11 Haziran 2014 Değerli Müşterimiz, Barikat ArGe olarak; bilişim güvenliği alanında önemli bulduğumuz çalışmaları Türkiye yerel parametreleri dikkate alarak değerlendiriyor ve yorumluyoruz. Bu dokümanımızda; (Data Breach Investigations Report) çalışmasını yorumladık. Yorumlarımızın sizlere yararlı olacağını umar, keyifli bir okuma dileriz. Saygılarımızla, Barikat Bilişim Güvenliği ArGE Birimi İletişim Adresi: Mutlukent Mahallesi, 1961. cadde No: 9 / A- 1 PK: 06800 Ümitköy, Ankara, Türkiye Telefon Faks Web Sitesi Eposta : +90 312 235 44 41 : +90 312 235 44 51 : www.barikat.com.tr : bilgi@barikat.com.tr 1 1/37
- BOŞ BIRAKILMAMIŞTIR- Herbil Gürsel in anısına... 2 2/37
İÇİNDEKİLER 1. Yönetici Özeti... 4 2. Raporda Gözlenen Hususlar... 5 3. Analiz... 11 3.1. POS Saldırıları... 14 3.2. Web Uygulama Saldırıları... 18 3.3. Dahili Bilgi Sahiplerinin ve Ayrıcalıkların Suistimali... 20 3.4. Hırsızlık ve Kayıp... 22 3.5. Çeşitli Hatalar... 23 3.6. Suç yazılımları... 25 3.7. Sahte Ödeme Kartı Okuyucuları... 27 3.8. Siber Casusluk... 28 3.9. Servis Dışı Bırakma Saldırıları... 32 4. Sonuç... 33 5. İLETİŞİM BİLGİLERİ... 35 3 3/37
1. Yönetici Özeti Verizon; 2008 yılından beri, yılda bir defa olmak üzere DBIR (Data Breach Investigations Report) yayınlamaktadır. Bu raporlar, kapsam seneye ait rapor edilmiş olaylara (incident) ve sızıntılara (breach) ait verilerden derlenmektedir. Raporun esas hali bu dokümanımızda değinmediğimiz ilave kıymetli yorumlar ve tavsiyeler de içermektedir. Bizler bu değerlendirme raporumuzu incelemeniz sonrasında, eğer hala incelemediyseniz, ı da incelemenizi tavsiye etmekteyiz. Barikat olarak bu raporla ilgili özel bir değerlendirme yapmamızın sebepleri ise şöyle sıralayabiliriz. Değerlendirmelerin okuyucuya faydalı olacağını düşündük. Temel alınan rapor geçmiş yıllardaki verileri dikkate alarak karşılaştırmalı olarak hazırlanmıştır. Değerlendirme raporu hazırlayarak bu kritik bilgileri bütün halinde sunmayı amaçladık. Değerlendirmesi yapılan rapor yerleşmiş yanlış varsayımların yanlışlığını, gerçek verilerle ortaya koymaktadır. Bunların özellikle aktarmak istedik. Güvenlik problemlerini kimsenin ürün yatırımıyla çözemediğini, ülkemizde de konunun böyle çözülemeyeceğini bilimsel verilere dayanarak tekrar etmek istedik. Rapora temel olan olaylar ve sızıntılardan güvenlikle alakalı 9 temel kategori çıkartılabilmektedir. Bu kategorileri kendi kurumları için değerlendiren güvenlik uzmanları (savunanlar), saldırganlara karşı daha etkin olabileceklerdir. Bu bilgiyi yaymak istedik. DBIR 2014 raporun ve bizlerin bu çalışmasında bazı istatistiki verileri bulacaksınız. Bunlardan pek çok ülkemiz için henüz birebir aynı dağılımlarda olmadığını düşünebilirsiniz. Bizler de bu düşünceyi paylaşıyoruz. Ancak aynı dağılımlara birkaç sene sonra ülkemizde de ulaşılacağını (eğer gerekli tedbirler alınmazsa) değerlendirmenizi isteriz. Bu sebeple hem bizim değerlendirme raporumuz, hem esas rapor; ülkemiz bilişim güvenliği için erken uyarı sistemi olarak değerlendirilmelidir. Değerlendirme raporumuzun sonuç kısmındaki yorumlarımızı ise mutlaka gözden geçirmenizi tavsiye ediyoruz. Değerlendirme raporumuza esas dosyasına http://www.verizonenterprise.com/dbir/2014/ adresinden erişilebilirsiniz. 4 4/37
VICTIM DEMOGRAPHICS 2. Raporda Gözlenen Hususlar 2013 Readers yılı of DBIR the DBIR Raporu frequently 27 approach ülkeden us with gelen two veri important ile hazırlanmıştır. 2014 questions. yılı How DBIR generally raporu representative ise 95 ülkeden are the findings gelen veri of this ile hazırlanmıştır. never been higher. report? Are these findings relevant to my organization? To help get 2014 yılı raporunda 1,367 onaylanan sızma, 63,437 güvenlik But it s not olayı quite üstüne that simple. hazırlanmıştır. The charter, focus, methods, and you oriented with this year s report, let s see what the data has to 2014 show us. yılı raporunda 2004-2012 yılları arasındaki sızıntılar da dikkate alınmıştır. Bu The dokümanda; 2013 DBIR featured gizlilik, breaches bütünlük affecting organizations veya devamlılığa in 27 aykırı durumlar yaratan hususlar olay ; verinin countries. This year s report ups that tally by 350%, to 95 distinct contributors (see Appendix C), and we re very happy with that. kurum dışına çıktığı, yayıldığı olaylara da sızıntı denecektir. countries (Figure 1). All major world regions are represented, and we have more national Computer Security Incident Response Teams (CSIRTs) than ever before. Our ability to compare global trends has data differ so much between CSIRTs that it s difficult to attribute differences to true variations in the threat environment. 