Dijital Oyunlar ve Güvenlik

Dijital oyun hesaplarının çalınması bilişim suçlarında yeni bir trend olarak karşımıza çıkmaktadır. 2007 yılından bu yana meydana gelen dijital oyun hesap hırsızlıklarına baktığımızda ciddi oranda bir artış olduğunu görmekteyiz.

Aşağıda ki tabloya bakacak olursak yıllara göre bilişim suçlarında açılan dava sayılarını görebiliriz.

 

Resim-2 de ki tabloya bakacak olursak 2010 yılında Bilişim suçlarında açılmış dava sayısının 2007 yılında açılmış toplam dava sayısından tam 10 kat daha fazla olduğunu görüyoruz.

Resim-2 de ki istatistiklere baktığımızda davalardaki beraat sayısı dikkat çekmektedir. Bu beraat kararlarının başlıca sebeplerinden biri şikâyetten sonra delil toplama ve faili bulmadaki süreçtir. Bilişim suçları davalarındaki delillerin normal delillerden farkı, delillerin elektronik olmasıdır. Bu deliller elektronik olduğundan silinmeye, değiştirilmeye, bozulmaya müsait durumdadırlar. Bu yüzden bilişim suçlarında deliller hızla ve güvenle toplanmalıdır. Aksi takdir de faili bulmada ki şansımız azalacaktır.

resim-2.jpg

Resim-2 [2]

Oyun hesaplarının nasıl çalındığı konusuna biraz daha eğilmek gerekirse vereceğim örneklere yabancı olmadığınızı göreceksinizdir.

Dijital oyun oynayan her insanın takip ettiği belirli İnternet siteleri ya da forumlar olabilir. Oyun hesaplarını çalan hırsızlar için oyun forumları, oyunculara ulaşmak için en önemli yerlerdir. Oyun forumlarının dışında İnternet kafeler(Ticari amaçlı toplu kullanım sağlayıcılar) zararlı yazılımları dağıtmada kullandıkları önemli platformlardır. Bilgi çalmaya yönelik zararlı yazılımları oyun forumlarında paylaşarak ya da bir İnternet kafede sosyal mühendislik yaparak aynı anda binlerce oyuncunun hesabını çalabilirler.

Zararlı yazılımlar paylaşılırken ne gibi sosyal mühendislik saldırıları yapılmaktadır?

  • Oyun hile yazılımlarına zararlı enjekte etmek
  • Oyun auto-bot yazılımlarına zararlı enjekte etmek
  • En çok aranan game –recorder ya da video editleme yazılımlarına zararlı enjekte etmek
  • En çok aranan oyun crack ve yamalarına zararlı enjekte etmek
  • Oyun forumlarında aranan yazılımlara zararlı enjekte etmek

Yukarıda ki sosyal mühendislik örnekleriyle bugüne kadar toplam da 100.000 e yakın kişinin dijital oyun hesabının çalındığı tahmin ediliyor.

Peki, neden dijital oyun hesapları çalınıyor?

Günümüzde banka hesaplarını boşaltmanın gitgide zorlaşması, bankaların ciddi teknik/hukuki önlemler alması, saldırganları zahmetsiz ve birkaç hack aracıyla boşaltabilecekleri çevrimiçi oyun hesaplarına yöneltmiştir. Oyun hesaplarının değerine bakacak olursak, birkaç e-ticaret sitesini gezdiğimiz de bir oyun hesabının değerinin 50 TL ile 30.000 TL arasında olduğunu görmekteyiz. Sonuçta saldırganların neden bu alana yöneldiklerini tahmin etmek zor olmasa gerek.

Bilgi çalmaya yönelik zararlı yazılımları nereden temin ediyorlar?

resim-3.jpg

Dijital oyun hesaplarını çalan hırsızlar en çok keylogger[3] ve trojan[4] zararlılarını kullanıyorlar. Bu zararlılar ile klavye tuş vuruşlarınızı, ekran görüntülerinizi, kayıtlı şifrelerinizi alabilir, masa üstündeki ya da bilgisayarınızın herhangi bir yerindeki bir belgeye kayıtlı şifrenizi haberiniz olmadan görüntüleyip kendi bilgisayarına indirebilir.

Dijital oyun hesaplarını çalan hırsızların bazıları zararlı yazılımları kendileri geliştiriyor. Geliştiremeyenler ise bu yazılımları satan kişilerden temin ediyor. Arama motorlarında “Antivirüslere yakalanmayan keylogger” diye bir arama yaptığınızda karşınıza onlarca sayfa çıkacaktır. Bu zararlı yazılımların satılması suç olduğu gibi, karakter hırsızlığı suçunu işleyenlere yardım ederek ayrıca bir suç daha işlenmiş olunmaktadır. Bu zararlı yazılımlar “Ebeveyn takip sistemleri “ başlığı altında kurnazca satılmaktadır. Eğer amaç ebeveyn takip yazılımı ise “Antivirüslere yakalanmayan takip sistemi” başlığını kullanmanın amacı nedir?

Dijital oyun hesapları çalınırken TCK da işlenen suçlar nelerdir?

