2014: Hackerların Yükselişi
Dr. Süleyman Ö[email protected] Twitter: @su13ym4n
• Kurucu ortak ve Ar-Ge yöneticisi @ PICUS SECURITY www.picussecurity.com
• Öğretim üyesi @ ODTÜ Enformatik Enstitüsü Siber Güvenlik Yüksek Lisans Programı
• Siber savunma uzmanı ve eğitmeni @ NATO SPS Bilim ve Barış için Güvenlik Programı
#whoami
• Ransomware• 16 Milyon e-mail adresinin ele geçirilmesi• Apple GoToFail Bug
Ocak – Mart 2014
• Fidye zararlı yazılımları
1. Kurban bilgisayardaki dosyaları şifreler.2. Sonra dosyaları kurtarmak için fidye ister.
• En ünlüsü: Cryptolocker• Windows API’deki bir bugı kullanır
Ransomware
Cryptolocker Ransomware
Cryptolocker Ransomware
Cryptolocker Ransomware
Cryptolocker Ransomware
• Kullanıcı farkındalığı• Kullanıcı farkındalığı• Kullanıcı farkındalığı• Yedekleme• Güncelleme• Antivirüs
Cryptolocker -‐ Önlemler
• Ransomware• Hacklenen 16 Milyon e-posta• Apple GoToFail Bug
Ocak – Mart 2014
• Duyuruyu yapan: Alman Bilgi Güvenliği Kurumu (BSI)
• 16 milyon kullanıcı adı ve şifre ele geçirilmiş.
• Alman nüfusunun 1/5 ‘i• Yöntem: Antivirüslere yakalanmayan
küçük zararlı yazılımlar.
Hacklenen 16 Milyon E-‐posta
• Ransomware• Hacklenen 16 Milyon e-posta• Apple GoToFail Bug
Ocak – Mart 2014
sslKeyExchange.c: hashOut.data = hashes + SSL_MD5_DIGEST_LEN; hashOut.length = SSL_SHA1_DIGEST_LEN; if ((err = SSLFreeBuffer(&hashCtx)) != 0) goto fail; if ((err = ReadyHash(&SSLHashSHA1, &hashCtx)) != 0) goto fail; if ((err = SSLHashSHA1.update(&hashCtx, &clientRandom)) != 0) goto fail; if ((err = SSLHashSHA1.update(&hashCtx, &serverRandom)) != 0) goto fail; if ((err = SSLHashSHA1.update(&hashCtx, &signedParams)) != 0) goto fail; goto fail; /* WTF J */ if ((err = SSLHashSHA1.final(&hashCtx, &hashOut)) != 0) goto fail; err = sslRawVerify(...);
• Heartbleed
Nisan– Haziran 2014
• OpenSSL kriptografi kütüphanesinde ortaya çıkan bir bug
• 2 yıldan uzun bir süre hackerlar tarafından çaktırmadan kullanılmış
• OpenSSL kullanan sunucuların hafızasından parola, private key vb. bilgilerin elde edilmesi
• SSL kullanan sunucuların %17’sini etkilemiş
• Örnek etki: 4.5 Milyon hasta verisinin çalınması
Heartbleed
• Shellshock• Apple cloud hack• 5 milyon Gmail hesabı• 2014 FIFA Dünya Kupası Brezilya
Temmuz – Eylül 2014
• Etkilenen sistemler: Linux, Unix, Mac OS X• Common Gateway Interface (CGI) kullanan
websiteleri bir anda hacklenebilir hale geldi • CGI aracılığıyla The Bourne Again Shell (Bash)
üzerinde komut çalıştırmak mümkün hale geldi
ShellShock (Bash Bug)
• Heartbleed açığı Poodle açığını döver J • Poodle’da atak yapan kişinin man-in-the-middle
yapması zorunlu • Herkese açık Wi-Fi noktaları
Heartbleed vs Shellshock
• Shellshock• Apple cloud hack• 5 milyon Gmail hesabı• 2014 FIFA Dünya Kupası Brezilya
Temmuz – Eylül 2014
• Apple Cloud Hack – Giyinik olmayan ünlüler J• Bir sonraki slide’da örnek fotoğraflar var
• Telefondan 3 kere yanlış parola girilmesi = hesabın kilitlenmesi
• API üzerinden binlerce parola deneme = ?
Apple Cloud Hack
• Shellshock• Apple cloud hack• 5 milyon Gmail hesabı• 2014 FIFA Dünya Kupası Brezilya
Temmuz – Eylül 2014
• 5 milyon Gmail kullanıcı adı ve parolası sızdırıldı.
• Peki Gmail gerçekten hackendi mi?
5 Milyon Gmail Hesabı
• Shellshock• Apple cloud hack• 5 milyon Gmail hesabı• 2014 FIFA Dünya Kupası Brezilya
Temmuz – Eylül 2014
FotoğraTaki yanlış nerede?
Bu Bir İlk Değil J
• Kerberos• Sandworm• Poodle• Drupal 7• Sony
Ekim – Aralık 2014
• Bütün Microsoft Windows sürümlerini etkiledi• Yetkisiz bir domain kullanıcısının yetkilerini
Domain Administrator yetkilerine yükseltmesine olanak sağlar.
• Bu haklara sahip olan bir kullanıcı Domain Controller’lar dahil, Domain’de bulunan bütün bilgisayarlara erişebilir.
Kerberos KDC Açığı
• Kerberos• Sandworm• Poodle• Drupal 7• Sony
Ekim – Aralık 2014
• Microsoft Windows versiyonlarının tamamını etkiledi
• Microsoft’un bit dosya içerisine başka bir dosya gömülmesine izin veren OLE (Object Linking and Embedding) teknolojisindeki bir açık
• Örnek: Bir Word dökümanının içerisine bit Excel dosyası gömmek
• Önşart: Bir kullanıcının özel olarak hazırlanmış bir dosyaya tıklamasını sağlamak
Sandworm
• Kerberos• Sandworm• Poodle• Drupal 7• Sony
Ekim – Aralık 2014
• Google tarafından Ekim ayında tespit edildi• SSL 3.0 kullanan sunucular etkilendi.• Ortadaki adam saldırısı (MiTM – man in the
middle) ile güvenli HTTP çerezleri (cookie) ele geçirilebiliyor.
• Böylece saldırgan kurbanın çerezlerini çalıp internetteki hesaplarını ele geçirebiliyor.
• En az Heartbleed kadar önemli (mi?)
Poodle
• Heartbleed açığı Poodle açığını döver J• Poodle’da atak yapan kişinin man-in-the-middle
yapması zorunlu• Herkese açık Wi-Fi noktaları
Poodle vs. Hearbleed
• Parolasız• Bedava• Güvenlik ?
Herkese Açık Wi-‐Fi
• Kerberos• Sandworm• Poodle• Drupal 7• Sony
Ekim – Aralık 2014
• Drupal 7 Pre-auth SQLi• SQL enjeksiyonu kullanarak açığın bulunduğu
websitesinde Admin haklarına sahip olmaya izin veriyor.
Drupal 7 Pre-‐auth SQLi
• Kerberos• Sandworm• Poodle• Drupal 7• Sony
Ekim – Aralık 2014
Sony Pictures Hack -‐ Kasım
Sony Pictures Hack -‐ Kasım
Sony Pictures Hack -‐ Kasım
• Regin• Turla• Energetic Bear• Careto• Cloud Atlas• NetTraveller• Operation Cleaver
2014 – APT yılı