Veri Kurtarma
HDD
Dijital çağda, kişisel ve şirket verilerimizi HDD, USB ve SD kart gibi depolama aygıtlarında saklıyoruz. Ancak, bu cihazların bozulabileceğini unutmamak gerekir.
SSD
MOBİL
Mobil cihazlarınızdaki kayıp verileri geri kazanmanıza yardımcı oluyoruz.
CCTV
Silinmiş, Bozulmuş ve Erişilemeyen Güvenlik Kayıtlarınıza Ulaşın
RAID/NAS
RAID ve NAS sistemleri, veri depolama ve yedekleme için yaygın olarak kullanılan güvenilir teknolojiler olsalar da, arızalandıklarında önemli veri kayıplarına neden olabilirler.
VMDK/VDI
VMDK, VHDX ve VDI gibi sanal disk görüntü dosyaları, sanallaştırma ortamlarında yaygın olarak kullanılır ve veri kaybı durumunda kurtarılması zor olabilir.
Siber Güvenlik
Adli Bilişim
Sistem Ağ ve Kurulumu
Topluluk
DrDisk Lab, çok çeşitli cihaz ve platformlardan veri kurtarma konusunda uzmanlaşmış lider bir veri kurtarma ve adli bilişim şirketidir.
Caller ID Spoofing Nedir ve Sahte Aramalara Karşı Nasıl Korunabiliriz?
Caller ID spoofing, internet tabanlı teknolojilerin gelişmesiyle daha kolay erişilebilir hale gelen ve özellikle dolandırıcılık, kimlik hırsızlığı gibi yasa dışı faaliyetlerde kullanılan bir yöntemdir. Bu yazıda, caller ID spoofing’in ne olduğunu, teknik detaylarını ve bu tür sahte aramalara karşı nasıl koruma sağlayabileceğimizi detaylı bir şekilde ele alacağız.
Caller ID spoofing, bir saldırganın telefon sistemini manipüle ederek, aradığı kişinin telefonunda görünen numarayı veya ismi değiştirme işlemidir. Bu sayede, güvenilir bir kişi veya kurumdan arandığınızı düşünebilirsiniz. Bu yöntem, sosyal mühendislik teknikleriyle birleştirildiğinde, kullanıcıları yanıltmak ve hassas bilgileri ele geçirmek için oldukça etkili bir araç haline gelir. Caller ID spoofing, yani aramayı yapanın kimliğini taklit etme, günümüzde sıkça karşılaştığımız ve oldukça tehlikeli bir siber saldırı yöntemidir. Bu yöntemde, saldırganlar aradıkları kişinin telefonunda görünen numarayı veya ismi değiştirerek, güvenilir bir kişi veya kurumdan arıyormuş gibi bir izlenim yaratırlar. Bu durum, hem kişisel bilgilerin çalınmasına hem de dolandırıcılığa zemin hazırlar. Bu yöntemle arayan kişi, karşı tarafın telefon ekranında güvenilir bir numara veya bilinen bir kurumun ismi görünecek şekilde bir düzenleme yapar. Örneğin, bir dolandırıcı, hedef telefonda bir banka numarası veya devlet kurumu gibi gözükecek bir arama yaparak güven kazanır ve bu güveni kullanarak hassas bilgiler talep eder. Bu tür dolandırıcılık saldırıları, fidye taleplerinden kimlik hırsızlığına kadar geniş bir yelpazede kötü niyetli amaçlar için kullanılmaktadır.
Caller ID spoofing genellikle VoIP (Voice Over Internet Protocol) üzerinden yapılır. Bu yöntem, IP tabanlı telefon sistemleriyle çalıştığından, arayan kişinin kimliğini gizlemesine veya değiştirmesine olanak tanır. Spoofing işlemi sırasında, arayanın cihazı, alıcıya gerçek olmayan bir Caller ID gönderir. Bu Caller ID, hedefin telefonunda, dolandırıcının seçtiği herhangi bir numara veya isim olarak görüntülenir.
Caller ID spoofing işlemi teknik olarak birkaç adımdan oluşur:
Bazı popüler caller ID spoofing servisleri şu şekilde sıralanabilir:
Ayrıca, Telegram üzerinden erişilebilen bazı botlar da bu tür hizmetleri sağlamakta ve dolandırıcıların kimlik değiştirme sürecini daha erişilebilir kılmaktadır.
Caller ID spoofing, sadece dolandırıcılık amaçlı değil, aynı zamanda bazı kötü niyetli faaliyetlerde ve sosyal mühendislik saldırılarında da kullanılmaktadır. İşte bazı yaygın kullanım alanları:
Caller ID spoofing ile mücadelede kullanılan en etkili yöntemlerden biri STIR/SHAKEN protokolüdür. Bu protokol, arayan kimliğini doğrulamayı amaçlayan dijital imzalar kullanarak çalışır. STIR/SHAKEN, “Secure Telephone Identity Revisited” ve “Signature-based Handling of Asserted information using Tokens” kelimelerinin kısaltmasıdır. Bu protokol, her çağrının gerçek kimlik bilgileriyle ilişkili olup olmadığını doğrular ve sahte aramaları ayıklayarak alıcının cihazına uyarı gönderir.
STIR/SHAKEN’in Çalışma Mekanizması:
STIR/SHAKEN, ABD ve Kanada gibi bazı ülkelerde aktif olarak kullanılmaktadır ve bu ülkelerde caller ID spoofing’in etkilerini büyük ölçüde azaltmaktadır. Ancak, bu protokol henüz tüm dünyada yaygın olarak uygulanmamaktadır.
Caller ID spoofing’e karşı korunmak için bireysel ve kurumsal olarak alınabilecek bazı adımlar bulunmaktadır. Dikkat edilmesi gereken bazı temel koruma yöntemleri:
Caller ID spoofing, dijital çağda güvenliği tehdit eden önemli sorunlardan biridir ve kolay erişilebilir olması nedeniyle hızla yaygınlaşmaktadır. STIR/SHAKEN gibi protokollerin daha geniş bir coğrafyada uygulanması, caller ID spoofing’in olumsuz etkilerini azaltmak için önemli bir adımdır. Ancak, bireylerin ve kurumların bilinçlenmesi ve gerekli tedbirleri alması da sahte aramalara karşı korunmada hayati öneme sahiptir.
Caller ID spoofing’in teknik detaylarını ve korunma yollarını öğrenmek, bu tür saldırılara karşı hazırlıklı olmanızı sağlar. Özellikle kişisel bilgilerinizi korumak ve bu tür dolandırıcılık faaliyetlerinden uzak durmak için bilinçli davranarak çevrenizdeki insanlarla bu bilgileri paylaşmanız, toplumsal güvenliği artırmak adına önemli bir adım olacaktır.
Son Güncellenme Tarihi: 14.01.2025
Günümüzün dijital iş dünyasında, kurumsal siber güvenlik stratejik bir öncelik haline gelmiştir. DrDisk Lab olarak, ESET Gold Partner statümüz ve 10+ yıllık sektör deneyimimizle, işletmelere kapsamlı ve entegre kurumsal siber güvenlik çözümleri sunuyoruz. ESET Protect Elite platformumuz, yapay zeka destekli tehdit algılama, gelişmiş siber güvenlik önleme mekanizmaları ve merkezi güvenlik yönetim özellikleriyle kurumsal dijital varlıklarınızı uçtan uca korur. ESET'in 30 yılı aşkın global siber güvenlik deneyimi ve DrDisk Lab'ın yerel uzmanlığıyla, işletmenizin dijital varlıklarını en üst düzeyde güvence altına alır.
Siber tehditlerin sürekli evrim geçirdiği günümüz iş ortamında, güvenilir bir kurumsal siber güvenlik stratejisi kritik önem taşımaktadır. Türkiye'de artan fidye yazılımları, veri ihlalleri ve hedefli saldırılar karşısında işletmeler, proaktif ve bütünleşik güvenlik çözümlerine ihtiyaç duymaktadır. ESET Protect Elite kurumsal güvenlik platformu, yapay zeka destekli tehdit algılama teknolojisi, merkezi güvenlik yönetim konsolu ve kapsamlı uçtan uca koruma özellikleriyle bu ihtiyaçları eksiksiz karşılamak için tasarlanmıştır.
Bu dokümanda, ESET Protect Elite kurumsal güvenlik platformunun sunduğu siber güvenlik avantajlarını, teknik özellikleri, tehdit yönetim kapasitesini ve DrDisk Lab'ın kurumsal müşterilere sağladığı profesyonel siber güvenlik hizmetlerini detaylı olarak inceleyeceğiz. Ayrıca, platform seçiminizdeki yatırım getirisini artıracak sonuçları da analiz edeceğiz.
Günümüzde her kurum, büyüklüğü ne olursa olsun, siber saldırıların hedefi olabilmektedir. ESET Protect Elite ve DrDisk Lab, kuruluşunuzun tüm güvenlik ihtiyaçlarını karşılayan, maliyetleri optimize eden ve siber güvenlik stratejinizin uygulanmasını basitleştiren kapsamlı bir çözüm sunmaktadır.
ESET Protect Elite, kurumsal siber güvenlik alanında lider bir çözüm platformudur. Modern işletmelerin karşılaştığı siber tehditlere karşı çok katmanlı bir koruma sağlar. Platform, yapay zeka destekli tehdit algılama sistemleri, gelişmiş önleme mekanizmaları ve merkezi yönetim özellikleriyle kurumsal ağınızı uçtan uca korur. ESET'in 30 yılı aşkın global deneyimi ve DrDisk Lab'ın yerel uzmanlığıyla, işletmenizin dijital varlıklarını en üst düzeyde güvence altına alır.
ESET Protect Elite, siber saldırıların yalnızca tespit edilmesi ve durdurulmasının ötesinde, potansiyel tehditleri henüz zarar vermeden önleme yeteneğine sahiptir. Platform, geleneksel imza tabanlı güvenlik çözümlerinin ötesine geçerek, davranışsal analiz, makine öğrenimi ve yapay zeka teknolojilerini kullanır. Bu sayede, daha önce görülmemiş, bir çok sıfırıncı gün (zero-day) saldırılarına karşı bile etkili koruma sağlar.
Özellikle Türkiye'deki işletmelerin karşılaştığı özel tehdit ortamı için optimize edilmiş olan ESET Protect Elite, yerel tehdit aktörlerinin taktiklerini ve tekniklerini anlayarak, hedefli saldırılara karşı güçlü bir savunma hattı oluşturur. Aynı zamanda, yüksek performanslı ve düşük sistem kaynağı kullanımı ile karakterize edilen ESET çözümleri, güvenlikten ödün vermeden iş sürekliliğinizi garantiler.
ESET Protect Elite platformu, sadece teknik özellikleriyle değil, kullanıcı dostu arayüzü ve kolay yönetim özellikleriyle de öne çıkar. Kurulum ve yapılandırma süreçlerinden günlük yönetim görevlerine kadar her aşama, kullanıcı deneyimi ön planda tutularak tasarlanmıştır. Bu sayede, kuruluşunuzdaki BT ekibi, karmaşık güvenlik operasyonlarını minimum eğitim ve çaba ile yönetebilir.
Bu bölümde, ESET Protect Elite'in üç temel avantajını detaylı olarak inceleyeceğiz:
ESET Protect Elite'in güçlü güvenlik özellikleri, modern siber tehditlere karşı çok katmanlı bir koruma sağlar:
ESET'in gelişmiş yapay zeka ve makine öğrenimi tabanlı siber güvenlik sistemleri, geleneksel tehdit tespit yöntemlerinin ötesine geçer. Derin öğrenme modelleri ve davranışsal analiz motorları, bilinmeyen siber tehditleri bile yüksek doğrulukla tespit eder.
ESET LiveGuard Advanced sandbox teknolojisi, şüpheli dosya ve süreçleri izole bir ortamda analiz eder. Bu güvenli test ortamında, potansiyel tehditlerin davranışları detaylı olarak incelenir ve zararlı aktiviteler tespit edilir.
7/24 aktif izleme sistemi, tüm güvenlik olaylarını gerçek zamanlı olarak takip eder. Olay korelasyonu ve tehdit istihbaratı entegrasyonu ile potansiyel tehditler erken aşamada tespit edilir.
Tespit edilen tehditlere karşı otomatik müdahale mekanizmaları devreye girer. Zararlı yazılımlar anında izole edilir, sistem geri yükleme noktaları kullanılır ve detaylı olay analizi gerçekleştirilir.
Güvenlik açıklarını henüz istismar edilmeden önce tespit eden ve kapatan proaktif güvenlik sistemi, saldırı yüzeyini minimize eder. Düzenli güvenlik taramaları ve sistem sıkılaştırma ile koruma sürekli güçlendirilir.
Tehdit veritabanı ve güvenlik motorları sürekli güncellenir, yeni tehdit türlerine karşı koruma sağlanır. Güvenlik politikaları otomatik olarak uygulanır ve sistem her zaman en güncel koruma seviyesinde tutulur.
ESET LiveGuard, şüpheli dosya ve süreçleri izole bir ortamda analiz ederek zararlı yazılımları tespit eder ve engeller. Host-based IPS sistemi, ağ seviyesindeki saldırıları gerçek zamanlı olarak engeller. Exploit Blocker, sıfır gün (Zero-Day) açıklarını istismar eden saldırıları tespit eder ve bloklar. Ransomware Shield ise özel algoritmaları ile fidye yazılımı aktivitelerini tespit edip engeller.
Tehdit yönetimi sistemi, tespit edilen tehditlere otomatik olarak müdahale eder. Şüpheli dosya ve süreçler anında izole edilir, sistem geri yükleme noktaları otomatik oluşturulur ve tüm olaylar detaylı olarak raporlanır.
ESET Protect Elite'in merkezi yönetim konsolu, tüm güvenlik operasyonlarınızı tek bir noktadan yönetmenizi sağlar:
ESET Protect Elite'in web tabanlı merkezi yönetim konsolu, tüm güvenlik operasyonlarınızı tek bir noktadan yönetmenizi sağlar. Rol tabanlı erişim kontrolü ile her kullanıcıya görev ve sorumluluklarına göre özel yetkiler tanımlayabilirsiniz.
Merkezi politika yönetimi sistemi, tüm güvenlik yapılandırmalarını organizasyon genelinde standartlaştırmanızı sağlar. Grup bazlı politika ataması ile farklı departman ve kullanıcı grupları için özel güvenlik kuralları tanımlayabilirsiniz.
Otomatik varlık keşfi özelliği ile ağınızdaki tüm cihazları tespit eder ve sürekli izler. Donanım ve yazılım envanterini otomatik olarak günceller, lisans kullanımını takip eder.
ESET Protect Elite'in uzaktan yönetim özellikleri, dağınık BT altyapınızı tek bir noktadan yönetmenizi sağlar. Güvenli uzaktan erişim protokolleri ile tüm endpoint'lere güvenli bir şekilde bağlanabilir, sorunları çözebilir ve güncellemeleri yönetebilirsiniz.
ESET Protect Elite'in teknik altyapısı, modern siber güvenlik tehditleriyle mücadele için özel olarak tasarlanmıştır. Platform, endpoint güvenliğinden ağ korumasına, veri güvenliğinden tehdit önlemeye kadar tüm kritik güvenlik ihtiyaçlarını karşılar. En son teknolojiler ve güvenlik standartlarıyla uyumlu olan bu altyapı, işletmenizin dijital varlıklarını kapsamlı bir şekilde korur.
Modern siber güvenlik ekosistemi, her geçen gün daha karmaşık ve sofistike hale gelen tehditlerle karşı karşıyadır. ESET Protect Elite, bu zorluklara karşı koymak için tasarlanmış, en yeni nesil güvenlik teknolojilerini içeren kapsamlı bir platform sunar. Güvenlik duvarından zararlı yazılım korumasına, veri şifrelemeden kimlik doğrulamaya kadar tüm kritik güvenlik işlevlerini tek bir entegre çözümde birleştirir.
ESET Protect Elite'in teknik altyapısının en önemli özelliklerinden biri, modüler mimarisidir. Bu mimari, işletmenizin mevcut ve gelecekteki güvenlik ihtiyaçlarına göre çözümün özelleştirilebilmesini sağlar. Mevcut BT altyapınıza kolayca entegre olan platform, farklı işletim sistemleri, ağ cihazları ve bulut ortamlarıyla sorunsuz çalışır. Windows, macOS, Linux işletim sistemleri ile birlikte, sanal makineler ve mobil cihazlar için de kapsamlı koruma sunar.
ESET Protect Elite, yüksek performanslı ve düşük sistem kaynak kullanımı ile dikkat çeker. Güvenlik çözümleri genellikle sistem performansını olumsuz etkileyebilir, ancak ESET'in optimize edilmiş mimarisi, minimum sistem kaynağı kullanarak maksimum koruma sağlar. Bu sayede, kurumsal sistemlerinizin performansından ödün vermeden en üst düzey güvenliği elde edersiniz.
Bu bölümde inceleyeceğimiz üç temel teknik bileşen:
Kapsamlı endpoint koruma çözümü, her cihazı ayrı bir güvenlik katmanı olarak değerlendirir:
ESET'in çok katmanlı antivirüs motoru, geleneksel imza tabanlı taramanın ötesinde, davranışsal analiz ve makine öğrenimi teknolojilerini kullanarak kapsamlı bir koruma sağlar.
Gelişmiş güvenlik duvarı sistemi, ağ trafiğini detaylı olarak analiz eder ve potansiyel tehditleri engeller.
Kapsamlı uygulama ve cihaz kontrol sistemi, kurumsal güvenlik politikalarınızı etkin bir şekilde uygulamanızı sağlar.
ESET Protect Elite'in ağ güvenliği çözümleri, kurumsal ağınızı her seviyede korur:
ESET Protect Elite'in ağ güvenliği çözümleri, modern siber tehditlere karşı çok katmanlı bir savunma hattı oluşturur. Yapay zeka destekli IPS/IDS sistemleri, ağ trafiğini gerçek zamanlı olarak analiz eder ve potansiyel saldırıları tespit eder.
SSL/TLS şifreli trafiği güvenli bir şekilde analiz ederek, şifreleme katmanı altında gizlenen tehditleri tespit eder.
ESET Protect Elite'in veri güvenliği çözümleri, hassas kurumsal verilerinizi korumak için şifreleme, DLP ve yedekleme gibi kapsamlı araçlar sunar.
Modern siber güvenlik stratejisinin en kritik bileşenlerinden biri, etkili tehdit yönetimi ve sürekli izlemedir. ESET Protect Elite'in tehdit yönetimi sistemi, tehditleri proaktif olarak tespit eder, analiz eder ve önler. Gelişmiş izleme özellikleri sayesinde, güvenlik ekipleriniz potansiyel tehditleri gerçek zamanlı olarak takip edebilir ve hızlı müdahale edebilir.
Günümüz siber tehdit ortamında, reaktif güvenlik yaklaşımları artık yeterli değildir. ESET Protect Elite, bu gerçekten yola çıkarak, potansiyel tehditleri henüz gerçekleşmeden önce tespit edip etkisiz hale getiren proaktif bir tehdit yönetim sistemi sunar. Platforma entegre edilen yapay zeka ve makine öğrenimi teknolojileri, normal sistem davranışlarını öğrenerek anormallikleri tespit eder ve potansiyel tehditleri işaretler.
Etkili bir siber güvenlik stratejisi için güçlü yönetim araçları ve detaylı raporlama özellikleri şarttır. ESET Protect Elite'in yönetim ve raporlama sistemi, güvenlik operasyonlarınızı tek bir noktadan yönetmenizi ve tüm güvenlik metriklerinizi detaylı olarak izlemenizi sağlar. Bu sayede, kurumsal güvenlik politikalarınızı etkin bir şekilde uygulayabilir ve sürekli iyileştirme için gerekli içgörüleri elde edebilirsiniz.
Bu bölümde inceleyeceğimiz iki temel bileşen:
Tek noktadan tüm güvenlik operasyonlarının kontrolü:
ESET Protect Elite'in web tabanlı merkezi yönetim konsolu, tüm güvenlik operasyonlarınızı tek bir noktadan yönetmenizi sağlar. Rol tabanlı erişim kontrolü ile her kullanıcıya görev ve sorumluluklarına göre özel yetkiler tanımlayabilirsiniz.
