suleyman Özarslan - 2014 hackerların yükselişi

2014: Hackerların Yükselişi

Dr. Süleyman Özarslansuleyman@picussecurity.com Twitter: @su13ym4n

•  Kurucu ortak ve Ar-Ge yöneticisi @ PICUS SECURITY www.picussecurity.com

•  Öğretim üyesi @ ODTÜ Enformatik Enstitüsü Siber Güvenlik Yüksek Lisans Programı

•  Siber savunma uzmanı ve eğitmeni @ NATO SPS Bilim ve Barış için Güvenlik Programı

#whoami

•  Ransomware•  16 Milyon e-mail adresinin ele geçirilmesi•  Apple GoToFail Bug

Ocak  –  Mart  2014

•  Fidye zararlı yazılımları

1.  Kurban bilgisayardaki dosyaları şifreler.2.  Sonra dosyaları kurtarmak için fidye ister.

•  En ünlüsü: Cryptolocker•  Windows API’deki bir bugı kullanır

Ransomware

Cryptolocker  Ransomware

Cryptolocker  Ransomware

Cryptolocker  Ransomware

Cryptolocker  Ransomware

•  Kullanıcı farkındalığı•  Kullanıcı farkındalığı•  Kullanıcı farkındalığı•  Yedekleme•  Güncelleme•  Antivirüs

Cryptolocker  -­‐  Önlemler

•  Ransomware•  Hacklenen 16 Milyon e-posta•  Apple GoToFail Bug

Ocak  –  Mart  2014

•  Duyuruyu yapan: Alman Bilgi Güvenliği Kurumu (BSI)

•  16 milyon kullanıcı adı ve şifre ele geçirilmiş.

•  Alman nüfusunun 1/5 ‘i•  Yöntem: Antivirüslere yakalanmayan

küçük zararlı yazılımlar.

Hacklenen  16  Milyon  E-­‐posta

•  Ransomware•  Hacklenen 16 Milyon e-posta•  Apple GoToFail Bug

Ocak  –  Mart  2014

sslKeyExchange.c: hashOut.data = hashes + SSL_MD5_DIGEST_LEN; hashOut.length = SSL_SHA1_DIGEST_LEN; if ((err = SSLFreeBuffer(&hashCtx)) != 0) goto fail; if ((err = ReadyHash(&SSLHashSHA1, &hashCtx)) != 0) goto fail; if ((err = SSLHashSHA1.update(&hashCtx, &clientRandom)) != 0) goto fail; if ((err = SSLHashSHA1.update(&hashCtx, &serverRandom)) != 0) goto fail; if ((err = SSLHashSHA1.update(&hashCtx, &signedParams)) != 0) goto fail; goto fail; /* WTF J */ if ((err = SSLHashSHA1.final(&hashCtx, &hashOut)) != 0) goto fail; err = sslRawVerify(...);

•  Heartbleed

Nisan–  Haziran  2014

•  OpenSSL kriptografi kütüphanesinde ortaya çıkan bir bug

•  2 yıldan uzun bir süre hackerlar tarafından çaktırmadan kullanılmış

•  OpenSSL kullanan sunucuların hafızasından parola, private key vb. bilgilerin elde edilmesi

•  SSL kullanan sunucuların %17’sini etkilemiş

•  Örnek etki: 4.5 Milyon hasta verisinin çalınması

Heartbleed

•  Shellshock•  Apple cloud hack•  5 milyon Gmail hesabı•  2014 FIFA Dünya Kupası Brezilya

Temmuz  –  Eylül  2014

•  Etkilenen sistemler: Linux, Unix, Mac OS X•  Common Gateway Interface (CGI) kullanan

websiteleri bir anda hacklenebilir hale geldi •  CGI aracılığıyla The Bourne Again Shell (Bash)

üzerinde komut çalıştırmak mümkün hale geldi

ShellShock  (Bash  Bug)

•  Heartbleed açığı Poodle açığını döver J •  Poodle’da atak yapan kişinin man-in-the-middle

yapması zorunlu •  Herkese açık Wi-Fi noktaları

Heartbleed  vs  Shellshock

•  Shellshock•  Apple cloud hack•  5 milyon Gmail hesabı•  2014 FIFA Dünya Kupası Brezilya

Temmuz  –  Eylül  2014

•  Apple Cloud Hack – Giyinik olmayan ünlüler J•  Bir sonraki slide’da örnek fotoğraflar var

•  Telefondan 3 kere yanlış parola girilmesi = hesabın kilitlenmesi

•  API üzerinden binlerce parola deneme = ?

