Hakkımızda

Geçtiğimiz günlerde ransomware alanında faaliyet gösteren siber saldırganların, artık ne derece kurumsallaşıtığını ve güçlendiğini gösteren ilginç bir haberle karşlılaştık. BlackBasta isimli grup, dark webde bir ihale ilanı yayınladı.

Bu ilana göre grup; özellikle Windows sistemleri için aktif olarak RCE (uzaktan kod yürütme) 0Day açıkları arıyor. CVE ID’leri veya demo sürümleri talep ediyorlar ve yerel ağları hedefleyenler de dahil olmak üzere kullanıcı etkileşimi gerektirmeyen istismarları satın almayı teklif ediyorlar. Bu meselede asıl haber değeri olan şey, grupların artık elde ettikleri ekonomik gücü adeta yatırım için kullanma becerilerin geldiği tehlikeli bir noktaya işaret ediyor.

Peki bu durumda yapabileceğimiz neler var?

Uzaktan kod yürütme saldırıları çeşitli güvenlik açıklarından faydalanabilir, bu nedenle bunlara karşı korunmak çok yönlü bir yaklaşım gerektirir. İşte RCE saldırılarını tespit etmek ve azaltmak için bazı en iyi uygulamalar:

1. Veri Girişlerini sterilize edin -saldırganlar RCE gerçekleştirmek için genellikle deserializasyon ve enjeksiyon açıklarından yararlanır. Uygulamanın kullanmasına izin vermeden önce kullanıcı tarafından sağlanan girdiyi doğrulamak ve sterilize etmek, çeşitli RCE saldırı türlerini önlemeye yardımcı olacaktır.
2. Belleği güvenli bir şekilde yönetin-saldırganlar arabellek taşmaları gibi bellek yönetimi sorunlarından faydalanabilir. Bir saldırgan RCE gerçekleştirmeden önce sorunları gidermek için arabellek taşması ve bellekle ilgili güvenlik açıklarını belirlemek üzere tüm uygulamalar için düzenli güvenlik açığı taramaları yapmak önemlidir.
3. Trafiği inceleyin-RCE saldırıları, saldırganların kurumsal bir sisteme erişmek için kod açıklarından yararlanarak ağ trafiğini manipüle etmesini içerir. Kuruluşlar, sistemlerine uzaktan erişimi ve kontrolü tespit eden ve güvenlik açığı olan uygulamaların istismar girişimlerini engelleyen bir ağ güvenliği çözümü uygulamalıdır.
4. Erişimi kontrol edin-RCE, saldırganlara hedef ağda erişimi genişletmek ve daha zarar verici saldırılar gerçekleştirmek için kullanabilecekleri bir dayanak noktası sağlar. Ağ segmentasyonu, sıfır güven politikaları ve erişim yönetimi platformları gibi erişim kontrolleri ve teknikleri, yanal hareketin önlenmesine yardımcı olarak saldırganların hedef sisteme ilk erişimi sağladıktan sonra bir saldırganı yükseltememesini sağlayabilir.
5. Güvenlik duvarı politikalarınızı sıkılaştırın. Mümkünse XDR özellikli güvenlik çözümlerini tercih edin.

Black Basta (AKA BlackBasta), ilk olarak 2022’nin başlarında ortaya çıkan ve hemen dünyadaki en aktif RaaS tehdit aktörlerinden biri haline gelen, faaliyetinin ilk birkaç ayında 19 önde gelen kurumsal kurban ve 100’den fazla doğrulanmış kurban toplayan bir fidye yazılımı operatörü ve Hizmet Olarak Fidye Yazılımı (RaaS) suç girişimidir. Black Basta, ABD, Japonya, Kanada, Birleşik Krallık, Avustralya ve Yeni Zelanda’daki kuruluşları, püskürtme ve püskürtme yaklaşımı kullanmak yerine son derece hedefli saldırılarla hedef alıyor. Grubun fidye taktikleri, kurbanlarının kritik verilerini ve hayati sunucularını şifreleyerek ve hassas verileri grubun halka açık sızıntı sitesinde yayınlamakla tehdit ederek çifte şantaj taktiği kullanıyor.

Black Basta’nın çekirdek üyeliğinin, kötü amaçlı yazılım geliştirme, sızıntı siteleri ve müzakere, ödeme ve veri kurtarma için iletişim yaklaşımlarındaki benzerlikler nedeniyle feshedilmiş Conti tehdit aktörü grubundan ortaya çıktığı düşünülmektedir. Black Basta ayrıca özel Uç Nokta Tespit ve Yanıt (EDR ) kaçırma modüllerindeki benzerlikler ve komuta ve kontrol (C2) operasyonları için IP adreslerinin örtüşen kullanımı nedeniyle FIN7 (AKA Carbanak) tehdit aktörü ile de ilişkilendirilmiştir.

Siber güvenlik dünyasında, her geçen yıl daha karmaşık ve tehlikeli tehditler ortaya çıkmaktadır. 2024 yılında ortaya çıkan RansomHub ransomware grubu, siber suç ekosisteminde hızla yükselen bir tehdit haline gelmiştir. RansomHub, LockBit ve ALPHV/BlackCat gibi köklü grupların yerini almış ve kısa sürede önemli saldırılara imza atmıştır. Bu makalede, RansomHub’ın çalışma yöntemleri, teknik altyapısı, hedef aldığı sektörler ve savunma stratejileri detaylı şekilde ele alınacaktır.

RansomHub, 2024 yılında faaliyet göstermeye başlamış bir ransomware-as-a-service (RaaS) grubudur. RaaS modeli, ransomware yazılımını geliştiren ve dağıtan çekirdek bir ekip ile bu yazılımı kullanarak saldırılar düzenleyen iş ortaklarından (affiliate) oluşur. Bu iş modeli, ransomware saldırılarının yayılmasını hızlandırır ve saldırı tekniklerinin daha geniş bir yelpazeye ulaşmasına olanak tanır. RansomHub, bu yapı ile kısa sürede dikkat çekmiştir.

RansomHub’ın bu denli kısa sürede yükselmesinin birkaç temel nedeni vardır:

• LockBit’e Yönelik Operasyonlar: 2024 Şubat ayında LockBit grubuna yönelik uluslararası operasyonlar, bu grubun altyapısına ciddi zararlar vermiştir. Bu durum, birçok LockBit iş ortağının RansomHub gibi alternatif RaaS gruplarına yönelmesine neden olmuştur.
• ALPHV/BlackCat İş Ortakları: ALPHV grubu, iş ortaklarını dolandırdıktan sonra bu iş ortakları RansomHub’a geçmiştir. Bu durum, RansomHub’ın iş gücünü ve kaynaklarını artırmıştır.

RansomHub, özellikle kritik altyapı sektörlerine odaklanmıştır. Bu sektörler şunları içerir:

• Sağlık
• Su yönetimi
• Finansal hizmetler
• Kamu hizmetleri
• Ulaşım ve iletişim
• Acil servisler Grup, bu tür kritik hizmetleri hedef alarak kuruluşları hem iş sürekliliği hem de veri güvenliği açısından büyük baskı altına sokmaktadır.

RansomHub, belirli ülkeleri hedef almamaktadır. Bunlar:

• CIS (Rusya’nın başını çektiği Bağımsız Devletler Topluluğu)
• Küba
• Kuzey Kore
• Çin Bu sınırlamalar, grubun muhtemelen Rusya veya Rusya’ya dost ülkelerde faaliyet gösterdiğini işaret eder. Rusya’nın siber suçlara karşı gösterdiği esneklik, bu tür grupların daha rahat hareket etmelerini sağlamaktadır.

RansomHub, ransomware saldırılarında yaygın olarak kullanılan teknik ve yöntemleri benimsemektedir. Saldırı aşamaları genellikle şu şekilde ilerler:

İlk erişim genellikle iki yöntemle sağlanır:

• Phishing (Kimlik Avı): RansomHub, geniş çaplı phishing kampanyaları ile hedeflerine ulaşır. Bu kampanyalarda zararlı bağlantılar veya ekler kullanılarak kurbanın kimlik bilgileri ele geçirilir veya zararlı yazılımlar sisteme bulaştırılır.
• Zafiyetlerin İstismarı: Bilinen güvenlik açıklarını kullanarak sisteme erişim sağlama, RansomHub’ın başlıca yöntemlerinden biridir. Örneğin, CVE-2023-3519 (Citrix), CVE-2023-27997 (Fortinet) gibi kritik zafiyetler sıkça kullanılmaktadır.

Sisteme erişim sağlandıktan sonra RansomHub, ağ içinde keşif yaparak lateral hareket eder. Mimikatz gibi araçlarla kimlik bilgilerini ele geçiren grup, PsExec ve Remote Desktop Protocol (RDP) gibi tekniklerle ağda hareket eder.

Veri şifreleme işlemi, RansomHub’ın fidye taleplerinin merkezindedir. Curve25519 ve AES algoritmaları kullanılarak veriler şifrelenir. Bu işlem sırasında kurbanın verilerine erişimini tamamen engellemek amacıyla Volume Shadow Copy silinir. Ayrıca, RansomHub, fidye ödenmezse hassas bilgileri yayınlamakla tehdit ederek baskıyı artırmak için çifte fidye stratejisi uygular.

RansomHub, geleneksel şifreleme yöntemlerinden farklı olarak intermittent encryption (aralıklı şifreleme) kullanır. Küçük dosyalar tamamen şifrelenirken, daha büyük dosyalar belirli aralıklarla şifrelenir. Bu teknik, şifreleme sürecini hızlandırırken saldırının etkisini artırır.

---

We are the RansomHub.

Your company Servers are locked and Data has been taken to our servers. This is serious.

Good news: – your server system and data will be restored by our Decryption Tool; – for now, your data is secured and safely stored on our server; – nobody in the world is aware about the data leak from your company except you and RansomHub team;

FAQs: Who we are? – Normal Browser Links: https://ransomxifxwc5eteopdobynonjctkxxvap77yqifu2emfbecgbqdw6qd.onion.ly/ – Tor Browser Links: http://ransomxifxwc5eteopdobynonjctkxxvap77yqifu2emfbecgbqdw6qd.onion/

Want to go to authorities for protection? – Seeking their help will only make the situation worse,They will try to prevent you from negotiating with us, because the negotiations will make them look incompetent,After the incident report is handed over to the government department, you will be fined <This will be a huge amount,Read more about the GDRP legislation:https://en.wikipedia.org/wiki/General_Data_Protection_Regulation>,The government uses your fine to reward them.And you will not get anything, and except you and your company, the rest of the people will forget what happened!!!!!

Think you can handle it without us by decrypting your servers and data using some IT Solution from third-party “specialists”? – they will only make significant damage to all of your data; every encrypted file will be corrupted forever. Only our Decryption Tool will make decryption guaranteed;

Think your partner IT Recovery Company will do files restoration? – no they will not do restoration, only take 3-4 weeks for nothing; besides all of your data is on our servers and we can publish it at any time; as well as send the info about the data breach from your company servers to your key partners and clients, competitors, media and youtubers, etc. Those actions from our side towards your company will have irreversible negative consequences for your business reputation.

You don’t care in any case, because you just don’t want to pay? – We will make you business stop forever by using all of our experience to make your partners, clients, employees and whoever cooperates with your company change their minds by having no choice but to stay away from your company. As a result, in midterm you will have to close your business.

So lets get straight to the point.

What do we offer in exchange on your payment: – decryption and restoration of all your systems and data within 24 hours with guarantee; – never inform anyone about the data breach out from your company; – after data decryption and system restoration, we will delete all of your data from our servers forever; – provide valuable advising on your company IT protection so no one can attack your again.

Now, in order to start negotiations, you need to do the following: – install and run ‘Tor Browser’ from https://www.torproject.org/download/ – use ‘Tor Browser’ open http:// ***************************************************.onion/ – enter your Client ID: ***************************************************

There will be no bad news for your company after successful negotiations for both sides. But there will be plenty of those bad news if case of failed negotiations, so don’t think about how to avoid it. Just focus on negotiations, payment and decryption to make all of your problems solved by our specialists within 1 day after payment received: servers and data restored, everything will work good as new.

---

Ngrok, geliştiriciler arasında popüler olan bir ağ tünelleme hizmeti olup, yerel bilgisayarınızda çalışan uygulamaları internet üzerinden erişilebilir hale getirmek için kullanılır. Web sunucuları veya diğer servisler için güvenli bir tünel oluşturarak, geçici bir URL sunar ve bu sayede yerel projeler internete açılabilir. Ngrok, API testleri, webhook entegrasyonları ve uzaktan erişim gibi geliştirme süreçlerinde oldukça yaygın bir şekilde tercih edilir.

• Geliştirme ve Test: Ngrok, geliştiriciler için mükemmel bir araçtır. Yerel bir projeyi hızlı bir şekilde internet üzerinden erişilebilir hale getirir. Özellikle **API testleri, webhook entegrasyonları **veya üçüncü taraf uygulamalarla entegrasyonlar için kullanılır. Bu şekilde, uygulamanızı internet üzerinden test etme fırsatınız olur.
• Paylaşım: Ngrok, yerel sunucuda çalışan projelerin başka kişilerle hızlı ve kolay bir şekilde paylaşılmasını sağlar. Bu, özellikle demo gösterimleri veya proje incelemeleri için oldukça kullanışlıdır. Projenizi dış dünyaya açarak, ekip üyeleriniz veya müşterilerinizle paylaşabilirsiniz.
• Güvenli Erişim: Ngrok, HTTPS desteği sunarak güvenli bağlantılar üzerinden iletişim sağlar. Özellikle hassas veri barındıran projeler için, güvenli bağlantılar kritik öneme sahiptir. Bu sayede, veri transferi sırasında üçüncü tarafların verilere erişmesi engellenir.
• Uzak Erişim: Ngrok, yerel ağda bulunan cihazlara veya sunuculara uzaktan erişim sağlamanın harika bir yoludur. Özellikle, yerel sunucuları uzaktan yönetmek veya dışarıdan verilere erişim sağlamak için kullanışlıdır.
• Port Yönlendirme: Ngrok, yerel bir portu internete yönlendirir, böylece uygulamanıza internet üzerinden kolayca erişebilirsiniz. Bu özellik, özellikle geliştirici testlerinde ve demolarda sıklıkla kullanılır.

Ngrok, geliştiriciler için pek çok avantaj sunar.

• **Kolay Kurulum ve Kullanım: **Ngrok, birkaç basit komutla kullanılabilir hale gelir. Kurulum süreci hızlıdır ve karmaşık ağ ayarlarıyla uğraşmadan kolayca tünel açabilirsiniz.
• **Güvenli Bağlantılar: **Ngrok, HTTPS bağlantılarıyla çalışır ve yerel projelerinizi dış dünyaya açarken güvenliği ön planda tutar.
• Geçici URL’ler: Ngrok, dinamik ve geçici URL’ler oluşturarak projelerinizi test etmek için hızlı çözümler sunar. Bu URL’ler yalnızca belirli bir süre için aktif olur, bu da güvenliği artırır.
• Verimli Geliştirme Süreci: API’ler veya üçüncü taraf hizmetlerle entegrasyon sağlamak gerektiğinde, Ngrok hızlı test yapmanıza olanak tanır.
• Çoklu Proje Desteği: Aynı anda birden fazla projeyi internet üzerinden erişilebilir hale getirebilir, birden fazla tüneli aynı anda açabilirsiniz.

Ngrok’un sağladığı güvenli ve dinamik tünelleme hizmeti, siber saldırganlar tarafından kötü niyetli amaçlar için de sıklıkla kullanılmaktadır. Özellikle Komuta ve Kontrol (C2) sunucuları ve ağ güvenliğini aşmak gibi durumlarda saldırganlara avantaj sağlamaktadır. Aşağıda bu tehditlerden bazıları sıralanmıştır:

• Komuta ve Kontrol (C2) Sunucuları: Saldırganlar, kötü amaçlı yazılımları kontrol etmek için C2 sunucuları kurar. Ngrok, saldırganların bu sunuculara güvenli tüneller açarak internet üzerinden erişim sağlamalarına olanak tanır. Bu sayede, saldırganlar gerçek IP adreslerini gizleyebilir ve izlenmeleri zorlaşır.
• Firewall ve Ağ Güvenliği İhlali: Ngrok, ağ güvenlik duvarlarını atlamak için kullanılabilir. Bir saldırgan, kurbanın ağındaki güvenlik duvarlarını ve izleme çözümlerini Ngrok kullanarak bypass edebilir. Bu da, saldırganın yerel ağdaki sistemlere uzaktan erişim sağlamasına neden olmaktadır.
• Zararlı Webhook İletişimi: Ngrok’un webhook test işlevi, saldırganlar tarafından kötü amaçlı scriptlerin tetiklenmesi için kullanılabilir. Saldırgan, kurbanın sistemine sızdıktan sonra uzaktan bir script çalıştırarak sistem üzerinde zararlı işlemler gerçekleştirmektedirler.
• Kötü Amaçlı Yazılım Dağıtımı: Saldırganlar, Ngrok kullanarak zararlı yazılımlar barındıran sunucuları internet üzerinden erişilebilir hale getirmekte ve bu zararlı yazılımın hedef sisteme kolayca indirilmesini sağlamaktadır.
• İz Takibini Zorlaştırma: Ngrok, dinamik URL’ler oluşturur ve bu URL’ler geçici olduğu için saldırganların izlenmesini zorlaştırır. URL’lerin sürekli değişmesi, güvenlik ekiplerinin saldırıları tespit etmesini zorlaştırır.
• Yerel Ağın İnternete Açılması: Bir saldırgan, kurbanın yerel ağındaki bir sistemi Ngrok ile dış dünyaya açarak uzaktan kontrol edebilir. Bu durum, daha fazla zararlı faaliyetin gerçekleştirilmesine olanak tanır.

Ngrok, sunduğu avantajların yanı sıra kötü niyetli kullanım riskleri taşıdığı için dikkatle izlenmelidir. Siber güvenlik uzmanları, sistemlerde izinsiz Ngrok kullanımına karşı uygun güvenlik politikalarını hayata geçirmelidir. Yerel projeleri internet üzerinden hızlıca erişilebilir hale getirir ve geliştirme süreçlerini hızlandırır. Ngrok, geliştiriciler için güçlü ve kullanışlı bir ağ tünelleme aracı olmakla birlikte, kötü niyetli kullanımlarından dolayı içerisinde bir çok risk barındırmaktadır. Ancak, Ngrok’un sağladığı bu esneklik ve kolaylık, güvenlik açısından bazı riskleri de beraberinde getirir. Gerekli siber güvenlik önlemlerini alarak, Ngrok kullanımını güvenli hale getirmek ve kötü niyetli kullanımları önlemek kurumlar için hayati önem taşımaktadır.

Bu blog yazısı, UEFI tersine mühendislik, güvenlik açığı keşfi ve exploit geliştirme üzerine bir serinin ilk yazısıdır.

Bir zamanlar, rootkit’lerin altın çağında ve internetin ana akım olarak benimsenmesinin şafağında, vahşi kötü amaçlı yazılım tehdit ortamı MBR bootkit’leri ve eski BIOS (Temel Giriş-Çıkış Sistemi) makinelerinin ünlü güvensiz işletim sistemi öncesi önyükleme ortamını hedef alan istismarlar tarafından istila edilmişti. Ancak UEFI’nin (Evrensel Genişletilebilir Ürün Yazılımı Arayüzü) ana akım olarak benimsenmesi kötü amaçlı yazılım tehdit ortamını sonsuza dek değiştirdikten sonra doğal bir soru ortaya çıktı: platform ürün yazılımı tasarımı ve uygulamasındaki yeni gelişmelerle birlikte, bir bootkit geliştiricisi ne yapmalıydı? Elbette, paradigmadaki bu yeni değişimle birlikte, önyükleme işlemi güvenliği geçmişte kaldı… değil mi?

Yine de size bir sır vereceğim: BIOS korsanlığı geri döndü ve her zamankinden daha kötü (ve daha iyi). UEFI, önyükleme sürecinde yeni yenilikler ve şimdiye kadar öngörülemeyen gelişmeler ve dolayısıyla klasik MBR önyükleme kitleri için hafifletmeler getirmiş olsa da, yeni bir dönem başlamak üzereydi – UEFI istismarları, UEFI tabanlı önyükleme kitleri ve UEFI ürün yazılımı implantları dönemi.

Ancak bir bootkit geliştiricisi bu yeni çağda ilerlemek istiyorsa yeni bir beceri setine ihtiyaç duyacaktır. Eski BIOS, MBR ve geçmiş günlerin önyükleme sürecinin anlaşılması rekabette önemli bir avantaj sağlarken ve önyükleme sürecindeki ve işletim sistemi öncesi ortamdaki güvenlik açıklarını tanımlamak için sağlam bir temel oluştururken, UEFI’nin anlaşılması kritik önem taşır.

Leviathan’da, UEFI tersine mühendislik ve istismar geliştirme konusundaki bilgi ve beceri setimizi geliştirmek ve müşterilerimizle yaptığımız çalışmalarda UEFI güvenlik açıklarını bulmak ve istismar etmek için yeni süreçler uygulamak için çok çalışıyoruz. Ben de size UEFI tersine mühendislik ve istismar geliştirmeyi öğretmek için buradayım, böylece siz de UEFI hatalarını bulmak ve istismar etmek, yaygın UEFI güvenlik açıklarını anlamak ve ürün yazılımı güvenlik tedarik zincirini daha iyi güvence altına almak için gerekli becerileri geliştirebilirsiniz.

Tecrübeli istismar geliştiricileri için bile, UEFI istismar geliştirme genellikle hem entrika hem de aşılmaz bir havaya sahiptir. UEFI yalnızca modern cihazların önyükleme sürecinden sorumlu platform ürün yazılımı için bir arayüz spesifikasyonu tanımlamakla kalmaz, aynı zamanda platform başlatma bileşenlerinin geniş ve karmaşık bir ortamını da kapsar. Eski bir BIOS makinesinin ayrı platform bileşenlerinin tümü artık UEFI’nin tekil şemsiyesi altına giriyor. Bu, bir tersine mühendis veya istismar geliştiricisi için iki ucu keskin bir kılıçtır: UEFI’nin geniş saldırı yüzeyi güvenlik açıklarını bulmak için geniş fırsatlar sunsa da, karmaşıklığı bu manzarada etkili bir şekilde gezinmek için bir yol haritası gerektirir.

Bu blog yazısı serisi, böyle bir yol haritası sağlamayı amaçlamaktadır. Bu serinin sonunda, başarılı UEFI tersine mühendislik, güvenlik açığı keşfi ve istismar geliştirme için gerekli olan UEFI ve UEFI güvenlik açıkları hakkında temel bilgilerle daha donanımlı olacaksınız.

“UEFI güvenlik açıkları” terimi, aygıt yazılımı veya donanımdan kaynaklanabilen hata sınıflarını kapsar.[1] Bir UEFI güvenlik açığının kaynağı ne olursa olsun, başarılı bir UEFI istismarının önyükleme işleminin ötesinde geniş kapsamlı etkileri olabileceğini anlamak önemlidir. Saldırganlar bu güvenlik açıklarından yararlanarak kalıcı aygıt yazılımı implantları veya bootkitler yüklemek, işletim sistemi düzeyindeki güvenlik azaltmalarını ve erişim kontrollerini atlamak ve deneyimli aygıt yazılımı adli tıp uzmanları hariç herkes tarafından tespit edilmemek gibi yıkıcı etkileri olan istismarlar gerçekleştirebilir.

Bu seri, UEFI’nin amacımızla ilgili çeşitli bileşenlerini tanıtmaktadır: başarılı tersine mühendislik, güvenlik açığı bulma ve UEFI ürün yazılımını hedefleyen istismar geliştirme. UEFI’nin birçok farklı yönünü ele alacak olsam da, UEFI/PI’ya ilişkin bu genel bakışın kapsamlı olmadığını belirtmek önemlidir, çünkü her ayrıntıyı ele almak ciltler doldurabilir. Okuyucuları bu makalenin sonundaki Referanslar bölümünde listelenen ek referanslara göz atmaya teşvik ediyorum.

UEFI spesifikasyonu, platform donanım yazılımı ile işletim sistemi (OS) arasındaki arayüz için platformdan bağımsız bir uygulama tanımlar. UEFI, platform başlatma ve işletim sistemi getirmenin ötesine geçen işlevselliği kapsıyor olsa da, büyük Vincent Zimmer’den[2] alıntı yapmak gerekirse, “Genel olarak … UEFI, önyükleme veya kontrolü bir sonraki kontrol katmanına, yani bir işletim sistemi yükleyicisine aktarmakla ilgilidir” (Zimmer, “Beyond BIOS,” sayfa 1) [1].

UEFI spesifikasyonu yalnızca DXE aşamasında başlayan platformdan bağımsız ürün yazılımı ve işletim sistemi arayüzü için bir uygulama tanımlar. Genel olarak “UEFI önyükleme süreci” olarak adlandırılan şey aslında UEFI/PI önyükleme akışı anlamına gelmektedir. PI, Platform Başlatma anlamına gelir ve UEFI Forum şemsiyesi altında kendi ayrı spesifikasyonuna sahiptir. Şekil 1a’da PI’nin önyükleme akışının SEC ve PEI aşamalarını kapsadığını görebiliriz. Bu bölümde, UEFI/PI önyükleme akışının tüm aşamalarını ele alacağız.

(Şekil 1a. UEFI/PI Önyükleme Süreci aşamaları)

UEFI’yi incelemeye başlamadan önce, BIOS uygulamalarının geçmişi hakkında bilgi edinmek için hızlıca bir gezintiye çıkalım.

UEFI’nin “eski BIOS” yerine geçtiğini söylemek iyi ve güzel, ancak eski BIOS’un ne olduğunu ve UEFI’den nasıl farklı olduğunu anlamak, modern UEFI tehdit ortamını bağlamsallaştırmak için önemlidir. Ayrıca, eski BIOS ve UEFI arasındaki farkları anlamak, tersine mühendis, istismar geliştiricisi veya araştırmacı olarak rolünüzde size yardımcı olacaktır. Önemli bir bağlam sağlamak ve terminolojideki bazı karışıklıkları gidermek için, “eski BIOS” dediğimizde ne demek istediğimizi genişleterek başlayalım.

EFI/UEFI’nin ilk benimsenmesine kadar (1990’ların sonu-2000’ler civarı), eski BIOS, BIOS uygulamaları için standartlaştırılmamış standardı tanımlıyordu. BIOS, donanımı yapılandırmaktan ve bir işletim sistemi yüklenmeden önce sistemin durumunun hazır olmasını sağlamak için gerekli tüm hazırlıkları yapmaktan sorumlu platform ürün yazılımıdır. Burada, BIOS kodunun belirli Bağımsız BIOS Satıcısı (IBV) tescilli uygulamalarını ifade etmek için “eski BIOS ”u daha uygun bir şekilde tanımlayacağız.

BIOS kodu aynı zamanda önyükleme bloğu kodu olarak da adlandırılırdı ve bugün UEFI’de gördüğümüzden birçok yönden önemli ölçüde farklıdır ve bunlardan birkaçı burada vurgulanmıştır:

Eski BIOS kodu 16-bit assembly ile yazılmış ve gerçek modda çalıştırılmıştır.

Her eski BIOS uygulaması IBV’ye özeldi; her büyük IBV’nin (örneğin AMI, Phoenix) özel bir BIOS uygulaması vardı. Standart bir BIOS spesifikasyonu olmadığından, her IBV’nin özel BIOS’unun tersine mühendisliği imkansız olmasa da oldukça zordu.

Son olarak, eski BIOS, bir işletim sisteminin yüklenmesine hazırlık olarak platform donanımının ve ürün yazılımının başlatılması da dahil olmak üzere sistem açısından kritik işlevleri yerine getirmekten sorumlu olsa da, eski bir BIOS sistemindeki işletim sistemi öncesi ortamın kısıtlamaları ve eski makinelerin donanım kısıtlamaları nedeniyle kapsam ve boyut açısından sınırlıydı.

Daha fazla ayrıntı için “Rootkitler ve Bootkitler”[2] ve “BIOS’un Ötesinde”[1] bölümlerine bakın.

Eski BIOS’un nesli tükenmiş bir teknoloji olmadığına dikkat etmek önemlidir. Giderek daha nadir görülse de, eski BIOS bugün hala sistemlerde kullanılmaktadır. Eski BIOS uygulamalarının tescilli doğası nedeniyle, hevesli tersine mühendis veya istismar geliştiricisine BIOS’un tüm 16 bit gerçek mod kodunu ayrıştırırken ve bir istismar oluşturmak için parçaları yavaşça bir araya getirmeye başlarken yardımcı olacak çok az kaynak mevcuttur.

Bu konuda öne çıkan kaynaklardan biri Darmawan Salihun (pinczakko) tarafından yazılan “BIOS Disassembly Ninjutsu Uncovered” kitabıdır [3]. Bu kitabın ilk baskısı pinczakko’nun GitHub’ında ücretsiz olarak mevcuttur: https://github.com/pinczakko/BIOS-Disassembly-Ninjutsu-Uncovered. Bu kitap, bir etkileşimde eski bir BIOS ile karşılaştığımız ve 16 bitlik assembly ile yazılmış BIOS’a özgü bir istismar geliştirmek istediğimiz nadir durumlarda bizim için paha biçilmez bir kaynak olmuştur.

IBV’ye göre uygulanan eski BIOS’un aksine UEFI, önyükleme işlemi ve platform başlatma için platformdan bağımsız bir arayüz spesifikasyonu sunar. Tüm UEFI uygulamalarında ortak olan temel bir dizi bileşen ve özelliği tanımlarken, aynı zamanda bir platform ürün yazılımı oluşturma özelleştirmesinin genişletilebilirliğini de sunar. Böylece, IBV’ler, OEM’ler ve diğer kuruluşlar UEFI spesifikasyonuna uygun özel UEFI ürün yazılımı uygulayabilir. Bu, (yukarıda belirtildiği gibi) genellikle aşırı spesifik uygulaması, satıcıya özgü BIOS kodu ve özelliklerinin dokümantasyon eksikliği ve tek tip olmayan ikili formatlar gibi faktörler nedeniyle tersine mühendislik yapılması daha zor olan eski BIOS’tan önemli bir değişimdir.

Son olarak, UEFI’nin endüstri genelinde yaygın olarak benimsenmesi eski BIOS’u eskimeye doğru daha da yaklaştırmaya devam ederken, araştırmacıların eski BIOS önyükleme sürecini birkaç nedenden dolayı güçlü bir şekilde kavramaları önemlidir:

Eski BIOS önyükleme sürecinin özellikleri UEFI’nin bir parçası olmaya devam etmektedir (örneğin, eski MBR hala disk üzerinde Silindir 0, Baş 0 Sektör 1’de kalmaktadır) ve eski MBR GUID Bölümleme Tablosuna (GPT) entegre edilmiştir. UEFI önyükleme sürecinin bir parçası olarak kalan eski BIOS bileşenlerini veya süreçlerini anlamak, UEFI önyükleme sürecinin sayısız bileşeni ve genel olarak UEFI BIOS uygulamaları hakkında sağlam bir kavrayışa sahip olmak için çok önemlidir.

Kötü amaçlı yazılımlar, hepimizi rahatsız eden teknoloji borcu olarak bilinen hayalet görüntü nedeniyle UEFI BIOS kullanan sistemlerle birlikte eski BIOS sistemlerini hedef almaya devam etmektedir.

Bugüne geldiğimizde, UEFI endüstri standardıdır ve bu PoC’ler kendi kendine yazılmayacaktır, o yüzden hadi başlayalım.

UEFI, selefine kıyasla şaşırtıcı bir derinlik ve genişlikte işlevselliği kapsayan zengin bir ekosistemdir. Bu derinlik ve genişlik beraberinde daha büyük bir saldırı yüzeyini de getiriyor. Biz aygıt yazılımı ve donanım tersine mühendisleri için bu, bir şeker fabrikasında çocuk olmak gibi bir şey!

(Şekil 1b. UEFI/PI Önyükleme Süreci aşamaları ve ortamı

UEFI ekosistemini anlamamızla ilgili bazı temel bilgileri ele alalım. En baştan başlayacağız – sıfırlama vektörü.

UEFI PI önyükleme süreci birden fazla aşamadan oluşur (bkz. Şekil 1b). Şimdi ilk dört aşamayı (SEC, PEI, DXE ve BDS) inceleyeceğiz çünkü bunlar platform ürün yazılımı başlatma ortamını tanımlar. UEFI PI önyükleme sürecine ilişkin bu daha ayrıntılı bilgi, bu erken platform ürün yazılımı başlatma aşamalarında benzersiz saldırı yüzeylerinin nasıl ortaya çıktığını anlamak için gerekli olacaktır. UEFI PI önyükleme süreci hakkında ek bilgi için Referanslar bölümündeki [12] ve [13]’e bakın.

Bu aşamaların her birinin kodunun bir SPI flash yongasının BIOS bölgesinde nasıl bölündüğüne dair bağlam sağlamak için, UEFITool’a yüklenmiş bir UEFI BIOS ürün yazılımı görüntüsünün (edk2-platforms deposundan X58I referans platformu için UEFI BIOS) ekran görüntülerini de ekledim (aşağıdaki şekil 2, 3 ve 4’e bakın). UEFITool’u ve kullanışlı özelliklerini bu serinin daha sonraki bir yazısında UEFI laboratuvar kurulumunu ele aldığımızda ele alacağız. Şimdilik, UEFITool’un istenen bir BIOS görüntüsünü açmak ve çeşitli bileşenlerini ayrıştırmak için kullanabileceğimiz açık kaynaklı bir UEFI ürün yazılımı görüntüleyicisi ve düzenleyicisi olduğunu bilmek yeterlidir.