Merkezi politika yönetimi sistemi, tüm güvenlik yapılandırmalarını organizasyon genelinde standartlaştırmanızı sağlar. Grup bazlı politika ataması ile farklı departman ve kullanıcı grupları için özel güvenlik kuralları tanımlayabilirsiniz.
Otomatik varlık keşfi özelliği ile ağınızdaki tüm cihazları tespit eder ve sürekli izler. Donanım ve yazılım envanterini otomatik olarak günceller, lisans kullanımını takip eder.
Kapsamlı raporlama araçları ile güvenlik durumunuzu detaylı olarak analiz edebilirsiniz. Tehdit analiz raporları, uyumluluk raporları ve trend analizleri ile güvenlik stratejinizi sürekli iyileştirebilirsiniz.
Sistem performansını sürekli izleyen araçlar ile kaynak kullanımını optimize edebilir, darboğazları tespit edebilir ve kapasite planlaması yapabilirsiniz.
Gelişmiş veri görselleştirme ve analitik araçları ile güvenlik verilerinizi anlamlı içgörülere dönüştürebilirsiniz. Trend analizi ve tahmine dayalı analitik ile proaktif güvenlik kararları alabilirsiniz.
Kapsamlı güvenlik görünürlüğü ve analitik yetenekler:
ESET Protect Elite, global tehdit verilerini analiz ederek, işletmenize yönelik potansiyel tehditleri önceden tespit etmenize yardımcı olur. Sektöre özel tehdit istihbaratı raporları, hedefli saldırı kampanyaları ve yeni ortaya çıkan tehdit trendleri hakkında değerli bilgiler sunar.
Regülasyonlara ve güvenlik standartlarına uyum, modern işletmeler için kritik bir önceliktir. ESET Protect Elite, KVKK, GDPR, ISO 27001 gibi standartlara uyum durumunuzu izlemenize ve raporlamanıza olanak tanır.
Tespit edilen güvenlik olaylarını detaylı olarak analiz eden sistem, olayların kök nedenlerini belirlemenize, etkilerini değerlendirmenize ve gelecekteki olayları önlemenize yardımcı olur.
ESET Protect Elite'in özelleştirilebilir dashboard'ları, güvenlik metriklerinizi görselleştirmenizi ve kuruluşunuzun güvenlik durumunu tek bakışta değerlendirmenizi sağlar.
Zamanlanmış ve otomatik raporlar, güvenlik durumunuzu düzenli olarak gözden geçirmenizi ve paydaşlara raporlamanızı kolaylaştırır.
Uzun vadeli güvenlik trendlerini analiz eden ve gelecekteki tehditleri tahmin etmenize yardımcı olan gelişmiş analitik araçlar, proaktif güvenlik stratejisi geliştirmenize olanak tanır.
Güçlü bir siber güvenlik çözümü, arkasındaki profesyonel destek ve hizmet garantisiyle anlam kazanır. DrDisk Lab olarak, ESET Protect Elite çözümümüzü kapsamlı bir hizmet ve destek paketiyle sunuyoruz. Bu paket, kurulum ve yapılandırma süreçlerinden sürekli optimizasyona, acil durum desteğinden proaktif izlemeye kadar tüm ihtiyaçlarınızı karşılar.
Bu bölümde ele alacağımız üç temel hizmet bileşeni:
Uçtan uca kurumsal hizmet portföyü:
DrDisk Lab uzman ekibi, ESET Protect Elite'in kurumsal ortamınıza sorunsuz entegrasyonunu sağlar. Proje planlama aşamasından başlayarak, mevcut BT altyapınızın detaylı analizi, özel ihtiyaçlarınızın belirlenmesi ve optimum güvenlik mimarisinin tasarlanması süreçlerini yönetiriz.
Kurulumun ardından, sistemin optimum performansla çalışmasını sağlamak için düzenli optimizasyon hizmetleri sunuyoruz. Performans analizi, kaynak kullanımı optimizasyonu ve güvenlik sıkılaştırma çalışmalarıyla sistemin sürekli iyileştirilmesini garanti ediyoruz.
DrDisk Lab'ın uzman güvenlik danışmanları, işletmenizin genel siber güvenlik stratejisinin geliştirilmesi ve uygulanması konusunda destek sağlar. Risk değerlendirmesi, güvenlik politikalarının oluşturulması ve uyumluluk gereksinimlerinin karşılanması gibi kritik alanlarda uzmanlık sunuyoruz.
İşletmenizin siber güvenlik operasyonlarını kısmen veya tamamen dışarıdan yönetilmesini sağlayan hizmetler sunuyoruz. Bu hizmet modeli, dahili BT kaynaklarınızı stratejik projelerinize odaklamanızı sağlarken, güvenlik operasyonlarınızın uzman bir ekip tarafından 7/24 yönetilmesini garanti eder.
Güvenilir hizmet ve destek garantisi:
Sorunlar ortaya çıkmadan önce tespit edilmesi ve çözülmesi, başarılı bir siber güvenlik stratejisinin temelidir. Proaktif hizmetlerimiz, sistemlerinizin sağlığını sürekli izler, performans optimizasyonu sağlar ve potansiyel güvenlik açıklarını önceden tespit eder.
Olası bir siber güvenlik olayı durumunda, hızlı ve etkili müdahale kritik önem taşır. Acil durum destek ekibimiz, kriz durumlarında anında devreye girer, zararı minimize eder ve sistemlerinizi en kısa sürede normal çalışma durumuna döndürür.
DrDisk Lab olarak, kurumsal müşterilerimize aşağıdaki SLA taahhütlerini sunuyoruz:
DrDisk Lab, ESET'in Türkiye'deki Gold Partner'ı olarak, kurumsal siber güvenlik alanında 10 yılı aşkın deneyime sahiptir. Uzman kadromuz, sürekli gelişen teknoloji altyapımız ve müşteri odaklı yaklaşımımızla, işletmenizin siber güvenlik ihtiyaçları için en uygun çözümleri sunarız. ESET Protect Elite platformunu tercih ettiğinizde, sadece bir güvenlik çözümü değil, güvenilir bir teknoloji ortağı da kazanırsınız.
Bu bölümde inceleyeceğimiz üç temel değer önerimiz:
Kurumsal siber güvenliğin güvenilir adresi:
DrDisk Lab, siber güvenlik alanında 10 yılı aşkın deneyime sahiptir. Bu süre boyunca, farklı sektörlerde ve ölçeklerde yüzlerce kurumsal müşteriye hizmet verdik, her birinin benzersiz güvenlik ve disaster recovery ihtiyaçlarını başarıyla karşıladık.
Teknik ekibimiz, sektörün önde gelen siber güvenlik sertifikalarına sahiptir. ESET'in Gold Partner'ı olarak, ürün ailesinde tam yetkinliğe sahibiz ve müşterilerimize en üst düzeyde teknik destek sunabiliyoruz.
Yıllar içinde, çeşitli sektörlerde yüzlerce başarılı siber güvenlik projesi gerçekleştirdik. Bu projeler, basit endpoint korumasından karmaşık SOC (Güvenlik Operasyon Merkezi) kurulumlarına kadar geniş bir yelpazede uzanmaktadır.
DrDisk Lab olarak, siber güvenlik teknolojilerindeki en son gelişmeleri yakından takip ediyor ve müşterilerimize sunduğumuz çözümlere entegre ediyoruz. ESET'in yapay zeka destekli tehdit algılama sistemleri, gelecek nesil endpoint koruması ve gelişmiş tehdit istihbaratı, teknoloji portföyümüzün temelini oluşturuyor.
Sürekli gelişen siber tehdit ortamında, teknolojik yenilikler kritik öneme sahiptir. DrDisk Lab olarak, gelecek nesil güvenlik çözümlerini geliştirmek için düzenli olarak Ar-Ge yatırımları yapıyoruz.
DrDisk Lab, ESET'in güçlü güvenlik çözümlerini diğer lider teknoloji sağlayıcılarının ürünleriyle entegre ederek, kapsamlı ve bütünleşik bir güvenlik ekosistemi sunar.
Sizin ihtiyaçlarınız, bizim önceliğimiz:
DrDisk Lab olarak, her müşterimizin benzersiz ihtiyaçlarını ve zorluklarını anlıyor, bu doğrultuda özelleştirilmiş siber güvenlik çözümleri sunuyoruz. Standart paketler yerine, işletmenizin spesifik gereksinimlerine göre şekillendirilmiş güvenlik stratejileri geliştiriyoruz.
Müşteri memnuniyeti felsefemizin merkezinde, reaktif değil proaktif bir destek yaklaşımı yer alır. Sorunlar ortaya çıkmadan önce tespit edilmesi ve çözülmesi, başarılı bir siber güvenlik stratejisinin temelidir. Proaktif hizmetlerimiz, sistemlerinizin sağlığını sürekli izler, performans optimizasyonu sağlar ve potansiyel güvenlik açıklarını önceden tespit eder.
DrDisk Lab olarak, müşterilerimizle tek seferlik satış ilişkisi değil, uzun vadeli stratejik ortaklıklar kurmayı hedefliyoruz. Güvenlik ihtiyaçlarınızın zaman içinde gelişimini destekliyor, büyümenize paralel olarak güvenlik stratejinizi güncelliyoruz.
ESET Protect Elite ile rekabetçi üstünlükler:
DrDisk Lab ve ESET Protect Elite, KOBİ'lerden kurumsal işletmelere kadar her ölçekteki organizasyon için optimum güvenlik çözümleri sunar. Ölçeklenebilir mimarisi sayesinde, işletmenizin büyümesine paralel olarak güvenlik altyapınız da sorunsuzca büyüyebilir.
Müşteri memnuniyeti en büyük önceliğimizdir. Her projemizde %100 müşteri memnuniyeti hedefliyor ve bu hedefe ulaşmak için tüm kaynaklarımızı seferber ediyoruz. Memnuniyetiniz tam olmadığı sürece projemizi tamamlanmış saymıyoruz.
DrDisk Lab olarak, farklı bütçe ve ihtiyaçlara uygun esnek fiyatlandırma seçenekleri sunuyoruz. Abonelik bazlı modellerden perpetual lisanslara, işletme içi çözümlerden bulut tabanlı hizmetlere kadar çeşitli seçenekler arasından seçim yapabilirsiniz.
ESET Protect Elite, mevcut BT altyapınıza sorunsuz entegre olacak şekilde tasarlanmıştır. Açık API'ler ve geniş entegrasyon imkanları sayesinde, güvenlik çözümünüzü diğer iş kritik sistemlerle kolayca bütünleştirebilirsiniz.
DrDisk Lab olarak, kurumsal müşterilerimizin siber güvenlik ihtiyaçları için 7/24 hizmetinizdeyiz. ESET Protect Elite kurumsal siber güvenlik çözümleri hakkında detaylı bilgi almak, ücretsiz deneme süresinden faydalanmak ve özel siber güvenlik çözümlerimizi keşfetmek için size en uygun iletişim kanalından ulaşabilirsiniz.
Veri Güvenliği ve İş Sürekliliği
Dijital dönüşüm çağında veriler, işletmelerin en değerli varlıkları haline gelmiştir. DrDisk Lab olarak, 10 yılı aşkın sektörel deneyimimiz ve Acronis Gold Partner MSP statümüzle, işletmelerin veri güvenliği ve iş sürekliliği ihtiyaçlarına kapsamlı çözümler sunuyoruz. Bu rehberde, Acronis Bulut Yedekleme Çözümleri’nin tüm yönlerini detaylı olarak ele alacağız. Modern işletmelerin karşılaştığı veri güvenliği zorluklarına karşı en son teknolojileri kullanarak kapsamlı ve güvenilir çözümler sunuyoruz.
Modern işletmelerin veri yönetimi ihtiyaçları sürekli değişmekte ve büyümektedir. DrDisk Lab’ın Acronis Bulut Yedekleme çözümleri, bu dinamik yapıya uyum sağlayacak şekilde tasarlanmıştır. İşletmenizin büyüme hızına ve ihtiyaçlarına göre dinamik olarak ölçeklenebilen bu çözümler, maliyet etkinliği ve yüksek performansı bir araya getirir.
DrDisk Lab’ın Acronis Bulut Yedekleme çözümleri, işletmenizin büyüme hızına ve ihtiyaçlarına göre dinamik olarak ölçeklenebilir.
Veri yedekleme çözümlerimiz, işletmenizin bütçesine uygun ve verimli bir şekilde tasarlanmıştır:
En üst düzey güvenlik standartları ve yasal gerekliliklere tam uyum:
DrDisk Lab’ın Acronis Bulut Yedekleme çözümleri, en son teknoloji ve güvenlik standartlarına uygun olarak tasarlanmış kapsamlı bir altyapıya sahiptir. Bu altyapı, işletmenizin veri güvenliği ve iş sürekliliği ihtiyaçlarını karşılamak üzere optimize edilmiş, yüksek performanslı ve güvenilir bir sistem sunar.
Tüm yedekleme süreçlerini tek bir noktadan yönetme imkanı:
Güvenilir ve erişilebilir veri depolama çözümleri:
Çok katmanlı güvenlik mimarisi:
DrDisk Lab’ın Acronis Bulut Yedekleme çözümleri, modern işletmelerin ihtiyaç duyduğu tüm yedekleme özelliklerini kapsayan kapsamlı bir teknoloji seti sunar. Bu özellikler, verilerinizin güvenli bir şekilde yedeklenmesini ve gerektiğinde hızlı bir şekilde kurtarılmasını sağlar.
Sistemlerinizin tam ve güvenli kopyasını oluşturma:
Verimli ve hızlı yedekleme stratejileri:
Geniş platform ve sistem desteği:
DrDisk Lab’ın Acronis Bulut Yedekleme çözümleri, yüksek performans ve ölçeklenebilirlik özellikleriyle işletmenizin büyüyen ihtiyaçlarına uyum sağlar. Modern işletmelerin ihtiyaç duyduğu hız ve verimlilik standartlarını karşılayan bu çözümler, kesintisiz ve güvenilir bir hizmet sunar.
Yüksek performanslı yedekleme çözümleri:
Dinamik ve esnek sistem yapısı:
DrDisk Lab’ın Acronis Bulut Yedekleme çözümleri, işletmenizin karşılaşabileceği her türlü felaket senaryosuna karşı hazırlıklıdır. Veri kaybı, sistem arızası veya doğal afet durumlarında bile işletmenizin sürekliliğini sağlayan kapsamlı kurtarma çözümleri sunar.
Kapsamlı kurtarma seçenekleri:
Gerçek hayat senaryolarına hazır çözümler:
DrDisk Lab olarak, müşterilerimize en yüksek kalitede hizmet sunmayı taahhüt ediyoruz. Profesyonel ekibimiz ve gelişmiş destek altyapımızla, işletmenizin veri güvenliği ve iş sürekliliği ihtiyaçlarına 7/24 kesintisiz destek sağlıyoruz.
7/24 teknik destek:
DrDisk Lab olarak, müşterilerimize en iyi hizmeti sunduğumuzdan emin olmak için tüm yeni müşterilerimize özel bir teklif sunuyoruz: İlk 1 Ay Ücretsiz Deneme Süresi!
Neden Ücretsiz Deneme?
Nasıl Başlarım?
Özel Teklif:
Güvencemiz:
İhtiyaçlarınıza yönelik eğitim ve danışmanlık:
USBSTOR kayıtları, Windows işletim sistemlerinde USB depolama cihazlarının bağlantılarını, kullanımlarını ve özelliklerini belirlemek için kritik öneme sahip adli bilişim artifactlarıdır. Bu kayıtlar, forensic incelemelerde cihaz bağlantı zamanları, cihaz türleri, seri numaraları ve kullanım geçmişi gibi değerli bilgileri ortaya çıkarır. Bu teknik analiz dokümanı, USBSTOR kayıtlarının mimari yapısını, veri içeriğini, analiz yöntemlerini ve adli bilişim perspektifinden önemini detaylı olarak incelemektedir.
USBSTOR, Windows işletim sistemlerinde USB Mass Storage Class (MSC) sürücüsünün bir bileşeni olarak, USB depolama cihazlarının tanımlanması, yüklenmesi ve yönetilmesi amacıyla kullanılan anahtar Registry yapısıdır. Bu sürücü, Windows PnP (Plug and Play) mimarisi içinde konumlandırılmış olup, USB depolama aygıtlarıyla iletişimi sağlayan katmanlı bir yapının parçasıdır.
USB aygıt tanımlama katmanları:
Windows işletim sistemi, bir USB depolama cihazı bağlandığında, aşağıdaki işlem akışını izler:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\USBSTOR
Bu konum, PnP alt sisteminin USB depolama cihazlarının donanım kimliklerini ve kurulum parametrelerini sakladığı hiyerarşik veritabanıdır. CurrentControlSet
aktif sistem yapılandırmasına işaret eden dinamik bir bağlantıdır ve gerçekte aşağıdaki konumlardan birine yönlendirilir:
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002
Windows başlangıç süreci sırasında, LastKnownGood yapılandırması temelinde hangi ControlSet'in kullanılacağı belirlenir ve bu yapılandırma CurrentControlSet
sembolik bağlantısı ile erişilebilir hale getirilir.
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\USB
Bu alt anahtar, sistem tarafından tanımlanan tüm USB aygıtlarının Vendor ID (VID) ve Product ID (PID) bilgilerini içerir. Her USB aygıtı, benzersiz bir VID/PID kombinasyonuyla ve Interface Descriptor bilgileriyle temsil edilir.
HKEY_LOCAL_MACHINE\SYSTEM\MountedDevices
Biçimlendirilmiş bölümlerin mantıksal sürücü harflerine eşleştirildiği binary veri yapılarını içerir. Her değer, Volume GUID ve sürücü harfi atamaları için binary disk tanımlayıcı veri yapılarını (disk signature, partition offset) barındırır.
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\USBSTOR
USB depolama sürücüsünün yükleme parametrelerini, Windows başlangıç davranışını ve çalışma modlarını tanımlar.
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\DeviceClasses
Cihaz arabirim GUID'lerine (örn. {53f56307-b6bf-11d0-94f2-00a0c91efb8b}
- disk cihazları için) göre gruplandırılmış, tüm bağlanan cihazların kapsamlı bir veritabanını içerir.
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\StorageDevicePolicies
USB depolama cihazlarıyla ilgili yazma koruması, erişim kısıtlamaları gibi sistem genelindeki politikaları tanımlar.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Portable Devices
USB taşınabilir cihazlar için WPD (Windows Portable Devices) arabirim ve erişim bilgilerini içerir.
USBSTOR altındaki anahtar isimleri katı bir hiyerarşik yapı şablonu takip eder:
Disk&Ven_{VendorID}&Prod_{ProductID}&Rev_{RevisionCode}\{UniqueInstanceID}
Bu yapıyı oluşturan bileşenler şu şekilde elde edilir:
xxxxxxxxxx&0
Örnek bir USBSTOR anahtar yapısı:
USBSTOR\Disk&Ven_SanDisk&Prod_Ultra&Rev_1.00\0123456789ABCDEF&0
Bu örnekte:
USBSTOR kayıtlarındaki her benzersiz cihaz kimliği, aşağıdaki yapıda alt anahtarlar içerir:
HKLM\SYSTEM\CurrentControlSet\Enum\USBSTOR\...\{UniqueInstanceID}\Properties
Bu anhtarın altında {83da6326-97a6-4088-9453-a1923f573b29}
şeklinde GUID değerleri bulunur ve bu değerler belirli property kategorilerine işaret eder:
Bu veri yapıları binary formatta saklanır ve genellikle FILETIME formatında kodlanmış zaman damgalarını içerir.
HKLM\SYSTEM\CurrentControlSet\Enum\USBSTOR\...\{UniqueInstanceID}\Device Parameters
Bu anahtar, depolama cihazının fiziksel ve mantıksal özelliklerini tanımlayan parametreleri içerir:
HKLM\SYSTEM\CurrentControlSet\Enum\USBSTOR\...\{UniqueInstanceID}\LogConf
Bu anahtar, cihazın kaynak atama yapılandırması ile ilgili bilgileri içerir ve genellikle depolama cihazları için boş olur.
