“Wannacry” saldırılarına karşı önlemler

Wannacry, bugünlerde dünyayı kasıp kavuran, özellikle Rus kurumlarını ve İngiliz ulusal sağlık hizmetlerini etkileyen, hastaneleri çalışamaz hale getiren yeni bir “ransomware” (fidyeci virüs, zararlı yazılım) saldırısı… Arkasında kimin olduğu ise hayli ilginç

Güncelleme: Konuyla ilgili bir Microsoft Türkiye duyurusu yayınlandı.

Bu gibi “fidyeci virüsler” (ransomware), bilgisayarınızın disklerindeki bütün verileri sessiz sedasız şifreliyor (kriptoluyor) ve ardından şifreyi çözmek (dekript etmek) için sizden ödeme talep ediyorlar.

Bu çok tehlikeli saldırıdan korunmak için bu amaçla yazılmış bir güvenlik aracını kullanabilir veya aşağıdaki önlemleri elle alabilirsiniz: 1

1. Sisteminizi güncel tutun

İşletim sisteminizin (Windows, GNU/Linux, OS X vs) güvenlik güncelleştirmelerini daima gecikmeden kurmasını sağlayın. Özellikle MS17-010 kodlu Windows güvenlik yamasının yüklü olduğundan emin olun. Bu yama, aslında desteklenmeyen Windows XP için de yayınlandı (ayrıca bakınız).
Windows 10 kullanıyorsanız, güncelleştirme geçmişinizde şunu görüyor olmanız gerekir:
wannacry w10 patch

2. SMB portlarını (TCP 135 ve TCP 445) kapatın.

Bunun için aşağıdaki komutlar kullanılabilir:

netsh advfirewall firewall add rule dir=in action=block protocol=TCP localport=135 name="Block_TCP-135"

netsh advfirewall firewall add rule dir=in action=block protocol=TCP localport=445 name="Block_TCP-445"

3. SMBv1 desteğini iptal edin.

Şu komutu yönetici olarak çalıştırın:

dism /online /norestart /disable-feature /featurename:SMB1Protocol

İşlem başarılı olursa aşağıdaki gibi bir çıktı alacaksınız:

wannacry w10 patch2

Daima geçerli önlemler:

  1. Kaynağından emin olmadığınız e-postaları açmayın.
  2. Güvenmediğiniz bağlantılara tıklamayın.
  3. Bilgisayarınıza devamlı bağlı olmayan bir yere verilerinizi düzenli aralıklarla yedekleyin. (Yedekleme çözüm önerilerim: SpiderOak veya Boxcryptor)

Dipnotlar:

  1. Bu yazıda şu sayfadan yararlanılmıştır.

Kimlik doğrulamalarında bariz ve hayati güvenlik sorunları

Yazı yazılduktan sonra ek:
Bugün okuduğum bir haber:
Şebekeden 20 milyon kişinin
kimlik ve banka hesap bilgileri çıktı

Özet: Anne kızlık soyadı, doğum yeri, doğum tarihi, nüfus cüzdanı seri numarası gibi bilgiler, kimlik doğrulama amacıyla kullanılmaya elverişli düzeyde gizli değildirler. Tüketicilere hizmet veren kişi ve kuruluşlar, özellikle bankalar, sadece bu bilgilere bakarak kimlik doğrulaması yapmayı terk etmeli, daha güvenli çözümleri acilen hayata geçirmelidirler. Aksi takdirde yaptıkları iş ve işlemlerden müşterilerinin uğrayacağı zararı tazminle sorumlu tutulmaları gerekir.

***

Hizmet aldığımız kurumların, özellikle bankaların kimlik doğrulama işlemlerinde çok bariz ve hayati güvenlik sorunları bulunuyor.

Örneğin kurumların anne kızlık soyadı bilgisini sanki sadece müşterinin bilebileceği bir gizli bilgi gibi kabul ettiği, kimlik teyidi amacıyla bu bilgiye öteden beri başvurduğu malum…

Bugün çoğu bankanın müşteri hizmetlerini telefonla arayarak, hedefteki kişinin nüfus cüzdanı seri numarası, doğum yeri ve tarihi, telefon numarası ve anne kızlık soyadı gibi bilgilerine sahipseniz o kişi adına ve hesabına işlem yapabilmeniz, o kişinin hesaplarını boşaltmanız, o kişiyi borç altına sokmanız mümkün.