Güvenlik (SEC): PI’nin bu ilk aşaması tüm sistem yeniden başlatma olaylarını ele alır, PEI aşaması için geçici RAM’i başlatır ve önemli verileri PEI Foundation’a iletir.

SEC aşaması kodu SPI flash üzerindeki kendi özel firmware biriminde bulunur. Aşağıdaki Şekil 2’de SEC aşaması kodunun yalnızca SEC çekirdeğinden oluştuğunu görebiliriz. Bu küçük kod boyutu, SEC aşaması sırasında mevcut olan sınırlı ortam ve SEC aşaması kodunun PEI aşaması kodu için minimum bir çalışma ortamı hazırlamadaki rolü göz önüne alındığında mantıklıdır.

(Şekil 2. X58ICH10 Board UEFI BIOS’unun UEFITool görünümü – SEC faz kodu)

SEC aynı zamanda “sistemdeki güvenin kökü olarak hizmet vermekten” de sorumludur [4]. Bu, “Güvenlik” adı verilen bir aşamaya atıfta bulunmasa bile, kendi başına yüklü bir ifadedir. Bunun karmaşıklığını anlamak için bağlama ihtiyacımız var: SEC’in sistem için bir güven kökü olarak uygulanabilirliği, varsa hangi platform ürün yazılımı güvenlik mekanizmalarının etkinleştirildiğine bağlı olarak değişir (örneğin, Intel Boot Guard, Intel BIOS Guard.)

Güvenli Önyükleme uygulamalarındaki (UEFI Güvenli Önyükleme, Intel Önyükleme Koruması ve Intel BIOS Koruması) varyasyonları kısa bir süre sonra ele alacağım, ancak şimdilik SEC’in bir şekilde platform ürün yazılımı bütünlüğü doğrulaması için bir güven zincirinde güven kökü olarak hizmet ettiğini söylemek yeterli. Ancak bu güven zincirinin sağlamlığı SEC’in kendisine değil, platform ürün yazılımı güvenlik teknolojilerinin önceden uygulanmasına bağlıdır.

Özetle SEC aşaması, sistem güvenliğini kilitlemek için sağlam bir başlangıç aşaması olmaktan ziyade PEI aşamasının ihtiyaç duyduğu minimum ortamı hazırlamaktan sorumludur. SEC aşaması kodu temel olarak platformun yeniden başlatılmasını sağlar ve PEI için kullanılan geçici RAM’i hazırlar.

PEI için gerekli koşulları yerine getirdikten sonra bu aşamaya devam edelim.

Ön-EFI Başlatma (PEI): İşlerin ilginçleşmeye başladığı yer burasıdır. PEI, UEFI/PI önyükleme sürecinin az takdir edilen ve genellikle ihmal edilen bir aşamasıdır, ancak kendi başına benzersiz ve zengin bir saldırı yüzeyi sağlar.

PEI öncelikle sistemi, kontrolün DXE aşamasına geçebileceği şekilde hazırlamaktan sorumludur. Burada bir tema mı seziyorsunuz? Evet, her aşamanın görevi genellikle sistemi bir önceki yapılandırma üzerine inşa ederek bir sonraki aşama için hazırlamak ve yapılandırmaktır. Bunun PEI aşaması için ne anlama geldiğini biraz daha inceleyelim.

**DXE aşaması için kalıcı sistem belleğini başlatır: **PEI aşaması kodu, kalıcı sistem belleğini tamamen başlatana kadar SEC aşamasında başlatılan geçici RAM’i kullanır

Platform bileşenlerini başlatın: PEI’deki modüller, ayrık yonga seti bileşenlerinin başlatılmasından sorumludur ve kontrol önyükleme işleminin bir sonraki aşamasına aktarılmadan önce her bir donanım bileşeninin gerekli tüm bağımlılıklarının karşılandığı minimum bir çalışma ortamına sahip olmasını sağlar

Hand-Off Bloklarını (HOB’lar) kullanarak mimari durumu tanımlayın: PEI aşaması, PEI aşaması sırasında bir HOB listesi doldurur ve bu HOB listesi daha sonra PEI’nin sonunda DXE aşamasına aktarılır. HOB listesi, DXE aşamasına DXE başlamadan önce sistemin ve çeşitli bileşenlerinin durumu hakkında bilgi sağlar

Kurtarma modlarının işlenmesi ve S3 özgeçmiş durumunun işlenmesi [13]

**PEI faz kodu iki ana gruba ayrılabilir: **PEI Foundation ve PEIM’ler (bkz. Şekil 3).

(Figure 3. UEFITool view of Board X58ICH10 UEFI BIOS – PEI phase code)

SEC aşaması kodu gibi PEI kodu da SPI flaş içindeki özel bir ürün yazılımı biriminde bulunur. Ancak, sistem önyükleme sürecinde ilerledikçe, SEC’den PEI’ye, DXE’ye ve ötesine geçtikçe, her aşama için kodun boyutu artar. Kod boyutundaki artış, her bir aşamanın artan kapsamı ve işlevselliğinin yanı sıra UEFI/PI önyükleme sürecinin her bir aşamasında kod tarafından kullanılan sistem kaynaklarına ve yapılandırılmış arayüzlere ve veri yapılarına artan erişimle paralellik gösterdiğinden mantıklıdır. Şekil 3’te görebileceğimiz gibi, SEC aşaması kodu yalnızca SEC çekirdeğinden oluşmasına rağmen, X58ICH10 UEFI BIOS’un PEI aşaması kodu PEI çekirdeğini (PEI Foundation olarak da bilinir) ve çeşitli PEI modüllerini (PEIM’ler) içerir. Daha önce belirtildiği gibi, PEI faz kodunun bir sorumluluğu da S3 devam ettirme durumunu idare etmektir. PEI ürün yazılımı birimindeki son PEIM, tam da bu görevden sorumlu PEIM olan “S3Resume2Pei ”dir (bkz. Şekil 3).

PEI faz kodunun her bir bileşenini inceleyelim.

PEI Foundation: Bu ikili yürütülebilir dosya, diğer tüm PEI bileşenlerini ve PEIM’leri yönetmekten ve bu bileşenler arasındaki iletişim için gerekli ortamı oluşturmaktan sorumludur.

PEI Foundation ayrıca PEI içinde PEIM’lerin bağımlılık ifadelerini değerlendiren ve hangi PEIM’lerin gerekli bağımlılıklarının karşılandığını ve yüklenebileceğini/çalıştırılabileceğini belirleyen özel bir aşama olan PEI dispatcher’ı da kapsüller.

Ön-EFI Başlatma Modülleri (PEIM’ler): Bu ikili yürütülebilir dosyalar yonga seti bileşenlerinin başlatılmasından sorumludur. Her PEIM bir sürücüdür ve tipik olarak belirli bir donanım veya platform bileşeniyle ilişkilidir. Daha önce de belirtildiği gibi, S3 devam durumu için bir PEIM vardır (S3Resume2Pei; bkz. Şekil 3), ancak PEIM’ler diğer platform bileşenlerinin başlatılmasından da sorumludur. Örneğin, Şekil 3’te “CpuIoPei” ve “PlatformInitPreMem” gibi PEIM’lerin dahil edildiği görülmektedir; bu PEIM’ler adlarının ima ettiği görevlerden sorumludur: sırasıyla CPU I/O’nun başlatılması[3] ve bellek denetleyicisinin başlatılmasından önce platformun başlatılması[4].

PEIM-PEIM Arayüzleri (PPI’ler): Bunlar PEI Foundationakfı tarafından sağlanan ve PEIM’ler arasında iletişime izin veren arayüzlerdir. PEI Foundation, PEIM’ler tarafından her bir PPI’yı kaydetmek için kullanılabilecek PPI’ların ve arayüzlerin bir veritabanını tutar [1, s. 214].

PEI, kısıtlı ve minimal ortamı ve PEI ile DXE kapsamındaki sorumluluklardaki farklılıklar nedeniyle DXE’den farklı olsa da, PEI birçok yönden DXE’ye benzer şekilde çalışır. Bunun bir örneği, PPI’ların PEI Foundation tarafından nasıl kaydedildiği ve sürdürüldüğüdür. PI Spec, Bölüm 2.7’de belirtildiği gibi, “Bir ÜFE tüketicisi, ilgilendiği ÜFE’yi keşfetmek için PEI Hizmeti LocatePpi()‘yi kullanmalıdır. Bir ÜFE üreticisi, PEI Hizmetleri InstallPpi() veya ReinstallPpi() kullanarak mevcut ÜFE’leri PEIM’inde yayınlar.” [5]

Bu, protokollerle etkileşim için DXE aşamasında sağlanan hizmetlere benzer olarak görülebilir (örneğin, protokolleri kaydetme, kaldırma, yeniden yükleme, bulma). EFI Önyükleme Hizmetleri Tablosunda sağlanan aşağıdaki hizmetler sırasıyla yukarıda belirtilen protokol hizmetlerinin her birine karşılık gelir:

EFI_BOOT_SERVICES.InstallProtocolInterface(), EFI_BOOT_SERVICES.UninstallProtocolInterface(), EFI_BOOT_SERVICES.ReinstallProtocolInterface(),

EFI_BOOT_SERVICES.LocateProtocol().

PEI ve ilgili PEI güvenlik açıklarına bu serinin ilerleyen bölümlerinde geri döneceğiz. Şimdilik DXE aşamasına geçelim. PEI’nin birçok yönden DXE ile nasıl benzer olduğunu açıkladım, ancak DXE nedir?

Sürücü Yürütme Ortamı (DXE): DXE aşaması UEFI tarafından kapsanan ilk aşamadır ve artık resmi olarak UEFI diyarındayız! DXE aşaması kodu, UEFI ortamındaki her şeyi hazır ve çalışır hale getirir. DXE kodu, UEFI’deki temel UEFI veri yapıları ve işlevlerine işaretçiler içeren üç temel veri yapısı olan EFI Sistem Tablosu, EFI Önyükleme Hizmetleri Tablosu ve EFI Çalışma Zamanı Hizmetleri Tablosunu kurar. Bu üç veri yapısı UEFI ortamını başlatmak için birlikte çalışır.

DXE aşamasının bir parçası olarak, tüm EFI Önyükleme Hizmetleri, EFI Çalışma Zamanı Hizmetleri ve DXE Hizmetleri başlatılır, böylece burada bulunan tüm işlevler UEFI ortamı için erişilebilir hale getirilir (bkz. Şekil 4).

(Şekil 4. DXE Aşaması DXE Aşamasında Başlatılan UEFI Veri Yapıları Görüntü Kaynağı: UEFI PI Spesifikasyonu, Cilt 2: DXE Foundation )

Bu serinin ilerleyen bölümlerinde, UEFI tersine mühendislik ve istismar geliştirmeyi derinlemesine ele alacağız – programlama yapılarına, çağrı kurallarına ve UEFI API’sinin inceliklerine gerçekten gireceğiz. Bununla birlikte, bir başlangıç olarak, aşağıda basit bir UEFI programının kaynak kodunu ekledim. Açıklamalı kaynak kodu, DXE faz kodunun neyi başlattığı ve güçlü oyuncu veri yapılarımız tarafından sağlanan işlevsellik hakkında ek bağlam sağlar: EFI Sistem Tablosu, EFI Önyükleme Hizmetleri Tablosu ve EFI Çalışma Zamanı Hizmetleri Tablosu.

greetings.c, UEFI kabuğundaki Konsola “Leviathan’dan Selamlar” yazdıran basit bir UEFI uygulaması için C kaynak kodudur.

greetings.c için örnek kaynak kodu:

#include <Library/UefiLib.h>
#include <Library/UefiBootServicesTableLib.h>
#include <Library/UefiRuntimeServicesTableLib.h>
 
EFI_STATUS
EFIAPI
UefiMain (
     IN EFI_HANDLE          ImageHandle,
     IN EFI_SYSTEM_TABLE    *SystemTable //[1] Pointer to EFI_SYSTEM_TABLE passed in
     )
 
/*
* UefiMain does the following:
* [2] Calls SystemTable->ConOut->OutputString function to print “Greetings from Leviathan” to console
* [3] Retrieves pointer to EFI_BOOT_SERVICES table from EFI_SYSTEM_TABLE
* [4]Prints address of EFI_BOOT_SERVICES table to console – using the UEFI library function Print().
*/

{
     SystemTable->ConOut->OutputString(SystemTable->ConOut, L"Greetings from Leviathan\n"); // [2] 
     EFI_BOOT_SERVICES *gBS=(SystemTable->BootServices); // [3] 
     Print(L"Boot Services Table address is: %p \n\n", &gBS);  // [4]
     return EFI_SUCCESS;
}

Sistemin başlatılması sırasında DXE faz kodunun bir diğer önemli sorumluluğu da yonga seti ve donanımın başlatılmasıdır. Bu kafa karıştırıcı olabilir çünkü PEI aynı zamanda donanım gibi platform bileşenlerinin başlatılmasını da kapsar, bu nedenle bunun DXE bağlamında ne anlama geldiğini açıklayalım. DXE aşaması kodu ya PEI aşamasında gerçekleştirilen platform bileşenlerinin önceden başlatılması üzerine inşa edilecek ya da başlatma işlemini kendisi gerçekleştirecek veya bu ikisinin bir kombinasyonunu kullanacaktır.

Bununla birlikte, DXE donanım bileşenlerini başlatmak için PEI aşamasını gerektirmez ve DXE teknik olarak PEI aşamasını hiç gerektirmez. DXE faz kodu, PEI aşaması sırasında oluşturulabilen bir veri yapısı olan HOB listesine ihtiyaç duyar. Yine PI Spec’e göre, “DXE aşaması, yürütülmesi için bir PEI aşaması gerektirmez. DXE aşamasının yürütülmesi için tek gereklilik geçerli bir HOB listesinin varlığıdır. DXE aşamasının yürütülmesi için geçerli bir HOB listesi üretebilen birçok farklı uygulama vardır. Bir PI Mimarisi ürün yazılımı uygulamasındaki PEI aşaması, olası birçok uygulamadan yalnızca biridir.” [6]

DXE faz kodu tek başına bir ikili kod değildir. PEI aşaması gibi, DXE aşaması kodu da iki gruba ayrılabilir: DXE Foundation (DXE Dispatcher adı verilen bir bileşen içerir) ve DXE sürücüleri (bkz. Şekil 5). DXE Foundation ve DXE sürücüleri daha sonra detaylandırılacaktır.

Şekil 5. DXE Temel Bileşenleri DXE Temel Bileşenleri Görüntü Kaynağı: UEFI PI Spesifikasyonu, Cilt 2: DXE Foundation

DXE Temeli: DXE Altyapısı (bazı literatürde “DXE Çekirdeği” olarak da anılmaktadır [5]) yukarıda bahsedilen önemli tabloların (yani UEFI Sistem Tablosu, Önyükleme Hizmetleri Tablosu, Çalışma Zamanı Hizmetleri Tablosu) ve bunlara karşılık gelen DXE Hizmetleri, Önyükleme Hizmetleri ve Çalışma Zamanı Hizmetlerinin kurulumundan sorumlu bir önyükleme hizmeti görüntüsüdür. DXE Foundation, DXE sürücülerini keşfetmek ve yürütmekten ve bağımlılıklarının karşılanmasını sağlamaktan sorumlu olan DXE dağıtıcısını kapsüller.

DXE Sürücüleri: Bu sürücüler, yonga seti ve donanım dahil olmak üzere platformu başlatır ve konsol I/O hizmetlerini kurar. DXE Foundation, HOB listesini kullandığından, DXE sürücüleri bu bilgileri önceki başlatma işleminin üzerine inşa etmek ve ek bileşenleri başlatmak için kullanabilir. Dikkate değer bir örnek, DXE sürücülerinin genellikle bu serinin ilerleyen bölümlerinde ele alacağımız Sistem Yönetim Modu’nun (SMM) kurulumundan sorumlu olmasıdır. PI/UEFI önyükleme sürecinin önceki aşamalarıyla karşılaştırıldığında DXE, büyük ölçüde sistem kaynaklarına, özellikle de PEI aşamasında kurulan yeni başlatılmış kalıcı belleğe erişimi sayesinde mümkün olan geniş bir ortama sahiptir. Platform ürün yazılımı arayüzümüze böylesine geniş ve derin bir işlevsellik kazandırdığı için DXE aşamasını alkışlayabiliriz. greetings.c örnek UEFI uygulaması kaynak kodunda, UEFI uygulamaları ve sürücüleri için mümkün olanın yüzeyini çizen bir örnek gördük, ancak seride ilerledikçe göreceğimiz gibi, UEFI ortamında bir programcıya sunulan çok daha fazla karmaşıklık ve esneklik var. UEFI ortamının tamamen başlatıldığı DXE aşamasından çıkıp işletim sistemi çalışma zamanı ortamına doğru ilerlerken, bu yeni UEFI ortamını ayrı bir ekosistem olarak düşünmek faydalı olabilir (neredeyse işletim sisteminden önceki bir işletim sistemi, bir proto-OS gibi).

Önyükleme Aygıtı Seçimi (BDS): BDS aşaması UEFI önyükleme yöneticisi olarak düşünülebilir.

BDS aşaması kodu, olası önyükleme aygıtlarını numaralandırma, önyükleme sırasını değerlendirme ve nihayetinde kontrolü önyükleme aygıtına (genellikle işletim sistemi yükleyicisi) aktarmadan önce son UEFI temizlik işlemlerini gerçekleştirme gibi önemli görevleri yerine getirir.

BDS aşamasının sonunda, EFI_BOOT_SERVICES tablosunu yok eden ExitBootServices() işlevine bir çağrı yapılır. Bu noktadan sonra EFI_BOOT_SERVICES işlevleri artık çağrılamaz. Özellikle, EFI_RUNTIME_SERVICES tablosu korunur ve kullanıcı işletim sistemi çalışma zamanı ortamından EFI_RUNTIME_SERVICES işlevlerine erişebilir. Bu nedenle BDS, UEFI API’sinin önemli bir kısmının artık kullanılamadığı UEFI’nin “son” aşaması olsa da BDS aşaması UEFI ortamını tamamen yok etmez. EFI_RUNTIME_SERVICES tablosu ve ilişkili işlevselliği bir sonraki aşama olan Geçici Aşama Yüklemesi (TSL) ve nihayetinde işletim sistemi kurulumu boyunca korunduğundan, platform ürün yazılımı ile işletim sistemi arasındaki iletişim için bir köprü korunur. BDS aşaması kodu, olası önyükleme aygıtlarını numaralandırma, önyükleme sırasını değerlendirme ve nihayetinde kontrolü önyükleme aygıtına (genellikle işletim sistemi yükleyicisi) aktarmadan önce son UEFI temizlik işlemlerini gerçekleştirme gibi önemli görevleri yerine getirir.

BDS aşaması kod sorumluluklarının daha resmi bir listesi için UEFI Spesifikasyonuna bakın:

"BDS aşaması, BDS Mimari Protokolünün bir parçası olarak uygulanmaktadır. DXE Foundation, bağımlılıkları karşılanan tüm DXE sürücüleri DXE Dispatcher tarafından yüklendikten ve yürütüldükten sonra kontrolü BDS Mimari Protokolüne devredecektir. BDS aşaması aşağıdakilerden sorumludur:

• Konsol cihazlarının başlatılması
• Aygıt sürücülerini yükleme
• Önyükleme seçimleri yüklenmeye ve yürütülmeye çalışılıyor [7]"

Önemli not: UEFI/PI önyükleme akışının aşamalarına ilişkin yukarıdaki genel bakış, önyükleme sürecinin SEC öncesinde gerçekleşen yönlerini kapsamamaktadır, ancak SEC aşamasının ilk komutundan önce bile birçok şey gerçekleşir. Bu durum özellikle Intel Boot Guard ve Intel BIOS Guard gibi teknolojiler kullanıldığında geçerlidir (örneğin, Intel Boot Guard uyumlu bir sistem için etkinleştirildiğinde, sıfırlama vektöründen sonraki ilk komutun yürütülmesinden önce Kimliği Doğrulanmış Kod Modülü [ACM] yüklenir ve yürütülür). Converged Security and Management Engine (CSME) gibi diğer platform bileşenleri Intel önyükleme sürecinde önemli bir rol oynar ancak kısa olması açısından bu blog yazısında ele alınmayacaktır. CSME ve önceki CSME güvenlik açıkları ve istismarları hakkında ek kaynaklar Referanslar bölümünde yer almaktadır.

UEFI/PI önyükleme akışının ana aşamalarını tartıştığımıza göre, şunu sorabilirsiniz: Bir UEFI BIOS’unu bir tehdit aktörü tarafından değiştirilmekten, kurcalanmaktan veya başka bir şekilde istismar edilmekten nasıl koruruz? Güvenli Önyükleme teknolojilerine girin. “Güvenli Önyükleme teknolojileri”, sağlam ürün yazılımı bütünlüğü doğrulaması sağlamak ve bir UEFI BIOS’u mümkün olduğunca kilitlemek için tasarlanmış çeşitli platform ürün yazılımı güvenlik mekanizmalarını kapsayan bir şemsiye terimdir.

“Güvenli Önyükleme”, uygulandığı önyükleme süreci hiyerarşisinin seviyesine bağlı olarak üç şekilde ortaya çıkar:

• İşletim Sistemi Güvenli Önyükleme: İşletim sistemi önyükleyicisi seviyesinde uygulanır. Bu, işletim sistemi çekirdeği ve önyükleme başlatma sürücüleri gibi işletim sistemi önyükleyicisi tarafından yüklenen bileşenleri doğrular.
• UEFI Güvenli Önyükleme: UEFI ürün yazılımında uygulanır. Bu, UEFI DXE sürücülerini ve uygulamalarını, Seçenek ROM’larını ve OS önyükleyicilerini doğrular.
• Platform Güvenli Önyükleme: Donanıma sabitlenmiştir. Bu, platform başlatma ürün yazılımını doğrular.

Platform güvenli önyükleme teknolojilerinin farklı çeşitlerinin bu yararlı sınıflandırması, Bölüm 17 “UEFI Güvenli Önyükleme Nasıl Çalışır” [8] içindeki “Rootkits and Bootkits” bölümünden alınmıştır.

Aşağıdaki açıklamalar, birçok Güvenli Önyükleme ve platform ürün yazılımı güvenlik teknolojileri arasındaki temel farklardan bazılarının kapsamlı olmayan bir açıklamasıdır. Bu teknolojilerin nasıl uygulandığını, neleri koruduğunu, neleri koruyamadığını ve kullanımlarının platform ürün yazılımı tehdit ortamını nasıl değiştirdiğini daha iyi anlamanıza yardımcı olmaya çalışacağım.

Not: Bu bölümde sadece Intel işlemciler için Secure Boot teknolojilerine odaklanacağım. Odaklanacağım üç teknoloji UEFI Secure Boot, Intel Boot Guard ve Intel BIOS Guard’dır.

UEFI Secure Boot en temel katmandır ve DXE’nin sonraki aşamalarından başlayarak UEFI BIOS’u korur. SPI flaştan başlayıp işletim sistemi kurulumuna kadar devam eden sürecin geç bir noktasında koruma ve görüntü doğrulaması sağlar.

UEFI Güvenli Önyükleme etkinleştirilmiş tek platform ürün yazılımı güvenlik mekanizması ise SEC, Ölçüm için Çekirdek Güven Kökü (CRTM) olarak hizmet veren İlk Önyükleme Bloğunun (IBB) bir parçasını oluşturur [12]. UEFI Güvenli Önyükleme, güven kökü olarak iki bileşenin bütünlüğüne dayanır: IBB (SEC ve PEI) ve Platform Anahtarı. PI bileşenleri (SEC ve PEI) SPI flaşta saklanır ve UEFI Secure Boot tarafından dolaylı olarak güvenilir. UEFI Secure Boot, UEFI BIOS ürün yazılımı görüntüsünün belirli bileşenlerinin bütünlüğünü doğrulamak için bir Açık anahtar altyapısı (PKI) kullanır. UEFI Secure Boot’un PKI’sının ana bileşenleri arasında db ve dbx veritabanları (sırasıyla UEFI ikili dosyalarının bilinen-iyi sertifikalarını/hash’lerini ve UEFI ikili dosyalarının bilinen-güvensiz sertifikalarını/hash’lerini depolamak için kullanılır) ile her ikisi de dijital imzaların doğrulanması için kullanılan Anahtar değişim anahtarı (KEK) ve Platform Anahtarı (PK) yer alır [9].

db veritabanı, dbx veritabanı, PK ve KEK’in ayrıntılı bir dökümü ve UEFI Güvenli Önyükleme sürecindeki rolleri bu makalenin kapsamı dışındadır (daha fazla bilgi için bkz. Güvenli Önyükleme ve Platform Ürün Yazılımı Güvenlik Teknolojileri Kaynakları ve Referansları). Bizim amaçlarımız için, UEFI Güvenli Önyükleme’nin yalnızca UEFI bileşenlerini doğruladığını anlamak yeterlidir. Böylece, ürün yazılımı bütünlüğü doğrulamasına DXE aşamasında başlar. UEFI Secure Boot için güven kökünü oluşturduğundan IBB’nin güvenli olduğuna zımnen güvenilir. Bu nedenle, UEFI Secure Boot DXE veya BDS aşamalarında yüklenen herhangi bir UEFI uygulaması veya sürücüsüne karşı ürün yazılımı güvenlik doğrulaması uygulasa da SEC veya PEI bileşenlerinin bütünlüğünü doğrulamaz.

İlk tasarım perspektifinden bakıldığında bile, UEFI Güvenli Önyükleme’deki tasarım kusurları ve dolayısıyla bypass için yollar çok sayıdadır. Örnek olarak, UEFI Secure Boot’un ürün yazılımı görüntü bütünlüğü doğrulama mekanizmalarının potansiyel olarak atlanmasına kapı açan UEFI Secure Boot’un iki ana tasarım özelliğini vurguladım. Bu iki örnek kapsamlı değildir ve Secure Boot’un tanıtımından bu yana bu konuda önemli ve mükemmel araştırmalar yapılmıştır. Güvenli Önyükleme bypass teknikleri hakkında daha fazla bilgi için [Güvenli Önyükleme ve Platform Ürün Yazılımı Güvenlik Teknolojileri Kaynakları ve Referansları] bölümüne bakın.

• UEFI Güvenli Önyükleme için güven kökü, SPI flaştan yüklenen PI ürün yazılımıdır; bir saldırgan SPI yazma erişimi elde edebilir ve flaştaki PI ürün yazılımını değiştirebilirse, UEFI Güvenli Önyükleme güven köküne sahip olarak tüm UEFI Güvenli Önyükleme zincirini etkili bir şekilde tehlikeye atar.
• UEFI Secure Boot, ürün yazılımı güvenlik doğrulamasına DXE aşamasında başlar. Bu mantıklıdır çünkü UEFI DXE aşamasında başlar, bu nedenle UEFI Secure Boot yalnızca kendi bileşenlerinin doğrulanmasından sorumlu olmalıdır. Bununla birlikte, PI ürün yazılımındaki (yani PEI) güvenlik açıkları, SMM’yi (SPI flaşa yazmak için) veya DXE’den önce yüklenen platform ürün yazılımının diğer bileşenlerini hedef almak için istismar edilebilir ve kullanılabilir.

UEFI ürün yazılımı görüntü bütünlüğünün doğrulanmasını ve UEFI/PI kodunun tüm aşamalarının ölçülmesini sağlamak için daha sağlam bir başka teknolojiye başvurabiliriz: Intel Boot Guard.

Intel Boot Guard, UEFI Secure Boot’u çevreleyerek, UEFI/PI önyükleme akışının tüm aşamalarını kapsayacak şekilde güven kökünü genişleten bir ürün yazılımı bütünlüğü koruma ve doğrulama katmanı oluşturur. Intel Boot Guard ile platform ürün yazılımı bütünlüğü doğrulaması artık SEC ve PEI faz kodunun yanı sıra UEFI Secure Boot tarafından kapsanan DXE faz kodunu da kapsıyor. Başka bir deyişle, Intel Boot, UEFI BIOS’u SPI flash’tan hareket ederken sürecin en erken noktasından itibaren ve ardından UEFI/PI önyükleme sürecinin önceki aşamalarında aşamalı olarak korur ve son olarak PEI’den DXE’ye geçişten sonra ürün yazılımı görüntüsü doğrulama sürecini devam ettirmek için UEFI Secure Boot ile birlikte çalışır. Boot Guard, UEFI BIOS görüntüsünün bütünlüğünün UEFI/PI önyükleme sürecinin her aşaması boyunca ölçülmesini ve doğrulanmasını sağlar.

Intel Boot Guard güven kökünü daha da yukarı taşır; SPI flaşta saklanan PI ürün yazılımının bütünlüğüne güvenmek yerine (UEFI Güvenli Önyükleme için olduğu gibi), Boot Guard, anakartın üzerindeki Alan Programlanabilir Sigortaya (FPF) yakılan donanımda saklanan bir anahtarı kullanarak ürün yazılımı bileşenlerinin bütünlüğünü doğrulamak için Intel Kimliği Doğrulanmış Kod Modülünü (ACM) kullanır.

Boot Guard etkinleştirildiğinde, ACM CPU üzerinde Cache-as-Ram (CAR) adı verilen korumalı bir bellek bölgesinde çalışır ve IBB’nin (PI ürün yazılımının SEC ve PEI bileşenleri) bütünlüğünü doğrulamak için FPF’ye kilitlenen anahtarı kullanır. Böylece ACM, IBB’deki ilk komutu çalıştırmadan önce ürün yazılımı görüntü ölçümü ve doğrulaması gerçekleştirir [8]. IBB doğrulanırsa, CPU kontrolü IBB’ye geçirir ve ardından sıfırlama vektöründen ilk komutunu yürütmeye başlar. Boot Guard daha sonra UEFI/PI önyükleme akışı SEC’den PEI’ye ve DXE’ye geçerken platform ürün yazılımının sonraki parçalarını doğrulamaya devam edecektir. DXE aşamasına ulaşıldığında, UEFI Secure Boot kendi işini yapabilir ve DXE bileşenleri üzerinde kendi ürün yazılımı bütünlüğü doğrulama işlemini başlatabilir.

Intel Boot Guard’ın avantajları, artık yalnızca UEFI Secure Boot’a güvenmek yerine, donanıma kaynaştırılmış bir anahtar kullanarak IBB’nin tüm bileşenlerini doğrulayarak platformun çok daha geniş bir yelpazesinde platform ürün yazılımı güvenlik doğrulaması sağlamasıdır. Boot Guard, doğru uygulandığı takdirde platform ürün yazılımı saldırı yüzeyini büyük ölçüde daraltır.

Bu alanda Boot Guard bypassları ile ilgili çok fazla çalışma yapılmıştır. Genellikle Boot Guard’daki yanlış yapılandırmalar, donanım yazılımı güvenlik zincirinde boşluklar bırakır ve bu boşluklar bir saldırgan için yeterli açıklık olabilir. Aşağıda Boot Guard bypass teknikleriyle ilgili birkaç araştırma örneğine yer verdim. Bu konuya blog serisinin ilerleyen bölümlerinde UEFI hatalarından bahsederken döneceğiz.

Intel Boot Guard hakkında dikkat edilmesi gereken son bir önemli nokta da SPI flaşa okuma/yazma erişimini engellemediğidir. Intel Boot Guard, güven kökü olarak IBB’den başlayarak UEFI ürün yazılımı görüntüsünün bütünlüğünü doğrular, ancak rolü “CPU IBB’yi çalıştırmak için sıfırlamadan çıkmadan önce bu kodun doğruluğunu [doğrulayarak]” ürün yazılımı bütünlüğü doğrulaması yapmaktır. [10] SPI flash’a okuma/yazma erişimini engellemek ve böylece SPI flash’ta yerleşik ürün yazılımı implantları veya BIOS tabanlı rootkit’ler için saldırı vektörlerini en aza indirmek için başka bir teknolojiye başvurabiliriz: Intel BIOS Guard.

BIOS Guard, birçok ürün yazılımı değişiklik vektörüne karşı koruma sağlayarak ve SPI flaşta saklanan güven kökünü (IBB) ve diğer ürün yazılımı bileşenlerini tehlikeye atılmaya veya kurcalanmaya karşı koruyarak UEFI Secure Boot ve Intel Boot Guard tarafından bırakılan güvenlik boşluklarını doldurur.

Intel BIOS Guard, SPI flash yongasını (ve dolayısıyla SPI flash üzerinde bulunan UEFI BIOS’u) yetkisiz okuma/yazma işlemlerine karşı korur. BIOS Guard özellikle SPI flash modifikasyonu için saldırı yüzeyini azaltmaya odaklanır. Özellikle, SMM kodundan (yani SMI işleyicilerinden) SPI flaşa erişimi kısıtlar. BIOS Guard, Flash okuma/yazma erişimini kısıtlayarak ve yalnızca BIOS Guard’ın AC-RAM modunda çalışan kodun SPI flash’ı değiştirme yetkisine sahip olmasını sağlayarak SMI işleyicilerinden ve çoğu POST kodundan gelen saldırı vektörlerini ortadan kaldırır [10].