Registry anahtarlarının LastWrite zamanları, $STANDARD_INFORMATION
veri yapısında saklanır ve USB cihazıyla ilgili aktivitelerin zamanlamasını belirlemek için kritik öneme sahiptir. Aşağıdaki zaman türleri analiz edilmelidir:
LastWrite zamanları, Windows registry hücre yapısında depolanan 64-bit FILETIME değerleridir ve 1601-01-01 UTC'den itibaren geçen 100 nanosaniyelik aralıkları temsil eder. Bu zamanlar, USB cihaz aktivitesinin adli zaman çizelgesinde temel noktaları oluşturur.
Windows 7 ve sonrası işletim sistemlerinde, ContainerID
GUID değeri, farklı arayüzler veya sürücüler arasında aynı fiziksel cihazı ilişkilendirmek için kullanılır. Bu, bir USB cihazın içindeki birden fazla fonksiyon (örn. depolama + kart okuyucu) arasında ilişki kurmak için kritik öneme sahiptir.
ContainerID, Windows'un çeşitli registry konumlarında cihaz ilişkilendirmelerini izleme ve birden çok arabirime sahip tek bir fiziksel cihazı tanımlama amacıyla kullanılır.
USBSTOR kayıtlarını analiz etmek için, sistem SYSTEM hive dosyası adli kopyasının (%WINDIR%\System32\config\SYSTEM) aşağıdaki yöntemlerle incelenmesi gerekir:
regf
başlık yapısı (4KB)Forensic zaman çizelgesi oluşturmak için şu veri noktaları çıkarılmalıdır:
Bu zamanlar, FILETIME formatında (64-bit değer, 100 nanosaniyelik aralıklar, 1601-01-01 GMT'den beri) saklanır ve forensic analiz için epoch zamanı veya insan tarafından okunabilir bir formata dönüştürülmelidir.
Aşağıdaki GUID ve tanımlayıcılar, farklı Registry konumlarındaki USB cihaz verilerini ilişkilendirmek için kullanılır:
ParentIdPrefix değeri, cihazın hangi fiziksel USB portuna bağlandığını belirlemek için kullanılır:
Örnek: 8&21F39B80&0
ParentIdPrefix değerini analiz etmek:
MountedDevices anahtarındaki binary veriler, sürücü harflerini fiziksel cihazlara bağlayan kritik bilgileri içerir. Bu verilerin formatı:
\DosDevices\X: = [Binary Data]
Binary veri yapısı (Windows Vista ve sonrası):
USB cihazlar için çapraz doğrulama yapmak üzere şu değerler analiz edilmelidir:
Windows Olay Günlükleri, USB cihazların takılması ve çıkarılmasına ilişkin önemli olayları kaydeder ve USBSTOR Registry kayıtlarıyla ilişkilendirilebilir:
Bu olay kayıtları, USBSTOR Registry kayıtlarında bulunan zamanlar ile eşleştirilerek, cihaz bağlantısı ve kullanımı hakkında daha kesin bir adli zaman çizelgesi oluşturulmasına olanak tanır.
regf
başlık alanının değiştirilmesiUSB manipülasyon araçlarının kullanımı, şu artefactları bırakır:
Anormal Registry davranışlarını tespit etmek için şu metrikleri izleyin:
Anti-forensic teknikleri aşmak için, şu kaynaklardan oluşturulan zaman çizelgelerini karşılaştırın:
Registry yapısını geçmiş zamanlardan yeniden oluşturmak için:
Windows Setup API, cihaz kurulumlarını %windir%\inf\setupapi.dev.log
dosyasında kaydeder. Bu günlükler, aşağıdaki bilgileri içerir:
Prefetch dosyaları (%windir%\Prefetch\*.pf
), USB sürücülerden çalıştırılan uygulamaların izlerini şu bilgilerle birlikte içerebilir:
Windows Explorer kısayol (LNK) dosyaları, USB cihazlardan erişilen dosyalara dair önemli bilgiler içerir:
Windows 7 ve sonrası için JumpList dosyaları, USB cihazlara ilişkin kullanım geçmişini kaydeder:
Windows Explorer görünüm ayarları (ShellBags), USB cihazların kullanımını gösteren kanıtlar içerir:
Web tarayıcıları ve uygulamalar, USB cihazlardan açılan dosyalar veya cihazlarla ilgili erişim izleri içerebilir:
Windows, USB depolama cihazlarının otomatik başlatma davranışlarını da kaydeder:
HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2
anahtarıWindows Etkinlik Günlüğü ve PowerShell komut geçmişi, USB cihazlarla ilgili ekstra veriler sağlayabilir:
USBSTOR Registry kayıtları, Windows işletim sistemlerinde USB depolama cihazlarının adli analizinde kritik öneme sahiptir. Bu kayıtlar, cihaz tanımlama bilgileri, bağlantı zamanları ve kullanım geçmişi gibi değerli adli bilişim verilerini içerir.
Gelecekteki araştırma alanları şunları içerebilir:
Bu doküman, USBSTOR kayıtlarının yapısını, içeriğini ve adli bilişim analizinde kullanımını detaylı olarak açıklamaktadır. Adli bilişim uzmanları için kapsamlı bir referans kaynağı olarak hazırlanmıştır.
Veriler, ilk defa bu ay sosyal medyada ve hacker formlarında yer alan yeni bir hacker grubu olan "Belsen Group" tarafından sızdırıldı. Grup, kendilerini tanıtmak için bir Tor Web sitesi oluşturdu. Oluşturulan site üzerinden FortiGate cihazlarına ait verileri diğer tehdit aktörleri tarafından kullanılmak üzere ücretsiz olarak yayınladı.
Grup, siber suç forumlarının birinde FortiGate cihazlarına ait verileri kendilerini tanımak amacıyla ücretsiz yayınladıklarını belirten bir post paylaştı.
"Bu yılın başında bizim için olumlu bir başlangıç olarak ve grubumuzun adını
hafızanızda sağlamlaştırmak adına ilk resmi operasyonumuzu duyurmaktan
gurur duyuyoruz:
15.000'den fazla hedefe ait hassas veriler yayınlanacak dünya çapında (hem devlet
hem de özel sektör) saldırıya uğrayan ve verileri çıkarılan kişiler"
Sızdırılan FortiGate verileri, ülkeye göre sınıflandırılmış klasörleri içeren 1,6 GB'lık büyük bir arşivden oluşuyor. Zira, arşivin içinde bulunan dosyaların genelinin text dosyası olaması 1,6 GB'lık bir büyüklüğün aslında ne kadar fazla veri barındırdığın ürkütücü bir delilidir. Ülkelere ait bu klasörlerin içinde ise, o ülkeye ait FortiGate cihazlarının IP adreslerine göre alt klasörler bulunuyor. Belsen Group, tehdit aktörleri için oldukça kolaylaştırcı bir çalışma yapmış gözüküyor.
Siber güvenlik uzmanı Kevin Beaumont'a göre, her IP adresine ilişkin klasörde “configuration.conf” (Fortigate yapılandırma dökümanı) ve “vpn-passwords.txt” dosyası bulunuyor. Bazı şifrelerin ise düz metin halinde olduğunu, yapılandırmalar için ayrıca özel anahtarlar (private keys) ve güvenlik duvarı (firewall) kuralları gibi hassas bilgileri de içeriyor.
Beaumont, "Kurban kuruluşundaki bir cihazda olay müdahalesi yaptım ve istismar gerçekten de cihazdaki yapılara dayalı olarak CVE-2022-40684 aracılığıyla gerçekleştirilmiş. Ayrıca dökümde görülen kullanıcı adlarının ve şifrenin eşleştiğini de doğrulayabildim. Verilerin Ekim 2022'de 0day güvenlik açığı olarak toplandığı görülüyor. Bazı nedenlerden dolayı, config'in veri dökümü 2 yıldan biraz daha uzun bir süre sonra bugün yayınlandı." diye açıklıyor.
2022'de Fortinet, tehdit aktörlerinin hedeflenen FortiGate cihazlarından yapılandırma dosyalarını indirmek ve ardından "fortigate-tech-support" adı verilen kötü amaçlı bir super_admin hesabı eklemek için CVE-2022-40684 olarak izlenen zero-day açığının kullandığı konusunda uyardı.
Beaumont, FortiGate yöneticilerinin sızıntının kendilerini etkileyip etkilemediğini bilmesi için sızıntıdaki IP adreslerinin bir listesini yayınlamayı planladığını belirtti.
Alman haber sitesi Heise, veri sızıntısını analiz etti. Analize göre sızıntıdaki bahsi geçen verilerin 2022'de toplandığını ve tüm cihazların FortiOS donanım yazılımı 7.0.0-7.0.6 veya 7.2.0-7.2.2'yi kullandığını söyledi.
“Tüm cihazlar FortiOS 7.0.0-7.0.6 veya 7.2.0-7.2.2 ile donatılmıştı, çoğu da 7.2.0 sürümüne sahipti. Bilgisi sızdırılan cihazların arsında 3 Ekim 2022 tarihinde yayınlanan 7.2.2 sürümünden daha yeni bir FortiOS sürümüne sahip cihaz bulamadık."
DrDisk Lab siber güvenlik uzmanları paylışan verilerin sahte mi yoksa gerçek bir sızıntı mı olduğu hakkkında yapılan analizler sonucunda verinin doğruluğunu belirlemiştir.
Sızıntıdaki verilerin ücretsiz bir şekilde yayınlanmış olmasıyla birlikte, verilere artık erşimin çok daha kolay olduğunu görebiliyoruz. Her ne kadar bu verilerin 2022 0day açığıyla toplanmış olması ve bahsi geçen zaafiyetin Fortinet tarafından yayınlanan yeni FortiOS sürümü ile giderilmesi siber güvenlik noktasında sorunların çözüldüğü anlamına gelmiyor. Zira kullanıcılar söz konusu güncellemenin yapılıp yapılmadığını takip etmemiş ve sistemlerini henüz güncelleme yapmamışlar ise, yazının konu aldığı muhtemel kurbanlardan birisi olmalarının an meselesi olduğunu söylemek, pek de abartılı bir ifade olmaz.
Yukarıda paylaştığımız ve DrDisk Lab Siber güvenlik uzmanlarının çalışmaları neticesinde elde edilen bilgiler, veri sızıntısında yer alan IP adreslerinde bulunan cihazlarda 2 yıl önce yapılan güncelleme ile bertaraf edilen zafiyetin bu güncellemeyi henüz almamış cihazlarda devam ettiğini gözler önüne sermektedir. Firewall cihazlarınız, sadece elektrik faturasına katkı sağlasın istemiyorsanız, onları güncel tutmak zorunda olduğunuz gerçeğini atlamamalısınız. 2 sene önceki VPN erişim bilgilerini ve Firewall kurallarını kullanmaya devam eden sistemlerin, sızdırılan bu verileri kullanacak olası tehdit aktörlerinin saldırılarına karşı savunmasız olduğunu belirtmek isteriz. Bu durum söz konusu cihazlardan sorumlu olan IT yöneticileri için önem arz etmektedir.
Kaynakça:
BleepingComputer. (2025). Hackers leak configs and VPN credentials for 15,000 FortiGate devices. -Lawrence Abrams Erişim adresi:
Fortinet. (2022). CVE-2022–40684 Güvenlik Duyurusu.
Heise. (2025). FortiGate Veri Sızıntısı Analizi.
2022 zero day was used to raid Fortigate firewall configs. Somebody just released them. - Kevin Beaumont Erişim Adresi:
İş bu yazının hazırlanmasında " CYFIRMA tarfından hazırlanan "TRACKING RANSOMWARE : DECEMBER 2024" başlılı blog yazısından yararlanılmıştır.
Bilgi güvenliği ekosistemi, her geçen gün yeni tehditlerle ve saldırı teknikleriyle karşı karşıya kalmaktadır. Özellikle fidye yazılımları (ransomware) hem kurumsal hem de bireysel düzeyde önemli kayıplara yol açabilmektedir
Aralık 2024 dönemine dair yapılan bir incelemede; büyük çaplı saldırılar, yeni ortaya çıkan tehdit aktörleri ve saldırı tekniklerindeki dönüşüm dikkat çekici seviyelere ulaşmıştır. Bu blog yazısında, söz konusu dönemde tespit edilen eğilimler, yeni fidye yazılım gruplarının yöntemleri, etkilenen sektör ve ülkeler ile güvenlik önlemleri detaylı şekilde ele alınacaktır.
Aralık 2024’te önceki aya göre fidye yazılımı saldırılarında genel bir düşüş yaşansa da (yaklaşık %12,38 oranında), bu durum saldırıların nitelik ve kapsamındaki çeşitliliği azaltmamıştır Yapılan analizler, özellikle yıl sonu ve yeni yıla geçiş döneminde çevrimiçi alışveriş ve etkileşimlerin artmasıyla saldırı vektörlerinin daha farklı şekillerde kullanılabileceğini öngörmektedir
Bu raporda öne çıkan bir diğer husus ise çeşitli fidye yazılım gruplarının saldırı sayılarına yansıyan dalgalanmalardır. Örneğin “Cl0p” grubunun kurban sayısının 0’dan 68’e fırlaması, fidye yazılım saldırılarının potansiyel olarak ne kadar hızlı büyüyebileceğini gözler önüne sermektedir . Bununla birlikte “RansomHub” ve “Akira” gibi gruplarda dikkate değer bir düşüş kaydedilirken, “Funksec” adlı yeni bir oluşum 50 vakayla adeta sahneye hızlı bir giriş yapmıştır .
Aralık 2024 döneminde üretim (manufacturing) sektörü yine en yüksek saldırı oranına sahip olsa da (77 vaka), bir önceki aya göre %14,4’lük bir düşüşle dikkat çekmektedir. Sağlık, e-ticaret, hızlı tüketim ürünleri (FMCG) ile bankacılık ve finans sektörlerinde ise artışlar gözlenmiştir. Bu artışların, ilgili sektörlerin dijital dönüşüm hızının yüksek olması ve hassas veri barındırma oranının giderek yükselmesiyle bağlantılı olduğu düşünülmektedir.
Coğrafi açıdan bakıldığında, Aralık 2024’te en çok etkilenen ülke %53,30 oranla Amerika Birleşik Devletleri olmuştur. İkinci sırada Kanada (%5,65), üçüncü sırada ise Hindistan (%3,95) gelmektedir. Almanya ise Avrupa’daki endüstriyel faaliyetlerin yoğunluğu nedeniyle %2,64’lük payına rağmen dikkat çekici bir hedef konumundadır.
Raporda “Funksec” ve “Bleubox” isimli iki yeni grubun sahneye çıktığı vurgulanmaktadır (CYFIRMA, 2024, s. 8). Funksec, özellikle VMware ESXi hiper yönetici katmanlarını ve Windows sunucularını hedef alarak kısa sürede 50 kurban listelemiştir. Bleubox ise kurbanlarına ait verileri sızdırmakla tehdit eden bir veri sızıntı sitesi (data-leak site) üzerinden faaliyet göstermektedir.
Bunun yanı sıra, daha önce de bilinen ve aktifliğini koruyan “Cl0p” ransomware grubu; Cleo Harmony, VLTrader ve LexiCom gibi yazılımlar üzerinde tespit edilen (zero-day) açıklarını kullanarak veri hırsızlığı ve uzaktan kod çalıştırma senaryoları geliştirmektedir. Cl0p, daha önce MOVEit Transfer ve GoAnywhere MFT platformlarını hedef almasıyla da tanınmaktaydı. Aynı raporda, bu gibi saldırılarda “Malichus” adlı arka kapı (backdoor) yazılımı kullanıldığı ve bunun verileri çalma, komut yürütme gibi çok çeşitli kabiliyetlere sahip olduğu belirtilmektedir.
Bir diğer dikkat çekici nokta, “Black Basta” fidye yazılımının özellikle e-posta saldırısı (email bombing) ve sosyal mühendislik yöntemlerine odaklanmasıdır. Rapordan yer alan bilgilere göre saldırganlar, hedef kitlenin e-posta kutusunu aşırı derecede gelen mesajla doldurup, ardından Microsoft Teams gibi kurumsal haberleşme araçları üzerinden “IT destek” rolünde iletişime geçmektedir. Böylelikle kurbanı, “AnyDesk” ve “Quick Assist” gibi uzaktan erişim araçlarını kurmaya ikna etmekte ve güvenlik duvarının içinden sızma imkânı elde etmektedirler. Ardından “Zbot” ve “DarkGate” gibi kötü amaçlı yazılımlarla ağ keşfi, kimlik bilgisi toplama ve veri sızdırma süreçleri çok hızlı ve organize bir şekilde yürütülmektedir
Bu yaklaşım daha önce sıkça görülen botnet temelli klasik saldırı vektörlerine kıyasla daha “hibrit” bir model ortaya koymaktadır. Sosyal mühendislik marifetiyle kurulan güven ortamı, alışılagelmiş zararlı yazılımların hızlı etkisiyle birleşince saldırganların hedefleri üzerinde anlık ve geniş ölçekli başarı sağlamasını kolaylaşmaktadır.
Yapılan araştırmalara göre, fidye yazılım saldırılarına uğrayan işletmelerin yaklaşık %31’i, operasyonlarını en azından bir süreliğine durdurmak zorunda kalmaktadır. Bu durumun ardında yatan ana neden, kritik verilerin şifrelenmesi ve/veya sunucu altyapısının kullanılmaz hâle gelmesi olarak ifade edilmektedir. Aynı zamanda %40 oranında işletmenin personel azaltmaya gitmesi ve %35 seviyesinde yönetici kademelerinde istifaların yaşanması, saldırıların yalnızca teknik değil, kurumsal kültür ve iş gücü bakımından da ciddi sonuçlar doğurduğuna işaret etmektedir .
Özellikle küçük ve orta ölçekli işletmelerin (KOBİ) bu gibi ataklara karşı daha savunmasız olduğu, saldırı sonucunda **iflas etme **veya tamamen kapanma ihtimallerinin son derece yüksek olduğu da raporda dile getirilmiştir. Burada belirtilen %75’lik oran, siber suçluların KOBİ’lere dönük saldırılarını artırabileceğine dair ciddi bir uyarı niteliğindedir (CYFIRMA, 2024, s. 10).
Geleceğe Yönelik Öngörüler ve Temel Tavsiyeler • Yama Yönetimi (Patch Management) ve Zafiyet Takibi: Rapora göre fidye yazılım grupları, Apache ActiveMQ gibi yaygın kullanılan platformlardaki CVE-2023-46604 ve Cleo Harmony paketlerindeki CVE-2024-50623 gibi zafiyetleri son derece hızlı biçimde istismar etmektedir (CYFIRMA, 2024, s. 5, 7). Bu nedenle yazılımların güncel tutulması ve güvenlik yamalarının gecikmaksızın uygulanması kritik önem taşır. • Sosyal Mühendisliğe Karşı Farkındalık: Black Basta örneğinde görüldüğü gibi, saldırganlar kurbanların güvenini kazanmak için çok katmanlı sosyal mühendislik taktikleri uygulamaktadır. Kurum içi eğitimlerin düzenli yapılması, çalışanların beklenmedik istekler ya da kimlik doğrulama yöntemleri karşısında şüpheci olmaları gerektiğinin anlatılması önemlidir (CYFIRMA, 2024, s. 6). • Incident Response ve İş Sürekliliği Planlaması: Bir fidye yazılım saldırısı sırasında ve sonrasında işletmenin hızla toparlanabilmesi için olay müdahale planlarının (IRP) düzenli olarak test edilmesi, yedekleme politikalarının doğru kurgulanması ve yönetilmesi hayati rol oynamaktadır (CYFIRMA, 2024, s. 13). • Kurumsal Yönetişim ve Denetim Mekanizmaları: Özellikle büyük şirketlerde veri güvenliği, sadece BT ekiplerinin değil, aynı zamanda üst yönetimin de sorumluluğu altında olmalıdır. Yüksek seviyede güvenlik yönetişimi ve düzenli denetim raporlamaları, olası zayıf noktaların hızlı tespit ve giderilmesine destek olur (CYFIRMA, 2024, s. 12-13).
