bulunan zafiyetler ve bunların istismar edilme kolaylığı risk seviyesinin belirlenmesini sağlayacaktır. Bu aşamada biz bütün çalışmayı MITRE ATT&CK çatısına yerleştirerek kuruluşun siber güvenlik duruşunda iyileştirilmesi gereken noktaları ortaya çıkartıyoruz. 

Kuruluşunuzda benzer bir çalışma yürüterek hangi noktaların zayıf kaldığı ve daha önemlisi hangi saldırgan profiline karşı daha savunmasız olduğunuzu belirleyebilirsiniz.


Monday, June 29, 2020

Rusya’nın Troll Ordusu

Bu yazıyı 2016 yılında yazmıştım. Troll ve botlar arada gündeme geldiği için buraya da eklemek istedim. 

Çalışanları ona “gerçeklik Bakanlığı” adını takmış. İlk olarak geçen sene hakkında bir şeyler duymaya başladığımız Rusya’nın Saint-Petersburg kentindeki “troll fabrikasından” söz ediyorum. Resmi adı “İnternet Araştırma Ajansı” olan bu kuruluşun amacı yüzlerce çalışanı aracılığıyla internette (sosyal medya ve haber sitelerinin yorum bölümlerinde) Kremlin yanlısı propaganda mesajlarını yayınlamak.


Radio Liberty oradan ayrılıp hakkında açıkça konuşan tek kişi olan Olga Maltseva ile görüşmüş. Röportajın tamamına http://www.svoboda.org/a/27970298.html adresinden ulaşabilirsiniz. Rusçası benimki kadar iyi olmayanlar ve internette beğenmedikleri her yorum için “troll yeaaa!” diyenler için “фабрики троллей” (troll fabrikası) hakkındaki bilgileri özetledim.
 
