Ağdan Ağa Gezen Rus Casusları

Rus Casuslar Benzeri Görülmemiş Bir Hacklemeyle Wi-Fi Üzerinden Bir Ağdan Diğerine Atladı

Bir ilk olarak, Rusya'nın APT28 isimli hacker grubu caddenin karşısındaki başka bir binada bulunan bir dizüstü bilgisayarı ele geçirerek bir casusluk hedefinin Wi-Fi ağını uzaktan ihlal etmiş gibi görünüyor.

Kararlı bilgisayar korsanları için, bir hedefin binasının dışındaki bir arabada oturmak ve Wi-Fi ağını ihlal etmek için radyo ekipmanını kullanmak uzun zamandır etkili ancak riskli bir teknik olmuştur. Bu riskler, Rusya'nın GRU isimli askeri istihbarat teşkilatı için çalışan casusların 2018 yılında Hollanda'da bir şehir caddesinde, arabalarının bagajına gizledikleri bir antenle hedef binanın Wi-Fi ağına girmeye çalışırken suçüstü yakalanmalarıyla çok açık bir şekilde ortaya çıktı.

Ancak bu olaydan sonra aynı Rus askeri hacker birimi yeni ve çok daha güvenli bir Wi-Fi hackleme tekniği geliştirmiş görünüyor: Hedeflerinin telsiz menziline girmek yerine, caddenin karşısındaki bir binada başka bir savunmasız ağ buldular, komşu binadaki bir dizüstü bilgisayarı uzaktan hacklediler ve hedefledikleri kurbanın Wi-Fi ağına girmek için bu bilgisayarın antenini kullandılar - Rus topraklarından ayrılmayı bile gerektirmeyen bir telsiz hackleme numarası.

Bugün Virginia, Arlington'da düzenlenen Cyberwarcon güvenlik konferansında siber güvenlik araştırmacısı Steven Adair, firması Volexity'nin 2022 yılında Washington DC'deki bir müşteriyi hedef alan bir ağ ihlalini araştırırken “en yakın komşu saldırısı” olarak adlandırdığı bu benzeri görülmemiş Wi-Fi hack tekniğini nasıl keşfettiğini açıklayacak. DC müşterisinin adını vermekten kaçınan Volexity, o zamandan beri ihlali Fancy Bear, APT28 veya Unit 26165 olarak bilinen Rus hacker grubuna bağladı. Rusya'nın GRU askeri istihbarat teşkilatının bir parçası olan grup, 2016'da Demokratik Ulusal Komite'nin ihlalinden 2018'de Hollanda'da dört üyesinin tutuklandığı başarısız Wi-Fi hackleme operasyonuna kadar çeşitli kötü şöhretli vakalarda yer aldı.

Volexity, 2022'nin başlarında yeni ortaya çıkan bu vakada, Rus bilgisayar korsanlarının hedef ağa sadece caddenin karşısındaki farklı bir tehlikeye atılmış ağdan Wi-Fi yoluyla atladığını değil, aynı zamanda bu önceki ihlalin de aynı binadaki başka bir ağdan Wi-Fi yoluyla gerçekleştirilmiş olabileceğini keşfetti - Adair'in tanımıyla Wi-Fi yoluyla ağ ihlallerinin bir tür “papatya zinciri”. Adair, “Bu, son derece uzakta olan ve esasen ABD'de hedeflenen hedefe fiziksel olarak yakın olan diğer kuruluşlara giren ve daha sonra caddenin karşısındaki hedef ağa girmek için Wi-Fi üzerinden dönen bir saldırganın olduğu ilk vaka” diyor. “Bu daha önce görmediğimiz gerçekten ilginç bir saldırı vektörü.”

Adair, bilgisayar korsanlarının müşterilerinin ağındaki bireyleri hedef almalarına dayanarak, GRU bilgisayar korsanlarının Ukrayna hakkında istihbarat arıyor gibi göründüğünü söylüyor. Papatya dizimi Wi-Fi tabanlı izinsiz girişin, Rusya'nın Şubat 2022'de Ukrayna'yı ilk kez tam ölçekli olarak işgal etmesinden hemen önceki ve sonraki aylarda gerçekleştirilmesinin tesadüf olmadığını söylüyor.

