23
1

İÇİNDEKİLER - ThinkTech...kritik altyapılara karşı gerçekleştirdiği karmaşık siber casusluk saldırılarından sorumlu olarak bilinmektedir. Energetic Bear olarak da bilinen

  • Upload
    others

  • View
    5

  • Download
    0

Embed Size (px)

Citation preview

Page 1: İÇİNDEKİLER - ThinkTech...kritik altyapılara karşı gerçekleştirdiği karmaşık siber casusluk saldırılarından sorumlu olarak bilinmektedir. Energetic Bear olarak da bilinen

1

Page 2: İÇİNDEKİLER - ThinkTech...kritik altyapılara karşı gerçekleştirdiği karmaşık siber casusluk saldırılarından sorumlu olarak bilinmektedir. Energetic Bear olarak da bilinen

İÇİNDEKİLERŞekil Listesi ............................................................................................................. 4

Giriş ......................................................................................................................... 5

Siber Saldırılar ........................................................................................................ 7Dragonfly’dan Enerji Sektörüne Saldırılar 7

Kritik Bir Bluetooth Saldırısı: BlueBorne ............................................................................... 8CCleaner’a Saldırı ........................................................................................................................ 9Bashware Saldırı Tekniği ............................................................................................................ 9WPA2 Protokolündeki Ciddi Güvenlik Zafiyeti (KRACK) ............................................... 10Bitcoin’de İlgi Çekici Gelişmeler .............................................................................................. 11PlayStation Sosyal Medya Hesapları Ele Geçirildi .............................................................. 12Dosya Paylaşım Sitelerine Ait Bir Risk Örneği: Pirate Bay .............................................. 13

Siber Casusluk/İstihbarat ....................................................................................... 14CopyKittens ................................................................................................................................... 14Kart Sahiplerine Çok Önemli Uyarı ......................................................................................... 15

Zararlı Yazılımlar ..................................................................................................... 15Yeni Bir Android Bankacılık Trojanı: Red Alert 2.0. ............................................................ 15Veri Hırsızı LeakerLocker ........................................................................................................... 16

Veri İhlallleri ............................................................................................................ 17ABD’yi Sarsan Equifax Veri Sızıntısı ....................................................................................... 17Milyonlarca Instagram Kullanıcısının Bilgileri Satışta ........................................................ 18

Dönem İnceleme Konusu ........................................................................................ 18İnsansız Hava Araçlarının Güvenliği ....................................................................................... 18

Page 3: İÇİNDEKİLER - ThinkTech...kritik altyapılara karşı gerçekleştirdiği karmaşık siber casusluk saldırılarından sorumlu olarak bilinmektedir. Energetic Bear olarak da bilinen

SORUMSUZLUK VE FİKRİ MÜLKİYET HAKKI BEYANI

İşbu eserde/internet sitesinde yer alan veriler/bilgiler ticari amaçlı olmayıp tamamen kamuyu bilgilendirmek amacıyla yayımlanan içeriklerdir. Bu eser/internet sitesinde bulunan veriler/bilgiler tavsiye, reklam ya da iş geliştirme amacına yönelik değildir. STM Savunma Teknolojileri Mühendislik ve Ticaret A.Ş. işbu eserde/internet sitesinde sunulan verilerin/bilgilerin içeriği, güncelliği ya da doğruluğu konusunda herhangi bir taahhüde girmemekte, kullanıcı veya üçüncü kişilerin bu eserde/internet sitesinde yer alan verilere/bilgilere dayanarak gerçekleştirecekleri eylemlerden ötürü sorumluluk kabul etmemektedir.

Bu eserde/internet sitesinde yer alan bilgilerin her türlü hakkı STM Savunma Teknolojileri Mühendislik ve Ticaret A.Ş.’ye ve/veya eserde atıf yapılan kişi ve kurumlara aittir. Yazılı izin olmaksızın eserde/internet sitesinde yer alan bilgi, yazı, ifadenin bir kısmı veya tamamı, herhangi bir ortamda hiçbir şekilde yayımlanamaz, çoğaltılamaz, işlenemez.

Page 4: İÇİNDEKİLER - ThinkTech...kritik altyapılara karşı gerçekleştirdiği karmaşık siber casusluk saldırılarından sorumlu olarak bilinmektedir. Energetic Bear olarak da bilinen

4

Şekil-1 DragonFly’ın Özellikle Hedef Aldığı Ülkeler ............................................................................. 7Şekil-2 LeakerLocker Bulaşma Diyagramı .............................................................................................. 17

Şekil Listesi

Page 5: İÇİNDEKİLER - ThinkTech...kritik altyapılara karşı gerçekleştirdiği karmaşık siber casusluk saldırılarından sorumlu olarak bilinmektedir. Energetic Bear olarak da bilinen

5

Birleşmiş Milletlerin bilgi ve iletişim alanındaki uzman ajansı olan Uluslararası Telekomünikasyon Birliği (ITU - International Telecommunication Union) 19 Temmuz 2017 tarihli Küresel Siber Güvenlik Endeksi’ni (GCI – The Global Cyber Security Index) yayımladı1. Bahse konu rapor, üye ülkeler arasında farkındalığı arttırmak amacıyla ülkelerin siber güvenliğe ilişkin durumunu hukuki, teknik, yapısal, kapasite geliştirme ve iş birliği yönleriyle ele alarak değerlendiriyor. Ülkemiz, 193 ülkenin değerlendirildiği raporda 43. sırada yer alıyor ve ülkelerin; başlangıç seviyesi, olgunlaşan ve lider olarak üç kategoriye ayrıldığı listede olgunlaşan ülkeler arasında bulunuyor. Bu durum bize ülkemizde siber güvenliğe yönelik çalışmaların başlatıldığını, belli bir mesafe alındığını ancak konuya daha fazla önem verilmesi gerektiğini gösteriyor.

Akamai firması tarafından internet güvenliğine yönelik hazırlanan en son raporda, genel toplama bakıldığında saldırıların boyutlarının azaldığı ancak önceki iki çeyrek dönemdeki düşüşten sonra Dağıtık Servis Dışı Bırakma (DDOS) saldırılarının 2017 ikinci çeyreğinde %28’lik bir artış gösterdiği belirtiliyor2. Saldırılarda Pbot zararlı yazılımının kullanıldığı mini DDoS botnetlerinin ön plana çıktığı, bunun etkisiyle daha önceki dönemlere nazaran daha az IP adresi kullanımının tespit edildiği ifade ediliyor. Raporda ülkemizin ön plana çıktığı husus ise DDoS saldırılarına kaynak ülkeler sıralamasında Mısır ve ABD’yi takiben üçüncü sırada yer alıyor olmamız. 2015 son çeyreği ve 2016 ilk çeyreğine ait raporların DDoS saldırılarına kaynak olan ülkeler sıralamasında da ilk 5 ülke arasında bulunan ülkemiz, son rapora kadar ilk sıralarda yer almıyordu.

Bir başka ilgi çekici bilgi de Black Hat USA 2017 etkinliğine katılanlar arasında yapılan anketin sonuçları3. Dünyanın önde gelen siber güvenlik etkinliklerinden olan Black Hat’in sonuçlarına ait kısa bir bilgilendirmenin, sektörün nabzını tutmak açısından önemli olduğunu değerlendiriyoruz. Araştırmaya katılan 580 bilgi teknolojisi profesyonelinin (%64’ü CISSP sertifikasına sahip);

- Üçte ikisi kendi kurum/kuruluşlarının gelecek 12 ay içerisinde büyük boyutlu bir güvenlik ihlâline karşı koymak zorunda kalacaklarını, %69’u bu tehdidi karşılayacak yeterli personele ve %58’i yeterli bütçeye sahip olmadıklarını söylüyor.

- %50’sine göre en önemli tehdit alanı oltalama ve sosyal mühendislik, %45’ine göre de kendi kurum/kuruluşlarına doğrudan yöneltilen karmaşık saldırılar.

- %36’sına göre fidye yazılımlarının kullanımındaki artış, siber güvenlik profesyonellerinin karşı karşıya olduğu en ciddi yeni tehdit.

Giriş

1 https://www.itu.int/dms_pub/itu-d/opb/str/D-STR-GCI.01-2017-R1-PDF-E.pdf2 https://www.akamai.com/de/de/multimedia/documents/state-of-the-internet/q2-2017-state-of-the-internet-security-report.pdf3 https://www.blackhat.com/docs/us-17/2017-Black-Hat-Attendee-Survey.pdf

Page 6: İÇİNDEKİLER - ThinkTech...kritik altyapılara karşı gerçekleştirdiği karmaşık siber casusluk saldırılarından sorumlu olarak bilinmektedir. Energetic Bear olarak da bilinen

6

Siber saldırıların boyutlarının nerelere kadar uzanabileceğine yönelik zaman zaman ilgi çekici haberlere şahit oluyoruz. Geçtiğimiz dönemde ABD Deniz Kuvvetlerine ait USS John S McCain savaş gemisi ile Liberya bandıralı bir tankerin Singapur açıklarında çarpışmasından sonra, ABD Deniz Kuvvetleri Komutanı’nın kaza kapsamında yapılan soruşturmada siber saldırı ihtimalinin de değerlendirilmesine yönelik direktif vermesi bu tür haberlere iyi bir örnek teşkil ediyor4. Medya kuruluşlarına konu hakkında açıklama yapan uzmanlar, geminin Malacca Boğazı'na girerken kazaya neden olan dümen arızası yaşadığını, bu aşamada gemi personelinin yedek dümen sistemini neden kullanamadığının bilinmediğini, çarpışmadan sonra dümen arızasının ortadan kalktığını ifade ediyorlar. Bu tür boğaz geçişleri, oluşturulan tam kadro seyir timleri ile yapıldığından dolayı bu olayda insan hatasından öte bir şeyler olduğu değerlendirmelerinde bulunuluyor. Konuya yönelik olarak her ne kadar ABD Deniz Kuvvetlerinde ticari GPS (Global Positioning System) kullanılmadığı ifade edilse de GPS ve AIS (Automatic Identification System) sistemlerindeki zafiyetler de tartışılıyor.