2 However, regional blind spots are getting smaller thanks to our growing list of Figure 1. Countries represented in combined caseload Countries represented in combined caseload (in alphabetical order): Afghanistan, Albania, Algeria, Argentina, Armenia, Australia, Austria, Azerbaijan, Bahrain, Belarus, Belgium, Bosnia and Herzegovina, Botswana, Brazil, Brunei Darussalam, Bulgaria, Cambodia, Canada, Chile, China, Colombia, Congo, Croatia, Cyprus, Czech Republic, Denmark, Egypt, Ethiopia, Finland, France, Georgia, Germany, Greece, Hong Kong, Hungary, India, Indonesia, Iran, Islamic Republic of, Iraq, Ireland, Israel, Italy, Japan, Jordan, Kazakhstan, Kenya, Korea, Republic of, Kuwait, Kyrgyzstan, Latvia, Lebanon, Lithuania, Luxembourg, Macedonia, the former Yugoslav Republic of, Malaysia, Mali, Mauritania, Mexico, Moldova, Republic of, Montenegro, Morocco, Mozambique, Nepal, Netherlands, New Zealand, Oman, Pakistan, Palestinian Territory, Occupied, Peru, Philippines, Poland, Portugal, Qatar, Romania, Russian Federation, Saudi Arabia, Singapore, Slovakia, Slovenia, South Africa, Spain, Switzerland, Taiwan, Province of China, Tanzania, United Republic of, Thailand, Turkey, Turkmenistan, Uganda, Ukraine, United Arab Emirates, United Kingdom, United States, Uzbekistan, Vietnam, Virgin Islands. VERIZON 2014 DATA BREACH INVESTIGATIONS REPORT 5 5 5/37
Dış tehditlerin öneminin azaldığı, iç tehditlerin yoğunlaştığı sürekli söylenmektedir. Oysa veriler durumun aksini göstermektedir. Dış tehditler, iç tehditlere göre çok daha fazladır. Türkiye de gerçekleşen olaylar veya sızıntılar için ideolojik veya siyasi sebepler 2013 yılına hakim olmuş olsa da; uluslar arası veriler farklı bir durum ortaya koymaktadır. 6 6/37
Bu verilere bakarak (sızıntıların saldırganların motivasyonuna göre yorumu) ticari ve casusluk amaçlarıyla sızıntıların gerçekleştiği; siyasi ve ideolojik amaçların eser miktarda olduğu anlaşılabilmektedir (Web uygulama saldırıları kategorisi bu noktada bir istisna yaratmakta ama toplamda eser miktarda kalmaktadır). Yukarıdaki grafiklerde bulunan finans alanı, finans kurumlarını vurgulamamaktadır. Saldırganların bu sızıntılardan ticari kazanç amaçladığı manasında finansal vurgu yapılmıştır. Türkiye de, dış unsurlar tarafından gerçekleştirilebilecek olayların tespit edilmesinin zorluğu endişe vericidir. Ülkemizde durumun böyle olmadığını düşünmek, aşırı iyimserlik olacaktır. Geçmişte bilişim sistemlerimize saldırarak başarı kazanan (olaylara sebep olanlar) ve sızıntılara sebep olanlar hep olayları kendileri duyurmuşlardır. Böyle olmadığı durumda da tespit edilememişlerdir (firmamızın bazı çalışmaları istisna oluşturmaktadır fakat oransal olarak çok ufak kalmaktadır). Ayrıca, saldırganlar bazı verileri çıkartırken bunların ticari değerlerini de önemsemekte veya bu verileri çıkartma çabasına ticari kazanç elde etmek umuduyla girmektedir. Eğer saldırgan düzenli kazanç imkanı sağlamış ise, zaten olayın veya başka olayların açığa çıkmaması için de çabalamaktadır. 2014 DBIR da görülen saldırı parametreleri ve verileri ülkemiz için henüz farklı olsa bile, ki biz bu dağılımın bazı alanlarda yaklaşık olarak benzer olması gerektiğini düşünüyoruz, ileride bu oranlarla karşılaşacağımızı düşünerek hazırlıklı olmalıyız. 7 7/37
Verizon DBIR çalışmalarının ilk zamanında (2003) kullanılan veri sayısı 2013 yılı rakamlarının yanında epey az kalmaktadır. Ancak bir sonraki grafik de açıkça gözükmektedir ki; belirli tehdit kategorileri de zaman içerisinde daha yoğunluk kazanmıştır. Zararlı kodların (virüs, malware, 0. Gün tehditleri içeren yazılımların) artış oranlarından daha yüksek bir oranda sosyal saldırıların arttığı görülmektedir. Bu durum; sosyal saldırılara karşı da ülkemizde tedbirler alınması gerektiğini göstermektedir. Sosyal saldırılara karşı ülkemizde alınabilecek temel önlemlerden birisi kullanıcı güvenlik farkındalığını artırmaktır. Tüm kullanıcıların güvenlik farkındalığını artıracak eğitim ve seminerleri bir plan içerisinde daha fazla düzenlemek, bunları elektronik ortamda ulaşılabilir yapılarda tutmak gerekmektedir. Hacking başlığı altında değerlendirilebilecek faaliyetler geniş küme oluşturuyor olsa da; Social ve Malware kategorisi toplamlarının Hacking kategorisinden fazla olduğu görülmelidir. Bilgi sızıntısının gerçekleştiği olaylarda (breach), sızıntıların hangi varlıklarda olduğunun incelenmesini sağlayan tablo bir sonraki grafik de bulunmaktadır. 8 8/37
Sızıntının gerçekleştiği sistemler içinde sunucu sistemlerin oranının yüksek olmasını normal bulmaktayız. Ancak, kullanıcı cihazları ve şahıslardan kaynaklanan sızıntılarının toplamlarının sunuculara yakın çıktığı gözlenmelidir. Bu da bizlere farkındalık eğitimlerinin ve kullanıcı sistemlerinin üstünde veri gizliliği anlamında alınması gereken tedbirlerin önemini bir kez daha hatırlatmaktadır. 2014 Verizon DBIR çalışmasında en çok ilgimizi çeken dağılım ise şu grafikte görülebilmektedir. 9 9/37
Bu grafikte kırımızı Time to compromise olarak belirtilen kısım, saldırganların gün veya daha az zamanda (saat, dakika vb) sistemlere nüfuz etme oranını göstermektedir. 2004 yılında incelenen sızıntıların %75 inde saldırganlar gün veya saat mertebesinde sistemlere nüfuz etmeyi başarmışlardır. Geriye kalan ve sızıntıların %25 ini oluşturan dilimde ise, saldırganlar sızıntı olan sistemlere ay veya yıl mertebesinde nüfuz edilebilmişlerdir. Bununla birlikte savunanlar 2004 yılında %20 civarındaki sızıntıyı ancak gün veya saat mertebesinde bulabilmiştir. Sızıntıların %80 ini ay veya daha fazla bir mertebede fark edebilmişlerdir. 2013 verisine bakıldığındaysa; saldırganların sızıntıların olduğu sistemlerinin %90 ına (2004 yılına göre %15 daha iyi!) gün ( veya daha az ) mertebesinde nüfuz edebildiği görülmektedir. Savunanlar ise 2004 yılı verilerine göre kayda geçen bir gelişme gösterememiş ve gene sızıntıların %20 sini gün (veya daha az) kalan %80 ini ay (veya daha fazla) mertebesinde fark edebilmişlerdir. Saldırganların saat veya gün mertebesinde ele geçirdiği sistemlerin ele geçirildiğini savunanlar ay veya yıl mertebesinde fark edebilmişlerdir. Bu sebeple bu grafik, 2014 DBIR çalışmasının en etkileyici grafiklerindendir. Bilişim güvenliği alanında 10 yıldır ne yapılageliyorsa; bu yapılanların yanına artık farklı şeyler koymamız ve bunu hemen yapmamız gerektiğinin kanıtı veya habercisi olarak da değerlendirilmelidir. 1 0 10/37