  • Bilgisayara bir zararlı bulaştırıp sistemi izlemek. Bunu yaparken ilk önce bilgisayara girip, kalmaya devam ederek 243/1 maddesindeki suçu işlemiş olur. (Bir yıla kadar hapis veya adlî para cezası verilir.)
  • Bilgisayardan veri toplamak, başka yere aktarmak. Bunu yaparken 244/2 maddesindeki suçu işlemiş olur. (Altı aydan üç yıla kadar hapis cezası ile cezalandırılır.)
  • Elde ettiği verilerle haksız çıkar sağlaması ile 244/4 maddesindeki suçu işlemiş olur.( İki yıldan altı yıla kadar hapis ve beş bin güne kadar adlî para cezasına hükmolunur. )
  • Bedeli karşılığı hizmet alınan bir sistem ise bu verileri çalarken 243/2 maddesindeki suçları işlemiş olur. (Verilecek ceza yarı oranına kadar indirilir.)
  • Oyun karakterinin çalınması ayrıca bir hırsızlık suçu oluşturduğundan ve bilişim sistemlerinin araç olarak kullanılması suretiyle yapılmasından nitelikli hırsızlık suçunu işlemiş olur ve 142-2/e. Maddesindeki suçu işlemiş olur.(Üç yıldan yedi yıla kadar hapis cezasına hükmolunur.)
  • Karakter satışları yasak olmasına rağmen karakter satışı sırasında dolandırılırsanız hırsız 158/f suçunu işlemiş olur.(İki yıldan yedi yıla kadar hapis ve beş bin güne kadar adlî para cezasına hükmolunur.) [1]

Bir şekilde oyun hesabı da olsa çalınan vatandaşlarımızın olay esnasında bilgisayarı açıksa açık tutmaya devam etmeli, kapalı ise kapalı tutmalı ve hiçbir müdahale etmeden kolluk kuvvetlerine ve adli mercilere şikâyetlerini yapmalıdır. Yapmayacağınız her şikâyet sizden sonra bir kişiyi daha mağdur edebilir.

Son kullanıcıların(oyuncuların) alması gereken güvenlik önlemleri nelerdir?

  • İşletim sisteminizi güncel tutmak
  • Bilmediğiniz bağlantılara tıklamamak
  • İçeriğinden emin olmadığınız programları kurmamak.
  • Oyunlar için geliştirilen hilelerden uzak durmak.
  • Antivirüs yazılımları kullanmak
  • Güçlü şifreler seçmek ( Örnek: S#3r%p(!)1 gibi)
  • Web tabanlı işlemlerde ekran klavyesi kullanmak
  • Login işlemlerinde ekran klavyesi kullanmak
  • Şifrelerini başkalarıyla paylaşmamak
  • Modemlerinize şifre koymak

Osman Murat ALKAÇ, Adalet Bakanlığı

En Büyük Facebook Açığı, Sizsiniz!

En Büyük Facebook Açığı, Sizsiniz!

Günümüzde sosyal medya inanılmaz bir hızla gelişmektedir. Şu anda dünyada ve ülkemizde en çok tercih edilen sosyal ağın facebook olduğu tartışılmaz bir gerçektir. Facebook, insanların arkadaşlarıyla iletişim kurmasını ve bilgi alışverişi yapmasını amaçlayan bir sosyal paylaşım web sitesidir.[1] Facebook sosyal paylaşım sitesi doğası gereği şahsımızla ilgili birçok bilgi barındırmaktadır. Bu bilgiler kötü niyetli kişilerin elinde çok ciddi güvenlik açıklarına sebebiyet vermektedir.

Türk Ceza Kanunu (TCK) Madde243 (Bilişim Alanında Suçlar)’e göre; e-posta hesabı hackleme (ele geçirme) suçunu işleyen bir kişi, iki yıla kadar hapis veya adli para cezası istemiyle karşı karşıya kalabilir. E-posta hesabı ele geçirilen kişinin bilgilerinde bir değişiklik veya eksiklik meydana geldiğinde bu ceza, para cezasına çevrilmeyecek şekilde iki yıldan dört yıla kadar hapis cezasına dönüşebilir. (m.243/III)

Facebook ve e-posta hesabı ele geçirmenin TCK’ da ki yeri ile ilgili kısa tanımlamaların ardından facebook hesabı kullanılarak neler yapılabileceğini birkaç örnek ile açıklaya çalışalım:

Örneğin hedefledikleri kişinin e-posta hesabını ele geçirmek isteyen kötü niyetli kişiler, ya kişinin açık olan facebook duvarından ya da kendisine arkadaşlık isteğinde bulunarak paylaşımlarından e-postasını görebilirler. Saldırgan, kurbanın arkadaşlık isteğini kabul etmeyeceğini düşünerek hedefin arkadaş listesindeki birini seçer ve aynı resim ile sahte bir hesap açabilir. “Bu benim ikinci facebook hesabım” diyerek hedefi yanıltabilir. Arkadaşlık isteği kabul edildiği anda tüm paylaşılan veriler, yorumlar, resimler, videolar görülebilir. Eğer kullanıcı basit şifre ve doğrulama bilgileri kullanıyorsa, paylaşılan veriler değerlendirilerek hesap kolayca ele geçirilebilir.

Ülkemizde yapılan araştırmalara göre insanlarımız genellikle şu şekilde şifreler ve doğrulama bilgileri kullanmaktadır:

Doğum tarihi,

Doğum yeri,

En sevdiği kitap kahramanı,

123456,

Qwerty,

Asdfgh,

Asdf123,

Saldırgan, kurban olarak seçtiği kişinin facebook duvarını kullanarak kurbanın hesabına erişebilir ve istediği değişikliği yapabilir. Örneğin; kurbanın e-posta hesabını kendi belirlemiş olduğu başka bir e-posta hesabına yönlendirebilir. Kurban hesabını aktif olarak özel yazışmalar, banka hesabı işlemleri gibi işlerde kullanıyorsa e-posta hesabının ele geçirilmesi daha büyük sorunların başlamasına netice verebilir.

 

Aslında birkaç basit işlem ile en azından hesabın daha güvenli hale getirilmasi ve kötü niyetli kişi ya da kişilerin hesaba erişimi zorlaştırılabilir.