Bu çok ciddi bir güvenlik açığı…

Nüfus cüzdanı seri numarası, doğum yeri ve tarihi gibi anne kızlık soyadı da bir sır değil, aksine, özellikle ülkemizde, çok kolayca ele geçirilebilen bir bilgidir.

Bu bilgileri, hemen her gün, çeşitli abonelik veya bankacılık sözleşmelerinde ve birçok resmi işlemde paylaşmak zorunda kalıyoruz. Kimliğimizin fotokopisini yerli yersiz vermeye mecbur bırakılıyoruz. Bazı binalara ancak kimliğimizi güvenliğe bırakarak girebiliyoruz. Örnekler sayısız… Kimlik bilgilerimizin kimlerin elinden geçtiğini, kimlerin bu bilgilere erişebildiğini, bu bilgilerin nerelere aktarıldığını bilmemiz imkansız.

Kaldı ki siz her türlü önlemi alıp anne kızlık soyadı bilginizi hiç kimseyle paylaşmasanız bile, dayınızın, dayınızın çocuklarının adını bilen herkes anne kızlık soyadınızı da biliyor demektir. Dolayısıyla Facebook, Twitter gibi bir sosyal ağı standart gizlilik ayarlarında kullanan bir kişiye ait anne kızlık soyadı bilgisinin, o kişinin yakın veya uzak çevresinden ve hatta internetteki herhangi biri tarafından deneme yanılma yoluyla tahmin edilmesi sanıyorum fazla uzun sürmeyecektir.

Dahası siz dilediğiniz kadar önlem almış olun, bütün vatandaşlarımızın kimlik ve adres bilgilerinin daha geçen sene internete saçıldığını hatırladığınızda kimlik teyidi amacıyla kullanılan bu bilgilerin sizin için de hiçbir güvenliğinin olmadığını anlarsınız.

İşin kötüsü, siz bu bariz güvenlik sorununun farkında olsanız bile bu konuda yapabileceğiniz hiçbir şey bulunmuyor. Tüketici olarak bankaların ve diğer hizmet sağlayıcıların sözleşmeleri ve uygulamaları ne ise bunları olduğu gibi kabul etmek durumunda kalıyoruz.

Tüm bu gerçeklere rağmen ne yazık ki mahkemeler bu kimlik doğrulaması usulünün uygulanmasında bir beis görmüyor, bu yolla bankalar tarafından yapılan kimlik doğrulamalarına dayanılarak kötü niyetli üçüncü kişiler tarafından yapılan işlemlerden hesap sahibini sorumlu tutabiliyorlar (Örneğin, Eskişehir 3. Asliye Hukuk Mahkemesi’nce verilen 16/10/2014 tarih ve 2013/859-2014/646 sayılı karar ve bu kararı temyizen inceleyen Yargıtay 11. Hukuk Dairesi’nin bu hususu bir bozma sebebi olarak zikretmeyen E. 2015/9531 K. 2015/9693 T. 30.9.2015 sayılı kararı).

Bankalar mevzuatları gereği, en üst derecede özenle çalışması gereken uzman kuruluş kabul edilirler. Tüketicilere ve tacirlere sundukları hizmetlerle ilgili güvenlik risklerini saptamak ve gerekli önlemleri almak bankaların sorumluluğundadır. Bankaların nüfus cüzdanı seri no, doğum yeri ve tarihi, anne kızlık soyadı gibi bilgilerin güvenli ve gizli bilgi sayılamayacağını bilemeyecekleri düşünülemez. Dolayısıyla bankaların bu bilgilere dayanarak, müşteri bilgisi ve onayı dışında yaptıkları işlemlerden doğan zararlardan müşterilerine karşı sorumlu tutulmaları gerekir.

Gerek bankaların, gerekse mahkemelerin, bu gerçeklerin artık farkına vararak anne kızlık soyadı teyidi gibi geleneksel yöntemleri bırakmalarının ve çağımızın koşullarına uygun yeni kimlik doğrulama vasıtalarını uygulamalarında esas almalarının çok acil olduğunu düşünüyorum.

Bu uygulamaların yol açabileceği zararların büyüklüğü bilindiği halde geleneksel yöntemlerin sürdürülmesini, herkesin görebileceği bu bariz sorunların hayati konularda görmezden gelinmesini hayretle karşılıyorum.

500 milyon Yahoo kullanıcısının bilgileri çalınmış

Yahoo’nun bugün yaptığı açıklamaya göre 2014 yılının ikinci yarısında Yahoo’nun 500 milyon kullanıcısının hesap bilgileri devlet tarafından finanse edildiğine inandıkları bir fail tarafından çalınmış. Bu bilgiler şunları içeriyor olabilirmiş:

  • İsim, e-posta adresleri, telefon numaraları, doğum günleri, şifrelerin kriptolanmış halleri, güvenlik soruları ve cevapları.

Yahoo, etkilenen kullanıcılarına bu durumu bildirdiklerini belirtmekle birlikte bütün kullanıcılarının şunları yapmasını öneriyor:

  • Yahoo hesabına tanımla güvenlik sorularını iptal etmek.
  • Diğer hesaplardaki aynı veya benzer güvenlik soruları ve cevaplarını değiştirmek.

Tuhaftır, Yahoo bunu önermekle birlikte hangi güvenlik sorularını kullandığınızı sistemde size göstermiyor. Hatırlamanız gerekiyor.

Bu olay sebebiyle yıllar sonra Yahoo mail hesabıma giriş yaptım. Saklama alanını 1 TB’ye çıkardıklarını farkedince nereden nereye diye düşündüm. Bir zamanlar Yahoo vardı. Gmail  “bitmeyecek bir depolama alanı” vaadiyle, Yahoo’nun ücretli sunduğu özellikleri ücretsiz sunarak kullanıcı kazandı. Geride bıraktı bütün rakiplerini. Bugün ise 15 GB ile sınırlamış durumda saklama alanını. Yahoo 1 TB yaparak kaybettiği bu oyunda gidişatı tersine çevirebilir mi? Sanmıyorum. O gün atmak gerekiyordu yenilikçi ve rekabetçi adımları…

Mesela, en azından, kullanıcıların yıllar sonra bir skandal vesilesiyle de olsa hesaplarına giriş yapmışken onları bir kere daha hayalkırıklığına uğratmamak, onlara başka yerlerde de değiştirmeleri gereken güvenlik sorularının ne olduğunu hatırlatabilmek gerekiyor.

BadUSB saldırılarından korunmak [Windows]

Aşağıdaki işlemleri uygulamanız, Microsoft Windows işletim sistemi üzerinde “BadUSB” saldırılarından bir ölçüde korunmanızı sağlayabilir:

  1. Windows tuşu + R tuşu / gpedit.msc / ENTER
  2. “Yönetim Şablonları” / “Sistem” / “Aygıt Yükleme” / “Aygıt Yükleme Kısıtlamaları”
  3. “Çıkarılabilir aygıtların yüklenmesini engelle”: “Etkin”
  4. “Yöneticilerin Aygıt Yükleme Kısıtlaması ilkelerini geçersiz kılmasına izin ver”: “Etkin”
  5. “Bu aygıt kurulum sınıflarıyla eşleşen sürücüleri kullanan aygıtların yüklenmesini engelle”: “Etkin”
  6. “Bu aygıt kurulum sınıflarıyla eşleşen sürücüleri kullanan aygıtların yüklenmesini engelle” / “Göster” bölümünde aşağıdaki kodları ekleyiniz (parantezleri eklemeyiniz) (diğer aygıtlar için):
    1. 4d36e96b-E325-11CE-BFC1-08402BE10318 (klavye)
    2. 4D36E972-E325-11CE-BFC1-08012BE10318 (ağ bağdaştırıcısı)
    3. e0cbf06c-cd8b-4647-bb8a-263b45f0f974 (bluetooth)
    4. 4D36E96F-E325-11CE-BFC1-08002BE10318 (fare ve trackpad)
    5. 4D36E96D-E325-11CE-BFC1-08002BE10318 (modem)
    6. 36FC9E60-C465-11CF-8056-444553540000 (USB hubs)

Evernote güvenli mi?

Evernote, bulut tabanlı bir not alma uygulaması. Düsturu: “Her Şeyi Hatırlayın“.

evernote

Bu “her şey”in içerisine hayatınızla ilgili hemen her şey dahil. Notlarınız, yazılarınız, fotoğraflarınız, ses kayıtlarınız, e-postalarınız ve çalışma dosyalarınız dahil. Evernote hayatınızdaki hemen her belgeyi ve fotoğrafı Evernote’un ABD’deki sunucularında depolamanızı öğütleyen bir hizmet. Sembolü bir fil. Filler hafızalarının genişliği ile bilinirler.

Bu saydığımız veri ve bilgilerin “kişisel” olduğuna şüphe yok. Mesleki veya ticari belgeleri kaydederseniz, ki Evernote bunu da tavsiye etmekte, bu bilgiler aynı zamanda “mesleki veya ticari sır” niteliği de taşırlar.

Peki bu bilgilerin Evernote’ta saklanması ne kadar güvenli?

Evernote’ta depoladığınız bilgiler, veriler, şifreli şekilde değil, düz metin olarak veya düz görsel veya ses olarak saklanıyor. Şifrelenmiyor. Kriptolanmıyor. Bunun anlamı: Evernote çalışanları veya bu depolama hizmetlerini veren üçüncü kişiler ve bu üçüncü kişilerin çalışanları, verilerinize ve bilgilerinize her zaman ERİŞEBİLİRLER.

Evernote bunu inkar etmiyor. “Privacy Policy” isimli belgesinde belirli durumlarda bu bilgi ve içeriğe ERİŞEBİLECEKLERİNİ açıkça ifade etmişler. 1

Ayrıca Evernote, sizinle ve sizin Evernote’u kullanımınızla ilgili tonla bilgiyi çerezler, pikseller ve başta teknolojiler yardımıyla topladığını ve belirli ticari amaçlarla kullanabileceğini de bu belgede belirtiyor. 2

Bu bilgiler ABD’deki veri merkezlerinde saklanıyor ve ABD veri koruma kanunlarına tabi. Bu kanunların AB tarafından yeterli bulunmadığı malum. 3

Bu arada, Snowden vakasını hatırlıyorsunuz, değil mi?

Evernote güvenli mi? Sorumuz buydu.

Kişisel bilgilerinizi, mesleki ve ticari sırlarınızı Evernote’a emanet edebilir misiniz?

Bu soruya cevabı en iyisi siz verin.

Dipnotlar:

  1. İlgili kısım: “… we list below the limited circumstances in which our employees may need to access or review your personal information or account Content …”
  2. İlgili kısım: “İlgili kısım: “Evernote uses cookies, tracking pixels and similar technologies on our Service to collect information that helps us provide our Service to you and to learn how our Service is used. We also use these technologies to help deliver promotional messages and ads for relevant Evernote products and services.”
  3. İlgili kısım: “When you sync your computing device with the Service, that Content will be replicated on servers we and our Service Providers maintain in the United States.”

uBlock Origin ile güvenli ve hızlı web

adblock’a iyi bir alternatif… Firefox veya Chrome, kullandığınız tarayıcıya kurabileceğiniz açık kaynaklı bir eklenti:

uBlock Origin

Reklamları engeller ve böylece web gezintinize önemli ölçüde hız ve dinginlik katar ama sadece bununla kalmaz. Ayarlar ekranında “İleri düzey kullanıcıyım” () seçeneğini aktif hale getirirseniz ve sonra “Kurallarım” (My Rules) sekmesine geçerseniz buraya ekleyeceğiniz aşağıdaki kodlarla web gezintinizi daha güvenli hale getirebilirsiniz:

* * 3p-frame block
* * 3p-script block

Diyelim ki sınırlı bir kotanız var ve resimleri görmeniz de gerekmiyor. Aşağıdaki kodla bütün sitelerdeki bütün görselleri engelleyebilirsiniz:

* * image block

Bu kurallara site bazında istisnalar getirmeniz mümkün olacak, merak etmeyin.

Bu ayarları yapmanız halinde web kaynaklı virüs ve kötü amaçlı yazılımların birçoğuna karşı önlem almış sayabilirsiniz kendinizi, antivirüs kullanmadan.

Ayrıca noscript, umatrix gibi ilave bir eklentiye de birçok bakımdan ihtiyaç duymayacaksınız.

tcplay ile Linux’ta Truecrypt kullanmak zahmetsiz

truecryptAçık kaynak dünyasının önemli güvenlik projelerinden olan Truecrypt‘in 28 Mayıs 2014 günü tuhaf bir açıklamayla şüphe uyandıran bir şekilde durdurulmasından bu yana uzun bir zaman geçmesine rağmen bu önemli olay hala aydınlatılamadı ve yakın zamanda da bu konuda bir gelişme olacak gibi görünmüyor.

