Caller ID Spoofing Nedir?

Günümüzün dijital iş dünyasında, kurumsal siber güvenlik stratejik bir öncelik haline gelmiştir. DrDisk Lab olarak, ESET Gold Partner statümüz ve 10+ yıllık sektör deneyimimizle, işletmelere kapsamlı ve entegre kurumsal siber güvenlik çözümleri sunuyoruz. ESET Protect Elite platformumuz, yapay zeka destekli tehdit algılama, gelişmiş siber güvenlik önleme mekanizmaları ve merkezi güvenlik yönetim özellikleriyle kurumsal dijital varlıklarınızı uçtan uca korur. ESET'in 30 yılı aşkın global siber güvenlik deneyimi ve DrDisk Lab'ın yerel uzmanlığıyla, işletmenizin dijital varlıklarını en üst düzeyde güvence altına alır.

Siber tehditlerin sürekli evrim geçirdiği günümüz iş ortamında, güvenilir bir kurumsal siber güvenlik stratejisi kritik önem taşımaktadır. Türkiye'de artan fidye yazılımları, veri ihlalleri ve hedefli saldırılar karşısında işletmeler, proaktif ve bütünleşik güvenlik çözümlerine ihtiyaç duymaktadır. ESET Protect Elite kurumsal güvenlik platformu, yapay zeka destekli tehdit algılama teknolojisi, merkezi güvenlik yönetim konsolu ve kapsamlı uçtan uca koruma özellikleriyle bu ihtiyaçları eksiksiz karşılamak için tasarlanmıştır.

Bu dokümanda, ESET Protect Elite kurumsal güvenlik platformunun sunduğu siber güvenlik avantajlarını, teknik özellikleri, tehdit yönetim kapasitesini ve DrDisk Lab'ın kurumsal müşterilere sağladığı profesyonel siber güvenlik hizmetlerini detaylı olarak inceleyeceğiz. Ayrıca, platform seçiminizdeki yatırım getirisini artıracak sonuçları da analiz edeceğiz.

Günümüzde her kurum, büyüklüğü ne olursa olsun, siber saldırıların hedefi olabilmektedir. ESET Protect Elite ve DrDisk Lab, kuruluşunuzun tüm güvenlik ihtiyaçlarını karşılayan, maliyetleri optimize eden ve siber güvenlik stratejinizin uygulanmasını basitleştiren kapsamlı bir çözüm sunmaktadır.

1. ESET Protect Elite'in Temel Avantajları | Kurumsal Siber Güvenlik Çözümünün Üstünlükleri
2. Teknik Altyapı ve Özellikler | ESET Protect Elite'in Kurumsal Güvenlik Teknolojileri
3. Tehdit Yönetimi ve İzleme | Proaktif Siber Güvenlik ve Sürekli Tehdit Kontrolü
4. Yönetim ve Raporlama | Merkezi Güvenlik Yönetimi ve Analiz Araçları
5. DrDisk Lab Hizmet ve Destek Garantisi | ESET Gold Partner Profesyonel Hizmetleri
6. Neden DrDisk Lab? | ESET Gold Partner Avantajları ve Uzmanlık
   • Uzmanlık ve Deneyim
   • Teknoloji Liderliği
   • Müşteri Odaklılık | İşletme İhtiyaçlarına Göre Özelleştirilmiş Siber Güvenlik
   • Çözüm Avantajları | ESET Protect Elite Kurumsal Güvenlik Platformu

ESET Protect Elite, kurumsal siber güvenlik alanında lider bir çözüm platformudur. Modern işletmelerin karşılaştığı siber tehditlere karşı çok katmanlı bir koruma sağlar. Platform, yapay zeka destekli tehdit algılama sistemleri, gelişmiş önleme mekanizmaları ve merkezi yönetim özellikleriyle kurumsal ağınızı uçtan uca korur. ESET'in 30 yılı aşkın global deneyimi ve DrDisk Lab'ın yerel uzmanlığıyla, işletmenizin dijital varlıklarını en üst düzeyde güvence altına alır.

ESET Protect Elite, siber saldırıların yalnızca tespit edilmesi ve durdurulmasının ötesinde, potansiyel tehditleri henüz zarar vermeden önleme yeteneğine sahiptir. Platform, geleneksel imza tabanlı güvenlik çözümlerinin ötesine geçerek, davranışsal analiz, makine öğrenimi ve yapay zeka teknolojilerini kullanır. Bu sayede, daha önce görülmemiş, bir çok sıfırıncı gün (zero-day) saldırılarına karşı bile etkili koruma sağlar.

Özellikle Türkiye'deki işletmelerin karşılaştığı özel tehdit ortamı için optimize edilmiş olan ESET Protect Elite, yerel tehdit aktörlerinin taktiklerini ve tekniklerini anlayarak, hedefli saldırılara karşı güçlü bir savunma hattı oluşturur. Aynı zamanda, yüksek performanslı ve düşük sistem kaynağı kullanımı ile karakterize edilen ESET çözümleri, güvenlikten ödün vermeden iş sürekliliğinizi garantiler.

ESET Protect Elite platformu, sadece teknik özellikleriyle değil, kullanıcı dostu arayüzü ve kolay yönetim özellikleriyle de öne çıkar. Kurulum ve yapılandırma süreçlerinden günlük yönetim görevlerine kadar her aşama, kullanıcı deneyimi ön planda tutularak tasarlanmıştır. Bu sayede, kuruluşunuzdaki BT ekibi, karmaşık güvenlik operasyonlarını minimum eğitim ve çaba ile yönetebilir.

Bu bölümde, ESET Protect Elite'in üç temel avantajını detaylı olarak inceleyeceğiz:

• Gelişmiş Tehdit Algılama ve Önleme: Yapay zeka destekli proaktif koruma
• Merkezi Yönetim ve Kontrol: Tek noktadan tüm güvenlik operasyonları
• Performans ve Ölçeklenebilirlik: Yüksek performanslı ve esnek çözümler

ESET Protect Elite'in güçlü güvenlik özellikleri, modern siber tehditlere karşı çok katmanlı bir koruma sağlar:

Yapay Zeka ve Makine Öğrenimi

ESET'in gelişmiş yapay zeka ve makine öğrenimi tabanlı siber güvenlik sistemleri, geleneksel tehdit tespit yöntemlerinin ötesine geçer. Derin öğrenme modelleri ve davranışsal analiz motorları, bilinmeyen siber tehditleri bile yüksek doğrulukla tespit eder.

• Derin öğrenme modelleri: Karmaşık siber tehdit kalıplarının tespiti
• Davranışsal analiz motorları: Şüpheli sistem aktivite tespiti
• Anomali tespiti: Normal dışı güvenlik davranışlarının belirlenmesi
• Otomatik tehdit sınıflandırma: Siber tehditlerin önceliklendirilmesi

Sandbox Teknolojisi

ESET LiveGuard Advanced sandbox teknolojisi, şüpheli dosya ve süreçleri izole bir ortamda analiz eder. Bu güvenli test ortamında, potansiyel tehditlerin davranışları detaylı olarak incelenir ve zararlı aktiviteler tespit edilir.

• İzole test ortamı: Güvenli analiz ortamı
• Dinamik dosya analizi: Derinlemesine davranış analizi
• Şüpheli davranış tespiti: Tehdit göstergelerinin belirlenmesi
• Otomatik raporlama: Detaylı analiz raporları

Gerçek Zamanlı İzleme

7/24 aktif izleme sistemi, tüm güvenlik olaylarını gerçek zamanlı olarak takip eder. Olay korelasyonu ve tehdit istihbaratı entegrasyonu ile potansiyel tehditler erken aşamada tespit edilir.

• 7/24 sistem monitörleme: Kesintisiz güvenlik izleme
• Olay korelasyonu: İlişkili tehditlerin tespiti
• Tehdit istihbaratı entegrasyonu: Global tehdit veritabanı
• Erken uyarı sistemi: Proaktif tehdit bildirimi

Otomatik Tehdit Yanıtı

Tespit edilen tehditlere karşı otomatik müdahale mekanizmaları devreye girer. Zararlı yazılımlar anında izole edilir, sistem geri yükleme noktaları kullanılır ve detaylı olay analizi gerçekleştirilir.

• Anlık tehdit engelleme: Otomatik müdahale
• Otomatik karantina: Tehdit izolasyonu
• Sistem geri yükleme: Güvenli duruma dönüş
• Olay sonrası analiz: Detaylı inceleme

Proaktif Güvenlik

Güvenlik açıklarını henüz istismar edilmeden önce tespit eden ve kapatan proaktif güvenlik sistemi, saldırı yüzeyini minimize eder. Düzenli güvenlik taramaları ve sistem sıkılaştırma ile koruma sürekli güçlendirilir.

• Güvenlik açığı taraması: Zayıf noktaların tespiti
• Yama yönetimi: Güncel güvenlik yamaları
• Güvenlik duvarı optimizasyonu: Gelişmiş ağ koruması
• Sistem sıkılaştırma: Güvenlik yapılandırması

Sürekli Koruma

Tehdit veritabanı ve güvenlik motorları sürekli güncellenir, yeni tehdit türlerine karşı koruma sağlanır. Güvenlik politikaları otomatik olarak uygulanır ve sistem her zaman en güncel koruma seviyesinde tutulur.

• Gerçek zamanlı güncellemeler: Anlık koruma güncellemeleri
• Tehdit veritabanı senkronizasyonu: Güncel tehdit bilgisi
• Otomatik imza güncelleme: En son tehdit imzaları
• Güvenlik politikası uygulaması: Sürekli politika kontrolü

Gelişmiş Tehdit Önleme

ESET LiveGuard, şüpheli dosya ve süreçleri izole bir ortamda analiz ederek zararlı yazılımları tespit eder ve engeller. Host-based IPS sistemi, ağ seviyesindeki saldırıları gerçek zamanlı olarak engeller. Exploit Blocker, sıfır gün (Zero-Day) açıklarını istismar eden saldırıları tespit eder ve bloklar. Ransomware Shield ise özel algoritmaları ile fidye yazılımı aktivitelerini tespit edip engeller.

• ESET LiveGuard ile gelişmiş zararlı yazılım analizi: Şüpheli dosyaları güvenli ortamda test eder
• Host-based Intrusion Prevention System (HIPS): Sistem seviyesinde saldırıları engeller
• Exploit Blocker ile sıfır gün açıklarına karşı koruma: Bilinmeyen güvenlik açıklarını istismar eden saldırıları engeller
• Ransomware Shield ile fidye yazılımlarına karşı özel koruma: Dosya şifreleme girişimlerini anında tespit edip durdurur

Proaktif Tehdit Yönetimi

Tehdit yönetimi sistemi, tespit edilen tehditlere otomatik olarak müdahale eder. Şüpheli dosya ve süreçler anında izole edilir, sistem geri yükleme noktaları otomatik oluşturulur ve tüm olaylar detaylı olarak raporlanır.

• Otomatik tehdit izolasyonu ve karantina: Zararlı yazılımları anında izole eder
• Şüpheli dosya ve süreçlerin davranış analizi: Potansiyel tehditleri detaylı inceler
• Sistem geri yükleme noktaları ve yedekleme: Güvenli duruma dönüş imkanı sağlar
• Olay sonrası adli analiz ve raporlama: Detaylı tehdit analizi ve raporlama sunar

ESET Protect Elite'in merkezi yönetim konsolu, tüm güvenlik operasyonlarınızı tek bir noktadan yönetmenizi sağlar:

Yönetim Konsolu

ESET Protect Elite'in web tabanlı merkezi yönetim konsolu, tüm güvenlik operasyonlarınızı tek bir noktadan yönetmenizi sağlar. Rol tabanlı erişim kontrolü ile her kullanıcıya görev ve sorumluluklarına göre özel yetkiler tanımlayabilirsiniz.

• Web tabanlı merkezi yönetim: Her yerden güvenli erişim
• Rol tabanlı erişim kontrolü: Detaylı yetkilendirme sistemi
• Çoklu dil desteği: Yerelleştirilmiş arayüz
• Özelleştirilebilir dashboard'lar: Kişiselleştirilmiş görünüm

Politika Yönetimi

Merkezi politika yönetimi sistemi, tüm güvenlik yapılandırmalarını organizasyon genelinde standartlaştırmanızı sağlar. Grup bazlı politika ataması ile farklı departman ve kullanıcı grupları için özel güvenlik kuralları tanımlayabilirsiniz.

• Merkezi politika dağıtımı: Tek noktadan politika kontrolü
• Grup bazlı politika ataması: Departman bazlı özelleştirme
• Politika şablonları: Hazır ve özelleştirilebilir şablonlar
• Uyumluluk izleme: Politika uyum raporları

Envanter Yönetimi

Otomatik varlık keşfi özelliği ile ağınızdaki tüm cihazları tespit eder ve sürekli izler. Donanım ve yazılım envanterini otomatik olarak günceller, lisans kullanımını takip eder.

• Otomatik varlık keşfi: Ağ cihazlarının otomatik tespiti
• Donanım ve yazılım envanteri: Detaylı sistem bilgileri
• Lisans takibi: Yazılım lisans yönetimi
• Değişiklik yönetimi: Sistem değişikliklerinin izlenmesi

Uzaktan Yönetim

ESET Protect Elite'in uzaktan yönetim özellikleri, dağınık BT altyapınızı tek bir noktadan yönetmenizi sağlar. Güvenli uzaktan erişim protokolleri ile tüm endpoint'lere güvenli bir şekilde bağlanabilir, sorunları çözebilir ve güncellemeleri yönetebilirsiniz.

• Güvenli uzaktan erişim ve kontrol: SSL/TLS şifreli bağlantı ile güvenli yönetim
• Mobil cihaz yönetimi (MDM): iOS ve Android cihazlar için kapsamlı güvenlik
• Uzaktan kurulum ve güncelleme: Otomatik yazılım dağıtımı ve güncelleme
• Acil durum müdahale araçları: Hızlı sorun giderme ve müdahale imkanı

ESET Protect Elite'in teknik altyapısı, modern siber güvenlik tehditleriyle mücadele için özel olarak tasarlanmıştır. Platform, endpoint güvenliğinden ağ korumasına, veri güvenliğinden tehdit önlemeye kadar tüm kritik güvenlik ihtiyaçlarını karşılar. En son teknolojiler ve güvenlik standartlarıyla uyumlu olan bu altyapı, işletmenizin dijital varlıklarını kapsamlı bir şekilde korur.

Modern siber güvenlik ekosistemi, her geçen gün daha karmaşık ve sofistike hale gelen tehditlerle karşı karşıyadır. ESET Protect Elite, bu zorluklara karşı koymak için tasarlanmış, en yeni nesil güvenlik teknolojilerini içeren kapsamlı bir platform sunar. Güvenlik duvarından zararlı yazılım korumasına, veri şifrelemeden kimlik doğrulamaya kadar tüm kritik güvenlik işlevlerini tek bir entegre çözümde birleştirir.

ESET Protect Elite'in teknik altyapısının en önemli özelliklerinden biri, modüler mimarisidir. Bu mimari, işletmenizin mevcut ve gelecekteki güvenlik ihtiyaçlarına göre çözümün özelleştirilebilmesini sağlar. Mevcut BT altyapınıza kolayca entegre olan platform, farklı işletim sistemleri, ağ cihazları ve bulut ortamlarıyla sorunsuz çalışır. Windows, macOS, Linux işletim sistemleri ile birlikte, sanal makineler ve mobil cihazlar için de kapsamlı koruma sunar.

ESET Protect Elite, yüksek performanslı ve düşük sistem kaynak kullanımı ile dikkat çeker. Güvenlik çözümleri genellikle sistem performansını olumsuz etkileyebilir, ancak ESET'in optimize edilmiş mimarisi, minimum sistem kaynağı kullanarak maksimum koruma sağlar. Bu sayede, kurumsal sistemlerinizin performansından ödün vermeden en üst düzey güvenliği elde edersiniz.

Bu bölümde inceleyeceğimiz üç temel teknik bileşen:

• Endpoint Güvenliği: Her cihaz için çok katmanlı koruma
• Ağ Güvenliği: Kurumsal ağınız için gelişmiş koruma sistemleri
• Veri Güvenliği: Hassas verileriniz için çok yönlü güvenlik çözümleri

Kapsamlı endpoint koruma çözümü, her cihazı ayrı bir güvenlik katmanı olarak değerlendirir:

Gelişmiş Antivirüs Koruması

ESET'in çok katmanlı antivirüs motoru, geleneksel imza tabanlı taramanın ötesinde, davranışsal analiz ve makine öğrenimi teknolojilerini kullanarak kapsamlı bir koruma sağlar.

• Çok katmanlı tarama motorları
• Gerçek zamanlı dosya sistemi koruması
• Bellek ve süreç analizi
• Heuristik algılama

Firewall ve Ağ Güvenliği

Gelişmiş güvenlik duvarı sistemi, ağ trafiğini detaylı olarak analiz eder ve potansiyel tehditleri engeller.

• Durum denetimli paket filtreleme
• Uygulama tabanlı filtreleme
• Botnet koruması
• Ağ saldırı koruması (IDS/IPS)

Uygulama ve Cihaz Kontrolü

Kapsamlı uygulama ve cihaz kontrol sistemi, kurumsal güvenlik politikalarınızı etkin bir şekilde uygulamanızı sağlar.

• Beyaz/kara liste yönetimi
• Uygulama davranış analizi
• USB cihaz kontrolü
• Çıkarılabilir medya politikaları

ESET Protect Elite'in ağ güvenliği çözümleri, kurumsal ağınızı her seviyede korur:

Gelişmiş Ağ Koruması

ESET Protect Elite'in ağ güvenliği çözümleri, modern siber tehditlere karşı çok katmanlı bir savunma hattı oluşturur. Yapay zeka destekli IPS/IDS sistemleri, ağ trafiğini gerçek zamanlı olarak analiz eder ve potansiyel saldırıları tespit eder.

• Yapay zeka destekli IPS/IDS sistemleri: Gelişmiş saldırı tespit ve önleme
• Zero-trust ağ güvenliği mimarisi: Sürekli kimlik doğrulama ve yetkilendirme
• Gelişmiş tehdit algılama ve önleme: Ağ tabanlı tehditlere karşı proaktif koruma
• Ağ segmentasyonu ve izolasyonu: Güvenlik bölgeleri ve erişim kontrolü

Şifreli Trafik Analizi

SSL/TLS şifreli trafiği güvenli bir şekilde analiz ederek, şifreleme katmanı altında gizlenen tehditleri tespit eder.

• SSL/TLS derin paket analizi: Şifreli trafikte tehdit tespiti
• Man-in-the-middle saldırı koruması: Şifreleme bütünlüğü kontrolü
• Şifreli zararlı yazılım tespiti: Gizli tehditlerin tespiti
• Sertifika yönetimi ve doğrulama: SSL/TLS sertifika kontrolü

Veri Güvenliği Çözümleri

ESET Protect Elite'in veri güvenliği çözümleri, hassas kurumsal verilerinizi korumak için şifreleme, DLP ve yedekleme gibi kapsamlı araçlar sunar.

• Tam disk şifreleme (FDE) ve dosya düzeyinde şifreleme
• Veri Sızıntı Önleme (DLP) teknolojileri
• Otomatik yedekleme ve hızlı veri kurtarma çözümleri
• Şifreleme politika yönetimi

Modern siber güvenlik stratejisinin en kritik bileşenlerinden biri, etkili tehdit yönetimi ve sürekli izlemedir. ESET Protect Elite'in tehdit yönetimi sistemi, tehditleri proaktif olarak tespit eder, analiz eder ve önler. Gelişmiş izleme özellikleri sayesinde, güvenlik ekipleriniz potansiyel tehditleri gerçek zamanlı olarak takip edebilir ve hızlı müdahale edebilir.

Günümüz siber tehdit ortamında, reaktif güvenlik yaklaşımları artık yeterli değildir. ESET Protect Elite, bu gerçekten yola çıkarak, potansiyel tehditleri henüz gerçekleşmeden önce tespit edip etkisiz hale getiren proaktif bir tehdit yönetim sistemi sunar. Platforma entegre edilen yapay zeka ve makine öğrenimi teknolojileri, normal sistem davranışlarını öğrenerek anormallikleri tespit eder ve potansiyel tehditleri işaretler.

Etkili bir siber güvenlik stratejisi için güçlü yönetim araçları ve detaylı raporlama özellikleri şarttır. ESET Protect Elite'in yönetim ve raporlama sistemi, güvenlik operasyonlarınızı tek bir noktadan yönetmenizi ve tüm güvenlik metriklerinizi detaylı olarak izlemenizi sağlar. Bu sayede, kurumsal güvenlik politikalarınızı etkin bir şekilde uygulayabilir ve sürekli iyileştirme için gerekli içgörüleri elde edebilirsiniz.

Bu bölümde inceleyeceğimiz iki temel bileşen:

• Merkezi Yönetim: Tek konsoldan tüm güvenlik operasyonları
• Raporlama ve Analiz: Kapsamlı güvenlik metrikleri ve analizler

Tek noktadan tüm güvenlik operasyonlarının kontrolü:

Yönetim Konsolu

ESET Protect Elite'in web tabanlı merkezi yönetim konsolu, tüm güvenlik operasyonlarınızı tek bir noktadan yönetmenizi sağlar. Rol tabanlı erişim kontrolü ile her kullanıcıya görev ve sorumluluklarına göre özel yetkiler tanımlayabilirsiniz.

• Web tabanlı merkezi yönetim: Her yerden güvenli erişim
• Rol tabanlı erişim kontrolü: Detaylı yetkilendirme sistemi
• Çoklu dil desteği: Yerelleştirilmiş arayüz
• Özelleştirilebilir dashboard'lar: Kişiselleştirilmiş görünüm

Politika Yönetimi

Merkezi politika yönetimi sistemi, tüm güvenlik yapılandırmalarını organizasyon genelinde standartlaştırmanızı sağlar. Grup bazlı politika ataması ile farklı departman ve kullanıcı grupları için özel güvenlik kuralları tanımlayabilirsiniz.

• Merkezi politika dağıtımı: Tek noktadan politika kontrolü
• Grup bazlı politika ataması: Departman bazlı özelleştirme
• Politika şablonları: Hazır ve özelleştirilebilir şablonlar
• Uyumluluk izleme: Politika uyum raporları

Envanter Yönetimi

Otomatik varlık keşfi özelliği ile ağınızdaki tüm cihazları tespit eder ve sürekli izler. Donanım ve yazılım envanterini otomatik olarak günceller, lisans kullanımını takip eder.

• Otomatik varlık keşfi: Ağ cihazlarının otomatik tespiti
• Donanım ve yazılım envanteri: Detaylı sistem bilgileri
• Lisans takibi: Yazılım lisans yönetimi
• Değişiklik yönetimi: Sistem değişikliklerinin izlenmesi

Güvenlik Raporları

Kapsamlı raporlama araçları ile güvenlik durumunuzu detaylı olarak analiz edebilirsiniz. Tehdit analiz raporları, uyumluluk raporları ve trend analizleri ile güvenlik stratejinizi sürekli iyileştirebilirsiniz.

• Tehdit analiz raporları: Detaylı tehdit istatistikleri
• Uyumluluk raporları: Politika uyum durumu
• Trend analizi: Uzun vadeli güvenlik trendleri
• Özelleştirilebilir raporlar: İhtiyaca özel rapor formatları

Performans Metrikleri

Sistem performansını sürekli izleyen araçlar ile kaynak kullanımını optimize edebilir, darboğazları tespit edebilir ve kapasite planlaması yapabilirsiniz.

• Sistem performans raporları: Detaylı performans analizi
• Kaynak kullanım analizi: CPU, RAM, disk kullanımı
• SLA raporları: Hizmet seviyesi takibi
• Kapasite planlama: Gelecek ihtiyaç tahminleri

İş Zekası

Gelişmiş veri görselleştirme ve analitik araçları ile güvenlik verilerinizi anlamlı içgörülere dönüştürebilirsiniz. Trend analizi ve tahmine dayalı analitik ile proaktif güvenlik kararları alabilirsiniz.

• Veri görselleştirme: İnteraktif dashboard'lar
• Trend analizi: Güvenlik trendlerinin analizi
• Tahmine dayalı analitik: Gelecekteki olası tehditlerin öngörülmesi
• Risk değerlendirme: Kapsamlı risk analizi

Kapsamlı güvenlik görünürlüğü ve analitik yetenekler:

Tehdit İstihbaratı Raporları

ESET Protect Elite, global tehdit verilerini analiz ederek, işletmenize yönelik potansiyel tehditleri önceden tespit etmenize yardımcı olur. Sektöre özel tehdit istihbaratı raporları, hedefli saldırı kampanyaları ve yeni ortaya çıkan tehdit trendleri hakkında değerli bilgiler sunar.

• Sektöre özel tehdit analizi: İş kolunuza yönelik hedefli saldırılar hakkında detaylı bilgi
• Tehdit aktörü profilleme: Aktif tehdit gruplarının taktikleri ve teknikleri
• Saldırı vektörü analizi: En sık kullanılan saldırı yöntemleri ve önleme stratejileri
• Proaktif tehdit bildirimleri: Gelişmekte olan tehditler hakkında erken uyarılar

Uyumluluk Raporlaması

Regülasyonlara ve güvenlik standartlarına uyum, modern işletmeler için kritik bir önceliktir. ESET Protect Elite, KVKK, GDPR, ISO 27001 gibi standartlara uyum durumunuzu izlemenize ve raporlamanıza olanak tanır.

• Düzenleyici uyum raporları: KVKK, GDPR, PCI DSS, ISO 27001 uyum göstergeleri
• Politika uyum denetimi: Kurumsal güvenlik politikalarına bağlılık ölçümü
• Zafiyet yönetimi takibi: Açık güvenlik zafiyetleri ve yama durumu izleme
• Düzenli uyum değerlendirmeleri: Periyodik uyum kontrol raporları

Güvenlik Olay Analizi

Tespit edilen güvenlik olaylarını detaylı olarak analiz eden sistem, olayların kök nedenlerini belirlemenize, etkilerini değerlendirmenize ve gelecekteki olayları önlemenize yardımcı olur.

• Olay zinciri analizi: Güvenlik olaylarının başlangıcından sonuna kadar izlenmesi
• Kök neden analizi: Olayların temel nedenlerinin tespit edilmesi
• Etki değerlendirmesi: Olayların sistemler ve veriler üzerindeki etkisinin analizi
• Adli bilişim raporları: Detaylı adli analiz ve delil toplama

Özelleştirilebilir Dashboard

ESET Protect Elite'in özelleştirilebilir dashboard'ları, güvenlik metriklerinizi görselleştirmenizi ve kuruluşunuzun güvenlik durumunu tek bakışta değerlendirmenizi sağlar.

• Rol bazlı dashboard'lar: Farklı kullanıcı grupları için özelleştirilmiş görünümler
• Gerçek zamanlı güvenlik metrikleri: Anlık tehdit izleme ve sistem durumu
• Tıklanabilir detay pencereleri: Hızlı derinlemesine analiz imkanı
• Özelleştirilebilir rapor görünümleri: İhtiyaçlarınıza göre şekillendirilebilir raporlar

Otomatik Raporlama

Zamanlanmış ve otomatik raporlar, güvenlik durumunuzu düzenli olarak gözden geçirmenizi ve paydaşlara raporlamanızı kolaylaştırır.

• Zamanlanmış rapor dağıtımı: Otomatik periyodik rapor oluşturma ve gönderme
• Çoklu format desteği: PDF, HTML, CSV gibi farklı format seçenekleri
• Hedeflenmiş rapor dağıtımı: Farklı paydaş grupları için özelleştirilmiş içerik
• Arşivleme ve rapor geçmişi: Geçmiş raporlara kolay erişim ve karşılaştırma

Trend Analizi ve Tahminleme

Uzun vadeli güvenlik trendlerini analiz eden ve gelecekteki tehditleri tahmin etmenize yardımcı olan gelişmiş analitik araçlar, proaktif güvenlik stratejisi geliştirmenize olanak tanır.

• Tehdit trendi görselleştirmesi: Zaman içindeki tehdit evriminin analizi
• Anomali tespiti: Normal dışı aktivite kalıplarının belirlenmesi
• Tahmine dayalı analitik: Gelecekteki olası tehditlerin öngörülmesi
• Risk tahmin modelleri: Potansiyel risk alanlarının önceden belirlenmesi

Güçlü bir siber güvenlik çözümü, arkasındaki profesyonel destek ve hizmet garantisiyle anlam kazanır. DrDisk Lab olarak, ESET Protect Elite çözümümüzü kapsamlı bir hizmet ve destek paketiyle sunuyoruz. Bu paket, kurulum ve yapılandırma süreçlerinden sürekli optimizasyona, acil durum desteğinden proaktif izlemeye kadar tüm ihtiyaçlarınızı karşılar.

Bu bölümde ele alacağımız üç temel hizmet bileşeni:

• Profesyonel Hizmetler: Uçtan uca kurumsal destek
• Müşteri Taahhütleri: Güvenilir hizmet garantisi
• SLA ve Performans Garantisi: Net ve ölçülebilir hizmet taahhütleri

Uçtan uca kurumsal hizmet portföyü:

Kurulum ve Yapılandırma

DrDisk Lab uzman ekibi, ESET Protect Elite'in kurumsal ortamınıza sorunsuz entegrasyonunu sağlar. Proje planlama aşamasından başlayarak, mevcut BT altyapınızın detaylı analizi, özel ihtiyaçlarınızın belirlenmesi ve optimum güvenlik mimarisinin tasarlanması süreçlerini yönetiriz.

• Proje planlama ve tasarım: Kapsamlı ihtiyaç analizi ve özelleştirilmiş güvenlik planlaması
• Sistem entegrasyonu: Mevcut BT altyapınızla sorunsuz entegrasyon ve uyumluluk
• Özelleştirilmiş yapılandırma: İşletmenizin spesifik ihtiyaçlarına göre sistem optimizasyonu
• Kullanıcı eğitimi: Teknik ekip ve son kullanıcılar için kapsamlı eğitim programları

Sistem Optimizasyonu

Kurulumun ardından, sistemin optimum performansla çalışmasını sağlamak için düzenli optimizasyon hizmetleri sunuyoruz. Performans analizi, kaynak kullanımı optimizasyonu ve güvenlik sıkılaştırma çalışmalarıyla sistemin sürekli iyileştirilmesini garanti ediyoruz.

• Performans analizi: Düzenli sistem performans değerlendirmeleri ve darboğaz tespiti
• Kaynak optimizasyonu: CPU, bellek ve ağ kullanımının optimize edilmesi
• Güvenlik sıkılaştırma: En güncel güvenlik standartlarına göre sistem güçlendirme
• Sürekli iyileştirme: Proaktif sistem iyileştirme ve güncelleme planları

Güvenlik Danışmanlığı

DrDisk Lab'ın uzman güvenlik danışmanları, işletmenizin genel siber güvenlik stratejisinin geliştirilmesi ve uygulanması konusunda destek sağlar. Risk değerlendirmesi, güvenlik politikalarının oluşturulması ve uyumluluk gereksinimlerinin karşılanması gibi kritik alanlarda uzmanlık sunuyoruz.

• Risk değerlendirmesi: Kapsamlı siber risk analizi ve önceliklendirme
• Güvenlik politikası geliştirme: Kurumsal güvenlik politikaları ve prosedürleri oluşturma
• Uyumluluk denetimi: Sektörel düzenlemeler ve standartlara uygunluk kontrolü (KVKK, ISO 27001, vb.)
• Güvenlik eğitimleri: Yönetici, BT ekibi ve son kullanıcılar için özelleştirilmiş eğitim programları

Yönetilen Güvenlik Hizmetleri

İşletmenizin siber güvenlik operasyonlarını kısmen veya tamamen dışarıdan yönetilmesini sağlayan hizmetler sunuyoruz. Bu hizmet modeli, dahili BT kaynaklarınızı stratejik projelerinize odaklamanızı sağlarken, güvenlik operasyonlarınızın uzman bir ekip tarafından 7/24 yönetilmesini garanti eder.

• SOC hizmetleri: 7/24 Güvenlik Operasyon Merkezi izleme ve müdahale
• Tehdit avı: Proaktif tehdit tespit ve analiz hizmetleri
• Güvenlik olay yönetimi: Kapsamlı güvenlik olayı tespit ve müdahale
• Düzenli güvenlik değerlendirmeleri: Periyodik zafiyet taramaları ve penetrasyon testleri

Güvenilir hizmet ve destek garantisi:

• 7/24 uzman destek: Kesintisiz teknik destek hizmeti
• Çok dilli destek ekibi: Türkçe ve İngilizce dillerinde uzman yardımı
• Öncelikli müdahale: Kurumsal müşterilerimize özel öncelikli çözüm
• Yerinde destek seçeneği: Kritik durumlarda uzman ekibimiz lokasyonunuza gelir

Proaktif Hizmetler

Sorunlar ortaya çıkmadan önce tespit edilmesi ve çözülmesi, başarılı bir siber güvenlik stratejisinin temelidir. Proaktif hizmetlerimiz, sistemlerinizin sağlığını sürekli izler, performans optimizasyonu sağlar ve potansiyel güvenlik açıklarını önceden tespit eder.