İşte yapılması gereken bir kaç basit ama oldukça faydalı güvenlik önlemi:
1.
Facebook duvarında kullanılan e-posta adresi herkese görünmeyecek şekilde kapatılmalı ya da doğru olmayan bir e-posta adresi yazılmalı.

2.
Hotmail, gmail, yahoo v.b. e-postalarınızın gizli soruya verilen cevabı başkalarının bilemeyeceği hatta zıt cevaplar olmalıdır. Örneğin; doğum yeriniz gizli sorusuna, en sevdiğiniz bir film ismi gizli cevabı gibi.

3.
Kullanılan parolalar belli aralıklar ile güncellenmelidir.

4.
Tüm hesaplarda aynı parolayı kullanmamaya dikkat edilmelidir.

5.
Kullanılan parola en az 6 karakterli, büyük küçük harf, herhangi bir noktalama işareti içermelidir. Türkçe bir karakter (ş,ğ,ç gibi) kullanılması parolanın zorluk derecesini arttırabilir.

6.
Facebook hesabının kişiye özel olan kısımları herkes ile paylaşılmamalıdır. Örneğin; doğum tarihi, memleketiniz v.b.

7.
Facebook üzerinden gelen gizli veya bilgi içerikli mesajlara cevap verilmemelidir.

8.
Herkesten gelen arkadaşlık istekleri kabul edilmemelidir.

Unutulmamalıdır ki güvenlikle ilgili ortaya çıkan sorunların büyük kısmı makinelerden değil insanlardan kaynaklanmaktadır.

Cabir TEKİN, BANK ASYA KATILIM BANKASI A.Ş.

Veritabanında Parola Saklamak için Algoritma Seçiminde Yapılan Yaygın Hatalar

Veritabanında Parola Saklamak için Algoritma Seçiminde Yapılan Yaygın Hatalar

Klasik güvenlik anlayışının temelinde olduğu gibi bilgi güvenliği felsefesinde de tedbir almada iki temel çeşit vardır. Bunlardan biri; bir güvenlik ihlalinin gerçekleşmesinin önüne geçilmesi için alınan tedbir, diğeri ise bir güvenlik ihlalinin gerçekleştiği durumlarda hasarı en aza indirecek ve olası zincirleme ihlallerin önüne geçecek olan tedbirdir. Bu iki çeşit tedbiri somut bir örnekle anlatmak gerekirse; tedbir çeşitlerinden biri arabanın lastik basıncının, fren sisteminin, lastik diş derinliğinin kontrol edilmesi, diğeri ise hava yastıklarının konması ve sürücünün emniyet kemerini takmasıdır. İlk tedbirler kazanın olmasını engellemeye yönelik iken, ikinci tedbirler ise kaza olduktan sonra meydana gelebilecek can kayıpları ve yaralanmaları engellemeye yöneliktir.

Web uygulamasının güvenliğinin sağlanmasının yanı sıra, Web uygulamasına ait parolaların veritabanında saklanması ve bu saklama yönteminin güvenliği de oldukça önemlidir. Web uygulamasındaki veya bütün bilişim altyapısını oluşturan öğelerden birindeki bir açık kullanılarak güvenlik ihlalinin oluştuğu durumlarda, parolaları ele geçiren bir saldırganın bu bilgiyi kullanamamasını sağlamak için düz metine kıyasla güvenli olduğu bilinen kriptografik özet (Hash) yöntemleri kullanılır. Bunların başında gelen popüler algoritmalardan biri de günümüzde MD5 algoritmasıdır. Hash kullanmadaki amaç, ele geçen parolaların doğrudan kullanılmasını önlemektir. Ancak sadece MD5 ile Hash edilmiş parolalar dahi günümüzde yeterli güvenlik seviyesi sağlamamaktadır. Bu yüzden kırılması daha zahmetli ve zor olan Salt kullanma yöntemi ile parolalar depolanır. Parola depolama işlemi için Hash tek yönlü algoritması düşünülürken genel bir hata “hızlı” bir algoritma seçmektir. Hızlı bir algoritma ile Hash edilen parolalar yine Rainbow Table ve Brute Force işlemleri ile yavaş algoritmalara oranla daha hızlı kırılabilirler. Hızlı algoritmalar parola depolamak amaçlı değil, kriptografik işlemler için kullanılmalıdır. Ağ iletişimi içinde veri bütünlüğü tespiti için kullanılan algoritmalar (Checksum) buna örnek gösterilebilir.

Yazılımlarda parolaları saklamak için hızlı algoritma kullanmak, kimi zaman bu algoritmalara Salt değerleri ile yaklaşılsa dahi, saldırganların parola kırma işini etkili bir ölçüde zorlaştırmamaktadır. Parolaları saklamak için kullanılan algoritma az kullanılan, güçlü ve yavaş algoritmalardan seçildiğinde, kullanımın yaygın olmaması nedeniyle sistem altyapısının değişmesi ve yeni platformlara taşınması gerektiği durumlarda sorunlarla karşılaşılabilir. Bu durum da yine kullanılabilirlik-güvenlik terazisindeki kullanılabilirlik kefesini etkilemektedir. Az kullanılan algoritmalar için hali hazırda parola kırma programları ve Rainbow Table (bir çeşit önceden kırılmış parola değerleri) bulmak zor olduğundan, saldırganı çok kullanılan bir algoritmaya oranla daha çok mesai beklemektedir.

Bir saldırgan sistemde ele geçirdiği binlerce hesabı kırmak için hıza ihtiyaç duyar. Ancak, bir Web uygulamasına giriş yapmak isteyen bir kullanıcı için algoritmanın hızı kullanılabilirlik dengesini çok değiştirmez. Çünkü kullanıcı parolasını yazdığı anda, parola doğruysa bu işlemi sisteme 1 defa yaptırır. Fakat bir saldırgan bu işlemi duruma göre binlerce veya milyonlarca defa yapmaya mahkumdur.

