SOC’un Yeni Yardımcısı

KoçSistem ResilientYatırımı

NO. 20• Mayıs 2017 Editör: Özge ÇELİK

KoçSistem Security Operation Center www.kocsistem.com.tr/guvenlik-hizmetleri

En Popüler Saldırı:DDoS Atakları

Zaafiyetlerin İnternetiIoT vs. IoV

DDoS Yönetim Hizmeti

KRİTİK AÇIKLARNİSAN AYINA AİT

RansomwareKılık Değiştirdi

WANNACRY

Denial of Service, yani DoS saldırıları, bir bilgi-sayar aracılığıyla hedef olarak belirlenen bilgisayarın kullanılabilirliğini ortadan kaldırmaya yönelik gerçekleştirilir. Saldırı esnasında PC ve PC'nin kullandığı ağların olabildiğince yavaşlatılması ve kullanılamaz hale gelmesi amaçlanır. Ayrıca DoS saldırılarıyla hedefhedef sisteme ait kaynakların tüketilmesi de amaçlanır. Bu saldırı önemli sunucuların servis vermeyi durdurması gibi büyük sorunlara yol açabilir. DoS saldırılarının başarılı olmalarını sağlayan, her web sitesinin ve sunucuların belirli bir kapa-siteye sahip olmasıdır. Bir web sitesi belirli bir bant genişliğinde hizmet vermektedir. Örneğin, A sitesi bir anda 5 bin kişiye hizmet verebilecek bir sunucuya sahipken, B sitesi 5 milyon kişiye hizmet verebilecek bir sunucuya sahiptir. A site-sine de B sitesine de (sahte ya da gerçek kullanıcılarla) kapasitesinden fazla giriş yaptığınız anda o siteler hizmet veremeyecektir. Böylece DoS saldırısı da amacına ulaşmış olur.

Distributed Denial of Service (DDoS) saldırıları ise, aynı anda birden fazla bilgisayarın, hedef bilgisayar ve ağlara yönelik birden fazla farklı noktadan eş zamanlı olarak saldırmasıyla gerçekleştirilir. Saldırı esnasında binlerce farklı IP adresinden yararlanılır ve çok ciddi zararlar ver-ilebilir. Bu saldırıları önlemek, birçok web sitesi için çok zoiçin çok zordur.

DDoS saldırılarından farklı olarak genelde tek bilgisayar ve tek internet bağlantısı üzerinden gerçekleştirilen DoS saldırıları, iki aşamalı olarak gerçekleştirilir;

Toplu güvenliği kırma: Bu aşamada ilk olarak DoS saldırısı yapacak olan sistemlere ulaşılır ve saldırıyı gerçekleştirecek olan programlar yükle-nir. Bu sistemler ilk zarar görecek olan sistemler-dir.

DoS saldırıları: Bu aşamada hedef sitelere saldırı yapılır ve bunun için de ilk aşamada saldırıyı gerçekleştirecek programların yüklendiği bilgisayarlar kullanılarak hedefe saldırı gerçekleştirilir.

DoS saldırı türlerinin başlıcaları şunlardır;

ArabellekArabellek Aşımı Saldırıları: DoS saldırılarının en yaygın çeşitidir. Arabellek; hafızada art arda dizili türdeş veri depolayan hafıza bloğudur. Ara-bellek aşımı saldırıları; bir internet sitesine, sit-enin programcısının gelmesinin beklediği ve bu amaçla veri akışı için planladığı arabellek değerinin karşılayamayacağı kadar çok trafik yollanması sonucu oluşur. Saldırı, hedef sistem-deki bilinen zayıf bir noktanın üzerine, başarıya ulaşacağı bilinerek yapılabileceği gibi zayıf bir nokta bilinmeden başarı ihtimaliyle de yapılabilir.

SYN Saldırıları: Bu saldırı türünde saldırgan, in-ternet üzerinde kullanılmayan IP adreslerini kul-lanarak birçok SYN paketini hedef makineye yollar. Hedef makine, alınan her SYN paketi için kaynak ayırır ve bir onay paketini(SYN-ACK), SYN paketinin geldiği IP adresine yollar. Hedef makine, kullanılmayan IP adresinden yanıt alamayacağı için SYN-ACK paketini defalarca tekrarlar. Saldırgan bu yöntemi üst üste uyguladığında hedef makine ayırdığı kaynaklar-

adım DoS saldırısının doğru analiz edilmesi ve kaynağının tespit edilmesidir. DoS saldırılarının ağınıza dışarıdan yapıldığı gibi, ağınızdaki bir unsur tarafından içerden de yapılıyor olabilir. DoS saldırılarının çoğunun tespiti için internet hızının düşüklüğü ya da e-posta alamama gibi sorunlara dikkat edilmesi gerekmektedir. Bu tür durumladurumlarda ilk aşamada bakılması gereken sistemin çıkış noktasıdır. Eğer çıkış noktası HTTP Proxy ise büyük isteklerin bir sistemden mi ya da daha fazla sistemden mi yapılmakta olduğuna bakılmalıdır. Eğer çıkış noktası ağ geçidi ise sistemden geçen paketlerin kontrol edilmesi ge-rekmektedir.