##Sonuç Aralık 2024 döneminde nispeten azalma eğilimi gözlemlense bile fidye yazılım saldırıları, hem taktiksel hem de stratejik boyutlarda ciddi tehdit oluşturmaya devam etmektedir. Cl0p’un sıfır gün açıklarını kullanarak gerçekleştirdiği saldırılar, Black Basta’nın sosyal mühendislikteki yenilikçi yöntemleri ve Funksec ile Bleubox gibi yeni aktörlerin süratle sahaya girmesi, fidye yazılım ekosisteminin hiç durmadan evrildiğini ortaya koymaktadır (CYFIRMA, 2024, s. 3, 6, 8).
Bu bağlamda, kuruluşların proaktif savunma politikalarına yönelmesi, zafiyet yönetimi süreçlerini aksatmadan yürütmesi ve siber farkındalığı sürekli güncel tutması önemli bir gereklilik haline gelmiştir.
Kaynakça; CYFIRMA. (2024). Tracking Ransomware – December 2024. (s. 1–14).
Tanıtım ve Teknik Analiz
HackRF One, Great Scott Gadgets tarafından geliştirilen, açık kaynaklı bir Yazılım Tanımlı Radyo (SDR) cihazıdır. Bu cihaz, radyo frekansı (RF) sinyallerini yakalamak, analiz etmek, modüle etmek ve yeniden iletmek için tasarlanmıştır. Hem amatör radyocular hem de profesyonel mühendisler, güvenlik uzmanları ve araştırmacılar için önemli bir araç olmuştur. Bu yazıda, HackRF One'ın teknik özelliklerine, donanım detaylarına, yazılım desteğine ve kullanım senaryolarına değinmeye çalışacağız.
HackRF One Detaylı İnceleme
Frekans Aralığı: 1 MHz - 6 GHz: Bu, cihazın çalışabileceği tam frekans aralığıdır. Ancak, pratik kullanımda en iyi performansı ve doğruluğu 10 MHz ile 6 GHz arasında gösterir. Bu geniş bant, birçok uygulama için kullanılabilir: VHF/UHF: Amatör radyo, FM radyo yayınları, hava bandı. SHF: WiFi, Bluetooth, GSM, 3G/4G/5G hücresel iletişim. Microwave: Radar, uydu iletişimi
Örnekleme Hızı: Maksimum 20 MSPS: Bu, cihazın bir saniyede kaç örnek alabileceğini belirler. HackRF One, 20 milyon örnek/saniye hızında örnekleme yapabilir. Birçok SDR uygulaması için yeterli olsa da, çok yüksek bant genişliklerinde sınırlayıcı olabilir. Örneğin: Narrowband uygulamalar (AM/FM radyo) için yeterli. Wideband uygulamaları (yüksek hızlı veri iletimi) için sınırlayıcı.
Bit Derinliği: 8-bit: Bu, her örneğin 8 bit ile temsil edildiği anlamına gelir. Bu bit derinliği, sinyalin dinamik aralığını ve çözünürlüğünü belirler. 8-bit çözünürlük: Orta seviye dinamik aralık sunar. Küçük sinyal detaylarının kaybına yol açabilir, ancak çoğu uygulama için yeterlidir.
Arayüz: USB 2.0: Bilgisayar ile iletişim için kullanılır. Maksimum 480 Mbit/sn veri transfer hızına sahiptir, bu da cihazın örneklenmiş veriyi bilgisayara aktarırken yüksek bir hız sağlar.
Güç Tüketimi: 500mA (USB'den beslenir). Bu, cihazın taşınabilir uygulamalar için uygun olduğunu gösterir, ancak yoğun kullanımda güç kaynağının yeterli olduğundan emin olunmalıdır.
FPGA (Field-Programmable Gate Array): FPGA, cihazın sinyal işleme ve özelleştirme yeteneklerini sağlar. HackRF One'da bulunan FPGA: Sinyal işlemesini hızlandırır. Kullanıcı tanımlı özel işlemler yapabilme imkanı sunar (örneğin, özel modülasyon/demodülasyon işlemleri).
ADC ve DAC: ADC (Analog-Digital Converter): Analog sinyalleri dijital veriye çevirir. DAC (Digital-Analog Converter): Dijital veriyi analog sinyallere dönüştürür. Bu dönüştürücüler, sinyallerin hem alınması hem de yeniden iletilmesi için kritik öneme sahiptir.
Kullanım Alanları
Sinyal Analizi: Kablosuz iletişim protokollerinin analizi, sinyal bozulmalarının incelenmesi, RF ortamının izlenmesi.
Güvenlik: Kablosuz ağların güvenlik açıklarının tespiti, penetrasyon testleri, yeni güvenlik protokollerinin değerlendirilmesi.
Araştırma ve Geliştirme: Yeni radyo protokollerinin geliştirilmesi, akademik araştırmalar, SDR teknolojisinin öğretilmesi.
Amatör Radyo: Deneysel iletişim modlarının keşfi, radyo amatörlerinin eğitim ve eğlence amaçlı kullanımı.
Donanım: Mikrodenetleyici: Cihazın kontrolünü ve veri akışını yönetir. Osilatör: Doğru frekans üretimi ve sinyal kararlılığı için önemlidir. Filtreler: İstenmeyen frekansları filtrelemek için kullanılır. Amplifikatörler: Sinyallerin güçlendirilmesi veya zayıflatılması.
Yazılım Desteği
GNU Radio: HackRF One için en geniş destek sunan yazılım platformudur. Python veya C++ ile geliştirme yapma imkanı sağlar. Blok tabanlı programlama ile kullanıcılar kendi SDR uygulamalarını geliştirebilir.
SDRSharp (SDR#): Windows için grafiksel arayüz sunar. Kolay kullanımı ile özellikle amatör kullanıcılar arasında popülerdir. Çeşitli modülasyon türlerini destekler (AM, FM, SSB, CW vb.).
Kaitai: Komut satırı aracı olarak, cihazın doğrudan kontrolü ve temel testler için kullanılır. Otomasyon ve hızlı testler için idealdir.
Kullanım Alanları: Sinyal Analizi: Spektrum analizi, protokol analizi, sinyal bozulması incelemesi. Güvenlik: Kablosuz ağ güvenliği testleri, RF saldırı simülasyonları. Araştırma ve Geliştirme: Yeni iletişim protokolleri geliştirme, SDR teknolojisi üzerine araştırmalar. Eğitim: Radyo teknolojisi ve SDR'nin eğitim amaçlı kullanımı.
Avantajları
Dezavantajları
HackRF One, SDR teknolojisi ile ilgili çok çeşitli uygulamalara olanak tanıyan, güçlü ve esnek bir cihazdır. Teknik detayları anlamak, kullanıcıların bu cihazdan maksimum verimi almalarını sağlar. Ancak, yasal düzenlemelere dikkat etmek ve etik kurallara uymak önemlidir. Bu cihaz, radyo frekansı dünyasını keşfetmek isteyen herkes için zengin bir araç seti sunar.
Kuzey Koreli Hackerların 308 Milyon Dolarlık Vurgunu
Kuzey Koreli hacker grubu TraderTraitor, Japonya merkezli Bitcoin.DMM.com şirketinden 308 milyon dolar değerinde kripto para çalarak siber suç dünyasında yankı uyandıran bir saldırıya imza attı. Bu olay, sosyal mühendislik ve siber saldırıların ne kadar tehlikeli boyutlara ulaşabileceğini bir kez daha gözler önüne serdi. FBI, Japonya Ulusal Polis Ajansı ve diğer uluslararası kurumlar, bu saldırının detaylarını ve Kuzey Kore'nin yasa dışı faaliyetlerini ortaya çıkarmak için çalışmalarını sürdürüyor.
TraderTraitor, aynı zamanda Jade Sleet, UNC4899 ve Slow Pisces isimleriyle de bilinen bir hacker grubu. Bu grup, sosyal mühendislik yöntemlerini ustalıkla kullanarak hedef aldığı şirketlerin çalışanlarını manipüle ediyor. Mart 2024'te, bir Kuzey Koreli hacker, LinkedIn üzerinden Japonya merkezli Ginco şirketinin bir çalışanıyla iletişime geçti. Ginco, kurumsal kripto para cüzdanları için yazılım geliştiren bir şirket olarak biliniyor. Bu sebeple bu tip bir operasyon açısından bir çalışanın hedef alınması şarşırtıcı değil.
Hacker, kendisini bir işe alım uzmanı olarak tanıtarak Ginco çalışanına ön mülakat aşamasında bir iş başvurusu testi sundu. IT sektöründe oldukça yaygın olan bu uygulama, bu alanda çalışan pek çok insan için oldukça bilinen birşey. Bu sebeple kurban Gİnco çalışanı da bu durumu oldukça normal karşılamış olmalı. Ancak bu test, aslında zararlı bir Python koduydu ve GitHub üzerinden paylaşıldı. Çalışan, bu kodu kendi GitHub hesabına kopyaladığında sistem enfekte oldu ve hackerlar Ginco'nun sistemine erişim sağladı.
Mayıs 2024'te, TraderTraitor grubu Ginco'nun iletişim-Doğrulama sistemine yetkisiz erişim elde etti. Bu erişim, çalınan oturum çerezleri sayesinde mümkün oldu. Hackerlar, Ginco çalışanlarının kimliğine bürünerek sistemde hareket etti. Aynı ayın sonunda, DMM şirketinden gelen yasal bir işlem talebine müdahale ederek 4502,9 Bitcoin'i kendi kontrol ettikleri cüzdanlara aktardılar. Bu miktar, saldırı sırasında 308 milyon dolar değerindeydi.
Bu büyük saldırının ardından, DMM şirketi Kasım 2024'te DMM Bitcoin hizmetini kapatma kararı aldı. Şirket, tüm müşteri hesaplarını ve varlıklarını SBI Group'un bir yan kuruluşu olan SBI VC Trade platformuna devredeceğini duyurdu. Bu geçişin Mart 2025'te tamamlanması planlanıyor.
Bu olay, siber güvenlikte insan faktörünün ne kadar kritik olduğunu bir kez daha gösteriyor. Sosyal mühendislik saldırıları, teknik güvenlik önlemlerini aşarak çalışanların dikkatsizliğinden faydalanıyor. Şirketlerin, çalışanlarını bu tür saldırılara karşı eğitmesi ve farkındalık yaratması büyük önem taşıyor.
FBI ve diğer uluslararası kurumlar, Kuzey Kore'nin yasa dışı faaliyetlerini durdurmak için çalışmalarını sürdürüyor. Ancak bu tür saldırılar, siber güvenlik önlemlerinin sürekli olarak güncellenmesi ve güçlendirilmesi gerektiğini hatırlatıyor.
Sonuç olarak, Kuzey Koreli hackerların gerçekleştirdiği bu saldırı, kripto para dünyasında güvenlik açıklarının ne kadar büyük kayıplara yol açabileceğini gözler önüne seriyor. Şirketler ve bireyler, bu tür tehditlere karşı daha dikkatli olmalı ve güvenlik önlemlerini artırmalıdır ve insanın ne bu yapıdaki en büyük güvenlik açığı olduğu unutulmamalıdır.
Kaynak :
Siber saldırganların hedef aldıkları kurum, kuruluş veya şahıslara ait hassas verileri (kullanıcı adı, parola, kredi kartı bilgileri, kimlik bilgileri vb.) ele geçirme amacıyla oluşturulan sahte e-postalara Phishing e-mail(oltalama e-postası) adı verilir. Phishing mailleri genellikle güvenilir bir kaynaktan geliyormuş gibi görünüp, kullanıcıları sahte web sitelerine yönlendirir veya zararlı yazılımlar içeren bağlantılarla onları kandırmaya çalışır. Phishing, "fish" (balık) kelimesinden türetilmiştir ve siber saldırganların hedeflerini "yakalamak" için kullandığı bir metafordur. Siber saldırganların amacı, genellikle bir oltaya takılan balık gibi, dikkatli olmayan kullanıcıları tuzağa düşürmektir.
Siber saldırganlar, psikolojik manipülasyon ve sahtekarlık üzerine kurulu olan bu maillerle hedef kitleye saldırılarda bulunurlar. Bahsi geçen saldırılar şu şekilde gerçekleşir:
1. Spear Phishing (Hedeflenmiş Phishing)
Yukarıda belirttiğimiz gibi Phishing saldırılarının bazıları spesifik hedeflere yapılabilmektedir. Bu tür spesifik saldırılara Spear Phishing adı verilmektedir. Burada saldırganlar, belirli bir kişi, grup veya kuruluşu hedef alır ve saldırıda kullanılan e-posta belirledikleri kullanıcılara göre kişiselleştirilir. Kurbanın iş arkadaşları, yöneticileri veya sosyal çevresindeki insanlar hakkında bilgi toplayarak, daha inandırıcı bir e-posta içeriği hazırlayabilirler. Saldırgan, hedefin iş arkadaşı, amiri veya şirketin üst düzey yöneticisi gibi görünerek kurbana göndereceği e-postada bir bağlantı veya dosya eki ekleyebilir.
2. Whaling (Büyük Balina Phishing)
Bu saldırılar daha büyük hedeflere dolayısıyla daha değerli verilere odaklanır. Whaling, "whale" (balina) kelimesinden türetilmiş ve balina avcılığı olarak adlandırılmıştır. Yani, bu tür saldırılar genellikle üst düzey yöneticilere (CEO, CFO, CMO vb) yönelik olur. Saldırganlar genellikle çok sofistike ve kişiselleştirilmiş yöntemler kullanarak, bahsi geçen yüksek profilli kişilerin veya bu kişilerin için bulundukları kurumlara ait özel bilgilerini çalmayı amaçlarlar. Whaling saldırıları, Spear phishing saldırılarının bir alt türüdür fakat iki türü birbirinden ayıran en büyük özellik whaling saldrılarında hedeflenen kitlenin yüksek profilli kişiler olmasıdır.
3. Vishing (Voice Phishing)
Vishing saldırıları, "voice" (ses) ve "phishing" (oltalama) kelimelerinin birleşiminden türetilmiş bir terimdir. Vishing saldırılarında, saldırganlar telefon aracılığıyla kurbanlarına ulaşarak, onları kişisel bilgilerini vermeleri veya belirli eylemler yapmaları için çeşitli sosyal mühendislik metotları ve manipülasyon teknikleri kullanırlar. Vishing saldırılarını phishing saldırılarının sesli versiyonu olarak düşünebiliriz.
4. Smishing (SMS Phishing)
Smishing, phishing saldırılarının SMS üzerinden gerçekleştirilen versiyonudur. Bu saldırılarda, kullanıcıya SMS ile bir link gönderilir ve kullanıcı bu linki tıklayarak sahte bir web sitesine yönlendirilir. Kullanıcı, bu sahte site üzerindeki formları doldurduğunda kişisel bilgilerini saldırganların eline geçmektedir. Smishing genellikle kampanya, indirim, ödül veya çekiliş kazanma gibi cazip teklifler içerir.
Phishing mailleri, genellikle dikkatli incelendiğinde bazı ortak belirtileri taşır. Bu ortak özellikleri şu şekilde sıralayabiliriz:
1. Gönderen E-posta Adresi
Phishing maillerinde, e-posta adresleri gerçek bir kuruma ait gibi gözükebilir fakat e-posta adresi dikkatle incelendiğinde küçük yazım hataları fark edilebilir. Örneğin, bir firma adına gelen bir e-posta adresi "support@drdisklab.com" yerine "support@drdisclab.com" olabilir.
2. Dil ve Yazım Hataları
Gerçek bir kurum veya kuruluştan gelmesi gereken e-postalarda dil hataları, yazım yanlışları veya garip cümle yapıları görülmesi pek olası bir durum değildir. Gerçek kurum ve kuruluşlar, profesyonel bir dil kullanır ve bu tip basit hatalar söz konusu değildir. Fakat phishing e-postalarında genellikle bu tür basit hatalar sıkça gözükse de profesyonel bir şekilde hazırlanmış phishing mailler olabileceğini göz ardı etmemek gerekir.
3. Acil Durum İddiaları
Phishing e-postalarında, kullanıcıyı acele etmeye ve hızlı tepki vermeye zorlayıcı içeriklere sıkça rastlanmaktadır. "Hesabınız askıya alınacak, hemen giriş yapın!" veya “Hesabınız risk altında, şifrenizi güncellemek için bağlantıya tıklayın!” gibi ifadelerle kullanıcıları panik etmeye yönelik teknikler kullanılır. Bu tür baskılar, kullanıcıların düşünmeden hareket etmelerine yol açabilir.
4. Sahte Bağlantılar
Phishing e-postaları, genellikle tıklamanız için sizi bir bağlantıya yönlendirir. Bu bağlantılar, gerçeğini aratmayacak kadar özenli bir tasarımla oluşturulmuş sahte web sayfalara yönlendirme yapılmak için kullanılır. Kullanıcılar, bağlantılara tıklamadan önce URL’yi dikkatlice kontrol etmelidir. Bahsi geçen URL’de gerçek bir kurumun web adresine çok benzer fakat küçük farklar içeren sahte bağlantılar olabilir.
5. E-posta Eki
Phishing e-postalarında, sıkça gördüğümüz zararlı yazılımlar içeren ekler yer almaktadır. Kullanıcılar, bu sahte eklerdeki dosyaları açtığında bilgisayarına kötü amaçlı yazılım bulaşabilir. Bu yüzden, özellikle tanımadığınız kişilerden gelen ekleri açmaktan kaçınmalısınız.
Phishing mailler, dijital dünyanın en önemli güvenlik tehditlerinden biridir. Her bireyin, phishing saldırılarının ne olduğunu ve nasıl çalıştığını anlaması, bu tür dolandırıcılıklara karşı daha dikkatli olmasına yardımcı olur. Teknolojinin gelişmesiyle birlikte phishing saldırıları da daha sofistike hale gelmiştir, ancak bilinçli bir kullanıcı olmak ve güvenlik önlemleri almak bu tehditlerden korunmanıza yardımcı olacaktır. Kurum ve kuruluşların bünyesindeki kullanıcıları siber güvenlik farkındalığı konusunda desteklemesi ve eğitmesi gerekmektedir. DrDisk Lab gibi sektörde öncü firmalardan konuyla ilgili eğitim ve danışmanlık hizmeti alabilirsiniz.
Bir ilk olarak, Rusya'nın APT28 isimli hacker grubu caddenin karşısındaki başka bir binada bulunan bir dizüstü bilgisayarı ele geçirerek bir casusluk hedefinin Wi-Fi ağını uzaktan ihlal etmiş gibi görünüyor.
Kararlı bilgisayar korsanları için, bir hedefin binasının dışındaki bir arabada oturmak ve Wi-Fi ağını ihlal etmek için radyo ekipmanını kullanmak uzun zamandır etkili ancak riskli bir teknik olmuştur. Bu riskler, Rusya'nın GRU isimli askeri istihbarat teşkilatı için çalışan casusların 2018 yılında Hollanda'da bir şehir caddesinde, arabalarının bagajına gizledikleri bir antenle hedef binanın Wi-Fi ağına girmeye çalışırken suçüstü yakalanmalarıyla çok açık bir şekilde ortaya çıktı.
Ancak bu olaydan sonra aynı Rus askeri hacker birimi yeni ve çok daha güvenli bir Wi-Fi hackleme tekniği geliştirmiş görünüyor: Hedeflerinin telsiz menziline girmek yerine, caddenin karşısındaki bir binada başka bir savunmasız ağ buldular, komşu binadaki bir dizüstü bilgisayarı uzaktan hacklediler ve hedefledikleri kurbanın Wi-Fi ağına girmek için bu bilgisayarın antenini kullandılar - Rus topraklarından ayrılmayı bile gerektirmeyen bir telsiz hackleme numarası.
Bugün Virginia, Arlington'da düzenlenen Cyberwarcon güvenlik konferansında siber güvenlik araştırmacısı Steven Adair, firması Volexity'nin 2022 yılında Washington DC'deki bir müşteriyi hedef alan bir ağ ihlalini araştırırken “en yakın komşu saldırısı” olarak adlandırdığı bu benzeri görülmemiş Wi-Fi hack tekniğini nasıl keşfettiğini açıklayacak. DC müşterisinin adını vermekten kaçınan Volexity, o zamandan beri ihlali Fancy Bear, APT28 veya Unit 26165 olarak bilinen Rus hacker grubuna bağladı. Rusya'nın GRU askeri istihbarat teşkilatının bir parçası olan grup, 2016'da Demokratik Ulusal Komite'nin ihlalinden 2018'de Hollanda'da dört üyesinin tutuklandığı başarısız Wi-Fi hackleme operasyonuna kadar çeşitli kötü şöhretli vakalarda yer aldı.