UEFI Kabuğu, çeşitli UEFI bileşenleriyle (örneğin, diğer UEFI uygulamaları ve sürücüleri ile bunların protokolleri) etkileşim için kabuk benzeri bir arayüz sağlayan bir UEFI uygulamasıdır. Bir üretim cihazında UEFI Kabuğuna sahip olmak nadirdir (ve kesinlikle tavsiye edilmez). Bununla birlikte, test amacıyla, UEFI kabuğu hem açıkları test etmek hem de sistemi daha iyi anlamak için mükemmel bir ortamdır. [6]

UEFI uygulamaları ve sürücülerinin her ikisi de UEFI görüntüleridir ve serinin ilerleyen bölümlerinde UEFI tersine mühendislik ve istismar geliştirmeyi incelerken çalışacağımız birincil UEFI bileşeni olacaklardır. Şimdilik, UEFI uygulamaları ve sürücüleri hakkında dikkat edilmesi gereken önemli noktalar bunlardır:

• UEFI uygulamaları ve sürücülerinin her ikisi de PE/COFF başlığına sahip ikili yürütülebilir dosyalar.
• Bir UEFI uygulaması ile bir UEFI sürücüsü arasındaki tek fark, bir uygulamanın çalıştıktan sonra bellekten kaldırılması ve bir sürücünün kaldırılana kadar yerleşik kalmasıdır

Bu protokoller UEFI’nin et ve patatesleri olarak hizmet vermektedir. Protokollerin rolü UEFI’nin o kadar ayrılmaz bir parçasıdır ki pratikte “Linux’ta her şey bir dosyadır” sözüne benzer. UEFI’de bir protokol, veri ve işlev işaretçilerini kapsülleyen bir arayüzdür. Her platform bileşeni ve ağlar veya diskler gibi her cihaz için, donanım ve ürün yazılımı iletişimi için soyutlama katmanı olarak hizmet vermeye hazır bir veya daha fazla protokol vardır.

Protokollerin diğer UEFI terimleriyle dikkate değer birkaç bağlantısı vardır:

• Bir UEFI sürücüsü bir veya daha fazla UEFI protokolü üretebilir.
• UEFI tanıtıcıları bir veya daha fazla protokolün koleksiyonlarıdır. Tüm tutamaçlar tutamaç veritabanında saklanır. Tanıtıcı veritabanı (şaşırtıcı olmayan bir şekilde) bir tanıtıcı anahtarını protokollerle ilişkilendiren bir sözlük yapısıdır, ancak protokol türleri tanıtıcı türünü belirler (bu durumda değerler anahtarı etkiler). [1, p. 17]

EFI Sistem Tablosu: UEFI’deki ilk büyük veri yapısı olan EFI Sistem Tablosu, EFI Önyükleme Hizmetleri Tablosu ve EFI Çalışma Zamanı Hizmetleri Tablosu dahil olmak üzere diğer önemli veri yapılarına yönelik önemli veriler ve işaretçiler içerir. Ayrıca konsol I/O hizmetleri ve UEFI Yapılandırma Tablosu için işaretçiler içerir. UEFI Yapılandırma Tablosu bilinen GUID’leri ve karşılık geldikleri işaretçileri içerir ve bu tablo isteğe bağlı olarak ürün yazılımı ekosisteminde farklı rolleri olan diğer tabloları da içerebilir (örn. ACPI Tablosu, HOB Listesi) [6]. Bu veri yapısının UEFI’deki önemi abartılamaz. PI Spec’e göre, “DXE aşamasında mevcut olan tüm hizmetlere UEFI Sistem Tablosuna bir işaretçi aracılığıyla erişilebilir.” [6]

EFI Önyükleme Hizmetleri Tablosu: Bu, işletim sistemi açılmadan önce UEFI ürün yazılımı tarafından kullanılan işlevlere işaret eden bir işlev işaretçileri tablosudur. EFI Önyükleme Hizmetleri Tablosunun işlevleri, UEFI ürün yazılımı kontrolü işletim sistemine aktardıktan ve önyükleme hizmetlerini sonlandırdıktan sonra kullanılamaz. Önyükleme hizmetlerinin sonlandırılması, **EFI_BOOT_SERVICES.ExitBootServices() **olarak adlandırılan EFI Önyükleme Hizmetleri Tablosuna son bir çağrı yapan UEFI işletim sistemi yükleyicisi tarafından yapılır.

EFI Çalışma Zamanı Hizmetleri Tablosu: Bu, UEFI ürün yazılımı tarafından kullanılan işlevlere işaret eden bir işlev işaretçileri tablosudur. Bu işlevler işletim sistemi yüklendikten sonra kullanılabilir (dolayısıyla “Çalışma Zamanı Hizmetleri tablosu” adı verilir) ve işletim sistemi kodunun aygıt yazılımı bileşenleriyle etkileşime girmesi için bir araç olarak sağlanır.

UEFI’ye genel bakış seminerimizin sonuna geldik ve bu tanıtım seminerine katıldığınız için teşekkür ederiz. Bugünlük dersi sonlandırmadan önce, blog serisinin geri kalan yazılarının yapısını tanıtmak için sizi bir veda düşüncesiyle baş başa bırakacağım. Büyük Donald Knuth’u ve onun bilgisayar bilimlerinde teori ve pratik dengesine ilişkin bilgeliğini hatırlayarak, UEFI 1337 üstünlüğüne ulaşmak için hem teori hem de pratiğin gerekli olduğunu biliyoruz. Başarılı UEFI açıkları yazmak için aşağıdakilere ihtiyacımız var:

• Teori: UEFI ve istismarlara yol açan çeşitli saldırı vektörleri hakkında temel bir anlayış
• Uygulama: UEFI istismar geliştirme deneyimi

Teori gereksinimlerimizi karşılamak için ihtiyacımız olan şeylerin çoğunu belirledik. Gelecek blog yazılarında, UEFI tersine mühendislik, güvenlik açığı bulma ve istismar geliştirmenin pratik bileşenlerine geçmeden önce kalan temel bilgileri (UEFI Güvenlik Açıklarına genel bakış) ele alacağız.

“UEFI yeni BIOS’tur” yazısının bir sonraki bölümünde görüşmek üzere.

Veri kaybı, bireyler ve kuruluşlar için ciddi bir sorun haline gelmiştir. Verilerin güvenliğinin sağlanması, modern dünyada en öncelikli konulardan biridir. Bu makalede, veri kurtarma hizmetlerinin neden bu kadar önemli olduğunu, veri kaybı risklerini, profesyonel ekipmanın avantajlarını ve zaman ile maliyet tasarruflarını ele alacağız. Teknoloji meraklılarına yönelik bu içerik, veri yönetimi ve kurtarma süreçlerinin karmaşıklığını anlamalarına yardımcı olacaktır.

Veri Kaybı Nedenleri

Veri kaybı, birçok farklı nedenden kaynaklanabilir. Fiziksel hasar, yazılım hataları, kötü amaçlı yazılımlar veya insan hatası gibi faktörler, verilerin kaybolmasına yol açan en yaygın nedenlerdir. Örneğin, bir sabit disk arızası veya doğal afetler, kritik verilerin kaybolmasına neden olabilir. Bunun yanı sıra, güncellemeler sırasında oluşan yazılım hataları da veri kaybına yol açabilir.

Bunların dışında, veri kaybının önlenemeyen nedenleri arasında donanım arızaları ve sistem çöküşleri de bulunmaktadır. Birçok kullanıcı, bu tür durumlarla başa çıkmak için yeterli bilgiye sahip olmadığı için sonuçları ağır olabiliyor. Dolayısıyla, veri kaybı risklerini anlamak ve buna göre önlemler almak son derece önemlidir.

Veri Kaybının Sonuçları

Veri kaybının sonuçları, kaybolan verilerin türüne ve önemine bağlı olarak büyük değişiklikler gösterebilir. Bireysel kullanıcılar için bu, kaybolan fotoğraflar veya belgeler anlamına gelebilirken, bir işletme için müşteri verilerinin kaybı, itibar kaybına neden olabilir. İşletmeler, kaybolan verilerin geri kazanılamaması durumunda ciddi maddi kayıplara uğrayabilir.

Ayrıca, veri kaybı, işletmelerin yasal yükümlülüklerini yerine getirmelerini de zorlaştırabilir. Örneğin, finansal verilerin kaybı, yasal yaptırımlara ve cezalara yol açabilir. Bu nedenle, veri kaybının sonuçlarını öngörmek ve bunları minimize etmek, hem bireyler hem de işletmeler için kritik öneme sahiptir.

Önleyici Tedbirler

Veri kaybını önlemek için alınabilecek birçok tedbir bulunmaktadır. İlk olarak, düzenli yedekleme işlemleri gerçekleştirmek, veri kaybına karşı en etkili yöntemlerden biridir. Verilerin farklı fiziksel veya bulut tabanlı ortamlarda yedeklenmesi, kaybolma riski minimize eder. Ayrıca, güvenlik yazılımları kullanmak, kötü amaçlı yazılımlara karşı koruma sağlar.

Son olarak, kullanıcıların veri güvenliği konusunda eğitilmesi, insan hatalarını azaltmak için önemlidir. Eğitim programları, kullanıcıların veri güvenliği farkındalığını artırarak, veri kaybı risklerini önemli ölçüde azaltabilir.

Gelişmiş Araçlar ve Teknolojiler

Veri kurtarma hizmetleri, gelişmiş araçlar ve teknolojiler kullanarak veri kaybına karşı etkili çözümler sunar. Bu profesyonel hizmetler, veri kaybı durumlarını hızlı bir şekilde değerlendirebilir ve en uygun kurtarma yöntemlerini belirleyebilir. Örneğin, özel yazılımlar ve donanımlar ile fiziksel hasar gören verilerin bile kurtarılması mümkün olmaktadır.

Bunların yanı sıra, profesyonel ekipmanlar, veri kurtarma işlemlerinin başarısını artırır. Standart kullanıcıların erişemeyeceği yüksek teknoloji ürünü cihazlar, veri kurtarma işlemlerinin etkinliğini önemli ölçüde yükseltmektedir. Bu nedenle, profesyonel hizmet almak, birçok durumda en iyi çözüm olarak öne çıkmaktadır.

Uzmanlık ve Deneyim

Veri kurtarma uzmanları, çeşitli veri kaybı senaryolarında deneyim kazanmış kişilerdir. Bu uzmanlar, farklı türdeki veri kaybı durumlarına göre kişiselleştirilmiş çözümler sunabilirler. Uzmanlık, verilerin nasıl kurtarılacağına dair derin bir anlayış sağlar. Bu da kurtarma sürecinin daha verimli ve etkili olmasına yardımcı olur.

Uzmanların deneyimleri, veri kurtarma sürecinin hızını ve başarısını artırır. Kısa süre içinde uygun yöntemleri belirleme kabiliyetleri, zamandan tasarruf sağlar. Ayrıca, deneyimli profesyoneller, kullanıcıların veri kaybı durumuyla nasıl başa çıkmaları gerektiği konusunda rehberlik de yapabilirler.

Başarı Oranı ve Güvenilirlik

Profesyonel veri kurtarma hizmetleri, yüksek başarı oranlarına sahiptir. Bu oran, kullanılan teknoloji ve uzmanlıkla doğrudan ilişkilidir. Birçok kullanıcı, kendi başına veri kurtarmaya çalıştığında, verilerin daha da zarar görmesi riski ile karşı karşıya kalır. Ancak, profesyonel hizmetler bu riski minimize ederek, verilerin geri kazanılma ihtimalini artırır.

Ayrıca, güvenilir hizmet sağlayıcıları, veri güvenliği ve gizliliği konularında da taahhütlerde bulunurlar. Kullanıcıların verilerinin zarar görmeden kurtarılması, bu tür hizmetlerin en büyük avantajlarından biridir. Bu nedenle, veri kurtarma işlemlerinde profesyonel hizmet almak önemlidir.

Hızlı Çözüm Üretme Kapasitesi

Bir veri kaybı durumunda, zaman kaybı genellikle büyük maddi kayıplara yol açar. Profesyonel veri kurtarma hizmetleri, hızlı çözümler üreterek bu kayıpları minimuma indirmeyi hedefler. Uzman ekipler, sorunun kaynağını hızlı bir şekilde tespit eder ve gerekli adımları atar. Bu da kullanıcıların daha kısa sürede verilerine erişmelerine yardımcı olur.

Ayrıca, profesyonel ekipmanın kullanılması, verilerin daha az zaman kaybıyla kurtarılmasını sağlar. Kullanıcılar, kendi başlarına denediklerinde daha fazla zaman harcayarak sonuç alamama durumuyla karşılaşabilirler. Dolayısıyla, profesyonel hizmetler, hızlı ve etkili sonuçlar sunarak zaman tasarrufu sağlar.

Uzun Vadeli Tasarruflar

Veri kurtarma maliyetleri, birçok kullanıcıyı endişelendiren bir konudur. Ancak, profesyonel hizmetlerin sağladığı avantajlar, uzun vadede maliyet tasarrufu sağlayabilir. Kaybolan verilerin geri kazanılması, işletmelerin iş süreçlerini devam ettirebilmesi açısından kritik öneme sahiptir. Bu da, veri kurtarma maliyetlerinin bir yatırım olarak değerlendirilmesine neden olur.

Uzun vadede, veri kaybını önleme ve kurtarma süreçlerinin etkin yönetimi, işletmelerin daha az maliyetle çalışmasına yardımcı olur. Örneğin, yedekleme ve güvenlik hizmetleri alanında yapılan yatırımlar, olası kayıpları önleyerek, gelecekte daha büyük maliyetlerin ortaya çıkmasını engelleyebilir.

İş Sürekliliği ve Verimlilik

Veri kaybı durumları, işletmelerin iş sürekliliğini tehdit edebilir. Profesyonel veri kurtarma hizmetleri, kayıpların hızla telafi edilmesine olanak tanır. Kullanıcılar, verilerine kısa sürede geri dönebildiklerinde, iş süreçleri kesintiye uğramaz ve verimliliklerini sürdürebilirler. Bu da, rekabet avantajı sağlamaktadır.

İş sürekliliği, yalnızca maliyetlerle değil, aynı zamanda müşteri memnuniyeti ile de ilişkilidir. Verilerin hızlı bir şekilde kurtarılması, müşteri hizmetlerinin kesintiye uğramamasını sağlar. Bu da, müşteri sadakatini artırır ve işletmenin itibarını korur.

Veri kurtarma hizmetleri, günümüz teknolojik dünyasında vazgeçilmez bir öneme sahiptir. Veri kaybı riskleri, çeşitli nedenlerden kaynaklanabilir ve sonuçları ağır olabilir. Bu nedenle, profesyonel hizmetlerin sunduğu avantajlar, zaman ve maliyet tasarrufları açısından değerlidir. Uzman ekiplerle çalışmak, veri kaybı durumlarında en etkili çözüm olarak öne çıkmaktadır.

Veri kurtarma süreci ne kadar sürer?

Veri kurtarma süreci, kaybın sebebine ve verilerin büyüklüğüne göre değişiklik gösterebilir. Genellikle birkaç saatten birkaç güne kadar sürebilir.

Veri kurtarma garantisi var mı?

Birçok profesyonel hizmet sağlayıcı, belirli bir başarı oranı sunar. Ancak, her durumda veri kurtarma garantisi verilmez.

Kendi başıma veri kurtarmaya çalışmak güvenli midir?

Kendi başınıza denemek, verilerin daha fazla zarar görmesine yol açabilir. Profesyonel hizmet almak, daha güvenli bir seçenek olacaktır.

Veri kurtarma maliyetleri ne kadar?

Maliyetler, veri kaybının türüne ve kurtarma ihtiyaçlarına göre değişir. Ancak genellikle, uzun vadeli tasarruflar sağlamaktadır.

Veri kaybını önlemek için hangi önlemler alınmalıdır?

Düzenli yedekleme yapmak, güvenlik yazılımları kullanmak ve kullanıcıları eğitimlerle bilinçlendirmek, veri kaybını önlemenin en etkili yollarıdır.

Bilgi güvenliği, modern dünyada kişisel ve kurumsal verilerin korunması için hayati önem taşımaktadır. Artan güvenlik tehditlerine karşı donanım tabanlı çözümler, yazılım çözümlerine kıyasla daha güvenilir kabul edilmektedir. Bu çözümlerden biri de Trusted Platform Module (TPM) çipleridir. TPM çipleri, güvenlik işlevlerini yerine getirirken farklı iletişim protokollerini kullanır. Bu makalede, SPI (Serial Peripheral Interface) ve LPC (Low Pin Count) TPM çiplerinin teknik özellikleri, çalışma prensipleri, avantajları ve dezavantajları ayrıntılı bir şekilde incelenecektir.

TPM (Trusted Platform Module), bilgisayar sistemlerinde donanım tabanlı güvenlik sağlamak amacıyla kullanılan bir mikroçiptir. TPM, şifreleme anahtarlarının saklanması, kimlik doğrulama, cihaz bütünlüğünün korunması ve güvenli önyükleme gibi kritik güvenlik işlevlerini yerine getirir. TPM çipleri, genellikle anakartlara veya sistem çiplerine entegre edilir ve sistemin güvenliğini artırmak için kullanılır.
TPM’nin Temel İşlevleri

Şifreleme Anahtarları Yönetimi: TPM, şifreleme anahtarlarını güvenli bir şekilde saklar ve yönetir. Bu anahtarlar, verilerin şifrelenmesi ve çözülmesi için kullanılır.

Kimlik Doğrulama: TPM, cihazların kimliğini doğrulamak için kullanılır. Bu sayede, yalnızca yetkili cihazlar ağa veya uygulamalara erişebilir.

Güvenli Önyükleme: TPM, cihazların güvenli bir şekilde başlatılmasını sağlar. Önyükleme işlemi sırasında herhangi bir değişiklik veya kötü amaçlı yazılım tespit edildiğinde, TPM bu durumu bildirir.

Güvenlik Sertifikaları: TPM, dijital sertifikaları güvenli bir şekilde saklar ve yönetir.

SPI, cihazlar arasında hızlı veri iletimi sağlamak için kullanılan bir seri iletişim protokolüdür. SPI, veri iletimini dört ana hat üzerinden gerçekleştirir:

MISO (Master In Slave Out): Ana cihazdan (Master) alt cihaza (Slave) veri gönderen hattır.

MOSI (Master Out Slave In): Alt cihazdan ana cihaza veri gönderen hattır.

SCK (Serial Clock): Verilerin ne zaman gönderileceğini ve alınacağını belirleyen saat sinyalini ileten hattır.

SS (Slave Select): Hangi alt cihazın (Slave) veri alıp göndereceğini belirleyen seçme hattıdır.

SPI’nın Teknik Özellikleri

• Bağlantı Türü: Seri arayüz
• Veri Hatları: MISO, MOSI, SCK, SS
• Veri İletim Hızı: SPI, genellikle yüksek hızda veri iletimi sağlar.
• Kullanım Alanı: Mikrodenetleyiciler, sensörler ve düşük güçlü cihazlar
• Pin Sayısı: 4 ana veri hattı

SPI’nın Avantajları ve Dezavantajları

Avantajları:

• Yüksek Hız: SPI, verilerin hızlı bir şekilde iletilmesini sağlar.
• Basit ve Esnek Bağlantı: SPI, basit bir bağlantı yapısına sahiptir ve esneklik sağlar.
• Düşük Pin Sayısı: SPI, sadece dört ana veri hattı kullanır, bu da donanım tasarımını daha az karmaşık hale getirir.

Dezavantajları:

• Kısa Mesafelerde Verimli: SPI, kısa mesafelerde verimli çalışır.
• Uzun Mesafelerde Veri Bütünlüğü Sorunu: Uzun mesafelerde veri bütünlüğü kaybı yaşanabilir.

LPC, cihazlar arasında veri iletimi sağlamak için kullanılan bir diğer seri iletişim protokolüdür. LPC, daha az pin kullanarak veri iletimi yapar ve genellikle anakartlar ve sistem çipleri arasında kullanılır. LPC protokolünde kullanılan ana hatlar şunlardır:

• AD (Address/Data): Adres ve veri iletimi için kullanılır.
• Frame: Veri çerçevesini belirler.
• Clock: Verilerin ne zaman gönderileceğini belirler.
• Reset: Cihazı yeniden başlatmak için kullanılır.
• PCIRST#: Bilgisayarın yeniden başlatılmasını sağlar.

LPC’nin Teknik Özellikleri

• Bağlantı Türü: Seri arayüz
• Veri Hatları: AD, Frame, Clock, Reset, PCIRST
• Veri İletim Hızı: LPC, SPI kadar hızlı değildir.
• Kullanım Alanı: Anakartlar ve sistem çipleri
• Pin Sayısı: Daha az pin kullanır

LPC’nin Avantajları ve Dezavantajları

Avantajları:

• Daha Az Pin Kullanımı: LPC, daha az pin kullanarak veri iletimi sağlar.
• Anakart Uyumlu: LPC, anakartlar ve sistem çipleri ile uyumlu çalışır.
• Kompakt Tasarım: LPC’nin daha az pin kullanımı, daha küçük ve kompakt donanım tasarımlarına olanak tanır.

Dezavantajları:

• Daha Düşük Veri İletim Hızı: LPC, SPI kadar hızlı değildir.
• Daha Sınırlı Kullanım Alanı: LPC, daha sınırlı bir kullanım alanına sahiptir.

SPI ve LPC TPM Çiplerinin Karşılaştırması

SPI ve LPC TPM çipleri, güvenlik işlevlerini yerine getirirken farklı iletişim protokollerini kullanır ve bu nedenle çeşitli avantajlar ve dezavantajlar sunar. İşte bu iki çipin karşılaştırması:

• Özellik SPI TPM LPC TPM
• Bağlantı Türü Seri arayüz Seri arayüz
• Veri Hatları MISO, MOSI, SCK, SS AD, Frame, Clock, Reset, PCIRST
• Hız Daha yüksek veri iletim hızı Daha düşük veri iletim hızı
• Kullanım Alanı Mikrodenetleyiciler, sensörler, düşük güçlü cihazlar Anakartlar, sistem çipleri
• Pin Sayısı 4 ana veri hattı Daha az pin
• Avantajlar Yüksek hız, esneklik, basit bağlantı Anakart uyumluluğu, kompakt tasarım
• Dezavantajlar Kısa mesafelerde verimli, uzun mesafede veri bütünlüğü kaybı Düşük hız, sınırlı kullanım alanı
• Derinlemesine Teknik Analiz
• Veri İletim Hızı ve Bant Genişliği

SPI protokolü, yüksek hızda veri iletimi sağlar. SPI’nin maksimum veri iletim hızı, kullanılan donanıma ve sistem konfigürasyonuna bağlı olarak değişebilir, ancak genellikle 10 MHz ile 100 MHz arasında değişir. Bu yüksek hız, SPI’yi düşük gecikme süreli ve yüksek bant genişlikli uygulamalar için ideal hale getirir.

LPC protokolü ise daha düşük hızlarda çalışır. LPC’nin tipik veri iletim hızı 33 MHz civarındadır. Bu, SPI’ye kıyasla daha düşük bir hızdır ve bu nedenle yüksek bant genişliği gerektiren uygulamalar için uygun olmayabilir. Ancak, düşük hız, düşük güç tüketimi ve daha az elektromanyetik parazit anlamına gelir.

Gecikme Süresi (Latency)

Gecikme süresi, veri paketlerinin kaynağından hedefine ulaşma süresini ifade eder. SPI protokolü, doğrudan ve hızlı veri iletimi sağladığı için düşük gecikme süresine sahiptir. Bu, gerçek zamanlı uygulamalar için büyük bir avantajdır. Örneğin, gerçek zamanlı sensör verilerinin hızlı bir şekilde işlenmesi gereken uygulamalarda SPI tercih edilir.

LPC protokolü ise daha yüksek gecikme sürelerine sahip olabilir. Bunun nedeni, LPC’nin veri iletim hızının daha düşük olması ve veri iletim sürecinde daha fazla işlem adımının bulunmasıdır. Bu nedenle, LPC, gecikme süresinin kritik olmadığı uygulamalar için daha uygundur.

Güvenlik Özellikleri

Her iki protokol de güvenlik özellikleri sunar, ancak farklı senaryolara uygun olabilirler. SPI TPM çipleri, yüksek hızlı veri iletimi gerektiren uygulamalarda kullanılabilir ve bu hız, güvenlik işlevlerinin hızlı bir şekilde yerine getirilmesini sağlar.

LPC TPM çipleri ise daha düşük hızda çalışır ve genellikle anakart ve sistem çipleriyle entegrasyon için optimize edilmiştir. LPC’nin daha düşük hızda çalışması, elektromanyetik parazite karşı daha az hassas olmasını sağlar, bu da güvenlik açısından bir avantaj olabilir.

Enerji Tüketimi

Enerji tüketimi, özellikle batarya ile çalışan cihazlar için kritik bir faktördür. SPI protokolü, yüksek hızda veri iletimi sağlarken daha fazla enerji tüketebilir. Bu nedenle, enerji tasarrufu önemli olan uygulamalarda dikkatli bir şekilde değerlendirilmelidir.

LPC protokolü ise daha düşük hızda çalıştığı için genellikle daha az enerji tüketir. Bu, güç tasarrufu önemli olan uygulamalar için LPC’yi daha uygun hale getirir.

Gürültü Bağışıklığı

Elektromanyetik parazit ve diğer gürültüler, veri iletiminin doğruluğunu etkileyebilir. SPI protokolü, yüksek hızda çalıştığı için elektromanyetik parazite karşı daha hassas olabilir. Bu nedenle, SPI ile çalışan sistemlerde dikkatli bir tasarım ve iyi bir zemin planlaması gereklidir.

LPC protokolü ise daha düşük hızda çalıştığı için elektromanyetik parazite karşı daha dayanıklıdır. Bu, LPC’yi yüksek parazit ortamlarında daha güvenilir hale getirir.

Uygulama Örnekleri ve Farklı Sektörlerde Kullanım

Otomotiv Sektörü: TPM çipleri, otomotiv sektöründe araç içi bilgi-eğlence sistemleri, motor kontrol üniteleri ve güvenlik sistemlerinde kullanılır. SPI TPM çipleri, yüksek hızda veri iletimi sağladığı için gerçek zamanlı veri işleme gerektiren uygulamalarda tercih edilirken, LPC TPM çipleri, anakartla entegrasyon için kullanılır.

Sağlık Sektörü: TPM çipleri, tıbbi cihazlarda veri güvenliğini sağlamak için kullanılır. Hasta verilerinin gizliliğini korumak ve cihaz bütünlüğünü sağlamak için SPI TPM çipleri kullanılırken, LPC TPM çipleri, cihazların anakartlarına entegre edilerek güvenli veri iletimi sağlar.

Finans Sektörü: Bankacılık ve finans uygulamalarında veri güvenliği kritik öneme sahiptir. TPM çipleri, finansal verilerin şifrelenmesi ve kimlik doğrulama süreçlerinde kullanılır. SPI TPM çipleri, yüksek hızlı veri iletimi gerektiren finansal işlemlerde tercih edilirken, LPC TPM çipleri, finansal sistemlerin anakartlarına entegre edilir.

IoT Cihazlarında Kullanım

IoT cihazları, sürekli olarak veri toplar ve iletir. Bu cihazların güvenliğini sağlamak için TPM çipleri kullanılır. SPI TPM çipleri, hızlı veri iletimi ve düşük gecikme süresi gerektiren IoT uygulamalarında tercih edilir. Örneğin, akıllı ev cihazları, giyilebilir teknolojiler ve endüstriyel IoT uygulamaları. LPC TPM çipleri ise daha düşük hızda veri iletimi gerektiren ve enerji tasarrufu önemli olan IoT cihazlarında kullanılır. Örneğin, uzaktan sensörler ve enerji izleme cihazları.

Bulut Bilişimde Kullanım

Bulut bilişim ortamında TPM çipleri, sanal makinelerin güvenliğini sağlamak ve veri gizliliğini korumak için kullanılır. SPI TPM çipleri, bulut veri merkezlerinde yüksek hızlı veri iletimi ve güvenlik işlevleri sağlamak için kullanılır. LPC TPM çipleri ise bulut sunucularının anakartlarına entegre edilerek güvenli veri iletimi sağlar.

Geleceğe Yönelik Görüşler

Yeni Nesil TPM Standardları

TPM 2.0 ve sonraki sürümler, daha gelişmiş güvenlik özellikleri sunmaktadır. TPM 2.0, daha yüksek hızda veri işleme, gelişmiş şifreleme algoritmaları ve daha geniş bir komut seti ile önceki sürümlere göre önemli iyileştirmeler sunar. Bu yeni özellikler, hem SPI hem de LPC TPM çiplerinin performansını ve güvenliğini artırır.

TPM Çiplerinin Fiziksel Güvenliği

TPM çiplerinin fiziksel saldırılara karşı korunması da önemlidir. Fiziksel saldırılara karşı dayanıklı TPM çipleri, güvenli bölgelerde ve koruyucu kılıflarda yerleştirilir. SPI ve LPC TPM çiplerinin fiziksel güvenlik özellikleri, çip tasarımına ve uygulama senaryosuna bağlı olarak değişir.

TPM Çiplerinin Sertifikasyonu

TPM çiplerinin güvenilirliğini sağlamak için çeşitli sertifikasyon süreçleri uygulanır. Bu süreçler, çiplerin güvenlik standartlarına uygun olduğunu doğrular. SPI ve LPC TPM çiplerinin sertifikasyon süreçleri, güvenlik standartlarına uyumluluğunu sağlar.

TPM Çiplerinin Maliyeti

SPI ve LPC TPM çiplerinin maliyeti, üretim maliyetleri, kullanılan malzemeler ve uygulama senaryolarına bağlı olarak değişir. Genellikle, SPI TPM çipleri, yüksek hız ve esneklik sağladığı için daha yüksek maliyetli olabilir. LPC TPM çipleri ise daha az pin kullanımı ve daha düşük hız nedeniyle daha uygun maliyetlidir.

Bu makalede, SPI ve LPC TPM çiplerinin teknik özellikleri, çalışma prensipleri, avantajları ve dezavantajları ayrıntılı bir şekilde incelenmiştir. SPI TPM çipleri, yüksek hız ve esneklik gerektiren düşük güçlü cihazlar için idealdir. LPC TPM çipleri ise anakart ve sistem çipleri ile uyumlu olup daha az pin kullanarak kompakt bir tasarım sunar. Her iki çip türü de belirli kullanım senaryoları için optimize edilmiştir ve farklı avantajlar sunar. Gelecekte, TPM çiplerinin gelişimi ve yeni iletişim protokollerinin kullanımı ile dijital dünyada daha güvenli bir ortam sağlanması hedeflenmektedir.

Kaynaklar;

Veri kaybı, dijital dünyada karşılaşılabilecek en ciddi sorunlardan biridir. İşletmelerin ve bireylerin değerli bilgilerinin aniden kaybolması, çeşitli nedenlerle olabilir. Bu yazıda, veri kurtarma süreçlerine dair sıkça sorulan sorulara detaylı ve profesyonel yanıtlar sunarak, veri kurtarma hakkında geniş bir bilgi sunacağız.

Veri Kurtarma, çeşitli nedenlerle kaybolmuş, hasar görmüş veya erişilemez hale gelmiş verilerin özel teknikler, ekipmanlar ve yazılımlar kullanılarak geri kazanılması işlemidir. Veri kaybına yol açan yaygın nedenler arasında şunlar bulunur:

• Donanım Arızaları: Sabit disk arızaları, SSD sorunları veya diğer donanım hataları.
• Kullanıcı Hataları: Yanlışlıkla dosyaların silinmesi veya format atılması.
• Ransomware ve Malware Saldırıları: Zararlı yazılımlar tarafından verilerin şifrelenmesi veya silinmesi.
• Fiziksel Hasar: Su hasarı, yangın veya darbe sonucu meydana gelen fiziksel zararlar.
• Yazılım Hataları: İşletim sistemi hataları veya veri tabanı bozulmaları.

Veri kurtarma süreci, birçok farklı veri türünü kapsayabilir. Bazı örnekler:

• Belgeler: Microsoft Word, Excel, PDF, PowerPoint gibi ofis belgeleri.
• Görüntüler ve Videolar: RAW, JPEG, PNG, MOV, MP4 gibi çeşitli fotoğraf ve video formatları.
• Ses Dosyaları: MP3, WAV, FLAC gibi ses formatları.
• Veritabanları: MySQL, Oracle, MSSQL veri tabanı sistemlerindeki bilgiler.
• E-postalar: Outlook, Gmail, Yahoo gibi e-posta istemcilerindeki tüm mesajlar.
• Arşivlenmiş Dosyalar: ZIP, RAR, 7Z gibi sıkıştırılmış dosyalar.
• Sistem Dosyaları: İşletim sistemi dosyaları, ayarlar ve tarayıcı geçmişi gibi veriler.

Veri kurtarma işlemleri, çeşitli depolama cihazlarından yapılabilir. Bu cihazlar şunları içerir:

• Sabit Diskler (HDD): Masaüstü bilgisayarlar, dizüstü bilgisayarlar ve sunucularda kullanılan dahili ve harici sabit diskler.
• Katı Hal Sürücüleri (SSD): Daha hızlı veri erişimi sunan ve dayanıklı SSD’ler.
• USB Bellekler: Farklı kapasitelerdeki USB flash sürücüler.
• Hafıza Kartları: SD, microSD, CF, xD gibi çeşitli hafıza kartları.
• Cep Telefonları ve Tabletler: Dahili hafıza, harici hafıza kartları ve bulut depolama alanları.
• NAS (Network Attached Storage): Ağ üzerinden erişilen veri depolama sistemleri.