Apple  Cloud  Hack

•  Shellshock•  Apple cloud hack•  5 milyon Gmail hesabı•  2014 FIFA Dünya Kupası Brezilya

Temmuz  –  Eylül  2014

•  5 milyon Gmail kullanıcı adı ve parolası sızdırıldı.

•  Peki Gmail gerçekten hackendi mi?

5  Milyon  Gmail  Hesabı

•  Shellshock•  Apple cloud hack•  5 milyon Gmail hesabı•  2014 FIFA Dünya Kupası Brezilya

Temmuz  –  Eylül  2014

FotoğraTaki  yanlış  nerede?

Bu  Bir  İlk  Değil  J

•  Kerberos•  Sandworm•  Poodle•  Drupal 7•  Sony

Ekim  –  Aralık  2014

•  Bütün Microsoft Windows sürümlerini etkiledi•  Yetkisiz bir domain kullanıcısının yetkilerini

Domain Administrator yetkilerine yükseltmesine olanak sağlar.

•  Bu haklara sahip olan bir kullanıcı Domain Controller’lar dahil, Domain’de bulunan bütün bilgisayarlara erişebilir.

Kerberos  KDC  Açığı

•  Kerberos•  Sandworm•  Poodle•  Drupal 7•  Sony

Ekim  –  Aralık  2014

•  Microsoft Windows versiyonlarının tamamını etkiledi

•  Microsoft’un bit dosya içerisine başka bir dosya gömülmesine izin veren OLE (Object Linking and Embedding) teknolojisindeki bir açık

•  Örnek: Bir Word dökümanının içerisine bit Excel dosyası gömmek

•  Önşart: Bir kullanıcının özel olarak hazırlanmış bir dosyaya tıklamasını sağlamak

Sandworm

•  Kerberos•  Sandworm•  Poodle•  Drupal 7•  Sony

Ekim  –  Aralık  2014

•  Google tarafından Ekim ayında tespit edildi•  SSL 3.0 kullanan sunucular etkilendi.•  Ortadaki adam saldırısı (MiTM – man in the

middle) ile güvenli HTTP çerezleri (cookie) ele geçirilebiliyor.

•  Böylece saldırgan kurbanın çerezlerini çalıp internetteki hesaplarını ele geçirebiliyor.

•  En az Heartbleed kadar önemli (mi?)

Poodle

•  Heartbleed açığı Poodle açığını döver J•  Poodle’da atak yapan kişinin man-in-the-middle

yapması zorunlu•  Herkese açık Wi-Fi noktaları

Poodle  vs.  Hearbleed

•  Parolasız•  Bedava•  Güvenlik ?

Herkese  Açık  Wi-­‐Fi

•  Kerberos•  Sandworm•  Poodle•  Drupal 7•  Sony

Ekim  –  Aralık  2014

•  Drupal 7 Pre-auth SQLi•  SQL enjeksiyonu kullanarak açığın bulunduğu

websitesinde Admin haklarına sahip olmaya izin veriyor.

Drupal  7  Pre-­‐auth  SQLi

•  Kerberos•  Sandworm•  Poodle•  Drupal 7•  Sony

Ekim  –  Aralık  2014

Sony  Pictures  Hack  -­‐  Kasım

Sony  Pictures  Hack  -­‐  Kasım

Sony  Pictures  Hack  -­‐  Kasım

•  Regin•  Turla•  Energetic Bear•  Careto•  Cloud Atlas•  NetTraveller•  Operation Cleaver

2014  –  APT  yılı

Süleyman  Özarslan

suleyman@picussecurity.com

@su13ym4n