BiZ’den Haberler YapıKredi’nin SOC Merkezi Oluyoruz!

NO. 07 • Nisan 2016 Editör: Özge ÇELİK

socKoçSistem

KoçSistem Security Operation Center www.kocsistem.com.tr

2016 Mart Ayında Kayıtlara Geçen Ataklar

Güvenlik Açıkları Yönetim Hizmeti

MART AYINA AİT KRİTİK AÇIKLAR

KİME KARŞI KORUNMAKGEREKİR?

DROWN (Decrypting RSA with Obsolete and Weakened eNcryption), HTTPS, internet güvenliği için gerekli bazı kriptografik protokol-leri ve SSL ve TLS’ye dayanan diğer servisleri et-kileyen ciddi bir güvenlik açığıdır. Bu protokoller herkese internette gezinti, e-posta kullanımı, online alışveriş ve 3. parti kişilerden bağımsız anlık mesaj gönderme gibi imkanlar sağlamaktadır.

DROWN, saldırganlara şifrelemeyi kırma, parola, kredi kart numaraları, ticaret sırları veya finansal veriler dahil olmak üzere hassas verileri içeren iletişimleri okuma veya çalma imkanlarını sağlar. Ölçümler, HTTPS sunucularının %33’ünün atak riski taşıdığını göstermektedir.

Peki saldırganların kazancı ne?KKomünikasyon, sunucu ile kullanıcı arasında gerçekleşir. Bu iletişim, tipik olarak kullanıcı adı, parola, kredi kartı numaraları, e-posta adresleri, anlık mesajlar ve hassas dokümanlar içerse de sadece bunlarla sınırlı değildir. Bazı yaygın senaryoları düşünecek olursak, saldırganlar güvenli bir web sitesi kimliğine de bürünebilir ve kullanıcıkullanıcı görünümünü ve içeriğini durdurabilir veya değiştirebilir.

Kimler risk altında?Web siteleri, mail sunucuları ve diğer TLS ser-visleri DROWN atak riski altında ve birçok popüler site ( https://goo.gl/qiu0PR ) etkilendi bile. İnternette geniş çaplı tarama gerçekleştirilen sitelerin güvenirliklerine bakıldığında ise aşağıdaki yüzdeler elde edilmiştir.

Savunmasız sunucuların operatörleri bazı aksiyonları almak durumundalar. Tarayıcıların veya son kullanıcıların bu saldırıya karşı kendile-rini korumak için yapabileceği bir şey yok.

Siteniz savunmasız mı?Modern sunucu ve clientlar TLS şifreleme proto-kolü kullanmaktadır. Ancak yanlış yapılandırmalar nedeniyle, çoğu sunucu hala 1990’lı yıllarda TLS için kullanılan SSLv2 destek- lemektedir. SSLv2, up-to-date clientlarınca kullanılmadığından beri bu destekleme, uygula-malarda önemli olmadı. Bu nedenle, SSLv2 her ne kadar güvensiz bilinse de şimdiye kadar bir güvenlik problemi olarak düşünülmedi, çünkü clientlar tarafından kullanılmıyor.

DROWN, SSLv2’yi modern sunucu ve clientlar için tehdit olarak göstermektedir. Bu durum saldırganların up-to-date clientlar ve sunucu arasındaki modern TLS bağlantının decrypt et-mesine izin vermektedir.

“Güvenlik Açıklarınız Saldırıya Dönüşmeden Önleminizi Alın” https://drownattack.com/

izin veren herhangi sunucu yazılımlarında kullanılmadığından emin olması gerekmektedir. Bu web, SMTP, IMAP ve POP sunucularını ve diğer SSL/TLS destekleyen yazılımları içerebilir. SSSSLv2’yi devre dışı bırakmak karmaşık ve özel sunucu yazılımlarına bağlı olabilir. Birkaç yaygın kullanılan ürün için aşağıdaki açıklamaları dik-kate alabilirsiniz:

OpenSSLOpenSSL, çoğu sunucu ürününde kullanılan kriptografik bir kütüphanedir. OpenSSL’in kullanıcıları için en kolay ve önerilen çözüm OpenSSL’in son sürümüne yükseltilmesidir.OpenSSLOpenSSL 1.0.2 kullanıcıları, 1.0.2g’ye; OpenSSL 1.0.1 kullanıcıları ise 1.0.1s’e yükseltmelidir. Daha eski versiyonları kullananlar da bu versiyonlar-dan birine yükseltmelidir.Detaylı bilgi için: https://goo.gl/ZnyMuF

Microsoft IIS (Windows Server) *10 Mart’ta güncellendiSSL 2.0, sunucu kullanımı için varsayılan olarak etkin bırakılır. Detaylı bilgi için: https://goo.gl/Xh5M9c ; https://goo.gl/rBO89G

Network Security Services (NSS)NSS,NSS, çoğu sunucu ürününde yerleşik olarak bu-lunan yaygın bir kriptografik kütüphanedir. NSS 3.13 ve üzeri sürümlerinde SSLv2 varsayılan olarak devre dışı olmalıdır. Daha eski sürümleri kullananlar son sürüme yükseltmelidir. Ayrıca özel şifrenizin başka yerde olup olmadığını kont-rol etmenizi tavsiye ederiz.

Aşağıdaki durumlar geçerliyse sunucunuz DROWN’a karşı savunmasız olabilir:

-- Eğer SSLv2 bağlantısına izin veriliyorsa ve bu bağlantı yanlış yapılandırma veya uygunsuz varsayılan ayarlar nedeniyle aşırı derecede yaygınsa sunucu DROWN’a karşı savunmasız olabilir. Veriler, HTTPS sunucularının %17’sinin hala SSLv2 bağlantısına izin verdiğini göster- mektedir.

-- Özel şifre, SSLv2 bağlantısına izin veren diğer sunucular hatta başka protokoller için kullanılıyorsa risklidir. Örneğin çoğu şirket, web ve e-posta sunucularında aynı sertifika ve şifreyi yeniden kullanmaktadır. Bu durumda, e-posta sunucusu SSLv2 destekliyorsa ve web sunucusu desteklemiyorsa saldırgan, web sunucusunun TLSTLS bağlantılarını kırmak için e-posta sunucu-sundan yararlanabilir. Hesabı yeniden kullanmak için şifre alındığında HTTPS sunucusu extradan %16 savunmasız hale gelerek %33 risk altında kalır.

Sunucunuzu nasıl korursunuz?Sunucuyu DROWN’a karşı korumak için sunucu operatölerinin, özel şifrelerin SSLv2 bağlantısına

“IBM X-Force Interactive Security Incidents” http://goo.gl/Yxgc5

W-2 verileri vergi kaçakçılığı ve diğer kimlik hırsızlığı için kullanılabilir.

Amerika’da bir anda geçersiz olan IOS uygulamasının veritabanının hala çevrimiçi olduğu ve yanlış yapılandırıldığı tespit edildi ve kamu yaklaşık 200.000 kullanıcının kişisel verile-rine erişim sağladı.

16 Mart 2016Amerika’da bir Payday Lending şirketi çalışanlarının W-2 verilerinin çalınmasıyla sonuçlanan phishing saldırısının hedefi oldu. Çalınan W-2 verileri vergi kaçakçılığı ve diğer kimlik hırsızlığı için kullanılabilir.

17 Mart 2016KanadaKanada’da bir kumarhane, çalışan ve müşterilerin verilerinin yetkisiz kişilerce ortaya çıkarıldığı bir "sofistike saldırının" kurbanı olduğunu bildirdi.AmerikaAmerika’da korsanlar gemi gümrük bildirimleri, taşıma senedi, GPS koordinatları sağlayan bir gemicilik firmasında CMS sistemini ihlal etmiş, milyon dolarlar değerinde elmas ve değerli kargoları içeren yarım düzine gemi kaçırılmıştır.

18 Mart 2016İsviçİsviçre demiryoluna ait web sitesine yapılan DDoS saldırısı sonucu siteye erişim birkaç saat kesilmiştir.