Bu durumda parola saklamak için kullanılan Hash algoritmasının yavaş ve güçlü olması önerilmektedir. MD5 örneğine bakıldığında, MD5 yerine daha yavaş ve güçlü olduğu bilinen SHA-512 kullanmak, burada ifade edilen bilgilere göre daha güvenli bir seçim olacaktır. Bir parola Hash işlemine tabii tutulmadan önce içine birçok Salt değerinin ve tekrarlı (belki binlerce defa) iterasyonlarının sokulduğu Hash fonksiyonları yazılmalıdır. Böylece üst üste farklı şekillerde Hash işlemine tabii tutulan parolayı deneme yanılma yöntemleriyle geri elde etmek zorlaşacak ve algoritma yavaş bir hal alacaktır.

Deneme yanılma (Brute Force) yöntemlerinin yanı sıra “doğum günü saldırısı” adı altında, algoritmanın kendisine yönelik saldırılar da vardır. Bu saldırıların temeli 366 kişiden en az 2 kişinin doğum tarihlerinin aynı gün olmasına dayanır. Kriptografik özet çıkarma işleminde giren verinin boyutu ne olursa olsun elde edilen çıktı belli matematiksel limitlere dayanır. Bu da iki farklı girdinin aynı çıktıyı vermesine neden olabilir.

Aşağıdaki tablo Hash algoritmalarının hız ve doğum günü saldırısına karşı olan süseptibilitelerine dair bilgiler içermektedir.

Tablo-1 Hash algoritmaları hız karşılaştırma tablosu.*

Tablo-2 Yaygın diğer algoritmalar ve hızları (MiB/s)*

Tablo-3 “parola” Kelimesinin Değişik Kriptografik Özet Algoritmalarındaki Sonuçları

*Veriler http://www.cryptopp.com/benchmarks.html adresinden alıntıdır.

Kriptografik özet algoritmalarının parola depolaması için kullanılmasının doğası gereğince var olan bir sistemin depolama algoritmasının değiştirilmesi de “yavaş” olan yöne doğru “kolay” yapılabilmektedir. MD5 algoritması ile Salt kullanılmadan gerçekleştirilmiş bir parola özeti, ileri bir zamanda tercih edildiğinde kolaylıkla Salt eklenerek de depolanabilir. Bunun için depolanan MD5 parola özetinin bir daha MD5 algoritmasına bir Salt değeri ile sokulması yeterli olacaktır. Ancak hali hazırda Salt eklenerek oluşturulmuş bir parola özeti sadece düz MD5 algoritması kullanılacak bir sisteme güncellenemez.

Yavaşlatılacak olan parola depolama sistemi için bir örnek:

Hızlı sistem örneği:

Kullanıcı -> (Kullanıcı bir parola kelimesi seçer) -> parola

Sistem -> (Seçimi MD5 algoritmasına sokar) -> 8287458823facb8ff918dbfabcd22ccb

Hızlı sistemin yavaşlatılması örneği:

Kullanıcı -> (Kullanıcı bir parola kelimesi seçer) -> parola

Sistem -> (Seçimi MD5 algoritmasına sokar) -> 8287458823facb8ff918dbfabcd22ccb

Yavaşlatma Sistemi -> (Var olan çıktıya Salt değeri ekler) -> md5($salt_degeri+8287458823facb8ff918dbfabcd22ccb)

Güncelleme işlemi -> (Bütün parola özetleri yeni değere göre güncellenir )-> “Güncel ve daha yavaş parola özetleri”

Salt değeri eklenmiş veya başka algoritmalarla iterasyona sokulmuş bir parola özeti daha “hızlı” yöne doğru geliştirilemez. Bunun nedeni kriptografik özet algoritmalarının tek yönlü olmasıdır. Yavaşlatma örneğinde eklenen Salt değeri aslında MD5 algoritmasının bir iterasyonudur. Yaygın kullanılan Salt ile depolama işlemi kullanıcının girdiği parola kelimesi ile işleme sokularak yapılan kriptografik özet işlemidir.

Yukarıdaki örneğe benzer olarak MD5 algoritmasının çıktıları SHA-512 algoritmasına veya tercih edilen başka bir algoritmayla işleme sokularak, parola depolama için kullanılacak algoritma daha yavaş hale getirilebilir. Bu algoritmalar kendi içinde bir algoritma oluşturabilecek şekilde farklı iterasyonlar ve kombinasyonlarla bir araya getirilebilir. Kriptografik açıdan benzer olmasa da, 3DES (Triple DES) algoritması fikir olarak buradaki anlatım ile benzerlik taşımaktadır. 3DES şifreleme algoritması, DES algoritmasının 2 düz 1 ters iterasyonu ile meydana getirilmiştir. Kriptografik özet algoritmaları için ters iterasyon mümkün olmasa da yazılımcılar farklı algoritmaları ve salt değerlerini kullanarak kendilerine özgün yeni algoritmalar oluşturabilir ve saldırganların işlerini zorlaştırabilirler.

Tinba Zararlı Yazılım Analizi

Son yıllarda siber tehditlerdeki artışın birincil nedenlerinden biri olan zararlı yazılımlar gittikçe daha karmaşık bir hal almaktadır. Bu tehditlerden biri de şu günlerde güvenlik çevrelerince sıklıkla dile getirilen Tinba zararlı yazılımıdır. CSIS tarafından adlandırılan bu zararlı yazılım tiny (küçük) ve bank (banka) kelimelerinin birleştirilmesinden oluşmaktadır. Sadece 18kb civarında olan zararlı yazılım özellikle banka uygulamalarını hedef almaktadır. Tinba’yı asıl önemli kılan ise özellikle Türkiye için özelleşmiş olması ve Türkiye üzerinde aktif olmasıdır.

tinba-sekil-1.jpg
Şekil 1 Son Dört Ayda Tespit Edilen Yayılma Haritası

Yayılma Yöntemi

Tinba yayılması için büyük oranda blackhole exploit alet çantası kullanmaktadır.