3. Analiz raporunun güvenlik sektörüne en kıymetli katkısı, gerçek verilerden çıkarttığı 9 saldırı kategorisidir. Detayları bu inceleme raporunun kapsamında olmayan ve esas dokümanda detaylı açıklanan sınıflandırma metodolojisi ile: Son 1 yılın verilerinin %95 i Son 3 yılın verilerinin %94 ü Son 10 yılın verilerinin %92 si açıklanabilmiştir. Verizon raporlarına konu olan olaylar dışında da (VCDB gibi) bu metodolojiyi kullanmış ve 100,000+ olayın %92 si, bu sınıflandırmalarla açıklanabilmiştir. Çalıştığımız kurum veya firmanın yapısı ne olursa olsun, sırf bu 9 kategoriye ve detayına eğilerek, karşılaşılabilecek saldırıların %90+ oranındaki bir küme adreslenebilmektedir. Bu savunan kesim için değerlendirilmesi gereken ciddi bir avantajdır. Bu kategoriler: Satış noktası sistemleri saldırıları (POS intrusions) Web uygulama saldırıları (Web APP Attacks) Dahili Bilgi Sahiplerinin ve Ayrıcalıkların Suistimali (Insider Misuse) Hırsızlık ve Kayıp (Physical Theft /Lost) Çeşitli Hatalar (Miscellaneous Errors) Suç yazılımları (Crimeware) Sahte Ödeme Kartı Okuyucuları (Card Skimmers) Siber Casusluk (Cyber- espionage) Servis Dışı Bırakma Saldırıları (Dos- DDOS) Olarak belirtilmiştir. Bu 9 kategori çok çeşitli sektörlerden gelen verilerin incelenmesi sonucunda oluşturulmuştur. Ancak böyle olması, kategorilerin hepsinin bir kurum için geçerli olacağı anlamına da gelmemektedir. Kurumlar bu kategorileri kendi iş stratejileri ile eşleştirmeli ve ona göre bir aksiyon planı oluşturmalıdır. 1 1 11/37
But wait there s more! Act now, and we ll throw in all security incidents not just breaches from all partners and the VERIS Community Database (VCDB) over the last ten years for free! Yes, all for the same price of nine patterns, you can describe 9 of 100K+ security incidents! We dig into each incident pattern in the following sections, but you can see from Figure 16 that POS intrusions, web app attacks, cyberespionage, and card skimmers are among the top concerns when we focus on data disclosure. However, it s not enough to just identify and count the patterns as a whole. Remember that promise from last year We may be able to reduce the majority of attacks by focusing on a handful of attack patterns? Consider it fulfilled. To us, this approach shows extreme promise as a way to drastically simplify the seemingly endless array of threats we must deal with to protect information assets. Savunanların mücadele ettiği konuları sınıflandırılabilmesi metodolojik bir yaklaşımın temelidir. Kategorileri verileriyle incelemek gerekirse, şu grafiğe bakmak gerekir. Figure 16. Frequency of incident classification patterns 2013 breaches, n=1,367 2013 incidents, n=63,437 2011-2013 breaches, n=2,861 POS Intrusions 14% < 3 Web App Attacks 35% 6% 2 Insider Misuse 8% 18% 8% Physical Theft/Loss < 14% Miscellaneous Errors 25% Crimeware 4% 20% 4% Card Skimmers 9% < 14% DoS Attacks < 3% < Cyber-espionage 2 15% Everything else 6% 1 5% Figure 17. Grafikten Number of selected ilk bakışta incident göze classification çarpmayabilecek patterns over time Percent of selected incident classification patterns over time ama bizlerce önemli olan husus sızıntı (breach) ile olaylar (incidents) 1,000 arasındaki kategori oran farklılıklarıdır. 100% Bu 750 kategori oran farkları, o kategorideki saldırıların etkinliği 75% olarak değerlendirilip formüle edilebilir. Bir kategorinin sızıntı (breach) oranının olay (incident) oranına bölünmesi ile elde edilecek değer bu manada kullanılabilir. POS Intrusions 500 Bu tanıma göre en etkili 4 kategori şunlardır : 250 POS Web Attack Card Skimmers Card Skimmers Insider Misuse 2009 2010 2011 2012 Cyber Espionage POS Intrusions Cyberespionage Web App Attacks 2013 Figure 18. 50% 25% Card Skimmers Insider Misuse Cyber-espionage 2009 2010 2011 2012 Web App Attacks 2013 POS (point of sale) sistemlerinde, 63,437 olayın %1 i görülmüştür. Ancak bu %1, 2013 yılında 1367 veri sızıntısının %14 ünü oluşturmaya, 2011-2013 yıllarında ise sızıntıların %31 ini oluşturmaya yeterli olmuştur. 14 VERIZON ENTERPRISE SOLUTIONS 1 2 12/37