DoS saldırılarından korunma yöntemleri temel olarak iki gruba ayrılır;

BantBant genişliği saldırıları ve korunma yöntem-leri: Bu tür saldırılar savunulması en zor olan DoS saldırılarıdır, bu sebeple ataklara neden olan paketler güvenliği sağlanılması istenen sistemin ağ geçidine girmeden bu paketlerin alımını durdurmaktır. Paketlerin ağ geçidine gir-meden engellenmesi için TCP SYN, UDP veya ICMP gibi aynı tür paketlerin arka arkaya geldiği takdirde takibini ve kontrolünü sağlayan yazılım kurulması gerekmektedir. Paketlerin bir ya da ikiden fazla farklı ip adresinden gönderildiği göz önüne alınırsa bu durumda İnternet Servis Sağlayıcısı'ndan destek alınması gerekmektedir.

Sistem ve servis saldırıları ve korunma yön-temleri: Bu tür saldırılar tüm ağdan çok bir ya da birkaç sisteme yönelik yapılır. Bu saldırılar birim zamanda çok yüksek sayıda paket gönder-ilerek, hafızada sorun yaratılarak ve yüksek

TTeardrop Saldırıları:

Smurf Saldırıları:

SServislere Aşırı Yüklenme:

Message Flooding:

sayıda geçerli istek gönderilerek yapılabilir.

SStandart olarak ağ kartı paket aldığı her defada işlemciye yönelik bir istek yaratır. Bunun üzerine işlemci bu paketi ağ kartından almak üzere be-lirli bir zaman ayırır. TCP SYN paketleri SYN ACK paketlerini cevap olarak göndermeden önce bir zaman geçmesi gerekir. Aynı şekilde TCP, UDP ve ICMP paketleri de SYN kadar zaman almasa da yineyine de belirli bir zaman kaybına neden olur. Bunların dışında paket büyüklüğü ve sayısının da bant genişliğinde oluşabilecek sorunlarda büyük etkisi vardır.

Zaman ayırma, paket büyüklüğü ve sayısı gibi problemler için daha güçlü cihazlar ya da bu sorunları azaltmak, engellemek için eklenmesi gereken komutlar kullanılmalıdır. Donanım için fazla harcamalar dışında bu sorunların çoğu "sysctl(8)" komutu kullanılarak çözülebilir. "sysctl(8)" komutu sayesinde yüksek paket geliş oranında sınırlamalar yapılabilioranında sınırlamalar yapılabilir.

Güçlü sunucular (mümkünse birden fazla), Güvenlik Duvarı (Firewall) ve bu tip saldırılara karşı her zaman güvenlik önlemlerinin alınması tavsiye edilir. Bir sunucuya saldırı olursa, o esnada diğer sunucu devreye sokularak perfor-mans sorunu ortadan kaldırılabilir. Ama tabii bu tip önlemler, birçok firma için yüksek maliyet anlamınıanlamını taşıyor. Bu sebeple de çoğu firma bu konuda korumasız denebilir.

En çok hangi sektörler etkilenir?

Kaynaklar: [1] [1] [2] [3]

Tarama işlevi devamlı olarak her bot üzerinde 23 veya 2323 portundan telnet protokolü kullanılarak ve rastgele IP adreslerine login işlemi denenerek devam eder. 60 farklı varsayılan kullanıcı adı ve şifre kombinasyonu denendikten sonra başarılı olunan login de- nemelerinde ele geçirilen yeni cihazın kimliği C&C’C&C’ye yollanır. Bu kimliklere de virüs kodu oto-matik olarak geçtikten sonra yeni botlar da aynı göreve devam ederler. C&C, saldırı vektörünün, kurbanın IP adresi ve saldırı süresinin belirtilmesi gibi seçeneklerin sunulduğu basit bir komut satır arayüzünü destekler.

