Yazar: Onur OKTAY (Güvenlik Uzmanı) 29122006
Bir yılı daha geri de bırakmak üzereyiz Bilişim teknolojileri her ay, her yıl biraz daha gelişiyor Gelişen Bilişim teknolojileri akabinde güvenlik açıklarını ve hacker saldırılarını da geliştiriyor Bunun en büyük nedeni ise her zaman söylediğim gibi güvenlik geliştikçe, saldırılarda gelişiyor
2006 yılı Bilişim dünyası için çok hareketli bir yıl oldu Microsoft, Symantec gibi bir çok dev firma yazılım güvenlik açıkları ile boğuştu Bir diğer yanda ise Phishing ve Spam saldırıları vardı Hacker’lar yine her zaman ki gibi sistemleri alt ettiler, saldırdılar Sonuç olarak 2006’da Hacker’lar yine Güvenliği geçtiler Şimdi belli başlıklar altında 2006 yılının güvenlik değerlendirmesine bakalım
2006’da Yazılım Güvenlik Açıklarını değerlendirecek olursak;
2006 yılında yazılım güvenlik açıkları ile başı en çok belada olan firma yine Microsoft oldu En popüler firma ve yazılım firması olan Microsoft’un farklı bir çok yazılımda ciddi ve kritik güvenlik açıkları meydana geldi Özellikle de o açıklardan birisi vardı ki akabinde bir çok güvenlik açığı ve bir çok kurbanın hacker’lar tarafından kurban olmasını sağladı Neydi bu güvenlik açığı demeyin, tabii ki 0Day güvenlik açıklarından bahsediyorum 0day güvenlik açıkları o kadar geniş kapsamda bir yazılımsal açık doğurdu ki etkisi aylarca kapatılamadı 0Day güvenlik açıklarının en kötü yanı ise büyük bir kısmının kurbanların hacker saldırılarından sonra ortaya çıkmış ve Microsoft tarafından fark edilmiş olması idi
2006 yılı sadece Microsoft yazılımları için kabus değildi tabii ki, Media oynatıcıları, Office yazılımları, internet tarayıcıları, Winamp’ın Oynatıcı Listesi ve AntiVirüs güvenlik açıkları da vardı Bu yazılımların içinde en ciddi güvenlik açığı benim hatırladığım kadarıyla Apple’ın QuickTime yazılımdaki güvenlik açığı oldu Apple’ın QuickTime yazılımdaki tasarım açığını kullanan hacker’lar MySpace’e kayıtlı 100000 kullanıcının şifrelerini ele geçirdiler Ele geçirilen bu şifreler sadece kullanıcı tanımlama şifreleri değildi olayın bir diğer boyutu da kişilerin kredi kartı bilgilerine de ulaşabilmeleri oldu Çünkü yazılımdaki açıktan sızarak hacker’lar bilgisayarlara da erişebildiler Bir diğer ciddi yazılım açığı da ünlü müzik oynatıcısı Winamp’da ortaya çıkmıştı Winamp’ın oynatıcı listesi ( playlist )’nde bulunan açığı kullanan hacker’lar, Winamp kullanan birçok kişinin bilgisayarlarına uzaktan saldırılar düzenlemiş ve spam mail’ler atmışlardı
2006’da Internet Tarayıcılarında da ciddi güvenlik açıkları vardı Özellikle de Microsoft Internet Explorer’daki 0Day Güvenlik açıkları bir çok hacker’ın kişilere uzaktan saldırılar düzenlemesine, kişisel bilgilerin ele geçirilmesine, kredi kartı bilgilerinin çalınmasına kadar geniş boyuta ulaşmıştı Internet Explorer’ın bir ciddi güvenlik açığı da Spoofing dediğimiz Adres Gizleme Güvenlik açığı idi Bu güvenlik sayesinde hacker’lar yamalanmış olan Internet Explorer kullanıcısını kandırarak sahte ( fake ) sitelere yönlendirip bir nevi Phising saldırısında bulunuyorlardı Internet Explorer açıklarından hemen sonra IE’nin piyasadaki en büyük rakibi özgür tarayıcı Mozilla FireFox güvenlik açıkları geliyordu FireFox’da Internet Explorer kadar kullanılmaya başlandığı için hacker’ların hedefleri altında idi Kodlama açığı bulunan FireFox’a hacker’lar ataklarda bulundu ve bazı ciddi güvenlik açıkları doğurarak kişilere uzaktan saldırılar düzenlediler
