Güvenlik Yazıl...
 
Bildirimler
Hepsini Temizle

Güvenlik Yazılımları Üzerinden Veri Sızdırılması  

  RSS
Arf Teknoloji
(@ArfTeknoloji)
Üye

Merhaba Arkadaşlar,

Sizleri son dönemde yaptığımız çalışmalardan haberdar etmek istiyoruz.

Aşağıdaki çalışmaları, yazılım güvenliğine dikkat çekmek, kullandığımız sistemlerde zaafiyet oluşturan yazılımların siz profesyonellerin daha yakından görmesi, konu hakkında fikir sahibi olması ve tehditin ciddiyetinin görülmesi için paylaşmayı uygun gördük.

Bu çalışmalarla ilgili bilgiler konunun muhatabı olan her kurum ile detaylı raporlarla paylaşılmıştır.

Herkesin bildiği gibi bugünlerde ülke gündemimiz hacking, veri hırsızlığı ve siber güvenlik konusunda hayli meşgul.

Biz, beraber proje yürüttüğümüz iş ortaklarımızın istekleri doğrultusunda güvenlik yazılımlarının açıklarını yayınlamaya, bu açıklardan kurumların ve insanların verilerinin nasıl sistemlerden sızdırıldığını, özellikle bankacılık ve devlet kurumlarında sistemlerin ne derece korumasız olduklarını delilleri ile birlikte, akedemik çevreler ve bilgi güvenliği ile ilgilenen kimselerle paylaştık ve paylaşmayada devam etmekteyiz.

Bu konuda dünyada hiç bir güvenlik firmasının bugüne kadar yapamadığı tüm güvenlik yazılımlarının açıklarını ve bu açıklar üzerinden nasıl veri çalındığını yayınlamaya karar verdik.

Bu açıkları özellikle kurumların ve bankaların incelemesini ve önlemlerini almalarını sağlamayı planladık. Konu hakkında bilgi sahibi olması gereken yerler çok detaylı şekilde bilgilendirilmiştir.

Aşağıda sizinle şu an için iki antivirüsün çalışmasını paylaşıyoruz. Yeri geldikçe diğerlerini de paylaşacağız.

İlk olarak, piyasada geliştirdiği güvenlik teknolojileri ve vaat ettiği ödüller ile kendinden sıkça söz ettiren, Türkiye'de de kullanıcısı olan bir güvenlik yazılımının Antivirüs + Firewall + SandBox açıklarını göstereceğiz.

Konu ile ilgili videoyu aşağıdaki bağlantıda bulabilirsiniz:

Bu program kurulu bir bilgisayardan güvenle aldığımız ve güvenle dış ortama aktardığımız tuş vuruşu kayıtlarını aşağıdaki bağlantıdan görebilirsiniz:

http://exploit.virusavcisi.com/dump.php

Video'yu son kullanıcıların da anlayacağı şekilde hazırlamaya çalıştık.

Video görüntülerindeki Useless.exe, SandBox'ın içinde çalışırken, SandBox açığını kullanarak sistem başlangıcına barındırdığı zararlıyı yerleştiriyor. İşletim sistemi yeniden başlatıldığında, zararlı güvenlik programının bileşenleriyle bütünleşiyor ve yazılımın tüm uygulamalarını ele geçiriyor.

Bu işlemden sonra sistem üzerine bir KeyLogger yerleştirerek klavye vuruşlarını dinliyor. Zararlı antivirüsün yine kendi firewall'ının açıkları üzerinden topladığı verileri uzak sunucuya gönderiyor.

Sizinle paylaştığımız buna benzer açıklar hemen bütün güvenlik yazılımlarında bulunuyor. Yeri geldikçe diğer programlarında videolarını paylaşacağız.

Bu çalışma ile tüm dünyada yaygın olarak kullanılan, güvenilirlikleri hiçbir kurum ve kuruluş tarafından onaylanmamış, sorgusuz sualsiz sistemlere yüklenen güvenlik yazılımlarının güvenilirliklerine dikkat çekmek istedik.

Hiçkimse unutmamalıdır ki, zeki bir saldırgan en mantıklı ve etkili saldırıyı en güvendiğiniz yerden yapar.