Mirai kodu incelendiğinde virüsün, çeşitli IoT ci-hazlarda görülen x86, ARM, Sparc gibi birçok farklı CPU mimarisi için geliştirildiği görülmüştür. İmajın kendisi küçüktür ve ters mühendislik denemelerine karşın iç mekanizmasını gizlemek için bazı keşfedilmemiş teknikler barındırmaktadır. Virüs, bot’un hafızasınahafızasına yüklendikten sonra kendisini bot’un diskinden siler. Böylece bot yeniden başlatılana kadar aktif durumda kalır. Yeniden başlatma işlemi sonrasında cihaz virüsten temizlenir fakat tekrar ele geçirilmesi için birkaç dakika yeterlidir.

Gelişmekte olan dünyada, bütün cihazlar daha akıllı olup birbiriyle iletişime geçebilmektedir. Akıllı ev, akıllı hastane gibi farklı alanlardaki hızlı gelişme ile nesnelerin interneti genel mahremi- yetin sağlanması konusunda zorluklarla karşılaşmaktadır. Bu alanda birçok açıklıkla mü- cadele edilse de en sık karşılaşılan problem gegerçek kullanıcının kullanımını engelleyen ve kaynağın erişilemez duruma gelmesini sağlayan DoS saldırısıdır.

DDoS alanında dünya çapında en çok görülen ve en çok etkiyi bırakan zararlı Mirai zararlısıdır. Mirai, Linux cihazları etkileyerek onları uzaktan kontrol edilebilen zombilere çevirerek DDoS saldırılarında kullanılmaları sağlar. Öncelikli olarak router’lar, dijital video kayıt cihazları ve CCTV kameralar gibi IoT (Internet of Things) cihazlarıcihazları hedef alır. Mirai botneti Dyn DNS ser-vislerinin devre dışı bırakılarak birçok büyük web sitesinin kullanıma kapanması gibi bilinen en büyük DDoS saldırılarından bazılarında kullanılmıştır.

Mirai’nin kaynak kodu Krebbs web sitesine yapılan başarılı saldırı sonucunda halka açık olarak yayınlanmıştır. Mirai botnet kodu düşük seviyede korunan cihazlara telnet ile bağlanarak varsayılan kullanıcı adı ve şifreleri kullanan cihazları ele geçirir.

İki ana bileşeni İki ana bileşeni vardır: Saldırı vektörlerini taşıyan virüsün kendisi ve C&C sunucusu. Çalıştırılabilecek 10 adet vektör taşıyan Mirai ele geçirilecek başka cihazları da aktif olarak arayan bir tarama işlevine sahiptir.

Saldırı vektörleri C&C üzerinde son derece yapılandırılabilirdir. Mirai, saldırı paketlerindeki port numarası, dizi numarası, ident gibi çeşitli alanları gönderilen her pakette değişmeleri için rasgele atar.

IoT Üzerinden DDoS SaldırılarıBotnetlerBotnetler içerisinde bulunan IoT cihazlarının yükselişi son 5 yıldır güvenlik araştırmacılarının en çok dikkat ettiği konulardan biri. “Thingbot” adı da verilen ve bilgisayar korsanları tarafından silahlandırılmış bu cihazlar birçok DDoS saldırısında kullanıldılar. Bunlardan en büyüğü de, 2016 yılında 400Gbps gibi bir boyuta ulaşarak Mirai botneti kullanılarak yapılan DDoS ulaşarak Mirai botneti kullanılarak yapılan DDoS saldırısıydı. Bu saldırıda 500.000 üzeri cihazın kullanıldığı öngörülmekte IBM tarafından yapılan bazı araştırmalar Mirai zararlısının DDoS kabiliyetinin yanı sıra “Bitcoin Mining” bileşeni de taşıyan yeni bir varyantı olduğunu gösteriyor.

2016 Ekim ayında webcam, router ve DVR’lar kullanılarak Dyn’e (Dynamic Network Services) yapılan DDoS saldırısı aralarında Netflix, Twitter, Reddit, CNN gibi servislerin de olduğu 1200 web sitesine erişimi engelledi.

2017 Şubat ayında başka bir üniversitede ise kahve ve yiyecek otomatları, ışıklar ve 5000 başka IoT cihazı kullanılarak yapılan DDoS saldırısı bütün yöneticileri devre dışı bıraktı.