• Sistem sağlığı izleme: 7/24 proaktif sistem izleme ve uyarı mekanizmaları
• Düzenli bakım ve kontrol: Planlanmış periyodik bakım ve optimizasyon hizmetleri
• Güvenlik değerlendirmeleri: Düzenli güvenlik denetimi ve zafiyet taraması
• Performans optimizasyonu: Sistem performansını maksimize etmek için sürekli iyileştirme

Acil Durum Desteği

Olası bir siber güvenlik olayı durumunda, hızlı ve etkili müdahale kritik önem taşır. Acil durum destek ekibimiz, kriz durumlarında anında devreye girer, zararı minimize eder ve sistemlerinizi en kısa sürede normal çalışma durumuna döndürür.

• Kriz yönetimi: Siber güvenlik olaylarında kapsamlı kriz yönetimi desteği
• Hızlı müdahale ekibi: Uzman müdahale ekibinin anında mobilizasyonu
• Felaket kurtarma desteği: Veri ve sistem kurtarma operasyonları
• İş sürekliliği planlaması: Kritik iş süreçlerinin kesintisiz devamının sağlanması

DrDisk Lab olarak, kurumsal müşterilerimize aşağıdaki SLA taahhütlerini sunuyoruz:

Sistem Kullanılabilirliği

• %99.9 hizmet sürekliliği garantisi
• Planlı bakım süreleri hariç kesintisiz hizmet
• Yedekli sistem mimarisi
• Otomatik yük dengeleme ve failover mekanizmaları

Müdahale Süreleri

• Kritik olaylar: 15 dakika içinde müdahale
• Yüksek öncelikli olaylar: 30 dakika içinde müdahale
• Orta öncelikli olaylar: 2 saat içinde müdahale
• Düşük öncelikli olaylar: 4 saat içinde müdahale

Çözüm Süreleri

• Kritik olaylar: 4 saat içinde çözüm
• Yüksek öncelikli olaylar: 8 saat içinde çözüm
• Orta öncelikli olaylar: 24 saat içinde çözüm
• Düşük öncelikli olaylar: 48 saat içinde çözüm

Performans Metrikleri

• Gerçek zamanlı sistem performans izleme
• Aylık performans raporları
• Olay yanıt süresi takibi
• SLA uyum raporlaması

DrDisk Lab, ESET'in Türkiye'deki Gold Partner'ı olarak, kurumsal siber güvenlik alanında 10 yılı aşkın deneyime sahiptir. Uzman kadromuz, sürekli gelişen teknoloji altyapımız ve müşteri odaklı yaklaşımımızla, işletmenizin siber güvenlik ihtiyaçları için en uygun çözümleri sunarız. ESET Protect Elite platformunu tercih ettiğinizde, sadece bir güvenlik çözümü değil, güvenilir bir teknoloji ortağı da kazanırsınız.

Bu bölümde inceleyeceğimiz üç temel değer önerimiz:

• Uzmanlık ve Deneyim: 10+ yıllık sektör deneyimi
• Teknoloji Liderliği: Sürekli yenilenen güvenlik çözümleri
• Müşteri Odaklılık: Kişiselleştirilmiş hizmet ve destek

Kurumsal siber güvenliğin güvenilir adresi:

Sektör Deneyimi

DrDisk Lab, siber güvenlik alanında 10 yılı aşkın deneyime sahiptir. Bu süre boyunca, farklı sektörlerde ve ölçeklerde yüzlerce kurumsal müşteriye hizmet verdik, her birinin benzersiz güvenlik ve disaster recovery ihtiyaçlarını başarıyla karşıladık.

• 10+ yıllık kurumsal siber güvenlik deneyimi: Uzun yıllara dayanan sektör tecrübesi
• 300+ kurumsal proje başarısı: Farklı sektörlerde kanıtlanmış başarı hikâyeleri
• Sektöre özel güvenlik çözümleri: Finans, turizm, sağlık, üretim, perakende gibi sektörlere özel uzmanlık
• Karmaşık BT altyapılarında deneyim: Heterojen ve büyük ölçekli BT ortamlarında başarılı uygulama deneyimi

Sertifikalı Uzmanlık

Teknik ekibimiz, sektörün önde gelen siber güvenlik sertifikalarına sahiptir. ESET'in Gold Partner'ı olarak, ürün ailesinde tam yetkinliğe sahibiz ve müşterilerimize en üst düzeyde teknik destek sunabiliyoruz.

• ESET Gold Partner statüsü: En üst düzey iş ortaklığı seviyesi
• Sertifikalı güvenlik uzmanları: CISSP, CEH, CompTIA Security+, CISM sertifikalı ekip
• ESET ürün ailesinde tam yetkinlik: Tüm ESET kurumsal çözümlerinde derin teknik bilgi
• Sürekli eğitim ve sertifikasyon programı: Ekibimiz için düzenli bilgi güncellemesi

Başarılı Proje Geçmişi

Yıllar içinde, çeşitli sektörlerde yüzlerce başarılı siber güvenlik projesi gerçekleştirdik. Bu projeler, basit endpoint korumasından karmaşık SOC (Güvenlik Operasyon Merkezi) kurulumlarına kadar geniş bir yelpazede uzanmaktadır.

• Kanıtlanmış metodoloji: Tekrarlanabilir ve güvenilir proje uygulama yaklaşımı
• Esnek proje yönetimi: Waterfall'dan Agile'a farklı proje yönetim metodolojileri
• Ölçeklenebilir uygulama yaklaşımı: KOBİ'lerden kurumsal şirketlere uyarlanabilir çözümler

DrDisk Lab olarak, siber güvenlik teknolojilerindeki en son gelişmeleri yakından takip ediyor ve müşterilerimize sunduğumuz çözümlere entegre ediyoruz. ESET'in yapay zeka destekli tehdit algılama sistemleri, gelecek nesil endpoint koruması ve gelişmiş tehdit istihbaratı, teknoloji portföyümüzün temelini oluşturuyor.

• Yapay zeka ve makine öğrenimi teknolojileri: Gelişmiş tehdit algılama ve önleme
• Bulut tabanlı güvenlik çözümleri: Modern çalışma ortamları için ölçeklenebilir koruma
• Zero Trust güvenlik mimarisi: Modern siber güvenlik yaklaşımının uygulanması
• EDR ve XDR çözümleri: Kapsamlı tehdit tespit ve müdahale sistemleri

Ar-Ge Yatırımları

Sürekli gelişen siber tehdit ortamında, teknolojik yenilikler kritik öneme sahiptir. DrDisk Lab olarak, gelecek nesil güvenlik çözümlerini geliştirmek için düzenli olarak Ar-Ge yatırımları yapıyoruz.

• Özel tehdit istihbaratı geliştirme: Yerel tehdit ortamına özgü istihbarat sistemleri
• Sektöre özel güvenlik çözümleri: Dikey sektörlere yönelik özelleştirilmiş araçlar
• Otomasyon ve orkestrasyon araçları: Güvenlik operasyonlarını optimize eden teknolojiler
• Akademik işbirlikleri: Üniversiteler ve araştırma kurumlarıyla ortak projeler

Bütünleşik Ekosistem

DrDisk Lab, ESET'in güçlü güvenlik çözümlerini diğer lider teknoloji sağlayıcılarının ürünleriyle entegre ederek, kapsamlı ve bütünleşik bir güvenlik ekosistemi sunar.

• Geniş teknoloji iş ortaklıkları ağı: Lider teknoloji sağlayıcılarıyla stratejik ortaklıklar
• Entegre güvenlik mimarisi: Birbiriyle sorunsuz çalışan güvenlik bileşenleri
• API ve entegrasyon kabiliyetleri: Mevcut BT sistemleriyle kolay entegrasyon
• Tek merkezi yönetim: Tüm güvenlik çözümlerini tek bir konsoldan yönetme imkanı

Sizin ihtiyaçlarınız, bizim önceliğimiz:

Kişiselleştirilmiş Çözümler

DrDisk Lab olarak, her müşterimizin benzersiz ihtiyaçlarını ve zorluklarını anlıyor, bu doğrultuda özelleştirilmiş siber güvenlik çözümleri sunuyoruz. Standart paketler yerine, işletmenizin spesifik gereksinimlerine göre şekillendirilmiş güvenlik stratejileri geliştiriyoruz.

• İhtiyaç analizi ve çözüm tasarımı: Kapsamlı değerlendirme ve özelleştirilmiş planlama
• Sektöre özel güvenlik yaklaşımı: İş kolunuza özgü tehdit modelleme ve risk analizi
• Esnek yapılandırma seçenekleri: İşletmenizin çalışma şekline uyarlanmış güvenlik ayarları
• Büyüme ile uyumlu çözümler: İşletmenizin gelecekteki ihtiyaçlarını karşılayacak esneklik

Proaktif Destek

Müşteri memnuniyeti felsefemizin merkezinde, reaktif değil proaktif bir destek yaklaşımı yer alır. Sorunlar ortaya çıkmadan önce tespit edilmesi ve çözülmesi, başarılı bir siber güvenlik stratejisinin temelidir. Proaktif hizmetlerimiz, sistemlerinizin sağlığını sürekli izler, performans optimizasyonu sağlar ve potansiyel güvenlik açıklarını önceden tespit eder.

• 7/24 proaktif sistem izleme: Sürekli performans ve güvenlik monitörleme
• Düzenli bakım ve kontrol: Planlanmış periyodik bakım ve optimizasyon hizmetleri
• Güvenlik değerlendirmeleri: Düzenli güvenlik denetimi ve zafiyet taraması
• Performans optimizasyonu: Sistem performansını maksimize etmek için sürekli iyileştirme

Uzun Vadeli Ortaklık

DrDisk Lab olarak, müşterilerimizle tek seferlik satış ilişkisi değil, uzun vadeli stratejik ortaklıklar kurmayı hedefliyoruz. Güvenlik ihtiyaçlarınızın zaman içinde gelişimini destekliyor, büyümenize paralel olarak güvenlik stratejinizi güncelliyoruz.

• Stratejik danışmanlık: Uzun vadeli güvenlik yol haritası oluşturma
• Düzenli strateji gözden geçirmeleri: Değişen tehdit ortamına göre güvenlik stratejinizi güncelleme
• Teknoloji geçiş planlaması: Yeni güvenlik teknolojilerine sorunsuz geçiş desteği
• Müşteri sadakat programları: Uzun vadeli müşterilerimize özel avantajlar ve öncelikler

ESET Protect Elite ile rekabetçi üstünlükler:

Her Ölçekte İşletme İçin Çözümler

DrDisk Lab ve ESET Protect Elite, KOBİ'lerden kurumsal işletmelere kadar her ölçekteki organizasyon için optimum güvenlik çözümleri sunar. Ölçeklenebilir mimarisi sayesinde, işletmenizin büyümesine paralel olarak güvenlik altyapınız da sorunsuzca büyüyebilir.

• KOBİ'ler için optimize edilmiş paketler: Küçük ve orta ölçekli işletmeler için uygun maliyetli çözümler
• Kurumsal ölçekte güvenlik: Büyük ve dağıtık organizasyonlar için kapsamlı güvenlik mimarisi
• Sektöre özel çözüm paketleri: Finans, sağlık, üretim gibi sektörlere özelleştirilmiş güvenlik stratejileri
• Hibrit çalışma ortamı desteği: Ofis ve uzaktan çalışma senaryolarına uygun güvenlik çözümleri

%100 Müşteri Memnuniyeti Garantisi

Müşteri memnuniyeti en büyük önceliğimizdir. Her projemizde %100 müşteri memnuniyeti hedefliyor ve bu hedefe ulaşmak için tüm kaynaklarımızı seferber ediyoruz. Memnuniyetiniz tam olmadığı sürece projemizi tamamlanmış saymıyoruz.

• Performans kriterleri üzerinde anlaşma: Net ve ölçülebilir başarı göstergeleri
• Kurulum sonrası kapsamlı değerlendirme: Projenin tüm aşamalarında müşteri memnuniyeti ölçümü
• Sorunsuz geçiş garantisi: Mevcut güvenlik çözümünüzden kesintisiz geçiş taahhüdü
• Müşteri Başarı Programı: Uzun vadeli memnuniyeti sağlamak için sürekli izleme ve destek

Esnek Fiyatlandırma Seçenekleri

DrDisk Lab olarak, farklı bütçe ve ihtiyaçlara uygun esnek fiyatlandırma seçenekleri sunuyoruz. Abonelik bazlı modellerden perpetual lisanslara, işletme içi çözümlerden bulut tabanlı hizmetlere kadar çeşitli seçenekler arasından seçim yapabilirsiniz.

• Abonelik bazlı modeller: Aylık veya yıllık ödeme seçenekleri ile işletme sermayesini koruma
• Perpetual lisanslama: Tek seferlik ödeme ile uzun vadeli sahiplik
• Operasyonel bütçe modelleri: CapEx yerine OpEx olarak bütçelendirme imkanı
• Ölçek ekonomisi: Büyük lisans alımlarında özel indirim ve avantajlar

Kolay Entegrasyon Süreci

ESET Protect Elite, mevcut BT altyapınıza sorunsuz entegre olacak şekilde tasarlanmıştır. Açık API'ler ve geniş entegrasyon imkanları sayesinde, güvenlik çözümünüzü diğer iş kritik sistemlerle kolayca bütünleştirebilirsiniz.

• Kapsamlı entegrasyon rehberleri: Detaylı dokümantasyon ve adım adım kurulum talimatları
• Mevcut sistemlerle uyumluluk: Active Directory, SIEM, SOAR ve diğer BT sistemleriyle sorunsuz entegrasyon
• Migration asistanları: Mevcut güvenlik çözümlerinden kolay geçiş araçları
• API ve SDK desteği: Özelleştirilmiş entegrasyonlar için gelişmiş programlama arabirimleri

DrDisk Lab olarak, kurumsal müşterilerimizin siber güvenlik ihtiyaçları için 7/24 hizmetinizdeyiz. ESET Protect Elite kurumsal siber güvenlik çözümleri hakkında detaylı bilgi almak, ücretsiz deneme süresinden faydalanmak ve özel siber güvenlik çözümlerimizi keşfetmek için size en uygun iletişim kanalından ulaşabilirsiniz.

Veri Güvenliği ve İş Sürekliliği
Dijital dönüşüm çağında veriler, işletmelerin en değerli varlıkları haline gelmiştir. DrDisk Lab olarak, 10 yılı aşkın sektörel deneyimimiz ve Acronis Gold Partner MSP statümüzle, işletmelerin veri güvenliği ve iş sürekliliği ihtiyaçlarına kapsamlı çözümler sunuyoruz. Bu rehberde, Acronis Bulut Yedekleme Çözümleri’nin tüm yönlerini detaylı olarak ele alacağız. Modern işletmelerin karşılaştığı veri güvenliği zorluklarına karşı en son teknolojileri kullanarak kapsamlı ve güvenilir çözümler sunuyoruz.

Modern işletmelerin veri yönetimi ihtiyaçları sürekli değişmekte ve büyümektedir. DrDisk Lab’ın Acronis Bulut Yedekleme çözümleri, bu dinamik yapıya uyum sağlayacak şekilde tasarlanmıştır. İşletmenizin büyüme hızına ve ihtiyaçlarına göre dinamik olarak ölçeklenebilen bu çözümler, maliyet etkinliği ve yüksek performansı bir araya getirir.

1.1. Ölçeklenebilirlik ve Esneklik

DrDisk Lab’ın Acronis Bulut Yedekleme çözümleri, işletmenizin büyüme hızına ve ihtiyaçlarına göre dinamik olarak ölçeklenebilir.

• Özelleştirilebilir çözümler: Küçük işletmelerden büyük kurumsal yapılara kadar her ölçekte işletme için uygun çözümler.
• Dinamik kaynak tahsisi ve otomatik ölçeklendirme: Sistem kaynaklarını otomatik olarak optimize eder.
• Farklı iş yükleri için optimize edilmiş yapılandırmalar: Her iş yükü için özel olarak ayarlanmış performans parametreleri.
• Gelecekteki büyüme senaryolarına uyum: İşletmenizin büyümesine paralel olarak sistemin genişleyebilmesi.

1.2. Maliyet Optimizasyonu

Veri yedekleme çözümlerimiz, işletmenizin bütçesine uygun ve verimli bir şekilde tasarlanmıştır:

• Ölçeklenebilir fiyatlandırma modeli: Kullandığın kadar öde modeli ile maliyet kontrolü.
• Depolama alanı optimizasyonu: Akıllı sıkıştırma ve deduplikasyon teknolojileri ile %50-70 tasarruf.
• İşletim maliyetlerinde azalma: Otomatik yönetim ve optimize edilmiş kaynak kullanımı.
• Yatırım getirisi (ROI) odaklı çözümler: Uzun vadeli maliyet avantajı ve verimlilik artışı.

1.3. Güvenlik ve Uyumluluk

En üst düzey güvenlik standartları ve yasal gerekliliklere tam uyum:

• AES-256 şifreleme standardı: Askeri düzeyde veri koruma.
• KVKK ve GDPR uyumluluğu: Yerel ve global veri koruma standartlarına uygunluk.
• ISO 27001 sertifikalı süreçler: Uluslararası güvenlik standartlarına uygunluk.
• Düzenli güvenlik denetimleri: Sürekli güvenlik değerlendirmesi ve iyileştirme.

DrDisk Lab’ın Acronis Bulut Yedekleme çözümleri, en son teknoloji ve güvenlik standartlarına uygun olarak tasarlanmış kapsamlı bir altyapıya sahiptir. Bu altyapı, işletmenizin veri güvenliği ve iş sürekliliği ihtiyaçlarını karşılamak üzere optimize edilmiş, yüksek performanslı ve güvenilir bir sistem sunar.

2.1. Merkezi Yönetim Sistemi

Tüm yedekleme süreçlerini tek bir noktadan yönetme imkanı:

• Tek noktadan kontrol ve izleme: Tüm sistemlerin merkezi yönetimi.
• Gerçek zamanlı durum takibi: Anlık sistem durumu ve performans izleme.
• Otomatik raporlama araçları: Detaylı analiz ve raporlama özellikleri.
• Özelleştirilebilir dashboard’lar: İhtiyaca göre özelleştirilebilir kontrol paneli.

2.2. Bulut Depolama Altyapısı

Güvenilir ve erişilebilir veri depolama çözümleri:

• Global veri merkezi ağı: Dünya çapında dağıtılmış veri merkezleri.
• Yüksek erişilebilirlik (99.99%): Kesintisiz hizmet garantisi.
• Otomatik yedekleme ve replikasyon: Veri güvenliği ve erişilebilirlik.
• Felaket kurtarma senaryoları: Olağanüstü durumlara karşı hazırlık.

2.3. Güvenlik Katmanları

Çok katmanlı güvenlik mimarisi:

• Uçtan uca şifreleme: Veri transferi ve depolama güvenliği.
• Çok faktörlü kimlik doğrulama (MFA): Gelişmiş erişim kontrolü.
• Rol tabanlı erişim kontrolü (RBAC): Detaylı yetkilendirme sistemi.
• Gelişmiş tehdit algılama sistemleri: Proaktif güvenlik önlemleri.

DrDisk Lab’ın Acronis Bulut Yedekleme çözümleri, modern işletmelerin ihtiyaç duyduğu tüm yedekleme özelliklerini kapsayan kapsamlı bir teknoloji seti sunar. Bu özellikler, verilerinizin güvenli bir şekilde yedeklenmesini ve gerektiğinde hızlı bir şekilde kurtarılmasını sağlar.

3.1. Tam Görüntü Yedekleme

Sistemlerinizin tam ve güvenli kopyasını oluşturma:

• Sistem durumunun tam kopyası: Tüm sistem bileşenlerinin yedeklenmesi.
• İşletim sistemi ve uygulama yedekleme: Kritik sistem bileşenlerinin korunması.
• Yapılandırma dosyaları koruması: Sistem ayarlarının güvenliği.
• Hızlı kurtarma imkanı: Acil durumlarda hızlı müdahale.

3.2. Artımsal ve Diferansiyel Yedekleme

Verimli ve hızlı yedekleme stratejileri:

• Değişen verilerin akıllı yedeklenmesi: Sadece değişen verilerin yedeklenmesi.
• Depolama alanı optimizasyonu: Verimli depolama kullanımı.
• Hızlı kurtarma süreçleri: Minimum kurtarma süresi.
• Otomatik yedekleme planlaması: Zamanlanmış yedekleme işlemleri.

3.3. Platform Desteği

Geniş platform ve sistem desteği:

• Windows Server (2012-2022): Microsoft sunucu sistemleri desteği.
• Linux sistemleri (Ubuntu, CentOS, RHEL): Açık kaynak sistem desteği.
• VMware vSphere ve ESXi: Sanallaştırma platformları desteği.
• Microsoft Hyper-V: Windows sanallaştırma desteği.
• KVM sanallaştırma: Linux tabanlı sanallaştırma desteği.
• AWS, Azure, Google Cloud entegrasyonu: Bulut platformları entegrasyonu.

DrDisk Lab’ın Acronis Bulut Yedekleme çözümleri, yüksek performans ve ölçeklenebilirlik özellikleriyle işletmenizin büyüyen ihtiyaçlarına uyum sağlar. Modern işletmelerin ihtiyaç duyduğu hız ve verimlilik standartlarını karşılayan bu çözümler, kesintisiz ve güvenilir bir hizmet sunar.

4.1. Performans Metrikleri

Yüksek performanslı yedekleme çözümleri:

• Yedekleme hızı: Ultra hızlı veri transferi.
• 1000+ eş zamanlı cihaz desteği: Geniş ölçekli sistem yönetimi.
• 15 dakikadan kısa kurtarma süresi (RTO): Hızlı kurtarma imkanı.
• Sıfıra yakın veri kaybı riski (RPO): Maksimum veri koruma.

4.2. Ölçeklenebilirlik Özellikleri

Dinamik ve esnek sistem yapısı:

• Otomatik kaynak yönetimi: Akıllı kaynak optimizasyonu.
• Dinamik kapasite artırımı: İhtiyaca göre sistem genişletme.
• Yük dengeleme mekanizmaları: Optimize edilmiş performans.
• Esnek depolama seçenekleri: Çeşitli depolama çözümleri.

DrDisk Lab’ın Acronis Bulut Yedekleme çözümleri, işletmenizin karşılaşabileceği her türlü felaket senaryosuna karşı hazırlıklıdır. Veri kaybı, sistem arızası veya doğal afet durumlarında bile işletmenizin sürekliliğini sağlayan kapsamlı kurtarma çözümleri sunar.

5.1. Olağanüstü Durum Kurtarma

Kapsamlı kurtarma seçenekleri:

• Bare Metal Restore: Tam sistem kurtarma.
• Anlık Kurtarma (Instant Recovery): Hızlı sistem geri yükleme.
• Disk ve Dosya seviyesinde kurtarma: Granüler kurtarma seçenekleri.
• Sanal makine kurtarma: Sanal sistemlerin korunması.

5.2. Gerçek Dünya Senaryoları

Gerçek hayat senaryolarına hazır çözümler:

• Sunucu arızası durumunda kurtarma: Donanım arızalarına karşı koruma.
• Ransomware saldırılarına karşı koruma: Siber tehditlere karşı güvenlik.
• Yanlışlıkla veri silme durumunda kurtarma: İnsan hatalarına karşı koruma.
• Doğal afet senaryolarında veri koruma: Fiziksel tehditlere karşı koruma.
• Sistem çökmelerinde hızlı müdahale: Acil durum yönetimi.

DrDisk Lab olarak, müşterilerimize en yüksek kalitede hizmet sunmayı taahhüt ediyoruz. Profesyonel ekibimiz ve gelişmiş destek altyapımızla, işletmenizin veri güvenliği ve iş sürekliliği ihtiyaçlarına 7/24 kesintisiz destek sağlıyoruz.

6.1. Profesyonel Destek Hizmetleri

7/24 teknik destek:

• Telefon ve e-posta desteği: Hızlı çözüm için doğrudan iletişim.
• Uzaktan bağlantı desteği: Sorun çözme sürecinde hızlı müdahale.
• Yerinde destek: Gerektiğinde saha hizmeti.

DrDisk Lab olarak, müşterilerimize en iyi hizmeti sunduğumuzdan emin olmak için tüm yeni müşterilerimize özel bir teklif sunuyoruz: İlk 1 Ay Ücretsiz Deneme Süresi!

• Tüm Acronis Bulut Yedekleme özelliklerine tam erişim
• Sınırsız veri yedekleme ve geri yükleme
• 7/24 teknik destek
• Özel çözüm ortağı ataması
• Detaylı performans raporları

Neden Ücretsiz Deneme?

• Hizmetimizin kalitesini kendi gözlerinizle görmenizi istiyoruz
• Sistemin işletmenize uygunluğunu test etmenizi sağlıyoruz
• Güvenilirliğimizi kanıtlamak istiyoruz

Nasıl Başlarım?

1. Web sitemizin sayfasını tıklayın
2. Basit kayıt formunu doldurun
3. Teknik ekibimiz size hemen ulaşsın
4. Sisteminizi hemen kurmaya başlayalım

Özel Teklif:

• İlk ay sonunda hizmetimizi beğenmezseniz, hiçbir ücret ödemeden ayrılabilirsiniz
• Deneme süresi sonunda devam etmek isterseniz, özel indirimli fiyatlardan faydalanabilirsiniz

Güvencemiz:

• Deneme süresi boyunca hiçbir gizli ücret yok
• İstediğiniz zaman iptal edebilirsiniz
• Verileriniz güvende ve şifreli

6.3. Eğitim ve Danışmanlık

İhtiyaçlarınıza yönelik eğitim ve danışmanlık:

• Kişiye özel eğitimler: Çalışanlar için veri güvenliği ve yedekleme eğitimleri.
• Sistem entegrasyon danışmanlığı: Yedekleme çözümleri entegrasyonu.
• Felaket kurtarma planı oluşturma: Kriz yönetimi ve kurtarma stratejileri.

USBSTOR kayıtları, Windows işletim sistemlerinde USB depolama cihazlarının bağlantılarını, kullanımlarını ve özelliklerini belirlemek için kritik öneme sahip adli bilişim artifactlarıdır. Bu kayıtlar, forensic incelemelerde cihaz bağlantı zamanları, cihaz türleri, seri numaraları ve kullanım geçmişi gibi değerli bilgileri ortaya çıkarır. Bu teknik analiz dokümanı, USBSTOR kayıtlarının mimari yapısını, veri içeriğini, analiz yöntemlerini ve adli bilişim perspektifinden önemini detaylı olarak incelemektedir.

USBSTOR, Windows işletim sistemlerinde USB Mass Storage Class (MSC) sürücüsünün bir bileşeni olarak, USB depolama cihazlarının tanımlanması, yüklenmesi ve yönetilmesi amacıyla kullanılan anahtar Registry yapısıdır. Bu sürücü, Windows PnP (Plug and Play) mimarisi içinde konumlandırılmış olup, USB depolama aygıtlarıyla iletişimi sağlayan katmanlı bir yapının parçasıdır.

USB aygıt tanımlama katmanları:

• Hardware Abstraction Layer (HAL) → USB Host Controller Interface
• USB Core Stack → USB Hub Sürücüleri → USB Mass Storage Sürücüsü → USBSTOR
• Storage Class Driver → Disk Sürücü Katmanı → Mantıksal Birim Sürücüsü

Windows işletim sistemi, bir USB depolama cihazı bağlandığında, aşağıdaki işlem akışını izler:

1. USB cihaz fiziksel olarak bağlanır ve elektriksel olarak tanımlanır
2. Hub sürücüsü cihazdan tanımlayıcı bilgileri alır
3. PnP yöneticisi uygun sürücüyü belirler (USBSTOR.SYS)
4. USBSTOR sürücüsü yüklenir ve cihaz ile iletişim kurar
5. Windows Registry'de cihaz bilgileri ve özellikleri kaydedilir
6. Mantıksal disk sürücüleri (disk.sys) yüklenir ve birimler bağlanır

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\USBSTOR

Bu konum, PnP alt sisteminin USB depolama cihazlarının donanım kimliklerini ve kurulum parametrelerini sakladığı hiyerarşik veritabanıdır. CurrentControlSet aktif sistem yapılandırmasına işaret eden dinamik bir bağlantıdır ve gerçekte aşağıdaki konumlardan birine yönlendirilir:

HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002

Windows başlangıç süreci sırasında, LastKnownGood yapılandırması temelinde hangi ControlSet'in kullanılacağı belirlenir ve bu yapılandırma CurrentControlSet sembolik bağlantısı ile erişilebilir hale getirilir.

2.1. USB Aygıt Tanımlama ve İlişkilendirme

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\USB

Bu alt anahtar, sistem tarafından tanımlanan tüm USB aygıtlarının Vendor ID (VID) ve Product ID (PID) bilgilerini içerir. Her USB aygıtı, benzersiz bir VID/PID kombinasyonuyla ve Interface Descriptor bilgileriyle temsil edilir.

2.2. Mantıksal Birim Bağlantıları

HKEY_LOCAL_MACHINE\SYSTEM\MountedDevices

Biçimlendirilmiş bölümlerin mantıksal sürücü harflerine eşleştirildiği binary veri yapılarını içerir. Her değer, Volume GUID ve sürücü harfi atamaları için binary disk tanımlayıcı veri yapılarını (disk signature, partition offset) barındırır.

2.3. Sürücü Yükleme Parametreleri

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\USBSTOR

USB depolama sürücüsünün yükleme parametrelerini, Windows başlangıç davranışını ve çalışma modlarını tanımlar.

2.4. Cihaz Sınıfı Eşleştirmeleri

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\DeviceClasses

Cihaz arabirim GUID'lerine (örn. {53f56307-b6bf-11d0-94f2-00a0c91efb8b} - disk cihazları için) göre gruplandırılmış, tüm bağlanan cihazların kapsamlı bir veritabanını içerir.

2.5. Cihaz Güvenlik Politikaları

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\StorageDevicePolicies

USB depolama cihazlarıyla ilgili yazma koruması, erişim kısıtlamaları gibi sistem genelindeki politikaları tanımlar.

2.6. USB Cihaz Erişim Denetleyicileri

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Portable Devices

USB taşınabilir cihazlar için WPD (Windows Portable Devices) arabirim ve erişim bilgilerini içerir.

USBSTOR altındaki anahtar isimleri katı bir hiyerarşik yapı şablonu takip eder:

Disk&Ven_{VendorID}&Prod_{ProductID}&Rev_{RevisionCode}\{UniqueInstanceID}

Bu yapıyı oluşturan bileşenler şu şekilde elde edilir:

• Ven_{VendorID}: USB descriptor'ından alınan Vendor String (ASCII)
• Prod_{ProductID}: USB descriptor'ından alınan Product String (ASCII)
• Rev_{RevisionCode}: USB descriptor'ından alınan bcdDevice değerinin formatlanmış hali
• {UniqueInstanceID}: Cihaz seri numarası veya şu formatta otomatik oluşturulan değer: xxxxxxxxxx&0
  • Windows 7 öncesi: 8 karakterli seri numarası
  • Windows 7 ve sonrası: 12+ karakterli genişletilmiş seri numarası

Örnek bir USBSTOR anahtar yapısı:

USBSTOR\Disk&Ven_SanDisk&Prod_Ultra&Rev_1.00\0123456789ABCDEF&0

Bu örnekte:

• Disk: Aygıt sınıfı
• Ven_SanDisk: Üretici bilgisi (SanDisk)
• Prod_Ultra: Ürün modeli (Ultra)
• Rev_1.00: Firmware/donanım sürümü
• 0123456789ABCDEF&0: Benzersiz cihaz tanımlayıcısı (seri numarası)

USBSTOR kayıtlarındaki her benzersiz cihaz kimliği, aşağıdaki yapıda alt anahtarlar içerir:

2.1. Properties Alt Anahtarı

HKLM\SYSTEM\CurrentControlSet\Enum\USBSTOR\...\{UniqueInstanceID}\Properties

Bu anhtarın altında {83da6326-97a6-4088-9453-a1923f573b29} şeklinde GUID değerleri bulunur ve bu değerler belirli property kategorilerine işaret eder:

• 0x0064: DeviceData kategorisi
  • 0x0001 (REG_SZ): Service
  • 0x0002 (REG_SZ): Enumeration Type
  • 0x0003 (REG_BINARY): Hardware IDs
  • 0x0004 (REG_BINARY): Compatible IDs
  • 0x0006 (REG_BINARY): ContainerID
• 0x0066: Device Driver kategorisi
  • 0x0002 (REG_SZ): Driver Date
  • 0x0003 (REG_SZ): Driver Version
  • 0x0004 (REG_BINARY): Driver Description
• 0x0065: Device Setup kategorisi
  • 0x0002 (REG_BINARY): DeviceInstallDate - Cihazın ilk takıldığı tarih bilgisini içerir
  • 0x0003 (REG_BINARY): FirstInstallDate - İşletim sisteminde cihazın ilk kurulum tarihi

Bu veri yapıları binary formatta saklanır ve genellikle FILETIME formatında kodlanmış zaman damgalarını içerir.

2.2. Device Parameters Alt Anahtarı

HKLM\SYSTEM\CurrentControlSet\Enum\USBSTOR\...\{UniqueInstanceID}\Device Parameters

Bu anahtar, depolama cihazının fiziksel ve mantıksal özelliklerini tanımlayan parametreleri içerir:

• Partmgr DeviceDesc (REG_SZ): Aygıt tanımlayıcı bilgisi
• Partmgr DeviceType (REG_DWORD): Cihaz türü kodu (genellikle 0x00000007 sabit disk için)
• Partmgr DeviceStatus (REG_DWORD): Cihaz durumu kodu

2.3. LogConf Alt Anahtarı

HKLM\SYSTEM\CurrentControlSet\Enum\USBSTOR\...\{UniqueInstanceID}\LogConf

Bu anahtar, cihazın kaynak atama yapılandırması ile ilgili bilgileri içerir ve genellikle depolama cihazları için boş olur.

