Kişisel Veri Güvenliği Bilinçlendirme

Etkinliklerimiz Başladı

NO. 18 • Mart 2017 Editör: Özge ÇELİK

KoçSistem Security Operation Center www.kocsistem.com.tr/guvenlik-hizmetleri

Bilgi İfşa Saldırısı Nedir?

Ortadoğu’da Yeni Tehditler:Shamoon 2.0 & StoneDrill

Web Uygulama Güvenlik Duvarı (WAF)

KRİTİK AÇIKLARŞUBAT AYINA AİT

AÇIĞA VURMAYIN! BİLGİLERİNİZİ

Güvenlik sadece gizlilik değildir. Kimi şirketler kullandıkları sistemlerin SSL ile gizli olmasını sağlayıp geri kalan kısım için güvenlik önlemi almıyorlar. Bu kanının aksine güvenlik üç kısımdan oluşuyor: Confidentality (Gizlilik), In-tegrity (Bütünlük), Availability (Erişilebilirlik)

Her ne kadar verilerinizi korusanız da verilerinizi görmeden onları yok edebilecekler çıkabilir ya da verilerinizi ulaşılamaz hale getirebilirler. Bu durumlara karşı çoğu uygulamada önlem alınmıyor. Bilgi ifşa saldırısı, bir saldırganın bir sistem hakkında değerli bilgiler edinmesine olanak tanır. Bu saldırı türü, bir web sitesi hakkındahakkında yazılım dağıtımı, versiyon numaraları ve patch (yama) düzeyleri de dahil olmak üzere sisteme özgü bilgileri edinmeyi amaçlar. Ayrıca elde edilen bilgiler yedek dosyaların veya geçici dosyaların yerlerini de içerebilir. Bu nedenle, hangi bilgileri açığa vurduğunuzu ve bu bilgile-rin kötü niyetli kullanıcılar tarafından kullanılabileceğini her zaman aklınızda olmalı. Çoğu web sitesi, bir miktar bilgi ifşa etmektedir. Bir saldırgan, bir web sitesi hakkında ne kadar çok bilgi edinirse, sistem ile uzlaşması o kadar kolay olacaktır. Bilgi ifşa saldırılarını aşağıdaki saldırı tiplerinde görebiliriz:

Directory Indexing: Normal temel bir dosya mevcut değilse, istenen bir dizindeki tüm dosyaların listelendiği web sunucusundaki bir fonksiyonu istismar edebilir. Bir kullanıcı, bir web sitesindeki sayfaya istekte bulunduğunda, web sunucusu isteği işler, web dosyası kök dizininde varsayılan dosya adını arar ve bu sayfayı kullanıcıyakullanıcıya gönderir. Sunucu sayfayı bulamazsa, bir dizin listesi oluşturur ve bu çıktıyı HTML biçi-

minde kullanıcıya gönderir. Bu eylem, istenme- yen dizin listelerinin içeriğinin, belirli bir web isteğiyle birleştirilen yazılım güvenlik açıkları nedeniyle, kullanıcıya açıklanmasına olanak tanır. Bu bilgi sızıntısı, bir saldırgana sisteme karşı daha fazla saldırı başlatmak için gerekli bilgileri sağlayabilir.

InfoInformation Leakage: Geliştirici yorumları veya hata mesajları gibi hassas verileri açığa vuran bir web sitesini istismar edebilir.

Path Traversal: Web belge root dizininin dışında bulunan komutlara, dizinlere ve dos- yalara erişimi zorlar.

BirBir saldırgan, bir URL'yi web sitesinin yürüttüğü veya web sunucusundaki dosyaların içeriğini ifşa edecek şekilde kullanabilir. Çoğu web sitesi, kullanıcıların web belgesi kökü veya CGI root dizinine erişimi kısıtlasa da, bir saldırgan özel karakter dizileri kullanarak bu dizinlere erişebilir. Örneğin, ../ dizisi, saldırgan tarafından dosyalara erişmekerişmek veya dosya sistemindeki komutları yürütmek için kullanılan yaygın bir dizidir.

