Siber Güvenlik Raporu

Transkript

1 Siber Güvenlik Raporu 2015 İlk Çeyrek Bilgi Güvenliği Derneği Siber Güvenlik Raporu 2015 / 1. Çeyrek 1 1 1

2 Bilgi Güvenliği Derneği Hakkında Bilgi Güvenliği Derneği, bilgi güvenliği alanında faaliyet gösteren tarafsız bir ulusal sivil toplum kuruluşudur. Dernek, bireysel, kurumsal, ulusal ve evrensel boyutlarda bilgi ve iletişim güvenliği alanında teknik, bilimsel, sosyal ve kültürel faaliyetler yürütmek, üyelerinin mesleki gelişimini arttırmak ve kamu yararına faaliyet gösteren dernek olmak amacı ile 2006 yılında kurulmuştur. Hazırlayan Mehmet Meral Danışman Prof. Dr. Şeref Sağıroğlu Tel : Fax : bilgi@bilgiguvenligi.org.tr Adres : Maltepe Mahallesi Tuncer Sok. No.4/8 - Çankaya Ankara Türkiye Bilgi Güvenliği Derneği Siber Güvenlik Raporu 2015 / 1. Çeyrek 2 1 1

3 Yönetici Özeti 2015 yılının ilk aylarında siber güvenlik neredeyse her gün konuşuldu ve gündemden hiç düşmedi. Hedef odaklı siber saldırılar, veri açıklıkları ve güvenlik zafiyetlerinin yanında ülkeler arası siber güvenlik ilişkileri medya gündemini uzun süre meşgul etti. Bu rapor, 2015 yılının ilk 3 ayında yaşadığımız siber güvenlik olaylarına ilişkin açık kaynaklardan topladığımız bilgileri içermektedir. Bilgi Güvenliği Derneği olarak, 2014 yılı Siber Güvenlik Raporunu Şubat ayının sonlarına doğru yayınlamıştık [BGDSiber]. Adı geçen raporda, 2014 yılının siber güvenlik olaylarını ENISA, Symantec, Cisco ve Websense gibi kuruluşların yayınladığı raporlardan yararlanarak değerlendirmiş ve 2015 yılı beklentilerini paylaşmıştık. Raporumuzun yayınlandığı tarihten sonra Cyren, HP, Symantec ve FireEye firmaları 2014 yılına ilişkin siber güvenlik raporlarını açıkladılar. Raporun ilk bölümünde yeni yayınlanan bu raporları değerlendireceğiz. Rapor döneminin bütün ayları hedef odaklı siber saldırıların hiç hız kesmediği bir dönem olarak kaydedildi. Şubat ayı ise birçok büyük firmayı etkileyen kapsamlı veri açıklıklarının yaşandığı bir ay oldu. İkinci bölümde, 2015 in ilk çeyreğinde siber güvenlik gündemini dolduran bu olayları kronolojik sırayla olay türüne göre (veri açıklığı, hedef odaklı siber saldırı, güvenlik zafiyeti) kategorik olarak değerlendireceğiz. Raporun son bölümünde ise 2014 Siber Güvenlik raporunda yer verdiğimiz 2015 yılına ilişkin beklentilerin ilk çeyrekte yaşanan siber güvenlik olaylarına göre bir değerlendirmesine yer vermekteyiz. Bilgi Güvenliği Derneği Siber Güvenlik Raporu 2015 / 1. Çeyrek 3 1 1

4 İçerik Yönetici Özeti... 3 BGD 2014 Yılı Siber Güvenlik Raporu Üzerine Yılı İlk Çeyrek... 6 Ocak... 6 Veri Açıklıkları... 6 Hedef Odaklı Siber Saldırılar... 6 Güvenlik Zafiyetleri... 6 Şubat... 7 Veri Açıklıkları... 7 Güvenlik Zafiyetleri... 7 Hedef Odaklı Siber Saldırılar... 7 Mart... 8 Veri Açıklıkları... 8 Güvenlik Zafiyetleri... 8 Hedef Odaklı Siber Saldırılar... 8 BGD 2014 Raporunun 2015 Yılı Tahminleri Üzerine... 9 Bilgi Güvenliği Derneği Siber Güvenlik Raporu 2015 / 1. Çeyrek 4 1 1

5 BGD 2014 Yılı Siber Güvenlik Raporu Üzerine Cyren firmasının Mart ayı başlarında yayınladığı 2015 Cyberthreat Yearbook Report isimli raporuna göre bir önceki yıla oranla 2014 yılında, zararlı yazılım %50, phishing e-postaları %233, Android tabanlı mobil sistemleri etkileyen zararlı yazılımlar %61 oranında artış gösterdi [Cyren]. Mart ayı içerisinde yayınlanan FireEye (Mandiant) firmasının M-Trends 2015 raporu ise daha farklı alanlara dikkat çekmekteydi [Mandiant]. Rapora göre, sistemlerine bilgisayar korsanları tarafından girilen şirketlerin sadece %31 i veri sızıntısını kendi imkânlarıyla tespit edebilme kapasitesine sahipken, geriye kalan %69 i üçüncü parti firmalar tarafından bildirdikten sonra veri sızıntısından haberdar olmaktaydılar. Bilgisayar korsanlarının girdikleri sistemde fark edilmeden kaldıkları ortalama süre 205 gün, en uzun süre ise 2982 gün olarak raporda belirtilmektedir. Rapora göre, 2014 yılında geçmiş yıllara göre daha çok firma, sistemlerine girildiğini kamuoyuyla paylaşmıştı. HP firmasının hazırladığı Cyber Risk 2015 raporu ise 2014 yılı verilerini analiz ederek siber güvenlikte anahtar temaları belirlemiştir [HP]. Raporda bu temalar arasında, bilinen saldırı yöntemleri yaygın olarak devam etmekte, yanlış konfigürasyon hala güvenlik riskleri için en önemli sorun arasında yer almakta, yeni teknolojiler yeni saldırı alanı olarak ortaya çıkmakta, siber güvenlik yasal düzenlemelerinin en kısa zamanda yapılması gerekmekte, güvenli yazılım geliştirmenin önemi artmakta tespitlerine yer verilmiştir. Öbür taraftan, HP nin söz konusu raporunda ülkemizle ilgili farklı iddialara ver verilmiştir. HP nin daha sonra bu raporundaki iddialara kaynak olarak gösterdiği güvenlik bültenini web sitesinden kaldırdığı gözlemlenmiştir. Symantec in Nisan sonlarında yayınlanan 2015 Internet Security Threats raporu ise, 2014 yılında yapılan siber saldırıların %60 ının küçük ve orta ölçekli firmaları hedeflediğini tespit etmiştir [Symantec]. Geçen yıl toplam 317 milyon zararlı yazılım tespit edilmiştir. Rapor ayrıca, her 6 büyük firmadan 5 inin phishing saldırılarının hedefinde olduğunu, fidye yazılımlarının %113 artış gösterdiğini belirtmektedir. Symantec, ayrıca raporunda endüstriyel kontrol sistemlerine yönelik siber saldırılarda 2014 yılı içerisinde bir artış olduğunu gözlemlemiştir yılı içerisinde ortaya Bilgi Güvenliği Derneği Siber Güvenlik Raporu 2015 / 1. Çeyrek 5 1 1

6 çıkarılan BlackEnergy adı verilen zararlı yazılım ve Dragonfly isimli Rusya kaynaklı hedef odaklı siber saldırılar özellikle elektrik iletim hatlarını etkilemiştir. Dragonfly saldırılarının hedef ülkeleri arasında ülkemizin adı da geçmektedir Yılı İlk Çeyrek Ocak Veri Açıklıkları 2014 ün neredeyse her ayında sıklıkla karşılaştığımız veri açıklıkları 2015 yılının başında da hız kesmedi. Ocak ayı içerisinde büyük ölçekli bir veri açıklığı olmamasına rağmen, küçük ve orta ölçekli çok sayıda veri açıklığı çeşitli sektörlerdeki kurum ve kuruluşları etkiledi. Wingstop Restaurants, Malaysia Airlines, Aussie Travel Cover gibi firmalar Ocak ayında veri kaybına uğrayan kurban firmalar arasındaydı. Veri kaybından etkilenen toplam kişi sayısı 26 milyon olarak tahmin edildi [Ikanow]. Hedef Odaklı Siber Saldırılar Ocak ayında hedef odaklı siber saldırılar da büyük bir artış yaşandı. Fransız ordusunun siber güvenlik biriminin başındaki isim Coustilliere in basına verdiği bilgiye göre, Charlie Hebdo terörist saldırılarının ardından adet Fransız web sayfası siber saldırılara maruz kaldı. Alman Hükümetine ait bazı web sayfaları ise Rusya yanlısı CyberBerkut isimli bilgisayar korsanları tarafından çökertildi. The CyberCaliphate isimli İŞİD destekçisi hacker grubu ise ABD ordusunun Ortadoğu operasyonlarını yöneten Merkezi Komutanlığa (CENTCOM) ait YouTube ve Twitter hesaplarını ele geçirdi. Güvenlik Zafiyetleri Ocak ayının sonlarına doğru yılın ilk büyük ölçekli güvenlik açıklıklarından olan ve GHOST (CVE ) adı verilen güvenlik açıklığı duyuruldu. GNU C kütüphanesinde bir zafiyet olan GHOST, uzaktan kod çalıştırmaya sebep olan bir yığın taşmasından (buffer overflow) kaynaklanmaktaydı. Ocak ayının diğer kritik güvenlik zafiyetleri ise Adobe Flash Player da ortaya çıkan yılın ilk zero-day zafiyetleri olan CVE ve CVE idi. Bilgi Güvenliği Derneği Siber Güvenlik Raporu 2015 / 1. Çeyrek 6 1 1