Bu manada saldırganlar için oldukça verimli bir saldırı vektörüdür. Ülkemizdeki elektronik olarak POS sistemleri barındıran (satış portallari vb) ve fiziksel olarak bu POS verilerini işleyen (büyük alışveriş zincirleri vb) yapıların bu bulguları dikkate alması, güvenlik yapısını bu bakış açısıyla değerlendirmesi ve gerekiyorsa ilave tedbirleri alması gerekmektedir. Web saldırıları, POS da olduğu kadar verimli (!) olmasa da; saldırganlar için sızıntı/olay oranı değerlendirildiğinde dikkat edilmesi gereken bir kategori olduğu ortaya çıkmaktadır. Web sayfaları ve uygulamaları güvenli kılmak, sadece bu bileşenler özelinde değerlendirilmemelidir. Bu bileşenler ele geçerse tüm kurumun ele geçmesine engel olacak yapılar tasarlanmalıdır. Böyle bir durumun erken tespitine imkan tanıyacak uyarı mekanizmalarının kurulması da, ilk üç yapılacak çalışma arasına alınmalıdır. Ticari ve ulusal çıkarlar anlamında değerlendirilmesi gereken siber casusluğun oranı tüm DBIR raporunun en can sıkıcı kısmıdır. Saldırganların sebep olduğu olayların içerisinde %1 oranında siber casusluk olayı olsa da; sızıntıların %22 si siber casusluk alanında olmuştur. Firmalar için ticari sırlarını saklayamamak olarak bakılabilecek, kamu kurum ve kuruluşlar olarak ulusal çıkarlara dolaylı zarar vermek olarak bakılabilecek bu başlık: her hangi bir üretici ürünü beğenmek ve kullanmayı yeterli görmekten her hangi bir bütünleştiricinin/entegratörün yaptığı satış odaklı çalışmaları yeni nesil güvenlik tedbirleri olarak değerlendirmekten her hangi bir güvenlik bütçesinin yanlış önceliklerde kullanılmasından her hangi bir güvenlik standardını uygulamayı yeter çözüm olarak görmekten siber güvenlik konularıyla ilgilenen kurumları tek sorumlu ve aksiyon alması gereken otorite olarak değerlendirmekten kaynaklanmaktadır. da toplanan verilerin ortaya koyduğu durumun ülkemizde de böyle olduğunu düşünmek ve buna göre kurumumuz veya firmamızda güvenlik çabalarını yönlendirmek doğru bir yaklaşım olacaktır. Tek başına bazı veriler bile; şimdiye kadar yaptığımız güvenlik yaklaşımı neyse onun yerine veya en azından yanına, çözüme odaklı metodolojik çabaları hemen koymamız gerektiğini göstermektedir. 1 3 13/37
-OF-SALE (POS) INTRUSIONS CE tion tries ency ings 3.1. POS Saldırıları Remote attacks against the environments where retail transactions are conducted, specifically where card-present purchases are made. Crimes involving tampering with or swapping out devices are covered in the Skimming pattern. DBIR 2014 raporunda konaklama, gıda ve perakende satış sektörü bu saldırılara daha çok maruz kalmıştır. Accommodation and Food Services, Retail Geçen yıllara göre düşüş eğiliminde olan POS saldırılarında, saldırılan unsurlar Perakende zincirlerinde uç noktada kredi kartını işleyen istasyonlar 198 total incidents Perakende zincirlerinde merkezi olarak kredi kartları ile ilgili işlem yapan sistemler 198 with confirmed data disclosure Uç noktada tahsilat amaçlı kullanılan IP adresine sahip ve 3g/wifi bağlantı kuran sistemler Given recent headlines, some may be surprised to find that POS intrusions are trending down over the last several Diğer years. alakalı That s ödeme mainly sistemleri because we ve seen comparatively fewer attack sprees involving numerous small franchises. Brute forcing remote access connections to POS still leads as the primary Olarak intrusion değerlendirilebilir. vector. A resurgence of RAM scraping malware is the most prominent tactical development in 2013. 2013 yılı verilerine göre web uygulamaları tabanlı saldırılar ile POS tabanlı saldırılar arasında of you will come to this section hoping to iculars and dirty laundry of a certain breach or U.S. retailer in late 2013. Prepare to be e don t name victims in this report nor do t-specific information on any breaches of the DBIR contributors. If you want up-tos on particular breaches, you d best look consolation prize, however, we hope you ll all analysis of two hundred POS intrusions n 2013, along with recommendations on how creasing that number in 2014. Figure 20. Comparison of POS Intrusions and Web App Attacks patterns, 2011-2013 60% 40% POS Intrusions st commonly affected by POS intrusions are taurants, hotels, grocery stores, and other retailers are all potential targets. Recent breaches of several large retailers have brought s to the forefront. But at the risk of getting r on you we ve been talking about this for is the main cause of the large dip in 2012 seen er time charts in this report. We were writing ers before anyone heard of them and we re ll that into them anymore because they ve sold stream. POS hacks are getting more press recently, een going on for years and we really have talked hem in previous DBIRs. The media frenzy ash, but from a frequency standpoint, this small-and-medium business issue. Focusing ers and headlines can reflect cognitive bias. e may be surprised that the number of POS nd 2013 is substantially lower than the number and 2011 (despite having ten times more 1 4 Web uygulamalarındaki artış gözlenebilmektedir. POS olaylarının nasıl fark edildiği incelendiğinde e latter years). Figure 20 reminds us that our risk should always come back to the data, not headlines and marketing fodder. 20% Web App Attacks 2009 2010 2011 2012 2013 From an attack pattern standpoint, the most simplistic narrative is as follows: compromise the POS device, install malware to collect magnetic stripe data in process, retrieve data, and cash in. All of these attacks share financial gain as a motive, and most can be conclusively attributed (and the rest most likely as well) to organized criminal groups operating out of Eastern Europe. 3 Such groups are very efficient at what they do; they eat POSs like yours for breakfast, then wash em down with a shot of vodka. While the majority of these cases look very much alike, the steps taken to compromise the point-of-sale environment offer some interesting variations. VERIZON ENTERPRISE SOLUTIONS 14/37