Amerika’da bir Kentucky hastanesi, bazı sunucularının birkaç gün boyunca elektronik kayıtlara erişimi engelleyen Ramsomware mal-ware etkisi altında kalması üzerine kendi içinde

1 Mart 2016AmerikaAmerika’da bir veri depolama şirketi, mevcut durumda ve geçmişteki binlerce çalışanının W-2 verilerinin çalınmasıyla sonuçlanan phishing saldırısının hedefi oldu. Çalınan W-2 verileri vergi kaçakçılığı ve diğer kimlik hırsızlığı için kullanılabilir.

8 Mart 2016NebraskaNebraska’daki ayak bakım kliniğinin açıklamasına göre göre, bazı hastalara ait PII verileri 3. Parti Electric Medical Records (EMR) satıcılarındaki veri ihlaline maruz kaldı ve 5883 veri sızdırıldı.

11 Mart 2016AmerikaAmerika’da anti-DDoS hizmeti sağlayan bir ISP, müşterileri için servis kesintilerine neden olabi- lecek geniş çaplı bir DDoS saldırısının hedefi oldu. Şirket iyi bilinen bir ırksal nefret grubuna hizmet sağladığından dolayı hacktivistler tarafından hedef alındı.

15 Mart 2016AmerikaAmerika’da birkaç yüksek profilli haber ve eğlence sitesinin milyonlarca masum ziyaretçile-rine kötü amaçlı reklamlar aracılığıyla endpoint sistemlerde malware yüklemek için Adobe Flash, Microsoft Silverlight ve diğer tarayıcı eklentile-rinin güvenlik açıklarından yararlanan Angler Ex-ploit Kit yüklenmiştir.

ABD’nin en büyük otopark şirketlerinden birinin mevcut durumda ve geçmişteki binlerce çalışanının W-2 verilerinin çalınmasıyla sonuçla-nan phishing saldırısının hedefi oldu. Çalınan

“IBM X-Force Interactive Security Incidents” http://goo.gl/Yxgc5

acil durum ilan etmiş ve sonrasında sistemler re-store edilerek yeniden çevrimiçi hale getirilmiştir.

Bir İsviçreli siyasi partinin veritabanı ihlal edilmiş ve destekçilerinin isim ve adres bilgilerini içeren 50.000 kişisel veri sızdırılmıştır.

21 Mart 2016Kanada’da eski bir CMS sistemi ile çalışan bir hastanenin websitesinin ziyaretçileri Angler Ex-ploit Kit ve Ransomware’e maruz kalmıştır.

23 Mart 2016Phoenix Arizona merkezli bir süpermarket zinciri çalışanlarının W-2 verilerinin çalınmasıyla sonuçlanan phishing saldırısının hedefi oldu. Çalınan W-2 verileri vergi kaçakçılığı ve diğer kimlik hırsızlığı için kullanılabilir.

24 Mart 2016AmerikaAmerika’da veri ihlallerini inceleyen iyi bilinen bir danışmanlık şirketi, müsterilerinin iletişim bil- gilerini içeren 1.500.000 verinin kaybıyla sonuçlanan bir güvenlik olayının kurbanı olmuştur. Şirket ihlalin kendi kurumsal müşteri portalı üzerinde bir web sitesindeki güvenlik açığı sonucu olduğunu açıkladı.

ABDABD FBI, saldırganların Fortune 500 şirketleri ve Wall Street bankalarına vekalet eden avukatlık firmalarının kurumsal casusluk ve iç ticaret için derlediği hassas verileri sızdırmayı hedeflediğini raporlamıştır.

25 Mart 2016MaMaryland’da bir restoranıntta iç sunucu, dosyaların kilidini açmak için $10,000 fidye iste-nen bir ransomware etkisi altında kalmıştır. FBI, restorantın o gün dış ülkelerdeki saldırganlar tarafından hedeflenen 8 işletmeden biri olduğunu bildirdi. Sahibi ödemeyi reddederek sunucu sıfırdan tekrar kuruldu.