20162016 yılı bitiminin hemen öncesinde Imperva araştırmacıları “Leet” olarak adlandırılan yeni bir IoT botnet’inin 650 Gbps büyüklüğünde bir DDoS saldırısı gerçekleştirdiğini ortaya çıkardılar. Bu rakam, bu botnetin Mirai ile reka-bet edebilecek boyutta olduğunu gösteriyor. 20 dakika boyunca 400 Gbps boyutlarında saldırılar ileile Imperva Capsula ağını hedef alan saldırganlar başarısız bu turun ardından 17 dakikalık ikinci bir tur ile 650 Gbps boyutunda bir flood’a erişmişler ve saniyede 150 milyon paket gibi bir rakama ulaşmışlar. Yapılan payload analizi ise binlerce IoT cihazından gelen sistem dosyaları olduğunu ortaya çıkarmış. Botnet’in Leet olarak adlandırılmasınıadlandırılmasını sağlayan olay ise malware’i yazan kişinin TCP başlığında bıraktığı 1337 imzası. Bu bilgisayar korsanları tarafından “Elite” anlamına gelen “Leet”i temsil ediyor.

Referanslar: [1] corero.com[2] securityintelligence.com[3] theregister.co.uk

Görülen en güncel ve kalıcı hasar bırakan IoT DoS saldırısı, 2017 Mart ayının sonunda Rad-ware araştırmacıları tarafından tespit edildi. Araştırmacılar, Brickerbot ismi verilen malware ile ilk kez karşılaştılar. Kurulan honeypot ile 4 günlük süreçte çoğunluğu Arjantin üzerinden gelen 2000’den fazla Brickerbot denemesi görüldü. görüldü.

Saldırılar bir Tor node’undan geldiği için izi sürülemese de kaynak kod analizi malware’in amacını ortaya çıkardı. Brickerbot da Mirai tarafından kullanılan benzer saldırı vektörlerin-den telnet’i kullanarak brute-force deniyor. Bricker bir binary indirmediğinden kullanılan bütün kimlik bilgilerini çıkarmak mümkün olmasaolmasa da ilk sırada en çok denenen kombi-nasyonunun “root/vizxv” olduğu görülmüş.

Malware üzerinde BusyBox toolkit’i çalışan Linux tabanlı IoT cihazları hedef alıyor ve içeri girdik-ten sonra “rm –rf /*” komutu ile onbaord hafızasyı karıştırmaya başlıyor. TCP zaman damgalarını devre dışı bıraktıktan sonra maksi-mum kernel thread sayısını 1 ile sınırlıyor.

Bu işlemler sonrasında bütün IP tablolarını, FW ve NAT kurallarını siliyor ve çıkan bütün paketleri düşürmek için kendisi bir kural ekliyor. En son olarak da etkilenen cihazdaki bütün kodu te- mizleyerek tamamen işlevsiz konuma getiriyor. Böyle bir saldırıya karşı koymak için yapılabilecek birkaç şey var. Bunlardan bir tanesi telnet’itelnet’i devre dışı bırakmak veya cihazın varsayılan şifrelerini değiştirmek. Ayrıca IPS gibi sistemler kullanmak ve sürekli olarak izleme yapmak.

1. IoT ve Blockchain BirleşecekIoTIoT cihazlarının günümüze kadar popülerliğinin az olmasının en büyük sebebi veri güvenliğiydi. Sektör, bu sorunu çözmek adına Bitcoin denilen şifreli dijital para birimi için geliştirilen zincirleme kimlik doğrulama yöntemini (Blockchain) kullan-maya karar verdi. Blockchain sisteminde bir bağlantının onaylanması için ağa bağlı tüm cihazlarıncihazların bağlantıya onay vermesi gerekiyor. Karşılıklı parola doğrulama teknolojisi ve şifreli bağlantılar, hackerların IoT cihazları üzerinden siber saldırı gerçekleştirmesini zorlaştırıyor. Aksi takdirde akıllı buzdolabı üzerinden bir evdeki bilgisayarlara siber saldırı yapmak son derece kolay olurdu. Blockchain ile birlikte, finansal tteknolojiler ile IoT’nin birleşmesi sağlanacak.

2. DDoS Saldırıları IoT Cihazları Üzerinden YapılacakForrester analiz kuruluşunun tahminlerine göre, geçen yıl sadece Amerika’da 1600 web sitesine karşı gerçekleştirilen DDoS saldırıları buzdağının görünen yüzü: 21 Ekim 2016’da aynı anda gerçekleştirilen saldırılar Twitter, NetFlix, NY-Times ve Paypal gibi şirketlerin siber saldırılara karşı ne kadar korumasız olduğunu gösterdi. TTüm bu şirketler Mirai botnet kaynaklı siber saldırının asıl hedefi olan Dyn’e yapılan saldırıda virüs bulaşmış kapalı devre güvenlik kameraları ve akıllı cihazlar kullanıldı.