ethods for POS Intrusions (n=197) rnal rnal law ent tion mer IDS ser < < 1 5 14% 1 POINT-OF-SALE INTRUSIONS WEB APP ATTACKS INSIDER AND PRIVILEGE MISUSE %99 oranında dış kaynaklı sebeplerle saldırıların fark edildiği görülmektedir. Ayrıca saldırılarla ilgili is ele another geçirme, commonality bilgi shared sızdırma in 99% ve of the fark cases: edilme someone davranışlarının sürelerine based else told entirely the victim on when they the had criminals suffered want a breach. to start This cashing is no in on bakıldığında PHYSICAL THEFT AND LOSS MISCELLANEOUS ERRORS w large the victim organization was or which ed to steal payment card information, there nality shared in 99% of the cases: someone im they had suffered a breach. This is no years past, and we continue to see notification nt and fraud detection as the most common s. In many cases, investigations into breaches CRIMEWARE r victims, which explains why law enforcement of discovery and the top contributor of POS ataset. Long story short, we re still discovering aches only after the criminals begin using their r fraud and other illicit purposes. ATION: AN INCENTIVE PROBLEM 75% PAYMENT CARD SKIMMERS CYBER- ESPIONAGE DOS ATTACKS THING SE 99% e NHTCU, the impact of botnets the Swiss ybercriminals remained high in 2013. hey note an apparent incentive problem when igating these crafty menaces. Since the net is often spread around the globe, federal n t always able to amass resources to fight it vel. While the total damage of such a botnet, specific countries only deal with a small amages. The initial costs for fighting such a em to outweigh the benefits of its takedown. the NHTCU continue to fight botnets. In 13, public broadcaster NOS presented t of a dropzone of the so-called Pobelka n online checking tool was made available, e checked to see if their machines had (at Figure 24. Top 5 discovery methods for POS Intrusions (n=197) All External All Internal Ext - law enforcement Ext - fraud detection Ext - customer Int - NIDS < 14% 1 75% 99% Int - reported by user < The timelines in Figure 25 reinforce both the compromise vectors Regardless and the of discovery how large methods. the victim Entry organization is often was extremely or which quick, methods as one were would used expect to steal when payment exploiting card stolen information, weak there passwords. Most often it takes weeks to discover, and that s their different bounty. than in years past, and we continue to see notification by law enforcement and fraud detection as the most common Figure 25. discovery methods. In many cases, investigations into breaches Timespan of events within POS Intrusions will uncover other victims, which explains why law enforcement is the top method of discovery and the top contributor of POS Discovery n=178 Exfiltration n=169 Compromise n=169 intrusions in our dataset. Long story short, we re still discovering payment 5 card breaches only after the criminals begin using their ill-gotten gains 36% for fraud and other illicit purposes. 2 1 5% 0% BOTNET MITIGATION: AN INCENTIVE PROBLEM According to the NHTCU, the impact of botnets the Swiss Army knife of cybercriminals remained high in 2013. Furthermore, they note an apparent incentive problem when it comes to mitigating these crafty menaces. Since the 1 impact of a botnet is often spread around 0% the 0% globe, 0% federal authorities aren t always able to amass resources to fight it on a national level. While the 85% total damage of such a botnet might be large, specific countries only deal with a small part of these damages. The initial costs for fighting such a botnet don t seem to outweigh the benefits of its takedown. Nevertheless, the NHTCU continue 13% to fight botnets. In February 0% 0% of 2013, 0% public broadcaster NOS presented 0% findings on part of a dropzone of the so-called Pobelka botnet. After an online checking tool was made available, 500,000 people checked to see if their machines had (at some time) been infected; of that group, 23,000 selfidentified as victims. Seconds 88% Minutes Hours Days Weeks Months Years Never By then, the dropzone had been examined for correlations with a 2012 malware outbreak that had prompted a criminal investigation. Sixteen organizations within the vital infrastructure were informed of being infected, and relevant infected IP addresses had been communicated to the respective ISPs. The timelines in Figure 25 reinforce both th vectors and the discovery methods. Entry is quick, as one would expect when exploiting s passwords. Most often it takes weeks to dis based entirely on when the criminals want to their bounty. Figure 25. Timespan of events within POS Intrusions Discovery n=178 Exfiltration n=169 Compromise n=169 5 0% 0% 0% Seconds 36% 88% Minutes Hours 15/37 2 1 Days 1 0% 85% Weeks 5% 13%