  • Olga “Bloglar bölümünde çalışıyormuş ve işe başladığında kendisinden günde 10 blog yazısı yazması isteniyormuş. Daha sonra bu sayı 12’ye çıkmış. Ağırlıklı olarak Ukrayna’daki durumla ilgili yazılar yazmış.
  • Suriye de hedeflenen konular arasındaymış.
  • İngilizce ve Avrupa’da kullanılan dillerde de içerik üretiliyormuş ancak bunların ayrıntılarına sahip değiliz. Çalışanların kendi aralarında bu konuları konuşmaları yasakmış.
  • Çalışma şartları başta çok ağır değilmiş ancak geçen sene Lyudmila Savchuk’un bu oluşum hakkında açıklamalar yapması ortamın gerginleşmesine neden olmuş. Öyle ki çalışanların sadece çalıştıkları kata erişimlerine izin verilmeye başlanmış. Bu nedenle röportajda sorulan bazı soruları (örn: Suriye kamu oyuna yönelik Arapça içerik üretiliyor mu?) yanıtlayamıyor.
Olga’nın röportajı dışındaki kaynaklardan troll fabrikası hakkında bildiklerimiz ise şunlar;
  • Troll fabrikası 12’şer saatlik vardiyalar halinde 24 saat çalışıyor.
  • Evden çalışmalarına izin verilmiyor. 12 saatlik vardiyalarını bütün iletişimerinin ve internette yaptıklarının izlendiği ofiste geçiriyorlar.
  • Troller ayda 700 Euro civarında bir ücret karşılığında günde 12 saat çalışıyor
  • Troll olarak işe girmek kolay değil. Yazılı iletişim becerilerinin ölçüldüğü bir sınavdan geçiliyor. Sınavda önce nötr (vejetaryenlik gibi) bir konuda daha sonra siyasi bir olay hakkında (Donetsk insani konvoyları gibi) örnek yazılar isteniyor.
  • “Yorum Bölümündeki trollere” günlük olarak 135 yorum yapma hedefi verilmiş.
  • Yorum bölümü belediye siteleri gibi forumlara yorum yazmaktan sorumluymuş. İçlerinde “kötü troll” (Kremlini eleştirenler) ve “iyi troll” (Kremlin yanlısı) rolleri üstlenenler varmış. Bu sayede forumlarda ve haber sitelerinin yorum kısmındaki tartışmaların daha inandırıcı biçimde yürütülmesi sağlanıyormuş.
  • Arama motorlarının yorumları daha kolay endekslemesini ve daha üst seviyelere taşımalarını sağlamak amacıyla yorumlarda kullanılması gereken anahtar kelimeler veriliyormuş. Anlamlı olsun, olmasın bu kelimelerin trollerin yazdığı yorumlarda aynen yer alması şartı varmış.
  • Örnek bir troll görevi aşağıdaki gibi geliyormuş:
    • Konu: NATO kuvvetleri Ukrayna askeri birliklerinin içerisine konuşlandırılmış
    • Anahtar kelimeler: Ukrayna haberleri, Rusya ve Ukrayna, Ukrayna politika, Ukrayna, NATO, PMC (Private Military Company – Alper’in notu: Irak’ta sıkça gördüğümüz paralı asker şirketleri)
    • Görev: 35 forumda bu konun açılması
    • Bunun sonucunda ortaya çıkan yorumlarda Ukrayna ordusu içerisindekilerin NATO unsurları değil bir avuç kana susamış, para sevdalısı paralı asker olduğu algısı oluşturuluyor.
  • İşe 1 dakikadan fazla gecikmek 500 ruble ceza alınmasına neden oluyormuş.
  • Sosyal medya sitelerine başka ekipler bakıyormuş. Örneğin Facebook için 20’şer kişiden oluşan 40 civarında ekip varmış.
  • Kremlin’e ideolojik olarak yakınlıklarını ölçmek için 15-20 sorudan oluşan testler yapılıyormuş. 2 yanlıştan fazla yapanlar sınava tekrar giriyormuş. Düzeltilemeyecek kadar uzak olanların işine son veriliyormuş.
  • Bir trollün farklı mecralarda kullandığı 180’den fazla hesabı olabiliyormuş. Novaya gazetesi tarafından ortaya çıkartılan bazı troll hesaplarında Tatiana Kazakbaev adlı trollün mazurov_89, koka-kola23, Rezites, asus, igtego gibi farklı mecralarda kullanıdığı 181 farklı hesap ortaya çıkmış.
  • Boris Nemtsov (muhalefet lideri) öldürüldüğünde bütün trollerden ellerindeki işleri bırakıp bu olayı sulandırmaları istenmiş. Ukrayna’dan, A.B.D’ye kadar geniş bir potansiyel katil havuzu günlerce gündemde tutulmuş.
  • NATO Stratcom (Strategic Communications Center of Excellence – Stratejik iletişim mükemmeliyet merkezi) Latviya’yı hedef alan trollerle ilgili hazırladığı bir raporda internet trollerini karma bir savaş aracı olarak değerlendiriyor. NATO Stratcom raporuna http://www.stratcomcoe.org/internet-trolling-hybrid-warfare-tool-case-latvia-0 adresinden ulaşabilirsiniz.
  • Troller yazı dışında görsellerle de kamuoyunu şekillendirmeye yardımcı oluyor. Bir fotoğraf Ukrayna’da düşen Malezya havayoluna ait uçağında Ukrayna hava kuvvetlerine ait bir uçak tarafından sözde vurulma anını gösteriyor.
  • Aşağıdaki video Olga’nın “işyeri” olan troll fabrikasında gizlice çektiği görüntüleri içeriyor. https://youtu.be/qMsqJc1OXTw

Sunday, June 28, 2020

Pardus veya Linux'a mı Geçtiniz? İşiniz yeni başlıyor

Yıllardır “doğru bilinen yanlışlar” arasında üstlerde yer alan Linux işletim sistemlerinin daha güvenli olduğu veya bunları etkileyen zararlı yazılım olmadığı algısıyla mücadele ediyoruz. 