Sizinde bildiğiniz gibi, ne yazık ki ülkemizde ve dünyada çalınan veriler, çalan kişi veya kişiler tarafından açıklanmadığı sürece bilinememektedir. Bu bilgiler açığa çıktıktan sonra ise kullanılan güvenlik yazılımlarının barındırdığı açıklar göz ardı edilmektedir.

Bu açıkların ne kadar ciddi tehditler içerdiğini incelememizde net bir şekilde göstermeye çalıştık. Veri çalınmasının sürekliliği bizzat kullanılan güvenlik yazılımlarının güvencesinde yapılabilmektedir.

Açık barındırarak sistemleri zaafiyete uğratacağını belirlediğimiz diğer güvenlik yazılımı çalışmamızı aşağıda bulabilirsiniz. Yine birçok kurum ve işletmede kullanılan bu antivirüsün açıkları çalıştığınız kurum veya işletmeniz için ciddi tehditler barındırıyor olabilir.

Sizinle ön bir bilgi paylaşmak istiyorum.

İncelemede izleyeceğiniz videoda birden fazla açık üzerinden sadece tuş kaydı değil aklınıza gelebilecek her veri sistemden sızdırılabilmektedir. Örneğin; antivirüsün açığını kullanan geliştirdiğimiz zararlı ile tuş kaydı yerine sistemdeki bütün kişisel verilerinizi uzak sunucuya aktarılabilirdi.

Çalışmamızın videosunu aşağıdaki bağlantıdan izleyebilirsiniz.

Sistemden alınan tuş vuruşlarının uzak bir sunucuda depolandığını gösteren linkte aşağıdadır.

http://exploit.virusavcisi.com/dump.php?av=TrendMicro

Sisteme zararlı yerleştirmek, veri hırsızlığında en etkili ve tespiti en zor yöntemlerin başında gelmektedir. Ayrıca veri sürekli ve düzenli olarak alınırken siz ve antivirüsünüz bunu fark edemez.

Video görüntülerinde görüleceği üzere antivirüs bizim geliştirdiğimiz zararlıya karşı hiçbir şekilde tepki vermiyor ve zararlı tarafından tüm bileşenleri kontrol ediliyor. Siz antivirüsün çalıştığını düşünürsünüz ancak orada çalışan zararlının kendisidir. Dolayısı ile bu antivirüsün kullanıldığı yerlerde halen veri sızdırılıyor olması mümkün.

Videonun Senaryosu: Kullanıcı, dış ortamdan faydalı olacağına inandığı bir uygulamayı (TM.ExploitInfiltrator.exe) bilgisayarına kopyalamış ve çalıştırmıştır.

Antivirüs çalıştırma isteğini aldığında gerçek zamanlı tarama yapar.

Uygulamanın imzası henüz antivirüs veri tabanında olmadığından ve dış ortamdan geldiğinden kendisi tarafından, bulutta (sandbox) çalıştırılarak sistem kaynaklarına ulaşması engellenir.

Uygulama, içinde çalıştığı bulutun açığından faydalanarak sistem kaynaklarına erişir ve taşıdığı zararlıyı sistem başlangıcına yerleştirir.

Kullanıcı, bilgisayarını yeniden başlattığında zararlı, antivirüsün diğer bir açığını kullanarak bütün bileşenlerini ele geçirir ve antivirüs tarafından fark edilmeden ve engellenmeden çalışmayı sürdürür.

Zararlı, sisteme "KeyLogger" yerleştirerek klavye tuş vuruşlarını dinler ve topladığı verileri uzak sunucuya gönderilmesini sağlar.

Zararlı aynı zamanda, antivirüsün farklı bir açığını kullanarak, daha önce engellenen ya da zararlı olarak işaretlenen bir uygulamanın da çalışmasını sağlar.

Bu çalışmalar tüm antivirüsleri kapsayacak şekilde, bilinçlendirme ve yazılım geliştirme süreçlerinde yazılım güvenliğine önem verilmesi için yapılmaktadır. Amaç; kullanıcıların daha güvenilir ortamlarda bilgisayar kullanabilmelerini sağlamaya katkıda bulunmaktır.