POS sistemlerine sızmanın %87 sinin saat mertebesinde olduğu, verilerin saat mertebesinde çıkartıldığı ancak fark edilmenin haftalar mertebesinde olduğu görülebilmektedir. Sızıntının fark edilmesi ile ilgili diğer bir acı gerçek ise; sızıntının, kurbanlara başkaları tarafından bildirilmesidir. Başka bir sızıntının detaylarının araştırılması aşamasında diğer kurbanlar da tespit edilmekte ve emniyet güçlerine bildirilmektedir. Bu değerlendirme raporunun hedef aldığı okuyucu ve müşteri kitlesinde fiziksel POS sistemlerinin aktif olarak kullanıldığı tahmin edilmemekle birlikte, bu raporun okuyucuları arasında Çevrimiçi (online) sistemlerle kredi kartı bilgilerinin elektronik olarak işlendiği ve provizyon alan sistemleri yöneten sorumlular olduğu, Fiziksel POS sistemleriyle ilgili regülasyonları düzenleyen kurum ve kuruluşlarının çalışanlarının bulunduğu Değerlendirilmektedir. Bu sebeple elektronik olarak ödeme kartı işleyen uygulama ve sistemlerin işlediği bilgilerin bir kopyasının saklanmasını sağlayabilecek zararlı yazılımların bu sistemlere uzaktan veya merkezi olarak yüklenebileceği değerlendirilmelidir (http://thehackernews.com/2014/05/new- point- of- sale- malware- compromises.html). Bu manadaki sistemlere yönelik özel tedbir ve kontrollerin alınması tavsiye edilmektedir. Bu tavsiye ve kontrollerle alakalı firmamız tavsiyeler vermekten memnun olacaktır. POS sistemleri ile ilgili regülasyonlar koyan kurum ve kuruluşların, bu regülasyonlarda POS saldırı vektörlerine yönelik tedbirlere yer vermesinin yararlı olacağı düşünülmektedir. Bu vektörler belirlenirken 1 6 16/37
Let s start with the most frequent scenario, which affects small businesses that may or may not realize just how lucrative a target they are. This event chain begins with the compromise of the POS device with little to no legwork; the devices are open to the entire Internet and, to make matters worse, protected with weak or default passwords (and sometimes no passwords). was that the same password was used for al managed by the vendor. Once it was stolen, i a default password and the attackers also ga the customer base. Armed with this informa modus operandi of installing malicious code transmitted the desired data began. Figure 21. Top 10 threat action varieties within POS Intrusions (n=196) Figure 22. Hacking variety within POS Intrusions (n=1 RAM scraper [mal] Export data [mal] Brute force [hac] Use of stolen creds [hac] Offline cracking [hac] Use of backdoor or C2 [hac] Spyware/Keylogger [mal] 8% 37% 50% 79% 85% Brute force Use of stolen creds Offline cracking Unknown Use of backdoor or C2 SQLi < 9% 9% Backdoor [mal] Misconfiguration [err] Phishing [soc] < < Figure 23. Hacking vector within POS Intrusions (n=18 3rd party desktop Raporunda The top three geçen threat vektörler actions tell the başlangıç story rather için well dikkate (Figure 21). alınabilir. Bu grafik, POS sızmalarında en çok kullanılan The perpetrators 10 saldırı scan vektörünü the Internet for içermektedir. open remote-access Bu vektörleri ports ortadan Physical kaldıracak access and if the script identifies a device as a point of sale, it issues tedbirlerin neler olabileceği bu değerlendirme raporunun kapsamı değildir ancak POS Backdoor saldırılarına or C2 likely credentials (Brute force) to access the device. They then yönelik alınabilecek tedbirler install malware ve tavsiyelerle (RAM scraper) ilgili to collect detay and değerlendirmelerimizi exfiltrate (Export aktarmamız için, firmamız web sayfasındaki data) (www.barikat.com.tr) payment card information. formaları veya diğer yolları (bilgi@barikat.com.tr) VNP kullanarak bizlerle iletişime One finding geçebilirsiniz. that intrigued us is the renaissance of RAM scraping malware as the primary tool used to capture data. RAM scrapers allow payment card data to be grabbed while processed in memory (where it is unencrypted) rather than when stored on disk or in transit across the network (where it is (ostensibly) encrypted). It s interesting, but not necessarily surprising, that RAM scraping has usurped keyloggers as the most common malware functionality associated with POS compromises. One could theorize that keyloggers (most of which were common varieties such as Perfect Keylogger and Artemis) are more easily spotted than the memory-scraping code we witnessed in this data set. Or perhaps the RAM scrapers, which hook into specific processes of the POS software, simply do the job better and more efficiently. In years past, we analyzed attack sprees that spanned multiple victims with no association with each other beyond the use of truly awful passwords. This report features almost 200 incidents, but in prior years we saw over 200 victims for one criminal group. The two biggest sprees in our 2013 dataset, one involving several franchisees of the same company, and the other affecting multiple corporations, are a bit different, and lead us to our second common scenario: the use of stolen vendor credentials. In one case the credentials stolen belonged to a point-of-sale vendor and were compromised via Zeus malware infecting the vendor s systems. The big problem among these Desktop sharing Web application Command hell < < 9% While not as common as the simpler POS int does include several incidents from the first that feature a compromise at a corporate lo widespread compromise of individual locati code installations across a multitude of stor begun with a store compromise that led to p corporate network, but the hub-and-spoke a for efficient traversal of the network and th compromise was magnified regardless of wh located. 1 7 VERIZON 2014 DATA BREACH INVESTIGATIONS REPORT 17/37
