Mayıs ayındaki yazılarımızda sizlere en güncel güvenlik ipuçları ve hikayeleri ile Facebook ve Kaspersky arasındaki iş ortaklığından bahsetmiştik. Eğer son dakika haberlerimizden kaçırdığınız bir şey varsa üzülmeyin! Siber güvenlik hakkında her şeyden haberdar olmanız için ay boyunca yayınlanan en önemli yazılarımızdan sizler için bir özet çıkardık.
Facebook’da Yapabileceğiniz Beş En Kötü Hata
Facebook eğlenceli bir sosyal ağ olmasına rağmen bir takım tehlikeleri de beraberinde getiriyor. İnsanların bu ağ üzerinde yaptığı ve kendilerine para, saygınlık hatta ilişki kaybına neden olabilen bir takım yaygın hatalar var. Bunları önlemek için, asla biyografinizi ve özellikle doğum gününüzü herkese açık olarak paylaşmayın. Yazılarınızı paylaşırken yazdıklarınızın sadece arkadaşlarınıza açık olduğundan ve bu arkadaşlarınızın gerçekten tanıdığınız insanlar olduğundan emin olun. Paylaşım yaparken bulunduğunuz konumu belirtmekten kaçının. Çünkü bu bilgiler siber suçluların sizin yeriniz hakkında bilgi sahibi olmasına neden olabilir. Ve son olarak, saldırı riskini azaltmak için her zaman karmaşık ve zor şifreler kullanın.
Araştırma: Akıllı Evlerin Büyük Kısmı Hack Edilmeye Karşı Savunmasız
Akıllı evler tam da düşündüğünüz gibiler: evdeki cihazlar, ısıtma, soğutma sistemleri, ışıklandırma, duman detektörleri ve/veya kapılar evin ağına ve internete, bilgisayarlara, telefonlara, tabletlere ve diğer geleneksel internet bağlantılı cihazlara bağlanabiliyor. Bu manzara geleceğin evlerini akla getirebilir ancak araştırmacılar bu akıllı güvenlik sistemlerinde delikler olduğunu keşfettiler. Örneğin, AV-Test.org sitesindeki arkadaşlarımız yedi farklı akıllı ev kitini güvenlik konusunda test etti ve bu kitlerin güvensiz olduğunu tespit etti. Bu araştırmada savunmasız bulunan cihazlar içerden – veya bazı durumlarda dışardan – ev ağını hedef alan saldırılara karşı savunmasızlar ve güvenlik açıkları ile ele geçirilebilmeleri mümkün. AV-Test cihazlar arasındaki iletişimin kriptolu olup olmadığı konusunda yaptığı testlerde üç ürünün kripto kullanmadığını tespit etti. Genel olarak konuşmak gerekirse, bir saldırgan sistemlere zarar vermek amacıyla onları manipüle edebilir. Ancak çoğu saldırganın para peşinde olduğunu göz önüne alırsak, saldırganlar bu zayıflıkları kendi lehlerine kullanarak ev ağına erişerek buradaki değerli verileri çalmaya çalışabilir. İyi haber şu ki, AV-Test’e gore bu ürünlerin üreticileri pazara ürünlerini yetiştirme konusunda acele etmek yerine biraz zaman ayırarak sağlam bir güvenlik konsepti geliştirirlerse güvenli akıllı ev sistemleri geliştirmek mümkün olacaktır. Bir diğer iyi haber ise: eğer bu sistemlerden birini almayı düşünüyorsanız bakmanız gereken özelliklerden en önemlisi şu: her zaman kimlik doğrulama yapması ve iletişimini kriptolu olarak gerçekleştirmesi.
Kaspersky Watch_Dogs Geliştiricilerine Doğru Hacking Yapılması Konusunda Yardım Etti
Bu günlerde gizlilik ve yaygın izleme teknoloji topluluğu dışında da çok konuşulan konulardan biri haline geldi. Ortalama vatandaşların yaygın izleme teknolojisiyle savaşacak çok fazla seçenekleri yok. Ancak, Ubisoft video oyunu Watch_Dogs oyunculara kanun dışı Aiden Pearce olarak gelişmiş izleme altyapısına karşı koymak için her şeyi kullanma imkanı sunuyor. Oyun metni Kaspersky Lab güvenlik uzmanları tarafından gerçeklik kontrolünden geçirildikten sonra geliştirilmeye başlandı. Oyunu en son inceleyen Kaspersky güvenlik araştırmaları yöneticisi Vitaly Kamluk, gördüklerini beğendiğini söyledi ve “Sadece birkaç ufak öneride bulundum” dedi. Kamluk, San Francisco’daki Ubisoft ofisinde Nisan ayında gerçekleşen Watch_Dogs tanıtımında bir röportaj verdi. Röportajında “Çok iyi iş çıkarmışlar. Oyunun eğlenceli kalmasını sağlarken, aynı zamanda her şeyi de doğru yapmayı başarmışlar” dedi. İnsanlar genellikle fantazi dünyalarında bu tür gerçekliği istemezler, ancak Watch_Dogs benzersiz bir şekilde güvenlik açıklarını kullanarak sistemlere girme ve CCTV hack etme gibi şeyleri oyun içine çok güzel entegre etmiş. “Bildiğimiz Hollywood hacklemeleri gibi tıpkı gerçek hayattaki gibi” diye ekliyor Kamluk.