Volexity, 2022'nin başlarında yeni ortaya çıkan bu vakada, Rus bilgisayar korsanlarının hedef ağa sadece caddenin karşısındaki farklı bir tehlikeye atılmış ağdan Wi-Fi yoluyla atladığını değil, aynı zamanda bu önceki ihlalin de aynı binadaki başka bir ağdan Wi-Fi yoluyla gerçekleştirilmiş olabileceğini keşfetti - Adair'in tanımıyla Wi-Fi yoluyla ağ ihlallerinin bir tür “papatya zinciri”. Adair, “Bu, son derece uzakta olan ve esasen ABD'de hedeflenen hedefe fiziksel olarak yakın olan diğer kuruluşlara giren ve daha sonra caddenin karşısındaki hedef ağa girmek için Wi-Fi üzerinden dönen bir saldırganın olduğu ilk vaka” diyor. “Bu daha önce görmediğimiz gerçekten ilginç bir saldırı vektörü.”
Adair, bilgisayar korsanlarının müşterilerinin ağındaki bireyleri hedef almalarına dayanarak, GRU bilgisayar korsanlarının Ukrayna hakkında istihbarat arıyor gibi göründüğünü söylüyor. Papatya dizimi Wi-Fi tabanlı izinsiz girişin, Rusya'nın Şubat 2022'de Ukrayna'yı ilk kez tam ölçekli olarak işgal etmesinden hemen önceki ve sonraki aylarda gerçekleştirilmesinin tesadüf olmadığını söylüyor.
Adair, bu vakanın, sadece otoparkta ya da lobide dolaşan olağan şüphelilerden değil, yüksek değerli hedefler için Wi-Fi'ye yönelik siber güvenlik tehditleri hakkında daha geniş bir uyarı görevi görmesi gerektiğini savunuyor. “Artık bunu motive olmuş bir ulus-devletin yaptığını biliyoruz,” diyor Adair, ”Bu da Wi-Fi güvenliğinin biraz daha artırılması gerektiğini ortaya koyuyor.” Benzer uzaktan Wi-Fi saldırılarının hedefi olabilecek kuruluşlara, Wi-Fi menzillerini sınırlandırmayı, potansiyel davetsiz misafirler için daha az belirgin hale getirmek için ağın adını değiştirmeyi veya çalışanlara erişimi sınırlandırmak için diğer kimlik doğrulama güvenlik önlemlerini almayı düşünmelerini öneriyor.
Adair, Volexity'nin DC müşterisinin ağının ihlalini ilk olarak 2022'nin ilk aylarında araştırmaya başladığını, şirketin izlerini dikkatlice gizleyen bilgisayar korsanları tarafından müşterinin sistemlerine tekrarlanan izinsiz girişlerin işaretlerini gördüğünü söylüyor. Volexity'nin analistleri sonunda, ele geçirilen bir kullanıcının hesabının binanın uzak bir ucunda, dışa bakan pencereleri olan bir konferans odasındaki Wi-Fi erişim noktasına bağlandığını tespit etti. Adair, bu bağlantının kaynağını bulmak için bölgeyi bizzat araştırdığını söylüyor. “Fiziksel olarak ne olabileceğini araştırmak için oraya gittim. Akıllı televizyonlara baktık, dolaplarda cihaz aradık. Otoparkta biri mi var? Bir yazıcı mı?” diyor. “Hiçbir şey bulamadık.”
Ancak bir sonraki saldırıdan sonra, Volexity bilgisayar korsanlarının trafiğinin daha eksiksiz günlüklerini almayı başardığında, analistleri gizemi çözdü: Şirket, bilgisayar korsanlarının müşterilerinin sistemlerinde dolaşmak için kullandıkları ele geçirilmiş makinenin, barındırıldığı alan adının, yani yolun hemen karşısındaki başka bir kuruluşun adını sızdırdığını tespit etti. “O noktada, nereden geldiği yüzde 100 belliydi,” diyor Adair. “Sokaktaki bir araba değil. Yandaki binadan geliyor.”
Komşunun işbirliğiyle Volexity ikinci kuruluşun ağını araştırdı ve sokağa sıçrayan Wi-Fi izinsiz girişinin kaynağının belirli bir dizüstü bilgisayar olduğunu buldu. Bilgisayar korsanları, Ethernet üzerinden yerel ağa bağlı bir yuvaya takılı olan bu cihaza sızmış ve ardından Wi-Fi'sini açarak hedef ağa radyo tabanlı bir aktarıcı olarak hareket etmesini sağlamıştı. Volexity, hedefin Wi-Fi ağına girmek için bilgisayar korsanlarının bir şekilde çevrimiçi olarak elde ettikleri ancak muhtemelen iki faktörlü kimlik doğrulama nedeniyle başka bir yerde kullanamadıkları kimlik bilgilerini kullandıklarını tespit etti.
Volexity sonunda bu ikinci ağdaki bilgisayar korsanlarını iki olası izinsiz giriş noktasına kadar takip etti. Bilgisayar korsanlarının diğer kuruluşa ait bir VPN cihazını ele geçirdikleri anlaşıldı. Ancak aynı binadaki başka bir ağın cihazlarından da kurumun Wi-Fi ağına girmişlerdi; bu da bilgisayar korsanlarının nihai hedeflerine ulaşmak için Wi-Fi üzerinden üç ağa kadar papatya zinciri oluşturmuş olabileceklerini düşündürüyor. Adair, “Kim bilir kaç cihazı ya da ağı ele geçirdiler ve bunu kaç ağ üzerinde yaptılar,” diyor.
Aslında, Volexity bilgisayar korsanlarını müşterilerinin ağından çıkardıktan sonra bile, bilgisayar korsanları o Wi-Fi üzerinden tekrar girmeye çalıştılar ve bu kez misafir Wi-Fi ağında paylaşılan kaynaklara erişmeye çalıştılar. “Bu adamlar çok ısrarcıydı” diyor Adair. Ancak Volexity'nin bu bir sonraki ihlal girişimini tespit edebildiğini ve davetsiz misafirleri hızla kilitleyebildiğini söylüyor.
Volexity, soruşturmasının başlarında, Ukrayna'ya odaklanan müşteri kuruluşundaki bireysel çalışanları hedef almaları nedeniyle bilgisayar korsanlarının Rus kökenli olduğunu varsaymıştı. Ardından Nisan ayında, ilk izinsiz girişten tam iki yıl sonra Microsoft , Windows'un yazdırma biriktiricisindeki bir güvenlik açığının Rusya'nın APT28 hacker grubu (Microsoft bu grubu Forest Blizzard olarak adlandırıyor) tarafından hedef makinelerde yönetici ayrıcalıkları elde etmek için kullanıldığı konusunda uyarıda bulundu. Volexity'nin müşterisinin Wi-Fi tabanlı ihlalinde analiz ettiği ilk bilgisayarda geride kalan kalıntılar bu teknikle tam olarak eşleşiyordu. Adair, “Tam olarak bire bir eşleşti,” diyor.
Google'ın sahibi olduğu siber güvenlik firması Mandiant'ta tehdit istihbaratını yöneten ve GRU hackerlarını uzun süredir takip eden Cyberwarcon'un kurucusu John Hultquist, APT28'in papatya zinciri Wi-Fi korsanlığının arkasında olabileceği fikrinin mantıklı olduğunu söylüyor. Hultquist, Volexity'nin ortaya çıkardığı tekniği APT28'in “yakın erişim” hack yöntemlerinin doğal bir evrimi olarak görüyor ve GRU'nun diğer yöntemlerin başarısız olması durumunda Wi-Fi aracılığıyla hedef ağları hacklemek için bizzat küçük gezici ekipler gönderdiğini belirtiyor. Hultquist, “Bu aslında geçmişte yaptıkları gibi bir yakın erişim operasyonu ama yakın erişim olmadan” diyor.
Yakınına fiziksel olarak bir casus yerleştirmek yerine uzaktan ele geçirilmiş bir cihazdan Wi-Fi yoluyla hacklemeye geçiş, GRU'nun 2018'de Lahey'de bir arabanın içinde GRU'dan ayrılan Sergei Skripal'e yönelik suikast girişiminin OPCW tarafından soruşturulmasına yanıt olarak Kimyasal Silahların Yasaklanması Örgütü'nü hacklemeye çalışırken yakalandığı operasyonel güvenlik felaketinin ardından atılan mantıklı bir sonraki adımı temsil ediyor. Bu olayda APT28 ekibi tutuklanmış ve cihazlarına el konulmuş, benzer yakın erişim saldırıları gerçekleştirmek üzere Brezilya'dan Malezya'ya kadar dünya çapında seyahat ettikleri ortaya çıkmıştı.
“Bir hedef yeterince önemliyse, insanları şahsen göndermeye isteklidirler. Ancak burada gördüğümüz gibi bir alternatif bulabilirseniz bunu yapmak zorunda değilsiniz,” diyor Hultquist. “Bu, bu operasyonlar için potansiyel olarak büyük bir gelişme ve muhtemelen daha fazlasını göreceğimiz bir şey - eğer henüz görmediysek.”
Andy Greenberg
Kablosuz olarak ezan vaaz yayınlarını uzak bölgelere aktarmak için kullanılan merkezi ezan sistemi, ezan vaaz vericisi, mikrofonlar, ezan vaaz alıcısı, hoparlörler, anten ve kablolardan oluşur. Ezan vaaz alıcıları cami içlerinde kullanılan cami içi ezan vaaz alıcısı şeklinde olabildiği gibi minarelerde ya da direklerde kullanılabilen direk tipi ezan vaaz alıcıları da vardır. Buraya kadar her hangi bir sorun yok. Bu tarz sistemler doğası gereği VHF (30-300Mhz) ve UHF (300Mhz-3Ghz) olarak iki farklı frekansta çalışırlar. Kullanım alanı ve amacına uygun olarak kullanılacak frekans seçilir ve o frekanstan yayın yapılır. Kısa menzillere yayın yapılacaksa genel olarak UHF kullanılır. Daha uzun menzillere yayın yapılacaksa VHF bandı kullanılır (VHF bandında uygun kolşullar elde edildiğinde kıtalar arası yayın yapılabilir).
Merkezi Ezan Sistemi, 173.000Mhz ile 445.000Mhz frekanslarında 12.5Khz bant genişliğinde 15 farklı kanalda yayın yapar. Merkez vericiden vaaz sinyali gönderildiğinde, vaaz ses çıkışını aktif hale getirir. Genel olarak yerine ve kullanım amacına göre CTCSS / DCS, FSK, DTMF, SQ kodlama sisteminden biri kullanılır. Merkez vericiden ezan sinyali gönderildiğinde, ezan ses çıkışını aktif hale getirir ve ezan anfisine otomatik olarak açılması için 230 V AC elektrik enerjisi verir. Bu esnada iç hoparlörlerden gelen vaaz ses sinyali otomatik olarak kesilir ve ezan sesi minare hoparlörüne yönlendirilir. Herhangi bir nedenle sabit merkez telsizinden gelen RF yayını kesilirse otomatik olarak kapanır. Haberleşme için genellikle DTMF (Dual Tone Multi Frequency) kullanılır. Kelime anlamı “çift tonlu çoklu frekans kodlama sistemidir.”
DTMF kodlama sisteminde temel olarak dört adet iki çift ton kulanılır. Bu iki ton kombinasyonu ile 0, 1, 2, 3, 4, 5, 6, 7, 8, 9, #, *, A, B, C, D rakam ve sembolleri ifade edilir.
DTMF sayesinde bir sistemi kilometrelerce öteden açmak veya kapatmak mümkündür. Eski bir teknoloji ve dolayısıyla kodlaması da günümüz teknolojisine nazaran çok daha basittir. İnsan bu kadar sert şartlarda görev yapan bir sistemin ne kadar karmaşık olduğunu kafasında kolay kolay canlandıramaz sanırım, ama bu iş sanıldığı kadar zor değildir. Son yıllarda hızla gelişen DSP- dijital sinyal işleme teknikleri – sayesinde DTMF alıcıları bir entegreye indirilmiş ve 1.5 US$ gibi fiyatlarla alıcı beklemektedir. Çok fazla detay verip kafa karıştırmak istemiyorum o yüzden bu kısmı burada sonlandırıyorum.
Tesla araçlarının, Uyduların, Askeri haberleşme sistemlerinin, Güçlü şifreleme algoritmaları kullanan Wi-Fi sistemlerinin manipüle edilebildiği bir zamanda, daha eski ve korumasız bir haberleşme protokolü olan DTMF’nin manipüle edilmesi şaşırılacak bir durum değildir. Ayrıca bu sistem sadece camilerde kullanılmıyor. Dünyada ve Türkiye’de bir çok kullanım alanı bulunmaktadır. Trafik ışıkları, savaş ve acil durum siren sistemlerine kadar bir çok alanda kullanılmaktadır. Bu kadar çok kullanım alanı olan bir sistemi kendi menfaatleri doğrultusunda manipüle etmek isteyecek kişiler de olacaktır haliyle.
Bu tür sistemleri hacklemek veya manipüle etmek sanıldığı kadar zor bir iş değildir. İnternette çok uygun fiyatlara bulunabilecek RTL-SDR, HackRf, BladeRf tarzı cihazlar ile bu tarz RF sinyallerinin tespiti, kaydedilmesi ve bu frekanstan yayın yapılması günümüz teknolojisine göre artık çok kolay işlemlerdir.
Merkezi ezan sisteminin hangi frekanstan yayın yaptığını tespit etmenin iki yolu var.
Manipülasyonu gerçekleştirecek kişi veya kişiler tespit edilmemek için tabii ki ikinci seçeneği kullanacaklardır.
Bu tarz saldırıların yapılması için Linux tabanlı işletim sistemleri de mevcuttur (SigintOs, GnuRadio).
Cihazı pc’nin bağlantı noktasına bağladıktan sonra, SdrSharp programını çalıştırıp o bölgede yapılan yayınlar dinlenmeye başlanır. ilgili frekansta bir hareketlilik görüldüğü takdirde bu durum, ilgili frekansta veya o frekansa yakın bir frekans aralığında yayın yapıldığını gösterebilir.
Örneğin; 445.000Mhz’e ayarlı bir radyonuz olduğunu düşünürsek, bu frekansta yayın yoksa ses çıkmaz fakat ezan vakti bu frekansı açık bıraktığınız takdirde aynı ezan sizin radyonuzda da çalmaya başlayacaktır.
Tabii ki bunu daha pratik hale getiren cihaz ve yazılımların olduğundan bahsetmiştik.
" Görselde SDR-SHARP uygulaması ile yayın frekans tespiti örneği gösterilmiştir. "
İhtiyaç olan tek şey SigintOS dağıtımı ve Half-duplex veya Full-Duplex özelliğinde bir donanım olacaktır. Piyasada bulunabilen HackRf, BladeRF ve USRP adlı cihazlar bu işlem için yeterlidir. Hem sinyal alıp hem de gönderme işlemi gerçekleştirilmeyeceği için Half-Duplex bir cihaz bunun için fazlasıyla iş görecektir. Yayının frekans tespiti yapıldıktan sonra, aynı frekansta istenilen yayın yapılır. Ezan sisteminin ilgili frekansta sinyal aldığında otomatik olarak açıldığından bahsetmiştik. Dolayısı ile ezan vakti gelmeden de tespit ettiğiniz frekansta yayın başlattığınızda sistem kendini otomatik olarak açacak ve hoparlörlerden yayınlamak istediğiniz yayın çalmaya başlayacaktır. Kullanmış olduğunuz cihazın gücüne göre daha uzun mesafelere bu frekanstan yayın yapma imkanı doğar. Şayet elinizde 10 watt çıkış gücünde yayın yapabilen bir donanım olduğunu varsayarsak, bir ilçenin tamamına bu frekanstan yayın yapabilirsiniz.
Bu tarz siber saldırılar, siber güvenlik tarafında “sinyal istihbaratı” adı altında isimlendirilir. Vermiş olduğum örnek yazılım ve donanımlarla sadece merkezi ses sistemleri değil, gsm operatörleri, Wi-Fi sinyalleri, trafik ışıkları, uydu haberleşme sistemleri, gemi ve uçak radarları taklit edilip manipüle edilebilir.
Siber dünyada büyük bir operasyon daha başarıyla sonuçlandı. Uluslararası bir kolluk kuvveti olan EUROPOL, “Underground” diye tabir edilen yeraltı çetelerine yönelik hizmet veren ve Ransomware grupları da dahil olmak üzere çeşitli siber suç gruplarına hitap eden VPN sağlayıcısı ’in sunucularını ele geçirdi.
Bu operasyonda Europol, Almanya, Hollanda, Kanada, Çek Cumhuriyeti, Fransa, Macaristan, Letonya, Ukrayna, ABD ve İngiltere’de VPNLab ekibi tarafından işletilen 15 sunucuya el koydu.
Herhangi bir tutuklama duyurulmamakla birlikte, şirketin hizmetleri çalışamaz hale getirildi ve ana web sitesinde şimdi bir Europol el koyma afişi görülüyor.
Europol’ün Avrupa Siber Suç Merkezi Başkanı Edvardas Šileris bugün yaptığı açıklamada, “Bu soruşturma kapsamında gerçekleştirilen eylemler, suçluların izlerini çevrimiçi olarak gizleme yollarının tükendiği açıkça ortaya koyuyor.” dedi.
Bu saldırıdan önce VPNLab, 2008’den beri yeraltı korsanlarına yönelik hizmet sunuyordu. Yıllık hizmet bedeli olarak 60$’a hizmet veriyordu ve OpenVPN teknolojisi üzerinde inşa edilmişti. Yüksek bağlantı güvenliği için 2048 bit şifreleme kullanan VPNLab, müşterileri için bağlantıları şifrelemek ve anonimleştirmek için bir hizmet ağı oluşturmuştu. VPNLab’ın çökertilmesi, Europol ve Hollanda polisinin geçen yıl Haziran ayında ‘in ele geçirilmesi ardından kolluk kuvvetlerinin suç grupları için bir VPN sağlayıcısına karşı ikinci kez harekete geçtiğini ve bunda da başarılı olduğunu gösteriyor.
Soruşturmaya öncülük eden Hannover Polis Departmanı Şefi Volker Kluwe, “Bu eylemin önemli bir yönü de, hizmet sağlayıcıların yasadışı eylemi desteklemesi ve kolluk kuvvetlerinden gelen yasal talepler hakkında herhangi bir bilgi vermemesi durumunda, bu hizmetlerin kurşun geçirmez olmadığını göstermektir.” dedi.
Europol, VPNLab’ı yayından kaldırmanın bir getirisi olarak, sunucularda bulunan verilerle 100’den fazla işletmeyi yaklaşan siber saldırılar hakkında bilgilendirdiklerini söyledi.
Europol bugün yaptığı açıklamada,”Kolluk kuvvetleri, maruziyetlerini azaltmak için doğrudan bu potansiyel kurbanlarla birlikte çalışmaktadır.” dedi.
Bakanlıktan yapılan yazılı açıklamada, Tarım ve Orman Bakanlığının bilişim sistemlerine yapılan siber saldırı hakkında bilgi verildi.
Hacker grupları tarafından kamu kurumları ve özel sektörün bilişim sistemlerinin sürekli hedef alındığı hatırlatılan açıklamada şunlar kaydedildi:
“31 Temmuz saat 01.00 sıralarında itibarıyla Tarım ve Orman Bakanlığının domainlerinden birinde bulunan bazı sunucular siber saldırıya uğramış ve kullanılmaması için şifrelenmiştir. Bakanlığımızca sabah erken saatlerde bu durum fark edilmiş, sistem şifreleme protokolleri devreye girmiş ve Cumhurbaşkanlığı Dijital Dönüşüm Ofisi yetkileri ile koordineli olarak bir çalışma başlatılmış, gerekli tedbirler alınmıştır. Bu saldırıda Bakanlığımızın bir kısım sunucuları hedef alındığı için öncelikle tüm sistemin güvenliği kontrol altına alınmıştır.