PH MISCELLANEOUS ERRORS CRIMEWARE 3.2. Web Uygulama Saldırıları DBIR 2014 raporu bu saldırıların attacks in the iki 2013 yolla dataset. yapıldığını Just under belirtmektedir. two out of every three Ya uygulama da bulunan zayıflıklar kullanılmakta, ya web da app çalınan/bulunan attacks were attributable kullanıcı to activist yetkileri groups ile o driven kullanıcıymış by gibi uygulamada hareket edilmektedir. PAYMENT CARD SKIMMERS Firmamızın yaptığı güvenlik distinct analizleri sub-patterns (sızma divided testleri, along zafiyet these motives. analizleri The financial vb) ve kurum ve kuruluşların yaşadıkları olaylara istinaden and ideological gerçekleştirdiğimiz attacks deserve incelemelerdeki unique discussion since tespitlerimiz the de bu yöndedir. CYBER- ESPIONAGE Bu saldırıları gerçekleştirenlerin motivasyonları incelendiği zaman DOS ATTACKS EVERYTHING ELSE There s no question about it the variety and combination of techniques available to attackers make defending web applications a complex task. Regrettably, our discussion of this complexity is hampered by the level of detail provided on these incidents. Unless a forensics investigation was performed (a small subset of the overall dataset), the specific techniques utilized went largely unreported or were recorded with broad categorizations. While we have enough material to discuss web application data breaches at a high level, our ability to draw conclusions drops as we dig further into the details (which often aren t there). Greed takes a back seat to ideology when it comes to web app ideology and lulz; just under one out of three came by the hand of financially motivated actors; with the small remainder linked to espionage. After some slicing and dicing we found some very treatment for each may be slightly different. While attacks perpetrated by those motivated by espionage are certainly relevant, discussion of these is taken up in the Espionage section. Figure 26. External actor motives within Web App Attacks (n=1,126) Ideology/Fun Financial Espionage FINANCIALLY MOTIVATED ATTACKS Financially motivated attackers are hyperaccess to the money, so it follows that thei industries are the financial and retail indus that easily converts to money is abundant a accessible). Within the financial industry, th access to the user interface of the web (ba more so than exploiting the web application application grants logical access to the mo target user credentials and simply use the protected with a single factor (password) a goal. These could have been included in the (and some did slip through cracks in the alg but the use of web applications as a vector them to show up here. The tactics used by a usual suspects: a) phishing techniques to ei into supplying credentials or installing malw system, b) the old stand-by of brute force p and c) rarer cases of targeting the applicat İdeolojik amaçlı saldırıların 2013 yılındaki saldırılarda baskın unsur olduğu görülmektedir. Ülkemizde de benzer olaylar olduğunu hatırlayabiliriz. 33% 65% injection or other application-level attacks credentials, bypass the authentication, or o the user-management system. When attrib the majority of external attackers utilizing somewhere along the attack chain hail from Europe. Within the retail industry, we see a slightly primary aim is payment card information (t the incidents), which is often accessible sim web application. Social actions (such as phi existent, most likely because exploiting vul in web applications works plenty well enoug leveraged in 27 of the 34 (80%) attacks ag in the retail industry, followed by technique web shells (remote file inclusion, etc.) in fiv 20 VER Web uygulamalarına yönelik ideolojik saldırıların siyasi gündemle de değiştiğine dikkat ettiğimiz durumda; bu saldırılarının oranı ve frekansının değişebileceğini tespit etmek gerekir. Ancak değişmeyecek ve hatta oranları artacak önemli motivasyonun ticari ve casusluk amaçları olduğu görülmelidir. Web uygulama tabanlı saldırıların nasıl keşfedildiği incelendiğinde 1 8 18/37
: d portion of motives ors also tend to be cus on tried and true ated inputs in executed er scale than Content omla!, Drupal, and dded plugins than the tion is social, political, or ut getting at the crown form (in all senses of the not surprising that we l attackers going after ssage or hijacking the er victims. ust the web server s compromised in the t recorded in nearly all tives. The actors didn t er and wider into the of simply not reporting dent so don t take this r but it is logical and a ks in our dataset. and the discovery tification method that we haps customers notice se, but something is ternal mechanism. With, only 9% of victims ccord. EFRAMES kly) patching web year we partnered mbine and compare nst the vulnerability ns of thousands ost well-known rth, we decided first to use patterns emerge compare two data cident data: the average dian days to patch. r vulnerabilities and 1 9 esented in the breach we applied some good ittedly let down when e expecting. Figure 27. Top 10 discovery methods for financially motivated incidents within Web App Attacks (n=122) Total External Total Internal Ext - customer Ext - fraud detection Int - IT audit Ext - unrelated party Ext - law enforcement Int - fraud detection Int - reported by user Ext - actor disclosure Ext - audit Ext - monitor service 3% 6% 4% 1 Discovery method looks a little bleaker for activists. 