Adair, bu vakanın, sadece otoparkta ya da lobide dolaşan olağan şüphelilerden değil, yüksek değerli hedefler için Wi-Fi'ye yönelik siber güvenlik tehditleri hakkında daha geniş bir uyarı görevi görmesi gerektiğini savunuyor. “Artık bunu motive olmuş bir ulus-devletin yaptığını biliyoruz,” diyor Adair, ”Bu da Wi-Fi güvenliğinin biraz daha artırılması gerektiğini ortaya koyuyor.” Benzer uzaktan Wi-Fi saldırılarının hedefi olabilecek kuruluşlara, Wi-Fi menzillerini sınırlandırmayı, potansiyel davetsiz misafirler için daha az belirgin hale getirmek için ağın adını değiştirmeyi veya çalışanlara erişimi sınırlandırmak için diğer kimlik doğrulama güvenlik önlemlerini almayı düşünmelerini öneriyor.

Adair, Volexity'nin DC müşterisinin ağının ihlalini ilk olarak 2022'nin ilk aylarında araştırmaya başladığını, şirketin izlerini dikkatlice gizleyen bilgisayar korsanları tarafından müşterinin sistemlerine tekrarlanan izinsiz girişlerin işaretlerini gördüğünü söylüyor. Volexity'nin analistleri sonunda, ele geçirilen bir kullanıcının hesabının binanın uzak bir ucunda, dışa bakan pencereleri olan bir konferans odasındaki Wi-Fi erişim noktasına bağlandığını tespit etti. Adair, bu bağlantının kaynağını bulmak için bölgeyi bizzat araştırdığını söylüyor. “Fiziksel olarak ne olabileceğini araştırmak için oraya gittim. Akıllı televizyonlara baktık, dolaplarda cihaz aradık. Otoparkta biri mi var? Bir yazıcı mı?” diyor. “Hiçbir şey bulamadık.”

Ancak bir sonraki saldırıdan sonra, Volexity bilgisayar korsanlarının trafiğinin daha eksiksiz günlüklerini almayı başardığında, analistleri gizemi çözdü: Şirket, bilgisayar korsanlarının müşterilerinin sistemlerinde dolaşmak için kullandıkları ele geçirilmiş makinenin, barındırıldığı alan adının, yani yolun hemen karşısındaki başka bir kuruluşun adını sızdırdığını tespit etti. “O noktada, nereden geldiği yüzde 100 belliydi,” diyor Adair. “Sokaktaki bir araba değil. Yandaki binadan geliyor.”

Komşunun işbirliğiyle Volexity ikinci kuruluşun ağını araştırdı ve sokağa sıçrayan Wi-Fi izinsiz girişinin kaynağının belirli bir dizüstü bilgisayar olduğunu buldu. Bilgisayar korsanları, Ethernet üzerinden yerel ağa bağlı bir yuvaya takılı olan bu cihaza sızmış ve ardından Wi-Fi'sini açarak hedef ağa radyo tabanlı bir aktarıcı olarak hareket etmesini sağlamıştı. Volexity, hedefin Wi-Fi ağına girmek için bilgisayar korsanlarının bir şekilde çevrimiçi olarak elde ettikleri ancak muhtemelen iki faktörlü kimlik doğrulama nedeniyle başka bir yerde kullanamadıkları kimlik bilgilerini kullandıklarını tespit etti.

Volexity sonunda bu ikinci ağdaki bilgisayar korsanlarını iki olası izinsiz giriş noktasına kadar takip etti. Bilgisayar korsanlarının diğer kuruluşa ait bir VPN cihazını ele geçirdikleri anlaşıldı. Ancak aynı binadaki başka bir ağın cihazlarından da kurumun Wi-Fi ağına girmişlerdi; bu da bilgisayar korsanlarının nihai hedeflerine ulaşmak için Wi-Fi üzerinden üç ağa kadar papatya zinciri oluşturmuş olabileceklerini düşündürüyor. Adair, “Kim bilir kaç cihazı ya da ağı ele geçirdiler ve bunu kaç ağ üzerinde yaptılar,” diyor.

Aslında, Volexity bilgisayar korsanlarını müşterilerinin ağından çıkardıktan sonra bile, bilgisayar korsanları o Wi-Fi üzerinden tekrar girmeye çalıştılar ve bu kez misafir Wi-Fi ağında paylaşılan kaynaklara erişmeye çalıştılar. “Bu adamlar çok ısrarcıydı” diyor Adair. Ancak Volexity'nin bu bir sonraki ihlal girişimini tespit edebildiğini ve davetsiz misafirleri hızla kilitleyebildiğini söylüyor.