3.1. Temel Tanımlayıcı Değerler

• DeviceDesc (REG_SZ): Kullanıcı tarafından görülebilen aygıt tanımlayıcısı
• HardwareID (REG_MULTI_SZ): PnP cihaz tanımlama dizesi
• CompatibleIDs (REG_MULTI_SZ): Sürücü uyumluluğu için alternatif tanımlama dizeleri
• ParentIdPrefix (REG_SZ): Fiziksel USB port kimliğini belirleyen alfanumerik tanımlayıcı
• Service (REG_SZ): Sürücü hizmet adı (genellikle "USBSTOR")
• Driver (REG_SZ): Cihaz sürücüsünün INF dosyasına yönelik referans

3.2. Advanced Forensic Değerleri

LastWrite Zaman Damgası Analizi

Registry anahtarlarının LastWrite zamanları, $STANDARD_INFORMATION veri yapısında saklanır ve USB cihazıyla ilgili aktivitelerin zamanlamasını belirlemek için kritik öneme sahiptir. Aşağıdaki zaman türleri analiz edilmelidir:

• {UniqueInstanceID} Anahtarı LastWrite: Cihazın en son oturum açma zamanı
• {UniqueInstanceID} Anahtarından Önce Yer Alan Son Seviye LastWrite: İlk USB bağlantı zamanı

LastWrite zamanları, Windows registry hücre yapısında depolanan 64-bit FILETIME değerleridir ve 1601-01-01 UTC'den itibaren geçen 100 nanosaniyelik aralıkları temsil eder. Bu zamanlar, USB cihaz aktivitesinin adli zaman çizelgesinde temel noktaları oluşturur.

ContainerID Analizi

Windows 7 ve sonrası işletim sistemlerinde, ContainerID GUID değeri, farklı arayüzler veya sürücüler arasında aynı fiziksel cihazı ilişkilendirmek için kullanılır. Bu, bir USB cihazın içindeki birden fazla fonksiyon (örn. depolama + kart okuyucu) arasında ilişki kurmak için kritik öneme sahiptir.

ContainerID, Windows'un çeşitli registry konumlarında cihaz ilişkilendirmelerini izleme ve birden çok arabirime sahip tek bir fiziksel cihazı tanımlama amacıyla kullanılır.

• USBSTOR kayıtları basit bir hiyerarşik yapıda saklanır
• Cihaz seri numaraları genellikle 8 karakterle sınırlıdır
• Properties alt anahtar yapısı yoktur
• Zaman damgalarına erişim sınırlıdır

• Properties alt anahtar yapısı ve GUID temelli organizasyon tanıtıldı
• DeviceInstallDate ve FirstInstallDate gibi tarih bilgileri eklendi
• ContainerID kavramı henüz tam olarak uygulanmadı

• Genişletilmiş seri numarası desteği (12+ karakter)
• Tam ContainerID desteği
• DeviceClasses entegrasyonu
• GUID temelli yapısal organizasyon tam olarak uygulandı

• USBSTOR.SYS sürücüsü güvenlik düzeltmeleri
• USB 3.0 cihazlar için geliştirilmiş özellikler
• Hızlı başlatma (Fast Startup) nedeniyle USB bağlantı zamanları değişimleri

• USB cihaz engelleme ve kısıtlama politikaları geliştirildi
• Unified Extensible Firmware Interface (UEFI) Secure Boot entegrasyonu
• Windows Hello ile USB güvenlik cihazları entegrasyonu
• ETW (Event Tracing for Windows) USB olay izleme
• Thunderbolt ve USB-C cihazları için genişletilmiş registry yapıları

1.1. Raw Registry Hive Analizi

USBSTOR kayıtlarını analiz etmek için, sistem SYSTEM hive dosyası adli kopyasının (%WINDIR%\System32\config\SYSTEM) aşağıdaki yöntemlerle incelenmesi gerekir:

1. Offline Registry Parsing: Registry hive dosyasının doğrudan parse edilmesi
   • Yapi: regf başlık yapısı (4KB)
   • Hücre yapısı: 4B boyut + veri (negatif boyut değeri tahsis edilmiş, pozitif değer serbest hücreyi gösterir)
   • Anahtar Düğüm Yapısı (nk kayıtları): Zaman damgası, alt anahtar sayısı, değer sayısı bilgilerini içerir
2. Cell Data Kurtarma: Silinmiş Registry hücrelerinin kurtarılması
   • Slack space analizi: Registry hive içindeki tahsis edilmemiş alanlar
   • Registry fragmentlerinin yeniden yapılandırılması
   • Hbin blok analizleri: 4KB bloklarda düzenlenmiş Registry içeriği

1.2. Advanced Timeline Oluşturma

Forensic zaman çizelgesi oluşturmak için şu veri noktaları çıkarılmalıdır:

1. USBSTOR Anahtarları LastWrite Zamanları
   • Birincil anahtar (%Registry_Offset%\USBSTOR)
   • Cihaza özgü anahtarlar (Disk&Ven_...)
   • Benzersiz örnek kimlikleri ({UniqueInstanceID})
2. Device Setup Sınıf Kayıtları
   • DeviceInstallDate değeri (\Properties{83da6326-97a6-4088-9453-a1923f573b29}\0065\00002)
   • FirstInstallDate değeri (\Properties{83da6326-97a6-4088-9453-a1923f573b29}\0065\00003)

Bu zamanlar, FILETIME formatında (64-bit değer, 100 nanosaniyelik aralıklar, 1601-01-01 GMT'den beri) saklanır ve forensic analiz için epoch zamanı veya insan tarafından okunabilir bir formata dönüştürülmelidir.

2.1. GUID ve Benzersiz Tanımlayıcı Korelasyonu

Aşağıdaki GUID ve tanımlayıcılar, farklı Registry konumlarındaki USB cihaz verilerini ilişkilendirmek için kullanılır:

• ContainerID GUID: Aynı fiziksel cihaza ait birden çok arabirimi ilişkilendirir
• Instance ID: Benzersiz donanım örneği tanımlayıcısı
• Volume GUID: Biçimlendirilmiş bölüm için benzersiz tanımlayıcı (MountedDevices içinde)
• Hardware Hash: USB cihazları için oluşturulan hızlı arama tanımlayıcısı

2.2. ParentIdPrefix Analizi ve USB Topology Yapılandırması

ParentIdPrefix değeri, cihazın hangi fiziksel USB portuna bağlandığını belirlemek için kullanılır:

• İlk karakter, USB hub numarasını (örn. '1', '7')
• Sonraki karakterler, port indeksi ve yolunu (örn. '&0', '&1&0')

Örnek: 8&21F39B80&0 ParentIdPrefix değerini analiz etmek:

• '8': Hub controller numarası (8. hub)
• '21F39B80': Hub instance ID'sinin hash değeri
• '0': Port indeksi (Hub'ın 0. portu)

3.1. MountedDevices Binary Yapısı Çözümleme

MountedDevices anahtarındaki binary veriler, sürücü harflerini fiziksel cihazlara bağlayan kritik bilgileri içerir. Bu verilerin formatı:

\DosDevices\X: = [Binary Data]

Binary veri yapısı (Windows Vista ve sonrası):

• İlk 4 bayt (0x00-0x03): Signature tipi kodlaması
  • 0x00000000: MBR veya GPT disk imzası
  • 0x00000001: NTFS yükselme sayısı
  • 0x00000002: FAT volume ID
• Sonraki baytlar:
  • MBR diskleri için (0x00000000):
    • 0x04-0x07: 32-bit MBR disk imzası
    • 0x08-0x0F: 8-byte başlangıç ofset
  • GPT diskleri için (0x00000000):
    • 0x04-0x13: GPT bölüm GUID (128-bit)
  • NTFS için (0x00000001):
    • 0x04-0x07: 32-bit NTFS yükselme sayısı
  • FAT için (0x00000002):
    • 0x04-0x07: 32-bit Volume ID

3.2. Volume Serial Number ve Disk İmza Korelasyonu

USB cihazlar için çapraz doğrulama yapmak üzere şu değerler analiz edilmelidir:

• Disk İmzası: MBR'nin ilk sektöründeki ofset 0x01B8'de bulunan 4 baytlık değer
• Volume Serial Number: Başlangıç sektöründeki çeşitli ofsetlerde bulunan değer
  • NTFS: 0x048'den başlayan 8 bayt
  • FAT32: 0x043'den başlayan 4 bayt
  • FAT16: 0x027'den başlayan 4 bayt
• Partition Table: MBR'nin ilk sektöründeki ofset 0x01BE'den başlayan yapı

Windows Olay Günlükleri, USB cihazların takılması ve çıkarılmasına ilişkin önemli olayları kaydeder ve USBSTOR Registry kayıtlarıyla ilişkilendirilebilir:

1.1. Microsoft-Windows-DriverFrameworks-UserMode/Operational

• Olay ID 2003: USB cihazın takılması
• Olay ID 2100: USB cihazın çıkarılması
• Olay ID 2102: Cihaz sürücüsünün yüklenmesi

1.2. Microsoft-Windows-Kernel-PnP/Configuration

• Olay ID 400: Cihaz ilk kurulumu
• Olay ID 410: Cihaz konfigürasyonu değişikliği

2.1. Microsoft-Windows-USB-USBHUB3/Operational

• Olay ID 43: USB cihaz bağlantısı
• Olay ID 44: USB cihaz ayrılması
• Olay ID 76: USB cihaz durumu değişikliği

2.2. Microsoft-Windows-DeviceSetupManager/Admin

• Olay ID 112: Cihaz kurulumu başlatılması
• Olay ID 121: Cihaz kurulumu tamamlanması
• Olay ID 131: Cihaz kurulumu hatası

Bu olay kayıtları, USBSTOR Registry kayıtlarında bulunan zamanlar ile eşleştirilerek, cihaz bağlantısı ve kullanımı hakkında daha kesin bir adli zaman çizelgesi oluşturulmasına olanak tanır.

1.1. Doğrudan Binary Düzenleme Yöntemleri

• Registry File Header Manipulation: regf başlık alanının değiştirilmesi
• Cell Allocation Manipulation: Hücre tahsis bayraklarının değiştirilmesi
• Checkpoint Manipulation: Registry transaction log ve checkpoint verilerinin değiştirilmesi

1.2. Dolaylı Manipülasyon Teknikleri

• PnP Hizmet Konfigürasyonu: USB cihaz algılamasının devre dışı bırakılması
• Driver Manipulation: USBSTOR.SYS ve DISK.SYS sürücülerinin modifikasyonu
• Registry Filter: RegFilter sürücüsü kullanarak gerçek zamanlı Registry erişimini değiştirme
• Shadow Registry: Asıl Registry'nin yanında alternatif Registry oluşturma

2.1. Zorunlu Artefact Paternleri

USB manipülasyon araçlarının kullanımı, şu artefactları bırakır:

• Log Entries: setupapi.dev.log'daki eksik veya değiştirilmiş kayıtlar
• USBOblivion Registry Artefacts: Silinen USBSTOR anahtarlarının izleri
• Timestomping Izleri: LastWrite zamanlarında tutarsızlıklar veya toplu değişimler
• Registry Transaction Log Anomalileri: \System32\config\SYSTEM.LOG dosyasındaki tutarsızlıklar

2.2. Registry Anomali Tespiti ve İstatistiksel Analiz

Anormal Registry davranışlarını tespit etmek için şu metrikleri izleyin:

• LastWrite Zaman Kümeleşmesi: Belirli bir zaman diliminde çok sayıda Registry anahtarının LastWrite zamanlarının değişmesi
• USB Bağlantı Zamanlarının Dağılımı: USB aktivitesinin zamansal dağılımındaki anormallikler
• DeviceDesc ve FriendlyName Tutarsızlıkları: Aynı cihaz için farklı tanımlayıcılar
• Eksik Korelasyon: USBSTOR kayıtları ile DeviceClasses arasındaki eksik ilişkiler

3.1. Multi-Kaynak Timeline Analizi

Anti-forensic teknikleri aşmak için, şu kaynaklardan oluşturulan zaman çizelgelerini karşılaştırın:

• Registry LastWrite Zamanları: USBSTOR, DeviceClasses, USB anahtarlarından
• Dosya Sistemi Zaman Damgaları: setupapi.dev.log, driver.cab dosyaları
• Windows Olay Günlükleri: Plug and Play olayları, USB bağlantı olayları
• Volume Shadow Copy TimeStamps: VSC anlık görüntülerindeki Registry değişiklikleri
• $MFT Zaman Damgaları: USB ile ilişkili sistemde oluşturulan dosyaların zaman damgaları

3.2. Registry Temporal Rekonstrüksiyon

Registry yapısını geçmiş zamanlardan yeniden oluşturmak için:

1. Volume Shadow Copy Extraction: VSC içinden Registry hive dosyalarını çıkarma
2. Registry Transaction Log Analizi: .LOG ve .LOG1/2 dosyalarından işlem kayıtlarını analiz etme
3. Deleted Cell Recovery: Silinmiş hücreleri kurtarma ve arşivlenen Registry dosyalarını eski sürümlerle karşılaştırma
4. Alternate Data Stream Analizi: ADS akışlarında saklanan Registry yedeklerini inceleme

Windows Setup API, cihaz kurulumlarını %windir%\inf\setupapi.dev.log dosyasında kaydeder. Bu günlükler, aşağıdaki bilgileri içerir:

• USB cihazının takıldığı zaman damgası
• Cihaz tanımlayıcı bilgileri (VID, PID, seri numarası)
• Sürücü kurulum adımları ve sonuçları

Prefetch dosyaları (%windir%\Prefetch\*.pf), USB sürücülerden çalıştırılan uygulamaların izlerini şu bilgilerle birlikte içerebilir:

• Çalıştırılan uygulamanın adı ve yolu
• Son çalıştırma zamanı ve çalıştırma sayısı
• Erişilen dosya ve dizin yolları (USB yolu dahil)

Windows Explorer kısayol (LNK) dosyaları, USB cihazlardan erişilen dosyalara dair önemli bilgiler içerir:

• Hedef dosya yolu (sürücü harfi dahil)
• İlk ve son erişim zamanları
• Hedef dosyanın MAC adresi ve volüm seri numarası

Windows 7 ve sonrası için JumpList dosyaları, USB cihazlara ilişkin kullanım geçmişini kaydeder:

• AutomaticDestinations ve CustomDestinations dosyaları
• USB cihazlardaki dosyalara yapılan erişimler
• Uygulama spesifik USB kullanım geçmişi

Windows Explorer görünüm ayarları (ShellBags), USB cihazların kullanımını gösteren kanıtlar içerir:

• USB sürücülerin görüntülenme şekli ve zamanı
• USB içeriğinin gezinilme geçmişi
• Klasör görünüm tercihleri ve konumları

Web tarayıcıları ve uygulamalar, USB cihazlardan açılan dosyalar veya cihazlarla ilgili erişim izleri içerebilir:

• Tarayıcı indirme geçmişi (USB sürücülere indirilmiş dosyalar)
• Dosya seçim diyaloglarında gezinme geçmişi
• Uygulama günlükleri ve son kullanılan dosya listeleri

Windows, USB depolama cihazlarının otomatik başlatma davranışlarını da kaydeder:

• HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2 anahtarı
• Otomatik çalıştırma tercihleri ve geçmişi
• Cihaz tanımlama bilgileri ve kullanıcı tercihleri

Windows Etkinlik Günlüğü ve PowerShell komut geçmişi, USB cihazlarla ilgili ekstra veriler sağlayabilir:

• USB cihazlarla etkileşimde bulunan PowerShell komutları
• Get-WmiObject kullanılarak USB cihazların sorgulanma kayıtları
• Etkinlik izleyici ile USB olaylarının izlenmesi

• RegRipper: USBSTOR anahtarlarını otomatik olarak ayıklar ve analiz eder
• USBDeview: Bağlanan USB cihazlarının bilgilerini görüntüler
• Bulk Extractor: Elektronik ortamlardan USB tanımlayıcıları çıkarır
• Hindsight: Chrome/Chromium tarayıcı geçmişinden USB ile ilgili erişimleri analiz eder

• EnCase Forensic: Kapsamlı USB artefakt analizi ve timeline oluşturma
• X-Ways Forensics: Gelişmiş Registry analizi ve USB cihaz analizi
• FTK (Forensic Toolkit): USB cihaz kullanım verileri ayıklama ve analizi
• AXIOM: Otomatik USB analizi ve ilişkilendirme

1. Hierarchical Registry Structure Extraction: Registry hiyerarşisinin tam olarak dokümantasyonu
2. Device Timeline Construction: Cihaz bağlantı, kurulum ve kullanım zamanlarının kronolojik dokümantasyonu
3. Cross-Source Validation: USBSTOR kayıtlarının diğer kaynaklarla (olay günlükleri, dosya sistemi) çapraz doğrulanması

• USB cihaz tanımlayıcıları (VID, PID, seri numarası)
• Cihaz ilk kurulum ve son bağlantı zamanları
• İlişkili kullanıcı hesapları ve aktiviteleri
• Erişilen dosyalar ve dosya aktiviteleri
• Cihaz özellikleri (kapasite, bölümler, dosya sistemi)
• Anti-forensic belirtileri veya anormallikler

• Cihaz sahipliği ve kullanım kanıtı olarak
• Veri hırsızlığı ve sızıntıları incelemelerinde
• Yasaklı cihaz kullanımı tespitinde
• Bilişim suçlarında zaman çizelgesi oluşturmada

• Registry LastWrite zamanlarının manipülasyon olasılıkları
• USB cihaz tanımlayıcılarının taklit edilebilirliği
• Zaman damgası güvenilirliği ve sistem zamanı değişikliklerinin etkisi
• Multi-faktör kanıt gerekliliği ve çapraz doğrulama önemi

USBSTOR Registry kayıtları, Windows işletim sistemlerinde USB depolama cihazlarının adli analizinde kritik öneme sahiptir. Bu kayıtlar, cihaz tanımlama bilgileri, bağlantı zamanları ve kullanım geçmişi gibi değerli adli bilişim verilerini içerir.

Gelecekteki araştırma alanları şunları içerebilir:

• USB Type-C ve Thunderbolt cihazları için genişletilmiş Registry yapılarının analizi
• Bulut entegrasyonlu USB cihazların (Wi-Fi destekli USB sürücüler) adli analizi
• Şifreli USB depolama cihazlarının tespit ve analiz yöntemleri
• Windows 11 ve sonrası işletim sistemlerinde USBSTOR yapısındaki değişiklikler
• USB depolama cihazlarında kullanılan anti-forensic tekniklere karşı geliştirilmiş tespit yöntemleri

Bu doküman, USBSTOR kayıtlarının yapısını, içeriğini ve adli bilişim analizinde kullanımını detaylı olarak açıklamaktadır. Adli bilişim uzmanları için kapsamlı bir referans kaynağı olarak hazırlanmıştır.

1. Casey, E. (2011). Digital Evidence and Computer Crime: Forensic Science, Computers, and the Internet. Academic Press.
2. Carvey, H. (2014). Windows Forensic Analysis Toolkit: Advanced Analysis Techniques for Windows 8. Syngress.
3. Carrier, B. (2005). File System Forensic Analysis. Addison-Wesley Professional.
4. Microsoft Corporation. (2021). Windows Registry Structure and Function Documentation.
5. SANS Institute. (2019). USB Forensics and Analysis in Windows Operating Systems.
6. Altheide, C., & Carvey, H. (2011). Digital Forensics with Open Source Tools. Syngress.
7. National Institute of Standards and Technology. (2018). Guide to Computer Forensics and Investigations.
8. Russinovich, M., Solomon, D., & Ionescu, A. (2012). Windows Internals. Microsoft Press.

Veriler, ilk defa bu ay sosyal medyada ve hacker formlarında yer alan yeni bir hacker grubu olan "Belsen Group" tarafından sızdırıldı. Grup, kendilerini tanıtmak için bir Tor Web sitesi oluşturdu. Oluşturulan site üzerinden FortiGate cihazlarına ait verileri diğer tehdit aktörleri tarafından kullanılmak üzere ücretsiz olarak yayınladı.

Grup, siber suç forumlarının birinde FortiGate cihazlarına ait verileri kendilerini tanımak amacıyla ücretsiz yayınladıklarını belirten bir post paylaştı.

"Bu yılın başında bizim için olumlu bir başlangıç ​​olarak ve grubumuzun adını 
hafızanızda sağlamlaştırmak adına ilk resmi operasyonumuzu duyurmaktan 
gurur duyuyoruz: 
15.000'den fazla hedefe ait hassas veriler yayınlanacak dünya çapında (hem devlet 
hem de özel sektör) saldırıya uğrayan ve verileri çıkarılan kişiler"

Sızdırılan FortiGate verileri, ülkeye göre sınıflandırılmış klasörleri içeren 1,6 GB'lık büyük bir arşivden oluşuyor. Zira, arşivin içinde bulunan dosyaların genelinin text dosyası olaması 1,6 GB'lık bir büyüklüğün aslında ne kadar fazla veri barındırdığın ürkütücü bir delilidir. Ülkelere ait bu klasörlerin içinde ise, o ülkeye ait FortiGate cihazlarının IP adreslerine göre alt klasörler bulunuyor. Belsen Group, tehdit aktörleri için oldukça kolaylaştırcı bir çalışma yapmış gözüküyor.

Siber güvenlik uzmanı Kevin Beaumont'a göre, her IP adresine ilişkin klasörde “configuration.conf” (Fortigate yapılandırma dökümanı) ve “vpn-passwords.txt” dosyası bulunuyor. Bazı şifrelerin ise düz metin halinde olduğunu, yapılandırmalar için ayrıca özel anahtarlar (private keys) ve güvenlik duvarı (firewall) kuralları gibi hassas bilgileri de içeriyor.

Beaumont, "Kurban kuruluşundaki bir cihazda olay müdahalesi yaptım ve istismar gerçekten de cihazdaki yapılara dayalı olarak CVE-2022-40684 aracılığıyla gerçekleştirilmiş. Ayrıca dökümde görülen kullanıcı adlarının ve şifrenin eşleştiğini de doğrulayabildim. Verilerin Ekim 2022'de 0day güvenlik açığı olarak toplandığı görülüyor. Bazı nedenlerden dolayı, config'in veri dökümü 2 yıldan biraz daha uzun bir süre sonra bugün yayınlandı." diye açıklıyor.

2022'de Fortinet, tehdit aktörlerinin hedeflenen FortiGate cihazlarından yapılandırma dosyalarını indirmek ve ardından "fortigate-tech-support" adı verilen kötü amaçlı bir super_admin hesabı eklemek için CVE-2022-40684 olarak izlenen zero-day açığının kullandığı konusunda uyardı.

Beaumont, FortiGate yöneticilerinin sızıntının kendilerini etkileyip etkilemediğini bilmesi için sızıntıdaki IP adreslerinin bir listesini yayınlamayı planladığını belirtti.

Alman haber sitesi Heise, veri sızıntısını analiz etti.  Analize göre sızıntıdaki bahsi geçen verilerin 2022'de toplandığını ve tüm cihazların FortiOS donanım yazılımı 7.0.0-7.0.6 veya 7.2.0-7.2.2'yi kullandığını söyledi.
“Tüm cihazlar FortiOS 7.0.0-7.0.6 veya 7.2.0-7.2.2 ile donatılmıştı, çoğu da 7.2.0 sürümüne sahipti. Bilgisi sızdırılan cihazların arsında 3 Ekim 2022 tarihinde yayınlanan 7.2.2 sürümünden daha yeni bir FortiOS sürümüne sahip cihaz bulamadık."

DrDisk Lab siber güvenlik uzmanları paylışan verilerin sahte mi yoksa gerçek bir sızıntı mı olduğu hakkkında yapılan analizler sonucunda verinin doğruluğunu belirlemiştir.

Sızıntıdaki verilerin ücretsiz bir şekilde yayınlanmış olmasıyla birlikte, verilere artık erşimin çok daha kolay olduğunu görebiliyoruz. Her ne kadar bu verilerin 2022 0day açığıyla toplanmış olması ve bahsi geçen zaafiyetin Fortinet tarafından yayınlanan yeni FortiOS sürümü ile giderilmesi siber güvenlik noktasında sorunların çözüldüğü anlamına gelmiyor. Zira kullanıcılar söz konusu güncellemenin yapılıp yapılmadığını takip etmemiş ve sistemlerini henüz güncelleme yapmamışlar ise, yazının konu aldığı muhtemel kurbanlardan birisi olmalarının an meselesi olduğunu söylemek, pek de abartılı bir ifade olmaz. 

Yukarıda paylaştığımız ve DrDisk Lab Siber güvenlik uzmanlarının çalışmaları neticesinde elde edilen bilgiler, veri sızıntısında yer alan IP adreslerinde bulunan cihazlarda 2 yıl önce yapılan güncelleme ile bertaraf edilen zafiyetin bu güncellemeyi henüz almamış cihazlarda devam ettiğini gözler önüne sermektedir. Firewall cihazlarınız, sadece elektrik faturasına katkı sağlasın istemiyorsanız, onları güncel tutmak zorunda olduğunuz gerçeğini atlamamalısınız. 2 sene önceki VPN erişim bilgilerini ve Firewall kurallarını kullanmaya devam eden sistemlerin, sızdırılan bu verileri kullanacak olası tehdit aktörlerinin saldırılarına karşı savunmasız olduğunu belirtmek isteriz. Bu durum söz konusu cihazlardan sorumlu olan IT yöneticileri için önem arz etmektedir.

Kaynakça:

BleepingComputer. (2025). Hackers leak configs and VPN credentials for 15,000 FortiGate devices. -Lawrence Abrams Erişim adresi: 

 

Fortinet. (2022). CVE-2022–40684 Güvenlik Duyurusu.

Heise. (2025). FortiGate Veri Sızıntısı Analizi.

2022 zero day was used to raid Fortigate firewall configs. Somebody just released them. - Kevin Beaumont Erişim Adresi:
 

İş bu yazının hazırlanmasında " CYFIRMA tarfından hazırlanan "TRACKING RANSOMWARE : DECEMBER 2024" başlılı blog yazısından yararlanılmıştır.

Bilgi güvenliği ekosistemi, her geçen gün yeni tehditlerle ve saldırı teknikleriyle karşı karşıya kalmaktadır. Özellikle fidye yazılımları (ransomware) hem kurumsal hem de bireysel düzeyde önemli kayıplara yol açabilmektedir

Aralık 2024 dönemine dair yapılan bir incelemede; büyük çaplı saldırılar, yeni ortaya çıkan tehdit aktörleri ve saldırı tekniklerindeki dönüşüm dikkat çekici seviyelere ulaşmıştır. Bu blog yazısında, söz konusu dönemde tespit edilen eğilimler, yeni fidye yazılım gruplarının yöntemleri, etkilenen sektör ve ülkeler ile güvenlik önlemleri detaylı şekilde ele alınacaktır.

Aralık 2024’te önceki aya göre fidye yazılımı saldırılarında genel bir düşüş yaşansa da (yaklaşık %12,38 oranında), bu durum saldırıların nitelik ve kapsamındaki çeşitliliği azaltmamıştır Yapılan analizler, özellikle yıl sonu ve yeni yıla geçiş döneminde çevrimiçi alışveriş ve etkileşimlerin artmasıyla saldırı vektörlerinin daha farklı şekillerde kullanılabileceğini öngörmektedir

Bu raporda öne çıkan bir diğer husus ise çeşitli fidye yazılım gruplarının saldırı sayılarına yansıyan dalgalanmalardır. Örneğin “Cl0p” grubunun kurban sayısının 0’dan 68’e fırlaması, fidye yazılım saldırılarının potansiyel olarak ne kadar hızlı büyüyebileceğini gözler önüne sermektedir . Bununla birlikte “RansomHub” ve “Akira” gibi gruplarda dikkate değer bir düşüş kaydedilirken, “Funksec” adlı yeni bir oluşum 50 vakayla adeta sahneye hızlı bir giriş yapmıştır .

Aralık 2024 döneminde üretim (manufacturing) sektörü yine en yüksek saldırı oranına sahip olsa da (77 vaka), bir önceki aya göre %14,4’lük bir düşüşle dikkat çekmektedir. Sağlık, e-ticaret, hızlı tüketim ürünleri (FMCG) ile bankacılık ve finans sektörlerinde ise artışlar gözlenmiştir. Bu artışların, ilgili sektörlerin dijital dönüşüm hızının yüksek olması ve hassas veri barındırma oranının giderek yükselmesiyle bağlantılı olduğu düşünülmektedir.

Coğrafi açıdan bakıldığında, Aralık 2024’te en çok etkilenen ülke %53,30 oranla Amerika Birleşik Devletleri olmuştur. İkinci sırada Kanada (%5,65), üçüncü sırada ise Hindistan (%3,95) gelmektedir. Almanya ise Avrupa’daki endüstriyel faaliyetlerin yoğunluğu nedeniyle %2,64’lük payına rağmen dikkat çekici bir hedef konumundadır.

Raporda “Funksec” ve “Bleubox” isimli iki yeni grubun sahneye çıktığı vurgulanmaktadır (CYFIRMA, 2024, s. 8). Funksec, özellikle VMware ESXi hiper yönetici katmanlarını ve Windows sunucularını hedef alarak kısa sürede 50 kurban listelemiştir. Bleubox ise kurbanlarına ait verileri sızdırmakla tehdit eden bir veri sızıntı sitesi (data-leak site) üzerinden faaliyet göstermektedir.

Bunun yanı sıra, daha önce de bilinen ve aktifliğini koruyan “Cl0p” ransomware grubu; Cleo Harmony, VLTrader ve LexiCom gibi yazılımlar üzerinde tespit edilen (zero-day) açıklarını kullanarak veri hırsızlığı ve uzaktan kod çalıştırma senaryoları geliştirmektedir. Cl0p, daha önce MOVEit Transfer ve GoAnywhere MFT platformlarını hedef almasıyla da tanınmaktaydı. Aynı raporda, bu gibi saldırılarda “Malichus” adlı arka kapı (backdoor) yazılımı kullanıldığı ve bunun verileri çalma, komut yürütme gibi çok çeşitli kabiliyetlere sahip olduğu belirtilmektedir.

Bir diğer dikkat çekici nokta, “Black Basta” fidye yazılımının özellikle e-posta saldırısı (email bombing) ve sosyal mühendislik yöntemlerine odaklanmasıdır. Rapordan yer alan bilgilere göre saldırganlar, hedef kitlenin e-posta kutusunu aşırı derecede gelen mesajla doldurup, ardından Microsoft Teams gibi kurumsal haberleşme araçları üzerinden “IT destek” rolünde iletişime geçmektedir. Böylelikle kurbanı, “AnyDesk” ve “Quick Assist” gibi uzaktan erişim araçlarını kurmaya ikna etmekte ve güvenlik duvarının içinden sızma imkânı elde etmektedirler. Ardından “Zbot” ve “DarkGate” gibi kötü amaçlı yazılımlarla ağ keşfi, kimlik bilgisi toplama ve veri sızdırma süreçleri çok hızlı ve organize bir şekilde yürütülmektedir

Bu yaklaşım daha önce sıkça görülen botnet temelli klasik saldırı vektörlerine kıyasla daha “hibrit” bir model ortaya koymaktadır. Sosyal mühendislik marifetiyle kurulan güven ortamı, alışılagelmiş zararlı yazılımların hızlı etkisiyle birleşince saldırganların hedefleri üzerinde anlık ve geniş ölçekli başarı sağlamasını kolaylaşmaktadır.

Yapılan araştırmalara göre, fidye yazılım saldırılarına uğrayan işletmelerin yaklaşık %31’i, operasyonlarını en azından bir süreliğine durdurmak zorunda kalmaktadır. Bu durumun ardında yatan ana neden, kritik verilerin şifrelenmesi ve/veya sunucu altyapısının kullanılmaz hâle gelmesi olarak ifade edilmektedir. Aynı zamanda %40 oranında işletmenin personel azaltmaya gitmesi ve %35 seviyesinde yönetici kademelerinde istifaların yaşanması, saldırıların yalnızca teknik değil, kurumsal kültür ve iş gücü bakımından da ciddi sonuçlar doğurduğuna işaret etmektedir .

Özellikle küçük ve orta ölçekli işletmelerin (KOBİ) bu gibi ataklara karşı daha savunmasız olduğu, saldırı sonucunda **iflas etme **veya tamamen kapanma ihtimallerinin son derece yüksek olduğu da raporda dile getirilmiştir. Burada belirtilen %75’lik oran, siber suçluların KOBİ’lere dönük saldırılarını artırabileceğine dair ciddi bir uyarı niteliğindedir (CYFIRMA, 2024, s. 10).