3. IoT ve Mobil Cihazlar 2017 yılında akıllı telefonlar beacon denilen akıllı sensör ve elektronik etiket teknolojisiyle birlikte kullanılacak. Örneğin, AVM restoranları müşterilerine akıllı telefondan ve oturduğu yerden sipariş verme imkanı sunacak. Ayrıca

online alışveriş ve bankacılıkta sohbet botları ve kişisel dijital asistanlar kullanıcalak.

4. IoT, Yapay Zeka ve Akıllı Kutular20172017 yılında RFID ve diğer elektronik etiketler depolardaki ürün kutularında çok daha yaygın olarak kullanılacak. Böylece mağazalara dağıtılan veya online alışveriş sonrası eve gön-derilen tüm ürünler internetten direk izlenecek. Böylece ürünlerin çalınması, kaybolması veya hasara uğraması gibi durumlarda gerçek sorumlularınsorumluların bulunmasını kolaylaştıracak. E-ticarette en büyük rekabetin alternatif teslimat seçenekleri üzerinden yürüdüğü düşünülürse, IoT çözümleri sektöre yeni bir soluk getirecek gibi görünüyor

5. IoT ve Kablosuz BağlantılarIoT teknolojisi için sıradan Wi-Fi alanlarına ek olarak 20 km mesafeli süper Wi-Fi, sadece yüz yüze bağlantı destekleyen düşük güçlü Wi-Fi bağlantısı, düşük güç tüketimli Bluetooth, Wi-Max, sıradan Ethernet ve ikinci kuşak 4G mobil internet bağlantısı kullanılacak (Türkiye’deki 4.5 G aslında gerçek 3.5 G’ye kakarşılık geliyor ve yaygın IoT desteği için güncel-lenmesi gerekiyor). Ancak, IoT’de en büyük sorun Afrika gibi altyapısı eksik olan bölgelerde ortaya çıkıyor (açık araziye yerleştirilen ve şebeke elektriği kullanmayan güneş enerjili cihazların yaygınlaştırılması gibi sorunlar): Bunların katlanabilir güneş panelleri kullanması için düşük güç tüketmesi gerekiyor.

Şirketler Neden IoT Çözümlerine Geçiyor?

%47 : Ürün ve hizmet kalitesini artırmak%45 : İş gücü verimliliğini artırmak%44 : İşletme idaresinde güvenirliği artırmak%37 : Şirket varlıklarından alınan verimi artırmak%35%35 : Hammadde, yarı mamul ve atık maliyetini azaltmak%34 : Yeni müşterilere ulaşmak%33 : Müşteri memnuniyetini artırıp müşteri kaybını azaltmak ve müşteri desteği maliyetini düşürüp gelirleri artırmak%32%32 : Yeni ürün ve hizmet geliştirmek veya mali-yetleri azaltmak için bilgi toplamak%26 : Ürünlerin hızla pazara sürülmesini sağlamak ve geliştirme maliyetlerini azaltmak%22 : Hırsızlık riskini ve diğer kayıpları azaltmak%18 : Hizmet olarak çözüm modeline geçmek%16 : İş hedeflerine uygun fiyat politikası be-lirlemek.

Kaynaklar:[1] popularscience.com

6. IoT ve Kalifiye Eleman SorunuIoIoT’nin günümüzde kullanımının artması ile bu artışa paralel istihdam açığı da artacak. Dolayısıyla IoT’de uzmanlaşan teknisyen ve yazılımcılara büyük ihtiyaç duyulacak. Özellikle akıllı şehirler ve endüstriye yönelik dijital otoma-syon alanlarında büyük talep oluşması bekleni-yor. TEKsystems tarafından yapılan son araştırmaya göre, IoT şirketlerinin %45’i önce-likle güvenlik uzmanı bulmakta zorlanıyor. %30’u ise IoT ile kişiselleştirilmiş dijital pazar-lama yapabilecek çalışanlar arıyor (örneğin akıllı takılarla kullanıcı verilerinin toplanması). Tüm bunlar da IoT’ye yönelik eğitimlerin artacağını gösteriyor.

7. IoT ve Yeni İş Modeli20172017 yılında yazılım ve uygulamaların ürünle birlikte sunulduğu paket çözümler öne çıkıyor. Amazon’un akıllı arama destekli kişisel dijital asistanı Alexa’nın Amazon Echo cihazıyla birlikte kullanılması ve Uber araç kiralama uygulamasına sesli komut özelliğinin eklenmesi, bunlar arasında en popüler çözümler olarak gösterili-yyor. Kullanıcının telefonda dinlediği müziği tanıyıp internetten bulan Hound uygulamasıyla Uber’ın işbirliği yapması sektörün ne kadar yaratıcı olduğunu gösteriyor.