Veri kurtarma süreci genellikle aşağıdaki adımları içerir:

• Teşhis: Cihaz detaylı bir şekilde incelenir ve veri kaybının nedeni belirlenir. Bu aşama, sorunun doğasını anlamak için kritik öneme sahiptir.
• Kurtarma: Özel temiz odalarda, ileri teknoloji ekipmanlar ve yazılımlar kullanılarak veriler kurtarılır. Bu aşama, kaybolmuş verilerin geri kazanılması için en teknik süreçtir.
• Veri Doğrulama: Kurtarılan verilerin doğruluğu ve bütünlüğü kontrol edilir. Bu aşama, verilerin kullanılabilir olduğunu doğrulamak amacıyla gerçekleştirilir.
• Teslimat: Veriler, müşteriye güvenli bir şekilde teslim edilir. Teslimat, fiziksel bir medyada veya dijital olarak yapılabilir.

Veri kaybının neden önemli olduğunu anlamak için şu faktörlere bakabiliriz:

• İş Sürekliliği: İşletmeler için veri kaybı, iş süreçlerinin durmasına ve büyük finansal kayıplara yol açabilir. Özellikle müşteri verileri, finansal bilgiler ve iş raporları kritik önem taşır.
• Yasal Zorunluluklar: Bazı sektörlerde veri kaybı, yasal yaptırımlara ve düzenleyici cezalara yol açabilir. Özellikle kişisel verilerin korunması yasaları bu anlamda önemlidir.
• Kişisel Anılar: Fotoğraf ve videolar gibi kişisel anıların kaybolması, telafisi zor duygusal bir kayıptır.
• Rekabet Avantajı: İşletmeler için veriler, rekabet avantajı sağlayan önemli bir varlıktır. Kaybedilen veriler, pazar konumunu etkileyebilir.

Veri kurtarma maliyeti, çeşitli faktörlere bağlı olarak değişir:

• Cihazın Türü ve Kapasitesi: Farklı cihazlar ve veri kapasiteleri, farklı maliyetler doğurabilir.
• Veri Kaybının Nedeni ve Karmaşıklığı: Fiziksel hasar, yazılım hatası veya virüs gibi nedenler, maliyetleri etkileyebilir.
• Kurtarılacak Veri Miktarı: Daha fazla veri, genellikle daha yüksek maliyetler anlamına gelmese de yüksek kapasiteli (10TB, 20TB ve daha fazlası gibi) veri depolama alanlarından veri kurtarmak ve kurtarılan veriyi doğrulama süreci uzun olduğundan maliyetleri etkileyebilir .
• İşlemin Acil Olup Olmadığı: Acil durumlarda maliyetler artabilir.
• Veri Kurtarma Şirketinin Deneyimi ve Teknolojileri: Deneyimli ve ileri teknolojiye sahip şirketler, işletme maliyetlerinin yüksek olması dolayısıyla daha yüksek ücretler talep edebilir.

Veri kurtarma, birçok kişi için karmaşık ve gizemli bir süreçtir. Bu durum, çeşitli yanlış anlamalara ve yanlış bilgilere yol açmaktadır. Veri kurtarma hakkında sıkça yapılan hatalardan bazıları:

• Gerçek: Evet, bazı basit veri kaybı durumlarında kullanıcı dostu yazılımlar işe yarayabilir. Ancak, ciddi hard disk arızaları, karmaşık dosya sistemleri veya virüs bulaşması gibi durumlarda profesyonel ekipman ve yazılımlar gerektiren uzmanlık seviyesinde müdahaleler gerekir.

• Gerçek: Veri kurtarma maliyeti, veri kaybının nedeni, cihazın türü, veri miktarı ve kurtarma işleminin zorluğu gibi faktörlere göre değişir. Ancak, önemli verilerinizin değeri düşünüldüğünde bu yatırım genellikle kendini amorti eder. Örneğin, bir işletme için kritik öneme sahip verilerin kaybolması, çok daha büyük maliyetlere yol açabilir.

• Gerçek: Maalesef, her zaman tüm verileri kurtarmak mümkün değildir. Özellikle fiziksel hasarın çok ciddi olduğu durumlarda veya veriler üzerine yeni veriler yazılmışsa kurtarma şansı azalır. Ancak, profesyonel bir veri kurtarma şirketi, mümkün olan en yüksek başarı oranını elde etmek için elinden geleni yapar.

• Gerçek: Veri kurtarma süresi, veri kaybının nedeni ve veri miktarına göre değişir. Basit silme gibi durumlarda işlem birkaç saat sürebilirken, karmaşık hard disk arızalarında günler veya haftalar sürebilir. Ancak, profesyonel şirketler, işlemi hızlandırmak için özel teknikler ve ekipmanlar kullanır.

• Gerçek: Veri kurtarma, hard disklerin yanı sıra SSD’ler, USB bellekler, hafıza kartları, cep telefonları, tabletler ve hatta bulut depolama sistemleri için de yapılabilir.

• Gerçek: Yanlış müdahaleler, verilerinizi tamamen kaybolmasına neden olabilir. Özellikle fiziksel hasarlı bir diski kendiniz açmaya çalışmak, durumu daha da kötüleştirecektir.

• İşletmeler: Kritik iş verilerini kaybeden tüm işletmeler.
• Bireyler: Önemli fotoğraf, video, belge veya diğer kişisel verilerini kaybeden herkes.
• Fotoğrafçılar ve Video Editörleri: Kamera hafıza kartlarından veya harici disklerden veri kaybedenler.
• Öğrenciler: Tez, proje veya ders notlarını kaybeden öğrenciler.

Veri kurtarma, uzmanlık ve yeterli teknik donanım gerektiren bir süreçtir. Yanlış bilgiler veya müdahaleler, verilerinizi kalıcı olarak kaybetmenize neden olur. Bu nedenle, veri kaybı durumunda bir an önce profesyonel destek almanız önemlidir.

DrDisk Lab olarak, size en iyi veri kurtarma hizmetini sunmak için buradayız. Uzman ekibimiz ve ileri teknolojilerimiz sayesinde, verilerinizi en kısa sürede ve en güvenli şekilde kurtarabiliriz.

Daha fazla bilgi için bizimle iletişime geçebilirsiniz.

Microsoft araştırmacıları, birden fazla ransomware operatörünün, domaine bağlı ESXi hipervizörlerinde tam yönetici izinleri elde etmek için yararlandığı bir güvenlik açığını keşfetti. ESXi hipervizörleri, ağdaki kritik sunucuları içerebilecek sanal makineleri barındırır. Bir ransomware saldırısında, bir ESXi hipervizöründe tam yönetici iznine sahip olmak, tehdit aktörünün dosya sistemini şifreleyebileceği anlamına gelir ve bu, barındırılan sunucuların çalışmasını ve işlev görmesini etkileyebilir. Ayrıca, tehdit aktörünün barındırılan sanal makinelerine erişmesine ve muhtemelen verileri dışarı çıkarmasına veya ağ içinde yatay olarak hareket etmesine olanak tanımaktadır.

CVE-2024-37085 olarak tanımlanan bu güvenlik açığı, üyelerine varsayılan olarak uygun doğrulama olmadan ESXi hipervizörüne tam yönetici erişimi verilen bir etki alanı grubunu içerir. Microsoft, bulguları VMware’e Microsoft Güvenlik Açığı Araştırmaları (MSVR) aracılığıyla koordine edilen güvenlik açığı açıklaması (CVD) yoluyla bildirdi ve VMware bir güvenlik güncellemesi yayınladı. Microsoft, ESXi sunucu yöneticilerine VMware tarafından yayınlanan güncellemeleri uygulamalarını ve blog yazımızda sağladığımız azaltma ve koruma yönergelerini takip etmelerini önerir. Bu sorunu ele almak için VMware’e iş birliği için teşekkür ederiz.

Bu blog yazısı, CVE-2024-37085’in analizini ve Microsoft tarafından güvenlik açığından yararlanarak gerçekleştirilen bir saldırının ayrıntılarını sunmaktadır. Bu araştırmayı, araştırmacılar, satıcılar ve güvenlik topluluğu arasında iş birliğinin önemini vurgulamak amacıyla paylaşıyoruz.

Microsoft güvenlik araştırmacıları, ransomware operatörleri Storm-0506, Storm-1175, Octo Tempest ve Manatee Tempest tarafından birçok saldırıda kullanılan yeni bir sonrası saldırı tekniği tespit etti. Birçok durumda, bu tekniğin kullanımı Akira ve Black Basta fidye yazılımlarının dağıtımına yol açtı. Teknik, aşağıdaki komutları çalıştırmayı ve etki alanında “ESX Admins” adlı bir grup oluşturmayı ve bir kullanıcı eklemeyi içerir:

• net group “ESX Admins” /domain /add
• net group “ESX Admins” username /domain /add

Microsoft araştırmacıları, saldırıları ve tarif edilen davranışı araştırırken, tehdit aktörlerinin bu komutu kullanma amacının, tehdit aktörünün ESXi hipervizöründe tam yönetici erişimine yükseltmesine olanak tanıyan bir güvenlik açığından yararlanmak olduğunu keşfetti. Bu bulgu, bu yılın başlarında VMware’e bir güvenlik açığı bildirimi olarak rapor edildi.

Güvenlik açığının daha fazla analizi, bir Active Directory domaine katılan VMware ESXi hipervizörlerinin, varsayılan olarak “ESX Admins” adlı bir etki alanı grubunun herhangi bir üyesine tam yönetici erişimi verdiğini ortaya çıkardı. Bu grup, Active Directory’de yerleşik bir grup değildir ve varsayılan olarak mevcut değildir. ESXi hipervizörleri, sunucu bir domaine katıldığında böyle bir grubun varlığını doğrulamaz ve yine de bu isimle bir grubun herhangi bir üyesine tam yönetici erişimi sağlar, grup başlangıçta mevcut olmasa bile. Ayrıca, gruptaki üyelik adla belirlenir, güvenlik tanımlayıcısıyla (SID) değil.

Microsoft araştırmacıları bu güvenlik açığından yararlanmanın üç yöntemini belirledi:

• Bu yöntem, yukarıda belirtilen tehdit aktörleri tarafından aktif olarak kullanılmaktadır. Bu yöntemde, “ESX Admins” grubu yoksa, grup oluşturma yeteneğine sahip herhangi bir etki alanı kullanıcısı, böyle bir grup oluşturarak ve kendilerini veya kontrol ettikleri diğer kullanıcıları gruba ekleyerek, domaine bağlı ESXi hipervizörlerinde tam yönetici erişimine yükseltebilir.

• Bu yöntem birincisine benzer, ancak bu durumda tehdit aktörü, bazı rastgele grupları yeniden adlandırma yeteneğine sahip bir kullanıcıya ihtiyaç duyar ve bunlardan birini “ESX Admins” olarak yeniden adlandırır. Daha sonra bir kullanıcı ekleyebilir veya grupta zaten mevcut olan bir kullanıcıyı kullanarak tam yönetici erişimine yükseltebilir. Bu yöntem, Microsoft tarafından vahşi doğada gözlemlenmemiştir.

• Ağ yöneticisi, etki alanındaki herhangi bir grubu ESXi hipervizörü için yönetim grubu olarak atasa bile, “ESX Admins” grubunun üyelerine verilen tam yönetici ayrıcalıkları hemen kaldırılmaz ve tehdit aktörleri bunu hala kötüye kullanabilir. Bu yöntem, Microsoft tarafından vahşi doğada gözlemlenmemiştir. Başarılı bir istismar, ransomware operatörlerinin hipervizörün dosya sistemini şifreleyerek barındırılan sunucuların çalışmasını ve işlev görmesini etkileyebileceği anlamına gelir. Ayrıca, tehdit aktörünün barındırılan sanal makinelerine erişmesine ve muhtemelen verileri dışarı çıkarmasına veya ağ içinde yatay olarak hareket etmesine olanak tanır.

ESXi hipervizörleri hedefleyen ransomware operatörleri;

Son bir yılda, ransomware aktörlerinin birkaç tıklama ile toplu şifreleme etkisini kolaylaştırmak için ESXi hipervizörlerini hedeflediğini gördük, bu da ransomware operatörlerinin hedefledikleri kuruluşlar üzerindeki etkiyi artırmak için sürekli olarak saldırı tekniklerini yenilediğini gösteriyor.

ESXi, birçok kurumsal ağda popüler bir üründür ve son yıllarda ESXi hipervizörlerinin tehdit aktörleri için tercih edilen bir hedef haline geldiğini gözlemledik. Bu hipervizörler, ransomware operatörleri Güvenlik Operasyon Merkezi’nin (SOC) radarında kalmak istiyorsa uygun hedefler olabilir, çünkü:

• Birçok güvenlik ürünü, bir ESXi hipervizörü için sınırlı görünürlük ve korumaya sahiptir.
• Bir ESXi hipervizör dosya sistemini şifrelemek, tek tıklamayla toplu şifreleme sağlar, çünkü barındırılan sanal makineler etkilenir. Bu, ransomware operatörlerine her cihazda yan hareket ve kimlik bilgisi hırsızlığı için daha fazla zaman ve karmaşıklık sağlayabilir. Bu nedenle, birçok ransomware tehdit aktörü Storm-0506, Storm-1175, Octo Tempest, Manatee Tempest ve diğerleri Akira, Black Basta, Babuk, Lockbit ve Kuiper gibi ESXi şifreleyicilerini destekler veya satar (Şekil 1). Microsoft Olay Yanıtı (Microsoft IR) katılımlarının, ESXi hipervizörlerini hedefleyen ve etkileyen olaylar son üç yılda iki katından fazla arttı.

Karanlık webde satılan ESXi yetkisiz kabuğuna ait bir gönderinin ekran görüntüsü Şekil 1. Karanlık webde satılan ESXi yetkisiz kabuğu Storm-0506 Black Basta ransomware dağıtımı Bu yılın başlarında, Kuzey Amerika’da bir mühendislik firması, Storm-0506 tarafından Black Basta ransomware dağıtımı ile etkilendi. Bu saldırı sırasında tehdit aktörü, kuruluş içindeki ESXi hipervizörlerine yükseltilmiş ayrıcalıklar elde etmek için CVE-2024-37085 güvenlik açığını kullandı.

Tehdit aktörü, Qakbot enfeksiyonu yoluyla kuruluşa ilk erişimi elde etti, ardından etkilenen cihazlarda ayrıcalıklarını yükseltmek için bir Windows CLFS güvenlik açığını (CVE-2023-28252) kullandı. Tehdit aktörü daha sonra Cobalt Strike ve Pypykatz (Mimikatz’ın bir Python versiyonu) kullanarak iki etki alanı yöneticisinin kimlik bilgilerini çaldı ve dört etki alanı denetleyicisine yan hareketle ilerledi.

Kompromize edilmiş etki alanı denetleyicilerinde, tehdit aktörü özel araçlar ve bir SystemBC implantı kullanarak kalıcılık mekanizmaları kurdu. Aktör ayrıca, başka bir yan hareket yöntemi olarak birden fazla cihaza Uzaktan Masaüstü Protokolü (RDP) bağlantılarını brute force ile zorlamaya çalıştı ve ardından tekrar Cobalt Strike ve SystemBC kurdu. Tehdit aktörü daha sonra Microsoft Defender Antivirus’ü tespit edilmekten kaçınmak için çeşitli araçlar kullanarak karıştırmaya çalıştı.

Microsoft, tehdit aktörünün etki alanında “ESX Admins” grubunu oluşturduğunu ve yeni bir kullanıcı hesabı eklediğini gözlemledi; bu eylemlerin ardından, Microsoft, bu saldırının ESXi dosya sisteminin şifrelenmesi ve ESXi hipervizöründeki barındırılan sanal makinelerin işlevselliğini kaybetmesiyle sonuçlandığını gözlemledi. Aktör ayrıca, ESXi hipervizöründe barındırılmayan cihazları şifrelemek için PsExec kullanımı da gözlemlendi. Microsoft Defender Antivirus ve Microsoft Defender for Endpoint’deki otomatik saldırı kesintisi, Defender for Endpoint’in birleşik ajanının yüklü olduğu cihazlarda bu şifreleme girişimlerini durdurmayı başardı.

Storm-0506 tarafından bir saldırının başlangıç erişiminden ESXi güvenlik açığının istismarına ve Black Basta ransomwarenın dağıtımına ve ESXi hipervizöründeki sanal makinelerin toplu şifrelenmesine kadar birden fazla kötü niyetli eylemi takip eden saldırı zinciri diyagramı

Şekil 2. Storm-0506 saldırı zinciri

Microsoft, domaine bağlı ESXi hipervizörlerini kullanan kuruluşlara, CVE-2024-37085’i ele almak için VMware tarafından yayınlanan güvenlik güncellemesini uygulamalarını önerir. Aşağıdaki yönergeler, kuruluşların ağlarını saldırılardan korumasına da yardımcı olacaktır:

• Yazılım güncellemelerini yükleyin
• Tüm domaine bağlı ESXi hipervizörlerinde VMware tarafından yayınlanan en son güvenlik güncellemelerini yüklediğinizden emin olun.

Yazılım güncellemelerini yüklemek mümkün değilse, riski azaltmak için aşağıdaki önerileri kullanabilirsiniz:

• Etki alanında “ESX Admins” grubunun var olduğunu doğrulayın ve sertleştirin.
• Bu grubun ESXi hipervizörüne erişimini manuel olarak reddederek ESXi hipervizöründe ayarları değiştirin.

Active Directory ESX yöneticileri grubunun tam yönetici erişimi istenmiyorsa, bu davranışı şu gelişmiş ana bilgisayar ayarını kullanarak devre dışı bırakabilirsiniz:

‘Config.HostAgent.plugins.hostsvc.esxAdminsGroupAutoAdd’.

• Yönetici grubunu ESXi hipervizöründe farklı bir gruba değiştirin.
• Yeni grup adı için XDR/SIEM’de özel tespitler ekleyin.
• ESXi günlüklerini bir SIEM sistemine gönderin ve şüpheli tam yönetici erişimini izleyin.
• Kimlik bilgisi hijyeni
• Farklı güvenlik açığı yöntemlerini kullanmak için tehdit aktörlerinin kuruluşta yüksek ayrıcalıklı bir kullanıcıyı kontrol etmeleri gerekir.

Bu nedenle, kuruluşta diğer etki alanı gruplarını yönetebilecek yüksek ayrıcalıklı hesapları koruduğunuzdan emin olmanız önerilir:

• Tüm hesaplarda çok faktörlü kimlik doğrulamayı (MFA) zorunlu kılın, MFA’dan muaf kullanıcıları kaldırın ve her zaman, her cihazdan, her konumdan kesinlikle MFA isteyin.
• Şifresiz kimlik doğrulama yöntemlerini (örneğin, Windows Hello, FIDO anahtarları veya Microsoft Authenticator) şifresiz destekleyen hesaplar için etkinleştirin. Hala şifre gerektiren hesaplar için, MFA için Microsoft Authenticator gibi kimlik doğrulama uygulamalarını kullanın. Farklı kimlik doğrulama yöntemleri ve özellikleri için bu makaleye başvurun.
• Üretkenlik hesaplarından ayrıcalıklı hesapları izole edin ve ortamın yönetici erişimini koruyun. En iyi uygulamaları anlamak için bu makaleye başvurun.
• Kritik varlıkların durumunu iyileştirin
• Ağdaki kritik varlıklarınızı, örneğin ESXi hipervizörlerini ve vCenter’ları (VMware vSphere ortamlarını kontrol eden merkezi bir platform) belirleyin ve en son güvenlik güncellemeleri, uygun izleme prosedürleri ve yedekleme ve kurtarma planlarıyla korunduklarından emin olun. Daha fazla bilgi için aşağıdaki makaleye başvurun.
• Güvenlik açıklarını belirleyin
• Microsoft Defender portalı aracılığıyla SNMP kullanarak ağ cihazlarının kimlik doğrulamalı taramalarını dağıtın ve ESXi gibi ağ cihazlarındaki güvenlik açıklarını belirleyin ve güvenlik önerileri alın.

Microsoft Defender for Endpoint ESXi güvenlik açıkları ve istismarlarıyla ilişkili tehdit etkinliklerini belirlemek için aşağıdaki uyarılar kullanılabilir:

• ESX Admins grubunda şüpheli değişiklikler
• Şüpheli bir şekilde yeni grup eklendi
• Şüpheli Windows hesap manipülasyonu
• Kompromize edilmiş hesap klavye başında saldırı gerçekleştiriyor

Aşağıdaki uyarılar tehdit etkinliklerini belirlemek için kullanılabilir:

• ESX grubunun şüpheli oluşturulması

Müşteriler, tehdit aktörleri ve ilgili etkinlikler hakkında güncel bilgiler almak için aşağıdaki raporlara başvurabilirler:

• Storm-0506
• Storm-1175
• Octo Tempest
• Manatee Tempest
• Akira
• Black Basta

Ağdaki ilgili etkinlikleri belirlemek için müşteriler aşağıdaki sorguları kullanabilir:

• Kuruluştaki ESXi hipervizörlerini tanımlama:

DeviceInfo
| where OSDistribution =~ “ESXi”
| summarize arg_max(Timestamp, *) by DeviceId 

• Active Directory’de ESX Admins grubu değişikliklerini tanımlama:

IdentityDirectoryEvents
| where Timestamp >= ago(30d)
| where AdditionalFields has (‘esx admins’)

• Microsoft Defender Zafiyet Yönetimi bilgileriyle keşfedilen ESXi’yi değerlendirme:

DeviceInfo
| where OSDistribution =~ “ESXi”
| summarize arg_max(Timestamp, *) by DeviceId
| join kind=inner (DeviceTvmSoftwareVulnerabilities) on DeviceId

DeviceInfo
| where OSDistribution =~ “ESXi”
| summarize arg_max(Timestamp, *) by DeviceId
| join kind=inner (DeviceTvmSecureConfigurationAssessment) on DeviceId

Eski ismiyle Raid forums olarak bilinen ve FBI tarafından yapılan operasyonlar sonucu çökertildikten sonra farklı isimlerde yasadışı faaliyetlerine devam eden illegal paylaşım platformunda, önde gelen teknoloji şirketlerinden Dell’in 49 milyon müşteri kaydını içerdiği iddia edilen bir veri tabanının satıldığı ortaya çıktı. İddia edilen veriler, 2017 ve 2024 yılları arasında Dell’den satın alınan sistemlere ait bilgileri kapsayan kapsamlı bir müşteri bilgileri deposunu içermektedir.

Dell sunucularında kayıtlı güncel bilgiler olduğu iddia edilen veriler, tam adlar, adresler, şehirler, iller, posta kodları, ülkeler, sistemlerin benzersiz 7 haneli servis etiketleri, sistem sevkiyat tarihleri (garanti başlangıcı), garanti planları, seri numaraları (monitörler için), Dell müşteri numaraları ve Dell sipariş numaraları gibi hayati kişisel ve şirket bilgilerini içeriyor. Özellikle, siber saldırgan bu verilerin tek sahibi olduğunu iddia ederek ihlalin ciddiyetinin altını çiziyor.

İddialara göre şaşırtıcı sayıdaki kayıtlar arasında yaklaşık 7 milyon satır bireysel/kişisel satın alımlarla ilgiliyken, 11 milyonu tüketici segmentindeki şirketlere ait. Bunların haricinde kalan ise verilere ilişkin iddialar ise kurumsal, ortak, okul veya tanımlanamayan kuruluşlarla ait olduğu yönündedir . Ayrıca, siber saldırgan veri tabanında en fazla sistemin temsil edildiği ilk beş ülkeyi ABD, Çin, Hindistan, Avustralya ve Kanada şeklinde sıralamaktadır.

Bu veri sızıntısı, Dell müşterilerinin bilgilerinin güvenliği ve gizliliğine ilişkin önemli endişeleri artırmakta ve potansiyel riskleri azaltmak ve daha fazla yetkisiz erişimi önlemek için acil tedbirler alınmasını gündeme getirmektedir.

Dell, 2017 ile 2024 yılları arasında satın alınan sistemlere ait olduğu iddia edilen 49 milyon müşteri kaydını içeren bir veri tabanının tehdit aktörleri tarafından satışa sunulduğu iddiasıyla karşı karşıya. Bu ciddi güvenlik ihlali, müşterilerin kişisel ve şirket bilgilerini büyük bir riske atmaktadır.

Sızdırılan Veriler: İhlal edilen veriler arasında tam adlar, adresler, iletişim bilgileri, sistem bilgileri, garanti detayları ve sipariş numaraları gibi hassas bilgiler bulunmaktadır. Bu bilgiler, kimlik hırsızlığı, dolandırıcılık ve hedefli saldırılar gibi kötü amaçlı faaliyetler için kullanılabilir.

Hedef Kitle: İhlal, hem bireysel müşterileri hem de çeşitli sektörlerden şirketleri etkilemektedir. Özellikle ABD, Çin, Hindistan, Avustralya ve Kanada’daki müşterilerin verilerinin daha fazla risk altında olduğu belirtilmektedir.

Bu olay, veri güvenliğinin önemini bir kez daha gözler önüne sermektedir. Şirketlerin, müşteri verilerini korumak için güçlü güvenlik önlemleri alması ve olası ihlallere karşı hazırlıklı olması gerekmektedir.

• İhlalin kaynağını ve kapsamını belirlemek için kapsamlı bir soruşturma başlatmalı.
• Etkilenen müşterileri derhal bilgilendirmeli ve kimlik hırsızlığına karşı koruma hizmetleri sunmalı.
• Veri güvenliği altyapısını gözden geçirmeli ve gerekli güncellemeleri yapmalı.
• Şeffaf bir iletişim politikası benimseyerek kamuoyunu gelişmelerden haberdar etmeli.

Dell tarafındna yapılması gerekenler bu şekildeyken verileri ihlal edilmiş olabilecek kişi ve kurumlar açısından ise yapılması gerekenleri şu şekilde sıralayabiliriz.

Müşteriler:

• Dell hesaplarının şifrelerini değiştirmeli ve iki faktörlü kimlik doğrulamayı etkinleştirmeli.
• Hesap hareketlerini ve kredi raporlarını yakından takip etmeli.
• Kimlik avı saldırılarına karşı dikkatli olmalı ve şüpheli e-postalara veya bağlantılara tıklamaktan kaçınmalı.
• Gerekirse kimlik hırsızlığına karşı koruma hizmetlerinden yararlanmalı.

Dell’in yaşadığı veri ihlali, Avrupa Birliği Genel Veri Koruma Tüzüğü (GDPR) ve diğer ülkelerdeki genel veri koruma mevzuatı açısından ciddi sonuçlar doğurabilir.

• Veri Sorumlusunun Sorumlulukları: GDPR, veri sorumlularına kişisel verilerin korunması konusunda önemli yükümlülükler getirir. Dell, bu ihlalden etkilenen bireylerin kişisel verilerini işlediği için GDPR kapsamında veri sorumlusu olarak kabul edilir. Bu nedenle, Dell’in veri güvenliği konusunda gerekli tüm teknik ve idari önlemleri aldığını kanıtlaması beklenir.

• İhlal Bildirimi: GDPR, veri ihlallerinin yetkili veri koruma kurumlarına ve etkilenen bireylere bildirilmesini zorunlu kılar. Dell’in, ihlali tespit ettikten sonraki 72 saat içinde ilgili kurumlara bildirim yapması gerekmektedir. Ayrıca, etkilenen bireyleri de makul bir süre içinde bilgilendirmekle yükümlüdür.

• Veri Koruma Etki Değerlendirmesi (DPIA): GDPR, yüksek riskli kişisel veri işleme faaliyetleri için DPIA yapılmasını şart koşar. Dell’in, bu ihlalden önce böyle bir değerlendirme yapıp yapmadığı ve riskleri yeterince değerlendirip değerlendirmediği incelenmelidir.

• İdari Para Cezaları: GDPR, ihlallerin ciddiyetine bağlı olarak veri sorumlularına yüksek idari para cezaları uygulayabilir. Dell’in, bu ihlal nedeniyle GDPR’nin 4. maddesinde belirtilen azami ciro üzerinden %4’e kadar veya 20 milyon Euro’ya kadar para cezasıyla karşı karşıya kalması mümkündür.

• Diğer Ülkelerdeki Mevzuat: GDPR’nin yanı sıra, Dell’in faaliyet gösterdiği diğer ülkelerdeki veri koruma mevzuatı da dikkate alınmalıdır. Bu mevzuatlar, GDPR’den farklı hükümler içerebilir ve farklı yaptırımlar öngörebilir.

• Sınıf Davaları: Etkilenen bireyler, Dell’e karşı toplu tazminat davaları açabilirler. Bu davalar, Dell’in itibarını zedeleyebilir ve maddi kayıplara yol açabilir.

“Apple, silinen fotoğraflar gizlice arşivleniyor mu?” sorusu bu gün sosyal medyada en çok sorulan sorulardan biri oldu. Apple’ın iOS 17.5 güncellemesiyle ortaya çıkan, silinen fotoğrafların geri gelme sorunu, kullanıcıların özel verilerinin gizliliğini tehlikeye atan ciddi bir skandala dönüştü. Bu olay, dijital çağda mahremiyet kavramının güvenliğini sorgulatıyor.

Etki Alanı: Yüzlerce iPhone kullanıcısının yıllar önce sildiği fotoğrafların, arama kayıtlarının, mesajların ve daha bir çok şeyin güncelleme sonrası cihazlarına geri döndüğünü fark etmesi, sorunun geniş bir kullanıcı kitlesini etkilediğini gösteriyor.

Gizlilik İhlali: Kullanıcıların bilgisi ve izni olmadan fotoğraflarının saklanması, açık bir gizlilik ihlalidir. Apple’ın bu tür bir uygulamaya imza atması, etik açıdan sorgulanabilir ve kullanıcıların güvenini zedelemektedir.

Veri Güvenliği Sorunları: Silinen fotoğrafların gizlice arşivlenmesi, veri güvenliği açısından da endişe vericidir. Bu fotoğraflar siber saldırılara veya yetkisiz erişimlere maruz kalabilir, bu da kullanıcıların mahremiyetini daha da riske atabilir. Apple’ın bu uygulamayı neden gerçekleştirdiği tam olarak bilinmiyor. Reklamlar için veri toplama, “dijital hafıza” oluşturma gibi farklı teoriler mevcut. Ancak, Apple’ın bu konuda net bir açıklama yapmaması, gizli bir ajandasının varlığına dair şüpheleri artırıyor.

Öfke ve Endişe: Sosyal medyada Apple’a tepkiler çığ gibi büyüyor. Kullanıcılar, bu gizlilik ihlaline karşı öfkeli ve endişeli. Apple’a olan güveni sarsan bu durum, kullanıcıları rakip markalara yönlendirme potansiyeli taşıyor.

Bazı kullanıcılar, Apple ürünlerini boykot etmeye ve alternatif çözümlere yönelmeye çağrıda bulunuyor. Bu durum, Apple’ın satışlarını ve pazar payını olumsuz etkileyebilir. Bazı kullanıcılar ise, Apple aleyhine yasal işlem başlatmayı değerlendiriyor. Bu durum, Apple’a maddi ve manevi tazminat yükümlülüğü getirebilir.

Apple’ın İtibar Kaybı: Bu skandal, Apple’ın itibarına büyük bir darbe vurabilir ve kullanıcıların markaya olan güvenini zedeleyecektir. Apple, kullanıcıların verilerini korumadaki zafiyeti nedeniyle yasal yaptırımlarla karşı karşıya kalabilir. Bu olay, kullanıcıların veri güvenliği konusunda daha bilinçli olmalarına ve hangi bilgilere izin verdiklerine daha fazla dikkat etmelerine yol açacaktır.

Apple’ın silinen fotoğrafları gizlice arşivleme uygulaması, kullanıcıların mahremiyetini tehdit eden ve dijital çağda güvenlik kavramını sorgulatan bir skandala dönüştü. Apple’ın bu konuda acil bir açıklama yapması ve kullanıcıların endişelerini gidermesi gerekiyor. Aksi takdirde, bu skandal Apple’ın itibarına ve geleceğine büyük zarar verecektir.

Silinen Fotoğrafları Geri Yüklemesi: Apple, kullanıcılarına silinen fotoğrafları geri yüklenebilmesinin arkasında yatan gerçeği ve bu işlemin nasıl gerçekleştiğine dair detaylı bilgi vermesi gerekir.

Dijital mahremiyetin korunmasına yönelik yasal düzenlemeler ve yaptırımlar gözden geçirilmeli ve güçlendirilmelidir.

Bu skandal, dijital çağda mahremiyetin ne kadar önemli olduğunu bir kez daha gösteriyor. Kullanıcıların, verilerini kimin topladığını, nasıl kullandığını ve ne için sakladığını bilme hakkı vardır. Apple ve diğer teknoloji şirketleri, kullanıcıların güvenini yeniden kazanmak için somut adımlar atmak zorundadır.

Broadcom, Fusion Pro ve VmWare Workstation Pro’yu Kişisel Kullanıcılar için Ücretsiz Hale Getirdi! Broadcom, Fusion ve Workstation’ın entegrasyonunu tamamladıklarını ve bu kapsamda önemli değişiklikler yapıldığını duyurdu. En önemli değişikliklerden biri, Fusion Pro ve Workstation Pro’nun iki farklı lisans modeline sahip olması. Artık Pro uygulamalar için Ücretsiz Kişisel Kullanım ve Ücretli Ticari Kullanım aboneliği seçenekleri sunuluyor. Bu sayede, Mac, Windows veya Linux bilgisayarlarında sanal laboratuvar kurmak isteyen bireysel kullanıcılar, yeni indirme portalından en son sürümü ücretsiz olarak indirebilecekler.

Ticari kullanım lisansı gerektiren kullanıcılar için ise ürün grubu teklifleri tek bir SKU (VCF-DH-PRO) haline getirildi.Bu sayede 40’tan fazla SKU ortadan kalkmış ve satın alma ve teklif süreci basitleştirilmiş oldu. Yeni Masaüstü Hypervisor uygulaması aboneliği de herhangi bir Broadcom Advantage iş ortağından temin edilebilecek.