Volexity, soruşturmasının başlarında, Ukrayna'ya odaklanan müşteri kuruluşundaki bireysel çalışanları hedef almaları nedeniyle bilgisayar korsanlarının Rus kökenli olduğunu varsaymıştı. Ardından Nisan ayında, ilk izinsiz girişten tam iki yıl sonra Microsoft , Windows'un yazdırma biriktiricisindeki bir güvenlik açığının Rusya'nın APT28 hacker grubu (Microsoft bu grubu Forest Blizzard olarak adlandırıyor) tarafından hedef makinelerde yönetici ayrıcalıkları elde etmek için kullanıldığı konusunda uyarıda bulundu. Volexity'nin müşterisinin Wi-Fi tabanlı ihlalinde analiz ettiği ilk bilgisayarda geride kalan kalıntılar bu teknikle tam olarak eşleşiyordu. Adair, “Tam olarak bire bir eşleşti,” diyor.

Google'ın sahibi olduğu siber güvenlik firması Mandiant'ta tehdit istihbaratını yöneten ve GRU hackerlarını uzun süredir takip eden Cyberwarcon'un kurucusu John Hultquist, APT28'in papatya zinciri Wi-Fi korsanlığının arkasında olabileceği fikrinin mantıklı olduğunu söylüyor. Hultquist, Volexity'nin ortaya çıkardığı tekniği APT28'in “yakın erişim” hack yöntemlerinin doğal bir evrimi olarak görüyor ve GRU'nun diğer yöntemlerin başarısız olması durumunda Wi-Fi aracılığıyla hedef ağları hacklemek için bizzat küçük gezici ekipler gönderdiğini belirtiyor. Hultquist, “Bu aslında geçmişte yaptıkları gibi bir yakın erişim operasyonu ama yakın erişim olmadan” diyor.

Kimyasal Silahların Yasaklanması Örgütü Olayı

Yakınına fiziksel olarak bir casus yerleştirmek yerine uzaktan ele geçirilmiş bir cihazdan Wi-Fi yoluyla hacklemeye geçiş, GRU'nun 2018'de Lahey'de bir arabanın içinde GRU'dan ayrılan Sergei Skripal'e yönelik suikast girişiminin OPCW tarafından soruşturulmasına yanıt olarak Kimyasal Silahların Yasaklanması Örgütü'nü hacklemeye çalışırken yakalandığı operasyonel güvenlik felaketinin ardından atılan mantıklı bir sonraki adımı temsil ediyor. Bu olayda APT28 ekibi tutuklanmış ve cihazlarına el konulmuş, benzer yakın erişim saldırıları gerçekleştirmek üzere Brezilya'dan Malezya'ya kadar dünya çapında seyahat ettikleri ortaya çıkmıştı.

“Bir hedef yeterince önemliyse, insanları şahsen göndermeye isteklidirler. Ancak burada gördüğümüz gibi bir alternatif bulabilirseniz bunu yapmak zorunda değilsiniz,” diyor Hultquist. “Bu, bu operasyonlar için potansiyel olarak büyük bir gelişme ve muhtemelen daha fazlasını göreceğimiz bir şey - eğer henüz görmediysek.”

Andy Greenberg

Siber dünyada büyük bir operasyon daha başarıyla sonuçlandı. Uluslararası bir kolluk kuvveti olan EUROPOL, “Underground” diye tabir edilen yeraltı çetelerine yönelik hizmet veren ve Ransomware grupları da dahil olmak üzere çeşitli siber suç gruplarına hitap eden VPN sağlayıcısı ’in sunucularını ele geçirdi.

Bu operasyonda Europol, Almanya, Hollanda, Kanada, Çek Cumhuriyeti, Fransa, Macaristan, Letonya, Ukrayna, ABD ve İngiltere’de VPNLab ekibi tarafından işletilen 15 sunucuya el koydu.

Herhangi bir tutuklama duyurulmamakla birlikte, şirketin hizmetleri çalışamaz hale getirildi ve ana web sitesinde şimdi bir Europol el koyma afişi görülüyor.

Europol’ün Avrupa Siber Suç Merkezi Başkanı Edvardas Šileris bugün yaptığı açıklamada, “Bu soruşturma kapsamında gerçekleştirilen eylemler, suçluların izlerini çevrimiçi olarak gizleme yollarının tükendiği açıkça ortaya koyuyor.” dedi.

