Monday, April 5, 2021

Yemek sitesinden hacklenen verilerle ne yapılır?


 

Olayın nasıl geliştiği aşağıda paylaştığım bildirimde anlatılmış. İşin teknik yönü düşünüldüğünde, bu olayın herhangi bir sitede yaşanması son derece muhtemel. O nedenle “şunu yapsalardı”, “bunu alsalardı” söylemleri ajitasyondan başka bir şey değildir, inanmayınız.

Çalınan veriler nasıl kullanılabilir?

21 milyon kişinin etkilendiği bu olaya ait verilerin hepimizi hedef almak için kullanılması muhtemel. Aklıma ilk gelen kullanım biçimlerini listeledim. Bunlara karşı dikkatli olmamızda ve çevremizi uyarmamızda fayda var;

Sosyal mühendislik

Son yıllarda belirli aralıklarla gördüğümüz “elimizde porno izlerken çekilmiş görüntüler var” şantaj maillerine yani bir dalga eklenmesi muhtemel. Ellerindeki ev ve IP adresi bilgileri de bu e-postalara ekleyerek de inandırıcılığını artırmaya çalışabilirler. Şantaj e-postaları yaygın görülür ve genellikle sadece blöften ibarettir. Size gelen e-postanın ekinde kanıt niteliğinde görüntüler olmadığı sürece dert edilecek bir şey değil. (önceki şantaj maillerine ilişkin haberi buradan okuyabilirsiniz.)


Dolandırıcılık

Kapınız çalar… “Size bir kargo olduğu söylenir. Yalnız kargo karşı ödemeli gönderilmiştir ve sizin 10-20 lira ödemeniz gerekmektedir.” veya “yan komşunuzun kapıda ödemeli bir siparişi vardır ancak evde değildir.” Bu ve benzeri senaryolarla kapıya gelenlerin kimliklerini teyit edin. Kargo şirketine “şubeden teslim alacağım” diyebilirsiniz. Kapıda ödemeli siparişi siz verdiyseniz veya hatırlamıyorsanız kabul etmeyin. Bu konuda yaşça büyük ve küçük olanları uyarmak önemli.

Bilgilerin satılması

Bilgilerimiz satılacak, bunu biliyoruz. Genellikle satışlar toptan olarak (eldeki bütün verinin tek seferde satılması) veya kontrollü olarak (bilgiler teyit edildikten sonra) yapılır. Teyit aşamasında önce parolanın açık hali bulmaya çalışılır (yeri gelmişken; basit veya parola listelerinde bulunan bir parola kullanıldıysa SHA-256 herhangi bir koruma sağlamaz). Bulunduktan sonra da e-posta ve sosyal medya hizmetlerinde bu e-posta adresi ve parola eşleşmesi kontrol edilir ve geçerli hesap bilgileri satılır. Hatırlarsınız, geçen yıl 500.000 Zoom kullanıcısının bilgileri bu şekilde bulunup satılmıştı.  
 
Özetle; bu olay herhangi bir sitede yaşanabilir ve yaşanacak. Bu nedenle konuyu ilgili site özelinde tartışmak yerine olayın etkilerinin ne olabileceğini derlemeye çalıştım. Bizim yapmamız gerekenler;

  • Parolamızı değiştirelim
  • Aynı parolayı kullandığımız başka siteler varsa buralarda da değiştirelim
  • Tahmin edilmesi zor güçlü parolalar kullanalım. Güçlü parola; en az 14 karakter, 1 özel karakter, 1 rakam ve 1 büyük harften oluşmalıdır. Kişisel ricamdır; büyük harfi parolanın başında, özel karakteri sonunda (özellikle ! veya . ise) ve rakamları da özel karakterden hemen önce kullanmayın.

İlgili duyuruyu https://www.kvkk.gov.tr/Icerik/6936/Kamuoyu-Duyurusu-Veri-Ihlali-Bildirimi-Yemek-Sepeti-Elektronik-Iletisim-Perakende-Gida-Lojistik-AS adresinden okuyabilirsiniz.