Benzer bir tehdit de günümüz modern otomobilleri ile ilgili. Otomobillerin hava yastığı, frenler, park sensörleri vb. güvenlik sistemleri de dâhil olmak üzere değişik bileşenlerinin, yerinde veya uzaktan erişimle saldırganlar tarafından devre dışı bırakılmasına yol açan açıklıklar tespit ediliyor. Bu konuda son çalışmalardan birisi Politecnico di Milano, Linklayer Labs ve Trend Micro’nun ortak çalışması sonucunda ortaya çıkarılan zafiyet5. Bu zafiyet modern otomobillerde aracın iç bileşenleri arasındaki haberleşmede kullanılan CAN (Controller Area Network) protokolünden kaynaklanıyor. Araştırmacılar otomobil üreticilerinin ağ güvenliğine yönelik alacakları karşı tedbirlerle zafiyeti azaltabileceklerini, tam çözüm için CAN standardının güncellenmesi, kabul edilmesi ve uygulanması gerektiğini, bunun da ancak gelecek kuşak otomobillere uygulanabileceğini ifade ediyorlar.

Kamu, üniversiteler ve özel sektörden siber güvenlik uzmanlarının katılımı, yarattığı farkındalık ve eğitici özellikleriyle Türkiye’nin en kapsamlı siber güvenlik etkinliği olma özelliğini taşıyan Capture The Flag (Bayrağı Yakala) Yarışması’nın üçüncüsünü 26 Ekim 2017 tarihinde Ankara’da gerçekleştireceğiz. Etkinliğimiz ile ilgili bilgilere https://ctf.stm.com.tr linkinden ulaşabilirsiniz.

Bu dönemin özel makale konusunu son dönemde önem kazanan ihtiyaçlardan yola çıkarak “İnsansız Hava Araçlarının Güvenliği” olarak belirledik ve konuya yönelik bir makale hazırladık. Makalemizi “Dönem İnceleme Konusu” başlığı altında raporumuzun sonunda bulabilirsiniz.

4 http://www.csoonline.com/article/3218724/security/navy-considering-possibility-of-cyberattack-after-another-ship-collision.html5 https://www.bleepingcomputer.com/news/security/unpatchable-flaw-affects-most-of-todays-modern-cars/

Page 7: İÇİNDEKİLER - ThinkTech...kritik altyapılara karşı gerçekleştirdiği karmaşık siber casusluk saldırılarından sorumlu olarak bilinmektedir. Energetic Bear olarak da bilinen

7

Dragonfly’dan Enerji Sektörüne Saldırılar

2011 yılından beri faaliyette olan siber korsan grubu Dragonfly, ABD ve Avrupa enerji sektöründeki firmaları hedef alarak tekrar ortaya çıktı. Doğu Avrupa kökenli olan bahse konu grup, geçtiğimiz yıllarda değişik ülkelerdeki enerji firmalarına ait kritik altyapılara karşı gerçekleştirdiği karmaşık siber casusluk saldırılarından sorumlu olarak bilinmektedir. Energetic Bear olarak da bilinen Dragonfly’ın 2011 yılında ABD ve Kanada’da savunma ve havacılık şirketlerini hedeflediği, 2013 yılının başlarından itibaren çabalarını ABD ve Avrupa enerji firmalarına yönelttiği biliniyor. 2014 yılında siber güvenlik firması Symantec uzmanları tarafından aralarında ülkemizin de bulunduğu ABD, İtalya, Fransa, İspanya, Almanya ve Polonya’daki organizasyonları hedef alan bir eylemi tespit edilmişti. Son dönemde ABD ve Avrupa’da enerji şirketlerine yöneldiği görülüyor6.

Grubun daha önceki saldırılarını tespit eden Symantec araştırmacıları 2015 yılı Aralık ayına kadar sessiz kalan grubun bu kez Dragonfly 2.0 adını verdikleri yeni bir siber operasyon konusunda uyarılarda bulunuyorlar. Bu defa grubun yapmaya karar verdiği takdirde potansiyel olarak bu tür sistemlerin sabote edilmesi veya kontrollerini ele geçirme kabiliyetine sahip olduğu ifade ediliyor.

Rus APT (Advanced Persistent Threat - Hedef Odaklı Saldırı) grupları ile ilişkilendirilen Ukrayna’daki 2015 ve 2016 yıllarında meydana gelen elektrik kesintileri, enerji sektörünün son iki yıldır devlet destekli siber saldırganlar tarafından öncelikli hedef haline geldiğini gösteriyor.

Araştırmacılar daha önceki Dragonfly saldırıları ile son dönemdekiler arasında çok benzerlikler bulunduğunu tespit etmiş durumdalar. Symantec’in konuyla ilgili raporunda grubun aktivitelerine ait vurgulanan belli başlı hususlar7:

- Grup, 2015 yılı sonlarından itibaren aktif faaliyet halinde ve daha önce gerçekleştirdiği saldırılarda kullandığı taktik ve araçları kullanıyor.

- Grubun temel amacı, arzu edildiğinde sabotaj operasyonlarını gerçekleştirecek şekilde istihbarat toplamak ve hedeflenen kurumun ağına erişim sağlamak.

- Grup öncelikli olarak ABD, Türkiye ve İsviçre’deki kritik enerji sektörünü hedef alıyor.

- Daha önceki Dragonfly saldırılarında olduğu gibi, saldırganlar enerji sektörüne yönelik özel içeriğe sahip zararlı e-postalar, suyun başı (watering hole) saldırıları ve kurbanlarının ağına erişim için ilk saldırı vektörü olarak trojan yerleştirilmiş yazılımları kullanıyorlar.

Şekil-1 DragonFly’ın Özellikle Hedef Aldığı Ülkeler

Siber Saldırılar

6 http://securityaffairs.co/wordpress/62782/hacking/dragonfly-2-0-campaigns.html7 https://thehackernews.com/2017/09/dragonfly-energy-hacking.html

Page 8: İÇİNDEKİLER - ThinkTech...kritik altyapılara karşı gerçekleştirdiği karmaşık siber casusluk saldırılarından sorumlu olarak bilinmektedir. Energetic Bear olarak da bilinen

8

- Grup, e-posta tabanlı saldırı gerçekleştirmek ve kurbanın kimlik bilgilerini çalmak için GitHub’ta bulunabilen “Phishery” adlı bir araç seti kullanıyor.

- Grubun herhangi bir sıfırıncı gün açığı kullandığına yönelik bilgi bulunmuyor, onun yerine tanınmayı zorlaştırmak için stratejik olarak PowerShell, PsExec ve Bitsadmin gibi halka açık yönetim araçları kullanıyor.

Daha önceki Dragonfly saldırılarının daha çok bir keşif evresi olduğu, Dragonfly’ın 2.0 saldırılarının ise tahrip amaçlı olduğuna dikkat çekiliyor.

Ülkemizde özellikle İstanbul ve Trakya bölgesinde yaşanan son geniş çaplı elektrik kesintileri ve ülkemiz çapında geçtiğimiz yıl yaşanan kesintilerin ana nedeninin de Dragonfly saldırıları ile ilişkili olduğu değerlendiriliyor8.

Kritik Bir Bluetooth Saldırısı: BlueBorne

Bir Nesnelerin İnterneti (Internet of Things – IoT) güvenlik firması olan Armis'in güvenlik araştırmacıları tarafından, Bluetooth protokolünde kısa mesafeli kablosuz iletişim teknolojisini kullanan Android, iOS, Windows ve Linux cihazlardan Nesnelerin İnterneti (IoT) cihazlarına kadar 5 milyardan fazla sayıda cihazı etkileyen 8 adet sıfırıncı gün zafiyeti tespit edildi9.

Akıllı telefonlar, akıllı televizyonlar, dizüstü bilgisayarlar, saatler hatta bazı otomobillerin ses sistemleri gibi Bluetooth özelliği olan hemen hemen tüm cihazlar bu saldırı tehdidi altında bulunuyor.

Saldırganların bahse konu zafiyetleri kullanan BlueBorne adı verilen saldırılar ile Bluetooth'u açık cihazların tam kontrolünü alabilecekleri, zararlı yazılım dağıtabilecekleri ve hatta ortadaki

adam (man-in-the-middle) bağlantısı ile kurbanın herhangi girdisine ihtiyaç duymadan cihazlardaki hassas verilere ve ağlara erişebilecekleri ifade ediliyor.

Bu tür bir saldırı için saldırganın ihtiyacı olan şey, kurbanının cihazının Bluetooth iletişiminin açık olması ve tabii ki cihaza yakın bulunulmasıdır. Başarılı bir istismar için, saldırıya açık cihazların saldırganın cihazıyla eşleştirilmesi bile gerekmemektedir.

BlueBorne saldırılarının geçtiğimiz aylarda dünya genelinde birçok şirket ve kuruluşa zarar veren WannaCry’a benzer şekilde yayılabileceğinden endişe ediliyor. Armis Laboratuvarları'nda gerçekleştirilen deneylerde, BlueBorne saldırıları ile botnet oluşturulabildiği ve fidye yazılımı kurulabildiği açıklandı. Bu da BlueBorne’un siber casusluk, veri hırsızlığı, fidye yazılımı ve geniş botnet oluşturma gibi her türlü kötü niyetli eyleme hizmet edebileceğini gösteriyor.