Bu yapılan siber saldırıda Bakanlığımızın ana domainde olan sunucular etkilenmemiş olup Bakanlığımızda 3 ayrı yedekleme sistemi mevcuttur. Bu yedekleme sistemleri Bakanlığımızda ve özel bir veri merkezinde saklanmaktadır.”
Açıklamada, etkilenen sunucuların ve yedeklerinin kriminal inceleme için koruma altına alındığı belirtilerek, “Elimizde bulunan diğer sistemler üzerine yeniden yazımlar ve veri tabanı kurulmuştur. Sistemlere ilk müdahale eden profesyonel ekip sistemleri koruma altına alıp internet bağlantılarını kestiği ve sunuculara hiçbir suretle müdahale edilmediği için kişilerin ne istediği ile ilgilenilmemiş ve doğrudan Bakanlığımız yedek sistemlerinin ayağa kaldırılması yoluna gidilmiştir. Sistemler, kurum dışındaki yedeklerden veri kaybı olmadan ayağa kaldırılmıştır. Konu adli makamlara iletilmiş olup gerekli inceleme başlatılmıştır.” ifadesi kullanıldı.
Grupla ilgili henüz kesin bir bilgiye ulaşılamamakla birlikte, genellikle vpn zafiyetlerinden faydalanan ve sahte e-mail (fishing) yöntemleri ile saldırı gerçekleştiren bir fidye virüsü grubu olduğu söyleniyor. Rus menşeli olduğu düşünülen bu ransomware grubunun, daha önce yabancı bir çok kuruma da bu tür saldırılar gerçekleştirdiği bilgisine ulaşılmıştır. Ransomware grupları arasında en çok konuşulan gruplar Revil, Conti, LockBit, Ragnarok, BlackMatter, RansomExx gibi kötülüğü ile ün salmış gruplardan birinin olduğu düşünülmektedir. Şifrelemenin, bakanlığın yaptığı açıklamada belirtildiği üzere, gece saatlerinde başladığı fakat sisteme daha önceden sızmış olan ransomware grubunun sistemi uzunca bir süre takip ettikten sonra kritik verileri tespit edip, daha sonra atağa geçtiği düşünülmektedir. Terabyte boyutundaki verilerin bir gecede şifrelenebilmesinin diğer türlü mümkün olmayacağı düşünülmektedir. Yurtiçinde, bu konuda uzman kişilerin görüşüne başvurulduğu, dışardan destek alınmaya çalışıldığı gelen bilgiler arasında. Aradan geçen zamana rağmen sistemlerde henüz iyileştirmenin tamamlanmadığı gözlemlenmiştir. Düzenli olarak kurum dışında alınan yedekler haricinde, kuruma ait yedekleme sunucularının da bu saldırıdan etkilendiği söyleniyor. Kurum dışında alınan yedeklerin sağlıklı bir şekilde çalışabilmesi için, kurum içerisinde yedeklenen verilerin çözülmesi gerektiği, aksi takdirde alınan yedeklerin kendi başına sistemin çalışmasını sağlayamayacağı düşünülmektedir.
Şu ana kadar edindiğimiz bilgiler bunlar olmakla birlikte, detaylara ulaşıldıkça konu hakkında bilgilendirmeler devam edecektir.
Signal Messenger veritabanları, tüm işletim sistemlerinde (iOS, Android, Windows) farklı şekilde şifrelenir. En kolayı windows masaüstü uygulamasıdır, anahtarı sqlcipher ile kolayca çözebileceğiniz config.json dosyasında saklar ki şimdilik konumuz bu değil. Üstünde asıl çalışacağımız konu android versiyonudur. Bilindiği üzere adli bilişim süreçlerinde bu tarz gizli ve şifreli mesajlaşma uygulamalarının içeriğine erişmek, bir çok vakanın çözülmesine yardımcı olmaktadır.
Android cihazlarda, AES-GCM modunu kullanarak veritabanının şifresini çözmek için üç değer almamız gerekiyor, ilki USERKEY_SignalSecret anahtar deposu (keystore) olan anahtar değeridir. İkincisi, IV değerleri olan şifre metnidir.
Windows:
Database: C:\Users\AppData\Roaming\Signal\sql\db.sqlite
Key: C:\Users\Digisecure\AppData\Roaming\Signal\config.json
Android:
Database: /data/data/org.thoughtcrime.securesms/databases/signal.db
key: /data/keystore/user_0/10044_USRSKEY_SignalSecret
IV + authTag içeren şifreli metin: org.thoughtcrime.securesms\shared_prefs\org.thoughtcrime.securesms_preferences.xml
Konumuz Android olduğu için bu blogda sadece Android için Signal veri tabanının şifresinin nasıl çözüleceğine odaklanacağız.
Signal, veritabanını sqlcipher kullanarak şifrelemek için AES-GCM Encryption modunu kullandığından bahsetmiştik. İlk olarak sql şifre anahtarını alır, ardından veritabanını şifrelemek için USERKEY + IV’ten AES-GCM anahtarını kullanır, bu değerler org.thinktcrime.securesms_preferences.xml içinde saklanır. Sql veritabanını çözebilmek için bu değerleri tersine çevirmemiz gerekiyor. Deyimi yerinde ise Reverse Engineering tekniklerini kullanmamız gerekiyor.
Şifreli veritabanını çözebilmek için üç değere ihtiyacımız var;
Ardından base64 veri değerini hex’e dönüştürüyoruz:864531f86b5b9dfad548f6e8c91712208d2d4477925240d586f1a3d825b545a2246baf3b35662f5eb825dd85c9e39166 (son 32 karakter auth etiketidir.) Not: Geliştirici çevrimiçi java AES-GCM kodunu kullanıyorsa, kimlik doğrulama etiketini şifre metninden ayırmaya gerek olmayabilir. Ama bu vakada cyberchef ile bunu parçalamamız gerekiyor.
public final class SqlCipherDatabaseHook implements SQLiteDatabaseHook {
@Override
public void preKey(SQLiteDatabase db) {
db.rawExecSQL("PRAGMA cipher\_default\_kdf\_iter = 1;");
db.rawExecSQL("PRAGMA cipher\_default\_page\_size = 4096;"); }
Seçeneklerden Passphrase seçip aldığımız kodu kopyalıyoruz ve daha sonra alt seçeneklerden custom‘ı seçip gerekli alanları aşağıdaki gibi dolduruyoruz.
Ve işte tüm veritabanı karşımızda!
ARP ( Adres Çözümleme Protokolü), bilgisayarlar, IP adresleri ve MAC adresleri arasında eşleme sağlayan bir network haberleşme prokolüdür. Bilgisayar, belirli bir IP adresi için MAC adresini bilmiyorsa, ağdaki diğer makinelerle eşleşen MAC adresini sorarak bir ARP istek paketi gönderir.
ARP Zehirlenmesi (ARP sahtekarlığı olarak da bilinir), ağ trafiğini kesintiye uğratmak, yönlendirmek veya casusluk yapmak için yaygın olarak kullanılan Adres Çözümleme Protokolü’ndeki (ARP) zayıflıkları kötüye kullanan bir tür siber saldırı türüdür.
ARP Zehirlenmesi, ağdaki diğer cihazların MAC-IP eşleşmelerini bozmak için ARP’deki zayıflıkların kötüye kullanılmasından oluşur. ARP, 1970 yılında ilk defa tasarlandığında güvenlik, önemli bir endişe teşkil etmiyordu. Bu nedenle, protokolün tasarımcıları ARP mesajlarını doğrulamak için, kimlik doğrulama mekanizmalarını dahil etmediler. Ağdaki herhangi bir cihaz, orijinal mesajın kendisine yönelik olup olmadığına bakılmaksızın bir ARP isteğine cevap verebilir. Örneğin, X Bilgisayarı, Y Bilgisayarının MAC adresini “sorarsa”, Z Bilgisayarındaki bir saldırgan bu sorguya cevap verebilir ve X Bilgisayarı bu yanıtı gerçek olarak kabul eder. Bu tespit, çeşitli saldırıları mümkün kılmıştır. Bir tehdit aktörü, kolayca erişilebilen araçlardan (Arpspoof, Ettercap vb.) yararlanarak, yerel bir ağdaki diğer bilgisayarların ARP önbelleğini “zehirleyebilir” ve ARP önbelleğini yanlış girişlerle doldurabilir.
ARP sahtekarlığını veya ARP zehirlenmesini başarıyla uygulayan bir siber saldırgan, ağınızdaki her belgenin kontrolünü ele geçirebilir. ARP zehirlenmesi ile siber casusluğa maruz kalabilirsiniz veya daha kötü bir senaryo olan fidye saldırısı vakası ile karşı karşıya kalabilirsiniz. Saldırgan, sizden istediği şeyi alana kadar ağ trafiğinizi durma noktasına getirebilir.
1. Adım : ARP zehirleme saldırısında ilk adım hedef seçmektir. Hedef ağdaki belirli bir bilgisayar veya router gibi bir ağ aygıtı olabilir. Router’lar, çekici hedeflerdir çünkü bir router’a karşı başarılı bir ARP Zehirlenme Saldırısı, tüm subnet trafiğini bozabilir.
2. Adım : Saldırganın, bir ARP sızdırma aracı kullanması gerekir. Bu aracın IP adresini, hedefin IP subnet ile eşleşecek şekilde ayarlar. Popüler ARP spoofing yazılımlarına örnek olarak Arpspoof, Cain & Abel, Arpoison ve Ettercap verilebilir.
3. Adım : ARP spoofing aracını seçip çalıştıran saldırgan, ARP önbelleği bozulduğunda, genellikle trafiği yanlış yönlendirecek türden eylem gerçekleştirir. Aynı zamanda trafiği inceleyebilir, değiştirebilir veya “kara deliğe” neden olabilir. Yaşanacak sorunlar, saldırganın amaçlarına bağlıdır.
Ortadaki Adam Saldırısı (MiTM)
MiTM (Man İn The Middle ) saldırıları , genellikle ARP zehirlenmesinin en yaygın ve potansiyel olarak en tehlikeli hedefidir. Saldırgan, genellikle bir alt ağ için, varsayılan ağ geçidi olan belirli bir IP adresine sahte ARP yanıtları gönderir. Bu, kurban makinelerin ARP önbelleklerini yerel router’ın MAC adresi yerine saldırganın makinesinin MAC adresiyle doldurmasına neden olur. Kurban makineleri, daha sonra ağ trafiğini saldırgana iletir. Ettercap gibi araçlar, saldırganın trafiği amaçlanan hedefine göndermeden önce bilgileri görüntüleyerek veya değiştirerek bir proxy görevi görmesine izin verir. Kurban için her şey normal görünebilir.
ARP spoofing ile DNS spoofing’in birleştirilmesi , bir MiTM saldırısının etkinliğini önemli ölçüde arttırabilir. Bu durumda, kurban kullanıcı google.com gibi meşru bir siteye girebilir ve kendisine doğru adres yerine saldırganın makinesinin IP adresi verilebilir.
DDoS (Denial of Service) saldırısı, bir veya daha fazla kullanıcının ağ kaynakları hizmetlerine erişimini engellemeyi amaçlayan bir saldırı türüdür. ARP saldırısı durumunda, bir saldırgan yüzlerce hatta binlerce IP adresini tek bir MAC adresine yönlendiren ARP mesajları gönderebilir ve hedef makineyi isteklere cevap veremeyecek duruma getirebilir. Bazen ARP taşması olarak da bilinen bu saldırı türü, network switchlerine yönelik saldırılar için de kullanılabilir ve tüm ağın performansını olumsuz etkiler.
Oturum Ele Geçirme saldırıları, doğası gereği MiTM’a benzer ama saldırganlar ağ trafiğini bozmak yerine kurban makineden hedeflenen varış noktasına doğrudan iletmemesini sağlar. Saldırganların asıl amacı kurbandan gerçek bir TCP sıra numarası veya web tanımlama bilgisi almak ve kurbanın kimliğini tahmin etmektir. Örnek verecek olursak, hedef kullanıcının giriş yaptığı sosyal medya hesaplarına erişmek için kullanılabilir.
Kilit Modu, pozisyonları veya yaptıkları iş nedeniyle en karmaşık dijital tehditlerden bazılarının hedefi olabilecek az sayıda kişi için tasarlanan, isteğe bağlı, olağan dışı bir korumadır. Çoğu insan hiçbir zaman bu tür saldırıların hedefinde değildir.
Kilit Modu etkinleştirildiğinde aygıtınız normalde olduğu gibi çalışmayacaktır. Hedefi özel olarak belirlenmiş kiralık casus yazılımların suistimal edebileceği saldırı yüzeyini azaltmak için belirli uygulamalar, web siteleri ve özellikler güvenlik nedeniyle katı bir şekilde sınırlandırılır ve bazı deneyimler hiç kullanılamayabilir.
Kilit Modu iOS 16, iPadOS 16 ve macOS Ventura sürümlerinde kullanılabilir.
Kilit Modu etkinleştirildiğinde, aşağıdakiler dahil bazı uygulamalar ve özellikler farklı şekilde çalışır:
Kilit Modu etkinken telefon aramaları ve düz metin mesajları çalışmaya devam eder. Bu mod, acil SOS aramaları gibi acil durum özelliklerini etkilemez.
Kilit Modu etkinken, bir uygulama veya özellik sınırlandırıldığında size bildirim gönderilebilir ve Safari’de yer alan bir başlık, Kilit Modu’nun açık olduğunu belirtir.
Kilit Modu’nun her aygıtta ayrı ayrı etkinleştirilmesi gerekir.
Kilit Modu etkinken, bir uygulama veya özellik sınırlandırıldığında size bildirim gönderilebilir ve Safari’de yer alan bir başlık, Kilit Modu’nun açık olduğunu belirtir.
Kilit Modu’nun her aygıtta ayrı ayrı etkinleştirilmesi gerekir.
Aygıtınızda Kilit Modu etkinken bir uygulama veya Safari’deki web sitesini, moddan etkilenmesini ve sınırlandırılmasını önlemek için hariç tutabilirsiniz. Yalnızca güvenilir uygulamaları veya web sitelerini moddan hariç tutun ve bunu yalnızca gerekliyse yapın.
Dolaşma sırasında bir web sitesini hariç tutmak için: Sayfa Ayarları düğmesine , ardından da Web Sitesi Ayarları’na dokunun. Ardından Kilit Modu’nu kapatın.
Bir uygulamayı hariç tutmak veya hariç tutulan web sitelerinizi düzenlemek için:
Bir uygulamayı hariç tutmak için menüden söz konusu uygulamayı kapatın. Bu listede yalnızca Kilit Modu’nu etkinleştirdikten sonra açtığınız ve sınırlı işlevlerle sahip uygulamalar görünür.
Hariç tutulan web sitelerinizi düzenlemek için Excluded Safari Websites (Hariç Tutulan Safari Web Siteleri) > Düzenle’ye dokunun.
Dolaşma sırasında bir web sitesini hariç tutmak için: Safari menüsü > [web sitesi] Ayarları’nı seçin. Ardından Kilit Modu’nu Etkinleştir onay kutusunun seçimini kaldırın. Web sitesini tekrar dahil etmek için onay kutusunu yeniden seçin.
Hariç tutulan web sitelerinizi düzenlemek için:
Bir aygıtta Kilit Modu etkinse yeni konfigürasyon profilleri yüklenemez ve aygıt Mobil Aygıt Yönetimi’ne veya aygıt denetimine kaydedilemez. Bir kullanıcı konfigürasyon profili veya yönetim profili yüklemek isterse Kilit Modu’nu kapatması, profili yüklemesi, ardından gerekliyse Kilit Modu’nu yeniden etkinleştirmesi gerekir. Bu kısıtlamalar, saldırganların kötü amaçlı profiller yüklemeye çalışmasını önler.
Kilit Modu etkinleştirilmeden önce Mobil Aygıt Yönetimi’ne kaydedilen aygıtlar yönetilmeye devam eder. Sistem yöneticileri, söz konusu aygıta konfigürasyon profilleri yükleyebilir ve aygıttaki profilleri kaldırabilir.
Olağan dışı siber saldırıların hedefi olabilecek çok az sayıda bireysel kullanıcı için tasarlanan Kilit Modu, sistem yöneticilerinin Mobil Aygıt Yönetimi için ayarlayabileceği bir seçenek değildir.
Apple cihazlarını etkileyen 0Day Darkweb’de 2.5 Milyon Euro’ya satılıyor!
Yeni güvenlik açığı, geçtiğimiz günlerde CVE-2022-32893 koduyla güvenlik yaması yayınlanmış olan bir güvenlik açığından kaynaklanıyor. Apple, ağustos ayında bilgisayar korsanlarının cihazın kontrolünü ele geçirebileceği ve kötü amaçlı yazılım yükleyebileceği CVE-20220-32893 ve CVE-2022-32894 olmak üzere iki kritik güvenlik açığını düzeltti. Ancak bu güvenlik yaması siber suçluları durdurmaya yetmedi. Çevrimiçi veritabanı izleme şirketi Webz.io, darkweb’in Apple cihazları için yeni bir 0Day güvenlik açığı sattığını tespit etti. Raporlar, Apple’ın CVE-2022-32893’ü kamuoyuna duyurmasından sadece birkaç gün sonra geldi. Araştırmacılara göre yeni güvenlik açığı, CVE-2022-32893 koduyla güvenlik yaması yayınlanan açığın henüz güvenlik güncellemesini yüklemeyen Apple kullanıcılarına yönelik saldırılarda kullanılabildiğini ve 2.5 Milyon Euro’ya satıldığını tespit etti.
Hacker forumlarından birinde konuyla ilgili satışın duyurusu
Uzmanlar, DarkWeb Data API’lerini kullanarak yaptıkları araştırmalarda siber suçluların bu güvenlik açığını Telegram’dan Tor’daki sitelere kadar çeşitli platformlarda tartıştıklarını tespit ettiler.
Saldırganlar CVE-2022-32893/4’ü tartışıyor ve güvenlik güncellemesinden sonra yeni 0-Day zafiyeti arıyor Cybernews bu konuda yorum yapması için Apple’a ulaştı, ancak şirket henüz muhabirlere herhangi bir yanıt vermedi.
Garanti Bankası, QNB Finansbank, Turkcell, BEDAŞ, DSMART, Turktelekom, Vodafone kullanıcı bilgilerinin sızdırıldığı iddia ediliyor!
Tarih 02.06.2021’i gösterirken bir çok underground sitesinden peş peşe Türk vatandaşlarına ait verilerden oluşan bilgiler dolaşıma sokuldu. Son zamanlar yaşanan hack vakaları, kişisel verilerin korunamamasından dolayı ciddi endişelere sebebiyet verirken, siber saldırılardan korunmak için üretilen çözümlerin de güvenilirliğini sorgulattı. Sistemleri korumakta yetersiz kalan DLP, SOAR, SIEM, DFIR vb. teknolojilerin yeniden gözden geçirilmesi, siber saldırılara karşı alınması gereken önlemlere farklı bir bakış açısı ile yeniden değerlendirilmesinin kaçınılmaz olduğu ortaya çıktı.
Siber korsanların bu bilgileri ne şekilde ele geçirdiği henüz tespit edilemezken, bu konuda henüz resmi bir açıklama gelmemesi de vatandaşları paniğe sevk ediyor. Yaşanılan olaylarda sonra birinci ağızdan her hangi bir yalanlama olmaması verilerin gerçekten siber korsanlar tarafından ele geçirildiği yönünde oluşan düşünceleri pekiştiriyor. Daha önce de yaşanan pek çok hacking vakasından sonra ilgili kurumların bir süre sessizliğini koruduğu, aradan belli bir süre geçtikten sonra yaşanan hack vakalarını doğruladıkları akla geldiğinde bu vakalarda da aynı şeyin yaşanacağı izlenimini oluşturuyor.