Bu değişiklik, VMware ürünlerini kişisel kullanım için kullanmak isteyenler için harika bir haber. Fusion ve Workstation,yazılım ve IT profesyonelleri tarafından yıllardır kullanılan güçlü sanallaştırma araçlarıdır. Artık bu araçlar, kişisel projeler ve öğrenme amaçlı kullanımlar için de ücretsiz olarak erişilebilir olacak.

Bu değişikliğin, sanallaştırma teknolojisine olan ilgiyi ve benimsenmesini artıracağına inanıyorum. Kişisel kullanıcılar,Fusion ve Workstation ile sanallaştırmanın faydalarını deneyimleme ve bu araçları becerilerini geliştirmek için kullanma şansı yakalayacaklar.

Broadcom’un bu adımı, sanallaştırma alanında önemli bir dönüm noktası olarak değerlendirilebilir. Bu sayede,sanallaştırma teknolojisi daha geniş kitlelere ulaşma ve yaygınlaşma imkanı bulacak.

• Ücretsiz Kişisel Kullanım: Bireysel kullanıcılar, Fusion Pro ve Workstation Pro’yu kişisel projeler ve öğrenme amaçlı kullanımlar için ücretsiz olarak kullanabilecekler.

• Ücretli Ticari Kullanım: Ticari kullanım lisansı gerektiren kullanıcılar, VCF-DH-PRO SKU’yu satın alarak abonelik hizmeti alabilecekler.

• Basitleştirilmiş Satın Alma: Ürün grubu tekliflerinin tek bir SKU haline getirilmesiyle satın alma ve teklif süreci basitleştirildi.

• Artırılmış Erişilebilirlik: Bu değişiklik, sanallaştırma teknolojisine olan ilgiyi ve benimsenmesini artırarak daha geniş kitlelere ulaşmasını sağlayacak.

Broadcom’un bu adımı, sanallaştırma alanında önemli bir gelişme olarak değerlendirilebilir. Bu sayede, sanallaştırma teknolojisi daha fazla kişiye ve kuruluşa fayda sağlayabilecek.

Broadcom ile Fusion ve Workstation entegrasyonunu tamamladıkça, ürün gamımızı ve kullanıcılarımıza sunuş şeklimizi siz değerli kullanıcılarımızla paylaşmak istiyoruz. En önemli değişikliklerden biri masaüstü hypervisor ürünlerimizin lisanslama modelindedir. Bundan böyle, Fusion Pro ve Workstation Pro iki farklı lisans modeline sahip olacaktır.

Pro uygulamalarımız için artık Ücretsiz Kişisel Kullanım veya Ücretli Ticari Kullanım aboneliği sunuyoruz. Kullanıcılar ihtiyaçlarına göre ticari bir aboneliğe gerek duyup duymadıklarına kendileri karar verebilirler. Bu, Mac, Windows veya Linux bilgisayarlarında sanal laboratuvar isteyen bireysel kullanıcıların yeni indirme portalımızdan en son sürümü ücretsiz olarak kaydederek ve indirerek faydalanabilecekleri anlamına gelir.

Portalımıza adresinden ulaşabilirsiniz.

Yeni ticari modelimizde, ürün grubu tekliflerimizi ticari kullanım lisansı gerektiren kullanıcılar için tek bir SKU (VCF-DH-PRO) haline getirdik. Bu basitleştirme, 40’tan fazla diğer SKU’yu ortadan kaldırarak VMware Desktop Hypervisor uygulamaları, Fusion Pro ve Workstation Pro’nun satın alma ve teklif sürecini her zamankinden daha kolay hale getiriyor. Yeni Masaüstü Hypervisor uygulaması aboneliği herhangi bir Broadcom Advantage iş ortağından temin edilebilir.

Topluluk içinde sık sık, Workstation’ın ve daha sonra Fusion’ın son 25 yılda sağladığı muazzam değeri duyuyoruz. Workstation’ın mirası, şirketin şimdiye kadar piyasaya sürdüğü ilk ürün olan “VMware 1.0″a kadar uzanıyor. Bu ürünün piyasaya çıkış tarihi ise tesadüf eseri 15 Mayıs 1999’dur.

Geleceğe baktığımızda, yazılım ve IT profesyonelleri için birçok kariyerin inşasına katkıda bulunan vazgeçilmez ve çok yönlü sanal araç setinde yenilikçi olmaya devam etmekten heyecan duyuyoruzBold

Daha önce dünyada hiçbir Google Cloud müşterisinde yaşanmamış, “türünün tek örneği” olarak nitelendirilebilecek bir yanlış konfigürasyon nedeniyle, finansal hizmet sağlayıcısı UniSuper’a ait özel bulut hesabı silindi. Bu durum, bir hafta boyunca UniSuper fon üyelerinin yarım milyondan fazlasının emeklilik hesaplarına erişememesine yol açtı. Google ve UniSuper bu konuda açıklama yaptı.

Sistemin çevrimdışı kalmasının üzerinden bir haftadan fazla bir süre geçtikten sonra, UniSuper müşterileri için hizmetler restore edilmeye başlandı. Yatırım hesap bakiyeleri geçen haftanın rakamlarını yansıtacak ve UniSuper bunların mümkün olan en kısa sürede güncelleneceğini söyledi.

UniSuper CEO’su Peter Chun, fonun 620.000 üyesine, kesintilerin bir siber saldırının sonucu olmadığını ve kesinti nedeniyle herhangi bir kişisel verinin açığa çıkmadığını açıkladı. Chun, sorunun Google’ın bulut hizmeti olduğunu belirtti.

Chun ve Google Cloud’un global CEO’su Thomas Kurian ortak bir açıklamada bulundu, üyelerden kesintiler nedeniyle özür diledi ve bunun “aşırı derecede sinir bozucu ve hayal kırıklığı yaratan” bir durum olduğunu vurguladı.

Açıklamada, “Google Cloud CEO’su Thomas Kurian, kesintilerin, UniSuper’a ait Özel Bulut hizmetlerinin sağlanması sırasında kasıtlı olmayan yanlış bir konfigürasyonun, UniSuper’a ait Özel Bulut aboneliğinin silinmesine yol açtığı olağandışı olaylar dizisinden kaynaklandığını doğruladı” denildi.

“Bu, küresel çapta Google Cloud’un hiçbir müşterisinde daha önce yaşanmamış, izole bir olaydır. Bu olmamalıydı. Google Cloud, kesintiye neden olan olayları tespit etti ve bunun tekrar yaşanmamasını sağlamak için önlemler aldı.” ifadelerine yer verildi.

“UniSuper, kesintilere ve kayıplara karşı koruma olarak iki ayrı lokasyonda veri yedeklemesi yapmıştı. Ancak UniSuper’a ait Özel Bulut aboneliğinin silinmesi, her iki lokasyondaki verilerin de silinmesine neden oldu.

UniSuper, ek bir hizmet sağlayıcı ile yedek oluşturmuştu. Bu yedekler veri kaybını en aza indirdi ve UniSuper ile Google Cloud’un kurtarma işlemini önemli ölçüde hızlandırdı.”

“Yaklaşık 125 milyar dolarlık fonu yöneten UniSuper, tüm temel sistemlerin kapsamlı bir şekilde kurtarılmasını sağlamak için ekiplerimiz arasında inanılmaz bir odaklanma, çaba ve ortaklık gerektiren Özel Bulut örneğinin geri yüklenmesi süreciyle karşı karşıya kaldı.

UniSuper ve Google Cloud arasındaki özveri ve iş birliği, yüzlerce sanal makine, veritabanı ve uygulamayı içeren Özel Bulut ortamının kapsamlı bir şekilde kurtarılmasına olanak sağladı.”

13 Mayıs Pazartesi günü UniSuper CEO’su Peter Chun’un fon üyelerine gönderdiği mail:

“ Kurtarma Güncellemesi

Üyeler, hesaplarına giriş yapabilir, bakiyelerini görüntüleyebilir, yatırım değişiklikleri talep edebilir, yatırım performansını görüntüleyebilir, çekim talepleri ve daha fazlasını yapabilirler. Emeklilik hesaplayıcılarımızın işlevselliğini hala geri yüklüyoruz, ama bu da yakında geri dönecek.

Lütfen, son sistem kesintimiz nedeniyle henüz işlenmemiş olan işlemleri yansıtmamış olabilir. İşlemleri mümkün olan en kısa sürede işliyoruz ve gecikmeleri en aza indirmek için ek kaynaklar devreye alındı.

Tüm üyelere, özellikle de iletişim merkezimizdeki ekiplere destek sözleri paylaşanlara, kurtarma sürecinde gösterdiğiniz sabır ve anlayış için teşekkür etmek istiyorum.

Şimdi odaklanmamız gereken şey, talepleri işlemek ve mümkün olan en kısa sürede olağan işleyişe geri dönmektir. Bu aşamaya geçerken, üyeler web sitemizden daha fazla güncellemeye erişebilirler.

Sorunsuz İşleyişin Sağlanması

Üyelerimize güvenilir hizmetler sunma sorumluluğumuzu son derece ciddiye alıyoruz.

Üyelerin beklediği gibi istikrarlı, güvenli hizmetlerin sağlanması için kurtarma sürecinde sıkı testler yaptık.

Ekibim, gelecekteki kesinti riskini mümkün olduğunca azaltmak için olayı tam olarak gözden geçiriyor.

Bu olayı değerlendirecek ve üyelerin beklediği ve hak ettiği hizmetleri sunmak için en iyi konumda olacağımızdan emin olacağız.

Yardımcı Olmak İçin Buradayız

İletişim merkezimizdeki ekipler ve Avustralya genelindeki personelimiz yardımcı olmak için buradalar. Herhangi bir sorunuz, endişeniz varsa veya yardıma ihtiyacınız varsa, çekinmeden bize ulaşın.

Üyeler, yaptığımız her şeyin merkezinde yer almaktadır. Üyelerimize olağanüstü emeklilik sonuçları sağlamak için buradayız. Kırk yıldan fazla bir süredir düşük ücretler, güçlü uzun vadeli performans ve yüksek öğrenim ve araştırma sektörüne ve şimdi tüm Avustralyalılara derin bağlantıları olan bir fon olarak hizmet sunuyoruz.

UniSuper üyesi olduğunuz için teşekkür ederim.“

1- Yanlış Konfigürasyon Riskleri ve Önlenmesi:

• Detaylı Denetim ve Test Süreçleri: Yanlış konfigürasyonlar ciddi sonuçlar doğurabilir. Bu nedenle, her değişiklik öncesinde detaylı denetim ve test süreçleri uygulanmalıdır. Konfigürasyon değişikliklerinin her adımı dikkatlice planlanmalı ve potansiyel riskler değerlendirilmelidir.
• Otomatik Kontroller ve Uyarı Sistemleri: Yanlış konfigürasyonların önüne geçmek için otomatik kontrol ve uyarı sistemleri geliştirilmelidir. Bu sistemler, olası hataları önceden tespit ederek müdahale şansı tanır.

2- Veri Yedekleme Stratejilerinin Önemi:

• Çok Katmanlı Yedekleme: Yedekleme stratejileri, sadece farklı coğrafi bölgelerde değil, aynı zamanda farklı hizmet sağlayıcıları üzerinde de olmalıdır. Bu, bir yedekleme yöntemi başarısız olduğunda diğerinin devreye girebilmesini sağlar.
• Düzenli Yedekleme Testleri: Yedekleme sistemlerinin düzenli olarak test edilmesi, gerektiğinde hızlı ve etkili bir şekilde veri kurtarma işlemi yapılabilmesini sağlar. Bu testler, yedeklerin bütünlüğünü ve erişilebilirliğini doğrular.

3- Kurtarma Planları ve Hazırlığı:

• Acil Durum Planları: Şirketler, beklenmedik durumlar için ayrıntılı acil durum planları hazırlamalıdır. Bu planlar, her türlü kesintiye karşı nasıl bir yol izleneceğini açıkça belirtmelidir.
• Kurtarma Ekiplerinin Eğitimi: Kurtarma süreçlerini yönetecek ekiplerin düzenli olarak eğitilmesi ve tatbikatlar yapması, kriz anlarında daha hızlı ve etkili müdahale edilmesini sağlar.

4- İletişim ve Şeffaflık:

• Hızlı ve Şeffaf İletişim: Kriz durumlarında, müşteriler ve paydaşlarla hızlı ve şeffaf bir iletişim kurulmalıdır. Sorunun ne olduğu, nasıl çözüleceği ve ne zaman normale dönüleceği konusunda net bilgiler verilmelidir.
• Müşteri Destek Sistemleri: Kesintiler sırasında müşterilerin destek alabileceği etkili iletişim merkezleri oluşturulmalıdır. Müşterilerin sorularını yanıtlayacak ve endişelerini giderecek yeterli personel bulunmalıdır.

5- İş Birliği ve Ortaklıklar:

• Güçlü İş Birliği: Bu olay, UniSuper ve Google Cloud arasında güçlü bir iş birliği ve koordinasyonun önemini vurgulamaktadır. Ortaklıklar, kriz anlarında daha etkili çözüm üretmeyi sağlar. -** Dış Hizmet Sağlayıcıların Rolü:** Ek hizmet sağlayıcılarla çalışmak, veri kaybını en aza indirgemek ve kurtarma süreçlerini hızlandırmak için kritik öneme sahiptir.

6- Teknoloji ve Güvenlik Yatırımları:

• Güncel Teknolojiler ve Güvenlik Protokolleri: Teknoloji altyapısının güncel tutulması ve güvenlik protokollerinin sürekli olarak yenilenmesi, olası kesintilerin ve güvenlik açıklarının önüne geçer.
• Yapay Zeka ve Makine Öğrenimi Kullanımı: Yanlış konfigürasyonları ve potansiyel tehditleri tespit etmek için yapay zeka ve makine öğrenimi teknolojilerinden yararlanılmalıdır.

7- Uzun Vadeli Stratejiler:

• Stratejik Risk Yönetimi: Şirketler, uzun vadeli stratejik planlamalarında risk yönetimini ön planda tutmalıdır. Olası tüm riskler değerlendirilmeli ve bu risklere karşı önlemler alınmalıdır.
• Stratejik Risk Yönetimi: Şirketler, uzun vadeli stratejik planlamalarında risk yönetimini ön planda tutmalıdır. Olası tüm riskler değerlendirilmeli ve bu risklere karşı önlemler alınmalıdır.

Bu olay, teknoloji ve finans dünyasında risk yönetiminin, veri yedekleme stratejilerinin, acil durum planlarının ve müşteri iletişiminin önemini bir kez daha ortaya koymuştur. Gelecekte benzer durumların yaşanmaması için şirketlerin bu dersleri dikkate alarak daha sağlam ve güvenilir sistemler geliştirmesi gerekmektedir.

Veri, günümüzün en değerli varlıklarından biri haline gelmiştir. Teknolojinin hızla gelişmesiyle birlikte, kişisel verilerin toplanması, işlenmesi ve kullanılması da giderek artmaktadır. Bu durum, veri etiği kavramını gündeme getirmektedir. Veri etiği, verilerin toplanması, saklanması, paylaşılması ve kullanılması süreçlerinde uyulması gereken ahlaki ilkeleri kapsamaktadır.

Veri Etiğinin Önemi

Veri etiği, bireylerin mahremiyetinin korunması, ayrımcılığın önlenmesi, şeffaflığın sağlanması ve hesap verebilirliğin tesis edilmesi gibi temel değerleri içermektedir. Özellikle kişisel verilerin kötüye kullanılması, bireylerin haklarına zarar verebileceği gibi, toplumsal güvenin zedelenmesine de yol açabilir. Bu nedenle, veri etiği ilkelerine uygun hareket etmek, hem bireysel hem de toplumsal fayda sağlamak açısından büyük önem taşımaktadır.

Veri Etiği İlkeleri

Veri etiği alanında kabul görmüş bazı temel ilkeler bulunmaktadır. Bunlar arasında, verilerin hukuka uygun ve adil bir şekilde toplanması, işlenmesi ve saklanması yer almaktadır. Ayrıca, verilerin doğru ve güncel olması, amaç dışı kullanılmaması ve yetkisiz kişilerle paylaşılmaması da önemli etik ilkeler arasındadır. Veri sahiplerinin verileri üzerindeki haklarının korunması ve onlara bilgi verilmesi de veri etiğinin temel taşlarındandır.

Veri Etiği ve Hukuki Düzenlemeler

Veri etiği, sadece ahlaki bir mesele olmanın ötesinde, hukuki düzenlemelerle de desteklenmektedir. Kişisel Verilerin Korunması Kanunu (KVKK), Türkiye’de kişisel verilerin işlenmesine ilişkin temel kuralları belirlemektedir. KVKK, veri sorumlularına veri işleme faaliyetlerinde veri etiği ilkelerine uyma yükümlülüğü getirmektedir. Ayrıca, Avrupa Birliği Genel Veri Koruma Tüzüğü (GDPR) gibi uluslararası düzenlemeler de veri etiği alanında önemli birer referans noktası oluşturmaktadır.

Veri Etiği ve Kurumsal Sorumluluk

Veri etiği, sadece bireyleri değil, kurumları da yakından ilgilendirmektedir. Kurumlar, veri işleme faaliyetlerinde veri etiği ilkelerine uygun hareket etmekten sorumludur. Veri etiği konusunda duyarlı olan kurumlar, hem müşteri memnuniyetini artırmakta hem de itibarlarını güçlendirmektedir. Ayrıca, veri ihlalleri gibi olumsuz durumların önüne geçmek için veri etiği politikaları oluşturmak ve çalışanları bu konuda eğitmek de kurumsal sorumluluk kapsamında değerlendirilmelidir.

Veri Etiği: Geleceğe Yönelik Perspektifler

Veri etiği, hızla gelişen teknolojiyle birlikte sürekli olarak güncellenmesi gereken dinamik bir alandır. Yapay zeka, büyük veri, nesnelerin interneti gibi yeni teknolojilerin yaygınlaşması, veri etiği alanında yeni sorunları ve çözüm arayışlarını beraberinde getirmektedir. Gelecekte, veri etiği konusunda daha kapsamlı ve etkili düzenlemelerin yapılması, veri güvenliğinin sağlanması ve bireylerin haklarının korunması açısından büyük önem taşımaktadır.

Avrupa Birliği’nin kolluk kuvvetleri ajansı olan Europol, Europol Platform for Experts (EPE) portalında veri sızıntısı gerçekleştiğini doğruladı ve tehdit aktörünün “For Official Use Only (FOUO)” yani Resmi Kullanıma Mahsus belgeler ve gizli veriler içeren belgeleri çaldığını iddia etmesinin ardından soruşturma başlattı.

EPE, kolluk kuvvetleri uzmanlarının “suçla ilgili bilgi, en iyi uygulamalar ve kişisel olmayan verileri paylaşmak” için kullandığı bir çevrimiçi platformdur.

Europol, BleepingComputer’a yaptığı açıklamada, “Europol olayın farkındadır ve durumu değerlendirmektedir. İlk adımlar zaten atıldı. Olay, kapalı bir kullanıcı grubu olan Europol Platform for Experts (EPE) ile ilgilidir.” dedi.

“Bu EPE uygulamasında hiçbir operasyonel bilgi işlenmemektedir. Europol’ün çekirdek sistemleri etkilenmedi ve dolayısıyla Europol’den hiçbir operasyonel veri tehlikeye atılmadı.” açıklaması yapıldı.

BleepingComputer ayrıca, veri ihlalinin ne zaman gerçekleştiğini ve tehdit aktörünün iddia ettiği gibi FOUO ve gizli belgelerin çalınıp çalınmadığını sordu, ancak henüz bir cevap alınamadı.

Politico’nun Mart ayında bildirdiği gibi, Europol’ün İcra Direktörü Catherine De Bolle ve diğer üst düzey yetkililerin basılı personel kayıtları da Eylül 2023’ten önce sızdırılmıştı.

18 Eylül tarihli ve dahili bir mesaj panosu sisteminde paylaşılan bir notta, “06.09.2023 tarihinde Europol Müdürlüğü, birkaç Europol personelinin kişisel kağıt dosyalarının kaybolduğu konusunda bilgilendirildi.” ifadeleri yer aldı.

“Europol’ün kolluk kuvveti otoritesi olarak personel üyelerinin kişisel dosyalarının kaybolması ciddi bir güvenlik ve kişisel veri ihlali olayı teşkil etmektedir.” denildi.

Yayınlandığı sırada EPE web sitesi kullanılamıyordu ve bir mesajda hizmet bakımda olduğu için kullanılamadığı belirtildi.

Veri ihlali iddialarının arkasındaki tehdit aktörü olan IntelBroker, dosyaları FOUO olarak tanımlıyor ve gizli veriler içeriyor.

Tehdit aktörü, çalındığı iddia edilen verilerin ittifak çalışanları hakkında bilgiler, FOUO kaynak kodu, PDF’ler ve keşif ve yönergeler için belgeler içerdiğini söylüyor.

Ayrıca, dünyanın dört bir yanından 6.000’den fazla yetkili siber suç uzmanına ev sahipliği yapan ve EPE portalındaki topluluklardan biri olan EC3 SPACE’e (Güvenli Platform Yetkili Siber Suç Uzmanları İçin) erişim sağladıklarını iddia ediyorlar. Bunlar:

• AB Üye Devletlerinin yetkili makamlarından ve AB dışı ülkelerden kolluk kuvvetleri
• Adli makamlar, akademik kurumlar, özel şirketler, hükümet dışı ve uluslararası kuruluşlar
• Europol personeli

IntelBroker ayrıca, AB üye devletleri, Birleşik Krallık, Eurojust ile işbirliği anlaşması olan ülkeler ve Avrupa Kamu Savcılığı (EPPO) dahil olmak üzere 47 ülkeden adli ve kolluk kuvvetleri tarafından kullanılan SIRIUS platformunu hacklediğini iddia ediyor.

SIRIUS, cezai soruşturmalar ve işlemler çerçevesinde sınır ötesi elektronik delillere erişmek için kullanılır.

IntelBroker, EPE’nin çevrimiçi kullanıcı arayüzünün ekran görüntülerini sızdırmanın yanı sıra, iddia edilen 9.128 kayıt içeren bir EC3 SPACE veritabanının küçük bir örneğini de sızdırdı. Örnek, EC3 SPACE topluluğuna erişimi olan kolluk kuvvetleri ajanları ve siber suç uzmanlarının kişisel bilgilerine benziyor.

Tehdit aktörü, bir hacker forumunda Cuma günü yaptığı paylaşımda, “FİYAT: Teklif gönderin. SADECE XMR [Monero kripto para birimi]. Bir temas noktası için forumlarda bana mesaj gönderin. Ödeme gücü kanıtı gereklidir. Sadece itibarlı üyelere satıyorum.” dedi.

Avrupa Birliği’nin kolluk kuvvetleri ajansı olan Europol’ün Europol Platform for Experts (EPE) portalında veri sızıntısı olduğu iddiaları, siber güvenlik dünyasında endişelere yol açtı. Tehdit aktörünün iddialarına göre, sızdırılan bilgiler arasında “For Official Use Only” (FOUO) yani Resmi Kullanıma Mahsus belgeler ve gizli veriler de yer alıyor.

Sızıntının Boyutu ve Etkileri:

• Sızıntının ne zaman gerçekleştiği tam olarak bilinmiyor.
• Tehdit aktörü IntelBroker, EPE’nin kapalı bir kullanıcı grubuna ait olduğunu ve sızdırılan verilerin ittifak çalışanları, FOUO kaynak kodu, keşif ve yönergeler için belgeler ile EC3 SPACE (Güvenli Platform Yetkili Siber Suç Uzmanları İçin) platformuna ait verileri içerdiğini iddia ediyor.
• EC3 SPACE platformu, dünyanın dört bir yanından 6.000’den fazla yetkili siber suç uzmanına ev sahipliği yapıyor.
• Ayrıca, SIRIUS platformunun da (47 ülkeden adli ve kolluk kuvvetleri tarafından kullanılıyor) tehlikeye atıldığı ve sızdırılan bilgiler arasında bu platformdan da veriler olduğu iddiaları mevcut.
• Sızdırılan verilerin içeriği ve kapsamı şu anda tam olarak bilinmiyor.

Europol’ün Tepkisi:

Europol, sızıntıyı doğruladı ve durumu değerlendirdiklerini açıkladı. İlk adımların atıldığını ve sızıntının EPE’nin kapalı bir kullanıcı grubu ile sınırlı olduğunu vurguladılar.

Ancak, sızdırılan verilerin içeriği veya operasyonel verilerin etkilenip etkilenmediği ile ilgili net bir açıklama yapılmadı. Bu durum, sızıntının boyutunun ve potansiyel etkilerinin tam olarak anlaşılamamasına yol açıyor.

Siber Güvenlik Endişeleri:

Bu veri sızıntısı, siber güvenlik açısından ciddi endişelere yol açıyor. Sızdırılan verilerin içeriği ve kapsamı netleşmese de, FOUO belgeler ve gizli bilgilerin tehlikeye atılması, Avrupa’daki siber güvenliği ve ulusal güvenliği önemli ölçüde tehdit ediyor.

Sızdırılan verilerin istismar edilmesi, siber saldırılarda artışa, hassas bilgilerin açığa çıkmasına ve hatta uluslararası ilişkilerin bozulmasına yol açabilir.

Kaynak :

Linux işletim sistemlerinde ağ trafiğini yönetmek ve siber tehditlere karşı koruma sağlamak için IPTABLES’ı kullanarak güvenlik duvarı kuralları yazma adımlarını detaylı bir şekilde ele alıyoruz. Temel ve ileri düzey kural oluşturma, örnek senaryolar, ayarları kaydetme ve ipuçları dahil olmak üzere kapsamlı bilgiler sunmayı amaçlıyoruz.

Güvenlik duvarları, siber saldırılara karşı kritik bir savunma hattı oluşturarak ağ trafiğini filtrelemek ve kontrol etmek için kullanılır. Linux sistemlerinde, IPTABLES, bu amaçla yaygın olarak kullanılan güçlü bir araçtır. Bu yazı, IPTABLES’ı kullanarak temel ve ileri düzey güvenlik duvarı kuralları yazmayı öğrenmenize ve uygulamanıza yardımcı olacaktır.

Her IPTABLES kuralı, aşağıdaki dört temel öğeden oluşur:

1- Komut Seçimi:

• İzin vermek için iptables -A

• Engellemek için iptables -D kullanılır.

2- Zincir (Chain) Belirleme:

• Gelen paketler için INPUT

• Giden paketler için OUTPUT

• Yönlendirilen paketler için FORWARD

3- Kriter Belirleme:

• Örneğin, belirli bir IP adresinden gelen trafik için -s 192.168.1.1

• Belirli bir port için --dport 22

4- Eylem Belirleme:

• Kabul etmek için ACCEPT

• Reddetmek için DROP

• Başka bir zincire yönlendirmek için JUMP

• Belirli Bir IP Adresinden Gelen Trafik İçin Engel:

iptables -A INPUT -s 192.168.1.1 -j DROP

Bu kural, 192.168.1.1 adresinden gelen tüm trafiği engeller.

• Belirli Bir Porta Gelen Trafik İçin İzin:

iptables -A INPUT -p tcp --dport 80 -j ACCEPT

Bu kural, TCP üzerinden port 80’e gelen trafiği kabul eder.

• Tüm Giden Trafik İçin İzin:

iptables -A OUTPUT -j ACCEPT

Bu kural, tüm giden trafiği kabul eder.

1- Tüm Gelen Bağlantıları Reddet:

sudo iptables -P INPUT DROP sudo iptables -P FORWARD DROP

2- HTTP ve HTTPS Portlarına İzin Ver:

sudo iptables -A INPUT -p tcp --dport 80 -j ACCEPT sudo iptables -A INPUT -p tcp --dport 443 -j ACCEPT

3- SSH ve FTP için Belirli IP’lerden Erişime İzin Ver

# SSH için 
sudo iptables -A INPUT -p tcp -s 192.168.1.100 --dport 22 -j ACCEPT
sudo iptables -A INPUT -p tcp -s 10.0.0.5 --dport 22 -j ACCEPT
# FTP için
sudo iptables -A INPUT -p tcp -s 192.168.1.100 --dport 21 -j ACCEPT
sudo iptables -A INPUT -p tcp -s 10.0.0.5 --dport 21 -j ACCEPT

4- Yerel Ağdan Tüm Trafiklere İzin Ver:

sudo iptables -A INPUT -i lo -j ACCEPT
sudo iptables -A INPUT -m conntrack --ctstate ESTABLISHED,RELATED -j ACCEPT

5- Ayarları Kaydet ve Yeniden Başlatma Yönetimi:

sudo iptables-save > /etc/iptables/rules.v4

Bu komut, kuralların yeniden başlatmalarda uygulanmasını sağlar.

6- Spesifik Kurallar Ekleme: Özel durumlar için kurallar ekleyebilirsiniz. Örneğin, belirli bir IP adresinden gelen veya giden trafiğe izin vermek veya engellemek isteyebilirsiniz.

# Belirli bir IP adresinden gelen SSH trafiğine izin ver
sudo iptables -A INPUT -p tcp -s 192.168.1.100 --dport 22 -j ACCEPT

 

# Tüm ICMP (ping) isteklerini reddet
sudo iptables -A INPUT -p icmp -j DROP

7- Lojistik Ayarları Yapma: Yerel ağ trafiklerini kabul etmek ve mevcut bağlantılara izin vermek için:

sudo iptables -A INPUT -i lo -j ACCEPT
sudo iptables -A INPUT -m conntrack --ctstate ESTABLISHED,RELATED -j ACCEPT

8- Kuralları Test Etme: Yeni eklenen kuralların beklenildiği gibi çalıştığından emin olmak için test edin. iptables -L -v komutunu kullanarak mevcut kuralları ve istatistikleri gözden geçirebilirsiniz.

IPTABLES, daha karmaşık ağ filtreleme senaryoları oluşturmak için çeşitli gelişmiş seçenekler sunar:

• Modüller: Paketleri işlemek için ek işlevler sağlayan modülleri yükleyebilirsiniz. Örneğin, nf_nat modülü, NAT (Network Address Translation) gibi gelişmiş yönlendirme teknikleri sağlar.
• Markalama: Paketleri belirli kriterlere göre işaretleyebilir ve daha sonra bu işaretleri filtreleme işleminde kullanabilirsiniz.
• Sınırlı Hız: Belirli kaynaklardan gelen trafiği bant genişliği sınırıyla sınırlayabilirsiniz.

• Beyaz Liste Yaklaşımı: Yalnızca izin verilen trafiği tanımlayın ve varsayılan olarak her şeyi engelleyin.
• En Az Ayrıcalık İlkesini Uygulayın: Gerekenden fazla erişim izni vermeyin.
• Kuralları Düzenli Olarak Güncelleyin: Sisteminizdeki değişikliklere ve yeni tehditlere ayak uydurun.
• Logları İzleyin: Şüpheli etkinlikleri ve potansiyel saldırıları belirlemek için logları inceleyin.
• Test Edin ve Doğrulayın: Herhangi bir kuralı uygulamadan önce test ortamında gerekli testleri uygulayın.

IPTABLES kuralları, sunucunuzun güvenliğini artırırken, belirli kaynaklardan sadece belirli hizmetlere erişim sağlamaya yardımcı olur. Bu kuralları uygulamadan önce, daha fazla bilgi edinmek ve özelleştirilmiş yapılandırmalar için güvenilir çevrimiçi kaynaklara başvurabilirsiniz.

BABARAP RANSOMWARE, son zamanlarda siber suç dünyasında öne çıkan bir ransomware grubudur. Karmaşık şifreleme algoritmaları ve hedef odaklı saldırı stratejileriyle bilinirler. Hızlı bir şekilde tanınırlık kazandılar ve genellikle sunucuları hedef almalarıyla ün kazandılar.

Grup Tipi: Ransomware

Hedef Sistemler: BABARAP RANSOMWARE, özellikle kurumsal sunucuları ve büyük ölçekli işletme ağlarını hedef alır. Sunucular genellikle yüksek değerli veriler barındırdığından, grup bu sistemleri hedeflemektedir.

Hedef Sektörler: Finans, sağlık, teknoloji, e-ticaret ve üretim gibi çeşitli sektörlerde faaliyet gösteren kuruluşları hedef alırlar. Bu sektörler genellikle hassas verilere sahip olduklarından, BABARAP’ın saldırıları büyük zararlara yol açmaktadır.

Etki Alanı: BABARAP ransomware grubu, işletme ağlarını ve sunucuları hedef alarak geniş bir etki alanına saldırı düzenlemektedir. Sunucuların şifrelenmesiyle birlikte, kurbanlar veri kaybı, iş sürekliliği bozulması ve itibar kaybı gibi ciddi sonuçlarla karşı karşıya kalabilirler.

Saldırı Yöntemleri: BABARAP, saldırılarını gerçekleştirmek için çeşitli yöntemler kullanır. Bunlar arasında şunlar yer alır:

• Kimlik avı saldırıları: Kurbanları, hassas bilgileri ele geçirmek için sahte e-postalara veya web sitelerine tıklamaya ikna etmek.
• Zayıflık taramaları: Kurumsal ağlarda zafiyetleri belirlemek ve bunlardan yararlanmak için otomatik tarayıcılar kullanmak.
• Hedefli saldırılar: Belirli kuruluşları veya sektörleri özel olarak hedef almak için istihbarat toplamak ve gelişmiş saldırı teknikleri kullanmak.