Popüler bir Avusturalyalı seri ilan sitesi zi-yaretçilerine kötü amaçlı reklam yayınlandığını keşfetmişti. Saldırganlar reklam dolaşımında olan süreyi arttırmak için birçok hileye başvurmuşlardır.

28 Mart 2016Filipinlerdeki hackerlar, ülkenin elektronik seçim web sitesinden 300 GB’ın üzerinde seçmen verisi yayınlamıştır.

Tayland hükümeti web sitesinden isim, adres ve ülkedeki binlerce gurbetçinin pasaport bilgilerini içeren şahsi veriler yanlışlıkla kısa bir süre için yayınlandı.

MaMaryland’det geniş bir sağlık ağında malware nedenli aksamalar işleyişi bozmuş ve elektrome-dikal kayıtlara erişimi birkaç günlüğüne

30 Mart 2016Amerika’da popüler bir web forum yazılımı satan şirket, yetkisiz 3. Parti kişilerin sunucuya eriştiğini keşfettikten sonra kendi müşterilerinin web sitesinde karşı karşıya kaldığında tüm kullanıcı şifrelerini sıfırlamıştır.

CVE-2016-0800SummaSummary: The SSLv2 protocol, as used in OpenSSL before 1.0.1s and 1.0.2 before 1.0.2g and other products, requires a server to send a ServerVerify message before establishing that a client possesses certain plaintext RSA data, which makes it easier for remote attackers to decrypt TLS ciphertext data by leveraging a BleichenBleichenbacher RSA padding oracle, aka a "DROWN" attack.Published: 3/1/2016 3:59:00 PMCVSS Severity: v3 - 5.9 MEDIUM v2 - 4.3 MEDIUM

Özet: Sunucuların, plaintext RSA veriye sahip olan istemci ile iletişim kurmadan önce ServerVerify mesajı göndermesi gerekmektedir. Bu olay da uzak saldırganların şifreli metin ver-ilerinin şifresini çözmesini kolaylaştırmaktadir. Buna DROWN (Decrypting RSA using Obsolete and Weakened eNcryption) atak denmektedir. DDrown güvenlik zafiyeti ile SSLv2 yi destekleyen sunucularda SSL şifresi ele geçirilebilmektedir.Çözüm:SSLv3 ya da TLS(versiyon 1.0-1.2)'e yük-seltilmesi önerilmektedir.

Detaylı bilgi için: https://drownattack.com/https://access.redhat.com/security/vulnerabilities/drown

CVE-2016-0114SummaSummary: Microsoft Internet Explorer 11 allows remote attackers to execute arbitrary code or cause a denial of service (memory corruption) via a crafted web site, aka "Internet Explorer Memory Corruption Vulnerability," a different vulnerability than CVE-2016-0102, CVE-2016-0103, CVE-2016-0106, CVE-2016-0108, and CVE-2016-0109Published: 3/9/2016 6:59:23 AMCVSS Severity: v3 - 7.5 HIGH v2 - 7.6 HIGH

Özet: Microsoft Internet Explorer 11, uzak saldırganların gelişigüzel kod çalıştırmalarına ya da web sitesi üzerinden denial of service(memory corruption) 'a olanak sağlamaktadır.

Detaylı bilgi için: https://technet.microsoft.com/library/security/ms16-023

BUNU BİLİBUNU BİLİYOR MUYDUNUZ?

Hackerlar, yeni çıkan bir güvenlik açığını içinde bulunduran sunucuların neredeyse yarısına, açık çıktıktan sonraki ilk dört haftada ulaşırlarken bir sene sonunda %99,9’una ulaşmış oluyorlar.