Geleceğe Yönelik Öngörüler ve Temel Tavsiyeler • Yama Yönetimi (Patch Management) ve Zafiyet Takibi: Rapora göre fidye yazılım grupları, Apache ActiveMQ gibi yaygın kullanılan platformlardaki CVE-2023-46604 ve Cleo Harmony paketlerindeki CVE-2024-50623 gibi zafiyetleri son derece hızlı biçimde istismar etmektedir (CYFIRMA, 2024, s. 5, 7). Bu nedenle yazılımların güncel tutulması ve güvenlik yamalarının gecikmaksızın uygulanması kritik önem taşır. • Sosyal Mühendisliğe Karşı Farkındalık: Black Basta örneğinde görüldüğü gibi, saldırganlar kurbanların güvenini kazanmak için çok katmanlı sosyal mühendislik taktikleri uygulamaktadır. Kurum içi eğitimlerin düzenli yapılması, çalışanların beklenmedik istekler ya da kimlik doğrulama yöntemleri karşısında şüpheci olmaları gerektiğinin anlatılması önemlidir (CYFIRMA, 2024, s. 6). • Incident Response ve İş Sürekliliği Planlaması: Bir fidye yazılım saldırısı sırasında ve sonrasında işletmenin hızla toparlanabilmesi için olay müdahale planlarının (IRP) düzenli olarak test edilmesi, yedekleme politikalarının doğru kurgulanması ve yönetilmesi hayati rol oynamaktadır (CYFIRMA, 2024, s. 13). • Kurumsal Yönetişim ve Denetim Mekanizmaları: Özellikle büyük şirketlerde veri güvenliği, sadece BT ekiplerinin değil, aynı zamanda üst yönetimin de sorumluluğu altında olmalıdır. Yüksek seviyede güvenlik yönetişimi ve düzenli denetim raporlamaları, olası zayıf noktaların hızlı tespit ve giderilmesine destek olur (CYFIRMA, 2024, s. 12-13).

##Sonuç Aralık 2024 döneminde nispeten azalma eğilimi gözlemlense bile fidye yazılım saldırıları, hem taktiksel hem de stratejik boyutlarda ciddi tehdit oluşturmaya devam etmektedir. Cl0p’un sıfır gün açıklarını kullanarak gerçekleştirdiği saldırılar, Black Basta’nın sosyal mühendislikteki yenilikçi yöntemleri ve Funksec ile Bleubox gibi yeni aktörlerin süratle sahaya girmesi, fidye yazılım ekosisteminin hiç durmadan evrildiğini ortaya koymaktadır (CYFIRMA, 2024, s. 3, 6, 8).

Bu bağlamda, kuruluşların proaktif savunma politikalarına yönelmesi, zafiyet yönetimi süreçlerini aksatmadan yürütmesi ve siber farkındalığı sürekli güncel tutması önemli bir gereklilik haline gelmiştir.

Kaynakça; CYFIRMA. (2024). Tracking Ransomware – December 2024. (s. 1–14).

Tanıtım ve Teknik Analiz

HackRF One, Great Scott Gadgets tarafından geliştirilen, açık kaynaklı bir Yazılım Tanımlı Radyo (SDR) cihazıdır. Bu cihaz, radyo frekansı (RF) sinyallerini yakalamak, analiz etmek, modüle etmek ve yeniden iletmek için tasarlanmıştır. Hem amatör radyocular hem de profesyonel mühendisler, güvenlik uzmanları ve araştırmacılar için önemli bir araç olmuştur. Bu yazıda, HackRF One'ın teknik özelliklerine, donanım detaylarına, yazılım desteğine ve kullanım senaryolarına değinmeye çalışacağız.

HackRF One Detaylı İnceleme

• Frekans Aralığı: 1 MHz - 6 GHz: Bu, cihazın çalışabileceği tam frekans aralığıdır. Ancak, pratik kullanımda en iyi performansı ve doğruluğu 10 MHz ile 6 GHz arasında gösterir. Bu geniş bant, birçok uygulama için kullanılabilir: VHF/UHF: Amatör radyo, FM radyo yayınları, hava bandı. SHF: WiFi, Bluetooth, GSM, 3G/4G/5G hücresel iletişim. Microwave: Radar, uydu iletişimi

• Örnekleme Hızı: Maksimum 20 MSPS: Bu, cihazın bir saniyede kaç örnek alabileceğini belirler. HackRF One, 20 milyon örnek/saniye hızında örnekleme yapabilir. Birçok SDR uygulaması için yeterli olsa da, çok yüksek bant genişliklerinde sınırlayıcı olabilir. Örneğin: Narrowband uygulamalar (AM/FM radyo) için yeterli. Wideband uygulamaları (yüksek hızlı veri iletimi) için sınırlayıcı.

• Bit Derinliği: 8-bit: Bu, her örneğin 8 bit ile temsil edildiği anlamına gelir. Bu bit derinliği, sinyalin dinamik aralığını ve çözünürlüğünü belirler. 8-bit çözünürlük: Orta seviye dinamik aralık sunar. Küçük sinyal detaylarının kaybına yol açabilir, ancak çoğu uygulama için yeterlidir.

• Arayüz: USB 2.0: Bilgisayar ile iletişim için kullanılır. Maksimum 480 Mbit/sn veri transfer hızına sahiptir, bu da cihazın örneklenmiş veriyi bilgisayara aktarırken yüksek bir hız sağlar.

• Güç Tüketimi: 500mA (USB'den beslenir). Bu, cihazın taşınabilir uygulamalar için uygun olduğunu gösterir, ancak yoğun kullanımda güç kaynağının yeterli olduğundan emin olunmalıdır.

• FPGA (Field-Programmable Gate Array): FPGA, cihazın sinyal işleme ve özelleştirme yeteneklerini sağlar. HackRF One'da bulunan FPGA: Sinyal işlemesini hızlandırır. Kullanıcı tanımlı özel işlemler yapabilme imkanı sunar (örneğin, özel modülasyon/demodülasyon işlemleri).

• ADC ve DAC: ADC (Analog-Digital Converter): Analog sinyalleri dijital veriye çevirir. DAC (Digital-Analog Converter): Dijital veriyi analog sinyallere dönüştürür. Bu dönüştürücüler, sinyallerin hem alınması hem de yeniden iletilmesi için kritik öneme sahiptir.

Kullanım Alanları

• Sinyal Analizi: Kablosuz iletişim protokollerinin analizi, sinyal bozulmalarının incelenmesi, RF ortamının izlenmesi.

• Güvenlik: Kablosuz ağların güvenlik açıklarının tespiti, penetrasyon testleri, yeni güvenlik protokollerinin değerlendirilmesi.

• Araştırma ve Geliştirme: Yeni radyo protokollerinin geliştirilmesi, akademik araştırmalar, SDR teknolojisinin öğretilmesi.

• Amatör Radyo: Deneysel iletişim modlarının keşfi, radyo amatörlerinin eğitim ve eğlence amaçlı kullanımı.

• Donanım: Mikrodenetleyici: Cihazın kontrolünü ve veri akışını yönetir. Osilatör: Doğru frekans üretimi ve sinyal kararlılığı için önemlidir. Filtreler: İstenmeyen frekansları filtrelemek için kullanılır. Amplifikatörler: Sinyallerin güçlendirilmesi veya zayıflatılması.

Yazılım Desteği

• GNU Radio: HackRF One için en geniş destek sunan yazılım platformudur. Python veya C++ ile geliştirme yapma imkanı sağlar. Blok tabanlı programlama ile kullanıcılar kendi SDR uygulamalarını geliştirebilir.

• SDRSharp (SDR#): Windows için grafiksel arayüz sunar. Kolay kullanımı ile özellikle amatör kullanıcılar arasında popülerdir. Çeşitli modülasyon türlerini destekler (AM, FM, SSB, CW vb.).

• Kaitai: Komut satırı aracı olarak, cihazın doğrudan kontrolü ve temel testler için kullanılır. Otomasyon ve hızlı testler için idealdir.

• Kullanım Alanları: Sinyal Analizi: Spektrum analizi, protokol analizi, sinyal bozulması incelemesi. Güvenlik: Kablosuz ağ güvenliği testleri, RF saldırı simülasyonları. Araştırma ve Geliştirme: Yeni iletişim protokolleri geliştirme, SDR teknolojisi üzerine araştırmalar. Eğitim: Radyo teknolojisi ve SDR'nin eğitim amaçlı kullanımı.

Avantajları

• Esneklik: Geniş frekans aralığı ve FPGA desteği ile çeşitli uygulamalara uyum sağlar.
• Açık Kaynak: Kullanıcılar tarafından geliştirilen projeler ve yazılımlar sayesinde sürekli güncellenir ve genişletilir.
• Eğitim Aleti: Radyo frekansı ve SDR teknolojisi üzerine eğitim için mükemmel bir araçtır.

Dezavantajları

• Performans Sınırları: Örnekleme hızı ve bit derinliği bazı profesyonel uygulamalar için yetersiz kalabilir.
• Yasal Kısıtlamalar: Kullanımı, yerel RF yayın düzenlemelerine tabidir ve yanlış kullanım yasal sorunlara yol açar.
• Fiyat: Orta seviye bir SDR cihazı olarak, giriş seviyesi SDR cihazlarından daha pahalıdır.

HackRF One, SDR teknolojisi ile ilgili çok çeşitli uygulamalara olanak tanıyan, güçlü ve esnek bir cihazdır. Teknik detayları anlamak, kullanıcıların bu cihazdan maksimum verimi almalarını sağlar. Ancak, yasal düzenlemelere dikkat etmek ve etik kurallara uymak önemlidir. Bu cihaz, radyo frekansı dünyasını keşfetmek isteyen herkes için zengin bir araç seti sunar.

Kuzey Koreli hacker grubu TraderTraitor, Japonya merkezli Bitcoin.DMM.com şirketinden 308 milyon dolar değerinde kripto para çalarak siber suç dünyasında yankı uyandıran bir saldırıya imza attı. Bu olay, sosyal mühendislik ve siber saldırıların ne kadar tehlikeli boyutlara ulaşabileceğini bir kez daha gözler önüne serdi. FBI, Japonya Ulusal Polis Ajansı ve diğer uluslararası kurumlar, bu saldırının detaylarını ve Kuzey Kore'nin yasa dışı faaliyetlerini ortaya çıkarmak için çalışmalarını sürdürüyor.

TraderTraitor, aynı zamanda Jade Sleet, UNC4899 ve Slow Pisces isimleriyle de bilinen bir hacker grubu. Bu grup, sosyal mühendislik yöntemlerini ustalıkla kullanarak hedef aldığı şirketlerin çalışanlarını manipüle ediyor. Mart 2024'te, bir Kuzey Koreli hacker, LinkedIn üzerinden Japonya merkezli Ginco şirketinin bir çalışanıyla iletişime geçti. Ginco, kurumsal kripto para cüzdanları için yazılım geliştiren bir şirket olarak biliniyor. Bu sebeple bu tip bir operasyon açısından bir çalışanın hedef alınması şarşırtıcı değil.

Hacker, kendisini bir işe alım uzmanı olarak tanıtarak Ginco çalışanına ön mülakat aşamasında bir iş başvurusu testi sundu. IT sektöründe oldukça yaygın olan bu uygulama, bu alanda çalışan pek çok insan için oldukça bilinen birşey. Bu sebeple kurban Gİnco çalışanı da bu durumu oldukça normal karşılamış olmalı. Ancak bu test, aslında zararlı bir Python koduydu ve GitHub üzerinden paylaşıldı. Çalışan, bu kodu kendi GitHub hesabına kopyaladığında sistem enfekte oldu ve hackerlar Ginco'nun sistemine erişim sağladı.

Mayıs 2024'te, TraderTraitor grubu Ginco'nun iletişim-Doğrulama sistemine yetkisiz erişim elde etti. Bu erişim, çalınan oturum çerezleri sayesinde mümkün oldu. Hackerlar, Ginco çalışanlarının kimliğine bürünerek sistemde hareket etti. Aynı ayın sonunda, DMM şirketinden gelen yasal bir işlem talebine müdahale ederek 4502,9 Bitcoin'i kendi kontrol ettikleri cüzdanlara aktardılar. Bu miktar, saldırı sırasında 308 milyon dolar değerindeydi.

Bu büyük saldırının ardından, DMM şirketi Kasım 2024'te DMM Bitcoin hizmetini kapatma kararı aldı. Şirket, tüm müşteri hesaplarını ve varlıklarını SBI Group'un bir yan kuruluşu olan SBI VC Trade platformuna devredeceğini duyurdu. Bu geçişin Mart 2025'te tamamlanması planlanıyor.

Bu olay, siber güvenlikte insan faktörünün ne kadar kritik olduğunu bir kez daha gösteriyor. Sosyal mühendislik saldırıları, teknik güvenlik önlemlerini aşarak çalışanların dikkatsizliğinden faydalanıyor. Şirketlerin, çalışanlarını bu tür saldırılara karşı eğitmesi ve farkındalık yaratması büyük önem taşıyor.

FBI ve diğer uluslararası kurumlar, Kuzey Kore'nin yasa dışı faaliyetlerini durdurmak için çalışmalarını sürdürüyor. Ancak bu tür saldırılar, siber güvenlik önlemlerinin sürekli olarak güncellenmesi ve güçlendirilmesi gerektiğini hatırlatıyor.

Sonuç olarak, Kuzey Koreli hackerların gerçekleştirdiği bu saldırı, kripto para dünyasında güvenlik açıklarının ne kadar büyük kayıplara yol açabileceğini gözler önüne seriyor. Şirketler ve bireyler, bu tür tehditlere karşı daha dikkatli olmalı ve güvenlik önlemlerini artırmalıdır ve insanın ne bu yapıdaki en büyük güvenlik açığı olduğu unutulmamalıdır.

Kaynak :

Siber saldırganların hedef aldıkları kurum, kuruluş veya şahıslara ait hassas verileri (kullanıcı adı, parola, kredi kartı bilgileri, kimlik bilgileri vb.) ele geçirme amacıyla oluşturulan sahte e-postalara Phishing e-mail(oltalama e-postası) adı verilir. Phishing mailleri genellikle güvenilir bir kaynaktan geliyormuş gibi görünüp, kullanıcıları sahte web sitelerine yönlendirir veya zararlı yazılımlar içeren bağlantılarla onları kandırmaya çalışır. Phishing, "fish" (balık) kelimesinden türetilmiştir ve siber saldırganların hedeflerini "yakalamak" için kullandığı bir metafordur. Siber saldırganların amacı, genellikle bir oltaya takılan balık gibi, dikkatli olmayan kullanıcıları tuzağa düşürmektir.

Phishing Mailler'in Çalışma Prensibi Nedir ?

Siber saldırganlar, psikolojik manipülasyon ve sahtekarlık üzerine kurulu olan bu maillerle hedef kitleye saldırılarda bulunurlar. Bahsi geçen saldırılar şu şekilde gerçekleşir:

• Hedef Seçimi: Phishing mail saldırıları genellikle geniş bir kitleye yönelik yapılır. Fakat bazen spesifik saldırılar da yapılır, bu saldırılarda belirli bireyler (örneğin, kurum içindeki yöneticiler, muhasebe personeli, insan kaynakları personeli vb.) hedeflenir. Saldırganlar genellikle kurbanın e-posta adresini ve kişisel bilgilerini darkweb ve deepweb gibi illegal platformlarda bulunan “sızdırılmış veri tabanlarından“ elde etmektedir.
• Sahte Mesajın Gönderilmesi: Siber saldırgan, hedeflenen kişilere sahte bir e-posta gönderir. Bu sahte e-posta genellikle, bir banka, e-ticaret sitesi ya da sosyal medya platformu gibi meşru bir kurumdan geliyormuş gibi gösterilir. "Hesabınızda şüpheli bir etkinlik tespit edildi" veya "Hesabınızı doğrulamak için acilen giriş yapmanız gerekiyor" gibi acil işlem çağrılarında bulunarak kullanıcıları manipüle etmeye çalışırlar.
• Sahte Linkler veya Sahte Eklentiler: Phishing e-postaları genellikle, tıklanması istenen sahte bir bağlantı (URL) veya zararlı yazılım içeren eklentilerle gelir. Bu linklere tıklandığında, kullanıcılar sahte bir web sayfasına yönlendirilir. Bu sahte sayfa, gerçek bir kurumun web sitesinin bire bir kopyası olacak şekilde tasarlanmıştır.
• Kişisel Verilerin Çalınması: Dikkat edilmediği durumlarda bahsi geçen sayfada oturum açmak veya ödeme yapmak amacıyla kişisel bilgilerini (kullanıcı adı, şifre, kredi kartı numarası vb.) dolduran kullanıcının tüm bilgileri siber saldırganların eline geçebilir. Saldırganlar bu bilgileri toplayarak kötü amaçlarla kullanabilir.

Phishing Mail Türleri Nelerdir ?

1. Spear Phishing (Hedeflenmiş Phishing)

Yukarıda belirttiğimiz gibi Phishing saldırılarının bazıları spesifik hedeflere yapılabilmektedir. Bu tür spesifik saldırılara Spear Phishing adı verilmektedir. Burada saldırganlar, belirli bir kişi, grup veya kuruluşu hedef alır ve saldırıda kullanılan e-posta belirledikleri kullanıcılara göre kişiselleştirilir. Kurbanın iş arkadaşları, yöneticileri veya sosyal çevresindeki insanlar hakkında bilgi toplayarak, daha inandırıcı bir e-posta içeriği hazırlayabilirler. Saldırgan, hedefin iş arkadaşı, amiri veya şirketin üst düzey yöneticisi gibi görünerek kurbana göndereceği e-postada bir bağlantı veya dosya eki ekleyebilir.

2. Whaling (Büyük Balina Phishing)

Bu saldırılar daha büyük hedeflere dolayısıyla daha değerli verilere odaklanır. Whaling, "whale" (balina) kelimesinden türetilmiş ve balina avcılığı olarak adlandırılmıştır. Yani, bu tür saldırılar genellikle üst düzey yöneticilere (CEO, CFO, CMO vb) yönelik olur. Saldırganlar genellikle çok sofistike ve kişiselleştirilmiş yöntemler kullanarak, bahsi geçen yüksek profilli kişilerin veya bu kişilerin için bulundukları kurumlara ait özel bilgilerini çalmayı amaçlarlar. Whaling saldırıları, Spear phishing saldırılarının bir alt türüdür fakat iki türü birbirinden ayıran en büyük özellik whaling saldrılarında hedeflenen kitlenin yüksek profilli kişiler olmasıdır.

3. Vishing (Voice Phishing)

Vishing saldırıları, "voice" (ses) ve "phishing" (oltalama) kelimelerinin birleşiminden türetilmiş bir terimdir. Vishing saldırılarında, saldırganlar telefon aracılığıyla kurbanlarına ulaşarak, onları kişisel bilgilerini vermeleri veya belirli eylemler yapmaları için çeşitli sosyal mühendislik metotları ve manipülasyon teknikleri kullanırlar. Vishing saldırılarını phishing saldırılarının sesli versiyonu olarak düşünebiliriz.

4. Smishing (SMS Phishing)

Smishing, phishing saldırılarının SMS üzerinden gerçekleştirilen versiyonudur. Bu saldırılarda, kullanıcıya SMS ile bir link gönderilir ve kullanıcı bu linki tıklayarak sahte bir web sitesine yönlendirilir. Kullanıcı, bu sahte site üzerindeki formları doldurduğunda kişisel bilgilerini saldırganların eline geçmektedir. Smishing genellikle kampanya, indirim, ödül veya çekiliş kazanma gibi cazip teklifler içerir.

Phishing Mail'in Belirtileri

Phishing mailleri, genellikle dikkatli incelendiğinde bazı ortak belirtileri taşır. Bu ortak özellikleri şu şekilde sıralayabiliriz:

1. Gönderen E-posta Adresi

Phishing maillerinde, e-posta adresleri gerçek bir kuruma ait gibi gözükebilir fakat e-posta adresi dikkatle incelendiğinde küçük yazım hataları fark edilebilir. Örneğin, bir firma adına gelen bir e-posta adresi "support@drdisklab.com" yerine "support@drdisclab.com" olabilir.

2. Dil ve Yazım Hataları

Gerçek bir kurum veya kuruluştan gelmesi gereken e-postalarda dil hataları, yazım yanlışları veya garip cümle yapıları görülmesi pek olası bir durum değildir. Gerçek kurum ve kuruluşlar, profesyonel bir dil kullanır ve bu tip basit hatalar söz konusu değildir. Fakat phishing e-postalarında genellikle bu tür basit hatalar sıkça gözükse de profesyonel bir şekilde hazırlanmış phishing mailler olabileceğini göz ardı etmemek gerekir.

3. Acil Durum İddiaları

Phishing e-postalarında, kullanıcıyı acele etmeye ve hızlı tepki vermeye zorlayıcı içeriklere sıkça rastlanmaktadır. "Hesabınız askıya alınacak, hemen giriş yapın!" veya “Hesabınız risk altında, şifrenizi güncellemek için bağlantıya tıklayın!” gibi ifadelerle kullanıcıları panik etmeye yönelik teknikler kullanılır. Bu tür baskılar, kullanıcıların düşünmeden hareket etmelerine yol açabilir.

4. Sahte Bağlantılar

Phishing e-postaları, genellikle tıklamanız için sizi bir bağlantıya yönlendirir. Bu bağlantılar, gerçeğini aratmayacak kadar özenli bir tasarımla oluşturulmuş sahte web sayfalara yönlendirme yapılmak için kullanılır. Kullanıcılar, bağlantılara tıklamadan önce URL’yi dikkatlice kontrol etmelidir. Bahsi geçen URL’de gerçek bir kurumun web adresine çok benzer fakat küçük farklar içeren sahte bağlantılar olabilir.

5. E-posta Eki

Phishing e-postalarında, sıkça gördüğümüz zararlı yazılımlar içeren ekler yer almaktadır. Kullanıcılar, bu sahte eklerdeki dosyaları açtığında bilgisayarına kötü amaçlı yazılım bulaşabilir. Bu yüzden, özellikle tanımadığınız kişilerden gelen ekleri açmaktan kaçınmalısınız.

Phishing Maillerinden Nasıl Korunulur?

• Gönderici E-Posta Adreslerinin Kontrol Edilmesi: Tanımadığınız bir mail adresinden gelen mail içeriklerini dikkatlice kontrol etmelisiniz. Bir kurum veya kuruluştan beklenmedik bir mail geldiğinde mail adresinin gerçekten o kuruma ait olup olmadığına dikkatli bir şekilde bakmalısınız.
• Bağlantılara Dikkat Edin: E-postalardaki bağlantılara tıklamadan önce, linkin üzerine gelerek (fare imlecini bağlantı üzerine tutarak) URL’yi kontrol edin. Resmi web sitelerinin adreslerini manuel olarak tarayıcıya yazmak her zaman daha güvenlidir.
• Şüpheli E-Postaları Rapor Edin: Şüpheli bir e-posta aldığınızda, bunu doğrudan ilgili kuruma bildirerek başkalarının da bu tür e-postalara düşmesini engelleyebilirsiniz.
• Antivirüs Yazılımlarını Güncel Tutun: Antivirüs yazılımlarınızı ve güvenlik duvarınızı düzenli olarak güncelleyerek dosya eklerindeki ve bağlantılardaki zararlı yazılımlardan cihazınızı koruyabilirsiniz.
• İki Faktörlü Kimlik Doğrulama (2FA) Kullanın: Hesaplarınızda iki faktörlü kimlik doğrulama metodu kullanarak ekstra bir güvenlik katmanı ekleyebilirsiniz.
• E-posta Filtreleme Kullanımı: Spam filtreleme özelliklerini etkinleştirerek, gelen kutunuzda şüpheli e-postaların görünmesini engelleyebilirsiniz.

Sonuç

Phishing mailler, dijital dünyanın en önemli güvenlik tehditlerinden biridir. Her bireyin, phishing saldırılarının ne olduğunu ve nasıl çalıştığını anlaması, bu tür dolandırıcılıklara karşı daha dikkatli olmasına yardımcı olur. Teknolojinin gelişmesiyle birlikte phishing saldırıları da daha sofistike hale gelmiştir, ancak bilinçli bir kullanıcı olmak ve güvenlik önlemleri almak bu tehditlerden korunmanıza yardımcı olacaktır. Kurum ve kuruluşların bünyesindeki kullanıcıları siber güvenlik farkındalığı konusunda desteklemesi ve eğitmesi gerekmektedir. DrDisk Lab gibi sektörde öncü firmalardan konuyla ilgili eğitim ve danışmanlık hizmeti alabilirsiniz.

Rus Casuslar Benzeri Görülmemiş Bir Hacklemeyle Wi-Fi Üzerinden Bir Ağdan Diğerine Atladı

Bir ilk olarak, Rusya'nın APT28 isimli hacker grubu caddenin karşısındaki başka bir binada bulunan bir dizüstü bilgisayarı ele geçirerek bir casusluk hedefinin Wi-Fi ağını uzaktan ihlal etmiş gibi görünüyor.

Kararlı bilgisayar korsanları için, bir hedefin binasının dışındaki bir arabada oturmak ve Wi-Fi ağını ihlal etmek için radyo ekipmanını kullanmak uzun zamandır etkili ancak riskli bir teknik olmuştur. Bu riskler, Rusya'nın GRU isimli askeri istihbarat teşkilatı için çalışan casusların 2018 yılında Hollanda'da bir şehir caddesinde, arabalarının bagajına gizledikleri bir antenle hedef binanın Wi-Fi ağına girmeye çalışırken suçüstü yakalanmalarıyla çok açık bir şekilde ortaya çıktı.

Ancak bu olaydan sonra aynı Rus askeri hacker birimi yeni ve çok daha güvenli bir Wi-Fi hackleme tekniği geliştirmiş görünüyor: Hedeflerinin telsiz menziline girmek yerine, caddenin karşısındaki bir binada başka bir savunmasız ağ buldular, komşu binadaki bir dizüstü bilgisayarı uzaktan hacklediler ve hedefledikleri kurbanın Wi-Fi ağına girmek için bu bilgisayarın antenini kullandılar - Rus topraklarından ayrılmayı bile gerektirmeyen bir telsiz hackleme numarası.

Bugün Virginia, Arlington'da düzenlenen Cyberwarcon güvenlik konferansında siber güvenlik araştırmacısı Steven Adair, firması Volexity'nin 2022 yılında Washington DC'deki bir müşteriyi hedef alan bir ağ ihlalini araştırırken “en yakın komşu saldırısı” olarak adlandırdığı bu benzeri görülmemiş Wi-Fi hack tekniğini nasıl keşfettiğini açıklayacak. DC müşterisinin adını vermekten kaçınan Volexity, o zamandan beri ihlali Fancy Bear, APT28 veya Unit 26165 olarak bilinen Rus hacker grubuna bağladı. Rusya'nın GRU askeri istihbarat teşkilatının bir parçası olan grup, 2016'da Demokratik Ulusal Komite'nin ihlalinden 2018'de Hollanda'da dört üyesinin tutuklandığı başarısız Wi-Fi hackleme operasyonuna kadar çeşitli kötü şöhretli vakalarda yer aldı.

Volexity, 2022'nin başlarında yeni ortaya çıkan bu vakada, Rus bilgisayar korsanlarının hedef ağa sadece caddenin karşısındaki farklı bir tehlikeye atılmış ağdan Wi-Fi yoluyla atladığını değil, aynı zamanda bu önceki ihlalin de aynı binadaki başka bir ağdan Wi-Fi yoluyla gerçekleştirilmiş olabileceğini keşfetti - Adair'in tanımıyla Wi-Fi yoluyla ağ ihlallerinin bir tür “papatya zinciri”. Adair, “Bu, son derece uzakta olan ve esasen ABD'de hedeflenen hedefe fiziksel olarak yakın olan diğer kuruluşlara giren ve daha sonra caddenin karşısındaki hedef ağa girmek için Wi-Fi üzerinden dönen bir saldırganın olduğu ilk vaka” diyor. “Bu daha önce görmediğimiz gerçekten ilginç bir saldırı vektörü.”

Adair, bilgisayar korsanlarının müşterilerinin ağındaki bireyleri hedef almalarına dayanarak, GRU bilgisayar korsanlarının Ukrayna hakkında istihbarat arıyor gibi göründüğünü söylüyor. Papatya dizimi Wi-Fi tabanlı izinsiz girişin, Rusya'nın Şubat 2022'de Ukrayna'yı ilk kez tam ölçekli olarak işgal etmesinden hemen önceki ve sonraki aylarda gerçekleştirilmesinin tesadüf olmadığını söylüyor.

Adair, bu vakanın, sadece otoparkta ya da lobide dolaşan olağan şüphelilerden değil, yüksek değerli hedefler için Wi-Fi'ye yönelik siber güvenlik tehditleri hakkında daha geniş bir uyarı görevi görmesi gerektiğini savunuyor. “Artık bunu motive olmuş bir ulus-devletin yaptığını biliyoruz,” diyor Adair, ”Bu da Wi-Fi güvenliğinin biraz daha artırılması gerektiğini ortaya koyuyor.” Benzer uzaktan Wi-Fi saldırılarının hedefi olabilecek kuruluşlara, Wi-Fi menzillerini sınırlandırmayı, potansiyel davetsiz misafirler için daha az belirgin hale getirmek için ağın adını değiştirmeyi veya çalışanlara erişimi sınırlandırmak için diğer kimlik doğrulama güvenlik önlemlerini almayı düşünmelerini öneriyor.

Adair, Volexity'nin DC müşterisinin ağının ihlalini ilk olarak 2022'nin ilk aylarında araştırmaya başladığını, şirketin izlerini dikkatlice gizleyen bilgisayar korsanları tarafından müşterinin sistemlerine tekrarlanan izinsiz girişlerin işaretlerini gördüğünü söylüyor. Volexity'nin analistleri sonunda, ele geçirilen bir kullanıcının hesabının binanın uzak bir ucunda, dışa bakan pencereleri olan bir konferans odasındaki Wi-Fi erişim noktasına bağlandığını tespit etti. Adair, bu bağlantının kaynağını bulmak için bölgeyi bizzat araştırdığını söylüyor. “Fiziksel olarak ne olabileceğini araştırmak için oraya gittim. Akıllı televizyonlara baktık, dolaplarda cihaz aradık. Otoparkta biri mi var? Bir yazıcı mı?” diyor. “Hiçbir şey bulamadık.”

Ancak bir sonraki saldırıdan sonra, Volexity bilgisayar korsanlarının trafiğinin daha eksiksiz günlüklerini almayı başardığında, analistleri gizemi çözdü: Şirket, bilgisayar korsanlarının müşterilerinin sistemlerinde dolaşmak için kullandıkları ele geçirilmiş makinenin, barındırıldığı alan adının, yani yolun hemen karşısındaki başka bir kuruluşun adını sızdırdığını tespit etti. “O noktada, nereden geldiği yüzde 100 belliydi,” diyor Adair. “Sokaktaki bir araba değil. Yandaki binadan geliyor.”

Komşunun işbirliğiyle Volexity ikinci kuruluşun ağını araştırdı ve sokağa sıçrayan Wi-Fi izinsiz girişinin kaynağının belirli bir dizüstü bilgisayar olduğunu buldu. Bilgisayar korsanları, Ethernet üzerinden yerel ağa bağlı bir yuvaya takılı olan bu cihaza sızmış ve ardından Wi-Fi'sini açarak hedef ağa radyo tabanlı bir aktarıcı olarak hareket etmesini sağlamıştı. Volexity, hedefin Wi-Fi ağına girmek için bilgisayar korsanlarının bir şekilde çevrimiçi olarak elde ettikleri ancak muhtemelen iki faktörlü kimlik doğrulama nedeniyle başka bir yerde kullanamadıkları kimlik bilgilerini kullandıklarını tespit etti.

Volexity sonunda bu ikinci ağdaki bilgisayar korsanlarını iki olası izinsiz giriş noktasına kadar takip etti. Bilgisayar korsanlarının diğer kuruluşa ait bir VPN cihazını ele geçirdikleri anlaşıldı. Ancak aynı binadaki başka bir ağın cihazlarından da kurumun Wi-Fi ağına girmişlerdi; bu da bilgisayar korsanlarının nihai hedeflerine ulaşmak için Wi-Fi üzerinden üç ağa kadar papatya zinciri oluşturmuş olabileceklerini düşündürüyor. Adair, “Kim bilir kaç cihazı ya da ağı ele geçirdiler ve bunu kaç ağ üzerinde yaptılar,” diyor.

Aslında, Volexity bilgisayar korsanlarını müşterilerinin ağından çıkardıktan sonra bile, bilgisayar korsanları o Wi-Fi üzerinden tekrar girmeye çalıştılar ve bu kez misafir Wi-Fi ağında paylaşılan kaynaklara erişmeye çalıştılar. “Bu adamlar çok ısrarcıydı” diyor Adair. Ancak Volexity'nin bu bir sonraki ihlal girişimini tespit edebildiğini ve davetsiz misafirleri hızla kilitleyebildiğini söylüyor.

Volexity, soruşturmasının başlarında, Ukrayna'ya odaklanan müşteri kuruluşundaki bireysel çalışanları hedef almaları nedeniyle bilgisayar korsanlarının Rus kökenli olduğunu varsaymıştı. Ardından Nisan ayında, ilk izinsiz girişten tam iki yıl sonra Microsoft , Windows'un yazdırma biriktiricisindeki bir güvenlik açığının Rusya'nın APT28 hacker grubu (Microsoft bu grubu Forest Blizzard olarak adlandırıyor) tarafından hedef makinelerde yönetici ayrıcalıkları elde etmek için kullanıldığı konusunda uyarıda bulundu. Volexity'nin müşterisinin Wi-Fi tabanlı ihlalinde analiz ettiği ilk bilgisayarda geride kalan kalıntılar bu teknikle tam olarak eşleşiyordu. Adair, “Tam olarak bire bir eşleşti,” diyor.