Dünya çapında 12 Mayıs 2017 tarihi itibariyle et-kisini gösteren ve büyük bir hızla yayılan “Wann-aCry” zararlı yazılımı, son birkaç yıldır popüler olan fidye yazılımlarından biridir. Çok kısa za-manda, başta Çin, Rusya ve Avrupa ülkeleri olmak üzere 106 ülkede 230,000’den fazla cihazı etkilemiştir.

WannaCry zararlı yazılımın yayılım hızını ve oluşturduğu travmayı değerlendirdiğimizde günümüz siber saldırılarının ani ve büyük krizlere neden olabileceğini görmekteyiz.

Peki Nedir Bu WannaCry?BildiğinizBildiğiniz üzere “Shadow Brokers” isimli grup Nisan ayı içerisinde NSA tarafından kullanıldığını öne sürdükleri bir dizi araç sızdırmıştı. Bu araçlar içerisinde en dikkat çekeni MS17-010 zafiyetini istismar eden Eternalblue exploit’iydi. Bu exploit; kullanıcı adı ve parola bilgisine ihtiyaç duymaksızın, UDP 137-138, TCP 139 ve 445 SMB poportları üzerinden hedef sisteme etki ederek sistemi ele geçirmeye imkan sağlıyordu. Wanna-Cry isimli ransomeware de bu zafiyeti temel alarak SMB portu internete açık olan ve Micro-soft tarafından yayınlanmış olan güvenlik gün-cellemesi henüz yapılmamış Windows işletim sistemlerine sahip cihazlar arasında büyük bir hızla yayılmıştır.

Zafiyeti başarılı bir şekilde istismar ederek sis-teme erişim sağlayan Wcry fidye yazılımı, hızlı bir şekilde Harddiskte bulunan kritik bilgiler içerebilecek olan uzantılara (.lay6 .sqlite3 .sqlit-edb .accdb .java .class .mpeg .djvu .tiff .backup .vmdk .sldm .sldx .potm .potx .ppam .ppsx .ppsm .pptm .xltm .xltx .xlsb .xlsm .dotx .dotm .docm

Bunu Biliyor Muydunuz?DahaDaha önce DDoS saldırılarının kaynağı olan ül-keler sıralamasında 2016 yılı içerisinde dönem-sel olarak ilk 10 listesinde yer alan Türkiye, CompariTech firmasının son araştırmasına3 göre artık bu listede görünmüyor. Ancak Türkiye, zararlı yazılımlardan (virüsler, casus yazılımlar, fidye yazılımları vb.) en fazla etkilenen bilgisayara sahip ülkeler sıralamasında Çin (%49) ve Tayvan (%47,34)’ın ardından %40,99 ile üçüncü sırada yer alıyor.

.docb .jpeg .onetoc2 .vsdx .pptx .xlsx .docx) sahip dosyaları; kullandığı güçlü, asimetrik şifreleme algoritması olan RSA-2048 ile şifreleyerek kullanıcıdan belirli bir süre içerisinde 300$ / 300€ ödeyerek dosyalarına tekrar erişebileceğini aksi takdirde kullanıcının bir daha dosyalarına erişemeyeceğini belirt- memektedir.

Referanslar:[1] goo.gl/UTJaFd

DDoS saldırısı, çoklu sistemlerde hedef sistemin kaynakları ya da bant genişliği istilaya uğradığı zaman oluşur, bunlar genellikle bir veya birden fazla web sunucusudur. Eğer saldırganlar saldırıyı tek bir ana bilgisayardan düzenlerse bu bir DoS saldırısı olarak sınıflandırılır. Diğer taraf-tan, bir saldırgan aynı anda uzaktaki bir bilgi-sayara yönelik saldırılar için birçok sistem kullanıyorsa, bu bir DDoS saldırısı olarak sınıflandırılır.

Request flooding attack, asymmetric attack, re-peated single attack, application exploid attack, R.U. Dead-Yet, Slowloris, SYN flood gibi uygu-lama bazlı DDoS atakları düşük bant genişliği kullanarak sunucuyu çalışamaz hale getirirler. Hizmet sağlayıcıların sağladığı hacimsel bazlı DDoS atak önleme hizmeti, bu tip uygulama bazlı atakları yakalayamamakta ve firmaları tam olarak koruyamamaktadır.

KoçSistem’in Uygulama Bazlı DDoS hizmeti, servis sağlayıcıların verdiği hacimsel bazlı DDoS hizmetinin tamamlayıcısı niteliğinde olup müşteri’nin internet ile DMZ veya yerel alan ağında çalışan tüm internet bağımlı servislerin kullanılabilirliğini kısıtlayıp çalışmaz hale get-irmeyi hedefleyen DDoS saldırılarını hafifletmek/önlemek için hafifletmek/önlemek için verilen hizmettir.