Predictable Resource Location: Gizlenmiş web sitesi içeriğini ve işlevlerini ortaya çıkarır. Infor-mation Disclosure’u önlemek için SSL (Secure Sockets Layer) kullanılır. HTTP katmanı üzerin-den ileti düzeyinde güvenlik kullanıyorsanız, bunun HTTP üstbilgilerini korumayacağının farkında olmalısınız. HTTP üstbilgilerini korumanın tek yolu, HTTP yerine HTTPS aktarımını kullanmaktır. HTTPS aktarım, HTTP üstbilgileri de dahil olmak üzere tüm iletinin, SSL protokolünü kullanarak şifrelenmesini sağlar.

ediyorsanız kullanıcının bütün atakları deneyebileceğini varsaymalı ve buna göre ön-lemlerinizi almalısınız.

ÖrneklerDirectory Indexing: Böyle bir HTTP isteği 'GET /<null byte>.jsp HTTP/1.0' kullanıcının istediği dosyayı veya dizini görmesine zemin hazırlar.Directory Traversal: Bu şekilde bir URL http://www.example.com/../restricted-file.cgi kullanıcıya dışarı konumlandırılan root directory web dökümanlarına erişim imkanı sağlar.DiDirectory traversal with encoded characters: Örnekteki gibi bir URL http://www.example.com /..%255c..%255c/restricted-file.cgi bir üsttekine benzemekle birlikte iki ‘/’ arasındaki double-encoded ifadeyle güvenlik filtreleri geçilebilir.

Birçok hata mesajı örneklerinden bazıları:- Kullanıcı için geçersiz user: test- Test kullanıcısı bu sistemde var olamaz.Kısacası hiçbir hata mesajı iç bileşenler hakkında bilgi sunmamalıdır.

InfoInformation Disclosure’un yakın geçmişteki en önemli örneği, henüz birkaç gün öncesinde Wikileaks’in, CIA’in olduğunu iddaa ettiği 8000 belgeyi kamuoyuna sunması olmuştur. Ayrıca bu belgelerin içerisinde adı geçen önemli şirketler adına zafiyet yaratıp yaratmayacağı ve siber saldırıların büyük boyutlara ulaşma durumu merak merak konusu olmuştur.

Bilgi ifşa saldırısı, hassas bilgilerin açığa çıkarılmasını amaçlar. Bir önceki yazımızda ayrıntılarıyla bahsettiğimiz; bilgi ifşa saldırılarının beslendiği alt saldırıları şu şekilde sıralayabiliriz:

-Directory Indexing-Information Leakage--Path Traversal-Predictable Resource Location

Bilgi ifşa ataklarına karşı alınacak önlemlerden bazıları aşağıdaki gibidir:

DilDil özelinde yorum kullanma: Bu yorumlar ayrıştırıcılar yada derleyiciler tarafından otoma-tik olarak silinmeli ve client tarafında görünme-melidir. Göründüğü takdirde zafiyet yaratabilir. Ancak HTML yorumlarının ColdFusion yorumlarına benzerliğine dikkat edilmelidir.Uygun izin kullanma: Sunucudaki dizin ve dosya erişim kısıtlamalarına çok dikkat edilmeli-dir.Güçlü şifreleme algoritmaları kullanma: Hassas verinin tutulduğu her durumda onun korunduğundan emin olunmalı ve bunun için de güçlü şifreleme algoritmaları kullanılmalıdır.En az ayrıcalık prensibi: Uygulamalarınız arka planda bir database kullanıyorsa, uygulamalarınıza mümkün olduğunca az ayrıcalık verdiğinizden emin olun.KısaKısa hata mesajı kullanımı: Hata mesajlarınızı mümkün olduğunca kısa tutmaya özen gösterin ki hassas bilgilerinizi açığa çıkarmasın. Uygulamalarınızın hata mesajları kullanıcı tarafından direk görünmemelidir.Açıklık prensipli dizayn: Bir uygulama dizayn

CVE-2017-5953

Summary: vim before patch 8.0.0322 does not properly validate values for tree length when handling a spell file, which may result in an inte-ger overflow at a memory allocation site and a resultant buffer overflow.