Bu saldırıdan önce VPNLab, 2008’den beri yeraltı korsanlarına yönelik hizmet sunuyordu. Yıllık hizmet bedeli olarak 60$’a hizmet veriyordu ve OpenVPN teknolojisi üzerinde inşa edilmişti. Yüksek bağlantı güvenliği için 2048 bit şifreleme kullanan VPNLab, müşterileri için bağlantıları şifrelemek ve anonimleştirmek için bir hizmet ağı oluşturmuştu. VPNLab’ın çökertilmesi, Europol ve Hollanda polisinin geçen yıl Haziran ayında ‘in ele geçirilmesi ardından kolluk kuvvetlerinin suç grupları için bir VPN sağlayıcısına karşı ikinci kez harekete geçtiğini ve bunda da başarılı olduğunu gösteriyor.

Soruşturmaya öncülük eden Hannover Polis Departmanı Şefi Volker Kluwe, “Bu eylemin önemli bir yönü de, hizmet sağlayıcıların yasadışı eylemi desteklemesi ve kolluk kuvvetlerinden gelen yasal talepler hakkında herhangi bir bilgi vermemesi durumunda, bu hizmetlerin kurşun geçirmez olmadığını göstermektir.” dedi.

Europol, VPNLab’ı yayından kaldırmanın bir getirisi olarak, sunucularda bulunan verilerle 100’den fazla işletmeyi yaklaşan siber saldırılar hakkında bilgilendirdiklerini söyledi.

Europol bugün yaptığı açıklamada,”Kolluk kuvvetleri, maruziyetlerini azaltmak için doğrudan bu potansiyel kurbanlarla birlikte çalışmaktadır.” dedi.

Bakanlıktan yapılan yazılı açıklamada, Tarım ve Orman Bakanlığının bilişim sistemlerine yapılan siber saldırı hakkında bilgi verildi.

Hacker grupları tarafından kamu kurumları ve özel sektörün bilişim sistemlerinin sürekli hedef alındığı hatırlatılan açıklamada şunlar kaydedildi:

“31 Temmuz saat 01.00 sıralarında itibarıyla Tarım ve Orman Bakanlığının domainlerinden birinde bulunan bazı sunucular siber saldırıya uğramış ve kullanılmaması için şifrelenmiştir. Bakanlığımızca sabah erken saatlerde bu durum fark edilmiş, sistem şifreleme protokolleri devreye girmiş ve Cumhurbaşkanlığı Dijital Dönüşüm Ofisi yetkileri ile koordineli olarak bir çalışma başlatılmış, gerekli tedbirler alınmıştır. Bu saldırıda Bakanlığımızın bir kısım sunucuları hedef alındığı için öncelikle tüm sistemin güvenliği kontrol altına alınmıştır.

Bu yapılan siber saldırıda Bakanlığımızın ana domainde olan sunucular etkilenmemiş olup Bakanlığımızda 3 ayrı yedekleme sistemi mevcuttur. Bu yedekleme sistemleri Bakanlığımızda ve özel bir veri merkezinde saklanmaktadır.”

Açıklamada, etkilenen sunucuların ve yedeklerinin kriminal inceleme için koruma altına alındığı belirtilerek, “Elimizde bulunan diğer sistemler üzerine yeniden yazımlar ve veri tabanı kurulmuştur. Sistemlere ilk müdahale eden pro​fesyonel ekip sistemleri koruma altına alıp internet bağlantılarını kestiği ve sunuculara hiçbir suretle müdahale edilmediği için kişilerin ne istediği ile ilgilenilmemiş ve doğrudan Bakanlığımız yedek sistemlerinin ayağa kaldırılması yoluna gidilmiştir. Sistemler, kurum dışındaki yedeklerden veri kaybı olmadan ayağa kaldırılmıştır. Konu adli makamlara iletilmiş olup gerekli inceleme başlatılmıştır.” ifadesi kullanıldı.