BlueBorne saldırısına yol açabilecek zafiyetlerin; Google, Apple, Microsoft, Samsung ve Linux Vakfı gibi zafiyetlerden en çok etkilenecek belli başlı firmalara açıklanmış olduğu belirtiliyor.

Google ve Microsoft’un hâlihazırda güvenlik yamalarını yayımladıkları, 10.x’in altıdaki iOS, 6.x’in altındaki Android cihazlarının ve Linux kullanan milyonlarca akıllı Bluetooth cihazının BlueBorne saldırılarına açık oldukları ifade ediliyor.

Risk altında bulunan cihaz kullanıcılarının, üretici firmaların yayımladıkları/yayımlayacakları güvenlik yamalarını takip ederek yüklemeleri ve cihazlarının Bluetooth özelliklerini kullanmadıkları zamanlarda kapatmaları tavsiye ediliyor.

8 http://www.webtekno.com/turkiye-de-de-yasanan-yaygin-elektrik-kesintilerinin-ardindan-dragonfly-adli-hacker-grubu-cikti-h33316.html9 http://thehackernews.com/2017/09/blueborne-bluetooth-hacking.html?utm_source=feedburner&utm_medium=feed&utm_campaign=Feed%3A+TheHackersNews+%28The+Hackers+News+-+Security+Blog%29&_m=3n.009a.1578.gh0ao08pqk.y67

Page 9: İÇİNDEKİLER - ThinkTech...kritik altyapılara karşı gerçekleştirdiği karmaşık siber casusluk saldırılarından sorumlu olarak bilinmektedir. Energetic Bear olarak da bilinen

9

CCleaner’a Saldırı

CCleaner, geçtiğimiz Temmuz ayında güvenlik yazılım firması Avast tarafından satın alınan, Piriform firması tarafından geliştirilen ve en çok kullanılan sistem temizleme yazılımlarından bir tanesidir. Piriform‘un 18 Eylül 2017 tarihinde yaptığı açıklamada 12 Eylül 2017 tarihinde CCleaner’in Windows-32 bit sistemler üzerinde çalışan 5.33.6162 ve 1.07.3191 (bulut sürümü) sürümlerine yönelik şüpheli bir aktivite tespit edildiği açıklandı. Yapılan detaylı analizde; bahse konu sürümlerin kullanıcılara sunulmadan önce illegal olarak değiştirildiğinin anlaşıldığı, soruşturmanın devam ettiği, etkilenen sunucunun devre dışı bırakıldığı ifade edildi10.

15 Ağustos ile 12 Eylül 2017 tarihleri arasında CCleaner yazılımını yeni indiren veya güncelleme yapan kullanıcılar risk altında bulunuyor.

CCleaner.exe’nin yetkisiz olarak değiştirilmesi, etkilediği sistemlere karşı bir adresten alınan iki safhalı bir arka kapı zararlı yazılımı yerleştirilmesi ile neticeleniyor.

Güvenlik firmaları Morphisec ve Cisco güvenlik araştırmacılarının tespitlerine göre zararlı yazılım 700 binden fazla bilgisayarı etkilemiş (Avast’ın olaya ilişkin ilk değerlendirmesi 2,27 milyon bilgisayarın etkilendiği yönünde) durumda. Bahse konu olayın arkasında olan siber saldırganların amaçlarının sadece çok miktarda bilgisayara zararlı yazılım bulaştırmak değil en az 18 teknoloji firmasının ağlarına erişim sağlayarak hedeflenmiş endüstriyel casusluk olduğuna inanılıyor11. Bu firmalar arasında Intel, Google, Microsoft, Akamai, Samsung, Sony,

VMware, HTC, Linksys, D-Link ve Cisco gibi firmalar bulunuyor.

Saldırının gerçek boyutlarının analiz tamamlandığında ortaya çıkacağını belirten uzmanlar, son dönemde etkili olan yazılım tedarik zinciri (supply-chain) saldırılarının bir yenisi ile karşı karşıya olunduğunun şimdiden söylenebileceğini ifade ediyorlar. Hatırlanacağı üzere benzer bir olay, yaklaşık iki ay önce Ukrayna’da küçük ama güvenilir bir firmanın meşru olduğuna inanılan bir yazılımının güncellemesinin yüklenmesi ile başlayan Not Petya saldırısında yaşanmıştı.

Saldırıdan etkilenen kullanıcıların, istismara uğramamaları için CCleaner yazılımının sürümünü 5.34 veya daha yeni olacak şekilde güncellemeleri tavsiye ediliyor ve bulut sürümü kullananlar için otomatik güncelleme yapıldığı ifade ediliyor.

Bashware Saldırı Tekniği

Tüm Windows tabanlı güvenlik çözümlerini geçebilmek amacıyla, Windows 10 işletim sisteminin Subsystem for Linux (WSL) özelliğini istismar eden yeni bir saldırı tekniği keşfedildi. Microsoft, WSL’i Windows 10 işletim sistemi içerisinde Linux komut ekranı çalıştırmanın bir yolu olarak 2016 yılında duyurmuştu.

Check Point güvenlik firması araştırmacıları tarafından Eylül 2017 ayı içerisinde yayımlanan raporda bahse konu saldırı tekniği ile ilgili bilgiler veriliyor12. Araştırmacılar, yeni nesil anti-virüs

10 https://www.piriform.com/news/blog/2017/9/18/security-notification-for-ccleaner-v5336162-and-ccleaner-cloud-v1073191-for-32-bit-windows-users11 https://www.wired.com/story/ccleaner-malware-targeted-tech-firms/12 https://research.checkpoint.com/beware-bashware-new-method-malware-bypass-security-solutions/

Page 10: İÇİNDEKİLER - ThinkTech...kritik altyapılara karşı gerçekleştirdiği karmaşık siber casusluk saldırılarından sorumlu olarak bilinmektedir. Energetic Bear olarak da bilinen

10

çözümleri, denetim yazılımları, anti-ransomware çözümleri de dâhil olmak üzere bu tür saldırıları tespit edemiyor. Bunun sebebi olarak mevcut güvenlik çözümlerinin Linux ve Windows sistemlerinin aynı anda çalışmasını sağlayan hibrid konsept dâhilinde Windows işletim sisteminde Linux komutlarının çalışmasını sağlayan proseslere henüz uyarlanmamış olması gösteriliyor. Bu durum zararlı yazılımlarını tespit edilmeden çalıştırmak isteyen siber saldırganlara bir kapı açıyor ve WSL tarafından sağlanan özellikleri kullanarak güvenlik ürünlerinin tespitinden kaçınmalarını sağlıyor.

Bashware nedeniyle, hâlihazırda dünya üzerinde Windows 10 işletim sistemi çalıştıran yaklaşık 400 milyon bilgisayar risk altında bulunuyor. Her ne kadar Bashware kullanımı için saldırganların yönetici yetkisine sahip olması gerekse de, günümüzde siber suçlardaki artışlara bağlı olarak motive olmuş bir saldırganın oltalama saldırıları ve/veya çalınmış bilgiler vasıtasıyla yönetici yetkileri kazanmasının artık o kadar da zor olmadığı bir gerçek olarak belirtiliyor13.

Şu aşamada güvenlik firmalarının ürünlerini bahse konu yeni tehdide yönelik geliştirmeleri ve kullanıcıların da buna bağlı olarak yayımlanacak güvenlik yamalarını takip ederek sistemlerini güncellemeleri önem arz ediyor.

WPA2 Protokolündeki Ciddi Güvenlik Zafiyeti (KRACK)

KU Leuven (Belçika) Üniversitesinden güvenlik araştırmacısı Mathy Vanhoef tarafından 16 Ekim 2017 tarihinde kablosuz haberleşme protokolü Wi-Fi Protected Access (WPA2) ile ilgili bir dizi açıklığın detayları yayımlandı14. WPA2 protokolü, istemciler (dizüstü bilgisayar, cep telefonları vb.) ve kablosuz erişim noktası (modem, Access Point) arasındaki güvenli haberleşmeyi sağlıyor. Bulunan zafiyetler saldırganlar tarafından şifreli verilerin okunmasına ve hatta zararlı kodların haberimiz olmadan ağ trafiğine enjekte edilebilmesine kadar varabilen ciddi sonuçlara yol açabiliyor. Evimizde kullandığımız modemlerden, cafe vb. dış ortamlardaki internet noktaları ve hatta kurumsal ortamlardaki kablosuz erişim noktalarına kadar hemen hemen her yerde kullanılan bir protokol

olma özelliğinden dolayı açıklanan zafiyetlerin ciddi sonuçlara yol açabileceğini düşünüyoruz.

Araştırmacılar tarafından zafiyete verilen isim (KRACK – Key Reinstallation AttaCK) aslında zafiyetin bir özeti şeklinde. WPA2 protokolünün aktif olduğu kablosuz ağa katılırken istemci ve erişim noktası arasındaki haberleşmenin güvenliğini sağlayacak parametreleri belirlemek maksadıyla 4'lü bir el sıkışma (4-way handshake) gerçekleşir. El sıkışma protokolünün üçüncü adımında istemci tarafından haberleşmenin güvenliğini sağlayacak oturum anahtarı yüklenir ve dördüncü adım olarak erişim noktasına anahtarı yüklediğini belirten bir paket yollanır. Erişim noktası bu paketi almazsa üçüncü adımı tekrarlayacaktır. Araştırmacılar tarafından burada istemci-erişim noktası haberleşmesinde araya girerek (MITM saldırıları) erişim noktasının bu paketi almasını engelleyip daha önce kullanılan bir anahtarın ve tekil kullanılması gereken (nonce) değerlerin tekrar yüklenebileceğini gösterilmiş durumda.