Published: 2/10/2017 2:59:00 AMCVSS Severity: v3 - 9.8 CRITICAL v2 - 7.5 HIGH

Özet:Özet: Vim editörü , kullanıcı tarafından oluşturulan veriyi yeteri kadar boyutlandıramadığı için buffer'a kopyalamadan önce sınırlandırma konusunda başarısız olmak-ta bu da local integer-overflow zafiyetine sebe-biyet vermektedir.Saldırganlar bu etkilenen uygulamada rastgele bir kod çalıştırarak bu açıklığı kötüye kullanabilir ve başarısız exploit denemeleri muhtemel bir DOS durumu oluşturabilir. Son sürümlerde zafiyet mevcut değildir.

Detaylı bilgi için: https://github.com/vim/vim

BUNU BİLİBUNU BİLİYOR MUYDUNUZ?

Ortalama büyüklükte bir şirket, gerçekten zarar verebilecek 2 vakayı tespit etmek için haftada 1.764.720 siber saldırıyı filtrelemek zorundadır.

CVE-2016-9269

SummaSummary: Remote Command Execution in com.trend.iwss.gui.servlet.ManagePatches in Trend Micro Interscan Web Security Virtual Ap-pliance (IWSVA) version 6.5- SP2_Build_Linux_1707 and earlier allows au-thenticated, remote users with least privileges to run arbitrary commands on the system as root via Patch Update functionality. This was resolved in Version 6.5 CP 1737.

Published: 2/21/2017 2:59:00 AMCVSS Severity: v3 - 9.9 CRITICAL v2 - 9.0 HIGH

Özet: Etkilenen uygulamalarda rastgele kod çalıştırılarak yetkinin üst düzeylere çıkartılması, ve yine etkilenen browserlardan HTML ve script kodları çalıştırılarakta cookie tabanlı kullanıcı bilgilerinin çalınabileceği remote code-execu-tion, privilege-escalation, HTML-injection zafi- yetleri tespit edilmiştir. Son sürümlerde zafiyet bulunmamabulunmamaktadır.

Detaylı bilgi için: https://success.trendmicro.com/solution/1116672

Kaynak: https://nvd.nist.gov/

çevesinde yapılmaktadır.

Paylaşımlı olarak;PPaylaşımlı WAF Hizmeti, KoçSistem’in Bulut yapısından sahip olduğu yedekli fiziksel kaynak havuzu üzerinden müşteri web sunucularına özel güvenlik koruması sağlanan yapıdır. Bu hizmet, firmaların donanım ve yazılım yatırımı yapmaları ihtiyacını ortadan kaldırmakta olup tüm yatırım ve cihaz yönetimi hizmet kapsamındakapsamında sunulmaktadır. Hizmet donanım ve yazılım seviyesinde paylaşımlıdır. Hizmet kapsamında sağlanan Paylaşımlı WAF’ın bakımları, müşteri için devreye alınması ve yönetimi KoçSistem tarafından gerçekleştirilir. Bu hizmet, KoçSistem Veri Merkezi'nde sanal veya fiziksel web ve uygulama sunucusu bulu-nan (bulunacak) ve/veya dedike WAF yatırımı yapmamış tüm müşterilere sunulmaktadır.

Hizmet kapsamında WAF sisteminin merkezi yönetim sistemleri ile 7x24 izlenmesi (online otomatik alarm mekanizması dahil) ve proaktif yönetim sağlanmaktadır.

KoçSistem Paylaşımlı WAF Hizmeti, müşteri sunucularının ve/ya kullanıcılarının toplam bant genişliği ile aylık olarak fiyatlandırılır. Müşteri’nin talebi doğrultusunda IP ve/ veya Hat kapasite artırımı yapılabilir.

WAF günümüz güvenlik riskleri açısından lüks olmaktan çıkmış ve tamamen gereklilik olmuştur. Standart Firewall veya IPS gibi güven-lik cihazları Layer7 seviyesindeki açıkları kapa-tamazlar. WAF özellikle SQL Injection, Comment Spam, Cross- site Scripting (XSS), Application Spesific DDoS attacks, Wordpress, CoreCommerce, CSRF tarzı ataklara uyarlanmış olan bir güvenlik sistemidir. WAF zararlı veya tanımlanmış kurallara uymayan erişimcilerin erişimlerini bloke ederek sisteme zarar vermesini engeller.

• Web açıklıklarını giderici kurallar oluşturulur. (Virtual Patching)• Web sitesindeki değişikliklerin izlenmesi sağlanır. (Anomaly Detection)• Upload yapılan işlemlerde virüs koruması sağlanır.• Botnet ve kötücül IP adresleri üzerinden gelen istekler engellenir.

DediDedike ve Paylaşımlı olarak verilebilen hizmeti-mizin detaylarını aşağıda bulabilirsiniz.

Dedike olarak;Dedike WAF yönetim ihtiyacı olan müşteriler için WAF yönetimi sağlanmasını kapsar. Web ve uygulama sunucularına yönelik geliştirilmiş ataklara karşı koruma WAF yönetim hizmeti ile gerçekleştirilir. Bu hizmet müşterinin sahip olduğu yedekli/yedeksiz merkezi fiziksel WAF’in KoçSistem tarafından yönetilmesi ve raporlanması ile sağlanıraporlanması ile sağlanır.

Yük dengeleme cihazları üzerinde bulunan WAF modüllerinin yönetimi de bu hizmet çer-

Kaspersky Lab Research and Analysis ekibi tarafından; gelişmiş, yeni, yok edici StoneDrill isimli wiper malware'i keşfedilmiştir. Kötü şöhretiyle bilinen bir diğer malware olan Sha- moon 'a(nam-ı diğer Disttrack) fazlasıyla ben-zetilmektedir. Shamoon 2012 yılında 35bin civarı bilgisayarda dataların silinmesine sebep olmuştuolmuştur. Shamoon da olduğu gibi StoneDrill’in de hedefi Orta Asya ve Avrupa’da özellikle de buralardaki petrol firmaları olduğu belirtilmek-tedir.

Shamoon 2Shamoon yıkıcı bir malware türüdür. 2012’de ilk çıktığı andan itibaren geliştirilmiş ve güncellenmiş olarak 2016’nın sonlarında tekrar yayınlanmıştır. Malware kaynak kodunda Arapça ve Yemence ifadeler görülmüştür.

Ataklar: 2012, 17-29 Kasım 2016, 23 Ocak 2017

HedeHedefler: Suudi Arabistan - kamu, endüstri, telekomünikasyon ve ulaşım sektörü

Shamoon 2’de Güncellenen Tehditler- Ransomware özelliği- Admin hesap bilgilerini ele geçirebilecek ön tarama yapabilme- Silme saldırısını zamanlama, otomatikleştirme -- Etkilenmiş bilgisayarın bulunduğu networkteki tüm sistemlere kolayca dağılabilme

Yaygınlık: Shamoon 2.0’ın şu ana kadar 11 or-ganizasyonda görüldüğü tespit edildi. 2012’de ise enerji sektöründe bir firmanın 35000 bilgisayarının verilerinin yok edilmesine sebep oldu.

StoneDrill in nasıl yayıldığı henüz bilinmemekte-dir. Anti-detection özelliğini kullanarak ve casus-luk yazılımlarıyla beraber izini belli etmeden eriştiği bilgisayarda kendine has özellikleriyle güvenlik çözümlerini atlatarak diskteki dosyaları yok etmeye başlamaktadır. Ayrıca bu malwarein wiper tipi eski malwareler ile bağlantılı olabileceği söz konusudur. Aşağıda 2012 yılındaki büyük vurgunuyla adından söz ettiren Shamoon ile olan benzerliği karşılaştırılmıştır:

StoneDrillShamoon 2.0 analizi esnasında keşfedilen yıkıcı bir wiper malware’dir. İlgili malware’in kaynak koduna bakıldığında Farsça ifadeler görülmüştür.

Ataklar: 2016 ve 2017

Hedefler: Suudi Arabistan ve Avrupa lokasyonlu farklı bir hedef

SStoneDrill’in Tehditleri- Shamoon 2.0’la birçok özellik açısından ben-zerlik gösterme- Sandboxlar tarafından tespit edilmemesi maksadıyla kullandığı yüksek kabiliyetli gizlenme teknikleri

Yaygınlık: Şu ana kadar bir yaygınlık öngörüsü çıkarılamamıştır.

Amaçları: Organizasyonlarda maksimum zarar, ekonomik sorunlar yaratma, yüksel profilli organizasyonları hedef alma

24/3/2016 tarihinde kabul edilen 7/4/2016 tari-hinde Resmi Gazetede 29677 sayı ile 5.tertip 57.ciltte yayınlanan Kişisel Verilerin Korunması Kanunu (6698) gereğince “Kişisel Veri“ kapsamına giren ad, soyad, TC kimlik no, pasa-port no, plaka, IP adresi E mail Adresi, Resim gibi bilgiler ve “Öznitelikli Kişisel Veri“ olup tek başına yeterli bilgi vermese de birleştiğinde tek bir kişiyi adresleyen bilgiler (siyasi düşünce, vakıf /sendika, biyometrik veri, sağlık, ceza mahku-miyeti, ırk/etnik köken, din/mezhep vb.) korun-makla yükümlüdür. Veri sorumlusu ve veri işleyen kişisel verilerin korunmasında müştereken sorumludur.

Koçsistem olarak Proaktif Güvenlik anlayışı ile hem “Veri Sorumluları” hem de “Veriyi İşleyen” taraflar için kişisel verilerin korunmasına yönelik teknik hizmet çözümlerini 2016’da hayata geçirmiştik. 2017 itibarı ile firmaların ve büyük organizasyonların kişisel veri güvenliği farkındalığını arttırmak üzere “Koçsistem Kişisel VerilerinVerilerin Korunması ve Güvenlik Çözümleri Etkinliği”ni sektörlerindeki en büyük firmaların yer aldığı ve teknolojiye önem veren OSB’lerimizden Gebze Organize Sanayi Bölgesi’nde yoğun katılımla gerçekleştirdik. 14.03.2017 tarihinde Koçsistem olarak; iş ortağımız Deloitte ile birlikte KVK 6698 kanunu vve getirdiklerini, KoçSistem'in uçtan uca güven-lik yaklaşımını ve buna yönelik sunduğumuz kapsamlı çözümleri aktardık. GOSB Bölge Müdürü Z. Nil Sönmez, Bölge Müdür Yardımcısı Hülya Kaynak ve Bilgi İşlem Müdürü Engin Işık’ın da iştirak ettiği toplantıya, GOSB firmalarının ilgisi yoğun oldu.

Artan siber güvenlik tehditleri, alınabilecek ön-lemler ve yönetilen hizmetler, yasal mevzuatlar, global mevzuatlar, Türkiye mevzuatları, kişisel verilerin kapsamı, kişisel veriler ve hassas verile-rin tanımı, kişisel verilerin işlenmesi, kişisel ver-ilerin saklanması, kişisel verilerin korunması, kanuna uyum gereksinimleri, verilerin toplanması, mahremiyet etki analizi, rıza gerek-sinimleri, veri saklama yükümlülükleri, veri anonimleştirme teknikleri, KoçSistem Güvenlik Çözümleri, Veri Tabanı Güvenliği Çözümü ve kişisel verinin nasıl izlenip korunduğu detaylı olarak üzerinden geçilen konular oldu.

KoçSistem Yönetilen Hizmetler Kıdemli Satış Yöneticisi Aslı Yılmaz, KoçSistem Bilgi Teknolo-jileri Güvenlik Yönetilen Hizmetler Birim Yöneti-cisi Serkan Özden, Deloitte Kurumsal Risk Hizmetleri Kıdemli Müdürü Cihan Salihoglu, DL Hukuk Bürosu’ndan Avukat Asilhan Özkaya tarafından işletmelerde verilerin korunması ve güvenliğe yönelik uyulması gereken yükümlül-ükler hakkında bilgi verilen toplantı, soru-cevap ile sonlandırıldı.