Grupla ilgili henüz kesin bir bilgiye ulaşılamamakla birlikte, genellikle vpn zafiyetlerinden faydalanan ve sahte e-mail (fishing) yöntemleri ile saldırı gerçekleştiren bir fidye virüsü grubu olduğu söyleniyor. Rus menşeli olduğu düşünülen bu ransomware grubunun, daha önce yabancı bir çok kuruma da bu tür saldırılar gerçekleştirdiği bilgisine ulaşılmıştır. Ransomware grupları arasında en çok konuşulan gruplar Revil, Conti, LockBit, Ragnarok, BlackMatter, RansomExx gibi kötülüğü ile ün salmış gruplardan birinin olduğu düşünülmektedir. Şifrelemenin, bakanlığın yaptığı açıklamada belirtildiği üzere, gece saatlerinde başladığı fakat sisteme daha önceden sızmış olan ransomware grubunun sistemi uzunca bir süre takip ettikten sonra kritik verileri tespit edip, daha sonra atağa geçtiği düşünülmektedir. Terabyte boyutundaki verilerin bir gecede şifrelenebilmesinin diğer türlü mümkün olmayacağı düşünülmektedir. Yurtiçinde, bu konuda uzman kişilerin görüşüne başvurulduğu, dışardan destek alınmaya çalışıldığı gelen bilgiler arasında. Aradan geçen zamana rağmen sistemlerde henüz iyileştirmenin tamamlanmadığı gözlemlenmiştir. Düzenli olarak kurum dışında alınan yedekler haricinde, kuruma ait yedekleme sunucularının da bu saldırıdan etkilendiği söyleniyor. Kurum dışında alınan yedeklerin sağlıklı bir şekilde çalışabilmesi için, kurum içerisinde yedeklenen verilerin çözülmesi gerektiği, aksi takdirde alınan yedeklerin kendi başına sistemin çalışmasını sağlayamayacağı düşünülmektedir.

Şu ana kadar edindiğimiz bilgiler bunlar olmakla birlikte, detaylara ulaşıldıkça konu hakkında bilgilendirmeler devam edecektir.

Signal Messenger veritabanları, tüm işletim sistemlerinde (iOS, Android, Windows) farklı şekilde şifrelenir. En kolayı windows masaüstü uygulamasıdır, anahtarı sqlcipher ile kolayca çözebileceğiniz config.json dosyasında saklar ki şimdilik konumuz bu değil. Üstünde asıl çalışacağımız konu android versiyonudur. Bilindiği üzere adli bilişim süreçlerinde bu tarz gizli ve şifreli mesajlaşma uygulamalarının içeriğine erişmek, bir çok vakanın çözülmesine yardımcı olmaktadır.

Android cihazlarda, AES-GCM modunu kullanarak veritabanının şifresini çözmek için üç değer almamız gerekiyor, ilki USERKEY_SignalSecret anahtar deposu (keystore) olan anahtar değeridir. İkincisi, IV değerleri olan şifre metnidir.

Windows:

Database: C:\Users\AppData\Roaming\Signal\sql\db.sqlite

Key: C:\Users\Digisecure\AppData\Roaming\Signal\config.json

Android:

Database: /data/data/org.thoughtcrime.securesms/databases/signal.db

key: /data/keystore/user_0/10044_USRSKEY_SignalSecret

IV + authTag içeren şifreli metin: org.thoughtcrime.securesms\shared_prefs\org.thoughtcrime.securesms_preferences.xml

Konumuz Android olduğu için bu blogda sadece Android için Signal veri tabanının şifresinin nasıl çözüleceğine odaklanacağız.

Signal, veritabanını sqlcipher kullanarak şifrelemek için AES-GCM Encryption modunu kullandığından bahsetmiştik. İlk olarak sql şifre anahtarını alır, ardından veritabanını şifrelemek için USERKEY + IV’ten AES-GCM anahtarını kullanır, bu değerler org.thinktcrime.securesms_preferences.xml içinde saklanır. Sql veritabanını çözebilmek için bu değerleri tersine çevirmemiz gerekiyor. Deyimi yerinde ise Reverse Engineering tekniklerini kullanmamız gerekiyor.

Şifreli veritabanını çözebilmek için üç değere ihtiyacımız var;

• 1.”app-id”_USERKEY_SignalSecret dosyasını elimizde bulunan bir hex editör aracılığıyla 2D’den 3C’ye kadar olan 16 bitlik kısmını kopyalıyoruz (“app-id” kısmı sizde farklılık gösterebilir. Bende 10044, sizde başka bir id olabilir bundan dolayı tırnak içerisinde ayrı olarak belirtildi).

• 2. Daha sonra org.thinktcrime.securesms_preferences.xml içerisinde base64 ile kodlanmış string name =pref_database_encrypted_secret kısmındaki base64 değerini alıyoruz.