Dedike olarak;Uzak(Uzak(remote)tan bağlantı ile verilir. Müşteri veri merkezi veya lokasyonuna fiziksel olarak erişilmez. Hizmet kapsamında bu hizmet bildiri-mine uygun olarak müşteriye sunmak amacıyla hizmet için gerekli araçların kurulması, bağlantıların kurulması ve test edilmesi, rapor-lama araçlarına entegrasyonu sağlanır.

Paylaşımlı olarak;KKoçSistem’in bulut altyapısı üzerinden sahip olduğu yedekli fiziksel kaynak havuzu üzerinden sağlanır. Bu hizmet, firmaların donanım ve yazılım yatırımı yapmaları ihtiyacını ortadan kaldırmakta olup tüm yatırım ve cihaz yönetimi hizmet kapsamında sunulmaktadır. Hizmet donanım ve yazılım seviyesinde paylaşımlıdır. HizmetHizmet kapsamında sağlanan paylaşımlı DDoS cihazının bakımları, müşteri için devreye alınması ve yönetimi KoçSistem tarafından gerçekleştirilir. Bu hizmet, KoçSistem veri merkezinde sanal veya fiziksel sunucusu bulu-nan ve/veya dedike DDoS yatırımı yapmamış tüm müşterilere sunulmaktadır.

Hizmet kapsamında DDoS sisteminin merkezi yönetim sistemleri ile 7x24 izlenmesi (online otomatik alarm mekanizması dahil) ve proaktif yönetimi sağlanmaktadır. Hizmet kapsamında müşteri internet bant genişliği ölçeğinde DDoS koruması sağlanır, daha yüksek kapasitedeki DDoS saldırıları için internet servis sağlayıcıdan DDoS hizmeti alınması tavsiDDoS hizmeti alınması tavsiye edilir.

“National Vulnerability Database” https://goo.gl/ZtmN76

CVE-2017-6972------------------TheThe path normalization mechanism in PathResource class in Eclipse Jetty 9.3.x before 9.3.9 on Windows allows remote attackers to bypass protected resource restrictions and other security constraints via a URL with certain es-caped characters, related to backslashes.

V3: 9.8 CRITICAL V2: 7.5 HIGH

Published: April 13, 2017; 10:59:01 AM -04:00

Özet: Windows platformu üzerinde çalışan 9.3.0 dan 9.3.8 e kadar olan Jetty versiyonları zafiy-etten etkilenmiştir.Eclipse üzerinde uzaktan erişime izin vererek rastgele kod çalıştırımasına neden olmaktadır. Bu zafiyette exploit için kimlik doğrulamasına gerek duyulmamaktadır.

Jetty path normalleştirme mekanizması, URL isteklerini parse ederken sorun yaşanmaktadır. 9.3.9 versiyonu bu zafiyetten etkilenmemektedir.

Detaylı bilgi için: http://dev.eclipse.org/mhonarc/lists/jetty-anno unce/msg00092.html

CVE-2011-3428------------------Buffer overflow in QuickTime before 7.7.1 for Windows allows remote attackers to execute ar-bitrary code.

V3: 9.8 CRITICAL V2: 7.2 HIGH

Published: April 24, 2017; 03:59:00 PM -04:00

Özet:Özet: QuickTime'ın RLE dosyalarının işlenmesi sırasında buffer overflow zafiyetine rastlanmıştır. Kötü amaçlı hazırlanmış bir film dosyasını görüntülemek, beklenmedik bir şekilde uygu-lama sonlandırılmasına veya rasgele kod çalıştırılmasına sebep olabilmektedir. Bu zafiyet herhangibir Mac OS X işletim sistemlerini etkile-memektedir.

Detaylı bilgi için: https://support.apple.com/en-us/HT5016

KoçSistem’den Resilient YatırımıSaldırıSaldırı tiplerinin karmaşıklaştığı, saldırganların ise artık organize çalışmaya başladıkları siber dünyada salt insan gücünden faydalanıp mü- cadele etmeye çalışmak imkansız hale geliyor. Sürekli gelişen saldırı türleri, güvenlik dünyasını olayları ilişkilendirmenin de ötesinde artık iş gruplarını ilişkilendirme ve süreçleri otomatize etmeetmeye mecbur bırakıyor. Pek çoğumuz saldırı önlemeyi ve önlenememiş saldırıların tespitini insan yönetimli bilgisayar sistemlerine bırakmış durumdayız. Peki olay yönetimi ve müda-halesinde ne durumdayız?