7 Şubat Veri Açıklıkları Rapor dönemi içerisinde Şubat ayı en fazla veri açıklığı olaylarının yaşandığı ay oldu. Bunlar arasında en büyük ölçeklisi Amerikan sağlık sigortası firması olan Anthem Inc. in yaklaşık 80 milyon sigortalısına ait bilgilerin bilgisayar korsanları tarafından çalınması olayı idi. Sağlık sektörünün kamuyla paylaşılan ilk büyük ölçekli veri kaybı olayının arkasında Çinli hacker larin olduğu iddia edildi [WashPost]. Big Fish Games, TurboTax, Uber firmaları Şubat ayı içerisinde farklı nedenlerle veri açıklığına maruz kalan firmalar arasındaydı. Yaşanan 7 büyük veri açıklığından toplamda 140 milyon kişi etkilendi. Güvenlik Zafiyetleri Şubat ayında, Lenova dizüstü bilgisayarlarıyla önceden yüklenmiş olarak gelen SuperFish isimli programda kritik bir güvenlik zafiyeti olduğu ortaya çıktı. Bu zafiyet sahte güvenlik sertifikası kullanılarak, bilgisayarı kullanan kullanıcının bütün şifreli web trafiğinin (HTTPS) üçüncü şahıslar tarafından okunabilmesine imkân tanımaktadır. SuperFish in ardından güvenlik sertifikası üreticisi Comodo firması tarafından geliştirilmiş olan PrivDog isimli reklam önleyici programının da benzer güvenlik zafiyeti barındırdığı güvenlik araştırmacıları tarafından tespit edildi. Hedef Odaklı Siber Saldırılar Şubat ayı medyanın dikkatini çeken önemli hedef odaklı siber saldırıların açıklandığı bir ay oldu. Bunlardan ilki Suriye de yaşanan iç savaşın siber ortama yansımalarıydı. Bu saldırılar daha çok web sayfası çökertme veya sosyal medya hesaplarının ele geçirilmesi şeklindeydi. Ayın ilk günlerinde, FireEye firmasının açıkladığı rapora göre sahte Skype hesapları kullanarak Suriyeli rejim muhalifi gruplarla iletişime geçen saldırganlar, muhaliflerin bilgisayarlarına zararlı yazılım yerleştirip 7,7 GB boyutunda veri çalmayı başardılar. Saldırganların arkasında rejim destekçisi Suriye Elektronik Ordusu nun olup olmadığı belirlenemedi. Öbür taraftan Anonymous isimli hacktivist grup OpISIS adını verdikleri operasyon çerçevesinde İŞİD e ait yüzlerce Facebook ve Twitter hesabını ele geçirdiğini duyurdu. İŞİD destekçisi The CyberCaliphate ise Newsweek dergisine ait Twitter hesabını ele geçirdi. Ülkemizle ilgili olarak ise, bir bilgisayar korsanı ülkemizin sözde İŞİD e verdiği desteği Bilgi Güvenliği Derneği Siber Güvenlik Raporu 2015 / 1. Çeyrek 7 1 1