Mayıs ayındaki en önemli #güvenlik yazılarınızı okuyun.
Bilgisayardaki kritik dosyaları kilitleyerek açılması için kullanıcıdan fidye isteyen bu programların yeni bir varyasyonu Android kullanıcılarını hedef alıyor. Bu yazılım kendisini CryptoLocker ile ilişkilendiriyor. Bu vakada ise bir grup suçlu Reveton adı verilen ve Android mobil cihazları etkileyen farklı bir fidye yazılımı geliştirmişler. Tanınmış bir güvenlik araştırmacısı olan “Kafeine” bu yeni aileyi ortaya çıkartıyor ve blog bu yazısında anlatıyor. Bulgularına göre, kurbanlar bu zararlı yazılım ailesinden etkilenmiş bir web sitesine bağlandıklarında pornografik bir siteye yönlendiriliyor ve zararlı yazılımı barındıran uygulamayı yüklemeleri için bir miktar sosyal mühendislik ile kandırılmaya çalışılıyor. Virüsün bulaşması için bu uygulamayı kendinizin yüklemesi gerekiyor. Bu nedenle sadece Google Play mağazasındaki meşru yazılımları yüklemenizi tavsiye ediyoruz. Bu fidye yazılımının hangi parçası CryptoLocker ile bağlantılı pek belirgin değil, ancak onu kim geliştirdiyse CryptoLocker’ın siber suç pazarındaki başarısından faydalanmayı amaçladığı açık. Bu hikaye siber suçluların meşru işleri karlarını artırmak için nasıl kullandıklarını göstermesi açısından enteresan ancak bu başka bir günün konusu.
Soğuk Kanlı ve Tedbirli olun, OpenID ve OAuth Savunmasız
Heartbleed güvenlik açığının ortaya çıkmasından sadece bir kaç hafta sonra normal internet kullanıcılarının endişelenmesini gerektirecek çok yaygın yeni bir soru ortaya çıktı ve kolay bir çözümü de yok. Nanyan Teknoloji Üniversitesi doktora öğrencisi Wang Jing tarafından ortaya çıkarılan bu güvenlik açığı kelimenin tam anlamıyla “gizli yönlendirme” hatası. Sorun popüler internet protokolleri OpenID ve Oauth ile ilgili. Bu protokoller önceleri Google, Facebook, LinkedIn vs. gibi web siteleri tarafından kullanılıyordu sonra zamanla Facebook/G+/vs. servisleri veya uygulamalarda şifrelerinizi görüntülemeden üçüncü partileri yetkilendirmek için kullanılmaya başlandı. Ortaya çıkan duruma göre genellikle birlikte kullanılan bu iki protokol bilgilerinizin yanlış ellere geçmesine neden olabilir. Threatpost‘daki arkadaşlarımız durumu teknik ayrıntılarıyla ve orijinal araştırmaya da link vererek gayet iyi açıklamışlar. Ancak biz gereksiz detayları pas geçerek sadece olası saldırı senaryolarını ve sonuçlarını anlatacağız. İlk olarak kullanıcı şu bildik “Facebook hesabın ile giriş yap” tuşu olan zararlı oltalama web sitelerinden birini ziyaret eder. Oltalama sitesi kendisini popüler 3. parti servislerden birini benzetmiş veya tamamen yeni bir servis gibi gözüküyordur. Tuşa bastığınız zaman gerçek Facebook/G+/LI penceresi açılır ve kullanıcıdan kullanıcı adı ve şifresini girip profilini kullanarak bahsi geçen (muhtemelen meşru) bir servisi yetkilendirmesi istenir. Sonunda ise yetkilendirme profili yanlış bir (oltalama) siteye yönlendirilir. Günün sonunda siber suçlu kurbanının profiline erişmek için orijinal uygulamanın kapsadığı tüm haklara sahip yetkilendirmeyi (OAuth token) ele geçirmiş olur. En iyi senaryoda sadece temel kullanıcı bilgilerine erişebilir; en kötü senaryoda ise kontakları görebilir, mesajları okuyabilir vs. Tedbirli olmayı sevenler için en etkin çözüm bir kaç ay için OpenID kullanmayı bırakıp eski “Giriş yap…” tuşunu kullanmak olacaktır. Böylece artan gizliliğin artan faydalarından da yararlanabilirsiniz. Sosyal ağları kullanarak giriş yaptığınızda online davranışlarınızın takibi kolaylaşmakta ve pek çok web sitesi temel demografik verilerinize erişebilmektedir. Bu arada onlarca hatta yüzlerce farklı siteye ait giriş bilgilerini ezberlemek yerine etkin bir şifre yöneticisi kullanmaya başlayabilirsiniz. Pek çok servis artık çoklu platform istemcileri ve bulut senkronizasyonu sayesinde sahip olduğunuz tüm cihazlardan şifrelerinize erişebilmenize imkan sağlamaktadır.