10’a yakın firmadan “benzer bir şey başımıza gelir mi?” sorusu geldi. Bunlara yönelik; sızma testi ve mevcut güvenlik çözümlerinin etkinliği test ettiğimiz bir hizmet paketi oluşturduk. Benzer bir endişeniz varsa bunun ayrıntılarını da ayrıca konuşabiliriz.  Bana alper@sparta.com.tr mail adresimden ulaşabilirsiniz.

Wednesday, March 3, 2021

Microsoft Exchange Güncellemelerini Unutmayın

 Microsoft’un, Exchange Server 2013, Exchange Server 2016 ve Exchange Server 2019 sunucuları için yayımladığı güncelleme çok kritik bir güvenlik açığını gideriyordu.



Bu zafiyetin aktif olarak ve geniş ölçekte istismar edildiği haberleri yağmaya başladı. Tam olmasa bile WannaCry zamanında karşılaştığımıza yakın bir durumla karşı karşıya kalabiliriz, elbette bunu zaman gösterecek.

2 gün önce Microsoft’un yayımladığı güncelleme sonrasında gelen bilgiler, bu zafiyetin ağırlıklı olarak Çin kökenli siber saldırılarda ve A.B.D. kurumlarını hedef almak için kullanıldığı yönündeydi. Ancak son dönemdeki veri akışına bakarak bu zafiyetin daha düşük seviyeli siber saldırgan grupları tarafından da kullanılmaya başlandığına dair ciddi ipuçları barındırıyor.

Acil olarak yapılması gereken:
Exchange sunucunuzu güncelleyin. Hafta sonunu beklemeyin, kullanıcıların yoğun olmadığı bir zaman dilimini beklemeyin, size destek veren firmanın planlı ziyaretini beklemeyin, derhal güncelleyin. Bu tür durumlarda sorunu ve riskleri üst yönetime anlatmak konusunda sizlere yardımcı olduğumuzu hatırlatmak isterim, uzman görüşü istenirse ücretsiz bir Zoom görüşmesi ayarlayabiliriz. Saldırılarda istismar edilen açıklar ve güncellemelerle ilgili bilgilere https://msrc-blog.microsoft.com/2021/03/02/multiple-security-updates-released-for-exchange-server/ adresinden ulaşabilirsiniz.

Herhangi bir nedenle güncelleme yapamıyorsanız, Exchange sunucusunu ağdan ayırmak ve port 443’e gelen bağlantıların sadece VPN üzerinden yapılmasını sağlamak geçici tedbirler olabilir. Söz konusu saldırının başarılı olması için, saldırganların birkaç adım atması gerekiyor ve bu adımların ilki Exchange sunucusunun port 443’üne erişim gerektiriyor. Bu portun internete açık olmaması size güncellemeyi yapacak zaman kazandırabilir.

Acil olarak kontrol edilmesi gerekenler:
A.B.D. Siber Güvenlik ve Altyapı Güvenliği Kurumunun konuyla ilgili yayımladığı uyarıda, bu zafiyeti istismar etmeye çalışanların sunucuya gönderdikleri istekler belirtilmiş. Kuruluşunuza gelen bağlantı loglarında bunları görüyorsanız sisteminizdeki zafiyet istismar edilmiş ve birileri ağınıza sızmış olabilir. Bu durumda tehdit avcılığı ve olay müdahale süreçlerinin devreye alınıp, saldırının gerçek boyutlarının ortaya çıkartılması gerekiyor. Kontrol edilmesi gerekenleri https://us-cert.cisa.gov/ncas/alerts/aa21-062a adresinde “Tactics, Techniques and Procedures” başlığı altında bulabilirsiniz.

Yemek sitesinden hacklenen verilerle ne yapılır?

  Olayın nasıl geliştiği aşağıda paylaştığım bildirimde anlatılmış. İşin teknik yönü düşünüldüğünde, bu olayın herhangi bir sitede yaşanma...