IOS ve Microsoft Windows ürünleri tekrar anahtar yüklemeye izin vermediklerinden dolayı en kötü senaryodan etkilenmiyor gözüküyor, ancak Android

13 http://www.ibtimes.co.uk/what-bashware-nearly-400-million-pcs-risk-new-attack-method-that-could-hide-any-malware-163904414 https://www.krackattacks.com/

Page 11: İÇİNDEKİLER - ThinkTech...kritik altyapılara karşı gerçekleştirdiği karmaşık siber casusluk saldırılarından sorumlu olarak bilinmektedir. Energetic Bear olarak da bilinen

11

6.0, bazı Linux, macOS ve OpenBSD sürümleri bu senaryodan etkileniyor. Android 6.0'da durum o kadar vahim ki cihazlara tüm bitleri “0” olan bir oturum anahtarı yüklenebiliyor ve bundan sonraki tüm şifreli trafik, saldırgan tarafından çözülebiliyor. İstemci tarafında etkilenen işletim sistemi sürümlerini ve hangi saldırı türünden etkilendiklerini aşağıdaki tabloda bulabilirsiniz. En tehlikeli saldırıların sondan bir önceki sütunda (4-way) verilen ve yukarıda kısaca değindiğimiz 4’lü el sıkışmaya yapılan saldırılar olduğunu tekrar hatırlatalım.

Zafiyetten WPA2-PSK, WPA2-Enterprise, 820.1x(EAP) gibi ev ve kurumsal ortamlarda kullanılan tüm kablosuz erişim protokolleri etkileniyor. CERT tarafından yayımlanan bildiride15, 28 Ağustos 2017 tarihinde zafiyetten etkilenen firmaları hâlihazırda bilgilendirdikleri gözüküyor. Microsoft yayımladığı bültende16, zafiyeti gideren güncellemeleri yayımladığını duyurdu. Apple ise beta sürümlerde zafiyeti giderdiğini duyurdu17. Cisco vb. üretici firmaların da güncellemeler üzerinde çalıştığı biliniyor18.

Sonuç olarak bu açıklığı kullanarak kablosuz ağın parolası çalınamasa da oturum anahtarına

müdahale ile şifreli verilerin okunabilmesi ve manipülasyonu mümkün hale geliyor. WPA2 veri güvenliğini sağlayan tek protokol değil. Daha üst katmanlarda kullandığımız HTTPS, SSH benzeri güvenli protokoller zafiyetten etkilenmemizi sağlayabilecektir. Dolayısıyla gerekli güncellemeleri uygulayana kadar;

- FTP, HTTP ve kurumsal ortamlardaki dosya paylaşımı (SMBv1-2) gibi güvensiz iletişim sağlayan protokoller kablosuz bağlantı ile kullanılmamalıdır.

- Kredi kartı, parola vb. hassas verilerin adres çubuğundan güvenli ibaresi görülmeden girilmemesi gerekir.

- Kurumsal ortamlarda dosya paylaşılırken SMBv3 destekleniyorsa güvenli iletim seçeneği aktiflenmelidir.

- Saldırının gerçekleşebilmesi için sahte bir erişim noktası açılıp asıl cihazın MAC adresinin klonlanması gerekeceğinden kurumsal ortamlarda ağ trafiği ilgili anomaliye karşı sürekli izlenmelidir.

Bitcoin’de İlgi Çekici Gelişmeler

Dağıtık bir yapıda çalışması, paylaşılmış cüzdan fikri ve çıkabilecek suistimalleri önlemek için önerdiği konsensüs algoritması ile Blockchain konseptini ortaya çıkaran ilk dijital para birimi “Bitcoin” cephesinde geçtiğimiz dönemde ilgi çekici gelişmeler yaşandı. Mayıs ortasında gerçekleştirilen ve büyük zarara sebep olan WannaCry saldırısının fidyelerini toplamak için açılan Bitcoin hesaplarından Ağustos ayının başında 140.000 $ eş değerinde Bitcoin 6 adet farklı hesaba gönderilerek harcandı19.

15 https://www.kb.cert.org/vuls/byvendor?searchview&Query=FIELD+Reference=228519&SearchOrder=416 https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/CVE-2017-13080 17 http://appleinsider.com/articles/17/10/16/apple-confirms-krack-wi-fi-wpa-2-attack-vector-patched-in-ios-tvos-watchos-macos-betas18 https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-20171016-wpa19 https://www.darkreading.com/attacks-breaches/wannacry-ransom-bitcoins-withdrawn-from-online-wallets/d/d-id/1329538

Page 12: İÇİNDEKİLER - ThinkTech...kritik altyapılara karşı gerçekleştirdiği karmaşık siber casusluk saldırılarından sorumlu olarak bilinmektedir. Energetic Bear olarak da bilinen

12

Yaygın kanaatin aksine Bitcoin hesapları şeffaf bir şekilde herkes tarafından takip edilebiliyor. Güncel WannaCry fidye durumunu takip edebileceğiniz https://twitter.com/actual_ransom adresinden yapılan duyuruda ilgili hesaplara 7 Ağustos 2017 tarihi itibarıyla 345 fidye ödemesi yapılmış durumdaydı. Uzmanlar, hesaplardaki Bitcoin’in fiziki para birimlerine çevrilmesi esnasında kimlik bilgileri afişe olabileceğinden, muhtemelen ''Dark Web''de illegal alımlarda kullanılmak üzere başka hesaplara yollanmış olabileceği ihtimalinden bahsediyor.

Bitcoin ağındaki ödemelerin doğruluğu ve değiştirilemez bir yapıya sahip olması, çözümü zor bir kriptografik probleme (Proof of Work) dayanıyor. Bu problemi çözmeye çalışan katılımcılara madenci (miners) adı veriliyor. Madencileri özendirmek için de problemi ilk çözen, 12.5 Bitcoin (2017) ile ödüllendiriliyor. Başlangıçta katılımcıların azlığından dolayı kişisel bilgisayarlar ile bile Bitcoin toplanabilirken zamanla GPU, ASIC, FPGA gibi özet fonksiyonlarını hesaplamak için özelleşmiş donanımlar kullanılmaya başlandı. Yakın zamanda da bu özel donanımları kullanan [ZeusMiner Thunder-x3] ve Çin’de konumlandırılmış bir Bitcoin madenci ağındaki 3.000’e yakın cihazın telnet portlarının internete açık ve parola gerektirmediği ortaya çıktı20. Daha da tehlikeli olan ise bu cihazların Mirai benzeri bir botnet’e dâhil edildiği ile ilgili verilerdi. Bu kadar yüksek hesaplama gücüne sahip cihazların bir botnet’e dâhil olması güvenlik uzmanlarının yanı sıra Bitcoin katılımcılarını da ürkütmektedir. Zira ağın hesaplama gücünün yarısından fazlasını ele geçiren, Bitcoin ağının bir nevi sahibi oluyor (%51 saldırısı21).

Son olarak yakın dönemde gündemi fazlasıyla meşgul eden Kuzey Kore’nin, 2017 ikinci yarısından itibaren Güney Kore’deki Bitcoin ve türevi servis sağlayıcılara yönelik yoğun bir saldırı gerçekleştirdiği ortaya çıktı. Oltalama (phishing) tabanlı bu saldırılarda ismi verilmeyen bir servis sağlayıcının ele geçirildiği bilgisi raporlarda yer almaktadır22.

Ayrıca Rusya Devlet Başkanı Vladimir Putin’in danışmanlarından Dmitry Marinichev, yerel kaynaklar kullanılarak geliştirilecek özel hesaplama üniteleriyle tüm Bitcoin ağının hesaplama gücünün %30’una ulaşabilecek bir proje üzerinde çalıştıklarından bahsetti23. Ülkeler seviyesindeki bu ilginin Blockchain konsept çalışmalarının hızlanması ile yakın gelecekte benzer birçok güvenlik problemini ortaya çıkaracağa benziyor.

PlayStation Sosyal Medya Hesapları Ele Geçirildi

Siber saldırıların son hedeflerinden bir tanesi de 20 Ağustos 2017 tarihinde PlayStation sosyal medya hesaplarının ele geçirilmesi ile birlikte Sony oldu.

20 https://www.bleepingcomputer.com/news/security/nearly-3-000-bitcoin-miners-exposed-online-via-telnet-ports-without-passwords/21 https://bitcoin.org/en/developer-guide#term-51-attack22 https://www.fireeye.com/blog/threat-research/2017/09/north-korea-interested-in-bitcoin.html23 https://www.bloomberg.com/news/articles/2017-08-08/putin-s-aide-seeks-100-million-to-rival-china-in-bitcoin-mining

Page 13: İÇİNDEKİLER - ThinkTech...kritik altyapılara karşı gerçekleştirdiği karmaşık siber casusluk saldırılarından sorumlu olarak bilinmektedir. Energetic Bear olarak da bilinen

13

24 http://www.businessinsider.com/playstation-network-allegedly-hacked-ourmine-2017-825 https://thehackernews.com/2017/08/ourmine-wikileaks.html26 https://torrentfreak.com/the-pirate-bay-website-runs-a-cryptocurrency-miner-170916/

Şirketin Facebook ve Twitter hesapları OurMine adlı bir grup tarafından ele geçirildi. Sony, hesapların kontrolünü hızlı bir şekilde geri aldı, ancak siber saldırganlar bu sürede Twitter üzerinden bir dizi mesaj yayımlamayı başardılar.

OurMine, PlayStation Twitter hesabını ele geçirdikten sonra önce PlayStation çalışanlarının kendileriyle iletişime geçmelerini söyleyen bir tweet attı, ardından da herhangi bir veriyi paylaşmayacaklarını ve kendilerinin bir güvenlik grubu olduğunu vurgulayan bir tweet daha attı24.

Sony PlayStation Ağı’na yapılan saldırıda OurMine tarafından hedefe ulaşıldığı ve veri tabanında bulunan kullanıcı bilgilerinin çalındığı iddia ediliyor. Kullanıcı bilgilerinin gerçekten çalınıp çalınmadığı bilinmiyor, ancak Sony’nin sosyal medya hesaplarının grup tarafından ele geçirildiği anlaşılıyor. İyi niyetli olarak gösterilse de hem Sony hem de PlayStation için kredi kartı da dâhil olmak üzere özel kullanıcı bilgilerinin ele geçirilmiş olma ihtimali büyük bir endişe kaynağı olarak görülüyor.

OurMine, daha önce başka hesaplara da saldırmış ünlü bir Suudi Arabistan siber korsan grubu. Kendilerini her ne kadar güvenlik grubu olarak nitelendirseler de resmi web sitelerinde "büyük sistemlerdeki zafiyetleri ortaya çıkaran elit bir hacker grubu" olarak nitelendiriyorlar. Çalışma konseptleri ise büyük kuruluşlar tarafından işletilen servislere saldırma, bunu açıklama ve saldırdıkları kuruluşun güvenlik birimlerine ele geçirdikleri bilgileri satma şeklinde oluyor.

Bu arada OurMine, Ağustos 2017 ayı sonunda WikiLeaks web sitesine yapılan saldırıda tekrar adını duyurdu ve site giriş sayfası OurMine tarafından değiştirilerek bir mesaj bırakıldı25. Mesajında Anonymous siber korsan grubuna da gönderme yapan grup, “Bir grup hepinizi ezdi.” şeklinde iddialı cümleler kullanmaktan çekinmedi.

Dosya Paylaşım Sitelerine Ait Bir Risk Örneği: Pirate Bay

Dünyanın en ünlü torrent sitesi Pirate Bay’e giren kullanıcıların bilgisayar kaynakları kullanılarak Monero isimli bir kripto para için madencilik yapıldığı ortaya çıktı. Dijital para birimlerinde madencilik, bilgisayarların işlem gücünün kullanılarak Monero ve Bitcoin gibi değerlerin elde edilmesine dayanıyor. Pirate Bay’i yöneten grup tarafından yapılan açıklamada gelir elde etmek için yeni bir yöntemin denendiği açıklandı, ancak çoğu kullanıcının bu durumdan hoşnut olmadığı ifade ediliyor26.

4 yıl önce aralarında Pirate Bay’in de bulunduğu birçok yaygın torrent sitesinin kullanıcılarına Bitcoin tabanlı bir bağış seçeneği sunduğu, ancak herhangi bir siteye kripto para madenciliği için bir Javascript yerleştirmenin konuyu çok farklı bir boyuta taşıdığına dikkat çekiliyor.

Olay, bazı Pirate Bay kullanıcılarının belirli Pirate Bay sayfalarına girdiklerinde bilgisayarlarının CPU kullanımlarındaki artışı fark etmeleri ile ortaya çıkmış durumda. Siteye yerleştirilen ve tartışılan madencilik uygulaması, site sahiplerine kullanıcılarının CPU güçlerini Monero parasına çevirmelerini sağlıyor.

Page 14: İÇİNDEKİLER - ThinkTech...kritik altyapılara karşı gerçekleştirdiği karmaşık siber casusluk saldırılarından sorumlu olarak bilinmektedir. Energetic Bear olarak da bilinen

14

27 https://thehackernews.com/2017/07/opykittens-cyber-espionage.html

Pirate Bay yetkilileri, sitelerine yerleştirdikleri bir duyuruyla 24 saat süren bir denemenin yapıldığını, amaçlarının sitedeki reklamlardan kurtulmak olduğunu, ancak sitenin hizmete devam etmesi için de yeterli bir gelire ihtiyaçları bulunduğunu açıklayarak kullanıcılarının yorumlarını beklediklerini açıkladılar.

Dosya paylaşım amaçlı siteleri kullanmanın her zaman bir risk taşıyabileceğini göstermesi açısından bu olay yerinde bir örnek olarak verilebilir. Web sitelerinin yalnızca arama sonuçları ve kategori sayfalarında rastlanan madencileri kaldırmak için, Javascript’in engellenmesi ya da etkisiz hale getirilmesi yeterli oluyor. Bu işlemi, tarayıcıların ayarlar sayfasından ya da NoScript-ScriptBlock gibi eklentilerle yapabilmek mümkün. Bir diğer seçenek ise reklam engelleyicileri kullanarak, madencilik programının bağlı olduğu internet bağlantısını engellemektir.

CopyKittens

Siber güvenlik araştırmacıları tarafından değişik ülkelerde, esas olarak devlet kurumlarında, savunma sektöründe ve akademik kuruluşlarda çalışanları hedef alan yeni ve yoğun bir siber casusluk harekâtı keşfedildi27.

Harekâtın; eylemleri, saldırı metotları ve hedefleri güvenlik firmaları Trend Micro ve ClearSky araştırmacıları tarafından ortaklaşa yayımlanan detaylı rapor ile duyurulan İran bağlantılı bir grup tarafından yönetildiği ifade ediliyor. “CopyKittens” veya diğer adıyla “Rocket Kittens” olarak adlandırılan siber casusluk grubunun 2013 yılından beri faal olduğu ve ülkemizle birlikte İsrail, Suudi Arabistan, ABD, Ürdün ve Almanya’daki diplomatlar

ve araştırmacıları da kapsayan kurum ve kişileri hedef aldığı belirtiliyor.

Grup, istismar araçlarını yaymak için ele geçirdikleri web sitelerine JavaScript kodlarını yerleştirmek suretiyle gerçekleştirilen “suyun başı (watering hole)” saldırı tekniklerini de içeren değişik taktikler kullanıyor.

Suyun başı saldırılarının yanı sıra CopyKittens zararlı yazılımları yaymak için aşağıdaki metotları da kullanıyor:

- Saldırganlar tarafından kontrol edilen web sitelerine ait linkler barındıran e-postalar,

- Hedef kitleyle güven oluşturmak için kullanılan sahte sosyal medya araçları ve buradan yayılan zararlı bağlantılar,

- Zafiyet tarama ve SQL enjeksiyon araçları kullanarak web sunucuların istismar edilmesi,

- İstismar araçları ile donatılmış MS Office belgeleri.Zararlı yazılım bulaştırmak amacıyla bir giriş noktası

bulana kadar aynı hedefe birçok platform üzerinden yukarıda bahse konu metotların kombinasyonlarını kullanarak ısrarlı bir şekilde saldıran grup, daha sonra ağdaki daha değerli hedeflere yöneliyor.

Grubun kendi geliştirdiği ve uzaktan erişim sağlayan Truva atı olan “Matryoshka” zararlı yazılımı, komuta kontrol haberleşmesi için DNS’i kullanıyor ve parola çalma, ekran görüntüsü alma, klavyede basılan tuşları kaydetme, dosya toplama ve yükleme ve saldırganlara sistem erişimi sağlama kabiliyetleri kazandırıyor.

Uzmanlar tarafından kullanıcılara, saldırganlar için hazine değerinde olan ve diğer hedeflere atlamak için çok etkili bir giriş noktası özelliği taşıyan web tabanlı e-posta hesaplarının ele geçirilmesini önlemek amacıyla iki faktörlü doğrulama (two factor authentication) kullanmaları tavsiye ediliyor.

Siber Casusluk/İstihbarat

Page 15: İÇİNDEKİLER - ThinkTech...kritik altyapılara karşı gerçekleştirdiği karmaşık siber casusluk saldırılarından sorumlu olarak bilinmektedir. Energetic Bear olarak da bilinen

15

Kart Sahiplerine Çok Önemli Uyarı

Bankalararası Kart Merkezi (BKM), sosyal medyada çok sayıda güvenilir markanın unvan, logo ve benzeri kurumsal kimlik bilgileri kullanılarak ve internet siteleri taklit edilerek sahte kampanya kurgularıyla yapılan dolandırıcılık girişimlerine karşı tüketicileri uyardı. BKM, tüketicilere bu tür girişimlerden korunmaları için kampanya içeriğini ilgili markanın orijinal ve güvenilir internet sitesinden kontrol ve teyit etmelerini öneriyor28.

Sosyal medya kullanıcılarına, bilindik pek çok markaya ait sahte indirim kuponları veya hediye çekleri kullanımı içeren mesajlarla birlikte linkler iletiliyor. Kullanıcılar bu linklerle markaların sitelerine birebir benzeyen sahte sitelere yönlendirilerek kişisel ve finansal bilgileri elde edilmeye çalışılıyor.

Kullanıcıların karşılaşabileceği durumlar insanların korku, heyecan, heves gibi belli duygularını kontrol altına almak isteyen sosyal mühendislik yöntemleri neticesinde şifre ve kullanıcı bilgilerinin ele geçirilmesini hedefliyor. Sosyal medya kanalları dışında dolandırıcıların kullandığı senaryolardan birkaç tanesi şöyle sıralanıyor:

- Hesabınızdan/kartınızdan işlem gerçekleştirilmiş. İşlemi iptal etmek/iade almak için şifrenizi söyleyiniz/tuşlayınız.

- Hesaplarınıza Rusya’dan siber saldırı gerçekleştiriliyor. Hesaplarınıza bloke koymak için şifrenizi söyleyiniz/tuşlayınız.

- Geriye dönük kredi/kredi kartı ücretlerini iade edeceğiz. İşlemi gerçekleştirmek için şifrenizi söyleyiniz/tuşlayınız.

- Sigorta primlerinizi iptal edeceğiz. İşlemi gerçekleştirmek için şifrenizi söyleyiniz/tuşlayınız.

Sahte kampanyalardan ve dolandırıcılardan nasıl korunabilirsiniz?

BKM, tüketicilere cazip teklifler sunan, inandırıcı senaryolarla kişisel ve finansal bilgilerine ulaşmayı hedefleyen bu tür dolandırıcılık girişimlerine karşı alınması gereken güvenlik önlemlerini ise şöyle sıraladı:

- Şifrenizi ve finansal bilgilerinizi her ne olursa olsun telefon, SMS veya e-posta aracılığıyla size ulaşan kimseyle paylaşmayın/tuşlamayın.

- Herhangi bir kampanya içeriğinin ilgili markaya ait olup olmadığını, markanın orijinal ve güvenilir internet adresinden kontrol edin.

- Kampanya içeriğinde kullanılan bağlantının ilgili markanın orijinal ve güvenilir internet adresiyle birebir aynı olduğundan emin olun.

- Banka logosu ve adı kullanılsa dahi kişisel bilgilerinizi isteyen e-postalara ve sitelere yanıt vermeyin.

- SMS ile gelen şifrelerinizi, kart bilgilerinizi kimseyle paylaşmayın/tuşlamayın.

Yeni Bir Android Bankacılık Trojanı: Red Alert 2.0

Zararlı yazılım saldırılarında masaüstü platformlardan mobil platformlara doğru kayma görülüyor. Bunun sebebinin, içinde bulunduğumuz dönemde bankacılık işlemlerinin masaüstünden

28 http://www.hurriyet.com.tr/kart-sahiplerine-cok-onemli-uyari-40577460

Zararlı Yazılımlar

Page 16: İÇİNDEKİLER - ThinkTech...kritik altyapılara karşı gerçekleştirdiği karmaşık siber casusluk saldırılarından sorumlu olarak bilinmektedir. Energetic Bear olarak da bilinen

16

ziyade mobil cihazlardan yapılıyor olması ile ilişkili olduğuna inanılıyor. Bu kapsamda da suç aktörlerinin özellikle Android platformları hedef alarak yıllarca masaüstü cihazlara yönelik geliştirilen zararlı yazılımların mobil sürümlerini geliştirmeye yöneldikleri değerlendiriliyor29.

Bu tür zararlı yazılımlara bir örnek olarak, son birkaç aydır Red Alert 2.0 adı verilen bir Android trojanının gündemde olduğunu görüyoruz. SfyLabs firması güvenlik araştırmacıları tarafından yapılan tespitlerde, birçok diğer trojan, daha eski trojanların sızan kaynak kodlarından türetilirken Red Alert 2.0’ın yeni baştan yazıldığı ifade ediliyor. Bahse konu zararlı yazılımı yayan uygulamaların henüz Google Play Store’da bulunmadığı, üçüncü parti Android uygulama mağazalarının kullanılarak dağıtım yapıldığı belirtiliyor.

Red Alert’in, diğer Android bankacılık trojanları gibi login bilgilerini çalma, SMS mesajlarını ele geçirme, yasal uygulamaların üzerinde bir katman görüntüleme, adres listesini ele geçirme vb. fonksiyonları bulunuyor, ancak geliştiricileri Red Alert’e düzenli olarak yeni fonksiyonlar ilave edebiliyorlar. Örneğin müşterilerini muhtemel kötü amaçlı aktivitelere karşı uyarmak için bankaların dolandırıcılık işlemleri ile ilgili bölümlerinden gelen çağrıları bloklamak ve kayıt altına almak bunlardan bazıları olarak biliniyor. Bir diğer örnek ise zararlı yazılımın komuta kontrol sunucusu hizmet dışı kaldığında botları (saldırı robotları) kaybetmemek için Twitter’ı kullanabilmesi. Botlar, komuta kontrol sunucusuna bağlantı kuramadıklarında bir Twitter hesabından yeni komuta kontrol komutları alıyorlar. Daha önce masaüstü bankacılık zararlı yazılımlarında görülmesine rağmen bu hususa bir Android bankacılık trojanında ilk defa rastlanıyor.

Uzmanlar, Red Alert’in Android sürümü 6.0 (dâhil)’a kadar olan akıllı telefonları hedef alabileceğini ve 60’ın üzerinde bankacılık ve sosyal medya uygulamasına ait HTML katmanını gösterim desteğine sahip olduğunu belirtiyor. Trojan belirli bir ülkeye ait kullanıcıları hedef almıyor şekilde görünüyor, ancak iyi bilinen bankalara ve finans kuruluşlarına yönelik katmanları kullanarak geniş bir yelpazeye yayılıyor30.

Bu tür zararlı yazılımlardan korunmak için Android kullanıcılarının üçüncü parti uygulama mağazalarından uzak durmaları, uygulama ihtiyaçları olduğunda bu konuda diğerlerine oranla daha güvenilir olan Google Play Store’dan istifade etmeleri ve uygulama indirirken Google Play Store’dan da olsa gereğinden fazla izin talep eden uygulamaları indirmemeleri önem arz ediyor.

Veri Hırsızı LeakerLocker

Google Play Store'da zararlı yazılım barındıran uygulamalar bulunabileceğini bir önceki konumuzda bahsetmiştik. Buna verilebilecek güncel başka bir örnek ise McAfee’nin mobil güvenlik araştırmacılarının keşfettikleri LeakerLocker adı verilen fidye yazılımıdır. LeakerLocker kullanıcı dosyalarını şifrelemiyor, ancak cihazı kilitleyerek kullanıcıların özel bilgilerini adres defterindeki kişilere iletmekle tehdit ediyor31.

Uzmanlar, zararlı yazılım barındıran uygulamaların kurulması için kullanıcılara ufak miktarlarda para vadedildiği ödül programının bir parçası olduğuna ve bu tür dağıtım yönteminin yaygınlaşmaya başladığına dikkat çekiyorlar.

Zararlı yazılım;

- Tespit edilmemek için herhangi bir istismar aracı kullanmıyor,

29 https://clientsidedetection.com/new_android_trojan_targeting_over_60_banks_and_social_apps.html30 https://www.bleepingcomputer.com/news/security/researchers-discover-new-android-banking-trojan/31 https://www.bleepingcomputer.com/news/security/leakerlocker-ransomware-found-in-two-apps-on-the-google-play-store/

Page 17: İÇİNDEKİLER - ThinkTech...kritik altyapılara karşı gerçekleştirdiği karmaşık siber casusluk saldırılarından sorumlu olarak bilinmektedir. Energetic Bear olarak da bilinen

17

Veri İhlalleri

- Kurulum sürecinde talep edilen izinlere dayanıyor,

- Kullanıcının e-posta adres(ler)ine, bağlantılarına, Chrome tarayıcısı geçmişine, metin mesajlarına, arama geçmişine, resimlere ve cihaz bilgilerine ulaşabiliyor,

Şekil-2 LeakerLocker Bulaşma Diyagramı

- Diğer uygulama ekranlarında da görüntülenecek şekilde bir WebView bileşeni aracılığıyla talebini yapıyor ve ekranı kilitleyerek kullanıcılardan kredi kartı işlemiyle 50 $ fidye talep ediyor.

Şu ana kadar tespit edilen üç uygulama; “Wallpapers Blur HD”, “Booster & Cleaner Pro” ve “Calls Recorder”32 olarak bilinmektedir. Google bahse konu zararlı yazılımı barındıran uygulamaları Play Store’dan kaldırdı, ancak uygulamalar binlerce kez indirilmiş durumda ve siber saldırganların zararlı yazılımı diğer uygulamalara da yerleştirmeye çalışacakları ihtimal dâhilinde görülüyor.

Uzmanlar, bu tür vakalarda talep edilen fidyenin siber suçluların motive edilmemesi için ödenmemesini, fidye ödense dahi çalınan bilgilerin faillerin sunucularından silineceğinin ve tekrar tekrar kullanılmayacağının garantisi olmadığı yönünde değerlendirmelerde bulunuyorlar.

ABD’yi Sarsan Equifax Veri Sızıntısı

Siber saldırılar, çok miktarda müşteri verisi tutan firmalar için gittikçe artan bir tehdit olmaya devam ediyor.

ABD’li kredi raporlama şirketi Equifax, yaklaşık 143 milyon müşterisinin bilgilerinin dışarıya sızdığını 2017'nin Eylül ayı başında duyurdu. Şirket tarafından yapılan açıklamada, Mayıs - Temmuz 2017 döneminde gerçekleşen olayda sızan bilgiler

arasında müşterilerin isimleri, sosyal güvenlik numaraları, doğum tarihleri ve sürücü belge numaralarının bulunduğu bildirildi. Açıklamada ayrıca 200 binden fazla müşterinin kredi kartı, yaklaşık 180 bin müşterinin de kredi raporu itiraz mektuplarının etkilendiği bilgisi de bulunuyor33.

Uzmanlar, 324 milyon nüfuslu ABD’de 143 milyon kişinin kişisel bilgilerinin siber saldırganların eline geçmesinin ülke genelinde büyük çaplı bir güvenlik endişesi olduğunu değerlendiriyorlar ve bu durumun ABD’de her beş kişiden ikisinin özel bilgilerinin risk altında olduğuna dikkat çekiyorlar.

Şirket yetkilileri, olayın 29 Temmuz 2017’de tespit edildiğini, durdurmak için derhal müdahale edildiğini ve şirketin temel kredi raporlama veri tabanına yetkisiz bir erişime rastlanmadığını belirtiyorlar.

Yapılan inceleme sonuçları saldırganların Apache Struts Web Framework’deki bir açıklığı istismar ettikleri yönünde34. Aslında bahse konu açıklığın Mart 2017 ayında açıklanmasının, ancak saldırganların buna rağmen açıklıktan istifade etmiş olmasının büyük bir sorun olduğu ifade ediliyor.