Veri ihlaline uğrayan kurumlar arasında bankalar, Türkiye’nin önde gelen telekomünikasyon firmaları, enerji dağıtım şirketleri, üniversiteler gibi verinin maksimum düzeyde korunması gereken kurumlar yer alıyor. Bunların en büyüğü ve ilgi çekeni ise Turkcell’e ait veritabanı olduğu iddia edilen paylaşımlardı. İddiaya göre Turkcell’e ait 31 milyon kullanıcı kaydının olduğu veritabanı 10.000$ karşılığında satışa sunuldu. GARANTI BBVA’ya ait 1500, QNB FINANS BANK’a ait 2,8 milyon, BEDAŞ Elektrik Dağıtım Kurumu’na ait 310 Bin, DSMART’a ait 1.2 Milyon, Turkcell, Vodafone, Turktelekom firmalarına ait karışık 1 milyon, nerden ele geçirildiği henüz tespit edilemeyen ve içerisinde 3.2 milyon Türk vatandaşına ait veri 24 saat içerisinde raidforum adlı illegal platform üzerinden paylaşıldı. Raidforum’da “”cetinkaya”” kullanıcı adına sahip bir forum kullanıcısı, bahsi geçen kurumlara ait kullanıcı bilgilerini sızdırdığını, istenildiği takdirde bu bilgilerin tümünü satabileceğini belirtti. E-posta adresi ve XMPP serverlar aracılığı ile gizli görüşmeler gerçekleştirmek için kullanıldığı bilinen Jabber platformunu kullandığı dikkatleri çeken kullanıcı, “”Türklerin ruh sağlığı ile oynamaya devam ediyorum”” ifadelerini kullandı.
Yasadışı paylaşımların yapıldığı forumdan elde edilen bilgilere göre paylaşılan kişisel veriler; TcNo, TelAdet, TelNo, Kontorstatus, Status, TlBilgi, Aciklama, ADI, SOYADI, ILKSOYADI, ANAADI, BABAADI, CINSIYETI, DOGUMYERI, DOGUMTARIHI, NUFUSILI, NUFUSILCESI, ADRESIL, ADRESCADDE, ADRESILCE, MUHTARLIKADI, KAPINO ve DAIRENO gibi vatandaşlara ait son derece kritik bilgiler içerdiği tespit edildi. Daha önce Türkiye’ye ait benzerine rastlanmamış olan bu veri sızıntısı, kendi içinde bir çok güvenlik sorunu içermesi sebebi ile önümüzdeki günlerde de çok konuşulacak gibi duruyor. Kamu çalışanları, bürokratlar, kolluk kuvvetleri gibi spesifik kademelerde bulunan kişilere ait verileri de barındırması sebebiyle ciddi güvenlik sorunları olan bir veri sızıntısıdır.
Yetkililerin henüz bir açıklama yapmamış olması şaşkınlığını korurken, konu ile ilgilenen siber güvenlik araştırmacılarından elde edilen bilgiler sosyal medya hesapları üzerinde tartışmaya açılmış durumda. KVKK’nın, veri ihlallerinde ismi geçen kurumlara yönelik uygulayacağı yaptırımlar da gündem konusu.
Güvenlik araştırmacıları, Tokyo’da düzenlenen Pwn2Own Automotive 2024 yarışmasının ilk gününde Tesla aracının modeminde bir zafiyet keşfederek toplamda 722.500 dolarlık ödül kazandı. WhiteHat Hacker’lar tarafından sıfır gün (zero-day) olarak adlandırılan tam 24 yeni güvenlik açığı keşfedildi.
Synacktiv ekibi, Tesla aracının modemine root erişimi elde etmek için 3 sıfır gün güvenlik açığı birleştirerek 100.000 dolar kazandı. Bu, güvenlik araştırmacıların cihaz üzerinde tam kontrol elde etmelerine ve sistemin ihlal edilebilirliğini göstermelerine olanak tanıdı.
Synacktiv, Ubiquiti Connect Home şarj istasyonu ve JuiceBox 40 Smart Home şarj cihazı için iki benzersiz güvenlik açığı zincirini kullanarak ek 120.000 dolar kazandı. Bu saldırılar aynı zamanda elektrikli araçlar için popüler şarj cihazı modellerinde ciddi güvenlik sorunlarını da gösterdi.
ChargePoint Home Flex Home şarj cihazını hedef alan başka bir exploit zinciri zaten biliniyordu, ancak yine de ekip için 16.000 dolar daha kazandırdı. Toplamda, Synacktiv ekibi ilk gününde 295.000 dolar ödül kazandı.
Güvenlik araştırmacıları ayrıca, diğer üreticilerin tamamen güncellenmiş elektrikli araç şarj istasyonları ve multimedya sistemlerini başarıyla hacklediler. Örneğin, NCC Group EDG ekibi, Pioneer DMH-WT7600NEX multimedya sistemi ve Phoenix Contact CHARX SEC-3100 Home şarj cihazını hacklemek için sıfır gün güvenlik açıklarını kullanarak 70.000 dolar kazandı ve turnuva sıralamasında ikinci oldu.
Pwn2Own’ın ilk gününün sonuçları, elektrikli araç alanındaki modern yazılım ve donanımların dahi ciddi güvenlik açıklarına sahip olduğunu gösteriyor. Bununla birlikte, bu tür zafiyetlerin zamanında tespiti ve düzeltilmesi mümkündür, yeter ki onlarca hacker bir araya getirilsin ve belirli bir hedef konulsun.
Pwn2Own’da gösterilen exploitlerin ardından üreticilere, Trend Micro şirketinin Zero Day Initiative kapsamında keşfedilen zafiyetlerin detaylarının halka açıklanmadan önce 90 gün içinde güvenlik düzeltmeleri yapmaları için süre verildi.
Pwn2Own Automotive 2024 bu hafta Tokyo’da, Automotive World konferansı kapsamında gerçekleşiyor. Güvenlik araştırmacıları, yarışma süresince çeşitli otomotiv teknolojilerini, multimedya sistemlerini, otomobil işletim sistemlerini, şarj istasyonlarını ve benzerlerini hedef alacaklar.
Birinci ödül, VCSEC, gateway veya otonom sürüş sistemlerinde sıfır gün zafiyetlerinin gösterilmesi durumunda verilecek 200.000 dolarlık bir ödül ve bir Tesla Model 3 araç.
Geçen yıl, Pwn2Own Vancouver 2023 yarışmasında, güvenlik araştırmacıları toplamda 27 sıfır gün zafiyeti ve birkaç ek exploit zinciri göstererek 1.035.000 dolarlık ödül ve bir Tesla Model 3 aracı kazandı.
SIEM (Security Information and Event Management), Türkçe’ye çevrilmiş hali ile Güvenlik Bilgileri ve Olay Yönetimi, SIM (security information management)(güvenlik bilgi yönetimi) ve SEM (security event management)(güvenlik olay yönetimi) işlevlerini tek bir güvenlik yönetim sisteminde birleştiren bir güvenlik yönetim sistemidir. SIEM terimi 2005 yılında Mark Nicolett ve Amrit Williams tarafından Gartner’ın SIEM raporunda ortaya çıktı. Önceki nesillere dayanarak yeni bir güvenlik bilgi sistemi önerdiler.
Her SIEM sisteminin temel ilkeleri, birden fazla kaynaktan ilgili verileri toplamak, normdan sapmaları belirlemek ve uygun eylemi yapmaktır. Örneğin, olası bir sorun algılandığında, bir SIEM sistemi ek bilgileri günlüğe kaydedebilir, bir uyarı oluşturabilir ve diğer güvenlik denetimlerine bir etkinliğin ilerlemesini durdurmasını söyleyebilir.
En temel düzeyde, bir SIEM sistemi kurallara dayalı olabilir veya olay günlüğü girişleri arasında ilişki kurmak için istatistiksel bir korelasyon altyapısı kullanabilir. Gelişmiş SIEM sistemleri, kullanıcı ve varlık davranış analitiği (UEBA) ve güvenlik düzenleme, otomasyon ve yanıt (SOAR) içerecek şekilde gelişti.
Ödeme Kartı Endüstrisi Veri Güvenliği Standardı (PCI DSS) uyumluluğu başlangıçta büyük işletmelerde SIEM benimsemesini sağladı, ancak gelişmiş kalıcı tehditlerle (ATS) ilgili endişeler, daha küçük kuruluşların SIEM tarafından yönetilen güvenlik hizmeti sağlayıcılarının (MSP’ler) sunabileceği avantajlara bakmasına neden oldu. Güvenlikle ilgili tüm verilere tek bir açıdan bakabilmek, her boyuttaki kuruluşun olağan dışı desenleri tespit etmesini kolaylaştırır.
SIEM sistemleri, güvenlik duvarları, virüsten koruma veya izinsiz giriş önleme sistemleri (IPS) gibi özel güvenlik ekipmanlarının yanı sıra son kullanıcı cihazlarından, sunuculardan ve ağ ekipmanlarından güvenlikle ilgili olayları toplamak için hiyerarşik bir şekilde birden fazla toplama aracısı dağıtarak çalışır. Toplayıcılar, olayları, güvenlik analistlerinin gürültüyü inceleyerek noktaları birleştirdiği ve güvenlik olaylarına öncelik verdiği merkezi bir yönetim konsoluna iletir.
SIEM nasıl çalışır?
SIEM’in temel işlevi tehdit tespiti ve tehdit yönetimidir. SIEM, tehdit algılama, soruşturma, tehdit avı ve müdahale ve düzeltme faaliyetlerini içeren bir Güvenlik Operasyon Merkezi’nin (SOC) olay müdahale yeteneklerini destekler. SIEM, ana bilgisayar sistemleri, ağlar, güvenlik duvarları ve virüsten koruma güvenlik aygıtları da dahil olmak üzere bir kuruluşun BT ve güvenlik çerçevesi genelinde olay kaynaklarından veri toplar ve birleştirir. Bir kuruluş içindeki olası güvenlik sorunlarını belirlemek için uç nokta, ağ ve bulut varlıkları arasında toplanan verilerin güvenlik kurallarına ve gelişmiş analizlere göre analizini gerçekleştirir.
Bir olay tespit edildiğinde, analiz edildiğinde ve kategorize edildiğinde, SIEM rapor ve bildirimleri kuruluş içindeki uygun paydaşlara sunmak için çalışır. Ayrıca, bir SIEM, denetçilere sürekli izleme ve raporlama özellikleri aracılığıyla kuruluşlarının uyumluluk durumu hakkında bir görünüm sağlayarak mevzuat uyumluluğu gereksinimlerini karşılamaya yardımcı olur.
McAfee şirketinden siber güvenlik uzmanları, Android akıllı telefonlara otomatik olarak bulaşabilen yeni bir XLoader kötü amaçlı yazılım versiyonunu keşfetti. Bu keşif, ABD, İngiltere, Almanya, Fransa, Japonya, Güney Kore ve Tayvan’daki kullanıcıları tehdit etmektedir.
Daha önce Android için en tehlikeli kötü amaçlı yazılım türlerinden biri olarak bilinen XLoader (MoqHao olarak da bilinir), artık arka planda çalışabiliyor ve hassas verileri, fotoğrafları, metin mesajlarını, iletişim listelerini ve cihaz donanım bilgilerini çıkarabilmektedir.
Kötü amaçlı yazılımın yayılması, metin mesajlarındaki sahte bağlantılar aracılığıyla gerçekleşiyor. Bu bağlantılar, Google Play dışında uygulama yüklemek için APK dosyalarına yönlendirilmekte, bu da kötü amaçlı yazılıma bulaşma riskini artırmaktadır.
Google, son zamanlarda bu kötü amaçlı yazılımın yayılma yöntemiyle ve diğer üçüncü taraf APK dosyaları aktif bir şekilde mücadele etmekte ve Google Play Protect tarama ve izin kontrolü gibi önlemleri uygulamaktadır.
Şu anki XLoader’a dönüldüğünde, kurbanları kandırmak ve akıllı telefonun ek izinlerine erişim sağlamak amacıyla kötü amaçlı yazılım, kendini Google Chrome olarak gizler ve kullanıcılara spam önleme amacıyla kendisini ana SMS uygulaması olarak kurmalarını önerir.
Kötü amaçlı yazılım hemen hemen birçok ülke için uyarlanmış durumda ve daha inandırıcı görünmesi için pop-up mesajlarında çeşitli diller kullanmaktadır.
Yukarıda belirtilen özelliklere ek olarak, yeni XLoader’ın kurulumdan sonra otomatik olarak başlatılma özelliği bulunmaktadır. Yani, uygulamayı cihaza yüklemenin sahibi için ölümcül hale gelmesi demektir, çünkü kötü amaçlı yazılım kendisini otomatik olarak başlatır ve kötü niyetli faaliyetlerine başlar. Diğer çoğu kötü amaçlı yazılımın aksine, diğerlerini enfekte etmek için manuel olarak başlatılması gerekmez.
McAfee, yukarıda belirtilen özelliklerin yanı sıra, XLoader’ın en yeni varyantları, kullanıcı ile minimum etkileşim gerektirdiği için özellikle etkili olabileceği konusunda uyarıyor.
Android’deki kötü amaçlı yazılımlardan korunmak için, resmi olmayan kaynaklardan uygulama yüklemekten kaçınılmalı, SMS mesajlarındaki URL’leri (tanıdık gönderenlerden bile olsa) açılmamalı ve uygulamaların istediği izinlere dikkatlice bakılmalıdır. Ayrıca, yalnızca güvenilir geliştiriciler tarafından geliştirilenleri kullanmak ve yüklenen uygulama sayısını sınırlamak da önerilmektedir.
Caller ID Spoofing Nedir ve Sahte Aramalara Karşı Nasıl Korunabiliriz?
Caller ID spoofing, internet tabanlı teknolojilerin gelişmesiyle daha kolay erişilebilir hale gelen ve özellikle dolandırıcılık, kimlik hırsızlığı gibi yasa dışı faaliyetlerde kullanılan bir yöntemdir. Bu yazıda, caller ID spoofing’in ne olduğunu, teknik detaylarını ve bu tür sahte aramalara karşı nasıl koruma sağlayabileceğimizi detaylı bir şekilde ele alacağız.
Caller ID spoofing, bir saldırganın telefon sistemini manipüle ederek, aradığı kişinin telefonunda görünen numarayı veya ismi değiştirme işlemidir. Bu sayede, güvenilir bir kişi veya kurumdan arandığınızı düşünebilirsiniz. Bu yöntem, sosyal mühendislik teknikleriyle birleştirildiğinde, kullanıcıları yanıltmak ve hassas bilgileri ele geçirmek için oldukça etkili bir araç haline gelir. Caller ID spoofing, yani aramayı yapanın kimliğini taklit etme, günümüzde sıkça karşılaştığımız ve oldukça tehlikeli bir siber saldırı yöntemidir. Bu yöntemde, saldırganlar aradıkları kişinin telefonunda görünen numarayı veya ismi değiştirerek, güvenilir bir kişi veya kurumdan arıyormuş gibi bir izlenim yaratırlar. Bu durum, hem kişisel bilgilerin çalınmasına hem de dolandırıcılığa zemin hazırlar. Bu yöntemle arayan kişi, karşı tarafın telefon ekranında güvenilir bir numara veya bilinen bir kurumun ismi görünecek şekilde bir düzenleme yapar. Örneğin, bir dolandırıcı, hedef telefonda bir banka numarası veya devlet kurumu gibi gözükecek bir arama yaparak güven kazanır ve bu güveni kullanarak hassas bilgiler talep eder. Bu tür dolandırıcılık saldırıları, fidye taleplerinden kimlik hırsızlığına kadar geniş bir yelpazede kötü niyetli amaçlar için kullanılmaktadır.
Caller ID spoofing genellikle VoIP (Voice Over Internet Protocol) üzerinden yapılır. Bu yöntem, IP tabanlı telefon sistemleriyle çalıştığından, arayan kişinin kimliğini gizlemesine veya değiştirmesine olanak tanır. Spoofing işlemi sırasında, arayanın cihazı, alıcıya gerçek olmayan bir Caller ID gönderir. Bu Caller ID, hedefin telefonunda, dolandırıcının seçtiği herhangi bir numara veya isim olarak görüntülenir.
Caller ID spoofing işlemi teknik olarak birkaç adımdan oluşur:
Bazı popüler caller ID spoofing servisleri şu şekilde sıralanabilir:
Ayrıca, Telegram üzerinden erişilebilen bazı botlar da bu tür hizmetleri sağlamakta ve dolandırıcıların kimlik değiştirme sürecini daha erişilebilir kılmaktadır.
Caller ID spoofing, sadece dolandırıcılık amaçlı değil, aynı zamanda bazı kötü niyetli faaliyetlerde ve sosyal mühendislik saldırılarında da kullanılmaktadır. İşte bazı yaygın kullanım alanları:
Caller ID spoofing ile mücadelede kullanılan en etkili yöntemlerden biri STIR/SHAKEN protokolüdür. Bu protokol, arayan kimliğini doğrulamayı amaçlayan dijital imzalar kullanarak çalışır. STIR/SHAKEN, “Secure Telephone Identity Revisited” ve “Signature-based Handling of Asserted information using Tokens” kelimelerinin kısaltmasıdır. Bu protokol, her çağrının gerçek kimlik bilgileriyle ilişkili olup olmadığını doğrular ve sahte aramaları ayıklayarak alıcının cihazına uyarı gönderir.
STIR/SHAKEN’in Çalışma Mekanizması:
STIR/SHAKEN, ABD ve Kanada gibi bazı ülkelerde aktif olarak kullanılmaktadır ve bu ülkelerde caller ID spoofing’in etkilerini büyük ölçüde azaltmaktadır. Ancak, bu protokol henüz tüm dünyada yaygın olarak uygulanmamaktadır.
Caller ID spoofing’e karşı korunmak için bireysel ve kurumsal olarak alınabilecek bazı adımlar bulunmaktadır. Dikkat edilmesi gereken bazı temel koruma yöntemleri:
Caller ID spoofing, dijital çağda güvenliği tehdit eden önemli sorunlardan biridir ve kolay erişilebilir olması nedeniyle hızla yaygınlaşmaktadır. STIR/SHAKEN gibi protokollerin daha geniş bir coğrafyada uygulanması, caller ID spoofing’in olumsuz etkilerini azaltmak için önemli bir adımdır. Ancak, bireylerin ve kurumların bilinçlenmesi ve gerekli tedbirleri alması da sahte aramalara karşı korunmada hayati öneme sahiptir.
Caller ID spoofing’in teknik detaylarını ve korunma yollarını öğrenmek, bu tür saldırılara karşı hazırlıklı olmanızı sağlar. Özellikle kişisel bilgilerinizi korumak ve bu tür dolandırıcılık faaliyetlerinden uzak durmak için bilinçli davranarak çevrenizdeki insanlarla bu bilgileri paylaşmanız, toplumsal güvenliği artırmak adına önemli bir adım olacaktır.
Mobil cihazlarda parola koruması, dijital verilerin güvenliğini sağlamak için kullanılan kritik bir güvenlik önlemidir. Matematiksel algoritmalar kullanılarak bilgiler şifrelenir ve bu sayede yetkisiz erişimlere karşı koruma sağlanır. Cep telefonları, kişisel ve hassas bilgilerin bulunduğu cihazlar olduğu için bu verilerin güvenliği büyük önem taşır.
AES, cep telefonları gibi cihazlarda genellikle kullanılan simetrik şifreleme algoritmalarından biridir. Bu algoritma, aynı anahtarın hem şifreleme hem de şifre çözme işlemlerinde kullanılmasına dayanır. Mobil cihazlarda kullanıcı verilerini korumak için genellikle AES algoritması tercih edilir. Veri şifreleme ve çözme süreçlerinde yüksek hız ve güvenlik sağlamak amacıyla kullanıcı tarafından belirlenen bir anahtar kullanılır.
Cep telefonlarındaki şifreleme yöntemleri arasında yer alan bir diğer önemli algoritma ise RSA’dır. RSA, açık anahtarlı bir şifreleme sistemidir. Bu sistemde her kullanıcı, bir çift anahtar oluşturur: açık anahtar (public key) ve özel anahtar (private key). Açık anahtar, veriyi şifrelemek için kullanılırken, özel anahtar, şifrelenmiş veriyi çözmek için kullanılır. Bu yöntem, güvenli iletişimde ve dijital imzalarda sıklıkla kullanılır.
Cep telefonlarındaki şifreleme yöntemleri, kullanıcı verilerini korumak ve yetkisiz erişimlere karşı önlem almak için gelişmiş matematiksel algoritmaları içerir. Simetrik şifreleme (AES) ve açık anahtarlı şifreleme (RSA) gibi yöntemler, kullanıcı bilgilerini güvenli bir şekilde koruyarak gizliliği sağlar. Bu teknik güvenlik önlemleri, dijital dünyada kişisel ve hassas bilgilerin güvenliğini temin etmek adına kritik bir rol oynar.
Cep telefonlarındaki parola ve desen kilidi güvenlik önlemleri, kullanıcıların cihazlarına sadece yetkili erişim sağlamak ve kişisel bilgilerini korumak amacıyla tasarlanmış kritik güvenlik katmanlarıdır. Aşağıda, parola ve desen kilidi güvenliği ile ilgili daha fazla teknik detay verilmiştir:
Güçlü parolalar, cihazlardaki verilerin korunması için temel bir önlemdir. Güvenli parolalar genellikle uzun, karmaşık ve öngörülemeyen karakter dizilerinden oluşur. Bununla birlikte, modern şifreleme algoritmaları, brute-force saldırılarına karşı dirençli olacak şekilde tasarlanmıştır.
Parola Karmaşıklığı: Güçlü parolaların karmaşıklığı, büyük ve küçük harfleri, sayıları ve özel karakterleri içermeleriyle artar. Ayrıca, belirli bir süre sonra değiştirilmesi önerilen parola politikaları da güvenliği sağlamak adına kullanılabilir.
Tek Kullanımlık Parolalar (OTP): Daha ileri seviye güvenlik için, tek kullanımlık parolalar (OTP) kullanılabilir. OTP’ler, her oturumda veya belirli bir süre zarfında geçerli olan tek kullanımlık kodlardır. Bu, hesap güvenliğini artırır, çünkü bir saldırganın geçmişte ele geçirdiği parolayı kullanma olasılığını azaltır.
Desen kilidi, kullanıcıların cihazlarına bir desen çizerek erişim sağlamalarını sağlayan bir güvenlik yöntemidir. Ancak, desen kilidinin karmaşıklığı, güvenlik seviyesini belirleyen önemli bir faktördür.
Karmaşık Desenler: Güvenli desen kilidinin karmaşıklığı, desenin çizildiği noktaların sayısı ve sıralaması ile belirlenir. Karmaşık ve öngörülemeyen desenler, güvenlik seviyesini artırır ve brute-force saldırılarına karşı dayanıklılığı sağlar.
Biyometrik Tanıma: Cihazlardaki gelişmiş güvenlikte biyometrik tanıma sistemleri de kullanılır. Parmak izi ve yüz tanıma gibi özellikler, kullanıcının fiziksel özelliklerini kullanarak güvenlik seviyesini artırır.
Parola atlatma, adli bilişim ve veri kurtarma çalışmalarında kritik rol oynayan teknik bir beceridir. Veri kurtarma laboratuarlarının, adli bilişim laboratuarlarının ve kolluk kuvvetlerinin şifrelenmiş cihazlardaki verilere erişme sürecini içerir. Bu süreç, DrDisk Lab’ın uzman ekipleri tarafından yürütülmektedir ve veri kurtarma ve adli bilişim çalışmalarında kritik öneme sahip bir aşamadır. Aşağıda, parola atlatma ve olay incelemesinin teknik detaylarına dair bilgiler bulunmaktadır:
Parola Atlatma Teknikleri:
1- Brute-Force Saldırıları:
2- Saldırı Vektörleri ve Zayıflıkların Analizi:
3- Kriptoanalitik Yöntemler:
Olay İncelemesindeki Önemi:
1- Dijital Delillerin Elde Edilmesi:
2- Vaka Mahallindeki Diğer Delillerle Entegrasyon:
Parola atlatma, adli bilişimdeki gelişmiş tekniklerle birleştiğinde kritik bir öneme sahip olur. Gelişmiş algoritmalar ve teknik yöntemler, cihazlardaki şifreleri çözmek ve kullanıcılara erişimlerini geri kazanmalarına yardımcı olmak için kullanılır. Bu, özellikle cihazlardaki verilerin güvenliğini sağlamak adına önemli bir hizmet sunmaktadır.
rola atlatması veya parola kırma işlemi gerçekleştirilebilen cihazların listesine erişmek için
Avrupa Birliği’nin kolluk kuvvetleri ajansı olan Europol, Europol Platform for Experts (EPE) portalında veri sızıntısı gerçekleştiğini doğruladı ve tehdit aktörünün “For Official Use Only (FOUO)” yani Resmi Kullanıma Mahsus belgeler ve gizli veriler içeren belgeleri çaldığını iddia etmesinin ardından soruşturma başlattı.
EPE, kolluk kuvvetleri uzmanlarının “suçla ilgili bilgi, en iyi uygulamalar ve kişisel olmayan verileri paylaşmak” için kullandığı bir çevrimiçi platformdur.
Europol, BleepingComputer’a yaptığı açıklamada, “Europol olayın farkındadır ve durumu değerlendirmektedir. İlk adımlar zaten atıldı. Olay, kapalı bir kullanıcı grubu olan Europol Platform for Experts (EPE) ile ilgilidir.” dedi.
“Bu EPE uygulamasında hiçbir operasyonel bilgi işlenmemektedir. Europol’ün çekirdek sistemleri etkilenmedi ve dolayısıyla Europol’den hiçbir operasyonel veri tehlikeye atılmadı.” açıklaması yapıldı.
BleepingComputer ayrıca, veri ihlalinin ne zaman gerçekleştiğini ve tehdit aktörünün iddia ettiği gibi FOUO ve gizli belgelerin çalınıp çalınmadığını sordu, ancak henüz bir cevap alınamadı.
Politico’nun Mart ayında bildirdiği gibi, Europol’ün İcra Direktörü Catherine De Bolle ve diğer üst düzey yetkililerin basılı personel kayıtları da Eylül 2023’ten önce sızdırılmıştı.
18 Eylül tarihli ve dahili bir mesaj panosu sisteminde paylaşılan bir notta, “06.09.2023 tarihinde Europol Müdürlüğü, birkaç Europol personelinin kişisel kağıt dosyalarının kaybolduğu konusunda bilgilendirildi.” ifadeleri yer aldı.
“Europol’ün kolluk kuvveti otoritesi olarak personel üyelerinin kişisel dosyalarının kaybolması ciddi bir güvenlik ve kişisel veri ihlali olayı teşkil etmektedir.” denildi.
Yayınlandığı sırada EPE web sitesi kullanılamıyordu ve bir mesajda hizmet bakımda olduğu için kullanılamadığı belirtildi.
Veri ihlali iddialarının arkasındaki tehdit aktörü olan IntelBroker, dosyaları FOUO olarak tanımlıyor ve gizli veriler içeriyor.
Tehdit aktörü, çalındığı iddia edilen verilerin ittifak çalışanları hakkında bilgiler, FOUO kaynak kodu, PDF’ler ve keşif ve yönergeler için belgeler içerdiğini söylüyor.
Ayrıca, dünyanın dört bir yanından 6.000’den fazla yetkili siber suç uzmanına ev sahipliği yapan ve EPE portalındaki topluluklardan biri olan EC3 SPACE’e (Güvenli Platform Yetkili Siber Suç Uzmanları İçin) erişim sağladıklarını iddia ediyorlar. Bunlar:
IntelBroker ayrıca, AB üye devletleri, Birleşik Krallık, Eurojust ile işbirliği anlaşması olan ülkeler ve Avrupa Kamu Savcılığı (EPPO) dahil olmak üzere 47 ülkeden adli ve kolluk kuvvetleri tarafından kullanılan SIRIUS platformunu hacklediğini iddia ediyor.
SIRIUS, cezai soruşturmalar ve işlemler çerçevesinde sınır ötesi elektronik delillere erişmek için kullanılır.
IntelBroker, EPE’nin çevrimiçi kullanıcı arayüzünün ekran görüntülerini sızdırmanın yanı sıra, iddia edilen 9.128 kayıt içeren bir EC3 SPACE veritabanının küçük bir örneğini de sızdırdı. Örnek, EC3 SPACE topluluğuna erişimi olan kolluk kuvvetleri ajanları ve siber suç uzmanlarının kişisel bilgilerine benziyor.
Tehdit aktörü, bir hacker forumunda Cuma günü yaptığı paylaşımda, “FİYAT: Teklif gönderin. SADECE XMR [Monero kripto para birimi]. Bir temas noktası için forumlarda bana mesaj gönderin. Ödeme gücü kanıtı gereklidir. Sadece itibarlı üyelere satıyorum.” dedi.
Avrupa Birliği’nin kolluk kuvvetleri ajansı olan Europol’ün Europol Platform for Experts (EPE) portalında veri sızıntısı olduğu iddiaları, siber güvenlik dünyasında endişelere yol açtı. Tehdit aktörünün iddialarına göre, sızdırılan bilgiler arasında “For Official Use Only” (FOUO) yani Resmi Kullanıma Mahsus belgeler ve gizli veriler de yer alıyor.
Sızıntının Boyutu ve Etkileri:
Europol’ün Tepkisi:
Europol, sızıntıyı doğruladı ve durumu değerlendirdiklerini açıkladı. İlk adımların atıldığını ve sızıntının EPE’nin kapalı bir kullanıcı grubu ile sınırlı olduğunu vurguladılar.
Ancak, sızdırılan verilerin içeriği veya operasyonel verilerin etkilenip etkilenmediği ile ilgili net bir açıklama yapılmadı. Bu durum, sızıntının boyutunun ve potansiyel etkilerinin tam olarak anlaşılamamasına yol açıyor.
Siber Güvenlik Endişeleri:
Bu veri sızıntısı, siber güvenlik açısından ciddi endişelere yol açıyor. Sızdırılan verilerin içeriği ve kapsamı netleşmese de, FOUO belgeler ve gizli bilgilerin tehlikeye atılması, Avrupa’daki siber güvenliği ve ulusal güvenliği önemli ölçüde tehdit ediyor.
Sızdırılan verilerin istismar edilmesi, siber saldırılarda artışa, hassas bilgilerin açığa çıkmasına ve hatta uluslararası ilişkilerin bozulmasına yol açabilir.
Kaynak :
“Apple, silinen fotoğraflar gizlice arşivleniyor mu?” sorusu bu gün sosyal medyada en çok sorulan sorulardan biri oldu. Apple’ın iOS 17.5 güncellemesiyle ortaya çıkan, silinen fotoğrafların geri gelme sorunu, kullanıcıların özel verilerinin gizliliğini tehlikeye atan ciddi bir skandala dönüştü. Bu olay, dijital çağda mahremiyet kavramının güvenliğini sorgulatıyor.
Etki Alanı: Yüzlerce iPhone kullanıcısının yıllar önce sildiği fotoğrafların, arama kayıtlarının, mesajların ve daha bir çok şeyin güncelleme sonrası cihazlarına geri döndüğünü fark etmesi, sorunun geniş bir kullanıcı kitlesini etkilediğini gösteriyor.
Gizlilik İhlali: Kullanıcıların bilgisi ve izni olmadan fotoğraflarının saklanması, açık bir gizlilik ihlalidir. Apple’ın bu tür bir uygulamaya imza atması, etik açıdan sorgulanabilir ve kullanıcıların güvenini zedelemektedir.
Veri Güvenliği Sorunları: Silinen fotoğrafların gizlice arşivlenmesi, veri güvenliği açısından da endişe vericidir. Bu fotoğraflar siber saldırılara veya yetkisiz erişimlere maruz kalabilir, bu da kullanıcıların mahremiyetini daha da riske atabilir. Apple’ın bu uygulamayı neden gerçekleştirdiği tam olarak bilinmiyor. Reklamlar için veri toplama, “dijital hafıza” oluşturma gibi farklı teoriler mevcut. Ancak, Apple’ın bu konuda net bir açıklama yapmaması, gizli bir ajandasının varlığına dair şüpheleri artırıyor.
Öfke ve Endişe: Sosyal medyada Apple’a tepkiler çığ gibi büyüyor. Kullanıcılar, bu gizlilik ihlaline karşı öfkeli ve endişeli. Apple’a olan güveni sarsan bu durum, kullanıcıları rakip markalara yönlendirme potansiyeli taşıyor.
Bazı kullanıcılar, Apple ürünlerini boykot etmeye ve alternatif çözümlere yönelmeye çağrıda bulunuyor. Bu durum, Apple’ın satışlarını ve pazar payını olumsuz etkileyebilir. Bazı kullanıcılar ise, Apple aleyhine yasal işlem başlatmayı değerlendiriyor. Bu durum, Apple’a maddi ve manevi tazminat yükümlülüğü getirebilir.
Apple’ın İtibar Kaybı: Bu skandal, Apple’ın itibarına büyük bir darbe vurabilir ve kullanıcıların markaya olan güvenini zedeleyecektir. Apple, kullanıcıların verilerini korumadaki zafiyeti nedeniyle yasal yaptırımlarla karşı karşıya kalabilir. Bu olay, kullanıcıların veri güvenliği konusunda daha bilinçli olmalarına ve hangi bilgilere izin verdiklerine daha fazla dikkat etmelerine yol açacaktır.
Apple’ın silinen fotoğrafları gizlice arşivleme uygulaması, kullanıcıların mahremiyetini tehdit eden ve dijital çağda güvenlik kavramını sorgulatan bir skandala dönüştü. Apple’ın bu konuda acil bir açıklama yapması ve kullanıcıların endişelerini gidermesi gerekiyor. Aksi takdirde, bu skandal Apple’ın itibarına ve geleceğine büyük zarar verecektir.
Silinen Fotoğrafları Geri Yüklemesi: Apple, kullanıcılarına silinen fotoğrafları geri yüklenebilmesinin arkasında yatan gerçeği ve bu işlemin nasıl gerçekleştiğine dair detaylı bilgi vermesi gerekir.
Dijital mahremiyetin korunmasına yönelik yasal düzenlemeler ve yaptırımlar gözden geçirilmeli ve güçlendirilmelidir.
Bu skandal, dijital çağda mahremiyetin ne kadar önemli olduğunu bir kez daha gösteriyor. Kullanıcıların, verilerini kimin topladığını, nasıl kullandığını ve ne için sakladığını bilme hakkı vardır. Apple ve diğer teknoloji şirketleri, kullanıcıların güvenini yeniden kazanmak için somut adımlar atmak zorundadır.
Eski ismiyle Raid forums olarak bilinen ve FBI tarafından yapılan operasyonlar sonucu çökertildikten sonra farklı isimlerde yasadışı faaliyetlerine devam eden illegal paylaşım platformunda, önde gelen teknoloji şirketlerinden Dell’in 49 milyon müşteri kaydını içerdiği iddia edilen bir veri tabanının satıldığı ortaya çıktı. İddia edilen veriler, 2017 ve 2024 yılları arasında Dell’den satın alınan sistemlere ait bilgileri kapsayan kapsamlı bir müşteri bilgileri deposunu içermektedir.
Dell sunucularında kayıtlı güncel bilgiler olduğu iddia edilen veriler, tam adlar, adresler, şehirler, iller, posta kodları, ülkeler, sistemlerin benzersiz 7 haneli servis etiketleri, sistem sevkiyat tarihleri (garanti başlangıcı), garanti planları, seri numaraları (monitörler için), Dell müşteri numaraları ve Dell sipariş numaraları gibi hayati kişisel ve şirket bilgilerini içeriyor. Özellikle, siber saldırgan bu verilerin tek sahibi olduğunu iddia ederek ihlalin ciddiyetinin altını çiziyor.
İddialara göre şaşırtıcı sayıdaki kayıtlar arasında yaklaşık 7 milyon satır bireysel/kişisel satın alımlarla ilgiliyken, 11 milyonu tüketici segmentindeki şirketlere ait. Bunların haricinde kalan ise verilere ilişkin iddialar ise kurumsal, ortak, okul veya tanımlanamayan kuruluşlarla ait olduğu yönündedir . Ayrıca, siber saldırgan veri tabanında en fazla sistemin temsil edildiği ilk beş ülkeyi ABD, Çin, Hindistan, Avustralya ve Kanada şeklinde sıralamaktadır.
Bu veri sızıntısı, Dell müşterilerinin bilgilerinin güvenliği ve gizliliğine ilişkin önemli endişeleri artırmakta ve potansiyel riskleri azaltmak ve daha fazla yetkisiz erişimi önlemek için acil tedbirler alınmasını gündeme getirmektedir.
Dell, 2017 ile 2024 yılları arasında satın alınan sistemlere ait olduğu iddia edilen 49 milyon müşteri kaydını içeren bir veri tabanının tehdit aktörleri tarafından satışa sunulduğu iddiasıyla karşı karşıya. Bu ciddi güvenlik ihlali, müşterilerin kişisel ve şirket bilgilerini büyük bir riske atmaktadır.
Sızdırılan Veriler: İhlal edilen veriler arasında tam adlar, adresler, iletişim bilgileri, sistem bilgileri, garanti detayları ve sipariş numaraları gibi hassas bilgiler bulunmaktadır. Bu bilgiler, kimlik hırsızlığı, dolandırıcılık ve hedefli saldırılar gibi kötü amaçlı faaliyetler için kullanılabilir.
Hedef Kitle: İhlal, hem bireysel müşterileri hem de çeşitli sektörlerden şirketleri etkilemektedir. Özellikle ABD, Çin, Hindistan, Avustralya ve Kanada’daki müşterilerin verilerinin daha fazla risk altında olduğu belirtilmektedir.
Bu olay, veri güvenliğinin önemini bir kez daha gözler önüne sermektedir. Şirketlerin, müşteri verilerini korumak için güçlü güvenlik önlemleri alması ve olası ihlallere karşı hazırlıklı olması gerekmektedir.
Dell tarafındna yapılması gerekenler bu şekildeyken verileri ihlal edilmiş olabilecek kişi ve kurumlar açısından ise yapılması gerekenleri şu şekilde sıralayabiliriz.
Müşteriler:
Dell’in yaşadığı veri ihlali, Avrupa Birliği Genel Veri Koruma Tüzüğü (GDPR) ve diğer ülkelerdeki genel veri koruma mevzuatı açısından ciddi sonuçlar doğurabilir.
Veri Sorumlusunun Sorumlulukları: GDPR, veri sorumlularına kişisel verilerin korunması konusunda önemli yükümlülükler getirir. Dell, bu ihlalden etkilenen bireylerin kişisel verilerini işlediği için GDPR kapsamında veri sorumlusu olarak kabul edilir. Bu nedenle, Dell’in veri güvenliği konusunda gerekli tüm teknik ve idari önlemleri aldığını kanıtlaması beklenir.
İhlal Bildirimi: GDPR, veri ihlallerinin yetkili veri koruma kurumlarına ve etkilenen bireylere bildirilmesini zorunlu kılar. Dell’in, ihlali tespit ettikten sonraki 72 saat içinde ilgili kurumlara bildirim yapması gerekmektedir. Ayrıca, etkilenen bireyleri de makul bir süre içinde bilgilendirmekle yükümlüdür.
Veri Koruma Etki Değerlendirmesi (DPIA): GDPR, yüksek riskli kişisel veri işleme faaliyetleri için DPIA yapılmasını şart koşar. Dell’in, bu ihlalden önce böyle bir değerlendirme yapıp yapmadığı ve riskleri yeterince değerlendirip değerlendirmediği incelenmelidir.
İdari Para Cezaları: GDPR, ihlallerin ciddiyetine bağlı olarak veri sorumlularına yüksek idari para cezaları uygulayabilir. Dell’in, bu ihlal nedeniyle GDPR’nin 4. maddesinde belirtilen azami ciro üzerinden %4’e kadar veya 20 milyon Euro’ya kadar para cezasıyla karşı karşıya kalması mümkündür.
Diğer Ülkelerdeki Mevzuat: GDPR’nin yanı sıra, Dell’in faaliyet gösterdiği diğer ülkelerdeki veri koruma mevzuatı da dikkate alınmalıdır. Bu mevzuatlar, GDPR’den farklı hükümler içerebilir ve farklı yaptırımlar öngörebilir.
Sınıf Davaları: Etkilenen bireyler, Dell’e karşı toplu tazminat davaları açabilirler. Bu davalar, Dell’in itibarını zedeleyebilir ve maddi kayıplara yol açabilir.