Fidye Talepleri: BABARAP, şifrelenmiş verilere erişim karşılığında fidye ödemeleri talep eder. Ancak, fidye ödemek genellikle önerilmeyen bir çözümdür çünkü veri erişimini garanti etmez ve suç faaliyetlerini teşvik edebilir.

Grup Hakkında Bilgiler:

• Hedefler: Kritik altyapıya sahip kurumlar ve kuruluşlar (örneğin hastaneler, bankalar, devlet kurumları)
• Hedef Sistemler: Esxi sunucuları (sanal sunucuları, yedekleme sunucuları ve bulut sunucuları dahil)
• Saldırı Yöntemleri: Bilinen bir zafiyetten yararlanarak sunucuya sızma ve şifreleme yazılımı yükleme
• Motivasyon: Fidye talep etme
• Tehdit Seviyesi: Yüksek

Grubun Saldırı Yöntemleri:

Grup, bilinen bir zafiyetten yararlanarak Esxi sunucularına sızıyor ve ardından şifreleme yazılımı yüklüyor. Bu zafiyet, VMware vCenter Server ve önceki sürümlerini etkileyen CVE-2021-21972 olarak bilinir. Bu zafiyet, saldırganların kimlik doğrulama olmadan sunucuya kök ayrıcalıkları elde etmesine olanak tanımaktadır.

Grubun Motivasyonu: Grubun temel motivasyonu, şifrelenmiş verilere erişim karşılığında fidye talep etmektir. Kurbanlar, verilerini kurtarmak için fidye ödemeye zorlanır.

Tehdit Seviyesi:

Bu grubun saldırıları kritik altyapıya sahip kurumlar ve kuruluşlar için önemli bir tehdit oluşturmaktadır. Sunucuların şifrelenmesi, iş kesintilerine, veri kaybına ve mali kayıplara yol açabilir.

Virüs Notu: “Go to https://getsession.org/; download & install; then add 05c5dbb3e0f6c173dd4ca479587dbeccc1365998ff********************** to your contacts and send a message with this codename —> BABARAP ”

Kendinizi Korumak: BABARAP gibi ransomware gruplarına karşı kendinizi korumak için yapabileceğiniz birkaç şey var:

Kendinizi Korumak İçin İpuçları:

• ESXi sunucularınızı en son sürüme güncelleyin.
• Güçlü parolalar kullanın ve bunları sık sık değiştirin.
• Güvenlik duvarı ve antivirüs yazılımı gibi güvenlik çözümleri kullanmanın yanısıra sıkı güvenlik prosedürlerini işletin.
• Verilerinizi düzenli olarak yedekleyin. Yedeklediğiniz verileri belli periyotlarla kontrol edin ve backuptan dönme senaryolarını işletin.
• Saldırılara karşı tetikte olun ve herhangi bir şüpheli etkinlik belirtisi görürseniz yetkililere bildirin.
• Güçlü parolalar kullanın ve bunları sık sık değiştirin.
• Yazılımlarınızı güncel tutun.
• Güvenlik duvarı ve antivirüs yazılımı gibi güvenlik çözümleri kullanın.
• Çalışanlarınıza siber güvenlik bilinci eğitimi verin.

Saldırıya Uğradıysanız: BABARAP tarafından saldırıya uğradıysanız, aşağıdakileri yapmanız önemlidir:

• Saldırıyı derhal yetkililere bildirin.
• Şifrelenmiş verilerinizin yedeklerini kontrol edin.
• Fidye ödemeyin.
• Uzmanlardan yardım alın.

BABARAP, siber suç dünyasında yeni olan bir gruptur. Karmaşık saldırı teknikleri ve hedef odaklı stratejileri nedeniyle önemli bir tehdit oluşturmaktadırlar. Kendinizi korumak için yukarıdaki adımları takip etmeniz ve saldırıya uğradıysanız doğru adımları atmanız önemlidir.

Digital Forensic, mahkemeler, kolluk kuvvetleri ve adli bilişim uzmanları tarafından kullanılabilecek dijital kanıtların korunması, tanımlanması, çıkarılması ve belgelenmesini sağlayan bir bilim dalıdır. Bu işlemi basit ve kolay hale getirmenize yardımcı olan birçok araç vardır. Bu araçlarla, yasal prosedürler için kullanılabilecek raporlar hazırlanır. Bu yazımızda, popüler özellikleri ile bilinen adli bilişim araçlarının bir listesi bulunmaktadır. Liste hem ücretli hem de ücretsiz yazılımları içerir…

ProDiscover, 2001 yılından beri adli bilişim alanında kullanılan ve uzun bir geçmişe sahip, güçlü bir dijital delil arama ve analiz aracıdır. Özellikle uzaktan kullanım özelliğine sahip ilk adli bilişim araçlarından biri olmasıyla öne çıkan ProDiscover, 70’den fazla ülkede siber suçlarla ilgili yüksek profilli ve karmaşık soruşturmalarda kullanılmıştır

• Disklerde Kapsamlı Arama: ProDiscover, bir diskteki tüm verileri bulmanızı ve analiz etmenizi sağlar. Bu sayede, istenen bilgilere hızlı ve kolay bir şekilde ulaşabilirsiniz.
• Kaliteli Raporlama: ProDiscover, yasal prosedürler için kullanılabilecek yüksek kaliteli raporlar oluşturmanıza yardımcı olur. Bu raporlar, delil bulgularını ve analiz sonuçlarını net ve concise bir şekilde sunar.
• JPEG Dosyalarından EXIF Bilgileri: ProDiscover, JPEG dosyalarından EXIF (Değiştirilebilir Görüntü Dosyası Biçimi) bilgilerini ayıklamanıza olanak tanır. Bu bilgiler, fotoğrafın çekildiği tarih, saat, konum ve kamera ayarları gibi önemli verileri içerir.
• Uzaktan Kullanım: ProDiscover’ın en önemli özelliklerinden biri de uzaktan kullanım özelliğidir. Bu sayede, delil bulunan bilgisayara fiziksel olarak erişmeden de inceleme yapabilirsiniz.
• Kullanıcı Dostu Arayüz: ProDiscover, kullanımı kolay bir arayüze sahiptir. Bu sayede, adli bilişim uzmanı olmasanız bile aracı kolayca kullanabilirsiniz.

ProDiscover, adli bilişim alanında birçok farklı amaç için kullanılabilir. Başlıca kullanım alanları şunlardır:

• Siber Suç Soruşturmaları: ProDiscover, siber suçlarla ilgili soruşturmalarda dijital delilleri bulmak ve analiz etmek için kullanılabilir.
• Veri Kurtarma: ProDiscover, silinmiş veya kaybolmuş verileri kurtarmak için kullanılabilir.
• E-Keşif: ProDiscover, elektronik keşif süreçlerinde ilgili verileri bulmak ve analiz etmek için kullanılabilir.
• Kurumsal Soruşturmalar: ProDiscover, kurumsal ortamda yaşanan suistimalleri ve veri ihlallerini araştırmak için kullanılabilir.

• Güçlü ve kapsamlı bir arama yeteneği
• Yüksek kaliteli raporlama
• JPEG dosyalarından EXIF bilgileri ayıklama
• Uzaktan kullanım özelliği
• Kullanıcı dostu arayüz

• Ücretli bir yazılım olması
• Bazı özel işlevlerin kullanımının karmaşık olabilmesi

Dijital adli bilişim alanında, delillerin toplanması, analizi ve raporlanması için kullanılan iki önemli araç Sleuth Kit ve Autopsy birlikte çalışır. Bu ikili, birbirini tamamlayarak kapsamlı bir adli inceleme süreci yürütmenizi sağlar.

Sleuth Kit:

• İşlev: Sleuth Kit, bir dizi komut satırı araçları ve C kütüphanesinden oluşan bir koleksiyon niteliğindedir.
• Ne Yapar? Disk imajlarını analiz eder ve bu imajlardan dosya kurtarılmasına imkan tanır.
• Arka Planda Çalışır: Sleuth Kit, Autopsy gibi grafiksel arayüzlü araçların ve birçok diğer adli bilişim yazılımının arka planında çalışarak onlara temel fonksiyonlar sağlar.

Autopsy:

• İşlev: Autopsy, Sleuth Kit üzerine inşa edilmiş, kullanımı kolay ve grafiksel bir arayüze sahip bir platformdur.
• Ne Yapar? Sabit diskleri, akıllı telefonları ve diğer dijital cihazları etkili bir şekilde analiz etmenizi sağlar. E-postalar, internet geçmişi, resimler, belgeler gibi çeşitli dijital verileri inceleyebilir ve raporlayabilirsiniz.
• Kullanıcı Dostu: Karmaşık komutlardan ziyade, menüler ve pencereler aracılığıyla sezgisel bir kullanım sunar. Bu sayede, adli bilişim konusunda uzman olmasanız bile Autopsy’yi kullanabilirsiniz.
• Eklenti Mimarisi: Autopsy, geniş bir yelpazede adli eklentileri destekler. Bu eklentiler, belirli dosya formatlarını incelemek, belirli işletim sistemlerinden veri kurtarmak gibi özel işlevler kazandırır.

Sleuth Kit ve Autopsy’nin Birlikte Sağladığı Avantajlar:

• Kapsamlı Analiz: Sleuth Kit’in güçlü alt yapısı ile Autopsy’nin grafiksel arayüzü birleşerek, dijital ortamın derinlemesine incelenmesine olanak tanır.
• Çoklu Platform Desteği: Hem Windows hem de Linux işletim sistemlerinde kullanılabilir.
• Ücretsiz ve Açık Kaynak: Herhangi bir lisans ücreti ödemeden kullanılabilir ve kaynak koduna erişilebilir olması, şeffaflık ve özelleştirme imkanı sağlar.
• Geniş Eklenti Desteği: Farklı dosya formatları ve işletim sistemleri için özelleştirilmiş eklentiler sayesinde inceleyebileceğiniz veri yelpazesi genişler.

Sleuth Kit ve Autopsy’nin Kullanım Alanları:

• Siber Suç Soruşturmaları: Siber suçlarla ilgili soruşturmalarda dijital delilleri toplamak, analiz etmek ve raporlamak için kullanılabilir.
• Veri Kurtarma: Silinmiş veya kaybolmuş verileri kurtarmak için kullanılabilir.
• E-Keşif: Elektronik keşif süreçlerinde ilgili verileri bulmak ve analiz etmek için kullanılabilir.
• Kurumsal Soruşturmalar: Kurumsal ortamda yaşanan suistimalleri ve veri ihlallerini araştırmak için kullanılabilir.

CAINE, adli bilişim uzmanlarının dijital delilleri toplama, analiz etme ve raporlama sürecini kolaylaştıran bir Linux tabanlı işletim sistemidir. “Computer Aided Investigative Environment” (Bilgisayar Destekli Soruşturma Ortamı) kısaltmasını taşıyan CAINE, eksiksiz bir adli ortam sunarak tek bir platformda çeşitli işlemleri gerçekleştirmenize olanak sağlar.

CAINE’nin Önemli Özellikleri:

• Linux Distrosu Temelli: Ubuntu tabanlı bir işletim sistemi olması, kararlılık ve güvenlik sağlarken, aynı zamanda açık kaynaklı olması nedeniyle özelleştirilebilirlik imkanı sunar.
• Modüler Yapı: Farklı yazılım araçlarından oluşan modüler bir yapıya sahiptir. Bu sayede, ihtiyaca göre modülleri ekleyerek veya kaldırarak özelleştirilebilir bir çalışma ortamı oluşturulabilir.
• Silinen Veri Kurtarma: Silinmiş veya biçimlendirilmiş verileri kurtarmak için çeşitli araçlar içerir. Bu sayede, potansiyel olarak kaybolan delillerin kurtarılmasına imkan tanır.
• Çok Alanlı Destek: Ağ adli bilişimi, mobil adli bilişimi ve Windows adli bilişimi gibi farklı alanlarda inceleme yapabilmek için özel araçlar barındırır.
• Kullanıcı Dostu Arayüz: Karmaşık komut satırları yerine, grafiksel bir arayüz sunarak kullanıcılara kolaylık sağlar.
• Ücretsiz ve Açık Kaynak: Herhangi bir lisans ücreti ödemeden kullanılabilir ve kaynak koduna erişilebilir olması, şeffaflık ve özelleştirme imkanı sağlar.

CAINE’nin Kullanım Alanları:

• Siber Suç Soruşturmaları: Siber suçlarla ilgili soruşturmalarda dijital delilleri toplamak, analiz etmek ve raporlamak için kullanılabilir.
• Veri Kurtarma: Silinmiş veya kaybolmuş verileri kurtarmak için kullanılabilir.
• E-Keşif: Elektronik keşif süreçlerinde ilgili verileri bulmak ve analiz etmek için kullanılabilir.
• Kurumsal Soruşturmalar: Kurumsal ortamda yaşanan suistimalleri ve veri ihlallerini araştırmak için kullanılabilir.
• Adli Bilişim Eğitimleri: Kullanıcı dostu arayüzü ve kapsamlı araç seti sayesinde, adli bilişim eğitimlerinde sıklıkla tercih edilir.

CAINE Kimler İçin Uygundur?

• Adli bilişim uzmanları
• Siber güvenlik araştırmacıları
• Veri kurtarma uzmanları
• Kolluk kuvvetleri
• Hukuk birimleri

PALADIN, adli bilişim uzmanlarının dijital delil toplama, canlı inceleme, derinlemesine analiz ve raporlama süreçlerini hızlandıran bir yazılım setidir. Çalıştırılabilir DVD ve USB sürümleri sayesinde fiziksel ortama ihtiyaç duymadan da kullanılabilir olması, PALADIN’ın önemli bir avantajıdır.

PALADIN Temel Özellikleri:

• Çok Yönlü Araç Seti: 100’den fazla araç içeren PALADIN, disk klonlama, dosya kurtarma, internet geçmişi analizi, kayıt defteri incelemesi, bellek analizi gibi geniş bir yelpazede adli işlemleri gerçekleştirmenizi sağlar.
• Hızlı ve Etkili: PALADIN, otomasyon özellikleri sayesinde incelemeleri hızlandırır ve manuel işlemleri en aza indirerek zamandan kazandırır.
• Kategoriye Göre Düzenlenmiş Araçlar: 33’ten fazla kategoriye ayrılmış araçları sayesinde aradığınız aracı kolayca bulabilir ve inceleme sürecini akıcı bir şekilde yürütebilirsiniz.
• Canlı Sistem İncelemesi: Canlı sistemlerde çalışan işlemleri, ağ trafiğini ve bellek dökümlerini inceleyerek potansiyel tehditleri tespit etmenize olanak tanır.
• Çalıştırılabilir DVD ve USB Sürümleri: PALADIN, ayrı bir işletim sistemine ihtiyaç duymadan çalıştırılabilir DVD veya USB sürümleriyle birlikte gelir. Bu sayede, adli incelemeleri herhangi bir bilgisayarda gerçekleştirebilirsiniz.
• Raporlama: PALADIN, inceleme sonuçlarını ayrıntılı raporlar halinde sunarak delilleri net bir şekilde sunmanıza yardımcı olur.

PALADIN Kullanım Alanları:

• Siber Suç Soruşturmaları: Siber suçlarla ilgili soruşturmalarda dijital delilleri toplamak, analiz etmek ve raporlamak için kullanılabilir.
• Veri Kurtarma: Silinmiş veya kaybolmuş verileri kurtarmak için kullanılabilir.
• E-Keşif: Elektronik keşif süreçlerinde ilgili verileri bulmak ve analiz etmek için kullanılabilir.
• Kurumsal Soruşturmalar: Kurumsal ortamda yaşanan suistimalleri ve veri ihlallerini araştırmak için kullanılabilir.
• Dijital Forensics Eğitimleri: PALADIN’ın sunduğu çok yönlü araç seti, adli bilişim eğitimlerinde de sıklıkla kullanılır.

PALADIN Kimler İçin Uygundur?

• Adli bilişim uzmanları
• Siber güvenlik araştırmacıları
• Veri kurtarma uzmanları
• Kolluk kuvvetleri
• Hukuk birimleri

PALADIN Diğer Araçlara Göre Avantajları ve Dezavantajları:

Avantajlar:

• Çok yönlü araç seti sayesinde tek bir platformda birçok işlemi gerçekleştirebilme
• Çalıştırılabilir DVD ve USB sürümleri sayesinde fiziksel ortama ihtiyaç duymadan kullanabilme
• Hızlı ve otomasyon özellikleri sayesinde zamandan kazandırma

Dezavantajlar:

• Ücretli bir yazılım olması
• Bazı karmaşık işlemler için ileri düzey adli bilişim bilgisi gerektirebilme

EnCase, dijital veri inceleme ve analiz alanında adeta bir endüstri standardı haline gelmiş güçlü bir yazılımdır. Guidance Software tarafından geliştirilen EnCase, özellikle delil inceleme ve delillerin birbirleriyle olan ilişkilerini ortaya çıkarma konusunda kendini kanıtlamıştır.

EnCase’in Önemli Özellikleri:

• Kapsamlı Delil İncelemesi: EnCase, sabit diskler, mobil cihazlar, bulut uygulamaları gibi farklı kaynaklardan gelen dijital verileri derinlemesine inceleyebilmenizi sağlar.
• Hızlı Arama ve Tarama: Veriler içerisinde aradığınız kelimeleri, dosya türlerini veya belirli kriterlere uygun bilgileri hızla bulmanıza yardımcı olur.
• Delil Önceliklendirme: Farklı kriterlere göre delilleri önceliklendirebilir ve karmaşık soruşturmalarda öncelikle en önemli delillere odaklanmanızı sağlar.
• Şifreli Delil Açma: EnCase, çeşitli şifreleme yöntemlerini kullanarak şifrelenmiş dosyalara erişmenizi ve içeriklerini incelemenizi sağlar.
• Mobil Cihaz Analizi: Akıllı telefonlar ve tabletler gibi mobil cihazlardan veri toplayabilir ve analiz edebilirsiniz.
• Raporlama: EnCase, inceleme sonuçlarını ayrıntılı ve profesyonel raporlar şeklinde sunmanıza olanak tanır.
• Veri Görselleştirme: Karmaşık ilişkileri ve veriler arasındaki bağlantıları görselleştirerek daha anlaşılır hale getirmenizi sağlar.

EnCase Kullanım Alanları:

• Siber Suç Soruşturmaları: Siber suçlarla ilgili soruşturmalarda dijital delilleri toplamak, analiz etmek ve raporlamak için kullanılabilir.
• Veri Kurtarma: Silinmiş veya kaybolmuş verileri kurtarmak için kullanılabilir.
• E-Keşif: Elektronik keşif süreçlerinde ilgili verileri bulmak ve analiz etmek için kullanılabilir.
• Kurumsal Soruşturmalar: Kurumsal ortamda yaşanan suistimalleri ve veri ihlallerini araştırmak için kullanılabilir.
• Entelektüel Mülkiyet Koruma: Entelektüel mülkiyet haklarının ihlalini araştırmak ve delilleri toplamak için kullanılabilir.

EnCase Kimler İçin Uygundur?

• Adli bilişim uzmanları
• Siber güvenlik araştırmacıları
• Veri kurtarma uzmanları
• Kolluk kuvvetleri
• Hukuk birimleri

EnCase Diğer Araçlara Göre Avantajları ve Dezavantajları:

Avantajlar:

• Dijital veri inceleme ve analiz konusunda endüstri standardı olması
• Kapsamlı veri inceleme yetenekleri
• Hızlı arama, tarama ve önceliklendirme özellikleri
• Şifreli delil açma ve mobil cihaz analizi imkanı
• Profesyonel raporlama ve veri görselleştirme araçları

Dezavantajlar:

• Diğer bazı adli bilişim araçlarına kıyasla daha yüksek maliyetli olması
• Karmaşık işlevlerin kullanımı için ileri düzey bilgi gerektirebilmesi

SANS SIFT, SANS Institute tarafından geliştirilen ve adli bilişim ile olay yeri incelemeleri için kullanılan ücretsiz ve açık kaynaklı bir Linux dağıtımıdır. SIFT, adli bilişim uzmanlarının ihtiyaç duyduğu birçok aracı tek bir platformda bir araya getirerek inceleme sürelerini hızlandırır ve kolaylaştırır.

SANS SIFT’in Önemli Özellikleri:

• Ücretsiz ve Açık Kaynak: Herhangi bir lisans ücreti ödemeden kullanılabilir ve kaynak koduna erişilebilir olması, şeffaflık ve özelleştirme imkanı sağlar.
• 64-bit Sistem Desteği: 64-bit işletim sistemi mimarisini destekleyerek modern bilgisayarların tüm donanım gücünden yararlanmanıza olanak tanır.
• DFIR Paketlerinin Otomatik Güncellemeleri: SIFT, adli bilişim ve olay yeri incelemeleri (DFIR) ile ilgili paketleri otomatik olarak güncel tutar. Bu sayede, her zaman en yeni araçlara ve tekniklere sahip olursunuz.
• Zengin Araç Seti: SANS SIFT, disk klonlama, dosya kurtarma, bellek analizi, ağ adli bilişimi, internet geçmişi analizi gibi birçok farklı adli bilişim aracını içerisinde barındırır.
• Canlı Sistem İncelemesi: SIFT, doğrudan bir CD veya USB sürücüden çalıştırılabilir. Bu sayede, potansiyel delilleri kirletmeden inceleme yapabilirsiniz.

SANS SIFT’in Kullanım Alanları:

• Siber Suç Soruşturmaları: Siber suçlarla ilgili soruşturmalarda dijital delilleri toplamak, analiz etmek ve raporlamak için kullanılabilir.
• Veri Kurtarma: Silinmiş veya kaybolmuş verileri kurtarmak için kullanılabilir.
• E-Keşif: Elektronik keşif süreçlerinde ilgili verileri bulmak ve analiz etmek için kullanılabilir.
• Kurumsal Soruşturmalar: Kurumsal ortamda yaşanan suistimalleri ve veri ihlallerini araştırmak için kullanılabilir.
• Adli Bilişim Eğitimleri: SANS SIFT, ücretsiz ve açık kaynak olması nedeniyle adli bilişim eğitimlerinde sıklıkla tercih edilir.

SANS SIFT Kimler İçin Uygundur?

• Adli bilişim uzmanları
• Siber güvenlik araştırmacıları
• Veri kurtarma uzmanları
• Kolluk kuvvetleri
• Adli bilişim öğrencileri

SANS SIFT’i Diğer Araçlara Göre Avantajları ve Dezavantajları:

Avantajlar:

• Ücretsiz ve açık kaynaklı olması
• Otomatik güncellemeler sayesinde en yeni araçlara erişim
• Çok sayıda adli bilişim aracını tek bir platformda sunması
• Canlı sistem incelemesi imkanı

Dezavantajlar:

• Diğer bazı ticari adli bilişim araçlarına kıyasla daha az sayıda gelişmiş özelliğe sahip olabilmesi
• Belirli işlemler için komut satırını kullanma gerekliliği duyulabilir

FTK Imager, adli bilişim uzmanlarının dijital ortamı güvenli bir şekilde kopyalayarak ve görüntü oluşturarak inceleme süreçlerini başlatan önemli bir araçtır. AccessData tarafından geliştirilen FTK Imager, orijinal kanıtlarda herhangi bir değişiklik yapmadan bit-by-bit kopyalar oluşturarak, delillerin bütünlüğünü korumayı sağlar.

FTK Imager Temel Özellikleri:

• Disk ve Dosya Görüntüleme: FTK Imager, sabit diskler, bölümler, ve hatta tek tek dosyaların bit-by-bit kopyalarını oluşturabilir. Bu kopyalar, orijinal veri kaynağının aynısı niteliğindedir ve adli incelemeler için güvenilir bir temel oluşturur.
• Veri Kaynağı Seçimi: FTK Imager, çeşitli veri kaynaklarından görüntü oluşturabilir. Sabit disklerin yanı sıra, USB bellekler, hafıza kartları ve hatta ağ üzerinden bağlı cihazlardan da görüntü elde edebilirsiniz.
• Olay Yeri Desteği: FTK Imager, olay yerinde delil toplama işlemlerini kolaylaştırır. Taşınabilir olması sayesinde, doğrudan olay yerinde görüntü oluşturma imkanı sağlar.
• Esneklik ve Kontrol: FTK Imager, görüntü oluşturma işlemini özelleştirmenize olanak tanır. Dosya boyutu, piksel boyutu ve veri türü gibi ölçütler belirleyerek, yalnızca ihtiyacınız olan verilerin kopyalanmasını sağlayabilirsiniz.
• Siber Suç Tespiti: FTK Imager, görüntü oluşturma işlemi sırasında siber suçlara dair ipuçlarını tespit eden sihirbaz odaklı bir yaklaşım sunar. Bu sayede, inceleme sürecine yön verebilecek önemli bilgiler elde edebilirsiniz.
• Uyumlu İşletim Sistemleri: FTK Imager, Windows ve Linux işletim sistemlerinde çalışabilir.

FTK Imager Kullanım Alanları:

• Siber Suç Soruşturmaları: Siber suçlarla ilgili soruşturmalarda dijital ortamın güvenli bir şekilde kopyalanarak ve görüntü oluşturularak incelemeye hazırlanması.
• Veri Kurtarma: Silinmiş veya hasar görmüş verilerin kurtarma işlemlerinden önce güvenli bir kopyasının oluşturulması.
• E-Keşif: Elektronik keşif süreçlerinde ilgili verilerin güvenli bir şekilde kopyalanarak incelenmesi.
• Kurumsal Soruşturmalar: Kurumsal ortamda yaşanan suistimalleri ve veri ihlallerini araştırırken dijital ortamın güvenli bir şekilde kopyalanması.

FTK Imager Kimler İçin Uygundur?

• Adli bilişim uzmanları
• Siber güvenlik araştırmacıları
• Veri kurtarma uzmanları
• Kolluk kuvvetleri
• Hukuk birimleri

FTK Imager’ın Diğer Araçlara Göre Avantajları ve Dezavantajları:

Avantajlar:

• Orijinal kanıtlarda değişiklik yapmadan güvenli görüntü oluşturma
• Esneklik ve görüntü oluşturma işlemini özelleştirme imkanı
• Siber suç tespitine yönelik sihirbaz odaklı yaklaşım
• Çeşitli veri kaynaklarından görüntü oluşturma desteği
• Windows ve Linux işletim sistemleri ile uyumluluk

Dezavantajlar:

• Karmaşık görüntü oluşturma işlemleri için ileri düzey bilgi gerektirebilir

Magnet RAM Capture, dijital adli incelemelerde önemli bir yere sahip bir araçtır. RAM (Random Access Memory – Rastgele Erişimli Bellek) üzerinde bulunan, tipik olarak geçici olan verilerin kopyalanmasını sağlar. Bu sayede, bilgisayar kapatıldığında kaybolan ancak inceleme için kritik olabilecek veriler elde edilebilir.

Magnet RAM Capture Öne Çıkan Özellikleri:

• Uçucu Kanıt Yakalama: RAM üzerinde duran ve bilgisayar kapatıldığında silinen verileri yakalayarak, potansiyel olarak kaybolan delilleri kurtarma imkanı sunar.
• Hızlı ve Verimli Çalışma: RAM capture işlemini hızlı bir şekilde gerçekleştirir ve minimal sistem kaynakları kullanarak inceleme sürecini aksatmaz.
• Minimalist Tasarım: Kullanıcı dostu arayüzü sayesinde karmaşık komutlar yerine basit bir şekilde RAM capture işlemini başlatabilirsiniz.
• Esneklik: Farklı segment boyutlarında görüntü oluşturma seçeneği sunarak, yalnızca ihtiyacınız olan verileri yakalamanıza olanak tanır.
• Çoklu Platform Desteği: Windows işletim sisteminin çeşitli versiyonları ile uyumludur.

Magnet RAM Capture Kullanım Alanları:

• Siber Suç Soruşturmaları: Siber suçlarla ilgili soruşturmalarda şüphelinin bilgisayarının RAM’ında bulunan geçici verileri (açık uygulamalar, geçmiş aramalar, şifreler) yakalayarak delil toplamak için kullanılabilir.
• Veri Kurtarma: Silinmiş veya kaybolmuş verilerin kurtarma işlemlerinden önce RAM’ın kopyalanarak, silinen ancak hala RAM üzerinde bulunabilen verilerin kurtarılma ihtimalini artırır.
• Malware Analizi: Kötü amaçlı yazılımların (malware) çalışma şeklini anlamak ve tespit etmek için RAM’ın incelenmesi gerekir. Magnet RAM Capture, bu incelemelerde kritik bir rol oynar.

Magnet RAM Capture Kimler İçin Uygundur?

• Adli bilişim uzmanları
• Siber güvenlik araştırmacıları
• Veri kurtarma uzmanları
• Kolluk kuvvetleri

Magnet RAM Capture Diğer Araçlara Göre Avantajları ve Dezavantajları:

Avantajlar:

• Uçucu verileri yakalayarak potansiyel delil kaybını önler
• Hızlı, verimli ve kullanıcı dostu arayüz
• Esnek görüntü oluşturma seçenekleri
• Ücretsiz olarak kullanılabilir

Dezavantajlar:

• Yalnızca Windows işletim sistemlerini destekler
• Karmaşık soruşturmalarda diğer adli bilişim araçlarıyla birlikte kullanılması daha etkili sonuçlar verebilir

X-Ways Forensics, dijital adli incelemeler için tasarlanmış kapsamlı bir yazılımdır. Hem Windows işletim sistemlerinde hem de özel olarak optimize edilmiş 64-bit versiyonuyla kullanılabilir. X-Ways Forensics, karmaşık soruşturmalarda ihtiyaç duyabileceğiniz birçok özelliği bünyesinde barındırır.

X-Ways Forensics Önemli Özellikleri:

• Disk Kopyalama ve Görüntüleme: X-Ways Forensics, sabit diskler, CD/DVD’ler, USB bellekler ve diğer dijital ortamın güvenli bir şekilde kopyalanmasını ve görüntü oluşturulmasını sağlar.
• Dosya ve Klasör Kurtarma: Silinmiş veya biçimlendirilmiş dosya ve klasörleri kurtarmak için çeşitli teknikler sunar.
• Veri Analizi: X-Ways Forensics, hex editör, dosya ve klasör yapısı görüntüleyici, internet geçmişi analizi gibi birçok araçla verileri derinlemesine incelemenize olanak tanır.
• Veri Arama: X-Ways Forensics, anahtar kelimeler, dosya türleri, tarih aralıkları gibi farklı kriterlere göre veriler içerisinde hızlı bir şekilde arama yapabilmenizi sağlar.
• Karmaşık İşlemler: X-Ways Forensics, veri kurtarma, şifre çözme, veri imhası gibi karmaşık işlemleri de gerçekleştirebilir.
• Raporlama: X-Ways Forensics, inceleme sonuçlarını ayrıntılı raporlar halinde sunarak delilleri net bir şekilde sunmanıza yardımcı olur.

X-Ways Forensics Kullanım Alanları:

• Siber Suç Soruşturmaları: Siber suçlarla ilgili soruşturmalarda dijital delilleri toplamak, analiz etmek ve raporlamak için kullanılabilir.
• Veri Kurtarma: Silinmiş veya kaybolmuş verileri kurtarmak için kullanılabilir.
• E-Keşif: Elektronik keşif süreçlerinde ilgili verileri bulmak ve analiz etmek için kullanılabilir.
• Kurumsal Soruşturmalar: Kurumsal ortamda yaşanan suistimalleri ve veri ihlallerini araştırmak için kullanılabilir.

X-Ways Forensics Kimler İçin Uygundur?

• Adli bilişim uzmanları
• Siber güvenlik araştırmacıları
• Veri kurtarma uzmanları
• Kolluk kuvvetleri
• Hukuk birimleri

X-Ways Forensics Diğer Araçlara Göre Avantajları ve Dezavantajları:

Avantajlar:

• Kapsamlı veri analizi yetenekleri
• Karmaşık işlemleri gerçekleştirebilme
• Hem Windows hem de özel 64-bit versiyon ile platform bağımsızlığı
• Ücretsiz deneme sürümü mevcuttur

Wireshark, dijital dünyanın vazgeçilmez ağ analizi araçlarından biridir. Ücretsiz ve açık kaynaklı olmasıyla öne çıkan Wireshark, ağ trafiğini gerçek zamanlı olarak yakalayıp inceleyerek network sorunlarını gidermede, güvenlik açıklarını tespit etmede ve yazılım geliştirme süreçlerinde size yardımcı olur.

Wireshark Önemli Özellikleri:

• Ağ Trafiği Yakalama: Wireshark, bilgisayarınızın bağlı olduğu ağ üzerinden geçen tüm veri paketlerini yakalayarak analiz etmenizi sağlar. Bu sayede ağdaki veri akışını ayrıntılı bir şekilde görebilirsiniz.
• Protokol Desteği: Wireshark, TCP/IP protokolü başta olmak üzere çok sayıda ağ protokolünü destekler. Yakalanan veri paketlerinin içeriklerini protokol seviyelerine göre ayrıştırarak anlamlı hale getirir.
• Filtreleme: Ağ trafiği genellikle yoğun olur. Wireshark, belirli IP adresleri, port numaraları veya protokollere göre filtreleme yaparak aradığınız spesifik trafiği kolayca bulmanıza yardımcı olur.
• Veri Görselleştirme: Wireshark, yakalanan verileri grafiksel olarak temsil ederek ağ trafiğini görselleştirir. Bu sayede veri akışını ve potansiyel sorunları daha kolay bir şekilde anlayabilirsiniz.
• Paket İnceleme: Wireshark, yakaladığınız veri paketlerinin her birini ayrıntılı bir şekilde incelemenize olanak tanır. Paket başlıklarını, payload’u (faydalı yük) ve diğer bilgileri inceleyerek ağ iletişiminin içeriğini derinlemesine anlayabilirsiniz.

