Bilgi Güvenliği

Haftalık Siber Güvenlik Tehdit Raporu 25 Ağustos 2017

00mcs

Veri ihlali, NHS idari bilgilerini etkiliyor

Hacktivist kolektif Anonim’e bağlı bir kişi, Birleşik Krallık NHS hasta verilerini çaldığını iddia ediyor. Saldırgan, bir dizi hastane randevu rezervasyon sistemini yönetmekten sorumlu bir satıcı olan SwiftQueue tarafından sağlanan yazılımdaki düzeltilmemiş güvenlik açıklarından yararlandığını iddia ediyor.

SwiftQueue, 32501 idari veri satırına yetkisiz bir kişinin eriştiğini doğruladı. Bu, büyük olasılıkla kişilere isimler, telefon numaraları ve e-posta adresleri de dahil olmak üzere kişisel olarak tanımlanabilir bilgileri (PII) içermektedir. Sistemde herhangi bir tıbbi bilgi bulunmamasına rağmen, ihlalin az miktarda daha hassas kişisel verilere maruz kalması mümkün olduğu kabul ediliyor.

Üçüncü taraflar büyük veri setlerini bir araya getirmek ve depolamakla sorumlu olduklarında, cezai faaliyet için cazip bir hedef haline gelirler. Bu öncelikli olarak, tek bir saldırıda çalınabilen büyük miktarda veriden kaynaklanmaktadır. Üçüncü taraflar daha önce İngiltere endüstrisi genelinde bu şekilde hedef alınmıştır. Üçüncü tarafların siber güvenlik uygulamalarıyla ilgili ön inceleme yapması yani sızma testleri yaptırması gerekmektedir. Bu tip saldırıları önlemek adına düzenli sızma testleri yaptırmakta fayda vardır.

Bu olay, dolandırıcılık önleme servisinden Cifas’ın bulgularıyla bu yılın ilk altı ayında bildirilen 89.000 kişilik kimlik dolandırıcılığı vakası ile çakıştı. Kimlik sahtekarlığı tipik olarak, para çalmak, eşyalar satın almak veya kredi almak için sahte birisi gibi davranan suçluları içerir. Bunun gibi veri ihlalleri, sahtekâr faaliyette bulunmak için bireylerin kişisel bilgilerini öğrenen dolandırıcıların suç işlemesini kolaylaştırıyor.

BT erişimlerini eski çalışanlardan kaldırma

500 US BT karar vericisinin OneLogin araştırmacıları tarafından Temmuz 2017’de yapılan bir anket, eski çalışanların BT erişimlerini kaldırma süreçleri hakkında karşılaşılan bulguları açıkladı.

Katılımcıların neredeyse yarısı, ayrıldıktan sonra kurumsal hesaplara erişimi tutan eski çalışanların farkındaydı ve katılımcıların %25’i  çalışanlar ayrıldıktan sonra bir haftadan fazla aktif kaldı. En önemlisi, davaların dörtte birinde hesap sahipleri hesapların ne kadar süreyle faal kaldıklarını bilmiyorlardı.

Daha önce, ABD’den, rahatsız edici eski çalışanlara aksilik yaratmak için ayrıcalıklardan istifade eden kamuya açıklanan örnekler hakkında yazdık. 2014’te eski bir sistem yöneticisi ABD’de bir kağıt imalat şirketine Endüstriyel Kontrol Sistemlerini (ICS) etkilemek için ağ erişimlerini kullanarak 1,1 milyon dolar zarar verdi. Ayrıca, eski bir mühendis, birkaç ABD su  şirketinde sayaç okuma cihazını devre dışı bırakmak için kurumsal yazılım kullandı. Bu tür erişimler kaldırılmış olsaydı, bu tür bir hasar önlenmiş olurdu.

Eski çalışanların daha önceden meşru erişimlere sahip olmaları, siber suçlular ya da devletler gibi içeriden insanları işe almak isteyen tehdit aktörlerine de fırsat yaratabilir. Bu yılın başlarında yayınlanan bir çalışma, siber suçluların içerdekileri işe almak için darknet yada deep web’i kullanma çabalarının arttığını belirtti.

Sonuç olarak ortaya çıkan bir veri ihlalinin maliyeti önemli olabilir ve iyileştirme maliyetleri, para cezaları veya ticari etkileri içerebilir. Dahası, erişimlerin ICS gibi operasyonel teknoloji sistemleriyle ilgili olduğu durumlarda, üretim üzerinde potansiyel güvenlik konularının yanı sıra daha fazla maliyet getiren bir etki olabilir.

Yukarıda belirtilen çalışma ve örnekler ABD’den gelmektedir, ancak İngiliz ve Türk şirketlerinin de aynı zorluklarla karşılaşması muhtemeldir. NCSC, kullanıcı ayrıcalıklarının yönetimi hakkında rehberlik eder .