Programın kaynak kodlarının açık olması sayesinde geliştiricilerinin projeyi durdurması projenin ölmesi sonucunu doğurmadı neyse ki. Programın gelişimini kaldığı yerden devam ettirecekleri iddiasıyla ortaya çıkan Ciphershed ve Veracrypt gibi girişimler oldu lakin bunların da ne kadar uzun soluklu olacağı belirsiz.

Truecrypt denetimi başarılı sonuçlanmış olsa da programın Windows sürümünde iki kritik açık bulundu. 1 2

GNU/Linux tarafında Truecrypt kullanmaya devam etmek isteyenler crypsetup 1.6 sürümünden itibaren truecrypt paketlerine ihtiyaç duymadan bunu yapabiliyorlar.

Komut formatı şöyle temel olarak:

# cryptsetup --type tcrypt open container-to-mount container-name

Bu amaçla kullanılabilecek bir diğer açık kaynaklı proje de tc-play. debian paket depolarında yerini almış olan bu program sayesinde yine truecrypt paketleri gerekmeksizin, Truecrypt’i derlemekle uğraşmak gerekmeden birkaç komutla hemen işe koyulmak mümkün. Truecrypt –kullanmak belki değilse de– kullanmaya başlamak bu program sayesinde eskisinden de kolay olmuş.

Bu programla truecrypt konteynerleri yaratmak veya bunları açıp kullanmak mümkün. Bir GUI mevcut değil. Komut satırından kullanılabiliyor.

man tcplay

komutuyla nasıl kullanacağınızı öğrenebilir, shell script’lerle bu işlemleri otomatikleştirebilirsiniz. :)

tuxGNU/Linux tarafında Truecrypt kullanmaya devam etmeye belki cross-platform gereksiniminiz varsa ihtiyaç duyabilirsiniz. Bu durumlarda tcplay veya cryptsetup işinizi görecektir.

Cross-platform sorununuz yoksa Linux çekirdeğinin 2.6 versiyonuyla birlikte sunmaya başladığı bir nimet olan dm-crypt var. cryptsetup ve cryptmount frontend paketleri depoda kullanıma hazır halde bekliyorlar, pratik ve kullanışlılar, sisteme entegre çalışıyorlar.

Üstelik bunları kullanmak için işletim sisteminizi –Bitlocker için olduğu gibi– 349,99 TL daha ödeyerek Pro versiyona yükseltmeniz de gerekmiyor. ;)

Bunlarla bir USB belleği veya yerel sürücüyü güvenli hale getirmek mümkün olduğu gibi (Gnome ile: Disks – CTRL+SHIFT+F – Type: Enrcypted) belirli bir dosyayı bir sürücü gibi kullanmak da imkan dahilinde.

Dipnotlar:

  1. http://www.theregister.co.uk/2015/09/29/google_flaks_find_admin_elevation_holes_that_gave_truecrypt_audit_the_slip/
  2. https://veracrypt.codeplex.com/SourceControl/changeset/cf4794372e5dea753b6310f1ca6912c6bfa86d45

GTKHash

Linux Mint 17.2 üzerinde dosyaların özgünlüğünü tespit edebilmek için GTKHash yazılımını kurdum (Windows üzerinde “HashCheck Shell Extension” adlı yazılımı kullandığımdan daha önce bahsetmiştim).

GTKHash kurulumu için Synaptic’te aşağıdaki paketleri yükledim:

  • gtkhash
  • gtkhash-common
  • nemo-gtkhash

Kurulum tamamlandıktan sonra kontrol edilecek dosyaya sağ tıklayarak “Özellikler” (Properties) seçeneğinden, “Digests” bölümünde hash çıktıları bana sunulmaya başladı.

gtkhashBu pencerede “Check” kutusuna dosyanın olması gereken hash çıktısını yapıştırdığımızda sağda “tik” işareti görüyorsak sonuç başarılı anlamına geliyor.

Bir dosyanın olması gereken hash çıktısını, o dosyayı indirdiğimiz kaynaktan edinmeliyiz. Örneğin LibreOffice indirme sayfasında bu bilgiler şu şekilde yer alıyor:

Screenshot from 2015-11-14 15:18:30

Metinlerin hash çıktılarını da hesaplayabiliyor…

Bu programın bir marifeti de, dosyaların yanı sıra, metinlerin de hash çıktılarını hesaplayabilmesi…

Örneğin adım “Ertuğrul Harman”, SHA1 algoristmasıyla 57cd2ace8436cb2b146890a6c9a5fef9de94b576 sonucunu veriyor.

Screenshot from 2015-11-14 15:30:39