Bu açıklar kapatıldığında bilgilendirme yaptığımız her yer ile birlikte sizlerle de bilgi paylaşımında bulunacağız.

İşletmenizdeki veya kurumunuzdaki tüm yazılımların sisteminizde zaafiyet oluşturabileceğini ve bu zaafiyetler ile her türlü verilerinizin dış ortama kolaylıkla alınabileceğini lütfen unutmayınız.

 

İyi çalışmalar.

Alıntı
Gönderildi : 21/12/2012 13:39
CozumPark
(@cozumpark)
Onursal Üye Yönetici

teşekkürler...

CevapAlıntı
Gönderildi : 21/12/2012 16:16
Arf Teknoloji
(@ArfTeknoloji)
Üye

[quote user="Mumin CICEK"]teşekkürler...[/quote]

 

Rica ederiz Mümin Bey, şayet yaptığımız açıklamalarla sektördeki arkadaşlarımıza katkımız olmuşsa ne mutlu bizlere.

 

Videolarda, açıkları sayesinde birer zararlı yazılım haline dönüştürülen antivirüslerin verilen talimatta tuş vuruşları değilde örneğin excel veya pdf dosyalarını uzak sunucuya aktar denmiş olabileceğini bir düşünelim. Durum ne kadar da vahim olurdu.

 

Bir işletme, bir banka veya bir kurum için değerli olan bu tür dosyaların saldırganlar tarafından ne kadar kolay sisteminizden sızdırılabileceğini umarım gösterebilmişizdir.

 

Özellikle bilgi işlem personeli arkadaşlarımıza tavsiyemiz işletmenize veya kurumunuza ne tür bir yazılım satın alırsanız veya sisteme kurarsanız (bu antivirüste olabilir başka bir yazılımda) mutlaka ama mutlaka gerekli güvenlik testlerinden geçirilmesini sağlayınız. Bunun için alanında uzman profesyonellerden destek alın. İşletme veya kurumunuzun tek bir dosyası, müşteri bilgileri, üretim fiyatları vb. rakipleriniz tarafından veya kötü amaçlı kişiler tarafından sizlere örneklerini gösterdiğimiz gibi çok basitçe elde edilebilir.

 

Sizlere antivirüs yazılımı örneği vermemizin sebebi şüphe duyulmayacak ve amacı sözde güvenlik olan bir yazılımın bile sizlere ne derece zarar verebileceğini göstermektir.

 

Dolayısı ile tüm yazılımlarınızın sisteminizi zaafiyete uğratmayacak şekilde güvenlik testlerinden geçmesini sağlayın.

 

Çok yakında yine ülkemizde milyonlarca kişi tarafından kullanılan başka bir antivirüsün açıklarını ve bu açıklardan kişisel ve kurumsal bilgilerin nasıl sızdırıldığı sizlerle paylaşıyor olacağız.

CevapAlıntı
Gönderildi : 22/12/2012 12:07
ali kutlu
(@alikutlu)
Üye

merhaba

yanlış anlaşılmasın bizim memleketten çıkmaz demiyorum ama bu tür bir açığı nasıl sadece sizin bulduğunuzu söylüyorsunuz?

diğer paylaşımlarınıza da bakınca benzer çalışmalar yapmışsınız fakat ilgili şirketlerden de hiç yanıt gelmediği gibi mesele oldukça muğlak

bu firmalar Türkiye'de olsaydı acaba yine sessiz kalırlar mıydı bilemiyorum

fakat bir video yapıp, işte şöyle açık var demekle de pek olmuyor, videoların sahte olma ihtimali bir yana güvenlik işleri için bunu yapmak sıkıntılı olabilir

nitekim nice banka için benzer girişimler yapıldığında ya bankalar ilgilenmiyor ya da kalkıp bilgileri paylaştığınız, sırları açıkladığınız, eğer gerçek değilse bilinçli olarak itibar sarstığınız vs diye dava açıyor,  yani gerçek olsa da açıyorlarsa gerçek olmasa da bu noktada da cesaretiniz için kutluyorum. 

umarım bir sıkıntı yaşamazsınız, başarılar. 

 

CevapAlıntı
Gönderildi : 26/12/2012 16:50
Paylaş: