WhatsApp ve Telegram Hesabınız Nasıl Bir Fotoğrafla Hacklenebilir?

Google, Play Store'dan En Büyük Android Adware Ailesini Çıkartıyor

Google, potansiyel olarak zararlı uygulamaları son yıllarda Google Play Store'dan kaldırma çabalarını hızlandırmış ve yeni uygulamalara yönelik daha sıkı malware kontrolleri eklemesine rağmen, milyonlarca Android kullanıcılarını hedefleyen kendi mobil uygulama pazarına girme yolunu buluyor.

Google, Play Store ekosistemini güvence altına almak için gösterdiği son çabalarıyla, Android kullanıcılarına resmi Play Store'da barındırılan uygulamalar yoluyla yeni bir botnet ailesini keşfetti. Chamois olarak adlandırılan PHA ailesi (potentially harmful applications) kullanıcıları pop-up reklamlarla boğarak, diğer uygulamaların arka planda otomatik olarak yüklenerek app tanıtımını artırarak, kullanıcıları birinci sınıf hizmetlere abone olarak kısa mesajlar göndererek ve ek eklentileri indirmeden yükleyebildi.

Google mühendisleri, rutin bir reklam trafiği kalitesi değerlendirmesi yaparken şüpheli reklam trafiğini keşfettikten sonra Chamois'i yakaladıklarını söyledi. Chamois'in keşfinden sonra Google, Chamois uygulama ailesini Onaylama Uygulamalarını kullanarak engelledi ve reklam sisteminden para kazanmak için reklam sisteminden yararlanmaya çalışan bazı kişileri yasakladı.
 
Google ayrıca, bu yeni Chamois ile ilişkili tehdidi saptayabilen uygulama test sistemini de güncelledi.

Haber: Rumeysa Bozdemir

Blogdan: iPhone Kullanıyorsanız Dikkat!
 

Kendilerini “Turkish Crime Family” (Türk Suç Ailesi) olarak adlandıran bir grup hacker Apple’ı 300 milyon iPhone ve iPad kullanıcısının hesaplarını silmekle tehdit ediyor. Grup, 7 Nisan’a kadar Bitcoin ile 75,000 A.B.D Doları veya 100,000 Dolarlık iTunes hediye çeki karşılığında ödeme yapılmazsa milyonlarca iCloud hesabını sileceğini belirtmiş.

Apple bu konuda herhangi bir ödeme yapılmasının söz konusu olmadığını ve “suç işledikleri için kimseyi ödüllendirmeyeceklerini” belirtiyor. Olayın duyulmasına neden olan şeyin, Apple güvenlik ekibiyle “Turkish Crime Family” üyeleri arasında geçtiği iddiasıyla sızdırılan bazı mailler olması nedeniyle konuya ilişkin henüz bir teyit alınmış değil.

Konuya medyayı dahil ederek kurban seçtikleri kuruluşun siber fidyeyi ödemeye itilmesi son zamanlarda sıkça karşılaşmaya başladığımız bir trend. Kamuoyu oluşturup Apple’ın müşterilerinden gelecek yoğun talep karşısında bu parayı ödeyeceği öngörülmüş olabilir.

Güvenlikle ilgili konularda, gereksiz panik havası yaratmaktan itinayla kaçındığımı bilirsiniz ancak bu tehdit bize iCloud güvenliğimizi bir kademe artırmak için güzel bir bahane olabilir.

Her ihtimale karşı;

•  iCloud parolanızı değiştirmenizi (tabii ki kompleks bir parola ile; ipuçları için: https://alperbasaran.com/ingiliz-istihbaratindan-parola-guvenligi-icin-ipuclari/)
•  iCloud hesabınıza giriş yaparken, bankaların yaptığı gibi, SMS ile tek kullanımlık parola gönderilmesini sağlayacak ki kademeli doğrulamayı devreye almanızı (Nasıl yapılacağını öğrenmek için: https://support.apple.com/en-gb/HT204915)

Tavsiye ederim.

Önümüzdeki günlerin neler getireceğini hep birlikte göreceğiz.

WhatsApp ve Telegram Hesabınız Nasıl Bir Fotoğrafla Hacklenebilir?

Son zamanlarda kullanıcılara sadece bir resime tıklamasıyla bilgisayar korsanlarını tamamen devralmalarına izin verebilen saldırı eylemi iki popüler uçtan uca şifrelenmiş mesajlaşma servisi (WhatsApp ve Telegram) tarafından düzeltildi. Saldırı, yalnızca WhatsApp ve Telegram'ın tarayıcı tabanlı sürümlerini etkiliyor, bu nedenle mobil uygulamalara güvenen kullanıcılar saldırıdan etkilenmiyor.

Saldırı, masum görünümlü bir görüntüde gizli olan kötü amaçlı kod gönderilmesiydi. Kurban resim üzerine tıkladığında, saldırgan kurbanın WhatsApp veya Telegram saklama verilerine tam erişebilirdi. Bu, sonuçta saldırganların herhangi bir tarayıcıda kullanıcının hesabına tam erişimini, sohbet oturumlarını görüntüleyip yönetmesini, mağdurun kişisel ve grup sohbetlerine, fotoğraflarına, videolarına, ses dosyalarına, diğer paylaşılan dosyalara ve iletişim listelerine erişmesine izin verdi.

Telegram, Pazartesi günü sorunu düzeltti, ancak 8 Mart Perşembe günü 24 saat içinde WhatsApp bu hatayı düzeltti. Düzeltmeler sunucu tarafında uygulandığından, kullanıcıların saldırıdan korunmak için herhangi bir uygulamayı güncellemesi gerekmez; Bunun yerine, sadece bir tarayıcı yeniden başlatmaya ihtiyaç duyarlar.

Uçdan uca şifreleme olduğu için sunucular tarafından gönderilen dosyaların zararlı olup olmadığı tespit edilemiyordu. Bu kusurun düzeltilmesinden sonra, hem WhatsApp hem de Telegram'ın web versiyonlarındaki içerik, uçtan uca şifreleme başlamadan önce doğrulanarak kötü niyetli dosyaların engellenmesine izin verilecek.

Haber: Rumeysa Bozdemir

Cisco'larda Telnet’i Devre Dışı Bırakın!

Cisco, 300'den fazla anahtar modelini etkileyen yeni kritik zero-day IOS / IOS XE güvenlik açığı konusunda uyarıda bulunuyor.

Şirket, Merkezi İstihbarat Teşkilatının (CIA) hack araçlarını ve taktiklerini ayrıntılandırmak için Wikileaks tarafından geçen hafta sızdırılmış kabaca 8.761 belge ve dosyayı "Vault 7" yi analiz ederken ürününde bu en yüksek güvenlik açığını tespit etti.

Güvenlik açığı, Cisco IOS ve Cisco IOS XE Yazılımındaki Küme Yönetim Protokolü (CMP) işleme kodunda bulunur. CMP protokolü, küme üyeleri arasındaki anahtar kümeleri hakkında Telnet veya SSH kullanılarak bilgi iletmek üzere tasarlanmıştır.

Kötüye kullanılması durumunda (CVE-2017-3881), kimliği doğrulanmamış uzaktaki bir saldırganın etkilenen bir cihazın yeniden başlatılmasına veya cihazın tam kontrolünü ele geçirmek için yükseltilmiş ayrıcalıklarla uzaktan kötü amaçlı kod çalıştırmasına neden olacağı söylenebilir.
Cisco araştırmacılarına göre, bu hata CMP içindeki Telnet bağlantılarında iki faktörden dolayı ortaya çıkar:

• Protokol, CMP'ye özgü Telnet seçeneklerinin kullanılmasını sadece küme üyeleri arasındaki dahili yerel iletişimlerle sınırlamaz; Bunun yerine, etkilenen bir aygıta Telnet bağlantısı üzerinden komutları kabul eder ve işler.
• Hatalı biçimlendirilmiş CMP'ye özgü Telnet seçeneklerinin hatalı işlenmesi.

Şimdilik, bu güvenlik açığı düzeltilmemiştir. Yamalar mevcut duruma gelene kadar Cisco, kullanıcılarına SSH lehine switch cihazlarına Telnet bağlantısını devre dışı bırakmalarını öneriyor.

https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-20170317-cmp adresinden ulaşılabilecek duyuruda bu güvenlik açığından etkilenen switch modellerini ve sunulan çözüm önerisini bulabilirsiniz.
 
Bu zafiyetin ağınızda bulunan CISCO sistemlerini etkileyip etkilemediğini anlamak için aynı sayfanın içerisinde yer alan “check” kutucuğuna ilgili cihazının işletim sistem sürümünü yazmanız yeterlidir.

Shodan arama motoruna baktığımızda Türkiye'de, genelde Telnet için kullanılan port olan 23'ün açık olduğu ve CISCO markasının görülebildiği, toplam 56 cihazın endekslendiğini görüyoruz (altta)


Buna karşılık SSH portu açık olan cihazların sayısı daha fazla (yine aşağıda)



Bu durumda açığın Türkiye özelinde ne kadar kritik olduğu (istismar edilebilecek sistemlerin azlığı nedeniyle) bize göre henüz net olmadığı için bu konuda sizlere kritik güvenlik zafiyeti gönderip yersiz bir ajitasyon yapmak istemedik. 
Haber: Rumeysa Bozdemir

Açık Yedi Yıl Sonra Fark Edildi ve Hızlı Bir Şekilde Düzeltildi

Positive Technologies'ten güvenlik uzmanı Alexander Popov, n_hdlc sürücüsünde saldırganların işletim sisteminde ayrıcalık yükselmesi için yararlanabileceği bir yarış durumu keşfetti. Yakın zamanda Linux çekirdeğinde sabitlenen ve CVE-2017-2636olarak izlenen bu kusur, ayrıcalık yükselmesi veya bir DoS durumuna neden olması için kullanılmış olabilir.

CVE-2017-2636 olarak izlenen güvenlik açığı CVSS v3 7.8 puan aldı, yedi yıl açık kaldı, ancak bilgisayar korsanlarının vahşi ortamda kullandıklarını söylemek mümkün değil.

“Bu, n_hdlc Linux çekirdeği sürücüsündeki (drivers / tty / n_hdlc.c) bir yarış durumu olan CVE-2017-2636'un bir duyurusudur. Yerel bir ayrıcalık yükselmesi elde etmek için bu istifade edilebilir. Bu sürücü, HDLC seri hat disiplini sağlar ve çekirdek yapılandırmasında CONFIG_N_HDLC = m olan birçok Linux dağıtımı için bir çekirdek modülü olarak gelir. Güvenlik açığı bulunan n_hdlc modülündeki kusurun kötüye kullanılması Microgate veya SyncLink donanım gerektirmez. İmzasız bir kullanıcı bir sahte terminale açarsa ve N_HDLC hattı disiplini ayarlamak için TIOCSETD ioctl çağırırsa modül otomatik olarak yüklenir.” Şeklinde açıklama yapılmıştır.

Saldırganlar, kusurlu modülü yalnızca özel bir kullanıcı haklarından ve herhangi bir özel donanım kullanmadan otomatik olarak yükleyebilirler. CVE-2017-2636 güvenlik açığı Ubuntu, RHEL 6/7, Fedora, SUSE ve Debian da dahil olmak üzere popüler Linux dağıtımlarının çoğunu etkiliyor.

Bu kusur 7 Mart'ta açıklandı ve büyük dağıtımların arkasındaki geliştirme ekibi güvenlik güncellemelerini hızla yayınladı. Linux kullanıcıları, en son güvenlik güncelleştirmelerini yükleyebilir veya güvenlik açığı bulunan modülü el ile devre dışı bırakabilirler.

Haber: Rumeysa Bozdemir