Finans

Sektörüne

Yönelik Yeni

Nesil Tehditler

Burç Yıldırım

Mart 2015

• Tehdit Belirleme

• Güncel Tehditler

• Kullanıcı

• Ödeme Sistemleri

• ATM

Gündem

©2015 Deloitte Turkey, Member of Deloitte Touche Tohmatsu Limited 2

3©2015 Deloitte Turkey, Member of Deloitte Touche Tohmatsu Limited

Tehdit Belirleme

Neden?

• Sayısallaşan teknoloji iş yapış şeklini değiştirdi

• İş yapış şekillerinden teknolojiyi soyutlamak mümkün değil

• Kaçınılmaz gereksinimleri var

• İşlevsellik

• Bağlantılar

• İşlevsellik saldırı yüzeyini genişletiyor

©2015 Deloitte Turkey, Member of Deloitte Touche Tohmatsu Limited 4

Saldırgan Tipleri

©2015 Deloitte Turkey, Member of Deloitte Touche Tohmatsu Limited 5

Amatör

Hacker

Organize Suçlu

Text

• Organize

‒ Terör örgütleri

‒ Hactivistler

‒ Gizli Servisler

‒ Suç Örgütleri

• Yetenekli ve bilgili

‒ White/Gray/Black Hat

• Daha az yetenekli

• Mevcut araçları kullanır

• Basit ancak etkili

Hedef – Saldırgan İlişkisi

• Genel kural: Hedefi, saldırganın çıkarı belirler

• Her kaynak saldırgan için anlamlı olabilir

• Politik

− Durdur, gücü ele geçir, propaganda

• Ekonomik

− Fikri mülkiyet ve diğer mali değerli varlık hırsızlığı, dolandırıcılık,

endüstriyel hırsızlık

• Sosyokültürel

− Ego büyütme, şöhret, merak, eğlence

• Özel kural: Farklı çıkarlara hizmet edebilecek kaynaklara sahip olmak hedef olma olasılığını artırır

©2015 Deloitte Turkey, Member of Deloitte Touche Tohmatsu Limited 6

Sistem Bileşenleri – Zafiyet İlişkisi

• Amacı karşılayan, kullanıcının hizmetindeki

• Donanım

• Yazılım

• İletişim yöntemi

• Her bileşen temelde aynı zafiyetleri taşır

• Müdahale

• Varsayımlar

• Mantık hataları

©2015 Deloitte Turkey, Member of Deloitte Touche Tohmatsu Limited 7

8©2015 Deloitte Turkey, Member of Deloitte Touche Tohmatsu Limited

Güncel Tehditler

Ocak 2015 Cyber Threat Acceleration Pack

©2015 Deloitte Turkey, Member of Deloitte Touche Tohmatsu Limited 9

Şubat 2015 Cyber Threat Acceleration Pack

©2015 Deloitte Turkey, Member of Deloitte Touche Tohmatsu Limited 10

Finans Sektörüne yönelik istihbarat

• Terminal POSlara yönelik zararlılar

• LucyPOS

• ATM hedefleyen zararlılar

• Tyupkin, Anunak, Carbanak

• İnternet bankacılık kullanıcılarını hedefleyen zararlılar

• Dyre, Dridex, Hancitor,

• Kullanıcıları hedefleyen zararlılar

• Cryptolocker, Kovert Malvertising, Poveliks, Cryptowall

©2015 Deloitte Turkey, Member of Deloitte Touche Tohmatsu Limited 11

12©2015 Deloitte Turkey, Member of Deloitte Touche Tohmatsu Limited

Kullanıcı

• Sosyal mühendislik yöntemleri ile istemci ele geçirilmesi

• İç ağa yayılarak bilgi toplama

• Sistemleri istismar ederek ele geçirme, bilgi sızdırma ve istismar

İstemcileri hedefleyen saldırılar

13©2015 Deloitte Turkey, Member of Deloitte Touche Tohmatsu Limited

14©2015 Deloitte Turkey, Member of Deloitte Touche Tohmatsu Limited

POS Zafiyetleri

Ödeme Noktası Saldırıları

• Çeşitli POS sistemlerine yönelik saldırılar

• Terminal donanımına müdahale

• Terminal değiştirme

• Uygulamaya müdahale

• Chip&Pin

• Yazılım güvenlik problemlerinin istismarı ile sistemin ele geçirilmesi

• Ekran

• Yazıcı

• Uygulama

©2015 Deloitte Turkey, Member of Deloitte Touche Tohmatsu Limited 15

16©2015 Deloitte Turkey, Member of Deloitte Touche Tohmatsu Limited

ATM

• 2006 - ATM'in pinpad kullanılarak tekrar programlanması sonucu para çekilmesi

• 2009 - Skimer-A

• 2010 - Blackhat 2010 ATM Jackpotting

• 2012 - Blackhat 2012 Chip&Pin terminalleri özel kartlar ile sahte ödeme

ekstresi, bulaşarak bilgi toplanmasını sağlama, ağ ve arabirim saldırıları

• 2013 - Ploutus

• 2013 - Yeni nesil Plotus ATM'e takılan telefona gelen SMS ile görevlerini

gerçekleştiriyor

• 2014 – Carbanak

• 2014 – Tyupkin

ATM Güvenlik tarihçesi

17©2015 Deloitte Turkey, Member of Deloitte Touche Tohmatsu Limited

• Sadece fiziksel erişim şart değil, phishing benzeri yöntemlerle banka ağına

bulaşabiliyor

• CVE-2012-0158, CVE-2013-3906, CVE-2014-1761 Word zafiyetleri

• SWIFT ağı ile para çıkartabiliyorlar

• Veritabanlarına müdahale ederek sahte hesaplar açıp para transferi gerçekleştirebiliyorlar