8 protesto etmek amacıyla Afyon Valiliği Afet ve Acil Durum Başkanlığına ait web sitesini geçici süreliğine erişilemez duruma getirdi Mart Veri Açıklıkları Mart ayı rapor dönemi içerisinde en az veri açıklığının yaşandığı aydı. Premera isimli ABD menşeli sağlık sigortası firması dışında büyük ölçekli veri kaybının yaşandığı bir olay rapor edilmedi. Premera olayda 11 milyon müşterisinin bilgilerinin çalındığını duyurdu. Güvenlik Zafiyetleri Mart ayının öne çıkan güvenlik zafiyeti internet ortamında güvenli haberleşmeyi sağlayan SSL mekanizmasının şifreleme altyapısındaki bir açıklığı istismar eden FREAK zafiyetiydi. Esasında, sorun ABD nin yıllarca ülke dışına güçlü şifreleme algoritmalarını ihraç edilmesini sınırlamasından kaynaklanmaktaydı. Yıllar önce SSL mekanizması, karşı tarafın sisteminde güçlü bir şifreleme algoritması yoksa haberleşmeyi daha düşük şifreleme algoritmasına düşürülmesine imkân sağlayacak şekilde tasarlanmıştı. ABD bu sınırlamayı kaldırmasına rağmen, SSL deki bu özellik devre dışı bırakılmadı. Bu özellik ise kasıtlı olarak araya giren üçüncü kişinin iletişimi daha zayıf şifrelemeye düşürdükten sonra, şifreli haberleşmeyi günümüzün güçlü bilgisayarlarıyla en fazla 7 saat içerisinde çözebilmesine imkân tanımaktadır. Bu özelliğin yıllar boyunca aktif olarak kalmasının arkasında NSA nin olduğu iddia edilmektedir [Freak]. OpenSSL kütüphanesinde bulunan ve erişimi engelleme (DoS) saldırısına imkân tanıyan ciddi dereceli bir kritik açıklık ise 19 Mart tarihinde yapılan bir güncelleme ile giderildi [OpenSSL]. Hedef Odaklı Siber Saldırılar Mart ayı içerisinde hedef odaklı saldırılar Şubat ayındaki eğilimindeydi. İŞİD destekçisi bilgisayar korsanlarının sosyal medya hesabı ele geçirme, site çökertme gibi etkinlikleri devam etti. Amerikan Dışişleri Bakanlığı nın kurumsal ağlarına Rus bilgisayar korsanları tarafından girildiği tespit edildi. Bakanlık zararlı yazılımı temizleyebilmek için günlerce bilgisayar sistemlerini erişime kapattı. Mart ayı sonlarına doğru, GitHub isimli yazılım geliştiricilerin açık kaynak kodlu projelerini web üzerinden Bilgi Güvenliği Derneği Siber Güvenlik Raporu 2015 / 1. Çeyrek 8 1 1