Gelelim Office Yazılımlarına, Office yazılımı deyince tabii ki aklımıza ilk olarak Microsoft Office yazılımları geliyor Başta Microsoft Word, PowerPoint, Excel olmak üzere Office yazılımlarında da ciddi güvenlik açıkları meydana geldi Office açıklarının en tehlikesi ise Microsoft’un hacker’ların eline oyuncak olduktan sonra yamalamayı başardığı Microsoft Word 0Day açığı idi
Güvenliğimizi emanet ettiğimiz AntiVirüs yazılımlarına bakacak olursak; 2006’da kritik ve çok ciddi AntiVirüs açığı diğer yazılımsal açıklara göre daha azdı Ancak Symantec’in Kurumsal Antivirüsünün güvenlik açığını kullanarak aylar boyunca bilgisayardan bilgisayara yayılan bir Worm ( Solucan ) vardı Bunun dışında AntiVirüslerde ciddi güvenlik açıkları yok idi
2006’da açık olarak fark edilen bir şey var ki 2005 yılına göre Yazılımsal güvenlik açıklarının çok daha fazla olmasıdır Bunun da nedenini ise gelişen ve değişen güvenlik bilincinin kişisel bilgisayar kullanıcılarına da yayılmasıdır Hacker’lar sistemlere saldırmaktansa, Yazılım açıklarını kullanıyorlar
2006’da Phishing Saldırıları Değerlendirmesi
2006’da gündemde olan ana güvenlik konusu Phishing ( oltacılık ) ve Spam’lar oldu En tehlikeli ve çok kullanılan teknik olan Phishing’e karşı bir çok dev yazılım firması güvenlik programları ve önlemleri oluşturdular Hacker’lar Phishing’i ETicaret ve Ticaret firmaları üzerinde denediler Bir çok kişinin kredi kartı bilgisi Phishing yöntemi ile hack edildi Bu kadar çok güvenlik programı ve önlemine karşın hacker’lar o kadar değişik Phishing yöntemleri geliştirdiler ki maalesef güvenlik firmaları gelişen hacker yöntemlerine karşı gelemedi Özellikle de yılın son aylarına doğru yani Ağustos, Eylül, Ekim aylarında Phishing saldırıları oldukça arttı
Gelelim 2006 Spam Saldırıları Değerlendirmesine;
Yukarıda da dediğimiz gibi 2006 güvenliğine damgasını Phishing ve Spam vurdu Spam mail’ler ( istenmeyen JunkMail ) uzun yıllardır herkesin başına bela Güvenlik firmaları ve EPosta servis sağlayıcıları Spam’a karşı bir çok güvenlik önlemi geliştirdiler Ancak gelişen güvenlik, hacker’ların yeni buluşlarına pek de karşı gelemedi Özellikle de büyük organize suç örgütleri spam mail’leri çeşitli teknikler geliştirerek kullanarak bir çok kişinin bilgilerini ele geçirmeyi başardılar Spam’ın bu kadar etkili ve önemli olmasının bir diğer nedeni ise Bot Pc ya da Zombi Pc dediğimiz Bilgisayarlardır Zombi olarak adlandırılan ya da bot olarak bilinen bu bilgisayar kullanıcılarının farkına varmadan hacker’lar tarafından kontrol edilen ve hacker’ların amaçlarına yönelik hizmet eden bilgisayarlardır Bot Bilgisayarlar ile sadece hacker’ların istedikleri ele geçirilmedi tabii ki, büyük ve organize suçlar, büyük saldırılar ve kullanıcı tanımlamalarına yönelik kişisel bilgiler ele geçirildi Spam sorunu anlaşıldığı üzere 2006’da da çözümlenemedi ve bence 2007’de de pek değişen bir şey olmayacak Bu yüzden Bot Bilgisayar ve Spam mail’lere lütfen dikkat edelim
2006 yılında güvenlik Bişim Dünyasında böyleydi Ülkemiz de ise bir çok Govtr Web sitesinin hack edilmesi, Kredi kartı dolandırıcılığı, Kimlik Hırsızlığı, Kişisel bilgi hırsızlığı gibi çeşitli hacking olayları ile geçti diyebilirim 2007 yılına yaklaştığımız şu günlerde 2007 üzerine güvenlik stratejileri oluşturulmaya başlandı Ve tabii ki hackerlar da yeni yıl güvenlik önlemlerini hack etmeye ve bozmaya yönelik strateji geliştireceklerdir
Yazar: Onur OKTAY (Güvenlik Uzmanı)