Wireshark Kullanım Alanları:

• Ağ Sorun Giderme: Ağ performans sorunlarını teşhis etmek, bant genişliği kullanımını analiz etmek ve ağ üzerinden taşınan verileri inceleyerek network problemlerini çözmede kullanılır.
• Siber Güvenlik Analizi: Ağ trafiğini izleyerek şüpheli aktiviteleri tespit etmek, güvenlik açıklarını bulmak ve siber saldırıları araştırmak için kullanılır.
• Yazılım Geliştirme: Ağ protokollerini kullanan uygulamaların geliştirilmesi ve test edilmesi aşamasında ağ trafiğini inceleyerek hata ayıklama ve doğrulama yapmak için kullanılır.
• Eğitim: Ağ teknolojileri ve protokolleri hakkında eğitim almak isteyen kişiler, Wireshark’ı kullanarak ağın işleyişini yakından inceleyebilir.

Wireshark Kimler İçin Uygundur?

• Ağ yöneticileri
• Siber güvenlik uzmanları
• Yazılım geliştiriciler
• Ağ öğretim görevlileri ve öğrenciler

Wireshark’ın Diğer Araçlara Göre Avantajları ve Dezavantajları:

Avantajlar:

• Ücretsiz ve açık kaynaklı olması
• Geniş protokol desteği
• Filtreleme ve veri görselleştirme özellikleri sayesinde kolay kullanım
• Çok platformlu olması (Windows, macOS, Linux)

Dezavantajlar:

• Karmaşık ağ trafiğini incelemek için ileri düzey bilgi gerektirebilir
• Ağ trafiğini yakalama yeteneği bilgisayarın ağ kartına bağlıdır

Registry Recon, adli bilişim uzmanlarının bilgisayar kayıt defterlerini kurtarma ve incelemelerinde kullandığı güçlü bir araçtır. Arsenal Recon tarafından geliştirilen Registry Recon, silinmiş veya bozulmuş kayıt defteri verilerini bulup ortaya çıkararak geçmişte bilgisayarın kullanımına dair önemli ipuçları elde etmeyi sağlar.

Registry Recon’ın Öne Çıkan Özellikleri:

• Silinen Veri Kurtarma: Registry Recon, tipik olarak kalıcı olarak silinen kayıt defteri verilerini bile kurtarma potansiyeline sahiptir. Bu sayede, olay yeri incelemelerinde veya veri kurtarma işlemlerinde kritik bilgiler açığa çıkarılabilir.
• Eski Kayıt Defterleri Rekonstrüksiyonu: Registry Recon, geçmişte var olan ancak silinen kayıt defteri yapısını yeniden oluşturarak sistemin geçmişteki durumuna dair bilgi edinmenizi sağlar.
• Ayrıntılı Analiz: Kurtarılan veya var olan kayıt defteri verilerini ayrıntılı bir şekilde inceleyebilirsiniz. Registry Recon, anahtarlar, değerler, zaman damgaları gibi bilgileri analiz ederek anlamlı hale getirir.
• Kullanıcı Aktivitesi Takibi: Registry Recon, geçmişte yüklenen programlar, ziyaret edilen web siteleri, yapılan arama sorguları gibi kullanıcı aktivitelerine dair kayıtları kurtararak dijital olayların zaman çizelgesini oluşturmanıza yardımcı olur.
• Çok Yönlü Destek: Registry Recon, Windows işletim sisteminin farklı versiyonlarından elde edilen kayıt defterlerini kurtarmayı ve analiz etmeyi destekler.

Registry Recon’ın Kullanım Alanları:

• Siber Suç Soruşturmaları: Silinen dosyaları veya geçmiş kullanıcı aktivitelerini açığa çıkararak siber suçluların bıraktığı izleri takip etmede kullanılabilir.
• Veri Kurtarma: Silinmiş veya zarar görmüş kayıt defterlerini kurtararak kaybolan verilerin bulunma ihtimalini artırabilir.
• Kurumsal Soruşturmalar: Şirket bilgisayarlarında yaşanan veri ihlallerini veya suistimalleri araştırırken silinen kayıt defteri verilerini kurtararak delil toplamada kullanılabilir.

Registry Recon Kimler İçin Uygundur?

• Adli bilişim uzmanları
• Veri kurtarma uzmanları
• Siber güvenlik araştırmacıları
• Kolluk kuvvetleri

Registry Recon’ın Diğer Araçlara Göre Avantajları ve Dezavantajları:

Avantajlar:

• Silinen kayıt defteri verilerini kurtarma yeteneği
• Eski kayıt defteri yapısını rekonstrüksiyon imkanı
• Ayrıntılı analiz ve kullanıcı aktivitesi takibi özellikleri
• Farklı Windows versiyonları için destek

Dezavantajlar:

• Ücretli bir yazılım olması
• Karmaşık veri kurtarma işlemleri için ileri düzey bilgi gerektirebilir
• Diğer adli bilişim araçlarıyla birlikte kullanıldığında daha kapsamlı sonuçlar elde edilebilir

Volatility Framework, dijital adli incelemelerde bilgisayarın RAM (Random Access Memory – Rastgele Erişimli Bellek) üzerinde bulunan verileri incelemeye olanak tanıyan güçlü bir araçtır. Bellek, bilgisayar kapatıldığında silinen ancak uçucu veriler içerebilir. Bu veriler, olay yeri incelemelerinde ve siber suç soruşturmalarında kritik deliller barındırabilir.

Volatility Framework Önemli Özellikleri:

• Uçucu Veri Analizi: RAM üzerinde bulunan geçici verileri (açık uygulamalar, geçmiş aramalar, şifreler) analiz ederek, bilgisayar kapatıldığında kaybolan potansiyel delilleri elde etmeyi sağlar.
• Platform Bağımsız Çalışma: Volatility Framework, Python programlama dili ile yazıldığı için farklı işletim sistemlerinde (Windows, Linux, macOS) çalışabilir.
• Çok Yönlü Bellek Profilleri: Farklı işletim sistemleri ve bellek yapıları için çeşitli profiller sunar. Bu sayede, hangi işletim sistemi kullanılmış olursa olsun RAM içeriğini doğru bir şekilde yorumlamanıza olanak tanır.
• Esneklik ve Komut Satırı Arayüzü: Komut satırı arayüzü sayesinde karmaşık işlemleri gerçekleştirmek ve otomasyon scriptleri yazmak için esneklik sağlar.
• Plug-in Desteği: Farklı geliştiriciler tarafından oluşturulan plug-in’ler ile Volatility Framework’ün yeteneklerini genişletebilirsiniz. Bu plug-in’ler sayesinde bellekte bulunan belirli veri türlerini (e-posta, internet geçmişi, sohbet geçmişi) daha kolay bir şekilde analiz edebilirsiniz.

Volatility Framework Kullanım Alanları:

• Siber Suç Soruşturmaları: Siber suçlarla ilgili soruşturmalarda şüphelinin bilgisayarının RAM’ında bulunan geçici verileri inceleyerek delil toplamak için kullanılabilir.
• Malware Analizi: Kötü amaçlı yazılımların (malware) çalışma şeklini anlamak ve tespit etmek için RAM’ın incelenmesi gerekir. Volatility Framework, bu incelemelerde kritik bir rol oynar.
• Veri Kurtarma: Silinmiş veya kaybolmuş verilerin kurtarma işlemlerinden önce RAM’ın kopyalanarak, silinen ancak hala RAM üzerinde bulunabilen verilerin kurtarılma ihtimalini artırır.

Volatility Framework Kimler İçin Uygundur?

• Adli bilişim uzmanları
• Siber güvenlik araştırmacıları
• Veri kurtarma uzmanları
• Kolluk kuvvetleri

Volatility Framework’ün Diğer Araçlara Göre Avantajları ve Dezavantajları:

Avantajlar:

• Ücretsiz ve açık kaynaklı olması
• Platform bağımsız çalışma imkanı
• Çok yönlü bellek profilleri ve esneklik
• Plug-in desteği ile genişletilebilir yetenekler

Dezavantajlar:

• Komut satırı arayüzü yeni başlayanlar için karmaşık olabilir
• Karmaşık incelemeler için ileri düzey bilgi gerektirebilir
• Diğer adli bilişim araçlarıyla birlikte kullanıldığında daha kapsamlı sonuçlar elde edilebilir

e-fense, dijital forensics (adli bilişim) ve incident response (olay yeri inceleme) alanlarında faaliyet gösteren bir firmadır. Kolluk kuvvetleri, siber güvenlik uzmanları ve kurumsal güvenlik ekipleri için kapsamlı yazılım çözümleri sunar. e-fense’nin ürünleri, dijital delillerin toplanması, analizi, raporlanması ve sunulması sürecinde uzmanlara destek olur.

e-fense’nin Önde Gelen Ürünleri:

• Helix3: Windows tabanlı bir adli inceleme platformudur. Disk klonlama, dosya kurtarma, bellek analizi, internet geçmişi incelemesi gibi birçok adli işleve sahiptir.
• Live Response: USB bellekten çalışan canlı sistem inceleme aracıdır. Potansiyel delilleri kirletmeden inceleme imkanı sağlar.
• Aperio: Mobil cihaz forensiği yazılımıdır. Akıllı telefonlar ve tabletlerden veri toplama ve analiz etme yetenekleri sunar.
• Helix3 Enterprise: Kurumsal ihtiyaçlar için tasarlanmış, merkezi yönetim imkanı sunan bir platformdur. E-keşif süreçlerinde de kullanılabilir.

e-fense’nin Sunduğu Avantajlar:

• Kapsamlı Çözümler: Farklı ihtiyaçlara yönelik çeşitli yazılımlar sunarak tek noktadan temin imkanı sağlar.
• Canlı Sistem İncelemesi: Verileri potansiyel kirlenmelerden koruyarak güvenli inceleme ortamı oluşturur.
• Mobil Cihaz Desteği: Akıllı telefon ve tabletlerin giderek artan önemini göz önünde bulundurar dijital incelemelerde mobil cihazları da kapsar.
• Kurumsal Uygunluk: E-keşif gibi yasal süreçleri destekleyen çözümler sunar.

e-fense Kimler İçin Uygun?

• Kolluk kuvvetleri
• Adli bilişim uzmanları
• Siber güvenlik araştırmacıları
• Veri kurtarma uzmanları
• Kurumsal güvenlik ekipleri
• Hukuk birimleri

e-fense Diğer Araçlarla Karşılaştırıldığında

e-fense, EnCase ve X-Ways Forensics gibi ticari adli bilişim yazılımlarının güçlü bir rakibidir. Ancak bazı kullanıcılar için dezavantajlar oluşturabilecek unsurlar şunlar olabilir:

• Fiyat: Ticari yazılımlar genellikle ücretsiz araçlara kıyasla daha yüksek maliyetli olabilir.
• Karmaşıklık: Bazı e-fense ürünleri, yeni başlayanlar için karmaşık görünebilir.

CrowdStrike, siber güvenlik alanında bulut tabanlı uç nokta koruma (endpoint protection) çözümleriyle ön plana çıkan bir Amerikan şirketidir. Uç nokta, ağa bağlı herhangi bir cihazı temsil eder (dizüstü bilgisayarlar, laptoplar, tabletler, akıllı telefonlar, sunucular vb.). CrowdStrike, geleneksel güvenlik yazılımlarının ötesine geçerek siber tehditlerin önlenmesi, tespiti, yanıtlanması ve iyileştirilmesi (EDR – Endpoint Detection and Response) için kapsamlı bir platform sunar.

CrowdStrike Önemli Özellikleri:

• Bulut Tabanlı Mimari: Geleneksel güvenlik yazılımlarının aksine, kurulum ve güncelleme gerektirmeyen bulut tabanlı bir mimariye sahiptir. Bu sayede merkezi yönetim kolaylığı sağlar ve altyapı yükünü azaltır.
• Yapay Zeka Destekli Koruma: CrowdStrike Falcon platformu, yapay zeka (AI) ve makine öğrenmesi (ML) teknolojilerini kullanarak gelişmiş tehdit tespit ve önleme yetenekleri sunar. Bilinen zararlı yazılımları (malware) tespit etmenin yanı sıra sıfırıncı gün (zero-day) saldırıları gibi yeni tehditleri de başarılı bir şekilde bloke edebilir.
• Hızlı Yanıtlama: CrowdStrike, tehditlere gerçek zamanlı olarak yanıt vererek siber saldırıların yayılmasını engeller ve hasarı minimize eder.
• Uç Nokta Kontrolü ve Uygulama Beyaz Listeleme: Uç noktalardaki uygulamaları merkezi olarak kontrol ederek yalnızca izin verilen uygulamaların çalışmasına izin verir. Bu sayede kötü amaçlı yazılımların çalışmasını önler.
• EDR Yetenekleri: CrowdStrike Falcon platformu, uç noktalarda şüpheli aktiviteleri tespit ederek güvenlik uzmanlarının hızlı bir şekilde müdahale etmelerine olanak tanır.

CrowdStrike Kullanım Alanları:

• Siber Saldırı Önleme: İşletmeleri fidye yazılımları, veri hırsızlığı ve diğer siber tehditlere karşı korur.
• Uç Nokta Güvenliği Yönetimi: Uç noktalardaki güvenlik risklerini merkezi olarak yöneterek BT ekiplerinin iş yükünü azaltır.
• Soruşturma ve Yanıtlama: Siber saldırıların araştırılması ve olaylara hızlı bir şekilde müdahale edilmesi süreçlerini hızlandırır.
• Uygunluk Yönetimi: PCI DSS, HIPAA gibi uyumluluk standartlarının gereklerini yerine getirmede yardımcı olur.

CrowdStrike Kimler İçin Uygundur?

• Kurumların BT (Bilgi Teknolojileri) ekipleri
• Siber güvenlik uzmanları
• Güvenlik operasyon merkezleri (SOC) ekipleri
• Orta ve büyük ölçekli işletmeler

CrowdStrike Diğer Siber Güvenlik Araçlarına Göre Avantajları ve Dezavantajları:

Avantajlar:

• Bulut tabanlı mimari sayesinde kolay kurulum ve yönetim
• Yapay zeka destekli tehdit tespiti ve önleme
• Hızlı yanıtlama ve etkin koruma
• Uç nokta kontrolü ve uygulama beyaz listeleme
• EDR yetenekleri ile kapsamlı siber güvenlik çözümü

Dezavantajlar:

• Geleneksel güvenlik yazılımlarına kıyasla daha yüksek maliyetli olabilir.
• Bulut tabanlı olması nedeniyle bazı kurumlar verilerin bulutta saklanması konusunda çekince duyabilir.

UFED (Universal Forensic Extraction Device) Cellebrite, mobil cihazlardan dijital veri toplama ve inceleme alanında kullanılan bir araç setidir. Cellebrite, İsrail merkezli bir güvenlik ve bilişim şirketidir ve UFED, mobil cihaz forensiği alanında en çok bilinen çözümlerden biridir.

UFED Cellebrite Önemli Özellikleri:

• Geniş Cihaz Desteği: UFED, akıllı telefonlar, tabletler, drone’lar, akıllı saatler gibi geniş bir yelpazedeki mobil cihazlardan veri toplayabilir. Farklı işletim sistemlerini (iOS, Android) destekler.
• Fiziksel ve Mantıksal Toplama: UFED hem fiziksel hem de mantıksal toplama imkanı sunar. Fiziksel toplama, cihazın dahili depolama alanındaki tüm verilerin bir kopyasını oluştururken, mantıksal toplama ise yalnızca kullanılabilir verileri toplar.
• Silinen Veri Kurtarma: UFED, silinmiş veya biçimlendirilmiş verileri kurtarma potansiyeline sahiptir. Bu sayede olay yeri incelemelerinde veya veri kurtarma işlemlerinde kritik bilgiler elde edilebilir.
• Şifre Analizi: UFED, bazı durumlarda cihazın şifresini kırmaya çalışarak parola korumalı verilere erişim sağlamaya çalışabilir.
• Veri Analizi ve Raporlama: UFED, toplanan verileri detaylı bir şekilde inceleyebileceğiniz ve raporlar oluşturabileceğiniz araçlar sunar.

UFED Cellebrite Kullanım Alanları:

• Siber Suç Soruşturmaları: Mobil cihazlardaki mesajlaşmalar, arama geçmişleri, fotoğraflar, videolar gibi dijital veriler suçluların izlerini takip etmede ve delil toplamada kullanılabilir.
• Veri Kurtarma: Silinen fotoğraflar, mesajlar veya diğer verilerin kurtarılması için kullanılabilir.
• Kurumsal Soruşturmalar: Şirket cihazlarında yaşanan veri ihlallerini veya suistimalleri araştırırken mobil cihazlardan delil toplamada kullanılabilir.

UFED Cellebrite Kimler İçin Uygundur?

• Adli bilişim uzmanları
• Siber güvenlik araştırmacıları
• Veri kurtarma uzmanları
• Kolluk kuvvetleri

UFED Cellebrite Diğer Araçlara Göre Avantajları ve Dezavantajları:

Avantajlar:

• Geniş cihaz desteği ve farklı toplama yöntemleri
• Silinen veri kurtarma potansiyeli
• Şifre analizi seçenekleri
• Veri analizi ve raporlama araçları

Dezavantajlar:

• Yalnızca yetkili kişiler tarafından kullanılabilir
• Karmaşık işlemler için uzmanlık gerektirebilir
• Ücretli bir çözümdür

Oxygen Forensic, mobil cihazlar, bilgisayarlar ve bulut platformlarından kapsamlı dijital veri toplama, analiz ve raporlama imkanı sunan bir yazılımdır. Adli bilişim uzmanları ve kolluk kuvvetleri tarafından, siber suç soruşturmaları, veri kurtarma ve kurumsal soruşturmalarda sıklıkla tercih edilir.

Oxygen Forensic Önemli Özellikleri:

• **Çoklu Cihaz Desteği: **Akıllı telefonlar, tabletler, bilgisayarlar, drone’lar, bulut uygulamaları gibi geniş bir yelpazedeki cihaz ve platformlardan veri toplayabilir. Farklı işletim sistemlerini (iOS, Android, Windows, macOS) destekler.
• Fiziksel, Mantıksal ve Uzaktan Toplama: Farklı senaryolara uygun veri toplama yöntemleri sunar. Fiziksel toplama cihazın dahili depolama alanının kopyasını oluştururken, mantıksal toplama yalnızca kullanılabilir verileri hedefler. Uzaktan toplama ise bulut uygulamalarından veri elde etmeyi sağlar.
• Silinen Veri Kurtarma: Silinmiş veya biçimlendirilmiş verileri kurtarma potansiyeline sahiptir. Bu sayede olay yeri incelemelerinde veya veri kurtarma işlemlerinde kritik bilgiler açığa çıkarılabilir.
• Şifre Kırma ve Parola Analizi: Bazı durumlarda cihazın şifresini kırmaya çalışarak parola korumalı verilere erişim sağlamaya yardımcı olur.
• Kapsamlı Veri Analizi: Metin mesajları, arama geçmişleri, fotoğraflar, videolar, uygulamaların verileri gibi birçok farklı veri türünü inceleyebilir.
• Kişiselleştirilebilir Raporlama: Toplanan verilerden ayrıntılı raporlar oluşturmanıza olanak tanır. Raporlar, hukuki süreçlerde delil olarak kullanıma uygundur.

Oxygen Forensic Kullanım Alanları:

• Siber Suç Soruşturmaları: Mobil cihazlarda ve bulut uygulamalarında bulunan dijital delilleri toplama ve analiz ederek suçluların izlerini takip etmeyi ve delil oluşturmayı sağlar.
• Veri Kurtarma: Silinen verilerin kurtarılması için kullanılabilir.
• Kurumsal Soruşturmalar: Şirket cihazlarında yaşanan veri ihlallerini veya suistimalleri araştırırken mobil cihazlardan ve bulut uygulamalarından delil toplamada kullanılabilir.
• E-Keşif: Hukuki süreçlerde dijital verilerin toplanması, analizi ve sunulması aşamalarında kullanılabilir.

Oxygen Forensic Kimler İçin Uygundur?

• Adli bilişim uzmanları
• Siber güvenlik araştırmacıları
• Veri kurtarma uzmanları
• Kolluk kuvvetleri
• Hukuk birimleri

Oxygen Forensic Diğer Araçlara Göre Avantajları ve Dezavantajları:

Avantajlar:

• Geniş cihaz ve platform desteği
• Farklı veri toplama yöntemleri
• Silinen veri kurtarma ve şifre kırma potansiyeli
• Kapsamlı veri analizi ve kişiselleştirilebilir raporlama
• Kullanıcı dostu arayüz ve arayüz dilleri desteği (Türkçe dahil)

Dezavantajlar:

• Ücretli bir yazılımdır
• Karmaşık işlemler için bazı durumlarda uzmanlık gerekebilir

Cryptolocker, dosyaları şifreleyen ve kurtarma için fidye talep eden son derece tehlikeli bir fidye yazılımıdır. Bu rehber, Cryptolocker virüsüne karşı korunmak ve saldırı durumunda nasıl müdahale edileceğini detaylandırmaktadır.

A. Bilgilendirme ve Farkındalık Artırma:

• Eğitim ve Farkındalık Programları: Kullanıcılara, e-posta dolandırıcılığı, sosyal mühendislik ve zararlı yazılım saldırıları gibi siber tehditler hakkında kapsamlı eğitim verilmelidir. Bu programlar, potansiyel tehditleri nasıl tanıyacakları ve bunlardan nasıl kaçınacakları konusunda kullanıcıları bilinçlendirmeye odaklanmalıdır.
• Gerçekçi Örnekler Kullanımı: Eğitim programları, kullanıcıların günlük hayatta karşılaşabilecekleri gerçekçi siber saldırı örneklerini içermelidir. Bu sayede, tehditlerin somutlaşması ve farkındalık artması sağlanır.
• Güncel Bilgilere Erişim: Kullanıcıların, siber tehditler ve güvenlik güncellemeleri ile ilgili en son bilgilere erişimi olmalıdır. Bu amaçla, şirket içi veya kamuya açık siber güvenlik kaynakları kullanılabilir.

B. Güvenlik Yazılımları ve Güncellemeler:

• Çok Katmanlı Güvenlik: Kapsamlı bir koruma için, antivirüs ve anti-malware yazılımlarının yanı sıra, güvenlik duvarı, uygulama beyaz listeleme ve davranışsal analiz gibi ek güvenlik araçları da kullanılmalıdır.
• Otomatik Güncellemeler: İşletim sistemleri, yazılımlar ve güvenlik araçları için otomatik güncellemeler etkinleştirilmelidir. Bu sayede, yeni ortaya çıkan güvenlik açıklarına karşı hızlı bir şekilde korunma sağlanır.
• Güvenilir Kaynaklardan Yazılım İndirme: Yazılım indirmek için yalnızca resmi ve güvenilir kaynaklar kullanılmalıdır. Bilinmeyen veya şüpheli kaynaklardan indirilen yazılımlar, virüs ve diğer zararlı yazılımlar içerebilir.

C. Yedekleme Stratejileri:

• Düzenli Yedekleme: Tüm önemli dosyaların ve verilerin düzenli olarak yedeklenmesi hayati önem taşır. Yedeklemeler, hem yerel depolama hem de bulut tabanlı çözümler kullanarak yapılmalıdır.
• 3-2-1 Yedekleme Kuralı: Verilerin güvenliğini en üst düzeye çıkarmak için 3-2-1 yedekleme kuralı uygulanmalıdır. Bu kurala göre, verilerin üç kopyası oluşturulmalı, iki kopyası farklı ortamlarda saklanmalı ve bir kopyası ise soğuk yedek (cold backup) olmalıdır.
• Yedekleme Testleri: Yedekleme sistemlerinin düzenli olarak test edilmesi ve yedekten geri dönme işlemlerinin başarıyla gerçekleştirilebildiğinden emin olunmalıdır.

D. Eylem Planı:

• Hızlı Tepki: Bir saldırı tespit edildiğinde, gecikmeden harekete geçilmelidir. Bu, virüsün daha fazla dosyayı şifrelemesini ve daha fazla hasara yol açmasını engeller.
• Bağlantıların Kesilmesi: Saldırıya uğramış sistem, internet ve diğer ağlardan derhal izole edilmelidir. Bu sayede, virüsün diğer cihazlara yayılması önlenir.
• Uzman Yardımı: Virüsün kaldırılması ve dosyaların kurtarılması için bu konuda tecrübeli ve güvenilir bir firmayla iletişime geçilmelidir.

E. İletişim ve Eylem:

• Yetkililerle İşbirliği: Saldırı yetkililere bildirilmeli ve siber suç soruşturmasında yardımcı olunmalıdır.
• Ödeme Yapmaktan Kaçınma: Şifrelenmiş dosyaların kurtarılması için asla fidye ödenmemelidir. Bu durum, saldırganları teşvik eder ve daha fazla saldırıya yol açar.
• Diğer Mağdurlarla İletişim: Saldırıya uğramış diğer kullanıcılarla iletişime geçmek, bilgi ve deneyim paylaşımı yoluyla sorunun daha hızlı çözülmesine yardımcı olabilir.

Ek Öneriler:

• Kişisel Bilgileri Korumak: Kişisel bilgiler ve hassas veriler, şifreli depolama çözümleri kullanılarak korunmalıdır.
• Güvenli Ağ Bağlantıları Kullanmak: Halka açık Wi-Fi ağlarına bağlanırken dikkatli olunmalı ve VPN gibi güvenli bağlantı araçları kullanılmalıdır.
• Yazılım Açıklarını Takip Etmek: Kullanılan yazılımların güncel versiyonlarını kullanmak ve geliştiriciler tarafından yayınlanan güvenlik güncellemelerini takip etmek önemlidir.
• Siber Güvenlik Haberlerine Dikkat Etmek: Siber saldırılar ve yeni tehditler hakkında güncel bilgilere sahip olmak, korunma düzeyini artırır. DrDisk Lab, düzenli olarak bu konuda bilgilendirmeler yapmaktadır.
• Güçlü Parolalar Kullanın ve Bunları Düzenli Değiştirin: Tüm hesaplarınız için güçlü ve benzersiz parolalar kullanın ve bunları en az 6 ayda bir değiştirin. Karmaşık parolalar oluşturmak için büyük ve küçük harfler, rakamlar ve semboller kullanın. Parolalarınızı asla kimseyle paylaşmayın ve parola yöneticisi kullanmayı değerlendirin.

Sosyal Mühendislik Saldırılarından Haberdar Olun: Sosyal mühendislik, insanları kandırarak kişisel bilgilerini veya hassas verilerini ifşa etmelerini sağlayan bir siber saldırı türüdür. Kimlik avı e-postaları, sahte web siteleri ve telefon dolandırıcılıkları yaygın sosyal mühendislik saldırıları arasındadır. Bu tür saldırılara karşı dikkatli olun, şüpheli görünen e-postalara veya web sitelerine tıklamayın ve kişisel bilgilerinizi asla telefonla veya internette kim olduğunuzu bilmediğiniz kişilere vermeyin.

Yazılımlarınızı Güncel Tutun: İşletim sisteminiz, tüm uygulamalarınız ve antivirüs yazılımınız dahil olmak üzere tüm yazılımlarınızı güncel tutun. Yazılım güncellemeleri genellikle güvenlik açıklarını ve hataları düzeltir ve sisteminizi daha az savunmasız hale getirir.

Bilgisayarınızı Gözetimsiz Bırakmayın: Bilgisayarınızı asla gözetimsiz bırakmayın, özellikle de bir oturum açtıysanız. Bilgisayardan ayrılırken her zaman oturumu kapatın ve şifrenizi girmeden asla geri dönmeyin.

Mobil Cihazlarınızı Güvende Tutun: Akıllı telefon ve tabletleriniz gibi mobil cihazlarınızı da fidye yazılımlarına karşı korumayı unutmayın. Bu cihazlar için güvenlik yazılımı yükleyin, güçlü parolalar kullanın ve yalnızca resmi uygulama mağazalarından uygulama indirin.

Şüpheli Aktiviteleri Bildirin: Bilgisayarınızda veya ağınızda şüpheli bir aktivite fark ederseniz, derhal yetkililere bildirin. Bu, virüsün yayılmasını önlemeye ve hızlı müdahale için yardımcı olacaktır.

Verilerinizi Yedekleyin: Verilerinizin düzenli yedeklerini alarak, bir saldırı durumunda dosyalarınızı kurtarma şansınızı artırabilirsiniz. Yedeklerinizi çevrimdışı bir ortamda saklamayı unutmayın, böylece virüs tarafından şifrelenemezler.

Bilinçli Olun ve Kendinizi Güncel Tutun: Siber tehditlerle ilgili en son bilgilerden haberdar olmak için siber güvenlik haberlerini ve bloglarını takip edin. Bu, yeni tehditlere karşı hazırlıklı olmanıza ve kendinizi ve sisteminizi korumak için gerekli adımları atmanıza yardımcı olacaktır.

Cryptolocker virüsü ve diğer fidye yazılımları, günümüzde en yaygın siber tehditlerden biridir. Bu rehberde sunulan önlem ve müdahale planları, kullanıcıların ve kuruluşların bu tehdide karşı korunmasına ve saldırı durumunda hızlı ve etkili bir şekilde müdahale etmesine yardımcı olmayı amaçlamaktadır.

Unutmayın: Siber güvenlik, sürekli bir süreçtir. Bu rehberdeki adımları takip etmek ve güncel kalmak, bilgisayar sistemlerinizi ve verilerinizi korumak için en iyi yoldur.

Giriş:

Bu belge, Socotra Ransomware olarak bilinen fidye yazılımı grubunun faaliyetleri ve teknik özellikleri hakkında bilgi vermektedir. Ayrıca, bu grupla ilişkili riskleri ve korunma yollarını da ele almaktadır.

Grup Hakkında:

• Socotra Ransomware, VMware ESXi sistemlerine sızan ve sanal makinaları şifreleyen bir fidye yazılımı grubudur.
• Grup ayrıca NAS sunucularına ait disklerin RAID yapılarını bozarak ve farklı türde RAID konfigürasyonlarıyla yeniden biçimlendirerek verileri imha etmektedir.
• Grup DrDisk Lab tarafından ilk olarak 21.03.2024’te tespit edildi.
• Darkweb’de ve DeepWeb’de gruba ait bilinen bir site bulunmamaktadır.

Teknik Özellikler:

• Socotra Ransomware’in ESXi sunucularına sızmak için kullandığı vektörler tam olarak bilinmiyor.
• Grubun, sanal makinaları şifrelemek için AES-256 gibi güçlü şifreleme algoritmaları kullandığı tespit edilmiştir.
• Grubun, NAS sunucularına ait disklerin RAID yapılarını bozarak şifreleme sonrasında backuptan sistemin geri yüklenebilmesini engelliyor .

Etki:

• Socotra Ransomware saldırıları, kuruluşların kritik verilerine erişimini kaybetmesine ve ciddi itibar kayıplarına neden olur.
• Bu durum, iş kesintilerine ve finansal kayıplara yol açar.

Korunma Yolları:

• ESXi sunucularınızı güncel tutmak.
• Güçlü parolalar ve iki faktörlü kimlik doğrulama kullanmak.
• Verilerinizin düzenli olarak yedeğini almak.
• Fidye yazılımı saldırılarına karşı bir koruma çözümü kullanmak.

Öneriler:

• Fidye yazılımı saldırılarına karşı korunmak için kuruluşların proaktif bir yaklaşım benimsemesi önemlidir.
• Bu kapsamda, kuruluşlar siber güvenlik farkındalık eğitimleri düzenlemeli, sistemlerini güncel tutmalı ve katı kurallı veri yedekleme prosedürleri uygulamalıdır.
• Ayrıca, fidye yazılımı saldırılarına karşı koruma sağlayan güvenlik çözümleri de kullanılmalı ve bunlar düzenli olarak takip edilmelidir.

Socotra Ransomware saldırısına maruz kalan kuruluşlar, DrDisk Lab’tan teknik destek alabilir. DrDisk Lab, fidye yazılımı saldırılarının çözümü konusunda uzmanlaşmış bir siber güvenlik ve veri kurtarma firmasıdır.

Drdisk Lab’ın sunduğu teknik destek hizmetleri şunlardır:

• Saldırının kapsamının belirlenmesi
• Şifrelenmiş verilerin kurtarılması
• Sistemlerin fidye yazılımından temizlenmesi
• Saldırının tekrarlanmasını önlemek için güvenlik önlemleri önerilmesi

Olay:

2024-03-15 tarihinde OYAK Savunma ve Güvenlik Sistemleri, LockBit fidye grubu tarafından gerçekleştirilen bir ransomware saldırısına maruz kaldı. Saldırıda 720 GB büyüklüğünde veri ele geçirildi.

Özet:

• OYAK Savunma ve Güvenlik Sistemleri, LockBit fidye grubu tarafından ransomware saldırısına uğradı.
• Sızdırılan verilerin büyüklüğü yaklaşık 720 GB.
• Fidyeyi 22 Mart’a kadar ödemezlerse veriler kamuya açık hale getirilecek.
• Sızdırılan veriler arasında bütçeler, bilançolar, sözleşmeler, kimlik fotoğrafları ve daha fazlası var.