32 https://gbhackers.com/mobile-ransomware/33 https://www.fool.com/credit-cards/2017/09/10/the-equifax-data-breach-is-massive-heres-how-to-pr.aspx34 https://www.engadget.com/2017/09/13/equifax-apache-argentina/

Page 18: İÇİNDEKİLER - ThinkTech...kritik altyapılara karşı gerçekleştirdiği karmaşık siber casusluk saldırılarından sorumlu olarak bilinmektedir. Energetic Bear olarak da bilinen

18

Dönem İnceleme Konusu

Bu ve benzer olaylardan çıkarılacak en büyük ders, ister kişisel ister kurumsal olsun kullanılan yazılımlara yönelik yayımlanan güncellemelerin takip edilmesi ve uygulanmasıdır.

Milyonlarca Instagram Kullanıcısının Bilgileri Satışta

Fotoğraf paylaşım sitesi Instagram, uygulama ara yüzündeki bir açıklığa bağlı olarak kullanıcı adları, telefon numaraları ve e-posta adreslerini içeren bilgilerin yasadışı bir erişimle dışarıya sızdırıldığını, sızan bilgiler arasında parolaların bulunmadığını açıkladı. Açıklamada ayrıca istismar edilen açıklığın giderildiği, konu ile ilgili detaylı araştırmanın devam ettiği de ifade edildi35.

Çalınan verilerin önce ünlü kişilerin hesaplarına yönelik olunduğu zannedilse de sonra çok daha fazla hesabı kapsadığı anlaşıldı.

Kimliği bilinmeyen siber korsan veya korsanlar tarafından, olayla ilgili olarak 6 milyon hesaptan veri çalındığı iddia edildi ve her bir kayıt, ''Dark Web''de $10 karşılığı satışa çıkarıldı36.

Sızdırılan hesap bilgileri her ne kadar parolaları içermese de saldırganların ele geçirilen e-postalar ve telefon numaralar için LinkedIn veya MySpace gibi daha önce gerçekleşen veri ihlallerinde sızdırılmış e-postalarda arama yapabileceği, bu yolla ele

geçirebileceği parolaları kullanarak kullanıcının hesaplarına ulaşabileceği ifade ediliyor. Hatta daha da kötüsü saldırganın bu bilgileri oltalama maksatlı

kullanabileceği de belirtiliyor.

Instagram veri ihlali, kişi ve kurumların bilgilerini korumak için neler yapmaları gerektiği konusunda bir uyarıcı niteliğinde. Uzmanların önerileri şu şekildedir:

- İki faktörlü kimlik doğrulama kullanın.

- Parolalarınızı düzenli olarak değiştirin.

- Parolanızı güçlü seçin.

- Daha önce kullandığınız parolaları tekrar kullanmayın.

- Her bir hesabınız için ayrı parola kullanın.

- Paylaşılan cihazlardaki hesaplarınızdan işiniz bittikten sonra çıkış yapmayı unutmayın.

- Web tarayıcılarında parolalarınızı kaydetmeyin.

- Hesabınıza yönelik şüpheli hareketler, bilinmeyen yerlerden gelen aramalar ve e-postalar karşısında karşı dikkatli olun.

- Talep etmediğiniz halde parola değişikliği yapmanıza yönelik gelen taleplere karşılık vermeyin.

İnsansız Hava Araçlarının Güvenliği

İnsansız hava aracı (İHA), genel olarak bilinen adıyla drone, uzaktan kumanda edilen bir tür hava aracıdır. Günümüzde çok farklı şekil, ebat, konfigürasyon ve kabiliyetlerde İHA’lar üretilmektedir. Temel olarak iki gruba ayrılırlar: İlki uzaktan bir pilot/operatör tarafından kumanda edilerek uçurulanlar, diğeri ise

35 http://www.tmtindustryinsider.com/2017/09/instagram-hacked-what-to-do-to-protect-yourself-in-an-age-of-data-breaches/36 https://bitcointalk.org/index.php?topic=2139539.new

Page 19: İÇİNDEKİLER - ThinkTech...kritik altyapılara karşı gerçekleştirdiği karmaşık siber casusluk saldırılarından sorumlu olarak bilinmektedir. Energetic Bear olarak da bilinen

19

insan müdahalesi gerektirmeden önceden tanımlanmış bir uçuş planı üzerinden otonom olarak hareket edebilenler.

Her ne kadar yakın geçmişte popülerlik kazanmış olsa da insansız hava araçlarının (İHA) tarihi 20. yüzyılın başlarına dayanmaktadır. İlk olarak Birinci Dünya Savaşı esnasında görülen İHA sistemi geliştirme çalışmaları, 20. yüzyılın sonuna doğru yoğunlaşmaya başlamış ve İHA’lar askeri harekâtların önemli bir oyuncusu haline gelmeye başlamıştır.

İHA’ların askeri alandaki uygulamalarını, 1990’lı yıllardan itibaren sivil ve ticari İHA uygulamaları takip etmeye başlamıştır.

Günümüzde İHA’ların kullanımı askeri alanlarda geçmişe kıyasla bir hayli yoğunlaşmıştır ve ülkeler bu yönde ciddi yatırımlar ile AR-GE faaliyetleri yürütmektedir. Keşif yapan İHA’ların yanında silahlandırılmış İHA’lar ve hatta kamikaze olarak kullanılan türevleri de üretilmektedir.

Sivil hayatta ise habercilik, film çekimi, kargo taşıma, afet yönetimi, haritacılık, madencilik, enerji, inşaat, tarım ve meteoroloji gibi birçok önemli sektörde İHA’lardan yararlanılmaktadır. Bütün bunların yanında milyonlarca İHA hobi amaçlı kullanılmaktadır.

İHA’lar, kullanım esnekliği açısından içerdiği güvenlik risklerinden dolayı ülke yönetimleri tarafından kayıt altına alınmaktadır. Yaklaşık 1 milyon adet hobi amaçlı kullanılan İHA sadece Amerika Birleşik Devletleri’nde kayıt altına alınmıştır. Türkiye’de ise Sivil Havacılık Genel Müdürlüğünce kayıt altına alınan İHA sayısı yaklaşık 20 bindir.

İHA’lar gitgide küçülmekte, ucuzlamakta ve kolayca satın alınabilir duruma gelmektedir. İHA’ların potansiyeli, aynı zamanda teröristlerin de dikkatini çekmektedir. Birkaç yüz dolara satın alınabilen hobi maksatlı İHA’lar, üzerine eklenen çeşitli patlayıcılarla etkili bir silah haline dönüştürülebilmektedir. Uçan el yapımı patlayıcılar olarak adlandırılabilecek bu silahlı İHA’lar, Suriye ve Irak’ta terörist örgütler tarafından yoğun bir şekilde kullanılmaktadır.

Uzmanlar, gerilla savaşları veya terörizm amaçlı İHA uygulamalarının gelecekte artacağını tahmin etmektedir. Uzaktan kontrollü silahlı İHA’ların düşman sınırına yaklaşmayı veya şehirlerin en güvenli bölgelerine girmeyi kolaylaştıracağı belirtilmektedir. Herkesin satın alabileceği silahlı

Page 20: İÇİNDEKİLER - ThinkTech...kritik altyapılara karşı gerçekleştirdiği karmaşık siber casusluk saldırılarından sorumlu olarak bilinmektedir. Energetic Bear olarak da bilinen

20

İHA’ların varlığının, hayatımızdaki şiddet oranının artmasında yeni bir etken olacağına kesin olarak bakılmaktadır.

İHA’ların neredeyse tamamı radyo frekansıyla, belirli protokoller ile kontrol edilmektedir. Ayrıca İHA’lar konumlarını belirlerken uydu sinyallerini de kullanmaktadır. İHA’lar kullandıkları bu teknolojiler ile birçok uzaktan saldırı tipine kapı aralamaktadır. Örneğin bir saldırgan alıcı-verici trafiğini dinleyerek hassas verileri ele geçirebilir, aracın kontrolünü ele geçirebilir veya yazılımına müdahale edebilir.

Günümüzde İHA’lara karşı yapılan yaygın saldırı tiplerini fiziksel ve mantıksal saldırılar olarak ayırabiliriz.

Fiziksel Saldırılar

Doğrudan İHA’yı hedef alma: Hedefi bir ateşli silah ile vurmak en kolayı gibi görünse de gelişen teknolojiyle birlikte İHA’ların uçuş yüksekliği ve manevra kabiliyeti bunu güçleştirmektedir. Öte yandan İHA’yı hedef alan taraf örneğin bir askeri birlik ise düşman İHA’sı sivil bir ortamda uçtuğu durumlarda bu atak vektörü kullanılmaz hale gelmektedir. Maliyet kazanç oranından bakıldığında ise bazı durumlarda düşük maliyetli bir İHA’yı bir füze ile vurmak bu seçeneği alt sıralara düşürmektedir.

Avcı İHA kullanma: Avcı İHA yöntemi birden fazla şekilde uygulanmaktadır. Hedef İHA üzerine başka bir İHA gönderilir ve çarparak zarar vermesi amaçlanır. Diğer bir uygulama şekli ise avcı İHA’ya ekstra donanımlar eklenerek yapılır. Örneğin, avcı İHA bir file taşır ve hedef İHA’nın üzerine bu fileyi geçirir veya pervanelerine çalışmasını engelleyecek bir materyal bırakır. İHA kontrolü kaybettikten sonra onu sürükler.

Mikrodalga Işınlar: Bilinen bir başka fiziksel saldırı tipi ise araca güçlü mikrodalga ışınlar göndermektir. Işınlar yerden veya başka bir İHA üzerinden gönderilir, hedef İHA'nın elektrik devreleri imha edilerek çalışması durdurulur.

Mantıksal Saldırılar

Sinyal bozma: Saldırgan hedef araca radyo sinyali göndererek parazit oluşturur, aracın kumanda merkeziyle olan iletişimi engellenir. Bu kapsamda erişebilirlik prensibi kaybolur ve İHA görev yapamaz hale gelir.