“National Vulnerability Database” https://goo.gl/ZtmN76

Güvenlik açıkları yönetim hizmeti, müşteri sistemlerinde oluşan güvenlik açıklarının be-lirlenmesi, raporlanması ve kapatma yöntem-lerinin açıklanmasını kapsar. Müşterinin KoçSistem Bulut yapısı içerisinde yer alan ya da kendi yerleşkesindeki sistem ve bilgisayarları, alınan hizmet şekli doğrultusunda, en geç aylık olarak taranır ve raporlanır. Bu taramalar net-work cihazları açıklıkları, işletim sistemleri yapılandırma açıklıkları, kullanılan işletim sistemi ve uygulamalara ait eksik yamalar, alındığı tak-dirde web uygulamalarına ait açıklıklar başta olmak üzere gerçekleştirilir. Taramalar sistemler üzerine hiç bir kurulum gerektirmeden yapılmaktadır.

Hizmet alımı sırasında verilecek olan özellikler hizmet alımı sırasında belirlenen hizmet pa- ketine göre yapılır. Bu hizmet kapsamında müşterinin varlıklarının yönetimi, bu varlıkların güvenlik açıklıklarının belirlenmesi, Teknik, BT Yöneticisi ya da Üst Yönetim gibi farklı bakış açılarına sahip kişilere farklı raporlarının çıkarılması,çıkarılması, yapılan çalışmaların analiz raporu, yapılan belirli tarihlerdeki taramaların karşılaştırılması, belirlenen açıkları kapatmakla yükümlü kişilere çağrı açılması, Windows sunucuların çalışan servislerinin sürekli kontrolü, planlı taramalar oluşturmak, istenilen tarzda tarama profili oluşturulması, ağa dahil edilen ya dada ağdan çıkarılan bilgisayarların belirlenmesi işlemleri yapılmaktadır.

Hizmet donanım ve yazılım seviyesinde paylaşımlı, veri seviyesinde ise müşteri özeldir. Her bir müşteri, kendi başına bir ağ olarak alındığından, paylaşımlı ortamdan hizmeti tercih etmeyen müşteriler için, ayrı bir yapı yaratılarak, müşteriye özel politika ve objelerin ve logların saklanabileceği bir yönetim seçeneği sunulabi- lecelecektir.

Hizmet kapsamında sağlanan Güvenlik Açıkları Tarama Yazılımları’nın bakımları, müşteri için devreye alınması, yönetimi ve aylık raporlaması KoçSistem tarafından gerçekleştirilir.

Yapı Kredi’nin SOC Merkezi Oluyoruz

TTürkiye finans sektörünün iki güçlü ve köklü kurumu olan Yapı ve Kredi Bankası A.Ş. ve Koçbank A.Ş.'nin güçlerini, tecrübelerini ve kaynaklarını bir araya getirerek daha iyisini sunmak için yarattığı birliktelikle yeni oluşumunu 2006 yılında tamamlayan Yapı Kredi, bugün her iki kurumun tarihini ve ortak değerlerinideğerlerini içeren bir finans devi haline gelmiştir. Sadece finans sektöründe değil, gerçekleştirdiği sosyal sorumluluk projeleri, kültür ve sanata verdiği önem ile birlikte Türkiye’nin en büyük bankaları arasında yer alan Yapı Kredi Bankası’nın SOC merkezi oluyoruz.

Giderek artan siber olaylar nedeniyle daha da önem kazanan güvenlik konusu, özellikle finans sektörünün gündeminde oldukça büyük yer kaplıyor.

Güvenliği ileri seviyede tutmak adına Yapı Kredi Bankası ile 7x24 güvenlik izleme ihtiyaçları hizmet alım görüşmelerinin sonuna başarılı bir şekilde ulaşmış bulunuyoruz.

KKoçSistem ileri seviye SOC hizmeti sağlayacak olduğumuz YKB için 7x24 güvenlik izleme ve olay yönetimi hizmeti vereceğiz. Küresel istih-barat ve bilgi anlamında IBM ile işbirliği mod-elinde sağlanacak bu hizmet tipinde IBM Global SOC merkezlerinden de eş zamanlı olarak izleme sağlanıyor olacak.

Türkiye’de ilk olduğumuz SOC hizmetinde ulaştığımız 12. müşteri olan Yapı Kredi Bankası ile yürütülecek bu projenin KoçSistem için hayırlı olmasını dileriz.