Amacı

Tinba veri çalmak için geliştirilmiş bir zararlı yazılımdır. İnternet tarayıcılarından kanca atma yöntemiyle oturum açma bilgilerini toplayabilmektedir. Ayrıca ağ trafiğini dinleme özelliği de mevcuttur. Bunların yanı sıra araya girme saldırıları ve belli web sayfalarının görünümünü değiştirme yöntemleriyle iki aşamalı yetkilendirmeyi aşabilme yeteneğine sahiptir.

Kendi kendini çalıştırma yöntemi

Zararlı yazılım çalıştıktan sonra kendisinin bir kopyası olarak “%APPDATA%\Default\bin.exe” (Windows XP işletim sistemi üzerinde”%systemDriver%\DocumentsandSettings\%UserName%\Application Data\default\bin.exe”) dosyasını oluşturmaktadır.

Bu dosyanın her oturum açılışında otomatik olarak çalıştırılabilmesi için de “HKCU\Software\Microsoft\Windows\CurrentVersion\Run\default” kayıt defteri girdisini oluşturmaktadır.

tinba-sekil-2.jpg

Dropper ve Çekirdek (core) Parçaları

İlk çalışan zararlı yazılım dosyası (dropper) yukarıda belirtilen ve kendisinin birebir kopyası olan dosyayı oluşturmaktadır. Sonrasında gerekli kayıt defteri (registry) ayarlarını gerçekleştirip, başta “winver.exe” (kendisi tarafından çalıştırılan), “svchost.exe” ve “explorer.exe” işlemleri olmak üzere kendi sahip olduğu haklar ile erişebileceği bütün işletim sistemi işlemlerine (processes) “dll injection” yöntemi ile sızmaktadır.

“Dll injection” yöntemi ile diğer işlemlerde çalıştırılan kod parçacığı asıl zararlı yazılım faaliyetlerini gerçekleştiren kısımdır. Temel olarak bu kod parçacığı, zararlı yazılım yönetim merkezi ile bağlantı kurma ve yeni çalıştırılan işlemlere sızma eylemini gerçekleştirmektedir. Çekirdek (core) olarak adlandırılan bu zararlı kod parçacığı 12866 byte’tan oluşmaktadır ve ilk çalıştırılan zararlı yazılım (dropper) içinde sadece 0x8A (örneğe göre değişmektedir) değeri ile XOR işleminden geçirilerek kodlanmıştır. Aşağıdaki şekilde bu çekirdek kodunu çözmesi ile ilgili akış şeması gösterilmektedir.

tinba-sekil-3.jpg
Şekil 2 Çekirdek Kodunun Encode Edilmesi

İlk çalıştırılan zararlı yazılım dosyası (dropper) çekirdeği aktif hale getirip diğer processlere sızma işini gerçekleştirdikten sonra çalışmasını sonlandırmakta ve eğer “%APPDATA%\Default\bin.exe” konumunda bir örneği yoksa çekirdek kod parçacığı tarafından buraya kendisini kopyalanmaktadır. Tüm bu işlemlerden sonra ilk çalıştırılan yerdeki örneğini silerek kendisini kullanıcıdan gizlemektedir.

Ağ bağlantıları:

Çekirdek çalıştırıldıktan sonra gerçekleştirdiği temel faaliyetlerden birisi de çekirdek içerisinde sabit olarak tanımlanmış yönetim merkezlerine bağlantı kurmaya çalışmaktadır. Her bir zararlı yazılım örneğinde sadece 4 adet sunucu ismi tanımlanmıştır.

tinba-sekil-4.jpg
Şekil 3 Bilinen Tinba Sunucu İsimleri

İsim çözme işlemi başarılı olduğu takdirde, tespit edilen ip adreslerine 80 inci porttan aşağıda örneklenen HTTP POST isteği (request) gönderilmektedir:

POST /dataSafer3er/ HTTP/1.1

Accept: text/html, application/xhtml+xml, */*

Accept-Language: en-US

User-Agent: Mozilla/5.0 (compatible; MSIE 9.0; Windows NT 6.1; Trident/5.0)

Content-Type: application/x-www-form-urlencoded

Accept-Encoding: gzip, deflate

Host: %hostname%

Content-Length:

Connection: Close

Cache-Control: no-cache

Kontrol sunucusu ve ele geçirilen bilgisayar arasındaki bu haberleşme HTTP protokolü üzerinden RC4 ile şifrelenmiş komutlar aracılığıyla gerçekleştirilmektedir..

Tespit Etme Yöntemi

Ağ üzerinde yukarıda belirtilen sunucu isimlerini çözmeye çalışan ve önemli ölçüde sabit HTTP POST isteği gerçekleştirilen bilgisayarların ağ trafiğinin takip edilmesi sonucunda Tinba zararlı yazılımı tespit edilebilir.

Aşağıdak bulunan IDS imzası veya oluşturulabilecek benzer imzalar aracılığı ile bu zararlı yazılım, saldırı tespit sistemleri tarafından tespit edilebilir.

alert tcp $HOME_NET any -> $EXTERNAL_NET 80 (msg:”Tiny Banker Trojan CNC”; sid:5001300; content: “/dataSafer3er/”; http_uri; flow:established,to_server; reference:url,www.bilgiguvenligi.gov.tr; classtype:trojan-activity;)

tinba-resi-5.jpg
Şekil 4 Örnek bir saldırı tespit sistemi tarafından tespit edilen Tinba zararlı yazılımı

Söz konusu bilgisayarda “%APPDATA%\Default\bin.exe” dosyasına rastlanması ve “HKCU\Software\Microsoft\Windows\CurrentVersion\Run\default” adres defteri kaydının bu dosyayı gösteriyor olması söz konusu bilgisayara Tinba zararlı yazılımının bulaştığını göstermektedir.

Temizleme Yöntemi

Anti-virüs uygulamaları Tinba virüsünü veritabanlarına dahil etmektedirler. Bu nedenle, anti-virüs uygulaması zararlı yazılım veritabanının güncellenmesi ve sonrasında zararlı yazılımın silinebilmesi için tüm bilgisayarda tarama işleminin gerçekleştirilmesi faydalı olacaktır.

Dosyanın bulaştığı bilgisayardaki “%APPDATA%\Default\bin.exe” dosyasının veya “HKCU\Software\Microsoft\Windows\CurrentVersion\Run\default” adres defteri kaydının silinmesi sonrası işletim sisteminin yeniden başlatılması Tinba zararlı yazılımından tamamen kurtulmak için yeterli olacaktır. Fakat kurumsal ve büyük ölçekli şirketlerin zararlı yazılımdan kurtulması zaman alabileceği düşünülerek, hızlı ve geçici bir çözüm olarak yukarıda belirtilen alan adı kayıtları kara listeye alınıp, güvenlik duvarı veya saldırı tespit/engelleme sistemleri tarafından engellenebilir.

Yukarıda bahsedilen temizleme yöntemini elle değil otomatik olarak gerçekleştirmek için aşağıda verilen betik “.vbs” uzantılı bir dosya olarak kaydedilip çalıştırılabilir.

on error resume next

dim DosyaSis
Set DosyaSis = CreateObject(“Scripting.FileSystemObject”)
Set WshShell = WScript.CreateObject(“WScript.Shell”)
bulundu = 0
DosyaYolu = wshShell.ExpandEnvironmentStrings( “%AppData%” ) + “\default\bin.exe”
KayitGirdisi = “HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run\default”

If DosyaSis.FileExists(DosyaYolu) Then
DosyaSis.DeleteFile DosyaYolu
Wscript.echo(“Tinba dosyası bulundu ve silindi”)
bulundu = 1
End If

WshShell.RegDelete KayitGirdisi
if not err.Number <> 0 then
Wscript.echo(“Tinba kayıt girdisi bulundu ve silindi. Bilgisayarınızı yeniden başlatmanız gerekmektedir.”)
bulundu = 1
End If

if bulundu = 0 Then
Wscript.echo “Tinba izini rastlanmadı.”
End If

Parola Analizi

Bu yazı, artık kullanımdan kalkmış bir bilgi sistemine ait kullanıcı hesaplarıyla yapılan parola analizini anlatmaktadır. Parola analizinin vereceği mesaj en son paragrafta bulunmaktadır.

Veritabanında bululan kullanıcı parolaları MD5 ile hash (kriptografik özet) edilmiş formatta tutulmaktadır. En azından, kabul edilebilir bir süre içerisinde kırılamayacak parolaların, açık metin (clear text) olarak tutulmamış olması güvenlik adına iyi bir yaklaşımdır.

Parolaların elde edilme süreci

Bu veritabanıyla analiz yapmaya zemin oluşturan iki özel sebep bulunmaktadır. İlki, hash değeri bulma işlemi neticesinde, uygulamada herhangi bir parola politikasının olmadığının fark edilmesi. Böylece insanların, herhangi bir şey dayatılmadığı durumda, özgür iradeleriyle nasıl parola oluşturdukları görülebilecektir. Diğer sebep ise, uygulama kullanıcılarının ülke vatandaşı olmalarıdır. Bu ise analizin asıl amacını, ülke insanının parola oluşturma alışkanlığını, bir açıdan ortaya koyabilmeyi sağlayacaktır.

Hash’lenmiş parolaların kırılma süreci

Parolaların okunabilir halini (açık metin) elde etmek için iki farklı yöntem kullanılmıştır.

Önce parolalar sadece sayılardan oluşan (0-9 aralığı) ve 4-8 uzunluğundaki bir gökkuşağı (rainbow) tablosunda aranmıştır. Yaklaşık bir kaç saat süren çok basit bir saldırıya hash’li parolaların %38’i yenik düşmüştür.

Bu yöntemle elde edilemeyen parolalar, daha önce hash değeri hesaplanmış parolalardan oluşan bir servisteki gökkuşağı tablolarında (milyar seviyesinde kayıt) aranmıştır. Yaklaşık bir gün süren sorgulama sonucunda hash’li parolaların %37’sinin açık metin karşılıkları elde edilmiştir. Bu iki işlem sonrası hash değeri çözülemeyen parolalar analiz dışında bırakılmıştır.

Analiz başlıyor

Açık metin hali elde edilen parolaların dört farklı bölümde analizi yapılmıştır, neden bu dört kategori sorusunun cevabı yazının akışında verilecektir.

Parolanın uzunluğu

Kullanılan karakter türleri

Tahmin edilme

Çok yerde kullanım

Parolanın uzunluğu

Anketler, güçlü bir parola oluşturma endişesinin akıllara getirdiği ilk önlemi “ne kadar uzunsa o kadar iyidir” olarak söylemektedir ve bu mantığı destekleyen bir gerçek de bulunuyor. Uzunluğun artması entropy (farklı bir sözcük üretebilme ihtimali) değerini arttıran en önemli iki parametreden biridir ve güvenli parola oluşturma politikasında kabul edilen bir prensiptir.