Veri trafiğini dinleme: Eğer zayıf şifreleme yöntemleri kullanılıyorsa, saldırgan havadaki veri trafiğini dinleyerek kritik bilgileri ele geçirebilir. Bu kapsamda gizlilik prensibi kaybolur ve görev bilgileri öğrenilerek mahremiyet zarar görür.

Page 21: İÇİNDEKİLER - ThinkTech...kritik altyapılara karşı gerçekleştirdiği karmaşık siber casusluk saldırılarından sorumlu olarak bilinmektedir. Energetic Bear olarak da bilinen

21

Sinyal yükleyerek servis dışı bırakma: Saldırgan yüksek sayıda geçerli bağlanma isteği gönderir, aracın işlemcisi bunu kaldıramaz ve servis dışı kalır. Bu kapsamda erişebilirlik prensibi kaybolur ve İHA görev yapamaz hale gelir.

Özel veri paketi göndererek yazılımı durdurma: Hedef İHA’ya saldırgan tarafından işlenmiş, araçtaki yazılımın yönetemeyeceği bir veri paketi gönderilir ve yazılımın çalışmasını durdurur. Bu kapsamda erişebilirlik prensibi kaybolur ve İHA görev yapamaz hale gelir.

Özel veri paketi göndererek kontrolü ele geçirme: Saldırgan, İHA’da çalışan yazılımın açıklığından yararlanarak hazırlanmış bir veri paketi göndererek bütün kontrolün kendisine geçmesini sağlar. Bu kapsamda güvenlik kaybolur ve İHA tanımlanmış görevleri yapamaz.

Sahte uydu sinyali gönderme: İHA’nın konum belirlemede kullandığı uydu sinyalleri manipüle edilir ve İHA’nın rotası değiştirilir. Bu kapsamda bütünlük prensibi kaybolur ve İHA tanımlanmış görevleri yapamaz.

Optik ve manyetik algılayıcıları yanıltma: İHA’nın yönünü belirlemek için kullandığı görüntü işleme metotları ve manyetik algılayıcılar, saldırgan tarafından İHA’nın kamerasının algıladığı görüntüye müdahale edilerek (lazer vs. kullanarak) veya elektromanyetik dalga gönderilerek manipüle edilir. Bu kapsamda bütünlük prensibi kaybolur ve İHA tanımlanmış görevleri yapamaz.

Tersine mühendislik: Ele geçirilen bir İHA’da tersine mühendislik uygulanarak kullandığı yazılım ve donanım teknolojileri keşfedilerek yeni atak tipleri geliştirilebilir veya İHA’nın muadili üretilebilir. Bu kapsamda güvenlik tamamıyla kaybolabilir ve İHA’lar müteakip görevlerini yapamayabilir.

İHA’larda kullanılan teknolojilerin büyük oranda ortak olması üretim maliyetlerini düşürmekle birlikte saldırganların atak sahalarını genişleterek işlerini kolaylaştırmaktadır.

İHA’ların kolay ve hızlı kuruluma sahip olmak üzere tasarlanması, çoğunlukla şifresiz iletişim

kanalı kullanması ve birçok açık porta sahip olmasından dolayı ele geçirilmesi kolay hale gelmektedir. Kontrolü ele geçirilen İHA’lar kullanılarak kargo hırsızlığı, veri hırsızlığı gibi birçok suç işlenebileceğinden İHA’lar kötü niyetli insanların dikkatini çekmeye başlamıştır. Dronejacking olarak da adlandırılan İHA ele geçirme saldırılarının yakın gelecekte siber suçlar arasında popülerlik kazanacağı öngörülmektedir.

Hobi veya iş amaçlı kullanılan İHA’ların sayısındaki hızlı artış bir kısım bilgisayar korsanlarının odak noktası haline gelmektedir. Bu alandaki güvenlik açıklarının/istismar yöntemlerinin “Deep Web”de ve hatta sosyal medya platformlarında pazarlanması ve yayılması beklenmektedir. Bir sonraki aşama olarak ise İHA ele geçirme amaçlı kullanımı basit betik veya yazılım araçlarının hızla yayılacağı düşünülmektedir. Böyle bir durumun gerçekleşmesi halinde hem askeri hem sivil binlerce İHA’nın potansiyel birer tehlikeye dönüşmesi kaçınılmaz olacaktır37.

Yakın tarihimizde İHA’larla ilgili güvenlik hususlarının gündeme geldiği pek çok olay meydana gelmiştir. Bunlar arasından;

- Veri trafiğinin şifrelenmemesinin getireceği risklere örnek olarak 2009 yılında Iraklı direnişçilerin, Amerika Birleşik Devletleri'ne ait İHA’ların komuta merkezine aktardığı görüntüleri anlık olarak izleyebildiğinin ortaya çıkması verilebilir38.

- Amerika Birleşik Devletleri’nin orduda kullandığı belli bir marka İHA’ların tamamının kullanımını bir güvenlik zafiyeti sebebiyle durdurması İHA’larda güvenliğin önemi açısından en güncel örneklerinden birisi olarak gösterilebilir39. Aynı şekilde, Avustralya Silahlı Kuvvetleri de ticari maksatlı İHA’ların kullanılmasını Eylül 2017’de askıya almıştır40.

- 2011 yılında kayıtlara “RQ-170 incident” olarak geçen İran’ın Amerika Birleşik Devletleri’ne ait bir İHA’yı kontrollü bir şekilde kendi topraklarına indirmesi ve sonrasında tersine mühendislik uygulayarak İHA’nın aynısını üretebilmesi çarpıcı olaylardan bir diğeridir41.

37 https://www.mcafee.com/ca/resources/reports/rp-threats-predictions-2017.pdf38 https://www.theguardian.com/world/2009/dec/17/skygrabber-american-drones-hacked39 https://www.cnbc.com/2017/08/04/us-army-bans-chinese-made-drone-citing-cyber-vulnerabilities.html40 http://www.theaustralian.com.au/national-affairs/foreign-affairs/defence-bans-on-chinese-drones/news-story/599fa7173396d3fe94a9955564fdf49041 https://www.csmonitor.com/World/Middle-East/2011/1215/Exclusive-Iran-hijacked-US-drone-says-Iranian-engineer

Page 22: İÇİNDEKİLER - ThinkTech...kritik altyapılara karşı gerçekleştirdiği karmaşık siber casusluk saldırılarından sorumlu olarak bilinmektedir. Energetic Bear olarak da bilinen

22

42 https://www.reuters.com/article/us-usa-ukraine-drones-exclusive/exclusive-u-s-supplied-drones-disappoint-ukraine-at-the-front-lines-idUSKBN14A26D43 https://radionavlab.ae.utexas.edu/images/stories/files/papers/unhackabledrones_for_distribution.pdf44 https://www.jbisa.nl/download/?id=1770612945 https://www.owasp.org/images/5/5e/OWASP201604_Drones.pdf46 Controlling UAVs with Sensor Input Spoofing Attacks https://www.usenix.org/system/files/conference/woot16/woot16-paper-davidson.pdf

- 2016 yılında Amerika Birleşik Devletleri’nin Ukrayna’ya destek amaçlı sağladığı İHA’ların güvenlik zafiyetleri kullanılarak bölgedeki ayrılıkçı gruplar tarafından işlevsiz hale getirilmesi konunun önemini bir kez daha ön plana çıkarmıştır42.

Görüldüğü üzere İHA’lar hem askeri hem sivil hayatta vazgeçilmez bir yere sahip olmaya başlamakta ve gün geçtikçe önemlerini artırmaktadırlar. Günlük hayata işlevsellik

olarak birçok katkıda bulunan bu araçların çok çeşitli güvenlik zafiyetleri bulunduğu göz önüne alındığında kötü niyetli kişilere veya rakip ülkelere de birçok kapı açtığı görülmektedir.

Bu kapsamda sahip oldukları güvenlik zafiyetlerinin getirdiği riskleri en aza indirmek için alınması gereken siber güvenlik tedbirlerinden belli başlılarını şu şekilde sıralayabiliriz:

- Sinyal bozma saldırılarına karşı saldırı başladığında aracın otomatik pilotunun devreye

girerek önceden belirlenen hedefe gitmesi veya komuta merkezine geri dönmesi sağlanır. Bu tedbir ile erişimde yaşanan sıkıntıların farklı zafiyet ve istismarlara yol açması engellenir ve İHA’ların fiziksel güvenliği arttırılır43.

- Komuta merkezi ve araç arasındaki veri trafiği kritik bilgiler içeriyorsa, veriler veri trafiğinin dinlenmesine karşı donanım/yazılım seviyesinde şifrelenir veya veriler parçalar halinde farklı kanallardan iletilir. Böylece bilginin gizliliği güven altına alınmış olur44.

- Araçta kullanılan yazılım ile gelen veri paketlerine filtreleme uygulanarak beklenen format ve yapıya sahip olmayan paketlerin işleme alınması engellenir. Böylece verinin bütünlük kontrolü yapılmış olur.

- Sahte uydu sinyallerine karşı İHA ve uydu arasında kimlik doğrulama için dijital imza kullanılır. Böylece verinin bütünlük kontrolü yapılmış olur45.

- Optik takip sistemlerindeki yanıltmaların önüne geçmek için optik takip sistemlerinde kullanılan algoritmalar manipülasyona açıklık bırakmayacak şekilde seçilir ve uyarlanır46.

Page 23: İÇİNDEKİLER - ThinkTech...kritik altyapılara karşı gerçekleştirdiği karmaşık siber casusluk saldırılarından sorumlu olarak bilinmektedir. Energetic Bear olarak da bilinen

24