Google'ın sahibi olduğu siber güvenlik firması Mandiant'ta tehdit istihbaratını yöneten ve GRU hackerlarını uzun süredir takip eden Cyberwarcon'un kurucusu John Hultquist, APT28'in papatya zinciri Wi-Fi korsanlığının arkasında olabileceği fikrinin mantıklı olduğunu söylüyor. Hultquist, Volexity'nin ortaya çıkardığı tekniği APT28'in “yakın erişim” hack yöntemlerinin doğal bir evrimi olarak görüyor ve GRU'nun diğer yöntemlerin başarısız olması durumunda Wi-Fi aracılığıyla hedef ağları hacklemek için bizzat küçük gezici ekipler gönderdiğini belirtiyor. Hultquist, “Bu aslında geçmişte yaptıkları gibi bir yakın erişim operasyonu ama yakın erişim olmadan” diyor.

Kimyasal Silahların Yasaklanması Örgütü Olayı

Yakınına fiziksel olarak bir casus yerleştirmek yerine uzaktan ele geçirilmiş bir cihazdan Wi-Fi yoluyla hacklemeye geçiş, GRU'nun 2018'de Lahey'de bir arabanın içinde GRU'dan ayrılan Sergei Skripal'e yönelik suikast girişiminin OPCW tarafından soruşturulmasına yanıt olarak Kimyasal Silahların Yasaklanması Örgütü'nü hacklemeye çalışırken yakalandığı operasyonel güvenlik felaketinin ardından atılan mantıklı bir sonraki adımı temsil ediyor. Bu olayda APT28 ekibi tutuklanmış ve cihazlarına el konulmuş, benzer yakın erişim saldırıları gerçekleştirmek üzere Brezilya'dan Malezya'ya kadar dünya çapında seyahat ettikleri ortaya çıkmıştı.

“Bir hedef yeterince önemliyse, insanları şahsen göndermeye isteklidirler. Ancak burada gördüğümüz gibi bir alternatif bulabilirseniz bunu yapmak zorunda değilsiniz,” diyor Hultquist. “Bu, bu operasyonlar için potansiyel olarak büyük bir gelişme ve muhtemelen daha fazlasını göreceğimiz bir şey - eğer henüz görmediysek.”

Andy Greenberg

Siber dünyada büyük bir operasyon daha başarıyla sonuçlandı. Uluslararası bir kolluk kuvveti olan EUROPOL, “Underground” diye tabir edilen yeraltı çetelerine yönelik hizmet veren ve Ransomware grupları da dahil olmak üzere çeşitli siber suç gruplarına hitap eden VPN sağlayıcısı ’in sunucularını ele geçirdi.

Bu operasyonda Europol, Almanya, Hollanda, Kanada, Çek Cumhuriyeti, Fransa, Macaristan, Letonya, Ukrayna, ABD ve İngiltere’de VPNLab ekibi tarafından işletilen 15 sunucuya el koydu.

Herhangi bir tutuklama duyurulmamakla birlikte, şirketin hizmetleri çalışamaz hale getirildi ve ana web sitesinde şimdi bir Europol el koyma afişi görülüyor.

Europol’ün Avrupa Siber Suç Merkezi Başkanı Edvardas Šileris bugün yaptığı açıklamada, “Bu soruşturma kapsamında gerçekleştirilen eylemler, suçluların izlerini çevrimiçi olarak gizleme yollarının tükendiği açıkça ortaya koyuyor.” dedi.

Bu saldırıdan önce VPNLab, 2008’den beri yeraltı korsanlarına yönelik hizmet sunuyordu. Yıllık hizmet bedeli olarak 60$’a hizmet veriyordu ve OpenVPN teknolojisi üzerinde inşa edilmişti. Yüksek bağlantı güvenliği için 2048 bit şifreleme kullanan VPNLab, müşterileri için bağlantıları şifrelemek ve anonimleştirmek için bir hizmet ağı oluşturmuştu. VPNLab’ın çökertilmesi, Europol ve Hollanda polisinin geçen yıl Haziran ayında ‘in ele geçirilmesi ardından kolluk kuvvetlerinin suç grupları için bir VPN sağlayıcısına karşı ikinci kez harekete geçtiğini ve bunda da başarılı olduğunu gösteriyor.

Soruşturmaya öncülük eden Hannover Polis Departmanı Şefi Volker Kluwe, “Bu eylemin önemli bir yönü de, hizmet sağlayıcıların yasadışı eylemi desteklemesi ve kolluk kuvvetlerinden gelen yasal talepler hakkında herhangi bir bilgi vermemesi durumunda, bu hizmetlerin kurşun geçirmez olmadığını göstermektir.” dedi.

Europol, VPNLab’ı yayından kaldırmanın bir getirisi olarak, sunucularda bulunan verilerle 100’den fazla işletmeyi yaklaşan siber saldırılar hakkında bilgilendirdiklerini söyledi.

Europol bugün yaptığı açıklamada,”Kolluk kuvvetleri, maruziyetlerini azaltmak için doğrudan bu potansiyel kurbanlarla birlikte çalışmaktadır.” dedi.

Bakanlıktan yapılan yazılı açıklamada, Tarım ve Orman Bakanlığının bilişim sistemlerine yapılan siber saldırı hakkında bilgi verildi.

Hacker grupları tarafından kamu kurumları ve özel sektörün bilişim sistemlerinin sürekli hedef alındığı hatırlatılan açıklamada şunlar kaydedildi:

“31 Temmuz saat 01.00 sıralarında itibarıyla Tarım ve Orman Bakanlığının domainlerinden birinde bulunan bazı sunucular siber saldırıya uğramış ve kullanılmaması için şifrelenmiştir. Bakanlığımızca sabah erken saatlerde bu durum fark edilmiş, sistem şifreleme protokolleri devreye girmiş ve Cumhurbaşkanlığı Dijital Dönüşüm Ofisi yetkileri ile koordineli olarak bir çalışma başlatılmış, gerekli tedbirler alınmıştır. Bu saldırıda Bakanlığımızın bir kısım sunucuları hedef alındığı için öncelikle tüm sistemin güvenliği kontrol altına alınmıştır.

Bu yapılan siber saldırıda Bakanlığımızın ana domainde olan sunucular etkilenmemiş olup Bakanlığımızda 3 ayrı yedekleme sistemi mevcuttur. Bu yedekleme sistemleri Bakanlığımızda ve özel bir veri merkezinde saklanmaktadır.”

Açıklamada, etkilenen sunucuların ve yedeklerinin kriminal inceleme için koruma altına alındığı belirtilerek, “Elimizde bulunan diğer sistemler üzerine yeniden yazımlar ve veri tabanı kurulmuştur. Sistemlere ilk müdahale eden pro​fesyonel ekip sistemleri koruma altına alıp internet bağlantılarını kestiği ve sunuculara hiçbir suretle müdahale edilmediği için kişilerin ne istediği ile ilgilenilmemiş ve doğrudan Bakanlığımız yedek sistemlerinin ayağa kaldırılması yoluna gidilmiştir. Sistemler, kurum dışındaki yedeklerden veri kaybı olmadan ayağa kaldırılmıştır. Konu adli makamlara iletilmiş olup gerekli inceleme başlatılmıştır.” ifadesi kullanıldı.

Grupla ilgili henüz kesin bir bilgiye ulaşılamamakla birlikte, genellikle vpn zafiyetlerinden faydalanan ve sahte e-mail (fishing) yöntemleri ile saldırı gerçekleştiren bir fidye virüsü grubu olduğu söyleniyor. Rus menşeli olduğu düşünülen bu ransomware grubunun, daha önce yabancı bir çok kuruma da bu tür saldırılar gerçekleştirdiği bilgisine ulaşılmıştır. Ransomware grupları arasında en çok konuşulan gruplar Revil, Conti, LockBit, Ragnarok, BlackMatter, RansomExx gibi kötülüğü ile ün salmış gruplardan birinin olduğu düşünülmektedir. Şifrelemenin, bakanlığın yaptığı açıklamada belirtildiği üzere, gece saatlerinde başladığı fakat sisteme daha önceden sızmış olan ransomware grubunun sistemi uzunca bir süre takip ettikten sonra kritik verileri tespit edip, daha sonra atağa geçtiği düşünülmektedir. Terabyte boyutundaki verilerin bir gecede şifrelenebilmesinin diğer türlü mümkün olmayacağı düşünülmektedir. Yurtiçinde, bu konuda uzman kişilerin görüşüne başvurulduğu, dışardan destek alınmaya çalışıldığı gelen bilgiler arasında. Aradan geçen zamana rağmen sistemlerde henüz iyileştirmenin tamamlanmadığı gözlemlenmiştir. Düzenli olarak kurum dışında alınan yedekler haricinde, kuruma ait yedekleme sunucularının da bu saldırıdan etkilendiği söyleniyor. Kurum dışında alınan yedeklerin sağlıklı bir şekilde çalışabilmesi için, kurum içerisinde yedeklenen verilerin çözülmesi gerektiği, aksi takdirde alınan yedeklerin kendi başına sistemin çalışmasını sağlayamayacağı düşünülmektedir.

Şu ana kadar edindiğimiz bilgiler bunlar olmakla birlikte, detaylara ulaşıldıkça konu hakkında bilgilendirmeler devam edecektir.

Signal Messenger veritabanları, tüm işletim sistemlerinde (iOS, Android, Windows) farklı şekilde şifrelenir. En kolayı windows masaüstü uygulamasıdır, anahtarı sqlcipher ile kolayca çözebileceğiniz config.json dosyasında saklar ki şimdilik konumuz bu değil. Üstünde asıl çalışacağımız konu android versiyonudur. Bilindiği üzere adli bilişim süreçlerinde bu tarz gizli ve şifreli mesajlaşma uygulamalarının içeriğine erişmek, bir çok vakanın çözülmesine yardımcı olmaktadır.

Android cihazlarda, AES-GCM modunu kullanarak veritabanının şifresini çözmek için üç değer almamız gerekiyor, ilki USERKEY_SignalSecret anahtar deposu (keystore) olan anahtar değeridir. İkincisi, IV değerleri olan şifre metnidir.

Windows:

Database: C:\Users\AppData\Roaming\Signal\sql\db.sqlite

Key: C:\Users\Digisecure\AppData\Roaming\Signal\config.json

Android:

Database: /data/data/org.thoughtcrime.securesms/databases/signal.db

key: /data/keystore/user_0/10044_USRSKEY_SignalSecret

IV + authTag içeren şifreli metin: org.thoughtcrime.securesms\shared_prefs\org.thoughtcrime.securesms_preferences.xml

Konumuz Android olduğu için bu blogda sadece Android için Signal veri tabanının şifresinin nasıl çözüleceğine odaklanacağız.

Signal, veritabanını sqlcipher kullanarak şifrelemek için AES-GCM Encryption modunu kullandığından bahsetmiştik. İlk olarak sql şifre anahtarını alır, ardından veritabanını şifrelemek için USERKEY + IV’ten AES-GCM anahtarını kullanır, bu değerler org.thinktcrime.securesms_preferences.xml içinde saklanır. Sql veritabanını çözebilmek için bu değerleri tersine çevirmemiz gerekiyor. Deyimi yerinde ise Reverse Engineering tekniklerini kullanmamız gerekiyor.

Şifreli veritabanını çözebilmek için üç değere ihtiyacımız var;

• 1.”app-id”_USERKEY_SignalSecret dosyasını elimizde bulunan bir hex editör aracılığıyla 2D’den 3C’ye kadar olan 16 bitlik kısmını kopyalıyoruz (“app-id” kısmı sizde farklılık gösterebilir. Bende 10044, sizde başka bir id olabilir bundan dolayı tırnak içerisinde ayrı olarak belirtildi).

• 2. Daha sonra org.thinktcrime.securesms_preferences.xml içerisinde base64 ile kodlanmış string name =pref_database_encrypted_secret kısmındaki base64 değerini alıyoruz.

Ardından base64 veri değerini hex’e dönüştürüyoruz:864531f86b5b9dfad548f6e8c91712208d2d4477925240d586f1a3d825b545a2246baf3b35662f5eb825dd85c9e39166 (son 32 karakter auth etiketidir.) Not: Geliştirici çevrimiçi java AES-GCM kodunu kullanıyorsa, kimlik doğrulama etiketini şifre metninden ayırmaya gerek olmayabilir. Ama bu vakada cyberchef ile bunu parçalamamız gerekiyor.

• 3. Şimdi Signal veri tabanının şifresi çözülmüş anahtarına sahibiz. Son adım ise sqlcipher ile nasıl açılacağıdır. Singal’in kaynak kodlarına baktığınızda şifreleme yapmak için bu yöntemi kullandıklarını görebilirsiniz.

public final class SqlCipherDatabaseHook implements SQLiteDatabaseHook {

@Override

public void preKey(SQLiteDatabase db) {

db.rawExecSQL("PRAGMA cipher\_default\_kdf\_iter = 1;");

db.rawExecSQL("PRAGMA cipher\_default\_page\_size = 4096;"); }

Seçeneklerden Passphrase seçip aldığımız kodu kopyalıyoruz ve daha sonra alt seçeneklerden custom‘ı seçip gerekli alanları aşağıdaki gibi dolduruyoruz.

Ve işte tüm veritabanı karşımızda!

ARP ( Adres Çözümleme Protokolü), bilgisayarlar, IP adresleri ve MAC adresleri arasında eşleme sağlayan bir network haberleşme prokolüdür. Bilgisayar, belirli bir IP adresi için MAC adresini bilmiyorsa, ağdaki diğer makinelerle eşleşen MAC adresini sorarak bir ARP istek paketi gönderir.

ARP Zehirlenmesi (ARP sahtekarlığı olarak da bilinir), ağ trafiğini kesintiye uğratmak, yönlendirmek veya casusluk yapmak için yaygın olarak kullanılan Adres Çözümleme Protokolü’ndeki (ARP) zayıflıkları kötüye kullanan bir tür siber saldırı türüdür.

ARP Zehirlenmesi, ağdaki diğer cihazların MAC-IP eşleşmelerini bozmak için ARP’deki zayıflıkların kötüye kullanılmasından oluşur. ARP, 1970 yılında ilk defa tasarlandığında güvenlik, önemli bir endişe teşkil etmiyordu. Bu nedenle, protokolün tasarımcıları ARP mesajlarını doğrulamak için, kimlik doğrulama mekanizmalarını dahil etmediler. Ağdaki herhangi bir cihaz, orijinal mesajın kendisine yönelik olup olmadığına bakılmaksızın bir ARP isteğine cevap verebilir. Örneğin, X Bilgisayarı, Y Bilgisayarının MAC adresini “sorarsa”, Z Bilgisayarındaki bir saldırgan bu sorguya cevap verebilir ve X Bilgisayarı bu yanıtı gerçek olarak kabul eder. Bu tespit, çeşitli saldırıları mümkün kılmıştır. Bir tehdit aktörü, kolayca erişilebilen araçlardan (Arpspoof, Ettercap vb.) yararlanarak, yerel bir ağdaki diğer bilgisayarların ARP önbelleğini “zehirleyebilir” ve ARP önbelleğini yanlış girişlerle doldurabilir.

ARP sahtekarlığını veya ARP zehirlenmesini başarıyla uygulayan bir siber saldırgan, ağınızdaki her belgenin kontrolünü ele geçirebilir. ARP zehirlenmesi ile siber casusluğa maruz kalabilirsiniz veya daha kötü bir senaryo olan fidye saldırısı vakası ile karşı karşıya kalabilirsiniz. Saldırgan, sizden istediği şeyi alana kadar ağ trafiğinizi durma noktasına getirebilir.

1. Adım : ARP zehirleme saldırısında ilk adım hedef seçmektir. Hedef ağdaki belirli bir bilgisayar veya router gibi bir ağ aygıtı olabilir. Router’lar, çekici hedeflerdir çünkü bir router’a karşı başarılı bir ARP Zehirlenme Saldırısı, tüm subnet trafiğini bozabilir.

2. Adım : Saldırganın, bir ARP sızdırma aracı kullanması gerekir. Bu aracın IP adresini, hedefin IP subnet ile eşleşecek şekilde ayarlar. Popüler ARP spoofing yazılımlarına örnek olarak Arpspoof, Cain & Abel, Arpoison ve Ettercap verilebilir.

3. Adım : ARP spoofing aracını seçip çalıştıran saldırgan, ARP önbelleği bozulduğunda, genellikle trafiği yanlış yönlendirecek türden eylem gerçekleştirir. Aynı zamanda trafiği inceleyebilir, değiştirebilir veya “kara deliğe” neden olabilir. Yaşanacak sorunlar, saldırganın amaçlarına bağlıdır.

Ortadaki Adam Saldırısı (MiTM)

MiTM (Man İn The Middle ) saldırıları , genellikle ARP zehirlenmesinin en yaygın ve potansiyel olarak en tehlikeli hedefidir. Saldırgan, genellikle bir alt ağ için, varsayılan ağ geçidi olan belirli bir IP adresine sahte ARP yanıtları gönderir. Bu, kurban makinelerin ARP önbelleklerini yerel router’ın MAC adresi yerine saldırganın makinesinin MAC adresiyle doldurmasına neden olur. Kurban makineleri, daha sonra ağ trafiğini saldırgana iletir. Ettercap gibi araçlar, saldırganın trafiği amaçlanan hedefine göndermeden önce bilgileri görüntüleyerek veya değiştirerek bir proxy görevi görmesine izin verir. Kurban için her şey normal görünebilir.

ARP spoofing ile DNS spoofing’in birleştirilmesi , bir MiTM saldırısının etkinliğini önemli ölçüde arttırabilir. Bu durumda, kurban kullanıcı google.com gibi meşru bir siteye girebilir ve kendisine doğru adres yerine saldırganın makinesinin IP adresi verilebilir.

Hizmet Reddi (DDoS) Saldırısı

DDoS (Denial of Service) saldırısı, bir veya daha fazla kullanıcının ağ kaynakları hizmetlerine erişimini engellemeyi amaçlayan bir saldırı türüdür. ARP saldırısı durumunda, bir saldırgan yüzlerce hatta binlerce IP adresini tek bir MAC adresine yönlendiren ARP mesajları gönderebilir ve hedef makineyi isteklere cevap veremeyecek duruma getirebilir. Bazen ARP taşması olarak da bilinen bu saldırı türü, network switchlerine yönelik saldırılar için de kullanılabilir ve tüm ağın performansını olumsuz etkiler.

Session Hijacking Attack (Oturum Çalma Saldırısı)

Oturum Ele Geçirme saldırıları, doğası gereği MiTM’a benzer ama saldırganlar ağ trafiğini bozmak yerine kurban makineden hedeflenen varış noktasına doğrudan iletmemesini sağlar. Saldırganların asıl amacı kurbandan gerçek bir TCP sıra numarası veya web tanımlama bilgisi almak ve kurbanın kimliğini tahmin etmektir. Örnek verecek olursak, hedef kullanıcının giriş yaptığı sosyal medya hesaplarına erişmek için kullanılabilir.

Apple Kilit Modu nedir?

Kilit Modu, pozisyonları veya yaptıkları iş nedeniyle en karmaşık dijital tehditlerden bazılarının hedefi olabilecek az sayıda kişi için tasarlanan, isteğe bağlı, olağan dışı bir korumadır. Çoğu insan hiçbir zaman bu tür saldırıların hedefinde değildir.

Kilit Modu etkinleştirildiğinde aygıtınız normalde olduğu gibi çalışmayacaktır. Hedefi özel olarak belirlenmiş kiralık casus yazılımların suistimal edebileceği saldırı yüzeyini azaltmak için belirli uygulamalar, web siteleri ve özellikler güvenlik nedeniyle katı bir şekilde sınırlandırılır ve bazı deneyimler hiç kullanılamayabilir.

Kilit Modu iOS 16, iPadOS 16 ve macOS Ventura sürümlerinde kullanılabilir.

Kilit Modu aygıtınızı nasıl korur?

Kilit Modu etkinleştirildiğinde, aşağıdakiler dahil bazı uygulamalar ve özellikler farklı şekilde çalışır:

• Mesajlar: Belirli resimler, videolar ve sesler dışında mesaj eki türlerinin çoğu engellenir. Bağlantılar ve bağlantı önizlemeleri gibi bazı özellikler kullanılamaz.
• Web’de dolaşma: Bazı karmaşık web teknolojileri engellenir. Bu da bazı web sitelerinin daha yavaş yüklenmesine veya düzgün çalışmamasına neden olabilir. Ayrıca, web fontları görüntülenmeyebilir ve görüntüler yerine görüntü yok simgesi gösterilebilir.
• FaceTime: Daha önce aramadığınız kişilerden gelen FaceTime aramaları engellenir.
• Apple hizmetleri: Ev uygulamasında bir evi yönetme davetleri gibi Apple hizmetleri için gelen davetler, söz konusu kişiyi daha önce davet etmediyseniz engellenir.
• Paylaşılan Albümler: Paylaşılan albümler Fotoğraflar uygulamasından kaldırılır ve yeni Paylaşılan Albüm davetleri engellenir. Bu paylaşılan albümleri, Kilit Modu devre dışı olan diğer aygıtlarda görüntüleyebilirsiniz. Kilit Modu’nu kapattığınızda aygıt ayarlarınızda Paylaşılan Albümler’i tekrar açmanız gerekir.
• Aygıt bağlantıları: iPhone veya iPad’inizi bir aksesuara ya da başka bir bilgisayara bağlamak için aygıtın kilidinin açılması gerekir. bir aksesuara bağlamak için Mac’inizin kilidinin açılması ve açıkça onay verilmesi gerekir.
• Konfigürasyon profilleri: Konfigürasyon profilleri yüklenemez ve aygıt, Kilit Modu etkinken Mobil Aygıt Yönetimi’ne veya aygıt denetimine kaydedilemez.

Kilit Modu etkinken telefon aramaları ve düz metin mesajları çalışmaya devam eder. Bu mod, acil SOS aramaları gibi acil durum özelliklerini etkilemez.

iPhone veya iPad’de Kilit Modu’nu etkinleştirme

• Ayarlar uygulamasını açın.
• Gizlilik ve Güvenlik seçeneğine dokunun.
• Güvenlik bölümünde Lockdown Mode (Kilit Modu) seçeneğine ve ardından Turn On Lockdown Mode (Kilit Modu’nu Aç) öğesine dokunun.
• Turn On Lockdown Mode (Kilit Modu’nu Aç) seçeneğine dokunun.
• Turn On & Restart (Aç ve Yeniden Başlat) seçeneğine dokunun, ardından aygıtınızın şifresini girin.

Kilit Modu etkinken, bir uygulama veya özellik sınırlandırıldığında size bildirim gönderilebilir ve Safari’de yer alan bir başlık, Kilit Modu’nun açık olduğunu belirtir.

Kilit Modu’nun her aygıtta ayrı ayrı etkinleştirilmesi gerekir.

Mac’te Kilit Modu’nu etkinleştirme

• Apple menüsü  > Sistem Ayarları’nı seçin.
• Kenar çubuğunda Gizlilik ve Güvenlik’i tıklayın.
• Kilit Modu’na gidin, ardından Aç’ı tıklayın.
• İstenirse kullanıcı parolasını girin.
• Aç ve Yeniden Başlat seçeneğini tıklayın.

Kilit Modu etkinken, bir uygulama veya özellik sınırlandırıldığında size bildirim gönderilebilir ve Safari’de yer alan bir başlık, Kilit Modu’nun açık olduğunu belirtir.

Kilit Modu’nun her aygıtta ayrı ayrı etkinleştirilmesi gerekir.

Uygulamaları veya web sitelerini Kilit Modu’ndan hariç tutma

Aygıtınızda Kilit Modu etkinken bir uygulama veya Safari’deki web sitesini, moddan etkilenmesini ve sınırlandırılmasını önlemek için hariç tutabilirsiniz. Yalnızca güvenilir uygulamaları veya web sitelerini moddan hariç tutun ve bunu yalnızca gerekliyse yapın.

iPhone veya iPad’de

Dolaşma sırasında bir web sitesini hariç tutmak için: Sayfa Ayarları düğmesine , ardından da Web Sitesi Ayarları’na dokunun. Ardından Kilit Modu’nu kapatın.

Bir uygulamayı hariç tutmak veya hariç tutulan web sitelerinizi düzenlemek için:

• Ayarlar uygulamasını açın.
• Gizlilik ve Güvenlik seçeneğine dokunun.
• Güvenlik bölümünde Lockdown Mode (Kilit Modu) seçeneğine dokunun.
• Configure Web Browsing (Web’de Dolaşmayı Yapılandır) seçeneğine dokunun.

Bir uygulamayı hariç tutmak için menüden söz konusu uygulamayı kapatın. Bu listede yalnızca Kilit Modu’nu etkinleştirdikten sonra açtığınız ve sınırlı işlevlerle sahip uygulamalar görünür.

Hariç tutulan web sitelerinizi düzenlemek için Excluded Safari Websites (Hariç Tutulan Safari Web Siteleri) > Düzenle’ye dokunun.

Mac’te

Dolaşma sırasında bir web sitesini hariç tutmak için: Safari menüsü > [web sitesi] Ayarları’nı seçin. Ardından Kilit Modu’nu Etkinleştir onay kutusunun seçimini kaldırın. Web sitesini tekrar dahil etmek için onay kutusunu yeniden seçin.

Hariç tutulan web sitelerinizi düzenlemek için:

• Safari’deki menü çubuğundan Safari menüsü > Ayarlar’ı seçin.
• Web Siteleri’ni tıklayın.
• Kenar çubuğunda aşağı kaydırın ve Kilit Modu’nu tıklayın.
• Yapılandırılmış bir web sitesinin yanındaki menüden Kilit Modu’nu açın veya kapatın.

Konfigürasyon profilleri ve yönetilen aygıtlar

Bir aygıtta Kilit Modu etkinse yeni konfigürasyon profilleri yüklenemez ve aygıt Mobil Aygıt Yönetimi’ne veya aygıt denetimine kaydedilemez. Bir kullanıcı konfigürasyon profili veya yönetim profili yüklemek isterse Kilit Modu’nu kapatması, profili yüklemesi, ardından gerekliyse Kilit Modu’nu yeniden etkinleştirmesi gerekir. Bu kısıtlamalar, saldırganların kötü amaçlı profiller yüklemeye çalışmasını önler.

Kilit Modu etkinleştirilmeden önce Mobil Aygıt Yönetimi’ne kaydedilen aygıtlar yönetilmeye devam eder. Sistem yöneticileri, söz konusu aygıta konfigürasyon profilleri yükleyebilir ve aygıttaki profilleri kaldırabilir.

Olağan dışı siber saldırıların hedefi olabilecek çok az sayıda bireysel kullanıcı için tasarlanan Kilit Modu, sistem yöneticilerinin Mobil Aygıt Yönetimi için ayarlayabileceği bir seçenek değildir.

Apple cihazlarını etkileyen 0Day Darkweb’de 2.5 Milyon Euro’ya satılıyor!

Yeni güvenlik açığı, geçtiğimiz günlerde CVE-2022-32893 koduyla güvenlik yaması yayınlanmış olan bir güvenlik açığından kaynaklanıyor. Apple, ağustos ayında bilgisayar korsanlarının cihazın kontrolünü ele geçirebileceği ve kötü amaçlı yazılım yükleyebileceği CVE-20220-32893 ve CVE-2022-32894 olmak üzere iki kritik güvenlik açığını düzeltti. Ancak bu güvenlik yaması siber suçluları durdurmaya yetmedi. Çevrimiçi veritabanı izleme şirketi Webz.io, darkweb’in Apple cihazları için yeni bir 0Day güvenlik açığı sattığını tespit etti. Raporlar, Apple’ın CVE-2022-32893’ü kamuoyuna duyurmasından sadece birkaç gün sonra geldi. Araştırmacılara göre yeni güvenlik açığı, CVE-2022-32893 koduyla güvenlik yaması yayınlanan açığın henüz güvenlik güncellemesini yüklemeyen Apple kullanıcılarına yönelik saldırılarda kullanılabildiğini ve 2.5 Milyon Euro’ya satıldığını tespit etti.

Hacker forumlarından birinde konuyla ilgili satışın duyurusu

Uzmanlar, DarkWeb Data API’lerini kullanarak yaptıkları araştırmalarda siber suçluların bu güvenlik açığını Telegram’dan Tor’daki sitelere kadar çeşitli platformlarda tartıştıklarını tespit ettiler.

Saldırganlar CVE-2022-32893/4’ü tartışıyor ve güvenlik güncellemesinden sonra yeni 0-Day zafiyeti arıyor Cybernews bu konuda yorum yapması için Apple’a ulaştı, ancak şirket henüz muhabirlere herhangi bir yanıt vermedi.

Garanti Bankası, QNB Finansbank, Turkcell, BEDAŞ, DSMART, Turktelekom, Vodafone kullanıcı bilgilerinin sızdırıldığı iddia ediliyor!

Tarih 02.06.2021’i gösterirken bir çok underground sitesinden peş peşe Türk vatandaşlarına ait verilerden oluşan bilgiler dolaşıma sokuldu. Son zamanlar yaşanan hack vakaları, kişisel verilerin korunamamasından dolayı ciddi endişelere sebebiyet verirken, siber saldırılardan korunmak için üretilen çözümlerin de güvenilirliğini sorgulattı. Sistemleri korumakta yetersiz kalan DLP, SOAR, SIEM, DFIR vb. teknolojilerin yeniden gözden geçirilmesi, siber saldırılara karşı alınması gereken önlemlere farklı bir bakış açısı ile yeniden değerlendirilmesinin kaçınılmaz olduğu ortaya çıktı.

Siber korsanların bu bilgileri ne şekilde ele geçirdiği henüz tespit edilemezken, bu konuda henüz resmi bir açıklama gelmemesi de vatandaşları paniğe sevk ediyor. Yaşanılan olaylarda sonra birinci ağızdan her hangi bir yalanlama olmaması verilerin gerçekten siber korsanlar tarafından ele geçirildiği yönünde oluşan düşünceleri pekiştiriyor. Daha önce de yaşanan pek çok hacking vakasından sonra ilgili kurumların bir süre sessizliğini koruduğu, aradan belli bir süre geçtikten sonra yaşanan hack vakalarını doğruladıkları akla geldiğinde bu vakalarda da aynı şeyin yaşanacağı izlenimini oluşturuyor.

Hangi Kurumdan Ne Kadar Veri Sızdırıldı?

Veri ihlaline uğrayan kurumlar arasında bankalar, Türkiye’nin önde gelen telekomünikasyon firmaları, enerji dağıtım şirketleri, üniversiteler gibi verinin maksimum düzeyde korunması gereken kurumlar yer alıyor. Bunların en büyüğü ve ilgi çekeni ise Turkcell’e ait veritabanı olduğu iddia edilen paylaşımlardı. İddiaya göre Turkcell’e ait 31 milyon kullanıcı kaydının olduğu veritabanı 10.000$ karşılığında satışa sunuldu. GARANTI BBVA’ya ait 1500, QNB FINANS BANK’a ait 2,8 milyon, BEDAŞ Elektrik Dağıtım Kurumu’na ait 310 Bin, DSMART’a ait 1.2 Milyon, Turkcell, Vodafone, Turktelekom firmalarına ait karışık 1 milyon, nerden ele geçirildiği henüz tespit edilemeyen ve içerisinde 3.2 milyon Türk vatandaşına ait veri 24 saat içerisinde raidforum adlı illegal platform üzerinden paylaşıldı. Raidforum’da “”cetinkaya”” kullanıcı adına sahip bir forum kullanıcısı, bahsi geçen kurumlara ait kullanıcı bilgilerini sızdırdığını, istenildiği takdirde bu bilgilerin tümünü satabileceğini belirtti. E-posta adresi ve XMPP serverlar aracılığı ile gizli görüşmeler gerçekleştirmek için kullanıldığı bilinen Jabber platformunu kullandığı dikkatleri çeken kullanıcı, “”Türklerin ruh sağlığı ile oynamaya devam ediyorum”” ifadelerini kullandı.

Yasadışı paylaşımların yapıldığı forumdan elde edilen bilgilere göre paylaşılan kişisel veriler; TcNo, TelAdet, TelNo, Kontorstatus, Status, TlBilgi, Aciklama, ADI, SOYADI, ILKSOYADI, ANAADI, BABAADI, CINSIYETI, DOGUMYERI, DOGUMTARIHI, NUFUSILI, NUFUSILCESI, ADRESIL, ADRESCADDE, ADRESILCE, MUHTARLIKADI, KAPINO ve DAIRENO gibi vatandaşlara ait son derece kritik bilgiler içerdiği tespit edildi. Daha önce Türkiye’ye ait benzerine rastlanmamış olan bu veri sızıntısı, kendi içinde bir çok güvenlik sorunu içermesi sebebi ile önümüzdeki günlerde de çok konuşulacak gibi duruyor. Kamu çalışanları, bürokratlar, kolluk kuvvetleri gibi spesifik kademelerde bulunan kişilere ait verileri de barındırması sebebiyle ciddi güvenlik sorunları olan bir veri sızıntısıdır.