Ardından base64 veri değerini hex’e dönüştürüyoruz:864531f86b5b9dfad548f6e8c91712208d2d4477925240d586f1a3d825b545a2246baf3b35662f5eb825dd85c9e39166 (son 32 karakter auth etiketidir.) Not: Geliştirici çevrimiçi java AES-GCM kodunu kullanıyorsa, kimlik doğrulama etiketini şifre metninden ayırmaya gerek olmayabilir. Ama bu vakada cyberchef ile bunu parçalamamız gerekiyor.

• 3. Şimdi Signal veri tabanının şifresi çözülmüş anahtarına sahibiz. Son adım ise sqlcipher ile nasıl açılacağıdır. Singal’in kaynak kodlarına baktığınızda şifreleme yapmak için bu yöntemi kullandıklarını görebilirsiniz.

public final class SqlCipherDatabaseHook implements SQLiteDatabaseHook {

@Override

public void preKey(SQLiteDatabase db) {

db.rawExecSQL("PRAGMA cipher\_default\_kdf\_iter = 1;");

db.rawExecSQL("PRAGMA cipher\_default\_page\_size = 4096;"); }

Seçeneklerden Passphrase seçip aldığımız kodu kopyalıyoruz ve daha sonra alt seçeneklerden custom‘ı seçip gerekli alanları aşağıdaki gibi dolduruyoruz.

Ve işte tüm veritabanı karşımızda!

ARP ( Adres Çözümleme Protokolü), bilgisayarlar, IP adresleri ve MAC adresleri arasında eşleme sağlayan bir network haberleşme prokolüdür. Bilgisayar, belirli bir IP adresi için MAC adresini bilmiyorsa, ağdaki diğer makinelerle eşleşen MAC adresini sorarak bir ARP istek paketi gönderir.

ARP Zehirlenmesi (ARP sahtekarlığı olarak da bilinir), ağ trafiğini kesintiye uğratmak, yönlendirmek veya casusluk yapmak için yaygın olarak kullanılan Adres Çözümleme Protokolü’ndeki (ARP) zayıflıkları kötüye kullanan bir tür siber saldırı türüdür.

ARP Zehirlenmesi, ağdaki diğer cihazların MAC-IP eşleşmelerini bozmak için ARP’deki zayıflıkların kötüye kullanılmasından oluşur. ARP, 1970 yılında ilk defa tasarlandığında güvenlik, önemli bir endişe teşkil etmiyordu. Bu nedenle, protokolün tasarımcıları ARP mesajlarını doğrulamak için, kimlik doğrulama mekanizmalarını dahil etmediler. Ağdaki herhangi bir cihaz, orijinal mesajın kendisine yönelik olup olmadığına bakılmaksızın bir ARP isteğine cevap verebilir. Örneğin, X Bilgisayarı, Y Bilgisayarının MAC adresini “sorarsa”, Z Bilgisayarındaki bir saldırgan bu sorguya cevap verebilir ve X Bilgisayarı bu yanıtı gerçek olarak kabul eder. Bu tespit, çeşitli saldırıları mümkün kılmıştır. Bir tehdit aktörü, kolayca erişilebilen araçlardan (Arpspoof, Ettercap vb.) yararlanarak, yerel bir ağdaki diğer bilgisayarların ARP önbelleğini “zehirleyebilir” ve ARP önbelleğini yanlış girişlerle doldurabilir.

ARP sahtekarlığını veya ARP zehirlenmesini başarıyla uygulayan bir siber saldırgan, ağınızdaki her belgenin kontrolünü ele geçirebilir. ARP zehirlenmesi ile siber casusluğa maruz kalabilirsiniz veya daha kötü bir senaryo olan fidye saldırısı vakası ile karşı karşıya kalabilirsiniz. Saldırgan, sizden istediği şeyi alana kadar ağ trafiğinizi durma noktasına getirebilir.

1. Adım : ARP zehirleme saldırısında ilk adım hedef seçmektir. Hedef ağdaki belirli bir bilgisayar veya router gibi bir ağ aygıtı olabilir. Router’lar, çekici hedeflerdir çünkü bir router’a karşı başarılı bir ARP Zehirlenme Saldırısı, tüm subnet trafiğini bozabilir.

2. Adım : Saldırganın, bir ARP sızdırma aracı kullanması gerekir. Bu aracın IP adresini, hedefin IP subnet ile eşleşecek şekilde ayarlar. Popüler ARP spoofing yazılımlarına örnek olarak Arpspoof, Cain & Abel, Arpoison ve Ettercap verilebilir.