Ne yazık ki, uzunluk, ne kadar olursa tam olarak güvendeyiz sorusunun net bir cevabı yoktur. Bu sisteminizin kritikliği ve saldırıya açıklık potansiyeliyle orantılı olarak değişebilir. Fakat konuyu aydınlatacak şöyle bir laboratuvar çalışması yapılmıştır. Güvenlik ve kullanılabilirlik dengesi koşul olarak kabul edildiği durumda “8 karakter uzunluk minimum yeterliliktir” konusunda genel bir görüş mevcuttur.

Uzunluk grafiğine bakılacak olursa;

Parolalar yoğun olarak 6, 7 ve 8 karakterden oluşmaktadır ve bu kısım toplamın %63’üne denk gelmektedir. Grafikte tehlike arz eden sütunlar, diğer ifadeyle 8 karakterden az olanlar tam yarı yarıyadır.

Bu bölümü bitirmeden önce; çözülen parolalar arasında [10-14] karakter aralığında olanlarda bulunmaktadır. Öyleyse uzunluk tek başına bir önlem olmamalı!

Kullanılan karakter türleri

Parola seçerken önemli olan bu uzunluğun içinde kullanılan karakterlerin çeşitliliği olabilir mi? Bakalım öyle mi. 25 karakter uzunluğundaki bir parola hakkında ne düşünürsünüz? Peki, parolada 25 tene 1 rakamı kullandığını öğrenseniz fikriniz kaç derece değişir?

Parola oluştururken kullanılan karakter türleri (sayı, küçük harf, büyük harf, özel karakter gibi) ne kadar çeşitlilik gösterirse farklı bir sözcük oluşturma ihtimalide de o derece artmaktadır. Yeri gelmişken, kullanılan karakter uzayı da entropy değerini arttıran ikinci önemli parametredir. Bu bölüm için genelde kabul gören prensip, en az 3 değişik karakter türünün kullanılmasıdır.

Bu veritabanı için tercih edilen karakter türlerinin grafiksel gösterimi aşağıdaki gibidir.

Grafikten tek tür karakter kullanımının %89 olduğu okunuyor. Üç ve daha fazlası %1 bile değildir. Tür bazında bir istatistik alırsak:

Sayı ve/veya küçük harf kullanımı %98 seviyesindedir. Özel karakterler (noktalama işaretleri, semboller) bir yana büyük harf kullanımı konusunda dahi büyük bir direnç görülmektedir. Açık ve net görülüyor ki büyük karakter kullanmaya alışmak gerekiyor.

Tahmin edilme

Bu bölümde, oluşturulan bir parolanın daha önce başka bir kullanıcı tarafından seçilmiş olma ihtimalinden bahsedilmektedir. Bu bizi ne ilgilendirir sorusunun cevabı, “seçilmiş olma” yerine “tahmin edilebilir olma” gözlüğünü takınca net görülüyor. Mesela, e-posta adresinizi bilen herhangi birinin, parola olarak 123456 yazıp e-postalarınıza ulaşmayı denemesinin önünde herhangi bir engel var mıdır? Tahmin edilebilir parolalar sayesinde birçok sistemin ele geçirildiği de bilinen bir gerçektir. Parola tahmin etme işini meslek haline getirenlerin yaptıkları saldırılarla ele geçirdikleri parolalardan “sözlükler” oluşturduklarını ve bunları paylaştıklarını duyuyoruz.

Bu bölümdeki analize, “veritabanındaki kaç kullanıcı aynı parolayı kullanmış” tespitini yaparak başlarsak, bu adımın ciddiyeti noktasında biraz daha ikna olunabilir.

En çok kullanılan ilk on parola:

Olağan şüphelilerin tepesi hiç birimize yabancı gelmedi değil mi? Şu anda “Listedeki şu parolayı ben de kullanıyorum…” diyenler olmuş olabilir. Bu, neden tedirgin olunması gerektiğini söylüyor aslında.

Dünyada en yoğun kullanılan parolalar listesine bakınca aynı seçimler ve bir kısım benzerlikler görüyoruz. Farklı kara parçalarındaki bu ortak noktalarımızı izah edebilen makul bir yaklaşım vardır herhalde.

İlk 10 listesindeki rakamları genele oranlarsak iç açıcı bir istatistik oluşuyor, ilk 10 tüm listenin sadece %1 ine tekabül ediyor. Daha vurucu bir detay %90 parola hiç tekrarlanmamış. Kullanılan parolaların entropy değerinin düşük olduğuna az önceki uzunluk ve tür analizinde değinilmişti. Buna rağmen böyle bir oranın gelmesi şaşırtıcı olarak değerlendirilebilir. Peki, bu veriler ne kadar yeterli, ne derece bir şeyi ifade ediyor bunu sorgulamak için bir değerlendirmeye daha ihtiyaç bulunmaktadır.

Bu bölümün teyidi için ikinci analiz yöntemi ise, elde edilen kullanıcı parolalarını saldırı sözlüklerinde aramak olacaktır. İnternette elden ele dolaşan sözlükler daha çok yabancıların kullandığı parolalardan oluşturulmuştur, bu coğrafya insanının kullandığı parolayı yine bu ülke insanının parolalarından oluşan bir sözlük içinde aramak daha sağlıklı sonuç verebilir mi? Bu tarz vakalarla oluşturulan küçük bir sözlüğün çizdiği grafik aşağıdaki gibidir.

Maalesef üçte bir parola tahmin edilebilir durumda. Yani elde sadece kullanıcı adı olsa ve hash değerleri de hiç bir şekilde kırılamamış olsaydı, parolasının tahmin edilebileceği kullanıcı oranı %33 olacaktı. Bir üstteki analizle kıyaslayınca çok daha gerçekçi olan bu grafiğin söyledikleri pek iç açıcı değil.