Exploit kit piyasasında düşüş

Ağustos ayı ortasında, yeni bir exploit kiti için yapılan reklamlar, Rusça dilinde hack forumlarında görüldü. Exploit kiti ‘Kibirim’ olarak bilinir ve belirli bir süre için bir ücret karşılığında kiraya verilir, örneğin ayda 1.400 dolar. Mart 2017’de sızdırılan Sundown / BEPS kullanım protokolünden kaynaklanan açık kaynak kodun yeniden canlandırılması gibi görünmüştü. Disdain’in reklamında bahsedilen istismarların tamamı, çoğunlukla eski tarayıcı ve Adobe Flash saldırılarından ibarettir ve bunların hepsinin yamaları mevcuttur. Disdain’in kendini siber suçlular için etkili bir seçenek olarak kullanabileceği de kesin değil.

Bununla birlikte, 2016 yılında Angler’ın kullanımdan kaldırılmasından bu yana çok az sayıda yeni exploit kiti bulunan Exploit Kit pazarında önemli bir düşüş olduğu göz önüne alındığında, Disdain’in hiç görülmediği halen dikkat çekiyor. Sundown ve Neutrino gibi diğer istismar kitleri Faaliyeti bıraktı veya durdurdu.

Bir dizi faktör, sömürme paketlerinin çökmesine katkıda bulunmuş olabilir. Örneğin, uygun tarayıcı istismarlarının kullanılabilirliği azalmıştır. Kullanım istasyonlarının başlıca hedefi olan Adobe Flash, 2020’ye kadar ömrünü dolduracak ve Chrome, Firefox ve Edge gibi tarayıcılar zaten eklenti desteğini en aza indirmek için harekete geçmişlerdi. Bu, istismar kitlerinin, mağdur makinelerden ödün vermek için etkili bir yöntem olmayı sürdürmesini zorlaştırırken, aynı zamanda bir exploit kiti çalıştırmanın kârlılığını da etkiliyor.

Ayrıca, sömürme kitleri siber suçlular için güçlü bir araç olarak kalmaya devam etmekte ve özellikle de güvenlik güncelleştirmeleri düzenli olarak uygulanmadığı takdirde bir tehdit oluşturmaktadır.

 

Ukrayna Merkez Bankası yeni malware tehdidi konusunda uyarıda bulundu

18 Ağustos’ta Ukrayna merkez bankası, kamuya ait ve özel kredi verenlere yeni bir malware yayması konusunda anlatım yapan belgelerinin e-posta eklerini açarak bilgi verdi. Banka, zararlı yazılım özelliklerinin ayrıntılarını ve uzlaşma göstergelerini paylaştı ve olası enfeksiyonu önlemek için bankalara yerinde ihtiyati tedbirler uygulamaya çağırdı. Kötü amaçlı yazılım, herhangi bir anti-virüs sistemi tarafından tespit edilmemişti, yani bankalar ve diğer kurumlar tam olarak düzeltilmemişse, saldırıya açık hale gelebilirdi.

Bu yeni tehdit, Ukraynalı kuruluşların 27 Haziran’daki NotPetya saldırısının etkilerinden kurtuldukları ve Ukrayna merkezli şirketlerin ve işletmelerin çoğunun çok uluslu şirketler ağları vasıtasıyla Ukrayna’nın ötesine geçmesinden önce geldiği bir zamanda geliyor. NotPetya’da olduğu gibi, bu zararlı yazılım, dolaylı olarak, herhangi bir İngiltere kurumunu Ukrayna’daki varlığı etkilemesi veya kötü amaçlı yazılımın bağlı ağlar vasıtasıyla İngiltere ve diğer ülkelere yayılması potansiyeline sahiptir. Kiev merkez bankası, Ukrayna bankacılık sektörünün savunmasını iyileştirmek için hükümet destekli Bilgisayar Acil Müdahale Ekibi (CERT) ve polisle sıkı bir şekilde çalışıyor olmasına rağmen, bu yeni zararlı yazılımın görünümü, siberin gözden geçirilmesi ve yükseltilmesi konusundaki sürekli bir hatırlatma yada sürekli gelişen bir tehdide karşı savunma yöntemidir.

Siber Güvenlik Bilgi Paylaşımı Ortaklığı (CiSP), tehdit bilgisi hakkında daha fazla şey öğrenmenin yanı sıra endüstri ve devlet muadilleri ile etkileşim kurmanın harika bir yoludur.

Türk ve Türk’i cumhuriyetler başta olmak üzere, stratejik ortaklığımız olan bir çok devlet ile CISP benzeri bir yapının oluşturulduğunu belirtmekte fayda var. Özellikle, kamu sektörüne ağırlıklı hizmet veren bazı özel şirketlerin de en kısa zamanda Five Eyes’a hizmet eden hazır teknolojileri kullanmaktan vazgeçip, ulusal güvenliğimiz için çabalamalarını da temenni ediyoruz…

Tags : haftalık tehdit raporusiber tehdit raporu
Burak Bozkurtlar

The author Burak Bozkurtlar

Siber Güvenilir Türkiye

Leave a Response