Detaylar:

• Saldırı: OYAK Savunma ve Güvenlik Sistemleri, LockBit fidye grubu tarafından ransomware saldırısına uğradı. Saldırıda 720 GB’lık verinin ele geçirildiği belirtildi.
• Fidye: LockBit, fidyenin 22 Mart 2024 tarihine kadar ödenmemesi halinde tüm verileri kamuya açık bir şekilde paylaşacağını bildirdi.
• Sızdırılan Veriler: Sızdırılan veriler arasında 2024 yılı planlanan bütçe, departman bütçeleri, gelir tabloları, bilanço bilgileri, KDV bilgileri, varlık ve kaynak bilgileri, SGK payları, ortak giderler, hak edişler, bütçe tahminleri, sözleşme ve teklif bilgileri, gider bilgileri, proje bilgileri ve kimlik fotoğrafları yer alıyor.

Saldırının Nedenleri ve Sonuçları:

Saldırının nedenleri tam olarak bilinmemekle birlikte, siber güvenlik zaafiyetleri veya insan hatası gibi faktörlerin rol oynamış olması muhtemeldir. Saldırının olası sonuçları arasında veri kaybı, finansal kayıp, itibar zedelenmesi gibi sonuçlar yer almaktadır.

Benzer Saldırıların Önlenmesi için Önlemler:

Benzer saldırıların önlenmesi için aşağıdaki önlemlerin alınması önemlidir:

• Siber güvenlik sistemlerini ve prosedürlerini güncel tutmak
• Çalışanlara siber güvenlik bilinci eğitimi vermek
• Verileri düzenli olarak yedeklemek
• Güçlü şifreleme algoritmaları kullanmak
• Uzaktan erişimi güvenli hale getirmek
• Siber saldırılara karşı hızlı ve etkili bir şekilde müdahale edebilecek bir ekibe sahip olmak

Riskler:

• Sızdırılan verilerin kötüye kullanılması, OYAK’ın ticari itibarını ve mali durumunu zedeleyebilir.
• Veriler arasında hassas bilgiler olduğu için, çalışanlar ve müşteriler kimlik hırsızlığı ve diğer siber saldırılara karşı risk altına girebilir.
• Saldırı, OYAK’ın savunma ve güvenlik sistemlerine olan güveni zedeleyebilir.

LockBit’in Tepkisi:

OpCronos operasyonundan sonra LockBit, saldırılarını daha da yoğunlaştırarak hızlı bir şekilde toparlanmayı başardı. 2024 yılında LockBit, aşağıdakiler de dahil olmak üzere birçok yüksek profilli saldırı gerçekleştirdi:

LockBit’in Başarısının Sebepleri:

LockBit’in OpCronos operasyonundan sonra hızlı bir şekilde toparlanmasının ve saldırılarını daha da yoğunlaştırmasının birkaç sebebi var:

• Modüler Yapı: LockBit, kolayca güncellenebilen ve uyarlanabilen modüler bir yapıya sahiptir. Bu sayede, kolluk kuvvetlerinin operasyonlarına karşı hızlı bir şekilde adapte olabiliyor.
• Farklı Ransomware Türleri: LockBit, farklı işletim sistemlerine ve platformlara yönelik farklı ransomware türleri geliştirmiştir. Bu sayede, geniş bir hedef yelpazesine sahiptir.
• Çift Şantaj: LockBit, verileri şifrelemenin yanı sıra, fidye ödenmezse verileri sızdırmakla da tehdit ediyor. Bu sayede, mağdurları fidye ödemeye zorlayabiliyor.

LockBit’e Karşı Önlemler:

LockBit ve diğer ransomware saldırılarına karşı korunmak için aşağıdaki önlemleri almanız önerilir:

• Güçlü şifreler kullanın ve çok faktörlü kimlik doğrulama kullanın.
• Yazılımlarınızı ve işletim sisteminizi güncel tutun.
• Antivirüs ve güvenlik duvarı gibi güvenlik yazılımı kullanın.
• Verilerinizi düzenli olarak yedekleyin.
• Siber güvenlik farkındalığını artırın ve çalışanlarınıza eğitim verin.

LockBit fidye yazılımı grubu, FBI ve diğer uluslararası kolluk kuvvetleri tarafından gerçekleştirilen bir operasyonda kısa süreliğine zayıflatılmıştı. Fakat grup, beklenmedik bir şekilde hızlı bir toparlanma göstererek saldırılarına aralıksız devam ediyor. Bu durum siber güvenlik uzmanları tarafından endişeyle karşılanıyor.

Operasyonun Etkileri:

• Operasyon sonucunda LockBit’in altyapısı ele geçirilerek fidye yazılımı anahtarları ele geçirildi.
• Bu sayede birçok kurumun şifrelenen sistemleri ücretsiz olarak kurtarıldı.
• LockBit’in liderlerinden biri de Ukrayna’da tutuklandı.

Hızlı Toparlanma:

• LockBit, kısa sürede yeniden faaliyete geçti.
• Grup, saldırılarını daha da çeşitlendirerek ve yeni yöntemler kullanarak devam ediyor.
• LockBit’in arkasındaki suç örgütünün oldukça geniş ve organize olduğu düşünülüyor.

Endişeler:

• LockBit’in hızlı toparlanması, fidye yazılımı ile mücadelenin ne kadar zor olduğunu gösteriyor.
• Bu tür operasyonlar, suçluları caydırmada yetersiz kalabiliyor.
• Siber güvenlik uzmanları, kurumların fidye yazılımı saldırılarına karşı daha proaktif olması gerektiği konusunda uyarıyor.

Tarih: 2024-02-28

Lockbit ransomware grubunun 28 Şubat 2024 tarihinde 3 yeni firmayı daha kurban listesine eklediği tehdit istihbaratı ekiplerimizce tespit edilmiştir.

Saldırıya Uğrayan Firmalar:

• Sundbirsta (sundbirsta.com): İsveç menşeli bir bilişim teknolojileri danışmanlık firması.
• Vertdure (vertdure.com): ABD menşeli bir tarım teknolojisi şirketi.
• BMC-CPA (bmc-cpa.com): ABD menşeli bir muhasebe ve danışmanlık firması.

Saldırı Hakkında Bilgiler:

• Saldırıların detayları ve hangi tür verilerin çalındığı hala tam olarak bilinmemektedir.
• Lockbit, kurbanlardan fidye talep etmektedir ve fidyenin ödenmemesi halinde çalınan verileri yayınlamakla tehdit etmektedir.
• Saldırıların etkisi ve firmaların ne tür adımlar atacağı henüz netlik kazanmadı.

Öneriler:

• Siber saldırılara karşı her zaman tetikte olmak ve gerekli güvenlik önlemlerini almak son derece önemlidir.
• Güçlü ve benzersiz parolalar kullanmak, güncellemeleri takip etmek ve verileri yedeklemek gibi temel adımlar siber güvenliğinizi arttıracaktır.
• Saldırıya uğrayan firmaların gerekli mercilere ve siber güvenlik uzmanlarına başvurması tavsiye edilir.
• LockBit’in yeniden yükselişi, fidye yazılımı tehdidinin hala devam ettiğini ve bu alandaki mücadelede daha fazla çaba gösterilmesi gerektiğini gösteriyor. Kurumlar, bu tür saldırılara karşı gerekli önlemleri alarak risklerini en aza indirmelidir.

Mobil cihazlarda parola koruması, dijital verilerin güvenliğini sağlamak için kullanılan kritik bir güvenlik önlemidir. Matematiksel algoritmalar kullanılarak bilgiler şifrelenir ve bu sayede yetkisiz erişimlere karşı koruma sağlanır. Cep telefonları, kişisel ve hassas bilgilerin bulunduğu cihazlar olduğu için bu verilerin güvenliği büyük önem taşır.

AES, cep telefonları gibi cihazlarda genellikle kullanılan simetrik şifreleme algoritmalarından biridir. Bu algoritma, aynı anahtarın hem şifreleme hem de şifre çözme işlemlerinde kullanılmasına dayanır. Mobil cihazlarda kullanıcı verilerini korumak için genellikle AES algoritması tercih edilir. Veri şifreleme ve çözme süreçlerinde yüksek hız ve güvenlik sağlamak amacıyla kullanıcı tarafından belirlenen bir anahtar kullanılır.

Cep telefonlarındaki şifreleme yöntemleri arasında yer alan bir diğer önemli algoritma ise RSA’dır. RSA, açık anahtarlı bir şifreleme sistemidir. Bu sistemde her kullanıcı, bir çift anahtar oluşturur: açık anahtar (public key) ve özel anahtar (private key). Açık anahtar, veriyi şifrelemek için kullanılırken, özel anahtar, şifrelenmiş veriyi çözmek için kullanılır. Bu yöntem, güvenli iletişimde ve dijital imzalarda sıklıkla kullanılır.

Cep telefonlarındaki şifreleme yöntemleri, kullanıcı verilerini korumak ve yetkisiz erişimlere karşı önlem almak için gelişmiş matematiksel algoritmaları içerir. Simetrik şifreleme (AES) ve açık anahtarlı şifreleme (RSA) gibi yöntemler, kullanıcı bilgilerini güvenli bir şekilde koruyarak gizliliği sağlar. Bu teknik güvenlik önlemleri, dijital dünyada kişisel ve hassas bilgilerin güvenliğini temin etmek adına kritik bir rol oynar.

Cep telefonlarındaki parola ve desen kilidi güvenlik önlemleri, kullanıcıların cihazlarına sadece yetkili erişim sağlamak ve kişisel bilgilerini korumak amacıyla tasarlanmış kritik güvenlik katmanlarıdır. Aşağıda, parola ve desen kilidi güvenliği ile ilgili daha fazla teknik detay verilmiştir:

Güçlü parolalar, cihazlardaki verilerin korunması için temel bir önlemdir. Güvenli parolalar genellikle uzun, karmaşık ve öngörülemeyen karakter dizilerinden oluşur. Bununla birlikte, modern şifreleme algoritmaları, brute-force saldırılarına karşı dirençli olacak şekilde tasarlanmıştır.

Parola Karmaşıklığı: Güçlü parolaların karmaşıklığı, büyük ve küçük harfleri, sayıları ve özel karakterleri içermeleriyle artar. Ayrıca, belirli bir süre sonra değiştirilmesi önerilen parola politikaları da güvenliği sağlamak adına kullanılabilir.

Tek Kullanımlık Parolalar (OTP): Daha ileri seviye güvenlik için, tek kullanımlık parolalar (OTP) kullanılabilir. OTP’ler, her oturumda veya belirli bir süre zarfında geçerli olan tek kullanımlık kodlardır. Bu, hesap güvenliğini artırır, çünkü bir saldırganın geçmişte ele geçirdiği parolayı kullanma olasılığını azaltır.

Desen kilidi, kullanıcıların cihazlarına bir desen çizerek erişim sağlamalarını sağlayan bir güvenlik yöntemidir. Ancak, desen kilidinin karmaşıklığı, güvenlik seviyesini belirleyen önemli bir faktördür.

Karmaşık Desenler: Güvenli desen kilidinin karmaşıklığı, desenin çizildiği noktaların sayısı ve sıralaması ile belirlenir. Karmaşık ve öngörülemeyen desenler, güvenlik seviyesini artırır ve brute-force saldırılarına karşı dayanıklılığı sağlar.

Biyometrik Tanıma: Cihazlardaki gelişmiş güvenlikte biyometrik tanıma sistemleri de kullanılır. Parmak izi ve yüz tanıma gibi özellikler, kullanıcının fiziksel özelliklerini kullanarak güvenlik seviyesini artırır.

Parola atlatma, adli bilişim ve veri kurtarma çalışmalarında kritik rol oynayan teknik bir beceridir. Veri kurtarma laboratuarlarının, adli bilişim laboratuarlarının ve kolluk kuvvetlerinin şifrelenmiş cihazlardaki verilere erişme sürecini içerir. Bu süreç, DrDisk Lab’ın uzman ekipleri tarafından yürütülmektedir ve veri kurtarma ve adli bilişim çalışmalarında kritik öneme sahip bir aşamadır. Aşağıda, parola atlatma ve olay incelemesinin teknik detaylarına dair bilgiler bulunmaktadır:

Parola Atlatma Teknikleri:

1- Brute-Force Saldırıları:

• Gelişmiş brute-force teknikleri, şifre kombinasyonlarını sistematik olarak deneyerek doğru parolayı bulma amacını taşır. Bu süreç, büyük veri setleri üzerinde hızlı ve etkili bir şekilde uygulanabilir.

2- Saldırı Vektörleri ve Zayıflıkların Analizi:

• Şifre kombinasyonlarında kullanılan algoritma ve yöntemleri anlamak, saldırı vektörlerini belirlemek ve zayıflıkları tespit etmek, parola atlatma sürecinde önemli bir adımdır.

3- Kriptoanalitik Yöntemler:

• Kriptoanaliz, şifreleme sistemlerini analiz ederek zayıflıkları tespit etmeye odaklanan bir disiplindir. Bu yöntemler, şifrelenmiş verileri anlamak ve çözmek için kullanılır.

Olay İncelemesindeki Önemi:

1- Dijital Delillerin Elde Edilmesi:

• Parola atlatma, şifrelenmiş cihazlardan elde edilen dijital delillerin çözülmesine olanak tanır. Bu deliller, adli vakaların aydınlatılmasında kritik rol oynar.

2- Vaka Mahallindeki Diğer Delillerle Entegrasyon:

• Elde edilen dijital deliller, vaka mahallindeki diğer fiziksel delillerle entegre edilerek kapsamlı bir olay inceleme sürecine katkı sağlar.

Parola atlatma, adli bilişimdeki gelişmiş tekniklerle birleştiğinde kritik bir öneme sahip olur. Gelişmiş algoritmalar ve teknik yöntemler, cihazlardaki şifreleri çözmek ve kullanıcılara erişimlerini geri kazanmalarına yardımcı olmak için kullanılır. Bu, özellikle cihazlardaki verilerin güvenliğini sağlamak adına önemli bir hizmet sunmaktadır.

rola atlatması veya parola kırma işlemi gerçekleştirilebilen cihazların listesine erişmek için

“.jessy” uzantılı fidye virüsü, “Dharma” ransomware ailesine ait bir fidye yazılım çeşididir. Bir sisteme bulaştıktan sonra dosyaları şifreler, yeniden adlandırır ve iletişim kurabilmek için genellikle her klasörün içerisine bir txt doyası oluşturur. Bulaştığı her cihaz için bir ID oluşturur ve iletişim kurmak, ücret talep etmek vb işlemleri için bu ID numarasını baz alır. Oluşturulan her ID’nin sonuna iletişim için jessymail26@aol.com e-posta adresini ekler. Dosyaları şifreledikten sonra dosya adlarına “.jessy” uzantısını ekleyerek dosyaları yeniden adlandırır. Örneğin, “local.txt” dosyasını “local.txt.id[jessymail26@aol.com].Jessy olarak yeniden adlandırır. Bulaştığı sistemlerde aşağıdakine benzer virüs notu olarak tabir ettiğimiz notu bırakarak iletişime geçmenizi ister;

All your files have been encrypted! All your files have been encrypted due to a security problem with your PC. If you want to restore them, write us to the e-mail jessymail26@aol.com Write this ID in the title of your message XXXXXX In case of no answer in 24 hours write us to theese e-mails:jessymail26@aol.com You have to pay for decryption in Bitcoins. The price depends on how fast you write to us. After payment we will send you the decryption tool that will decrypt all your files. Free decryption as guarantee Before paying you can send us up to 1 file for free decryption. The total size of files must be less than 1Mb (non archived), and files should not contain valuable information. (databases,backups, large excel sheets, etc.) How to obtain Bitcoins The easiest way to buy bitcoins is LocalBitcoins site. You have to register, click ‘Buy bitcoins’, and select the seller by payment method and price. hxxps://localbitcoins[dot]com/buy_bitcoins Also you can find other places to buy Bitcoins and beginners guide here: hxxps://www.coindesk[dot]com/information/how-can-i-buy-bitcoins/ Attention! Do not rename encrypted files. Do not try to decrypt your data using third party software, it may cause permanent data loss. Decryption of your files with the help of third parties may cause increased price (they add their fee to our) or you can become a victim of a scam.

Tüm dosyaları şifreyip uzantılarını değiştirdikten sonra her klasör içerisine “info.txt” veya “info.hta” ismi ile bir bilgilendirme dosyası oluşturur. Bu dosya içerisinde saldırgan ile nasıl iletişime geçeceğiniz, ödemeyi hangi şekilde yapacağınız, şifrelenen dosyalara müdahale etmemeniz gerektiği vb notlar bırakılır. Bırakılan not içerisinde saldırgan ile belirtilen mail adresleri üzerinden iletişime geçilmesi gerektiği, 24 saat içerisinde cevap verilmediği takdirde “TOR BROWSER” aracılığıyla belirtlen link ile iletişime geçilmesini belirten notlar bıraklıyor. İletişime geçtikten sonra, güven sağlamak amacıyla istedikleri miktarda fidyeyi alabilmek için bir kısım dosyayı ücretsiz olarak çözme “hizmeti” veriyor. Unutulmamalıdır sistemlerinize fidye virüsü bulaştırıp sizden ücret talep eden siber korsanlar, ödemeyi aldıktan sonra sizinle iletişimi kesebilirler. Fidye yazılımı geliştiricilerinin ödemeden sonra bile şifre çözme araçları / anahtarları göndermediğini unutmayın. Daha önce yaşanmış bir çok vakada olduğu gibi siber korsanlara güvenen kişiler genellikle dolandırılıyor. Fidye virüsüne maruz kalmadan önce mutlaka çalışan bir yedeğiniz olduğundan emin olun. Fidye virüsü saldırılarından minimum düzeyde etkilenmenin yolu her zaman çalışan ve güncel bir yedeğinizin olmasıdır.

Şayet “.jessy” uzantılı fidye virüsü saldırısına maruz kaldıysanız bu konuda destek isteyebilir ve dosyalarınızın ücretsiz olarak analizini talep edebilirsiniz.

IGVM fidye virüsü, STOP/DJVU fidye virüsü ailesine ait, belgelerinizi şifreleyen ve daha sonra bunları çözmek için ödeme yapmaya zorlayan bir virüs çeşididir. Djvu/STOP fidye yazılımı ailesi, ilk olarak virüs analisti (Malware Hunter) Michael Gillespie tarafından keşfedildi).

Igvm virüsü temelde diğer DJVU ailesine benzer (Lmas, Urnb, Ytbn, wrui, pcqq ) karakteristik bir yapıya sahiptir. Bu virüs, bilinen tüm yaygın dosya çeşitlerini şifreler ve tüm dosyalara özel “.igvm” uzantısını ekler. Örneğin, “1.jpg” dosyası “1.jpg.igvm “olarak değiştirir. Şifreleme başarıyla tamamlandıktan sonra, iletişim kurmak ve fidye talep etmek için her klasörün içerisine “_readme.txt” adında bir txt dosyası ekler.

Adı: IGVM

Fidye yazılımı ailesi: DJVU/STOP

Uzantısı: .igvm

Fidye yazılımı notu: _readme.txt

Talep Edilen Fidye: 490$ – 980$ (Bitcoin cinsinden)

Iletişim: helpteam@mail.ch, helpmanager@airmail.cc

AV Algılaması: TROJAN-RANSOM.WİN32.CRYPTODEF

Belirtileri:

Dosyalarınızın çoğunu (fotoğraflar, videolar, belgeler) şifreler ve “.igvm” uzantısı ekler; Kurbanın verileri geri yükleme girişimlerini imkansız hale getirmek için gölge kopyalarını silebilir; Güvenlikle ilgili belirli sitelere erişimi engellemek için HOSTS dosyasına domain listesini ekler.

DJVU/STOP virüsü tarafından kullanılan şifreleme algoritması AES-256’dır. Yani, belgeleriniz tamamen benzersiz olan çevrimiçi bir şifre çözme anahtarıyla şifrelendiyse, maalesef ki, benzersiz anahtar olmadan dosyaların şifresini çözmek imkansızdır. Igvm çevrimiçi modda çalıştıysa, AES-256 anahtarına erişmeniz imkansızdır. igvm virüsünün çözme anahtarları siber korsanların sahip olduğu uzak bir sunucuda saklanır.

Şifre çözme anahtarını almak için 980$ fidye talep edilmektedir. Ödeme ayrıntılarını öğrenmek için, kurbanların e-posta yoluyla iletişime geçmeleri için yönlendirilir (helpteam@mail.ch).

Igvm fidye virüsüne ait örnek virüs notu aşağıdaki gibidir:

ATTENTION!

Don't worry, you can return all your files!

All your files like photos, databases, documents and other important are encrypted with strongest encryption and unique key.
The only method of recovering files is to purchase decrypt tool and unique key for you.
This software will decrypt all your encrypted files.

What guarantees you have?

You can send one of your encrypted file from your PC and we decrypt it for free.
But we can decrypt only 1 file for free. File must not contain valuable information.

You can get and look video overview decrypt tool:

https://we.tl/t-WJa63R98Ku

Price of private key and decrypt software is $980.
Discount 50% available if you contact us first 72 hours, that's price for you is $490.

Please note that you'll never restore your data without payment.

Check your e-mail "Spam" or "Junk" folder if you don't get answer more than 6 hours.

To get this software you need write on our e-mail:

helpteam@mail.ch

Reserve e-mail address to contact us:

helpmanager@airmail.cc

Your personal ID:
XXXXXXXXXXXXXXXXXXXXXXXXXXXXXXX 

Igvm Fidye Virüsü için ödeme yapmadan önce mutlaka okuyun!

Kullanılabilir yedeklemeleri deneyin veya alanında uzman biriyle iletişime geçin!

_readme.txt dosyası içerisinde, şifrelenen dosyalar için 72 saat içerisinde Igvm zararlı yazılım sahipleri ile iletişime geçmeleri gerektiğini bellirten bir not bulunur. 72 saat içinde iletişime geçmeniz şartıyla, kurbanlara % 50 indirim uygulanacağı belirtilir. Böylece fidye miktarı 490$’a kadar indirilecektir). Ancak, fidyeyi ödemekten kesinlikle uzak durun!

Kesinlikle siber korsanlarla iletişime geçmemenizi ve ödeme yapmamanızı öneririz. Kayıp verileri kurtarmak için en gerçek çözümlerinden biri mevcut yedeklemeleri kullanarak veya alanında uzman bir ekiple iletişime geçmektir.

Şifrelenmiş verileriniz üzerinde bilinçsizce yapılacak işlemler verilerinize ulaşmanızı sağlamayacağı gibi kalıcı veri kayıplarına da sebebiyet verebilir. Değerli verilerinizin kaybolmasını önlemek için tek çözüm, önemli dosyalarınızın yedeklerini düzenli olarak fiziksel olarak harici bir ortamda saklamaktır. Örneğin, yedeklemelerinizi USB flash sürücü, ağdan gerektiğinde izole edilebilecek bir ağ depolama (NAS) cihazına veya başka bir harici sabit sürücü depolama alanında tutulabilirsiniz. İsteğe bağlı olarak, çevrimiçi (bulut) depolama çözümüne de başvurabilirsiniz.

Igvm Bilgisayarıma Nasıl Bulaştı?

Igvm, sisteminize bulaşabilmek için çeşitli yöntemlere sahiptir. Eğer sisteminize bir defa bulaştıysa hangi yöntemle bulaştığı artık önemli değildir. Fakat başlıca sebepleri arasında güvenilir kaynaklardan elde edilmeyen uygulamalarla birlikte gelen gizli kurulum, özellikle ücretsiz paylaşılan crackli yardımcı programlar başlıca bulaşma sebepleri arasındadır. Bilgisayar kullanıcılarının çevrimiçi ücretsiz ve crackli yazılım elde etmek için kullandığı yasa dışı eşler arası (P2P) kaynakları da fidye virüslerinin bulaşması noktasında yaygın olarak görülen sebeplerdir. Bunun haricinde kurumsal firmalara yönelik, Igvm virüsünü yüklemeye ikna etmek için oluşturulan spam e-postalardır.

Crackithub[.]com, kmspico10[.]com, crackhomes[.]com, piratepc[.]net — gibi
fidye virüsü dağıtılmasına olanak sağlayan siteler başlıca sebepler arasında yer alır.
Bu virüsler, belirtilen sitelerden indirilen herhangi bir
PC’ye bulaşabilir ve sistemlerinize zarar verebilir.

Belirtilen sitelerden örnek zararlı içerik barındıran linkler:

xxxxs://crackithub[.]com/adobe-acrobat-pro/ xxxxs:
//crackithub[.]com/easyworship-7-crack/ xxxxs://kmspico10[.]com/ xxxxs://kmspico10[.]com/
office-2019-activator-kmspico/ xxxxs://piratepc[.]net/category/activators/
xxxxs://piratepc[.]net/startisback-full-cracked/

Igvm fidye virüsü özelinde bundan sonraki süreçte cihazınıza fidye virüsü benzeri zararlı yazılımların bulaşmasını önlemek için ne yapmalısınız?

Sisteminizin zarar görmesini önlemek için% 100 garanti olmasa da, fidye virüsü, trojan, backdoor, worm vb zararlı yazılımlardan korunmak için size vermek istediğimiz bazı ipuçları var.

Kötü amaçlı yazılımlar kendisini gizlemek için bazı özel ayarlar kullanırlar. Mevcut çalışan programlarınızın listelendiği “Görev Yöneticisi”nde görünmeyecek şekilde kendisini gizleyecektir. Sıkça kullanılan sistem uygulamalarının isimlerine benzer isimlerle tespit edilebilirliğini azaltacaktır. Sisteminizi başlattığınız andan itibaren arka planda düzenli olarak çalışıp sisteminize zarar verecek kötü amaçlı aktivitelerini gerçekleştirmeye devam edecektir. Şüpheli e-postaları ve bunların eklerinde iletilen dosyaları açmayın. Bilinmeyen adreslerden ve güvenilirliğinden emin olmadığınız dosyaları açmayın. Mutlaka güncel bir antivirüs yazılımı kullanın ve iş ortamınıza uygun bir şekilde gerekli konfigürasyonları yetkili birine yaptırın.

Şayet “IGVM” uzantılı fidye virüsü saldırısına maruz kaldıysanız bu konuda destek isteyebilir ve dosyalarınızın analizini talep edebilirsiniz.

PCQQ fidye virüsü, STOP/DJVU fidye virüsü ailesine ait, belgelerinizi şifreleyen ve daha sonra bunları çözmek için ödeme yapmaya zorlayan bir virüs çeşididir. Djvu/STOP fidye yazılımı ailesi, ilk olarak virüs analisti (Malware Hunter) Michael Gillespie tarafından keşfedildi).

Pcqq virüsü temelde diğer DJVU ailesine benzer (Lmas, Urnb, Ytbn, wrui, ) karakteristik bir yapıya sahiptir. Bu virüs, bilinen tüm yaygın dosya çeşitlerini şifreler ve tüm dosyalara özel “.pcqq” uzantısını ekler. Örneğin, “1.jpg” dosyası “1.jpg.pcqq “olarak değiştirir. Şifreleme başarıyla tamamlandıktan sonra, iletişim kurmak ve fidye talep etmek için her klasörün içerisine “_readme.txt” adında bir txt dosyası ekler.

Adı: PCQQ

Fidye yazılımı ailesi: DJVU/STOP

Uzantısı: .pcqq

Fidye yazılımı notu: _readme.txt

Talep Edilen Fidye: 490$ – 980$ (Bitcoin cinsinden)

Iletişim: helpteam@mail.ch, helpmanager@airmail.cc

AV Algılaması:

Belirtileri:

Dosyalarınızın çoğunu (fotoğraflar, videolar, belgeler) şifreler ve “.pcqq” uzantısı ekler; Kurbanın verileri geri yükleme girişimlerini imkansız hale getirmek için gölge kopyalarını silebilir; Güvenlikle ilgili belirli sitelere erişimi engellemek için HOSTS dosyasına etki alanlarının listesini ekler; Azorult Spyware gibi sisteme şifre çalan Truva atı yükler.

DJVU/STOP virüsü tarafından kullanılan şifreleme algoritması AES-256’dır. Yani, belgeleriniz tamamen benzersiz olan çevrimiçi bir şifre çözme anahtarıyla şifrelendiyse, maalesef ki, benzersiz anahtar olmadan dosyaların şifresini çözmek imkansızdır. Pcqq çevrimiçi modda çalıştıysa, AES-256 anahtarına erişmeniz imkansızdır. Pcqq virüsünün çözme anahtarları siber korsanların sahip olduğu uzak bir sunucuda saklanır.

Şifre çözme anahtarını almak için 980$ fidye talep edilmektedir. Ödeme ayrıntılarını öğrenmek için, kurbanların e-posta yoluyla iletişime geçmeleri için yönlendirilir (helpteam@mail.ch).

Pcqq fidye virüsüne ait örnek virüs notu aşağıdaki gibidir:

ATTENTION!

Don't worry, you can return all your files!

All your files like photos, databases, documents and other important are encrypted with strongest encryption and unique key.
The only method of recovering files is to purchase decrypt tool and unique key for you.
This software will decrypt all your encrypted files.

What guarantees you have?

You can send one of your encrypted file from your PC and we decrypt it for free.
But we can decrypt only 1 file for free. File must not contain valuable information.

You can get and look video overview decrypt tool:

https://we.tl/t-WJa63R98Ku

Price of private key and decrypt software is $980.
Discount 50% available if you contact us first 72 hours, that's price for you is $490.

Please note that you'll never restore your data without payment.

Check your e-mail "Spam" or "Junk" folder if you don't get answer more than 6 hours.

To get this software you need write on our e-mail:

helpteam@mail.ch

Reserve e-mail address to contact us:

helpmanager@airmail.cc

Your personal ID:
XXXXXXXXXXXXXXXXXXXXXXXXXXXXXXX 

Pcqq Fidye Virüsü için ödeme yapmadan önce mutlaka okuyun!

Kullanılabilir yedeklemeleri deneyin veya alanında uzman biriyle iletişime geçin!

_readme.txt dosyası içerisinde, şifrelenen dosyalar için 72 saat içerisinde Pcqq zararlı yazılım sahipleri ile iletişime geçmeleri gerektiğini bellirten bir not bulunur. 72 saat içinde iletişime geçmeniz şartıyla, kurbanlara % 50 indirim uygulanacağı belirtilir. Böylece fidye miktarı 490$’a kadar indirilecektir). Ancak, fidyeyi ödemekten kesinlikle uzak durun!

Kesinlikle siber korsanlarla iletişime geçmemenizi ve ödeme yapmamanızı öneririz. Kayıp verileri kurtarmak için en gerçek çözümlerinden biri mevcut yedeklemeleri kullanarak veya alanında uzman bir ekiple iletişime geçmektir.

Şifrelenmiş verileriniz üzerinde bilinçsizce yapılacak işlemler verilerinize ulaşmanızı sağlamayacağı gibi kalıcı veri kayıplarına da sebebiyet verebilir. Değerli verilerinizin kaybolmasını önlemek için tek çözüm, önemli dosyalarınızın yedeklerini düzenli olarak fiziksel olarak harici bir ortamda saklamaktır. Örneğin, yedeklemelerinizi USB flash sürücü, ağdan gerektiğinde izole edilebilecek bir ağ depolama (NAS) cihazına veya başka bir harici sabit sürücü depolama alanında tutulabilirsiniz. İsteğe bağlı olarak, çevrimiçi (bulut) depolama çözümüne de başvurabilirsiniz.

Pcqq Bilgisayarıma Nasıl Bulaştı?

Pcqq, sisteminize bulaşabilmek için çeşitli yöntemlere sahiptir. Eğer sisteminize bir defa bulaştıysa hangi yöntemle bulaştığı artık önemli değildir.

Crackithub[.]com, kmspico10[.]com, crackhomes[.]com, piratepc[.]net — gibi fidye virüsü dağıtılmasına olanak sağlayan siteler başlıca sebepler arasında yer alır. Bu virüsler, belirtilen sitelerinden indirilen herhangi bir PC’ye bulaşabilir ve sistemlerinize zarar verebilir.

Belirtilen sitelerden örnek zararlı içerik barındıran linkler:

xxxxs://crackithub[.]com/adobe-acrobat-pro/ xxxxs://crackithub[.]com/easyworship-7-crack/ xxxxs://kmspico10[.]com/ xxxxs://kmspico10[.]com/office-2019-activator-kmspico/ xxxxs://piratepc[.]net/category/activators/ xxxxs://piratepc[.]net/startisback-full-cracked/

Pcqq fidye virüsü özelinde bundan sonraki süreçte cihazınıza fidye virüsü benzeri zararlı yazılımların bulaşmasını önlemek için ne yapmalısınız?

Sisteminizin zarar görmesini önlemek için% 100 garanti olmasa da, fidye virüsü, trojan, backdoor, worm vb zararlı yazılımlardan korunmak için size vermek istediğimiz bazı ipuçları var.

Kötü amaçlı yazılımlar kendisini gizlemek için bazı özel ayarlar kullanırlar. Mevcut çalışan programlarınızın listelendiği “Görev Yöneticisi”nde görünmeyecek şekilde kendisini gizleyecektir. Sıkça kullanılan sistem uygulamalarının isimlerine benzer isimlerle tespit edilebilirliğini azaltacaktır. Sisteminizi başlattığınız andan itibaren arka planda düzenli olarak çalışıp sisteminize zarar verecek kötü amaçlı aktivitelerini gerçekleştirmeye devam edecektir. Şüpheli e-postaları ve bunların eklerinde iletilen dosyaları açmayın. Bilinmeyen adreslerden ve güvenilirliğinden emin olmadığınız dosyaları açmayın. Mutlaka güncel bir antivirüs yazılımı kullanın ve iş ortamınıza uygun bir şekilde gerekli konfigürasyonları yetkili birine yaptırın.