Bu bölümün ışığında yorumlanması gereken bir durum, “Ankara1.” ve “Qwerty123456” parolalarının sözlükten çıkması, birisinde 4 farklı karakter türü var, diğeri ise 12 karakter uzunluğunda, demek ki sorun sadece iki prensibin uygulanmasıyla da (yeterli uzunluk ve karakter türleri kullanımı) çözülmüyor. Burada işaret edilmek istenen nokta, değişik (başkasının kullanmadığı veya henüz tahmin edilmeyen) bir parola oluşturmayla ilgili olmalıdır. Çünkü güçlü parola oluşturma prensiplerine uygun görünen bu iki parola da, daha önce başka bir/birkaç kullanıcı tarafından oluşturulmuş, daha ötesinde saldırı sözlüklerine dahi düşmüş durumda. Buradan, analize başlamadan önce yapılan hash çözme işleminde, parolası açık metin olarak elde edilemeyen %25’lik kesimin kolay tahmin edilemeyen ve başkasının kullanmadığı parola tercih ettiği anlaşılmaktadır.

Çok yerde kullanım

Parola hash değerlerinin alındığı veritabanı tablosunda, kullanıcı adı ve parola dışında, e-posta adresleri gibi başka kıymetli bilgiler de bulunmaktaydı. Çok yerde kullanım adına yapılacak çalışma şu olacaktır. “Burada elde edilen parola, aynı zamanda bu e-posta adresinin de parolası mıdır?” sorusunun cevabı aranabilir. Diğer bir ifadeyle kullanıcı e-posta adresinin parolasını bu uygulamada da kullanıyorsa, birden fazla yerde kullandığı tespit edilmiş olur. Bu sağlama işlemi kişisel veriler ve mahremiyet hakkı çerçevesinde siber ihlal suçu doğurabileceği için yapılmadı fakat gerçekleşseydi daha çarpıcı bir analiz ortaya çıkabilirdi.

Riski daha net görebilmek için şu bakış açısıyla olayı ele almak daha aydınlatıcı olabilir. Saldırgan bir veritabanını ele geçirdi ve parolaları bir şekilde açık metin olarak elde etti. Bu durumda kullanıcıyı diğer hesaplarının (gmail, facebook, twitter vs.) da ele geçirilmesinden kurtaracak tek şey ne olabilir? Tekillik. Çünkü kullanıcı diğer uygulamalarda da aynı parolayı kullandıysa, otomatik olarak diğer hesaplarını da kaptırmış olacaktır.

Bugüne kadar adını saymaya vaktimizin yetmeyeceği sayıda kurumun/şirketin kullanıcılarına ait parolalar ele geçirildi. Seviyeyi biraz daha yukarı çekersek, bu bölümü şöyle bir vurguyla sonlandırabiliriz. Google’a güvendiğim için çelik para kasamda kullandığım parolayı Gmail’de kullanabilirim mantığı bir gün ters köşe olmamıza sebep olabilir. Bekle ve gör mantığını işleterek, kasa boşaldıktan sonra da ikna olmanın bir anlamı yoktur. Hiçbir zaman Gmail, Google’ındır mantığıyla düşünmemek en kârlısı olacak.

Aynı parolayı neden kullanıyoruz?

Günümüz kullanıcılarının iş yerinde/özel hayatında kullandıkları; sistemler, bilgisayarlar, e-posta adresleri, bankacılık uygulamaları, facebook, twitter vs. bunların hepsi parola istiyor. Her hesaba farklı parola oluşturulacaksa nerden bakılsa on taneye yakın parolaya ihtiyaç var. Uzunluk, karakter türü ve tahmin edilemez bir değer üretme prensiplerini de dikkate alınca, sabır taşı testten geçiyor. Bu sınavdan çakan kullanıcıların aynı parolayı diğer hesaplarında da kullanması, aykırı bir durumdan çok neredeyse bir gereklilik oluyor. Bu noktada güvenlik ve kullanılabilirlik terazisinde kendinize biçeceğiniz kritiklik seviyesiyle orantılı olarak parola tekrarınızı yapacağınız sistemleri belirlemek size kalıyor.

Mesajınız var

Aslında bu çalışmanın ortaya koydukları hiç şaşırtıcı değil.

Analiz, parolaların 8 karakterden daha az, yoğunlukla sadece sayılardan ve her 3 tanesinden birinin başka biri tarafından da kullanılma olasılığı olduğunu söylüyor. Bu parolalarımızın kolay tahmin edilebilir ve başkalarının kullandığı parolalarla aynı olduğu anlamına geliyor.

Analizin ilk bölümü parola uzunluğu ve kullanılan karakter türlerinden bahsediyor ve minimum gereksinim olarak 8 karakter uzunluk ve 3 farklı çeşit karakter türü kullanılmasını tavsiye ediyor. Sonraki bölümde yeterince düşünülmeden oluşturulan parolaların tahmin edilebilir oldukları da hesaba katılarak, olabildiğince değişkenlik gösterecek bir parola seçilmesi öneriliyor. En son olarak mümkün olan her sistemde/uygulamada neden farklı bir parola kullanılması gerektiği açıklanıyor.

Son söz olarak, anlatımda parola oluşturmada düşülen hatalar vurgulanarak nasıl parola oluşturulmaz algısı verilmeye çalışılmış, ardından önlemler sıralanarak nasıl koruma sağlanabileceğinden bahsedilmiştir. Kullanıcıların hiçbir sisteme güvenmemeleri ve her zaman güçlü parola kullanarak kendilerini korumaları hatırlatılmış, zayıf parola sahibi olan kısımsa muhtemel karşılaşabilecekleri durumlar hakkında haberdar edilmiştir.
Emre SÜREN, TÜBİTAK BİLGEM

ikinci el eşya alan yerler | ikinci el eşya alanlar