Yetkililerin henüz bir açıklama yapmamış olması şaşkınlığını korurken, konu ile ilgilenen siber güvenlik araştırmacılarından elde edilen bilgiler sosyal medya hesapları üzerinde tartışmaya açılmış durumda. KVKK’nın, veri ihlallerinde ismi geçen kurumlara yönelik uygulayacağı yaptırımlar da gündem konusu.

Güvenlik araştırmacıları, Tokyo’da düzenlenen Pwn2Own Automotive 2024 yarışmasının ilk gününde Tesla aracının modeminde bir zafiyet keşfederek toplamda 722.500 dolarlık ödül kazandı. WhiteHat Hacker’lar tarafından sıfır gün (zero-day) olarak adlandırılan tam 24 yeni güvenlik açığı keşfedildi.

Synacktiv ekibi, Tesla aracının modemine root erişimi elde etmek için 3 sıfır gün güvenlik açığı birleştirerek 100.000 dolar kazandı. Bu, güvenlik araştırmacıların cihaz üzerinde tam kontrol elde etmelerine ve sistemin ihlal edilebilirliğini göstermelerine olanak tanıdı.

Synacktiv, Ubiquiti Connect Home şarj istasyonu ve JuiceBox 40 Smart Home şarj cihazı için iki benzersiz güvenlik açığı zincirini kullanarak ek 120.000 dolar kazandı. Bu saldırılar aynı zamanda elektrikli araçlar için popüler şarj cihazı modellerinde ciddi güvenlik sorunlarını da gösterdi.

ChargePoint Home Flex Home şarj cihazını hedef alan başka bir exploit zinciri zaten biliniyordu, ancak yine de ekip için 16.000 dolar daha kazandırdı. Toplamda, Synacktiv ekibi ilk gününde 295.000 dolar ödül kazandı.

Güvenlik araştırmacıları ayrıca, diğer üreticilerin tamamen güncellenmiş elektrikli araç şarj istasyonları ve multimedya sistemlerini başarıyla hacklediler. Örneğin, NCC Group EDG ekibi, Pioneer DMH-WT7600NEX multimedya sistemi ve Phoenix Contact CHARX SEC-3100 Home şarj cihazını hacklemek için sıfır gün güvenlik açıklarını kullanarak 70.000 dolar kazandı ve turnuva sıralamasında ikinci oldu.

Pwn2Own’ın ilk gününün sonuçları, elektrikli araç alanındaki modern yazılım ve donanımların dahi ciddi güvenlik açıklarına sahip olduğunu gösteriyor. Bununla birlikte, bu tür zafiyetlerin zamanında tespiti ve düzeltilmesi mümkündür, yeter ki onlarca hacker bir araya getirilsin ve belirli bir hedef konulsun.

Pwn2Own’da gösterilen exploitlerin ardından üreticilere, Trend Micro şirketinin Zero Day Initiative kapsamında keşfedilen zafiyetlerin detaylarının halka açıklanmadan önce 90 gün içinde güvenlik düzeltmeleri yapmaları için süre verildi.

Pwn2Own Automotive 2024 bu hafta Tokyo’da, Automotive World konferansı kapsamında gerçekleşiyor. Güvenlik araştırmacıları, yarışma süresince çeşitli otomotiv teknolojilerini, multimedya sistemlerini, otomobil işletim sistemlerini, şarj istasyonlarını ve benzerlerini hedef alacaklar.

Birinci ödül, VCSEC, gateway veya otonom sürüş sistemlerinde sıfır gün zafiyetlerinin gösterilmesi durumunda verilecek 200.000 dolarlık bir ödül ve bir Tesla Model 3 araç.

Geçen yıl, Pwn2Own Vancouver 2023 yarışmasında, güvenlik araştırmacıları toplamda 27 sıfır gün zafiyeti ve birkaç ek exploit zinciri göstererek 1.035.000 dolarlık ödül ve bir Tesla Model 3 aracı kazandı.

SIEM (Security Information and Event Management), Türkçe’ye çevrilmiş hali ile Güvenlik Bilgileri ve Olay Yönetimi, SIM (security information management)(güvenlik bilgi yönetimi) ve SEM (security event management)(güvenlik olay yönetimi) işlevlerini tek bir güvenlik yönetim sisteminde birleştiren bir güvenlik yönetim sistemidir. SIEM terimi 2005 yılında Mark Nicolett ve Amrit Williams tarafından Gartner’ın SIEM raporunda ortaya çıktı. Önceki nesillere dayanarak yeni bir güvenlik bilgi sistemi önerdiler.

• Güvenlik Bilgi Yönetimi (SIM), geleneksel günlük toplama ve yönetim sistemlerinin üzerine inşa edilmiş ilk nesildir. SIM, günlük verileri ve tehdit istihbaratı ile birleştirilmiş günlükler üzerinde uzun süreli depolama, analiz ve raporlamayı tanıttı.
• Güvenlik Olay Yönetimi (SEM) güvenlik olaylarını ele alarak inşa edlilmiş ikinci nesildir. Antivirüs, güvenlik duvarları ve İzinsiz Giriş Algılama Sistemleri (IDS) gibi güvenlik sistemlerinden gelen olayların yanı sıra doğrudan kimlik doğrulama, SNMP tuzakları, sunucular, veritabanları vb. sistemlerde kullanılır.

Her SIEM sisteminin temel ilkeleri, birden fazla kaynaktan ilgili verileri toplamak, normdan sapmaları belirlemek ve uygun eylemi yapmaktır. Örneğin, olası bir sorun algılandığında, bir SIEM sistemi ek bilgileri günlüğe kaydedebilir, bir uyarı oluşturabilir ve diğer güvenlik denetimlerine bir etkinliğin ilerlemesini durdurmasını söyleyebilir.

En temel düzeyde, bir SIEM sistemi kurallara dayalı olabilir veya olay günlüğü girişleri arasında ilişki kurmak için istatistiksel bir korelasyon altyapısı kullanabilir. Gelişmiş SIEM sistemleri, kullanıcı ve varlık davranış analitiği (UEBA) ve güvenlik düzenleme, otomasyon ve yanıt (SOAR) içerecek şekilde gelişti.

Ödeme Kartı Endüstrisi Veri Güvenliği Standardı (PCI DSS) uyumluluğu başlangıçta büyük işletmelerde SIEM benimsemesini sağladı, ancak gelişmiş kalıcı tehditlerle (ATS) ilgili endişeler, daha küçük kuruluşların SIEM tarafından yönetilen güvenlik hizmeti sağlayıcılarının (MSP’ler) sunabileceği avantajlara bakmasına neden oldu. Güvenlikle ilgili tüm verilere tek bir açıdan bakabilmek, her boyuttaki kuruluşun olağan dışı desenleri tespit etmesini kolaylaştırır.

SIEM sistemleri, güvenlik duvarları, virüsten koruma veya izinsiz giriş önleme sistemleri (IPS) gibi özel güvenlik ekipmanlarının yanı sıra son kullanıcı cihazlarından, sunuculardan ve ağ ekipmanlarından güvenlikle ilgili olayları toplamak için hiyerarşik bir şekilde birden fazla toplama aracısı dağıtarak çalışır. Toplayıcılar, olayları, güvenlik analistlerinin gürültüyü inceleyerek noktaları birleştirdiği ve güvenlik olaylarına öncelik verdiği merkezi bir yönetim konsoluna iletir.

SIEM nasıl çalışır?

SIEM’in temel işlevi tehdit tespiti ve tehdit yönetimidir. SIEM, tehdit algılama, soruşturma, tehdit avı ve müdahale ve düzeltme faaliyetlerini içeren bir Güvenlik Operasyon Merkezi’nin (SOC) olay müdahale yeteneklerini destekler. SIEM, ana bilgisayar sistemleri, ağlar, güvenlik duvarları ve virüsten koruma güvenlik aygıtları da dahil olmak üzere bir kuruluşun BT ve güvenlik çerçevesi genelinde olay kaynaklarından veri toplar ve birleştirir. Bir kuruluş içindeki olası güvenlik sorunlarını belirlemek için uç nokta, ağ ve bulut varlıkları arasında toplanan verilerin güvenlik kurallarına ve gelişmiş analizlere göre analizini gerçekleştirir.

Bir olay tespit edildiğinde, analiz edildiğinde ve kategorize edildiğinde, SIEM rapor ve bildirimleri kuruluş içindeki uygun paydaşlara sunmak için çalışır. Ayrıca, bir SIEM, denetçilere sürekli izleme ve raporlama özellikleri aracılığıyla kuruluşlarının uyumluluk durumu hakkında bir görünüm sağlayarak mevzuat uyumluluğu gereksinimlerini karşılamaya yardımcı olur.

McAfee şirketinden siber güvenlik uzmanları, Android akıllı telefonlara otomatik olarak bulaşabilen yeni bir XLoader kötü amaçlı yazılım versiyonunu keşfetti. Bu keşif, ABD, İngiltere, Almanya, Fransa, Japonya, Güney Kore ve Tayvan’daki kullanıcıları tehdit etmektedir.

Daha önce Android için en tehlikeli kötü amaçlı yazılım türlerinden biri olarak bilinen XLoader (MoqHao olarak da bilinir), artık arka planda çalışabiliyor ve hassas verileri, fotoğrafları, metin mesajlarını, iletişim listelerini ve cihaz donanım bilgilerini çıkarabilmektedir.

Kötü amaçlı yazılımın yayılması, metin mesajlarındaki sahte bağlantılar aracılığıyla gerçekleşiyor. Bu bağlantılar, Google Play dışında uygulama yüklemek için APK dosyalarına yönlendirilmekte, bu da kötü amaçlı yazılıma bulaşma riskini artırmaktadır.

Google, son zamanlarda bu kötü amaçlı yazılımın yayılma yöntemiyle ve diğer üçüncü taraf APK dosyaları aktif bir şekilde mücadele etmekte ve Google Play Protect tarama ve izin kontrolü gibi önlemleri uygulamaktadır.

Şu anki XLoader’a dönüldüğünde, kurbanları kandırmak ve akıllı telefonun ek izinlerine erişim sağlamak amacıyla kötü amaçlı yazılım, kendini Google Chrome olarak gizler ve kullanıcılara spam önleme amacıyla kendisini ana SMS uygulaması olarak kurmalarını önerir.

Kötü amaçlı yazılım hemen hemen birçok ülke için uyarlanmış durumda ve daha inandırıcı görünmesi için pop-up mesajlarında çeşitli diller kullanmaktadır.

Yukarıda belirtilen özelliklere ek olarak, yeni XLoader’ın kurulumdan sonra otomatik olarak başlatılma özelliği bulunmaktadır. Yani, uygulamayı cihaza yüklemenin sahibi için ölümcül hale gelmesi demektir, çünkü kötü amaçlı yazılım kendisini otomatik olarak başlatır ve kötü niyetli faaliyetlerine başlar. Diğer çoğu kötü amaçlı yazılımın aksine, diğerlerini enfekte etmek için manuel olarak başlatılması gerekmez.

McAfee, yukarıda belirtilen özelliklerin yanı sıra, XLoader’ın en yeni varyantları, kullanıcı ile minimum etkileşim gerektirdiği için özellikle etkili olabileceği konusunda uyarıyor.

Android’deki kötü amaçlı yazılımlardan korunmak için, resmi olmayan kaynaklardan uygulama yüklemekten kaçınılmalı, SMS mesajlarındaki URL’leri (tanıdık gönderenlerden bile olsa) açılmamalı ve uygulamaların istediği izinlere dikkatlice bakılmalıdır. Ayrıca, yalnızca güvenilir geliştiriciler tarafından geliştirilenleri kullanmak ve yüklenen uygulama sayısını sınırlamak da önerilmektedir.

Caller ID Spoofing Nedir ve Sahte Aramalara Karşı Nasıl Korunabiliriz?

Caller ID spoofing, internet tabanlı teknolojilerin gelişmesiyle daha kolay erişilebilir hale gelen ve özellikle dolandırıcılık, kimlik hırsızlığı gibi yasa dışı faaliyetlerde kullanılan bir yöntemdir. Bu yazıda, caller ID spoofing’in ne olduğunu, teknik detaylarını ve bu tür sahte aramalara karşı nasıl koruma sağlayabileceğimizi detaylı bir şekilde ele alacağız.

Caller ID spoofing, bir saldırganın telefon sistemini manipüle ederek, aradığı kişinin telefonunda görünen numarayı veya ismi değiştirme işlemidir. Bu sayede, güvenilir bir kişi veya kurumdan arandığınızı düşünebilirsiniz. Bu yöntem, sosyal mühendislik teknikleriyle birleştirildiğinde, kullanıcıları yanıltmak ve hassas bilgileri ele geçirmek için oldukça etkili bir araç haline gelir. Caller ID spoofing, yani aramayı yapanın kimliğini taklit etme, günümüzde sıkça karşılaştığımız ve oldukça tehlikeli bir siber saldırı yöntemidir. Bu yöntemde, saldırganlar aradıkları kişinin telefonunda görünen numarayı veya ismi değiştirerek, güvenilir bir kişi veya kurumdan arıyormuş gibi bir izlenim yaratırlar. Bu durum, hem kişisel bilgilerin çalınmasına hem de dolandırıcılığa zemin hazırlar. Bu yöntemle arayan kişi, karşı tarafın telefon ekranında güvenilir bir numara veya bilinen bir kurumun ismi görünecek şekilde bir düzenleme yapar. Örneğin, bir dolandırıcı, hedef telefonda bir banka numarası veya devlet kurumu gibi gözükecek bir arama yaparak güven kazanır ve bu güveni kullanarak hassas bilgiler talep eder. Bu tür dolandırıcılık saldırıları, fidye taleplerinden kimlik hırsızlığına kadar geniş bir yelpazede kötü niyetli amaçlar için kullanılmaktadır.

Caller ID spoofing genellikle VoIP (Voice Over Internet Protocol) üzerinden yapılır. Bu yöntem, IP tabanlı telefon sistemleriyle çalıştığından, arayan kişinin kimliğini gizlemesine veya değiştirmesine olanak tanır. Spoofing işlemi sırasında, arayanın cihazı, alıcıya gerçek olmayan bir Caller ID gönderir. Bu Caller ID, hedefin telefonunda, dolandırıcının seçtiği herhangi bir numara veya isim olarak görüntülenir.

Caller ID spoofing işlemi teknik olarak birkaç adımdan oluşur:

• VoIP Tabanlı Çağrı Başlatma: Arama, internet üzerinden çalışan bir VoIP servisi aracılığıyla başlatılır. VoIP sistemleri, geleneksel telefon hatlarının aksine dijital sinyalleri kullanarak iletişimi sağlar.
• Caller ID Manipülasyonu: Arayan, VoIP servisi üzerinden arama bilgilerini manipüle eder ve arayan numarasını değiştirmek için belirli parametreleri düzenler. Bu parametreler, arayan kişinin hangi numaranın görünmesini istediğine göre düzenlenir.
• Hedef Cihaza İletim: Değiştirilmiş Caller ID bilgileri, hedef cihaza iletilir ve ekranda farklı bir numara veya isim görüntülenir. Bu noktada, arayan kişi, hedefte güven uyandırabilecek bir kimliğe bürünmüş olur.

Bazı popüler caller ID spoofing servisleri şu şekilde sıralanabilir:

• Narayana.im
• Voipsv.com
• Spoofwave.com
• Crypto-caller.com
• Titan-caller.com

Ayrıca, Telegram üzerinden erişilebilen bazı botlar da bu tür hizmetleri sağlamakta ve dolandırıcıların kimlik değiştirme sürecini daha erişilebilir kılmaktadır.

Caller ID spoofing, sadece dolandırıcılık amaçlı değil, aynı zamanda bazı kötü niyetli faaliyetlerde ve sosyal mühendislik saldırılarında da kullanılmaktadır. İşte bazı yaygın kullanım alanları:

• Dolandırıcılık: En yaygın kullanım alanıdır. Dolandırıcılar, güven telkin edebilmek için hedefin güvendiği bir numarayla arama yaparak banka bilgileri, sosyal güvenlik numarası gibi hassas bilgileri ele geçirmeye çalışır.
• Sosyal Mühendislik Saldırıları: Kimlik taklidi yapılarak hedefe yanlış bilgi aktarılır ve psikolojik manipülasyonla istenilen bilgiler elde edilmeye çalışılır.
• Kimlik Hırsızlığı: Çalınan bilgiler, kimlik hırsızlığı gibi ciddi suçlara yol açabilmektedir.
• Taciz ve Tehdit Amaçlı Aramalar: Kişileri taciz etmek veya tehdit etmek amacıyla kullanıldığında, karşıdaki kişi arayanın gerçek kimliğini öğrenemediği için kendini daha savunmasız hisseder.
• Acil Durumlar: Acil bir durum olduğu söylendiğinde, insanlar genellikle panikleyerek doğru düşünmeyi bırakabilmektedir.
• Finansal Kayıplar: Kredi kartı bilgileri çalındığında maddi kayıplar yaşanmaktadır.

Caller ID spoofing ile mücadelede kullanılan en etkili yöntemlerden biri STIR/SHAKEN protokolüdür. Bu protokol, arayan kimliğini doğrulamayı amaçlayan dijital imzalar kullanarak çalışır. STIR/SHAKEN, “Secure Telephone Identity Revisited” ve “Signature-based Handling of Asserted information using Tokens” kelimelerinin kısaltmasıdır. Bu protokol, her çağrının gerçek kimlik bilgileriyle ilişkili olup olmadığını doğrular ve sahte aramaları ayıklayarak alıcının cihazına uyarı gönderir.

STIR/SHAKEN’in Çalışma Mekanizması:

• Dijital İmza Eklenmesi: Arama başladığında, aramanın geldiği operatör, aramaya dijital bir imza ekler. Bu imza, aramanın gerçek kaynağını doğrulamak için kullanılır.
• Kimlik Doğrulama ve İmza Kontrolü: Çağrı, hedef cihaza ulaştığında, hedef cihaz bu imzayı doğrular. İmzanın doğrulanması, arayan kişinin kimliğinin sahte olmadığını gösterir.
• Uyarı Sistemi: Eğer imza doğrulanmazsa veya eksikse, çağrı sahte olarak işaretlenir ve alıcıya bir uyarı gönderilir.

STIR/SHAKEN, ABD ve Kanada gibi bazı ülkelerde aktif olarak kullanılmaktadır ve bu ülkelerde caller ID spoofing’in etkilerini büyük ölçüde azaltmaktadır. Ancak, bu protokol henüz tüm dünyada yaygın olarak uygulanmamaktadır.

Caller ID spoofing’e karşı korunmak için bireysel ve kurumsal olarak alınabilecek bazı adımlar bulunmaktadır. Dikkat edilmesi gereken bazı temel koruma yöntemleri:

• Şüpheli Aramalara Karşı Dikkatli Olun: Bilinmeyen numaralardan gelen aramalarda, özellikle finansal veya kişisel bilgi taleplerine karşı dikkatli olun. Bankalar veya resmi kurumlar, telefon üzerinden kimlik bilgilerinizi istemezler.
• Geri Arama ile Doğrulama: Şüpheli bir arama aldığınızda, gelen numarayı doğrudan değil, ilgili kurumun resmi numarasını arayarak doğrulayın. Bu yöntem, dolandırıcıların kimliğini gizleme girişimlerini önler.
• Caller ID Engelleme ve Güvenlik Uygulamaları: Bazı akıllı telefon uygulamaları, şüpheli aramaları tespit ederek sizi bilgilendirebilir. Bu tür uygulamalar, sahte aramaları engelleyerek dolandırıcılık riskini azaltır.
• STIR/SHAKEN Gibi Protokollerin Türkiye’de Uygulanması: Türkiye’de STIR/SHAKEN benzeri bir protokolün uygulanması, caller ID spoofing tehdidinin önüne geçilmesine önemli katkılar sunacaktır. Bu konuda toplumsal farkındalık oluşturmak, ilgili kurumların harekete geçmesine katkı sağlayacaktır.
• Eğitim ve Farkındalık: Özellikle kurumlar, çalışanlarını caller ID spoofing konusunda eğiterek, dolandırıcılık girişimlerine karşı savunma hattını güçlendirebilirler.

Caller ID spoofing, dijital çağda güvenliği tehdit eden önemli sorunlardan biridir ve kolay erişilebilir olması nedeniyle hızla yaygınlaşmaktadır. STIR/SHAKEN gibi protokollerin daha geniş bir coğrafyada uygulanması, caller ID spoofing’in olumsuz etkilerini azaltmak için önemli bir adımdır. Ancak, bireylerin ve kurumların bilinçlenmesi ve gerekli tedbirleri alması da sahte aramalara karşı korunmada hayati öneme sahiptir.

Caller ID spoofing’in teknik detaylarını ve korunma yollarını öğrenmek, bu tür saldırılara karşı hazırlıklı olmanızı sağlar. Özellikle kişisel bilgilerinizi korumak ve bu tür dolandırıcılık faaliyetlerinden uzak durmak için bilinçli davranarak çevrenizdeki insanlarla bu bilgileri paylaşmanız, toplumsal güvenliği artırmak adına önemli bir adım olacaktır.

Mobil cihazlarda parola koruması, dijital verilerin güvenliğini sağlamak için kullanılan kritik bir güvenlik önlemidir. Matematiksel algoritmalar kullanılarak bilgiler şifrelenir ve bu sayede yetkisiz erişimlere karşı koruma sağlanır. Cep telefonları, kişisel ve hassas bilgilerin bulunduğu cihazlar olduğu için bu verilerin güvenliği büyük önem taşır.

AES, cep telefonları gibi cihazlarda genellikle kullanılan simetrik şifreleme algoritmalarından biridir. Bu algoritma, aynı anahtarın hem şifreleme hem de şifre çözme işlemlerinde kullanılmasına dayanır. Mobil cihazlarda kullanıcı verilerini korumak için genellikle AES algoritması tercih edilir. Veri şifreleme ve çözme süreçlerinde yüksek hız ve güvenlik sağlamak amacıyla kullanıcı tarafından belirlenen bir anahtar kullanılır.

Cep telefonlarındaki şifreleme yöntemleri arasında yer alan bir diğer önemli algoritma ise RSA’dır. RSA, açık anahtarlı bir şifreleme sistemidir. Bu sistemde her kullanıcı, bir çift anahtar oluşturur: açık anahtar (public key) ve özel anahtar (private key). Açık anahtar, veriyi şifrelemek için kullanılırken, özel anahtar, şifrelenmiş veriyi çözmek için kullanılır. Bu yöntem, güvenli iletişimde ve dijital imzalarda sıklıkla kullanılır.

Cep telefonlarındaki şifreleme yöntemleri, kullanıcı verilerini korumak ve yetkisiz erişimlere karşı önlem almak için gelişmiş matematiksel algoritmaları içerir. Simetrik şifreleme (AES) ve açık anahtarlı şifreleme (RSA) gibi yöntemler, kullanıcı bilgilerini güvenli bir şekilde koruyarak gizliliği sağlar. Bu teknik güvenlik önlemleri, dijital dünyada kişisel ve hassas bilgilerin güvenliğini temin etmek adına kritik bir rol oynar.

Cep telefonlarındaki parola ve desen kilidi güvenlik önlemleri, kullanıcıların cihazlarına sadece yetkili erişim sağlamak ve kişisel bilgilerini korumak amacıyla tasarlanmış kritik güvenlik katmanlarıdır. Aşağıda, parola ve desen kilidi güvenliği ile ilgili daha fazla teknik detay verilmiştir:

Güçlü parolalar, cihazlardaki verilerin korunması için temel bir önlemdir. Güvenli parolalar genellikle uzun, karmaşık ve öngörülemeyen karakter dizilerinden oluşur. Bununla birlikte, modern şifreleme algoritmaları, brute-force saldırılarına karşı dirençli olacak şekilde tasarlanmıştır.

Parola Karmaşıklığı: Güçlü parolaların karmaşıklığı, büyük ve küçük harfleri, sayıları ve özel karakterleri içermeleriyle artar. Ayrıca, belirli bir süre sonra değiştirilmesi önerilen parola politikaları da güvenliği sağlamak adına kullanılabilir.

Tek Kullanımlık Parolalar (OTP): Daha ileri seviye güvenlik için, tek kullanımlık parolalar (OTP) kullanılabilir. OTP’ler, her oturumda veya belirli bir süre zarfında geçerli olan tek kullanımlık kodlardır. Bu, hesap güvenliğini artırır, çünkü bir saldırganın geçmişte ele geçirdiği parolayı kullanma olasılığını azaltır.

Desen kilidi, kullanıcıların cihazlarına bir desen çizerek erişim sağlamalarını sağlayan bir güvenlik yöntemidir. Ancak, desen kilidinin karmaşıklığı, güvenlik seviyesini belirleyen önemli bir faktördür.

Karmaşık Desenler: Güvenli desen kilidinin karmaşıklığı, desenin çizildiği noktaların sayısı ve sıralaması ile belirlenir. Karmaşık ve öngörülemeyen desenler, güvenlik seviyesini artırır ve brute-force saldırılarına karşı dayanıklılığı sağlar.

Biyometrik Tanıma: Cihazlardaki gelişmiş güvenlikte biyometrik tanıma sistemleri de kullanılır. Parmak izi ve yüz tanıma gibi özellikler, kullanıcının fiziksel özelliklerini kullanarak güvenlik seviyesini artırır.

Parola atlatma, adli bilişim ve veri kurtarma çalışmalarında kritik rol oynayan teknik bir beceridir. Veri kurtarma laboratuarlarının, adli bilişim laboratuarlarının ve kolluk kuvvetlerinin şifrelenmiş cihazlardaki verilere erişme sürecini içerir. Bu süreç, DrDisk Lab’ın uzman ekipleri tarafından yürütülmektedir ve veri kurtarma ve adli bilişim çalışmalarında kritik öneme sahip bir aşamadır. Aşağıda, parola atlatma ve olay incelemesinin teknik detaylarına dair bilgiler bulunmaktadır:

Parola Atlatma Teknikleri:

1- Brute-Force Saldırıları:

• Gelişmiş brute-force teknikleri, şifre kombinasyonlarını sistematik olarak deneyerek doğru parolayı bulma amacını taşır. Bu süreç, büyük veri setleri üzerinde hızlı ve etkili bir şekilde uygulanabilir.

2- Saldırı Vektörleri ve Zayıflıkların Analizi:

• Şifre kombinasyonlarında kullanılan algoritma ve yöntemleri anlamak, saldırı vektörlerini belirlemek ve zayıflıkları tespit etmek, parola atlatma sürecinde önemli bir adımdır.

3- Kriptoanalitik Yöntemler:

• Kriptoanaliz, şifreleme sistemlerini analiz ederek zayıflıkları tespit etmeye odaklanan bir disiplindir. Bu yöntemler, şifrelenmiş verileri anlamak ve çözmek için kullanılır.

Olay İncelemesindeki Önemi:

1- Dijital Delillerin Elde Edilmesi:

• Parola atlatma, şifrelenmiş cihazlardan elde edilen dijital delillerin çözülmesine olanak tanır. Bu deliller, adli vakaların aydınlatılmasında kritik rol oynar.

2- Vaka Mahallindeki Diğer Delillerle Entegrasyon:

• Elde edilen dijital deliller, vaka mahallindeki diğer fiziksel delillerle entegre edilerek kapsamlı bir olay inceleme sürecine katkı sağlar.

Parola atlatma, adli bilişimdeki gelişmiş tekniklerle birleştiğinde kritik bir öneme sahip olur. Gelişmiş algoritmalar ve teknik yöntemler, cihazlardaki şifreleri çözmek ve kullanıcılara erişimlerini geri kazanmalarına yardımcı olmak için kullanılır. Bu, özellikle cihazlardaki verilerin güvenliğini sağlamak adına önemli bir hizmet sunmaktadır.

rola atlatması veya parola kırma işlemi gerçekleştirilebilen cihazların listesine erişmek için

Avrupa Birliği’nin kolluk kuvvetleri ajansı olan Europol, Europol Platform for Experts (EPE) portalında veri sızıntısı gerçekleştiğini doğruladı ve tehdit aktörünün “For Official Use Only (FOUO)” yani Resmi Kullanıma Mahsus belgeler ve gizli veriler içeren belgeleri çaldığını iddia etmesinin ardından soruşturma başlattı.

EPE, kolluk kuvvetleri uzmanlarının “suçla ilgili bilgi, en iyi uygulamalar ve kişisel olmayan verileri paylaşmak” için kullandığı bir çevrimiçi platformdur.

Europol, BleepingComputer’a yaptığı açıklamada, “Europol olayın farkındadır ve durumu değerlendirmektedir. İlk adımlar zaten atıldı. Olay, kapalı bir kullanıcı grubu olan Europol Platform for Experts (EPE) ile ilgilidir.” dedi.

“Bu EPE uygulamasında hiçbir operasyonel bilgi işlenmemektedir. Europol’ün çekirdek sistemleri etkilenmedi ve dolayısıyla Europol’den hiçbir operasyonel veri tehlikeye atılmadı.” açıklaması yapıldı.

BleepingComputer ayrıca, veri ihlalinin ne zaman gerçekleştiğini ve tehdit aktörünün iddia ettiği gibi FOUO ve gizli belgelerin çalınıp çalınmadığını sordu, ancak henüz bir cevap alınamadı.

Politico’nun Mart ayında bildirdiği gibi, Europol’ün İcra Direktörü Catherine De Bolle ve diğer üst düzey yetkililerin basılı personel kayıtları da Eylül 2023’ten önce sızdırılmıştı.

18 Eylül tarihli ve dahili bir mesaj panosu sisteminde paylaşılan bir notta, “06.09.2023 tarihinde Europol Müdürlüğü, birkaç Europol personelinin kişisel kağıt dosyalarının kaybolduğu konusunda bilgilendirildi.” ifadeleri yer aldı.

“Europol’ün kolluk kuvveti otoritesi olarak personel üyelerinin kişisel dosyalarının kaybolması ciddi bir güvenlik ve kişisel veri ihlali olayı teşkil etmektedir.” denildi.

Yayınlandığı sırada EPE web sitesi kullanılamıyordu ve bir mesajda hizmet bakımda olduğu için kullanılamadığı belirtildi.

Veri ihlali iddialarının arkasındaki tehdit aktörü olan IntelBroker, dosyaları FOUO olarak tanımlıyor ve gizli veriler içeriyor.

Tehdit aktörü, çalındığı iddia edilen verilerin ittifak çalışanları hakkında bilgiler, FOUO kaynak kodu, PDF’ler ve keşif ve yönergeler için belgeler içerdiğini söylüyor.

Ayrıca, dünyanın dört bir yanından 6.000’den fazla yetkili siber suç uzmanına ev sahipliği yapan ve EPE portalındaki topluluklardan biri olan EC3 SPACE’e (Güvenli Platform Yetkili Siber Suç Uzmanları İçin) erişim sağladıklarını iddia ediyorlar. Bunlar:

• AB Üye Devletlerinin yetkili makamlarından ve AB dışı ülkelerden kolluk kuvvetleri
• Adli makamlar, akademik kurumlar, özel şirketler, hükümet dışı ve uluslararası kuruluşlar
• Europol personeli

IntelBroker ayrıca, AB üye devletleri, Birleşik Krallık, Eurojust ile işbirliği anlaşması olan ülkeler ve Avrupa Kamu Savcılığı (EPPO) dahil olmak üzere 47 ülkeden adli ve kolluk kuvvetleri tarafından kullanılan SIRIUS platformunu hacklediğini iddia ediyor.

SIRIUS, cezai soruşturmalar ve işlemler çerçevesinde sınır ötesi elektronik delillere erişmek için kullanılır.

IntelBroker, EPE’nin çevrimiçi kullanıcı arayüzünün ekran görüntülerini sızdırmanın yanı sıra, iddia edilen 9.128 kayıt içeren bir EC3 SPACE veritabanının küçük bir örneğini de sızdırdı. Örnek, EC3 SPACE topluluğuna erişimi olan kolluk kuvvetleri ajanları ve siber suç uzmanlarının kişisel bilgilerine benziyor.

Tehdit aktörü, bir hacker forumunda Cuma günü yaptığı paylaşımda, “FİYAT: Teklif gönderin. SADECE XMR [Monero kripto para birimi]. Bir temas noktası için forumlarda bana mesaj gönderin. Ödeme gücü kanıtı gereklidir. Sadece itibarlı üyelere satıyorum.” dedi.

Avrupa Birliği’nin kolluk kuvvetleri ajansı olan Europol’ün Europol Platform for Experts (EPE) portalında veri sızıntısı olduğu iddiaları, siber güvenlik dünyasında endişelere yol açtı. Tehdit aktörünün iddialarına göre, sızdırılan bilgiler arasında “For Official Use Only” (FOUO) yani Resmi Kullanıma Mahsus belgeler ve gizli veriler de yer alıyor.

Sızıntının Boyutu ve Etkileri:

• Sızıntının ne zaman gerçekleştiği tam olarak bilinmiyor.
• Tehdit aktörü IntelBroker, EPE’nin kapalı bir kullanıcı grubuna ait olduğunu ve sızdırılan verilerin ittifak çalışanları, FOUO kaynak kodu, keşif ve yönergeler için belgeler ile EC3 SPACE (Güvenli Platform Yetkili Siber Suç Uzmanları İçin) platformuna ait verileri içerdiğini iddia ediyor.
• EC3 SPACE platformu, dünyanın dört bir yanından 6.000’den fazla yetkili siber suç uzmanına ev sahipliği yapıyor.
• Ayrıca, SIRIUS platformunun da (47 ülkeden adli ve kolluk kuvvetleri tarafından kullanılıyor) tehlikeye atıldığı ve sızdırılan bilgiler arasında bu platformdan da veriler olduğu iddiaları mevcut.
• Sızdırılan verilerin içeriği ve kapsamı şu anda tam olarak bilinmiyor.

Europol’ün Tepkisi:

Europol, sızıntıyı doğruladı ve durumu değerlendirdiklerini açıkladı. İlk adımların atıldığını ve sızıntının EPE’nin kapalı bir kullanıcı grubu ile sınırlı olduğunu vurguladılar.

Ancak, sızdırılan verilerin içeriği veya operasyonel verilerin etkilenip etkilenmediği ile ilgili net bir açıklama yapılmadı. Bu durum, sızıntının boyutunun ve potansiyel etkilerinin tam olarak anlaşılamamasına yol açıyor.

Siber Güvenlik Endişeleri:

Bu veri sızıntısı, siber güvenlik açısından ciddi endişelere yol açıyor. Sızdırılan verilerin içeriği ve kapsamı netleşmese de, FOUO belgeler ve gizli bilgilerin tehlikeye atılması, Avrupa’daki siber güvenliği ve ulusal güvenliği önemli ölçüde tehdit ediyor.

Sızdırılan verilerin istismar edilmesi, siber saldırılarda artışa, hassas bilgilerin açığa çıkmasına ve hatta uluslararası ilişkilerin bozulmasına yol açabilir.

Kaynak :

“Apple, silinen fotoğraflar gizlice arşivleniyor mu?” sorusu bu gün sosyal medyada en çok sorulan sorulardan biri oldu. Apple’ın iOS 17.5 güncellemesiyle ortaya çıkan, silinen fotoğrafların geri gelme sorunu, kullanıcıların özel verilerinin gizliliğini tehlikeye atan ciddi bir skandala dönüştü. Bu olay, dijital çağda mahremiyet kavramının güvenliğini sorgulatıyor.

Etki Alanı: Yüzlerce iPhone kullanıcısının yıllar önce sildiği fotoğrafların, arama kayıtlarının, mesajların ve daha bir çok şeyin güncelleme sonrası cihazlarına geri döndüğünü fark etmesi, sorunun geniş bir kullanıcı kitlesini etkilediğini gösteriyor.

Gizlilik İhlali: Kullanıcıların bilgisi ve izni olmadan fotoğraflarının saklanması, açık bir gizlilik ihlalidir. Apple’ın bu tür bir uygulamaya imza atması, etik açıdan sorgulanabilir ve kullanıcıların güvenini zedelemektedir.

Veri Güvenliği Sorunları: Silinen fotoğrafların gizlice arşivlenmesi, veri güvenliği açısından da endişe vericidir. Bu fotoğraflar siber saldırılara veya yetkisiz erişimlere maruz kalabilir, bu da kullanıcıların mahremiyetini daha da riske atabilir. Apple’ın bu uygulamayı neden gerçekleştirdiği tam olarak bilinmiyor. Reklamlar için veri toplama, “dijital hafıza” oluşturma gibi farklı teoriler mevcut. Ancak, Apple’ın bu konuda net bir açıklama yapmaması, gizli bir ajandasının varlığına dair şüpheleri artırıyor.

Öfke ve Endişe: Sosyal medyada Apple’a tepkiler çığ gibi büyüyor. Kullanıcılar, bu gizlilik ihlaline karşı öfkeli ve endişeli. Apple’a olan güveni sarsan bu durum, kullanıcıları rakip markalara yönlendirme potansiyeli taşıyor.

Bazı kullanıcılar, Apple ürünlerini boykot etmeye ve alternatif çözümlere yönelmeye çağrıda bulunuyor. Bu durum, Apple’ın satışlarını ve pazar payını olumsuz etkileyebilir. Bazı kullanıcılar ise, Apple aleyhine yasal işlem başlatmayı değerlendiriyor. Bu durum, Apple’a maddi ve manevi tazminat yükümlülüğü getirebilir.

Apple’ın İtibar Kaybı: Bu skandal, Apple’ın itibarına büyük bir darbe vurabilir ve kullanıcıların markaya olan güvenini zedeleyecektir. Apple, kullanıcıların verilerini korumadaki zafiyeti nedeniyle yasal yaptırımlarla karşı karşıya kalabilir. Bu olay, kullanıcıların veri güvenliği konusunda daha bilinçli olmalarına ve hangi bilgilere izin verdiklerine daha fazla dikkat etmelerine yol açacaktır.

Apple’ın silinen fotoğrafları gizlice arşivleme uygulaması, kullanıcıların mahremiyetini tehdit eden ve dijital çağda güvenlik kavramını sorgulatan bir skandala dönüştü. Apple’ın bu konuda acil bir açıklama yapması ve kullanıcıların endişelerini gidermesi gerekiyor. Aksi takdirde, bu skandal Apple’ın itibarına ve geleceğine büyük zarar verecektir.

Silinen Fotoğrafları Geri Yüklemesi: Apple, kullanıcılarına silinen fotoğrafları geri yüklenebilmesinin arkasında yatan gerçeği ve bu işlemin nasıl gerçekleştiğine dair detaylı bilgi vermesi gerekir.

Dijital mahremiyetin korunmasına yönelik yasal düzenlemeler ve yaptırımlar gözden geçirilmeli ve güçlendirilmelidir.

Bu skandal, dijital çağda mahremiyetin ne kadar önemli olduğunu bir kez daha gösteriyor. Kullanıcıların, verilerini kimin topladığını, nasıl kullandığını ve ne için sakladığını bilme hakkı vardır. Apple ve diğer teknoloji şirketleri, kullanıcıların güvenini yeniden kazanmak için somut adımlar atmak zorundadır.

Eski ismiyle Raid forums olarak bilinen ve FBI tarafından yapılan operasyonlar sonucu çökertildikten sonra farklı isimlerde yasadışı faaliyetlerine devam eden illegal paylaşım platformunda, önde gelen teknoloji şirketlerinden Dell’in 49 milyon müşteri kaydını içerdiği iddia edilen bir veri tabanının satıldığı ortaya çıktı. İddia edilen veriler, 2017 ve 2024 yılları arasında Dell’den satın alınan sistemlere ait bilgileri kapsayan kapsamlı bir müşteri bilgileri deposunu içermektedir.

Dell sunucularında kayıtlı güncel bilgiler olduğu iddia edilen veriler, tam adlar, adresler, şehirler, iller, posta kodları, ülkeler, sistemlerin benzersiz 7 haneli servis etiketleri, sistem sevkiyat tarihleri (garanti başlangıcı), garanti planları, seri numaraları (monitörler için), Dell müşteri numaraları ve Dell sipariş numaraları gibi hayati kişisel ve şirket bilgilerini içeriyor. Özellikle, siber saldırgan bu verilerin tek sahibi olduğunu iddia ederek ihlalin ciddiyetinin altını çiziyor.

İddialara göre şaşırtıcı sayıdaki kayıtlar arasında yaklaşık 7 milyon satır bireysel/kişisel satın alımlarla ilgiliyken, 11 milyonu tüketici segmentindeki şirketlere ait. Bunların haricinde kalan ise verilere ilişkin iddialar ise kurumsal, ortak, okul veya tanımlanamayan kuruluşlarla ait olduğu yönündedir . Ayrıca, siber saldırgan veri tabanında en fazla sistemin temsil edildiği ilk beş ülkeyi ABD, Çin, Hindistan, Avustralya ve Kanada şeklinde sıralamaktadır.

Bu veri sızıntısı, Dell müşterilerinin bilgilerinin güvenliği ve gizliliğine ilişkin önemli endişeleri artırmakta ve potansiyel riskleri azaltmak ve daha fazla yetkisiz erişimi önlemek için acil tedbirler alınmasını gündeme getirmektedir.

Dell, 2017 ile 2024 yılları arasında satın alınan sistemlere ait olduğu iddia edilen 49 milyon müşteri kaydını içeren bir veri tabanının tehdit aktörleri tarafından satışa sunulduğu iddiasıyla karşı karşıya. Bu ciddi güvenlik ihlali, müşterilerin kişisel ve şirket bilgilerini büyük bir riske atmaktadır.

Sızdırılan Veriler: İhlal edilen veriler arasında tam adlar, adresler, iletişim bilgileri, sistem bilgileri, garanti detayları ve sipariş numaraları gibi hassas bilgiler bulunmaktadır. Bu bilgiler, kimlik hırsızlığı, dolandırıcılık ve hedefli saldırılar gibi kötü amaçlı faaliyetler için kullanılabilir.

Hedef Kitle: İhlal, hem bireysel müşterileri hem de çeşitli sektörlerden şirketleri etkilemektedir. Özellikle ABD, Çin, Hindistan, Avustralya ve Kanada’daki müşterilerin verilerinin daha fazla risk altında olduğu belirtilmektedir.

Bu olay, veri güvenliğinin önemini bir kez daha gözler önüne sermektedir. Şirketlerin, müşteri verilerini korumak için güçlü güvenlik önlemleri alması ve olası ihlallere karşı hazırlıklı olması gerekmektedir.

• İhlalin kaynağını ve kapsamını belirlemek için kapsamlı bir soruşturma başlatmalı.
• Etkilenen müşterileri derhal bilgilendirmeli ve kimlik hırsızlığına karşı koruma hizmetleri sunmalı.
• Veri güvenliği altyapısını gözden geçirmeli ve gerekli güncellemeleri yapmalı.
• Şeffaf bir iletişim politikası benimseyerek kamuoyunu gelişmelerden haberdar etmeli.

Dell tarafındna yapılması gerekenler bu şekildeyken verileri ihlal edilmiş olabilecek kişi ve kurumlar açısından ise yapılması gerekenleri şu şekilde sıralayabiliriz.

Müşteriler:

• Dell hesaplarının şifrelerini değiştirmeli ve iki faktörlü kimlik doğrulamayı etkinleştirmeli.
• Hesap hareketlerini ve kredi raporlarını yakından takip etmeli.
• Kimlik avı saldırılarına karşı dikkatli olmalı ve şüpheli e-postalara veya bağlantılara tıklamaktan kaçınmalı.
• Gerekirse kimlik hırsızlığına karşı koruma hizmetlerinden yararlanmalı.

Dell’in yaşadığı veri ihlali, Avrupa Birliği Genel Veri Koruma Tüzüğü (GDPR) ve diğer ülkelerdeki genel veri koruma mevzuatı açısından ciddi sonuçlar doğurabilir.

• Veri Sorumlusunun Sorumlulukları: GDPR, veri sorumlularına kişisel verilerin korunması konusunda önemli yükümlülükler getirir. Dell, bu ihlalden etkilenen bireylerin kişisel verilerini işlediği için GDPR kapsamında veri sorumlusu olarak kabul edilir. Bu nedenle, Dell’in veri güvenliği konusunda gerekli tüm teknik ve idari önlemleri aldığını kanıtlaması beklenir.

• İhlal Bildirimi: GDPR, veri ihlallerinin yetkili veri koruma kurumlarına ve etkilenen bireylere bildirilmesini zorunlu kılar. Dell’in, ihlali tespit ettikten sonraki 72 saat içinde ilgili kurumlara bildirim yapması gerekmektedir. Ayrıca, etkilenen bireyleri de makul bir süre içinde bilgilendirmekle yükümlüdür.

• Veri Koruma Etki Değerlendirmesi (DPIA): GDPR, yüksek riskli kişisel veri işleme faaliyetleri için DPIA yapılmasını şart koşar. Dell’in, bu ihlalden önce böyle bir değerlendirme yapıp yapmadığı ve riskleri yeterince değerlendirip değerlendirmediği incelenmelidir.

• İdari Para Cezaları: GDPR, ihlallerin ciddiyetine bağlı olarak veri sorumlularına yüksek idari para cezaları uygulayabilir. Dell’in, bu ihlal nedeniyle GDPR’nin 4. maddesinde belirtilen azami ciro üzerinden %4’e kadar veya 20 milyon Euro’ya kadar para cezasıyla karşı karşıya kalması mümkündür.

• Diğer Ülkelerdeki Mevzuat: GDPR’nin yanı sıra, Dell’in faaliyet gösterdiği diğer ülkelerdeki veri koruma mevzuatı da dikkate alınmalıdır. Bu mevzuatlar, GDPR’den farklı hükümler içerebilir ve farklı yaptırımlar öngörebilir.

• Sınıf Davaları: Etkilenen bireyler, Dell’e karşı toplu tazminat davaları açabilirler. Bu davalar, Dell’in itibarını zedeleyebilir ve maddi kayıplara yol açabilir.

Bu blog yazısı, UEFI tersine mühendislik, güvenlik açığı keşfi ve exploit geliştirme üzerine bir serinin ilk yazısıdır.

Bir zamanlar, rootkit’lerin altın çağında ve internetin ana akım olarak benimsenmesinin şafağında, vahşi kötü amaçlı yazılım tehdit ortamı MBR bootkit’leri ve eski BIOS (Temel Giriş-Çıkış Sistemi) makinelerinin ünlü güvensiz işletim sistemi öncesi önyükleme ortamını hedef alan istismarlar tarafından istila edilmişti. Ancak UEFI’nin (Evrensel Genişletilebilir Ürün Yazılımı Arayüzü) ana akım olarak benimsenmesi kötü amaçlı yazılım tehdit ortamını sonsuza dek değiştirdikten sonra doğal bir soru ortaya çıktı: platform ürün yazılımı tasarımı ve uygulamasındaki yeni gelişmelerle birlikte, bir bootkit geliştiricisi ne yapmalıydı? Elbette, paradigmadaki bu yeni değişimle birlikte, önyükleme işlemi güvenliği geçmişte kaldı… değil mi?

Yine de size bir sır vereceğim: BIOS korsanlığı geri döndü ve her zamankinden daha kötü (ve daha iyi). UEFI, önyükleme sürecinde yeni yenilikler ve şimdiye kadar öngörülemeyen gelişmeler ve dolayısıyla klasik MBR önyükleme kitleri için hafifletmeler getirmiş olsa da, yeni bir dönem başlamak üzereydi – UEFI istismarları, UEFI tabanlı önyükleme kitleri ve UEFI ürün yazılımı implantları dönemi.

Ancak bir bootkit geliştiricisi bu yeni çağda ilerlemek istiyorsa yeni bir beceri setine ihtiyaç duyacaktır. Eski BIOS, MBR ve geçmiş günlerin önyükleme sürecinin anlaşılması rekabette önemli bir avantaj sağlarken ve önyükleme sürecindeki ve işletim sistemi öncesi ortamdaki güvenlik açıklarını tanımlamak için sağlam bir temel oluştururken, UEFI’nin anlaşılması kritik önem taşır.

Leviathan’da, UEFI tersine mühendislik ve istismar geliştirme konusundaki bilgi ve beceri setimizi geliştirmek ve müşterilerimizle yaptığımız çalışmalarda UEFI güvenlik açıklarını bulmak ve istismar etmek için yeni süreçler uygulamak için çok çalışıyoruz. Ben de size UEFI tersine mühendislik ve istismar geliştirmeyi öğretmek için buradayım, böylece siz de UEFI hatalarını bulmak ve istismar etmek, yaygın UEFI güvenlik açıklarını anlamak ve ürün yazılımı güvenlik tedarik zincirini daha iyi güvence altına almak için gerekli becerileri geliştirebilirsiniz.

Tecrübeli istismar geliştiricileri için bile, UEFI istismar geliştirme genellikle hem entrika hem de aşılmaz bir havaya sahiptir. UEFI yalnızca modern cihazların önyükleme sürecinden sorumlu platform ürün yazılımı için bir arayüz spesifikasyonu tanımlamakla kalmaz, aynı zamanda platform başlatma bileşenlerinin geniş ve karmaşık bir ortamını da kapsar. Eski bir BIOS makinesinin ayrı platform bileşenlerinin tümü artık UEFI’nin tekil şemsiyesi altına giriyor. Bu, bir tersine mühendis veya istismar geliştiricisi için iki ucu keskin bir kılıçtır: UEFI’nin geniş saldırı yüzeyi güvenlik açıklarını bulmak için geniş fırsatlar sunsa da, karmaşıklığı bu manzarada etkili bir şekilde gezinmek için bir yol haritası gerektirir.

Bu blog yazısı serisi, böyle bir yol haritası sağlamayı amaçlamaktadır. Bu serinin sonunda, başarılı UEFI tersine mühendislik, güvenlik açığı keşfi ve istismar geliştirme için gerekli olan UEFI ve UEFI güvenlik açıkları hakkında temel bilgilerle daha donanımlı olacaksınız.

“UEFI güvenlik açıkları” terimi, aygıt yazılımı veya donanımdan kaynaklanabilen hata sınıflarını kapsar.[1] Bir UEFI güvenlik açığının kaynağı ne olursa olsun, başarılı bir UEFI istismarının önyükleme işleminin ötesinde geniş kapsamlı etkileri olabileceğini anlamak önemlidir. Saldırganlar bu güvenlik açıklarından yararlanarak kalıcı aygıt yazılımı implantları veya bootkitler yüklemek, işletim sistemi düzeyindeki güvenlik azaltmalarını ve erişim kontrollerini atlamak ve deneyimli aygıt yazılımı adli tıp uzmanları hariç herkes tarafından tespit edilmemek gibi yıkıcı etkileri olan istismarlar gerçekleştirebilir.

Bu seri, UEFI’nin amacımızla ilgili çeşitli bileşenlerini tanıtmaktadır: başarılı tersine mühendislik, güvenlik açığı bulma ve UEFI ürün yazılımını hedefleyen istismar geliştirme. UEFI’nin birçok farklı yönünü ele alacak olsam da, UEFI/PI’ya ilişkin bu genel bakışın kapsamlı olmadığını belirtmek önemlidir, çünkü her ayrıntıyı ele almak ciltler doldurabilir. Okuyucuları bu makalenin sonundaki Referanslar bölümünde listelenen ek referanslara göz atmaya teşvik ediyorum.

UEFI spesifikasyonu, platform donanım yazılımı ile işletim sistemi (OS) arasındaki arayüz için platformdan bağımsız bir uygulama tanımlar. UEFI, platform başlatma ve işletim sistemi getirmenin ötesine geçen işlevselliği kapsıyor olsa da, büyük Vincent Zimmer’den[2] alıntı yapmak gerekirse, “Genel olarak … UEFI, önyükleme veya kontrolü bir sonraki kontrol katmanına, yani bir işletim sistemi yükleyicisine aktarmakla ilgilidir” (Zimmer, “Beyond BIOS,” sayfa 1) [1].

UEFI spesifikasyonu yalnızca DXE aşamasında başlayan platformdan bağımsız ürün yazılımı ve işletim sistemi arayüzü için bir uygulama tanımlar. Genel olarak “UEFI önyükleme süreci” olarak adlandırılan şey aslında UEFI/PI önyükleme akışı anlamına gelmektedir. PI, Platform Başlatma anlamına gelir ve UEFI Forum şemsiyesi altında kendi ayrı spesifikasyonuna sahiptir. Şekil 1a’da PI’nin önyükleme akışının SEC ve PEI aşamalarını kapsadığını görebiliriz. Bu bölümde, UEFI/PI önyükleme akışının tüm aşamalarını ele alacağız.

(Şekil 1a. UEFI/PI Önyükleme Süreci aşamaları)

UEFI’yi incelemeye başlamadan önce, BIOS uygulamalarının geçmişi hakkında bilgi edinmek için hızlıca bir gezintiye çıkalım.

UEFI’nin “eski BIOS” yerine geçtiğini söylemek iyi ve güzel, ancak eski BIOS’un ne olduğunu ve UEFI’den nasıl farklı olduğunu anlamak, modern UEFI tehdit ortamını bağlamsallaştırmak için önemlidir. Ayrıca, eski BIOS ve UEFI arasındaki farkları anlamak, tersine mühendis, istismar geliştiricisi veya araştırmacı olarak rolünüzde size yardımcı olacaktır. Önemli bir bağlam sağlamak ve terminolojideki bazı karışıklıkları gidermek için, “eski BIOS” dediğimizde ne demek istediğimizi genişleterek başlayalım.

EFI/UEFI’nin ilk benimsenmesine kadar (1990’ların sonu-2000’ler civarı), eski BIOS, BIOS uygulamaları için standartlaştırılmamış standardı tanımlıyordu. BIOS, donanımı yapılandırmaktan ve bir işletim sistemi yüklenmeden önce sistemin durumunun hazır olmasını sağlamak için gerekli tüm hazırlıkları yapmaktan sorumlu platform ürün yazılımıdır. Burada, BIOS kodunun belirli Bağımsız BIOS Satıcısı (IBV) tescilli uygulamalarını ifade etmek için “eski BIOS ”u daha uygun bir şekilde tanımlayacağız.

BIOS kodu aynı zamanda önyükleme bloğu kodu olarak da adlandırılırdı ve bugün UEFI’de gördüğümüzden birçok yönden önemli ölçüde farklıdır ve bunlardan birkaçı burada vurgulanmıştır:

Eski BIOS kodu 16-bit assembly ile yazılmış ve gerçek modda çalıştırılmıştır.

Her eski BIOS uygulaması IBV’ye özeldi; her büyük IBV’nin (örneğin AMI, Phoenix) özel bir BIOS uygulaması vardı. Standart bir BIOS spesifikasyonu olmadığından, her IBV’nin özel BIOS’unun tersine mühendisliği imkansız olmasa da oldukça zordu.

Son olarak, eski BIOS, bir işletim sisteminin yüklenmesine hazırlık olarak platform donanımının ve ürün yazılımının başlatılması da dahil olmak üzere sistem açısından kritik işlevleri yerine getirmekten sorumlu olsa da, eski bir BIOS sistemindeki işletim sistemi öncesi ortamın kısıtlamaları ve eski makinelerin donanım kısıtlamaları nedeniyle kapsam ve boyut açısından sınırlıydı.

Daha fazla ayrıntı için “Rootkitler ve Bootkitler”[2] ve “BIOS’un Ötesinde”[1] bölümlerine bakın.

Eski BIOS’un nesli tükenmiş bir teknoloji olmadığına dikkat etmek önemlidir. Giderek daha nadir görülse de, eski BIOS bugün hala sistemlerde kullanılmaktadır. Eski BIOS uygulamalarının tescilli doğası nedeniyle, hevesli tersine mühendis veya istismar geliştiricisine BIOS’un tüm 16 bit gerçek mod kodunu ayrıştırırken ve bir istismar oluşturmak için parçaları yavaşça bir araya getirmeye başlarken yardımcı olacak çok az kaynak mevcuttur.

Bu konuda öne çıkan kaynaklardan biri Darmawan Salihun (pinczakko) tarafından yazılan “BIOS Disassembly Ninjutsu Uncovered” kitabıdır [3]. Bu kitabın ilk baskısı pinczakko’nun GitHub’ında ücretsiz olarak mevcuttur: https://github.com/pinczakko/BIOS-Disassembly-Ninjutsu-Uncovered. Bu kitap, bir etkileşimde eski bir BIOS ile karşılaştığımız ve 16 bitlik assembly ile yazılmış BIOS’a özgü bir istismar geliştirmek istediğimiz nadir durumlarda bizim için paha biçilmez bir kaynak olmuştur.

IBV’ye göre uygulanan eski BIOS’un aksine UEFI, önyükleme işlemi ve platform başlatma için platformdan bağımsız bir arayüz spesifikasyonu sunar. Tüm UEFI uygulamalarında ortak olan temel bir dizi bileşen ve özelliği tanımlarken, aynı zamanda bir platform ürün yazılımı oluşturma özelleştirmesinin genişletilebilirliğini de sunar. Böylece, IBV’ler, OEM’ler ve diğer kuruluşlar UEFI spesifikasyonuna uygun özel UEFI ürün yazılımı uygulayabilir. Bu, (yukarıda belirtildiği gibi) genellikle aşırı spesifik uygulaması, satıcıya özgü BIOS kodu ve özelliklerinin dokümantasyon eksikliği ve tek tip olmayan ikili formatlar gibi faktörler nedeniyle tersine mühendislik yapılması daha zor olan eski BIOS’tan önemli bir değişimdir.

Son olarak, UEFI’nin endüstri genelinde yaygın olarak benimsenmesi eski BIOS’u eskimeye doğru daha da yaklaştırmaya devam ederken, araştırmacıların eski BIOS önyükleme sürecini birkaç nedenden dolayı güçlü bir şekilde kavramaları önemlidir:

Eski BIOS önyükleme sürecinin özellikleri UEFI’nin bir parçası olmaya devam etmektedir (örneğin, eski MBR hala disk üzerinde Silindir 0, Baş 0 Sektör 1’de kalmaktadır) ve eski MBR GUID Bölümleme Tablosuna (GPT) entegre edilmiştir. UEFI önyükleme sürecinin bir parçası olarak kalan eski BIOS bileşenlerini veya süreçlerini anlamak, UEFI önyükleme sürecinin sayısız bileşeni ve genel olarak UEFI BIOS uygulamaları hakkında sağlam bir kavrayışa sahip olmak için çok önemlidir.

Kötü amaçlı yazılımlar, hepimizi rahatsız eden teknoloji borcu olarak bilinen hayalet görüntü nedeniyle UEFI BIOS kullanan sistemlerle birlikte eski BIOS sistemlerini hedef almaya devam etmektedir.

Bugüne geldiğimizde, UEFI endüstri standardıdır ve bu PoC’ler kendi kendine yazılmayacaktır, o yüzden hadi başlayalım.

UEFI, selefine kıyasla şaşırtıcı bir derinlik ve genişlikte işlevselliği kapsayan zengin bir ekosistemdir. Bu derinlik ve genişlik beraberinde daha büyük bir saldırı yüzeyini de getiriyor. Biz aygıt yazılımı ve donanım tersine mühendisleri için bu, bir şeker fabrikasında çocuk olmak gibi bir şey!

(Şekil 1b. UEFI/PI Önyükleme Süreci aşamaları ve ortamı

UEFI ekosistemini anlamamızla ilgili bazı temel bilgileri ele alalım. En baştan başlayacağız – sıfırlama vektörü.

UEFI PI önyükleme süreci birden fazla aşamadan oluşur (bkz. Şekil 1b). Şimdi ilk dört aşamayı (SEC, PEI, DXE ve BDS) inceleyeceğiz çünkü bunlar platform ürün yazılımı başlatma ortamını tanımlar. UEFI PI önyükleme sürecine ilişkin bu daha ayrıntılı bilgi, bu erken platform ürün yazılımı başlatma aşamalarında benzersiz saldırı yüzeylerinin nasıl ortaya çıktığını anlamak için gerekli olacaktır. UEFI PI önyükleme süreci hakkında ek bilgi için Referanslar bölümündeki [12] ve [13]’e bakın.

Bu aşamaların her birinin kodunun bir SPI flash yongasının BIOS bölgesinde nasıl bölündüğüne dair bağlam sağlamak için, UEFITool’a yüklenmiş bir UEFI BIOS ürün yazılımı görüntüsünün (edk2-platforms deposundan X58I referans platformu için UEFI BIOS) ekran görüntülerini de ekledim (aşağıdaki şekil 2, 3 ve 4’e bakın). UEFITool’u ve kullanışlı özelliklerini bu serinin daha sonraki bir yazısında UEFI laboratuvar kurulumunu ele aldığımızda ele alacağız. Şimdilik, UEFITool’un istenen bir BIOS görüntüsünü açmak ve çeşitli bileşenlerini ayrıştırmak için kullanabileceğimiz açık kaynaklı bir UEFI ürün yazılımı görüntüleyicisi ve düzenleyicisi olduğunu bilmek yeterlidir.

Güvenlik (SEC): PI’nin bu ilk aşaması tüm sistem yeniden başlatma olaylarını ele alır, PEI aşaması için geçici RAM’i başlatır ve önemli verileri PEI Foundation’a iletir.

SEC aşaması kodu SPI flash üzerindeki kendi özel firmware biriminde bulunur. Aşağıdaki Şekil 2’de SEC aşaması kodunun yalnızca SEC çekirdeğinden oluştuğunu görebiliriz. Bu küçük kod boyutu, SEC aşaması sırasında mevcut olan sınırlı ortam ve SEC aşaması kodunun PEI aşaması kodu için minimum bir çalışma ortamı hazırlamadaki rolü göz önüne alındığında mantıklıdır.

(Şekil 2. X58ICH10 Board UEFI BIOS’unun UEFITool görünümü – SEC faz kodu)

SEC aynı zamanda “sistemdeki güvenin kökü olarak hizmet vermekten” de sorumludur [4]. Bu, “Güvenlik” adı verilen bir aşamaya atıfta bulunmasa bile, kendi başına yüklü bir ifadedir. Bunun karmaşıklığını anlamak için bağlama ihtiyacımız var: SEC’in sistem için bir güven kökü olarak uygulanabilirliği, varsa hangi platform ürün yazılımı güvenlik mekanizmalarının etkinleştirildiğine bağlı olarak değişir (örneğin, Intel Boot Guard, Intel BIOS Guard.)

Güvenli Önyükleme uygulamalarındaki (UEFI Güvenli Önyükleme, Intel Önyükleme Koruması ve Intel BIOS Koruması) varyasyonları kısa bir süre sonra ele alacağım, ancak şimdilik SEC’in bir şekilde platform ürün yazılımı bütünlüğü doğrulaması için bir güven zincirinde güven kökü olarak hizmet ettiğini söylemek yeterli. Ancak bu güven zincirinin sağlamlığı SEC’in kendisine değil, platform ürün yazılımı güvenlik teknolojilerinin önceden uygulanmasına bağlıdır.

Özetle SEC aşaması, sistem güvenliğini kilitlemek için sağlam bir başlangıç aşaması olmaktan ziyade PEI aşamasının ihtiyaç duyduğu minimum ortamı hazırlamaktan sorumludur. SEC aşaması kodu temel olarak platformun yeniden başlatılmasını sağlar ve PEI için kullanılan geçici RAM’i hazırlar.

PEI için gerekli koşulları yerine getirdikten sonra bu aşamaya devam edelim.

Ön-EFI Başlatma (PEI): İşlerin ilginçleşmeye başladığı yer burasıdır. PEI, UEFI/PI önyükleme sürecinin az takdir edilen ve genellikle ihmal edilen bir aşamasıdır, ancak kendi başına benzersiz ve zengin bir saldırı yüzeyi sağlar.

PEI öncelikle sistemi, kontrolün DXE aşamasına geçebileceği şekilde hazırlamaktan sorumludur. Burada bir tema mı seziyorsunuz? Evet, her aşamanın görevi genellikle sistemi bir önceki yapılandırma üzerine inşa ederek bir sonraki aşama için hazırlamak ve yapılandırmaktır. Bunun PEI aşaması için ne anlama geldiğini biraz daha inceleyelim.

**DXE aşaması için kalıcı sistem belleğini başlatır: **PEI aşaması kodu, kalıcı sistem belleğini tamamen başlatana kadar SEC aşamasında başlatılan geçici RAM’i kullanır

Platform bileşenlerini başlatın: PEI’deki modüller, ayrık yonga seti bileşenlerinin başlatılmasından sorumludur ve kontrol önyükleme işleminin bir sonraki aşamasına aktarılmadan önce her bir donanım bileşeninin gerekli tüm bağımlılıklarının karşılandığı minimum bir çalışma ortamına sahip olmasını sağlar

Hand-Off Bloklarını (HOB’lar) kullanarak mimari durumu tanımlayın: PEI aşaması, PEI aşaması sırasında bir HOB listesi doldurur ve bu HOB listesi daha sonra PEI’nin sonunda DXE aşamasına aktarılır. HOB listesi, DXE aşamasına DXE başlamadan önce sistemin ve çeşitli bileşenlerinin durumu hakkında bilgi sağlar

Kurtarma modlarının işlenmesi ve S3 özgeçmiş durumunun işlenmesi [13]

**PEI faz kodu iki ana gruba ayrılabilir: **PEI Foundation ve PEIM’ler (bkz. Şekil 3).

(Figure 3. UEFITool view of Board X58ICH10 UEFI BIOS – PEI phase code)

SEC aşaması kodu gibi PEI kodu da SPI flaş içindeki özel bir ürün yazılımı biriminde bulunur. Ancak, sistem önyükleme sürecinde ilerledikçe, SEC’den PEI’ye, DXE’ye ve ötesine geçtikçe, her aşama için kodun boyutu artar. Kod boyutundaki artış, her bir aşamanın artan kapsamı ve işlevselliğinin yanı sıra UEFI/PI önyükleme sürecinin her bir aşamasında kod tarafından kullanılan sistem kaynaklarına ve yapılandırılmış arayüzlere ve veri yapılarına artan erişimle paralellik gösterdiğinden mantıklıdır. Şekil 3’te görebileceğimiz gibi, SEC aşaması kodu yalnızca SEC çekirdeğinden oluşmasına rağmen, X58ICH10 UEFI BIOS’un PEI aşaması kodu PEI çekirdeğini (PEI Foundation olarak da bilinir) ve çeşitli PEI modüllerini (PEIM’ler) içerir. Daha önce belirtildiği gibi, PEI faz kodunun bir sorumluluğu da S3 devam ettirme durumunu idare etmektir. PEI ürün yazılımı birimindeki son PEIM, tam da bu görevden sorumlu PEIM olan “S3Resume2Pei ”dir (bkz. Şekil 3).