9 paylaşabilmelerine imkân sağlayan web sitesi Çinli bilgisayar korsanları tarafından erişimi engelleme (DDoS) saldırılarının hedefinde oldu. Saldırganların hedefinde özellikle Çin in Great Firewall isimli güvenlik duvarını aşabilmeye imkân sağlayan projeler vardı. Martin son gününde ülkemizin büyük bir kısmında yaşanan elektrik kesintilerinin kaynağının siber saldırı olabileceği geniş olarak tartışıldı. Resmi olarak kesintinin elektrik dağıtım şebekelerinde yaşanan sorundan kaynaklandığı açıklansa da, Nisan ayında Observer isimli bir web sitesi kesintinin arkasında İranlı Ashiyane isimli hacker grubunun olduğunu iddia etti [Observer]. HP nin Şubat ayında yayınladığı Cyber Risk 2015 raporunda Ashiyane grubunun yabancı devletlere yönelik düzenlediği siber saldırılarını rejimin onayı ile yaptığı iddia edilmişti [HP]. BGD 2014 Raporunun 2015 Yılı Tahminleri Üzerine 2014 raporunda sağlık sektörüne ait kişisel veriler daha çok bilgisayar korsanlarının hedefinde olacak tespitinde bulunmuştuk. Şubat ayındaki Anthem Inc. firmasına yapılan siber saldırılar bu tespite ilişkin ilk gözlem oldu. Bir diğer tespit, özel sektör ve kamu sektörü arasında özellikle sağlık, finans, ödeme ve savunma sanayilerinde bilgi ve istihbarat paylaşımının önemi artacak seklindeydi. ABD, 10 Şubat tarihinde duyurduğu yeni siber güvenlik kurumu Cyber Threat Intelligence Integration Center ile kurumlar arasında bilgi paylaşımı konusunda ilk adımı atanlardan oldu [CTIIC]. Ayrıca, Beyaz Saray ın 13 Şubat ta Silikon Vadisinden Apple, Yahoo, Microsoft gibi firmaların katılımıyla düzenlediği Siber Güvenlik Zirvesi ve zirvede Başkan Obama nin imzaladığı Kamu-Özel Sektör Bilgi Paylaşımı yönetmeliği bu amaca yönelikti. Devletler siber savaş ve siber casusluk için yatırım yapmaya ve silahlanmaya daha çok hız verecek ise 2014 yılı siber güvenlik raporunun 2015 yılına ilişkin bir diğer beklentisiydi. Kaspersky nin 16 Şubat ta açıkladığı rapora göre Equation Group adı verilen ve arkasında NSA nın olduğu iddia edilen APT (advanced persistent threat) grubu 2001 yılından itibaren 30 ülkedeki birçok kişi ve kurumun bilgisayarına zararlı yazılım yerleştirerek faaliyetlerini takip etmekteydi [Equation]. İddiaya göre, Bilgi Güvenliği Derneği Siber Güvenlik Raporu 2015 / 1. Çeyrek 9 1 1

10 zararlı yazılım bilgisayarların sabit disklerinin firmware alanına yerleştirildiğinden bilgisayar sıfırlansa bile yazılım yeniden aktif olabilmekteydi. Devletlerin yaptığı siber casusluk faaliyetlerine ilişkin bir rapor ise The Intercept isimli web sitesinde yayınlanan yeni bir Snowden belgesi idi. Belgeye göre, 2011 yılında NSA ve İngiliz muadili GCHQ dünyanın en büyük SIM kart üreticisi Gemalto nun sistemlerini hack lemişler ve dünyanın 80 ülkesinde bu SIM kartları kullanan kişilerinin iletişiminin şifrelerini çözmeye yarayan özel anahtarları çalmışlardı [Simhack]. Son olarak, ülkeler arasında siber güvenlik işbirliğine ilişkin ikili anlaşmalar imzalanacak tespitine yer vermiştik. Bu konuda basına yansıyan bilgilere göre, ABD ve İngiltere ile 16 Ocak ta ABD ve Hindistan 26 Ocak ta siber güvenlik işbirliği anlaşmaları imzaladılar [WhiteHouse, TheHill]. Bilgi Güvenliği Derneği Siber Güvenlik Raporu 2015 / 1. Çeyrek

11 Referanslar [BGDSiber] Meral, Mehmet. Siber Güvenlik Raporu:2014 den Öne Çıkanlar,2015 Tahminleri, Şubat 2015: [Cyren] Cyren, Inc Cyberthreat Yearbook., Mart 2015: [HP] HP Security Research Team. Cyber Risk Report Hewlett-Packard Development Company, Şubat 2015: [Mandiant] FireEye, Inc. M-Trends 2015, Mart 2015: [Symantec] Symantec, Inc. Internet Security Threat Report, Volume 20, Nisan 2015: [Ikanow] IKANOW. Significant Data Breaches January 2015, [WashPost] Washington Post. China suspected in major hacking of health insurer, [Freak] Green, Matthew. Attack of the week: FREAK (or 'factoring the NSA for fun and profit') [OpenSSL] OpenSSL Security Advisory. OpenSSL ClientHello sigalgs DoS (CVE ), [Observer] Observer. Iran Flexes Its Power by Transporting Turkey to the Stone Age [CTIIC] FoxNews.Com. Obama administration announces new cybersecurity agency [Equation] Kaspersky - Securelist Blog, Equation: The Death Star of Malware Galaxy [Simhack] Mashable. NSA and UK spies hacked world's largest SIM card manufacturer, report says, [WhiteHouse] The White House. FACT SHEET: U.S.-United Kingdom Cybersecurity Cooperation, [TheHill] The Hill. US, India boost cyber cooperation, Bilgi Güvenliği Derneği Siber Güvenlik Raporu 2015 / 1. Çeyrek