Olay yönetimi süreçlerini otomatik olarak yürüt-ebilen ve otomatik aksiyon alınabilir hale sokan, kendi deyimiyle güvenliği “orkestre” eden Resil-ient, olay yönetimi ve müdahalesini bir servis olarak değil ürün olarak sunuyor. Resilient ile çok karmaşık süreçleri dahi rahatlıkla düzenleye-bilir, ilgili kişi, grup veya teknolojilere görev atayabilirsiniz. Bunun yanında süreçlerinizi regü- lasyon, yasa ve standartlara göre tasarlayabileceğiniz bir kütüphaneyi de içerisinde barındıran Resilient, hali hazırda 10 farklı siber istihbarat servisi ve çoğu siber olay türü için hazır aksiyon planları sunuyor. SIEM ürünü bağımsız bir şekilde siber olaylarınızı kkoordine edeceğiniz, ekiplerin ve teknolojilerin düzen içerisinde çalışmasını sağlayabileceğiniz platform, tüm güvenlik altyapınızı tek platform üzerinde yönetmenizi, entegre edilmiş platform-lar ile SLA sürelerini kısaltarak hem daha güvenli hem de daha verimli bir güvenlik süreci işletmenize yardımcı oluyor

Resilient’ı değerli yapan bir diğer etmen ise mükemmel tasarlanmış API’ si ve sınırsız entegrasyon yeteneği. Veri tabanını dilediğiniz şekilde konfigüre etme imkanı da esnekliği arttıran bir diğer değer. Süreçlerinizde kullan-mak üzere istediğiniz gibi veri alanları oluşturabilir, hepsine API üzerinden erişim sağlayabilisağlayabilirsiniz. Entegrasyon konusunda ise verdiği Java, Python ve C# desteği ile “işine ya-rayacaksa ne yaparsan yap” diyen mükemmel bir yazılım altyapısına sahip. Bu altyapıyı kullanarak güvenlik duvarı üzerinde bloklama, LDAP sorguları, antivirüs taraması talepleri, cihazı ağdan ayırma, yeni siber istihbarat servisleri ekleme, başka bir çağrı masası ile entegrasyon gibi akla gelebilecek her türlü aksiyonu kodla- yabilir, aksiyonları e-posta onayına bağlı hale getirebilir ve aksiyon sonuçlarını sürecinizin içerisine dahil edip çeşitli varyasyonları tamamıyla otomatize edebilirsiniz. Ayrıca gelişmiş raporlama motoruyla istediğiniz verileri gögörselize edebilir, bu sayede operasyonla ilgili bir çok bilgiyi de tek ekrandan takip edebilir-siniz.

Resilient, IBM güvenlik platformlarıyla entegre çalışabiliyor.

Son olarak güncelden örnekleme ile WCry2 salgını ile ilgili Resilient ile birlikte süreci nasıl işletebileceğimize göz atalım:

-SIEM ürününüzde oluşan alarmı kategorisine veya zafiyet türüne göre Resilient üzerine oto-matik eskale edebilirsiniz.-Önceden oluşturmuş olduğunuz plan dahil-inde, saldırı ile ilgili IOC’ leri (IP adresi, domain, hash vb.) SIEM ürününüzden otomatik olarak to-playabilir ve bunların siber istihbarat servisinde otomatik sorgulamasını gerçekleştirebilirsiniz.-Bu IOC’ lerden etkilenmiş veya etkilenebilecek olan cihazların listesini yama yönetimi uygulamanızı kullanarak otomatik olarak alabil-irsiniz.-Enfeksiyona uğramış cihazları ağdan ayırabilir veya cihazın yöneticisine durumla ilgili bilgile-ndirmede bulunabilir, enfeksiyona uğramayan cihazlara otomatik yama uygulayabilirsiniz.-Topladığınız IOC’ ler ile güvenlik duvarları, IPS’ ler, e-posta güvenlik cihazları, antivirüs uygulamaları üzerinde otomatik aksiyon alabilir-siniz.-Tüm bu işlemler ile ilgili anlık raporları inceley-erek manuel aksiyon kararları da çıkartabilirsiniz.

Yukarıdaki örnekte verildiği gibi Resilient ile hızlı ve etkili süreçler işletebilir, insan deneyimi ve bilgisini bilgisayar yetenekleri ile birleştirerek verimliliği maksimum seviyelere çıkarabilirsiniz.

Resilient kullanıcılarına fonksiyonel bir olay yönetimi platformu sunuyor.