• ATMlerden para çekebiliyorlar

Önemli Noktalar

18©2015 Deloitte Turkey, Member of Deloitte Touche Tohmatsu Limited

ATM Zararlıları Risk Özeti

19©2015 Deloitte Turkey, Member of Deloitte Touche Tohmatsu Limited

Cyber Intelligence Centre TAP170215A ATM ROLLUP

• Farketme

• Mutabak sırasında tespit

• Koruma sistemlerini atlatabiliyor

• Ekip ile gerçekleştiriliyor

• Saha ekipleri

• Geliştirici ekipleri

• Kullanılan teknoloji hakkında önemli bilgileri var

• Patron

• Fiziksel güvenlik problemleri

• Kilitler

• Banka doğrudan hedef alınıyor

Sorunlar

20©2015 Deloitte Turkey, Member of Deloitte Touche Tohmatsu Limited

©2015 Deloitte Turkey, Member of Deloitte Touche Tohmatsu Limited21

©2015 Deloitte Turkey, Member of Deloitte Touche Tohmatsu Limited22

• Arka planda çalışır

• XFS uygulama programlama arayüzü ile iletişime geçer, aksi takdirde kendisini

imha eder

• Mantıksal servisler ile doğrudan iletişim kurar

• Ayarlandığı zaman diliminde ATM pinpad'den gelecek özel tuş kombinasyonunu bekler

• Komutları çalıştırmak için doğru anahtar girilmelidir

Tyupkin Nasıl İşler?

23©2015 Deloitte Turkey, Member of Deloitte Touche Tohmatsu Limited

• Değiştirilmiş programı kullanarak çekmeceleri yönetir

• Üreticiye özel zararlı kullanır

• Çekmece yapılandırmasını değiştirerek, yüksek para çekilmesine sebep olur

Anunak Nasıl İşler?

24©2015 Deloitte Turkey, Member of Deloitte Touche Tohmatsu Limited

• Yönetici hesabı bulmak için iç ağda yayılır

• Bilgi toplar

• Online bankacılık üzerinden para aktarımı

• E-ödeme sistemlerinden çıkartılan paralar

• Bankacılık veritabanındaki değişikliklerle şişirilen hesaplar ve transferler

• ATM

Carbanak Nasıl İşler?

25©2015 Deloitte Turkey, Member of Deloitte Touche Tohmatsu Limited

Tersine Mühendislik

26©2015 Deloitte Turkey, Member of Deloitte Touche Tohmatsu Limited

• Fiziksel güvenlik gereksinimlerine uygun kullanım

• Kayıt merkezileştirme ve anlamlandırma

• Bütünlük denetliyicileri ile kontrol

• Sabit disk dışı boot yetenekleri devre dışı bırakılmalı

• Medya çevre birimleri devre dışı bırakılmalı

• Üretici işbirliği

Öneriler

27©2015 Deloitte Turkey, Member of Deloitte Touche Tohmatsu Limited

Yetenek Tanım Gereksinim

Erken Tespit İstismar edilen zafiyetlerin belirlenmesi • Zafiyet tarama yazılım kayıtları

• Proxy Kayıtları

• Ağ Adli Bilişim

Erken Uyarı Tehlikeli yerle olan trafik • Proxy Kayıtları

• Zafiyet tarama yazılımı

• Ağ Adli Bilişim

• Layer 7 flow sensörleri

• ATM – Uç nokta kontrolü

Risk Tespiti Tehlikeli registry değişiklikleri • ATM – HIDS

• DLP

• Layer 7 flow sensörleri

• NIDS kayıtları

• Network Malware Sandbox

• SMTP Malware Sandbox

• Endpoint Malware Sandbox

Tehdit Göstergeleri Zararlı dosyaların ve trafiğin varlığı • NIDS

• ATM HIDS

• Layer 7 flow sensor

• ATM firewall kayıtları

• ATM OS kayıtları

• Network Malware Sandbox

• SMTP Malware Sandbox

• Endpoint Malware Sandbox

Kayıt Merkezileştirme ve Anlamlandırma

28©2015 Deloitte Turkey, Member of Deloitte Touche Tohmatsu Limited

29©2015 Deloitte Turkey, Member of Deloitte Touche Tohmatsu Limited

Sonuç

• Tehdit karmaşıklaşıyor, zarar saldırgan tarafında ölçeklenebilir

• Siber istihbarat yetenekleri geliştirilmeli

• Uygulama

• Entegrasyon

• Yönetim

• Destek

• Kriz yönetimi

• Hazırlık

• Yanıt

• Kurtarma

Sonuç

30©2015 Deloitte Turkey, Member of Deloitte Touche Tohmatsu Limited

©2015 Deloitte Turkey, Member of Deloitte Touche Tohmatsu Limited