Alıntıdir
Bir yılı daha geri de bırakmak üzereyiz Bilişim teknolojileri her ay, her yıl biraz daha gelişiyor Gelişen Bilişim teknolojileri akabinde güvenlik açıklarını ve hacker saldırılarını da geliştiriyor Bunun en büyük nedeni ise her zaman söylediğim gibi güvenlik geliştikçe, saldırılarda gelişiyor
2006 yılı Bilişim dünyası için çok hareketli bir yıl oldu Microsoft, Symantec gibi bir çok dev firma yazılım güvenlik açıkları ile boğuştu Bir diğer yanda ise Phishing ve Spam saldırıları vardı Hacker’lar yine her zaman ki gibi sistemleri alt ettiler, saldırdılar Sonuç olarak 2006’da Hacker’lar yine Güvenliği geçtiler Şimdi belli başlıklar altında 2006 yılının güvenlik değerlendirmesine bakalım
2006’da Yazılım Güvenlik Açıklarını değerlendirecek olursak;
2006 yılında yazılım güvenlik açıkları ile başı en çok belada olan firma yine Microsoft oldu En popüler firma ve yazılım firması olan Microsoft’un farklı bir çok yazılımda ciddi ve kritik güvenlik açıkları meydana geldi Özellikle de o açıklardan birisi vardı ki akabinde bir çok güvenlik açığı ve bir çok kurbanın hacker’lar tarafından kurban olmasını sağladı Neydi bu güvenlik açığı demeyin, tabii ki 0Day güvenlik açıklarından bahsediyorum 0day güvenlik açıkları o kadar geniş kapsamda bir yazılımsal açık doğurdu ki etkisi aylarca kapatılamadı 0Day güvenlik açıklarının en kötü yanı ise büyük bir kısmının kurbanların hacker saldırılarından sonra ortaya çıkmış ve Microsoft tarafından fark edilmiş olması idi
2006 yılı sadece Microsoft yazılımları için kabus değildi tabii ki, Media oynatıcıları, Office yazılımları, internet tarayıcıları, Winamp’ın Oynatıcı Listesi ve AntiVirüs güvenlik açıkları da vardı Bu yazılımların içinde en ciddi güvenlik açığı benim hatırladığım kadarıyla Apple’ın QuickTime yazılımdaki güvenlik açığı oldu Apple’ın QuickTime yazılımdaki tasarım açığını kullanan hacker’lar MySpace’e kayıtlı 100000 kullanıcının şifrelerini ele geçirdiler Ele geçirilen bu şifreler sadece kullanıcı tanımlama şifreleri değildi olayın bir diğer boyutu da kişilerin kredi kartı bilgilerine de ulaşabilmeleri oldu Çünkü yazılımdaki açıktan sızarak hacker’lar bilgisayarlara da erişebildiler Bir diğer ciddi yazılım açığı da ünlü müzik oynatıcısı Winamp’da ortaya çıkmıştı Winamp’ın oynatıcı listesi ( playlist )’nde bulunan açığı kullanan hacker’lar, Winamp kullanan birçok kişinin bilgisayarlarına uzaktan saldırılar düzenlemiş ve spam mail’ler atmışlardı
2006’da Internet Tarayıcılarında da ciddi güvenlik açıkları vardı Özellikle de Microsoft Internet Explorer’daki 0Day Güvenlik açıkları bir çok hacker’ın kişilere uzaktan saldırılar düzenlemesine, kişisel bilgilerin ele geçirilmesine, kredi kartı bilgilerinin çalınmasına kadar geniş boyuta ulaşmıştı Internet Explorer’ın bir ciddi güvenlik açığı da Spoofing dediğimiz Adres Gizleme Güvenlik açığı idi Bu güvenlik sayesinde hacker’lar yamalanmış olan Internet Explorer kullanıcısını kandırarak sahte ( fake ) sitelere yönlendirip bir nevi Phising saldırısında bulunuyorlardı Internet Explorer açıklarından hemen sonra IE’nin piyasadaki en büyük rakibi özgür tarayıcı Mozilla FireFox güvenlik açıkları geliyordu FireFox’da Internet Explorer kadar kullanılmaya başlandığı için hacker’ların hedefleri altında idi Kodlama açığı bulunan FireFox’a hacker’lar ataklarda bulundu ve bazı ciddi güvenlik açıkları doğurarak kişilere uzaktan saldırılar düzenlediler
Gelelim Office Yazılımlarına, Office yazılımı deyince tabii ki aklımıza ilk olarak Microsoft Office yazılımları geliyor Başta Microsoft Word, PowerPoint, Excel olmak üzere Office yazılımlarında da ciddi güvenlik açıkları meydana geldi Office açıklarının en tehlikesi ise Microsoft’un hacker’ların eline oyuncak olduktan sonra yamalamayı başardığı Microsoft Word 0Day açığı idi
Güvenliğimizi emanet ettiğimiz AntiVirüs yazılımlarına bakacak olursak; 2006’da kritik ve çok ciddi AntiVirüs açığı diğer yazılımsal açıklara göre daha azdı Ancak Symantec’in Kurumsal Antivirüsünün güvenlik açığını kullanarak aylar boyunca bilgisayardan bilgisayara yayılan bir Worm ( Solucan ) vardı Bunun dışında AntiVirüslerde ciddi güvenlik açıkları yok idi
2006’da açık olarak fark edilen bir şey var ki 2005 yılına göre Yazılımsal güvenlik açıklarının çok daha fazla olmasıdır Bunun da nedenini ise gelişen ve değişen güvenlik bilincinin kişisel bilgisayar kullanıcılarına da yayılmasıdır Hacker’lar sistemlere saldırmaktansa, Yazılım açıklarını kullanıyorlar
2006’da Phishing Saldırıları Değerlendirmesi
2006’da gündemde olan ana güvenlik konusu Phishing ( oltacılık ) ve Spam’lar oldu En tehlikeli ve çok kullanılan teknik olan Phishing’e karşı bir çok dev yazılım firması güvenlik programları ve önlemleri oluşturdular Hacker’lar Phishing’i ETicaret ve Ticaret firmaları üzerinde denediler Bir çok kişinin kredi kartı bilgisi Phishing yöntemi ile hack edildi Bu kadar çok güvenlik programı ve önlemine karşın hacker’lar o kadar değişik Phishing yöntemleri geliştirdiler ki maalesef güvenlik firmaları gelişen hacker yöntemlerine karşı gelemedi Özellikle de yılın son aylarına doğru yani Ağustos, Eylül, Ekim aylarında Phishing saldırıları oldukça arttı
Gelelim 2006 Spam Saldırıları Değerlendirmesine;
Yukarıda da dediğimiz gibi 2006 güvenliğine damgasını Phishing ve Spam vurdu Spam mail’ler ( istenmeyen JunkMail ) uzun yıllardır herkesin başına bela Güvenlik firmaları ve EPosta servis sağlayıcıları Spam’a karşı bir çok güvenlik önlemi geliştirdiler Ancak gelişen güvenlik, hacker’ların yeni buluşlarına pek de karşı gelemedi Özellikle de büyük organize suç örgütleri spam mail’leri çeşitli teknikler geliştirerek kullanarak bir çok kişinin bilgilerini ele geçirmeyi başardılar Spam’ın bu kadar etkili ve önemli olmasının bir diğer nedeni ise Bot Pc ya da Zombi Pc dediğimiz Bilgisayarlardır Zombi olarak adlandırılan ya da bot olarak bilinen bu bilgisayar kullanıcılarının farkına varmadan hacker’lar tarafından kontrol edilen ve hacker’ların amaçlarına yönelik hizmet eden bilgisayarlardır Bot Bilgisayarlar ile sadece hacker’ların istedikleri ele geçirilmedi tabii ki, büyük ve organize suçlar, büyük saldırılar ve kullanıcı tanımlamalarına yönelik kişisel bilgiler ele geçirildi Spam sorunu anlaşıldığı üzere 2006’da da çözümlenemedi ve bence 2007’de de pek değişen bir şey olmayacak Bu yüzden Bot Bilgisayar ve Spam mail’lere lütfen dikkat edelim
2006 yılında güvenlik Bişim Dünyasında böyleydi Ülkemiz de ise bir çok Govtr Web sitesinin hack edilmesi, Kredi kartı dolandırıcılığı, Kimlik Hırsızlığı, Kişisel bilgi hırsızlığı gibi çeşitli hacking olayları ile geçti diyebilirim 2007 yılına yaklaştığımız şu günlerde 2007 üzerine güvenlik stratejileri oluşturulmaya başlandı Ve tabii ki hackerlar da yeni yıl güvenlik önlemlerini hack etmeye ve bozmaya yönelik strateji geliştireceklerdir
Yazar: Onur OKTAY (Güvenlik Uzmanı)
Alıntıdir