Milli işletim sistemimiz Pardus’un Linux temelli olması nedeniyle Windows ortamından buraya geçiş yapmayı düşünen kuruluşlarda “Pardus’a geçiyoruz zaten” gibi bir algıyla karşılaşıyorum. Sanki Pardus veya Ubuntu sürüm ne olursa olsun Linux işletim sistemlerine geçen bir kuruluş siber saldırılara ve zararlı yazılımlara karşı “aşılı” hale gelecekmiş gibi… 

Bilgi işlem biriminde bir bahar havası esiyor. Eğer ne yaptığınızı bilmiyorsanız ve dikkatsiz davranırsanız Linux ortamı saldırgan açısında çok daha rahat bir ortam olabilir.

En basitinden ele geçirdiği herhangi bir sistem üzerinde derleyici, dosya transferi yapmasını sağlayacak netcat ve en az 1 betik dili yüklü olacak. Windows ortamında bunları çoğunlukla ya kendimiz yüklemek zorunda kalıyor veya PowerShell kullanmak zorunda kalıyoruz. Yukarıda saydığım doğal zenginliklere ilave olarak bir de antivirüs kullanımı tamamen veya kısmen bırakıldıysa Linux’a geçmiş bir kuruluş güncellemeleri yapılmış Windows’lardan oluşan bir yere göre çok daha kolay hedef olacaktır.

Linux sistemlerin ne kadar sıkılaştırılmış olduğunu raporlayan Lynis aracı bu konuda atılacak ilk adımlar için bir yol gösterici olabilir. Linux sistemlerde güvensiz ayarları ve yetkileri inceleyerek raporlayan Lynis’i kullanmak oldukça kolay.
https://cisofy.com/downloads/lynis/ adresinden indirdikten sonra denetlemek istediğiniz 

Linux sistem üzerinde çalıştırmanız yeterli. Bunun sonucunda önce belli başlı kontrolleri gerçekleştirip sonrasında bazı iyileştirme önerileri sunar. 


Aşağıdaki ekran görüntülerini yeni indirip kurduğum bir Pardus 19.2 XFCE (64-bit) üzerinde çalıştırdıktan sonra elde ettim. 




Genel durum fabrika ayarlarında bırakılmış bir Pardus işletim sisteminin seviyesinin 63 olduğunu gösteriyor. Lynis geliştiricileri bunun bir puanlama sistemi olmadığını söylese de 80 ve üzeri bir sayı hedeflenmesi gerektiğini de eklemeyi ihmal etmiyorlar. 



Aynı şekilde fabrika ayarlarında bırakılmış bir Ubuntu 20.04 LTS için Lynis çalıştırdığımızda durum aşağıdaki gibi görünüyor: 

Lynis iyileştirilmesi gerektiğini düşündüğü konular için somut öneriler de sunuyor, örneğin aşağıda görüldüğü gibi fabrika ayarlarında bırakıldığında kullanıcı parolalarının kullanım süreleri kısıtlanmamış oluyor. 


Bunu gidermek için /etc/login.defs dosyasında kullanıcı parolaları için bir azami kullanım süresi belirlenmesi gerektiğini söylemiş. 


Dosya üzerinde aşağıdaki değişikleri yaptım. 


Bu işlemi gerçekleştirdikten sonra taramayı tekrar yapıyoruz ve bu sefer sıkılaştırma katsayımızın 63 yerine 64 çıktığını görüyoruz. 


Bu işlemlerin tamamının yapılmasının zaman alacağının farkındayım ancak bu işlemin bir kez yapılıp kuruluş içerisinde kullanılacak tek bir imaj oluşturmanın önemi bir kez daha ortaya çıkıyor.

Referans amaçlı Lynis çıktılarına aşağıdan ulaşabilirsiniz:
Pardus için: https://github.com/alperbasaran/Lynis/blob/master/Pardus
Ubuntu için: https://github.com/alperbasaran/Lynis/blob/master/Ubuntu