99% İdeolojik of the notifications kaynaklı were değerlendirilebilecek external parties (primarily CSIRTs) olayların %98 oranında Figure 29. Int - ilgili unknown olmayan < dış unsurlar yardımıyla contacting victims to let them know their hosts were involved in tespit other attacks. edildiği; This is finansal heavily influenced kaynaklı by ideological değerlendirilebilecek attackers Timespan olayların of events çoğunun within Web ise App saldırıdan Attacks etkilenen müşteriler quietly using the (ödeme platform kartı to attack bilgisi others çalınan rather than, insanlar) for tarafından fark Int edildiği - antivirus gözlenmektedir. < instance, simple defacements (which are rare in the dataset). Int - fraud detection 4 < Saldırıları Even though the dışarıdan timeline data kim is a tespit little sparse, ederse it paints etsin, the saldırılan sistem sahibinin olaylardan (bu dokümanda picture of quick entry with 60% of the initial compromises olay kavramı başarılı saldırılar olarak değerlendirmektedir) haberi Other %92 < oranında olmamaktadır. occurring within minutes or less. This reflects the highly 23% repetitive CMS exploits in this pattern; if it works, it works 19% Bu quickly. verilere Just over istinaden 85% of the kurumsal incidents are web discovered uygulamalarının in days korunması yanında 1 bu sistemlerle alakalı uyarı or more, with about 50% taking months or longer to discover. mekanizmalarının Once discovered though, da we dikkatlice see fairly good kurulması reaction time, gerektiği with değelendirilmelidir. 5% 0% 0% 0% about half of the organizations taking days or less to respond and contain the incident. This is far better than the norm, which is Ülkemizdeyse bu uyarı sistemlerinin kurulmadığı gözlemlenmekte, gerçekleşen güvenlik typically weeks or longer. yatırımlarının çoğunun bu amaca hizmet etmediği tahlil edilmektedir. Web uygulamaları için kurum ve kuruluşların, olaylardan (bu dokümanda olay, başarılı olan saldırılar 2 2 anlamında What we found kullanılmaktadır) is a non-finding and the Korunma only valid conclusion ve olayları Fark etme manasında iki ayrı 18% sınıfta tedbir alması to draw from this is that more work is needed to understand gerekmektedir. Bu iki alanda var olan envanterinizle neler yapılabileceğini; alınması gereken diğer the relationship between web application vulnerabilities and 9% tedbirlerin security incidents. neler With a non-finding, olabileceğini we can only sizlere speculate aktarabiliriz. Bu 3% amaçla firmamız web sayfasındaki 0% 0% (www.barikat.com.tr) on why we are seeing these results. formaları Perhaps veya this is diğer telling us yolları (bilgi@barikat.com.tr) kullanarak bizlerle iletişime that no industry is doing enough. We know three out of four geçebilirsiniz. 4 74% web-based compromises occur in hours or less of first contact, and maybe fixing vulnerabilities in 10 days versus 70 days doesn t help all that much. Plus, the attacker only exploits one 88% (maybe two) vulnerabilities. But a different explanation could be that our lens was focused too wide, and we could learn more by matching the high-quality WhiteHat data with specific incident data within the same sample. Whatever the causes, we do know that web application attacks occur often enough to repeat what is said in the WhiteHat Website Security Statistics Report, 5 What s needed is more secure software, NOT more security software. POINT-OF-SALE INTRUSIONS WEB APP ATTACKS INSIDER AND PRIVILEGE MISUSE PHYSICAL THEFT AND LOSS MISCELLANEOUS ERRORS CRIMEWARE NT CARD MERS Figure 28. Top 5 discovery methods for ideologically motivated incidents within Web App Attacks (n=775) Compromise n=43 Exfilteration n=33 Discovery n=70 1 POINT-OF-SALE INTRUSIONS WEB APP ATTACKS INSIDER AND PRIVILEGE MISUSE PHYSICAL THEFT AND LOSS MISCELLANEOUS ERRORS CRIMEWARE PAYMENT CARD SKIMMERS CYBER- ESPIONAGE DOS ATTACKS EVERYTHING ELSE Total External Total Internal Ext - unrelated party Ext - fraud detection Ext - law enforcement Int - reported by user Ext - actor disclosure Ext - customer 27% 0% 3% 1 4% < < < 17% 16% 1 19/37 0% 98% 93% RECOMMEN Single-pa The writing s on the authentication on an draw you out of a kn web application see verification. If you r consider mandating your customers. Rethink C And we mean rethin active platform (Joo an automated patch isn t viable, then dev is especially true fo rethink CMS is to co executing code for e static CMS will preneed to execute cod Validate i Even though we ve b the advice still hold application won t be vulnerabilities befo have access to the s to have something i when they re found. Enforce l Brute force attacks but they re still wort measures, such as a