PEI faz kodunun her bir bileşenini inceleyelim.

PEI Foundation: Bu ikili yürütülebilir dosya, diğer tüm PEI bileşenlerini ve PEIM’leri yönetmekten ve bu bileşenler arasındaki iletişim için gerekli ortamı oluşturmaktan sorumludur.

PEI Foundation ayrıca PEI içinde PEIM’lerin bağımlılık ifadelerini değerlendiren ve hangi PEIM’lerin gerekli bağımlılıklarının karşılandığını ve yüklenebileceğini/çalıştırılabileceğini belirleyen özel bir aşama olan PEI dispatcher’ı da kapsüller.

Ön-EFI Başlatma Modülleri (PEIM’ler): Bu ikili yürütülebilir dosyalar yonga seti bileşenlerinin başlatılmasından sorumludur. Her PEIM bir sürücüdür ve tipik olarak belirli bir donanım veya platform bileşeniyle ilişkilidir. Daha önce de belirtildiği gibi, S3 devam durumu için bir PEIM vardır (S3Resume2Pei; bkz. Şekil 3), ancak PEIM’ler diğer platform bileşenlerinin başlatılmasından da sorumludur. Örneğin, Şekil 3’te “CpuIoPei” ve “PlatformInitPreMem” gibi PEIM’lerin dahil edildiği görülmektedir; bu PEIM’ler adlarının ima ettiği görevlerden sorumludur: sırasıyla CPU I/O’nun başlatılması[3] ve bellek denetleyicisinin başlatılmasından önce platformun başlatılması[4].

PEIM-PEIM Arayüzleri (PPI’ler): Bunlar PEI Foundationakfı tarafından sağlanan ve PEIM’ler arasında iletişime izin veren arayüzlerdir. PEI Foundation, PEIM’ler tarafından her bir PPI’yı kaydetmek için kullanılabilecek PPI’ların ve arayüzlerin bir veritabanını tutar [1, s. 214].

PEI, kısıtlı ve minimal ortamı ve PEI ile DXE kapsamındaki sorumluluklardaki farklılıklar nedeniyle DXE’den farklı olsa da, PEI birçok yönden DXE’ye benzer şekilde çalışır. Bunun bir örneği, PPI’ların PEI Foundation tarafından nasıl kaydedildiği ve sürdürüldüğüdür. PI Spec, Bölüm 2.7’de belirtildiği gibi, “Bir ÜFE tüketicisi, ilgilendiği ÜFE’yi keşfetmek için PEI Hizmeti LocatePpi()‘yi kullanmalıdır. Bir ÜFE üreticisi, PEI Hizmetleri InstallPpi() veya ReinstallPpi() kullanarak mevcut ÜFE’leri PEIM’inde yayınlar.” [5]

Bu, protokollerle etkileşim için DXE aşamasında sağlanan hizmetlere benzer olarak görülebilir (örneğin, protokolleri kaydetme, kaldırma, yeniden yükleme, bulma). EFI Önyükleme Hizmetleri Tablosunda sağlanan aşağıdaki hizmetler sırasıyla yukarıda belirtilen protokol hizmetlerinin her birine karşılık gelir:

EFI_BOOT_SERVICES.InstallProtocolInterface(), EFI_BOOT_SERVICES.UninstallProtocolInterface(), EFI_BOOT_SERVICES.ReinstallProtocolInterface(),

EFI_BOOT_SERVICES.LocateProtocol().

PEI ve ilgili PEI güvenlik açıklarına bu serinin ilerleyen bölümlerinde geri döneceğiz. Şimdilik DXE aşamasına geçelim. PEI’nin birçok yönden DXE ile nasıl benzer olduğunu açıkladım, ancak DXE nedir?

Sürücü Yürütme Ortamı (DXE): DXE aşaması UEFI tarafından kapsanan ilk aşamadır ve artık resmi olarak UEFI diyarındayız! DXE aşaması kodu, UEFI ortamındaki her şeyi hazır ve çalışır hale getirir. DXE kodu, UEFI’deki temel UEFI veri yapıları ve işlevlerine işaretçiler içeren üç temel veri yapısı olan EFI Sistem Tablosu, EFI Önyükleme Hizmetleri Tablosu ve EFI Çalışma Zamanı Hizmetleri Tablosunu kurar. Bu üç veri yapısı UEFI ortamını başlatmak için birlikte çalışır.

DXE aşamasının bir parçası olarak, tüm EFI Önyükleme Hizmetleri, EFI Çalışma Zamanı Hizmetleri ve DXE Hizmetleri başlatılır, böylece burada bulunan tüm işlevler UEFI ortamı için erişilebilir hale getirilir (bkz. Şekil 4).

(Şekil 4. DXE Aşaması DXE Aşamasında Başlatılan UEFI Veri Yapıları Görüntü Kaynağı: UEFI PI Spesifikasyonu, Cilt 2: DXE Foundation )

Bu serinin ilerleyen bölümlerinde, UEFI tersine mühendislik ve istismar geliştirmeyi derinlemesine ele alacağız – programlama yapılarına, çağrı kurallarına ve UEFI API’sinin inceliklerine gerçekten gireceğiz. Bununla birlikte, bir başlangıç olarak, aşağıda basit bir UEFI programının kaynak kodunu ekledim. Açıklamalı kaynak kodu, DXE faz kodunun neyi başlattığı ve güçlü oyuncu veri yapılarımız tarafından sağlanan işlevsellik hakkında ek bağlam sağlar: EFI Sistem Tablosu, EFI Önyükleme Hizmetleri Tablosu ve EFI Çalışma Zamanı Hizmetleri Tablosu.

greetings.c, UEFI kabuğundaki Konsola “Leviathan’dan Selamlar” yazdıran basit bir UEFI uygulaması için C kaynak kodudur.

greetings.c için örnek kaynak kodu:

#include <Library/UefiLib.h>
#include <Library/UefiBootServicesTableLib.h>
#include <Library/UefiRuntimeServicesTableLib.h>
 
EFI_STATUS
EFIAPI
UefiMain (
     IN EFI_HANDLE          ImageHandle,
     IN EFI_SYSTEM_TABLE    *SystemTable //[1] Pointer to EFI_SYSTEM_TABLE passed in
     )
 
/*
* UefiMain does the following:
* [2] Calls SystemTable->ConOut->OutputString function to print “Greetings from Leviathan” to console
* [3] Retrieves pointer to EFI_BOOT_SERVICES table from EFI_SYSTEM_TABLE
* [4]Prints address of EFI_BOOT_SERVICES table to console – using the UEFI library function Print().
*/

{
     SystemTable->ConOut->OutputString(SystemTable->ConOut, L"Greetings from Leviathan\n"); // [2] 
     EFI_BOOT_SERVICES *gBS=(SystemTable->BootServices); // [3] 
     Print(L"Boot Services Table address is: %p \n\n", &gBS);  // [4]
     return EFI_SUCCESS;
}

Sistemin başlatılması sırasında DXE faz kodunun bir diğer önemli sorumluluğu da yonga seti ve donanımın başlatılmasıdır. Bu kafa karıştırıcı olabilir çünkü PEI aynı zamanda donanım gibi platform bileşenlerinin başlatılmasını da kapsar, bu nedenle bunun DXE bağlamında ne anlama geldiğini açıklayalım. DXE aşaması kodu ya PEI aşamasında gerçekleştirilen platform bileşenlerinin önceden başlatılması üzerine inşa edilecek ya da başlatma işlemini kendisi gerçekleştirecek veya bu ikisinin bir kombinasyonunu kullanacaktır.

Bununla birlikte, DXE donanım bileşenlerini başlatmak için PEI aşamasını gerektirmez ve DXE teknik olarak PEI aşamasını hiç gerektirmez. DXE faz kodu, PEI aşaması sırasında oluşturulabilen bir veri yapısı olan HOB listesine ihtiyaç duyar. Yine PI Spec’e göre, “DXE aşaması, yürütülmesi için bir PEI aşaması gerektirmez. DXE aşamasının yürütülmesi için tek gereklilik geçerli bir HOB listesinin varlığıdır. DXE aşamasının yürütülmesi için geçerli bir HOB listesi üretebilen birçok farklı uygulama vardır. Bir PI Mimarisi ürün yazılımı uygulamasındaki PEI aşaması, olası birçok uygulamadan yalnızca biridir.” [6]

DXE faz kodu tek başına bir ikili kod değildir. PEI aşaması gibi, DXE aşaması kodu da iki gruba ayrılabilir: DXE Foundation (DXE Dispatcher adı verilen bir bileşen içerir) ve DXE sürücüleri (bkz. Şekil 5). DXE Foundation ve DXE sürücüleri daha sonra detaylandırılacaktır.

Şekil 5. DXE Temel Bileşenleri DXE Temel Bileşenleri Görüntü Kaynağı: UEFI PI Spesifikasyonu, Cilt 2: DXE Foundation

DXE Temeli: DXE Altyapısı (bazı literatürde “DXE Çekirdeği” olarak da anılmaktadır [5]) yukarıda bahsedilen önemli tabloların (yani UEFI Sistem Tablosu, Önyükleme Hizmetleri Tablosu, Çalışma Zamanı Hizmetleri Tablosu) ve bunlara karşılık gelen DXE Hizmetleri, Önyükleme Hizmetleri ve Çalışma Zamanı Hizmetlerinin kurulumundan sorumlu bir önyükleme hizmeti görüntüsüdür. DXE Foundation, DXE sürücülerini keşfetmek ve yürütmekten ve bağımlılıklarının karşılanmasını sağlamaktan sorumlu olan DXE dağıtıcısını kapsüller.

DXE Sürücüleri: Bu sürücüler, yonga seti ve donanım dahil olmak üzere platformu başlatır ve konsol I/O hizmetlerini kurar. DXE Foundation, HOB listesini kullandığından, DXE sürücüleri bu bilgileri önceki başlatma işleminin üzerine inşa etmek ve ek bileşenleri başlatmak için kullanabilir. Dikkate değer bir örnek, DXE sürücülerinin genellikle bu serinin ilerleyen bölümlerinde ele alacağımız Sistem Yönetim Modu’nun (SMM) kurulumundan sorumlu olmasıdır. PI/UEFI önyükleme sürecinin önceki aşamalarıyla karşılaştırıldığında DXE, büyük ölçüde sistem kaynaklarına, özellikle de PEI aşamasında kurulan yeni başlatılmış kalıcı belleğe erişimi sayesinde mümkün olan geniş bir ortama sahiptir. Platform ürün yazılımı arayüzümüze böylesine geniş ve derin bir işlevsellik kazandırdığı için DXE aşamasını alkışlayabiliriz. greetings.c örnek UEFI uygulaması kaynak kodunda, UEFI uygulamaları ve sürücüleri için mümkün olanın yüzeyini çizen bir örnek gördük, ancak seride ilerledikçe göreceğimiz gibi, UEFI ortamında bir programcıya sunulan çok daha fazla karmaşıklık ve esneklik var. UEFI ortamının tamamen başlatıldığı DXE aşamasından çıkıp işletim sistemi çalışma zamanı ortamına doğru ilerlerken, bu yeni UEFI ortamını ayrı bir ekosistem olarak düşünmek faydalı olabilir (neredeyse işletim sisteminden önceki bir işletim sistemi, bir proto-OS gibi).

Önyükleme Aygıtı Seçimi (BDS): BDS aşaması UEFI önyükleme yöneticisi olarak düşünülebilir.

BDS aşaması kodu, olası önyükleme aygıtlarını numaralandırma, önyükleme sırasını değerlendirme ve nihayetinde kontrolü önyükleme aygıtına (genellikle işletim sistemi yükleyicisi) aktarmadan önce son UEFI temizlik işlemlerini gerçekleştirme gibi önemli görevleri yerine getirir.

BDS aşamasının sonunda, EFI_BOOT_SERVICES tablosunu yok eden ExitBootServices() işlevine bir çağrı yapılır. Bu noktadan sonra EFI_BOOT_SERVICES işlevleri artık çağrılamaz. Özellikle, EFI_RUNTIME_SERVICES tablosu korunur ve kullanıcı işletim sistemi çalışma zamanı ortamından EFI_RUNTIME_SERVICES işlevlerine erişebilir. Bu nedenle BDS, UEFI API’sinin önemli bir kısmının artık kullanılamadığı UEFI’nin “son” aşaması olsa da BDS aşaması UEFI ortamını tamamen yok etmez. EFI_RUNTIME_SERVICES tablosu ve ilişkili işlevselliği bir sonraki aşama olan Geçici Aşama Yüklemesi (TSL) ve nihayetinde işletim sistemi kurulumu boyunca korunduğundan, platform ürün yazılımı ile işletim sistemi arasındaki iletişim için bir köprü korunur. BDS aşaması kodu, olası önyükleme aygıtlarını numaralandırma, önyükleme sırasını değerlendirme ve nihayetinde kontrolü önyükleme aygıtına (genellikle işletim sistemi yükleyicisi) aktarmadan önce son UEFI temizlik işlemlerini gerçekleştirme gibi önemli görevleri yerine getirir.

BDS aşaması kod sorumluluklarının daha resmi bir listesi için UEFI Spesifikasyonuna bakın:

"BDS aşaması, BDS Mimari Protokolünün bir parçası olarak uygulanmaktadır. DXE Foundation, bağımlılıkları karşılanan tüm DXE sürücüleri DXE Dispatcher tarafından yüklendikten ve yürütüldükten sonra kontrolü BDS Mimari Protokolüne devredecektir. BDS aşaması aşağıdakilerden sorumludur:

• Konsol cihazlarının başlatılması
• Aygıt sürücülerini yükleme
• Önyükleme seçimleri yüklenmeye ve yürütülmeye çalışılıyor [7]"

Önemli not: UEFI/PI önyükleme akışının aşamalarına ilişkin yukarıdaki genel bakış, önyükleme sürecinin SEC öncesinde gerçekleşen yönlerini kapsamamaktadır, ancak SEC aşamasının ilk komutundan önce bile birçok şey gerçekleşir. Bu durum özellikle Intel Boot Guard ve Intel BIOS Guard gibi teknolojiler kullanıldığında geçerlidir (örneğin, Intel Boot Guard uyumlu bir sistem için etkinleştirildiğinde, sıfırlama vektöründen sonraki ilk komutun yürütülmesinden önce Kimliği Doğrulanmış Kod Modülü [ACM] yüklenir ve yürütülür). Converged Security and Management Engine (CSME) gibi diğer platform bileşenleri Intel önyükleme sürecinde önemli bir rol oynar ancak kısa olması açısından bu blog yazısında ele alınmayacaktır. CSME ve önceki CSME güvenlik açıkları ve istismarları hakkında ek kaynaklar Referanslar bölümünde yer almaktadır.

UEFI/PI önyükleme akışının ana aşamalarını tartıştığımıza göre, şunu sorabilirsiniz: Bir UEFI BIOS’unu bir tehdit aktörü tarafından değiştirilmekten, kurcalanmaktan veya başka bir şekilde istismar edilmekten nasıl koruruz? Güvenli Önyükleme teknolojilerine girin. “Güvenli Önyükleme teknolojileri”, sağlam ürün yazılımı bütünlüğü doğrulaması sağlamak ve bir UEFI BIOS’u mümkün olduğunca kilitlemek için tasarlanmış çeşitli platform ürün yazılımı güvenlik mekanizmalarını kapsayan bir şemsiye terimdir.

“Güvenli Önyükleme”, uygulandığı önyükleme süreci hiyerarşisinin seviyesine bağlı olarak üç şekilde ortaya çıkar:

• İşletim Sistemi Güvenli Önyükleme: İşletim sistemi önyükleyicisi seviyesinde uygulanır. Bu, işletim sistemi çekirdeği ve önyükleme başlatma sürücüleri gibi işletim sistemi önyükleyicisi tarafından yüklenen bileşenleri doğrular.
• UEFI Güvenli Önyükleme: UEFI ürün yazılımında uygulanır. Bu, UEFI DXE sürücülerini ve uygulamalarını, Seçenek ROM’larını ve OS önyükleyicilerini doğrular.
• Platform Güvenli Önyükleme: Donanıma sabitlenmiştir. Bu, platform başlatma ürün yazılımını doğrular.

Platform güvenli önyükleme teknolojilerinin farklı çeşitlerinin bu yararlı sınıflandırması, Bölüm 17 “UEFI Güvenli Önyükleme Nasıl Çalışır” [8] içindeki “Rootkits and Bootkits” bölümünden alınmıştır.

Aşağıdaki açıklamalar, birçok Güvenli Önyükleme ve platform ürün yazılımı güvenlik teknolojileri arasındaki temel farklardan bazılarının kapsamlı olmayan bir açıklamasıdır. Bu teknolojilerin nasıl uygulandığını, neleri koruduğunu, neleri koruyamadığını ve kullanımlarının platform ürün yazılımı tehdit ortamını nasıl değiştirdiğini daha iyi anlamanıza yardımcı olmaya çalışacağım.

Not: Bu bölümde sadece Intel işlemciler için Secure Boot teknolojilerine odaklanacağım. Odaklanacağım üç teknoloji UEFI Secure Boot, Intel Boot Guard ve Intel BIOS Guard’dır.

UEFI Secure Boot en temel katmandır ve DXE’nin sonraki aşamalarından başlayarak UEFI BIOS’u korur. SPI flaştan başlayıp işletim sistemi kurulumuna kadar devam eden sürecin geç bir noktasında koruma ve görüntü doğrulaması sağlar.

UEFI Güvenli Önyükleme etkinleştirilmiş tek platform ürün yazılımı güvenlik mekanizması ise SEC, Ölçüm için Çekirdek Güven Kökü (CRTM) olarak hizmet veren İlk Önyükleme Bloğunun (IBB) bir parçasını oluşturur [12]. UEFI Güvenli Önyükleme, güven kökü olarak iki bileşenin bütünlüğüne dayanır: IBB (SEC ve PEI) ve Platform Anahtarı. PI bileşenleri (SEC ve PEI) SPI flaşta saklanır ve UEFI Secure Boot tarafından dolaylı olarak güvenilir. UEFI Secure Boot, UEFI BIOS ürün yazılımı görüntüsünün belirli bileşenlerinin bütünlüğünü doğrulamak için bir Açık anahtar altyapısı (PKI) kullanır. UEFI Secure Boot’un PKI’sının ana bileşenleri arasında db ve dbx veritabanları (sırasıyla UEFI ikili dosyalarının bilinen-iyi sertifikalarını/hash’lerini ve UEFI ikili dosyalarının bilinen-güvensiz sertifikalarını/hash’lerini depolamak için kullanılır) ile her ikisi de dijital imzaların doğrulanması için kullanılan Anahtar değişim anahtarı (KEK) ve Platform Anahtarı (PK) yer alır [9].

db veritabanı, dbx veritabanı, PK ve KEK’in ayrıntılı bir dökümü ve UEFI Güvenli Önyükleme sürecindeki rolleri bu makalenin kapsamı dışındadır (daha fazla bilgi için bkz. Güvenli Önyükleme ve Platform Ürün Yazılımı Güvenlik Teknolojileri Kaynakları ve Referansları). Bizim amaçlarımız için, UEFI Güvenli Önyükleme’nin yalnızca UEFI bileşenlerini doğruladığını anlamak yeterlidir. Böylece, ürün yazılımı bütünlüğü doğrulamasına DXE aşamasında başlar. UEFI Secure Boot için güven kökünü oluşturduğundan IBB’nin güvenli olduğuna zımnen güvenilir. Bu nedenle, UEFI Secure Boot DXE veya BDS aşamalarında yüklenen herhangi bir UEFI uygulaması veya sürücüsüne karşı ürün yazılımı güvenlik doğrulaması uygulasa da SEC veya PEI bileşenlerinin bütünlüğünü doğrulamaz.

İlk tasarım perspektifinden bakıldığında bile, UEFI Güvenli Önyükleme’deki tasarım kusurları ve dolayısıyla bypass için yollar çok sayıdadır. Örnek olarak, UEFI Secure Boot’un ürün yazılımı görüntü bütünlüğü doğrulama mekanizmalarının potansiyel olarak atlanmasına kapı açan UEFI Secure Boot’un iki ana tasarım özelliğini vurguladım. Bu iki örnek kapsamlı değildir ve Secure Boot’un tanıtımından bu yana bu konuda önemli ve mükemmel araştırmalar yapılmıştır. Güvenli Önyükleme bypass teknikleri hakkında daha fazla bilgi için [Güvenli Önyükleme ve Platform Ürün Yazılımı Güvenlik Teknolojileri Kaynakları ve Referansları] bölümüne bakın.

• UEFI Güvenli Önyükleme için güven kökü, SPI flaştan yüklenen PI ürün yazılımıdır; bir saldırgan SPI yazma erişimi elde edebilir ve flaştaki PI ürün yazılımını değiştirebilirse, UEFI Güvenli Önyükleme güven köküne sahip olarak tüm UEFI Güvenli Önyükleme zincirini etkili bir şekilde tehlikeye atar.
• UEFI Secure Boot, ürün yazılımı güvenlik doğrulamasına DXE aşamasında başlar. Bu mantıklıdır çünkü UEFI DXE aşamasında başlar, bu nedenle UEFI Secure Boot yalnızca kendi bileşenlerinin doğrulanmasından sorumlu olmalıdır. Bununla birlikte, PI ürün yazılımındaki (yani PEI) güvenlik açıkları, SMM’yi (SPI flaşa yazmak için) veya DXE’den önce yüklenen platform ürün yazılımının diğer bileşenlerini hedef almak için istismar edilebilir ve kullanılabilir.

UEFI ürün yazılımı görüntü bütünlüğünün doğrulanmasını ve UEFI/PI kodunun tüm aşamalarının ölçülmesini sağlamak için daha sağlam bir başka teknolojiye başvurabiliriz: Intel Boot Guard.

Intel Boot Guard, UEFI Secure Boot’u çevreleyerek, UEFI/PI önyükleme akışının tüm aşamalarını kapsayacak şekilde güven kökünü genişleten bir ürün yazılımı bütünlüğü koruma ve doğrulama katmanı oluşturur. Intel Boot Guard ile platform ürün yazılımı bütünlüğü doğrulaması artık SEC ve PEI faz kodunun yanı sıra UEFI Secure Boot tarafından kapsanan DXE faz kodunu da kapsıyor. Başka bir deyişle, Intel Boot, UEFI BIOS’u SPI flash’tan hareket ederken sürecin en erken noktasından itibaren ve ardından UEFI/PI önyükleme sürecinin önceki aşamalarında aşamalı olarak korur ve son olarak PEI’den DXE’ye geçişten sonra ürün yazılımı görüntüsü doğrulama sürecini devam ettirmek için UEFI Secure Boot ile birlikte çalışır. Boot Guard, UEFI BIOS görüntüsünün bütünlüğünün UEFI/PI önyükleme sürecinin her aşaması boyunca ölçülmesini ve doğrulanmasını sağlar.

Intel Boot Guard güven kökünü daha da yukarı taşır; SPI flaşta saklanan PI ürün yazılımının bütünlüğüne güvenmek yerine (UEFI Güvenli Önyükleme için olduğu gibi), Boot Guard, anakartın üzerindeki Alan Programlanabilir Sigortaya (FPF) yakılan donanımda saklanan bir anahtarı kullanarak ürün yazılımı bileşenlerinin bütünlüğünü doğrulamak için Intel Kimliği Doğrulanmış Kod Modülünü (ACM) kullanır.

Boot Guard etkinleştirildiğinde, ACM CPU üzerinde Cache-as-Ram (CAR) adı verilen korumalı bir bellek bölgesinde çalışır ve IBB’nin (PI ürün yazılımının SEC ve PEI bileşenleri) bütünlüğünü doğrulamak için FPF’ye kilitlenen anahtarı kullanır. Böylece ACM, IBB’deki ilk komutu çalıştırmadan önce ürün yazılımı görüntü ölçümü ve doğrulaması gerçekleştirir [8]. IBB doğrulanırsa, CPU kontrolü IBB’ye geçirir ve ardından sıfırlama vektöründen ilk komutunu yürütmeye başlar. Boot Guard daha sonra UEFI/PI önyükleme akışı SEC’den PEI’ye ve DXE’ye geçerken platform ürün yazılımının sonraki parçalarını doğrulamaya devam edecektir. DXE aşamasına ulaşıldığında, UEFI Secure Boot kendi işini yapabilir ve DXE bileşenleri üzerinde kendi ürün yazılımı bütünlüğü doğrulama işlemini başlatabilir.

Intel Boot Guard’ın avantajları, artık yalnızca UEFI Secure Boot’a güvenmek yerine, donanıma kaynaştırılmış bir anahtar kullanarak IBB’nin tüm bileşenlerini doğrulayarak platformun çok daha geniş bir yelpazesinde platform ürün yazılımı güvenlik doğrulaması sağlamasıdır. Boot Guard, doğru uygulandığı takdirde platform ürün yazılımı saldırı yüzeyini büyük ölçüde daraltır.

Bu alanda Boot Guard bypassları ile ilgili çok fazla çalışma yapılmıştır. Genellikle Boot Guard’daki yanlış yapılandırmalar, donanım yazılımı güvenlik zincirinde boşluklar bırakır ve bu boşluklar bir saldırgan için yeterli açıklık olabilir. Aşağıda Boot Guard bypass teknikleriyle ilgili birkaç araştırma örneğine yer verdim. Bu konuya blog serisinin ilerleyen bölümlerinde UEFI hatalarından bahsederken döneceğiz.

Intel Boot Guard hakkında dikkat edilmesi gereken son bir önemli nokta da SPI flaşa okuma/yazma erişimini engellemediğidir. Intel Boot Guard, güven kökü olarak IBB’den başlayarak UEFI ürün yazılımı görüntüsünün bütünlüğünü doğrular, ancak rolü “CPU IBB’yi çalıştırmak için sıfırlamadan çıkmadan önce bu kodun doğruluğunu [doğrulayarak]” ürün yazılımı bütünlüğü doğrulaması yapmaktır. [10] SPI flash’a okuma/yazma erişimini engellemek ve böylece SPI flash’ta yerleşik ürün yazılımı implantları veya BIOS tabanlı rootkit’ler için saldırı vektörlerini en aza indirmek için başka bir teknolojiye başvurabiliriz: Intel BIOS Guard.

BIOS Guard, birçok ürün yazılımı değişiklik vektörüne karşı koruma sağlayarak ve SPI flaşta saklanan güven kökünü (IBB) ve diğer ürün yazılımı bileşenlerini tehlikeye atılmaya veya kurcalanmaya karşı koruyarak UEFI Secure Boot ve Intel Boot Guard tarafından bırakılan güvenlik boşluklarını doldurur.

Intel BIOS Guard, SPI flash yongasını (ve dolayısıyla SPI flash üzerinde bulunan UEFI BIOS’u) yetkisiz okuma/yazma işlemlerine karşı korur. BIOS Guard özellikle SPI flash modifikasyonu için saldırı yüzeyini azaltmaya odaklanır. Özellikle, SMM kodundan (yani SMI işleyicilerinden) SPI flaşa erişimi kısıtlar. BIOS Guard, Flash okuma/yazma erişimini kısıtlayarak ve yalnızca BIOS Guard’ın AC-RAM modunda çalışan kodun SPI flash’ı değiştirme yetkisine sahip olmasını sağlayarak SMI işleyicilerinden ve çoğu POST kodundan gelen saldırı vektörlerini ortadan kaldırır [10].

UEFI Kabuğu, çeşitli UEFI bileşenleriyle (örneğin, diğer UEFI uygulamaları ve sürücüleri ile bunların protokolleri) etkileşim için kabuk benzeri bir arayüz sağlayan bir UEFI uygulamasıdır. Bir üretim cihazında UEFI Kabuğuna sahip olmak nadirdir (ve kesinlikle tavsiye edilmez). Bununla birlikte, test amacıyla, UEFI kabuğu hem açıkları test etmek hem de sistemi daha iyi anlamak için mükemmel bir ortamdır. [6]

UEFI uygulamaları ve sürücülerinin her ikisi de UEFI görüntüleridir ve serinin ilerleyen bölümlerinde UEFI tersine mühendislik ve istismar geliştirmeyi incelerken çalışacağımız birincil UEFI bileşeni olacaklardır. Şimdilik, UEFI uygulamaları ve sürücüleri hakkında dikkat edilmesi gereken önemli noktalar bunlardır:

• UEFI uygulamaları ve sürücülerinin her ikisi de PE/COFF başlığına sahip ikili yürütülebilir dosyalar.
• Bir UEFI uygulaması ile bir UEFI sürücüsü arasındaki tek fark, bir uygulamanın çalıştıktan sonra bellekten kaldırılması ve bir sürücünün kaldırılana kadar yerleşik kalmasıdır

Bu protokoller UEFI’nin et ve patatesleri olarak hizmet vermektedir. Protokollerin rolü UEFI’nin o kadar ayrılmaz bir parçasıdır ki pratikte “Linux’ta her şey bir dosyadır” sözüne benzer. UEFI’de bir protokol, veri ve işlev işaretçilerini kapsülleyen bir arayüzdür. Her platform bileşeni ve ağlar veya diskler gibi her cihaz için, donanım ve ürün yazılımı iletişimi için soyutlama katmanı olarak hizmet vermeye hazır bir veya daha fazla protokol vardır.

Protokollerin diğer UEFI terimleriyle dikkate değer birkaç bağlantısı vardır:

• Bir UEFI sürücüsü bir veya daha fazla UEFI protokolü üretebilir.
• UEFI tanıtıcıları bir veya daha fazla protokolün koleksiyonlarıdır. Tüm tutamaçlar tutamaç veritabanında saklanır. Tanıtıcı veritabanı (şaşırtıcı olmayan bir şekilde) bir tanıtıcı anahtarını protokollerle ilişkilendiren bir sözlük yapısıdır, ancak protokol türleri tanıtıcı türünü belirler (bu durumda değerler anahtarı etkiler). [1, p. 17]

EFI Sistem Tablosu: UEFI’deki ilk büyük veri yapısı olan EFI Sistem Tablosu, EFI Önyükleme Hizmetleri Tablosu ve EFI Çalışma Zamanı Hizmetleri Tablosu dahil olmak üzere diğer önemli veri yapılarına yönelik önemli veriler ve işaretçiler içerir. Ayrıca konsol I/O hizmetleri ve UEFI Yapılandırma Tablosu için işaretçiler içerir. UEFI Yapılandırma Tablosu bilinen GUID’leri ve karşılık geldikleri işaretçileri içerir ve bu tablo isteğe bağlı olarak ürün yazılımı ekosisteminde farklı rolleri olan diğer tabloları da içerebilir (örn. ACPI Tablosu, HOB Listesi) [6]. Bu veri yapısının UEFI’deki önemi abartılamaz. PI Spec’e göre, “DXE aşamasında mevcut olan tüm hizmetlere UEFI Sistem Tablosuna bir işaretçi aracılığıyla erişilebilir.” [6]

EFI Önyükleme Hizmetleri Tablosu: Bu, işletim sistemi açılmadan önce UEFI ürün yazılımı tarafından kullanılan işlevlere işaret eden bir işlev işaretçileri tablosudur. EFI Önyükleme Hizmetleri Tablosunun işlevleri, UEFI ürün yazılımı kontrolü işletim sistemine aktardıktan ve önyükleme hizmetlerini sonlandırdıktan sonra kullanılamaz. Önyükleme hizmetlerinin sonlandırılması, **EFI_BOOT_SERVICES.ExitBootServices() **olarak adlandırılan EFI Önyükleme Hizmetleri Tablosuna son bir çağrı yapan UEFI işletim sistemi yükleyicisi tarafından yapılır.

EFI Çalışma Zamanı Hizmetleri Tablosu: Bu, UEFI ürün yazılımı tarafından kullanılan işlevlere işaret eden bir işlev işaretçileri tablosudur. Bu işlevler işletim sistemi yüklendikten sonra kullanılabilir (dolayısıyla “Çalışma Zamanı Hizmetleri tablosu” adı verilir) ve işletim sistemi kodunun aygıt yazılımı bileşenleriyle etkileşime girmesi için bir araç olarak sağlanır.

UEFI’ye genel bakış seminerimizin sonuna geldik ve bu tanıtım seminerine katıldığınız için teşekkür ederiz. Bugünlük dersi sonlandırmadan önce, blog serisinin geri kalan yazılarının yapısını tanıtmak için sizi bir veda düşüncesiyle baş başa bırakacağım. Büyük Donald Knuth’u ve onun bilgisayar bilimlerinde teori ve pratik dengesine ilişkin bilgeliğini hatırlayarak, UEFI 1337 üstünlüğüne ulaşmak için hem teori hem de pratiğin gerekli olduğunu biliyoruz. Başarılı UEFI açıkları yazmak için aşağıdakilere ihtiyacımız var:

• Teori: UEFI ve istismarlara yol açan çeşitli saldırı vektörleri hakkında temel bir anlayış
• Uygulama: UEFI istismar geliştirme deneyimi

Teori gereksinimlerimizi karşılamak için ihtiyacımız olan şeylerin çoğunu belirledik. Gelecek blog yazılarında, UEFI tersine mühendislik, güvenlik açığı bulma ve istismar geliştirmenin pratik bileşenlerine geçmeden önce kalan temel bilgileri (UEFI Güvenlik Açıklarına genel bakış) ele alacağız.

“UEFI yeni BIOS’tur” yazısının bir sonraki bölümünde görüşmek üzere.