3. Adım : ARP spoofing aracını seçip çalıştıran saldırgan, ARP önbelleği bozulduğunda, genellikle trafiği yanlış yönlendirecek türden eylem gerçekleştirir. Aynı zamanda trafiği inceleyebilir, değiştirebilir veya “kara deliğe” neden olabilir. Yaşanacak sorunlar, saldırganın amaçlarına bağlıdır.

Ortadaki Adam Saldırısı (MiTM)

MiTM (Man İn The Middle ) saldırıları , genellikle ARP zehirlenmesinin en yaygın ve potansiyel olarak en tehlikeli hedefidir. Saldırgan, genellikle bir alt ağ için, varsayılan ağ geçidi olan belirli bir IP adresine sahte ARP yanıtları gönderir. Bu, kurban makinelerin ARP önbelleklerini yerel router’ın MAC adresi yerine saldırganın makinesinin MAC adresiyle doldurmasına neden olur. Kurban makineleri, daha sonra ağ trafiğini saldırgana iletir. Ettercap gibi araçlar, saldırganın trafiği amaçlanan hedefine göndermeden önce bilgileri görüntüleyerek veya değiştirerek bir proxy görevi görmesine izin verir. Kurban için her şey normal görünebilir.

ARP spoofing ile DNS spoofing’in birleştirilmesi , bir MiTM saldırısının etkinliğini önemli ölçüde arttırabilir. Bu durumda, kurban kullanıcı google.com gibi meşru bir siteye girebilir ve kendisine doğru adres yerine saldırganın makinesinin IP adresi verilebilir.

Hizmet Reddi (DDoS) Saldırısı

DDoS (Denial of Service) saldırısı, bir veya daha fazla kullanıcının ağ kaynakları hizmetlerine erişimini engellemeyi amaçlayan bir saldırı türüdür. ARP saldırısı durumunda, bir saldırgan yüzlerce hatta binlerce IP adresini tek bir MAC adresine yönlendiren ARP mesajları gönderebilir ve hedef makineyi isteklere cevap veremeyecek duruma getirebilir. Bazen ARP taşması olarak da bilinen bu saldırı türü, network switchlerine yönelik saldırılar için de kullanılabilir ve tüm ağın performansını olumsuz etkiler.

Session Hijacking Attack (Oturum Çalma Saldırısı)

Oturum Ele Geçirme saldırıları, doğası gereği MiTM’a benzer ama saldırganlar ağ trafiğini bozmak yerine kurban makineden hedeflenen varış noktasına doğrudan iletmemesini sağlar. Saldırganların asıl amacı kurbandan gerçek bir TCP sıra numarası veya web tanımlama bilgisi almak ve kurbanın kimliğini tahmin etmektir. Örnek verecek olursak, hedef kullanıcının giriş yaptığı sosyal medya hesaplarına erişmek için kullanılabilir.

Apple Kilit Modu nedir?

Kilit Modu, pozisyonları veya yaptıkları iş nedeniyle en karmaşık dijital tehditlerden bazılarının hedefi olabilecek az sayıda kişi için tasarlanan, isteğe bağlı, olağan dışı bir korumadır. Çoğu insan hiçbir zaman bu tür saldırıların hedefinde değildir.

Kilit Modu etkinleştirildiğinde aygıtınız normalde olduğu gibi çalışmayacaktır. Hedefi özel olarak belirlenmiş kiralık casus yazılımların suistimal edebileceği saldırı yüzeyini azaltmak için belirli uygulamalar, web siteleri ve özellikler güvenlik nedeniyle katı bir şekilde sınırlandırılır ve bazı deneyimler hiç kullanılamayabilir.

Kilit Modu iOS 16, iPadOS 16 ve macOS Ventura sürümlerinde kullanılabilir.

Kilit Modu aygıtınızı nasıl korur?

Kilit Modu etkinleştirildiğinde, aşağıdakiler dahil bazı uygulamalar ve özellikler farklı şekilde çalışır:

• Mesajlar: Belirli resimler, videolar ve sesler dışında mesaj eki türlerinin çoğu engellenir. Bağlantılar ve bağlantı önizlemeleri gibi bazı özellikler kullanılamaz.
• Web’de dolaşma: Bazı karmaşık web teknolojileri engellenir. Bu da bazı web sitelerinin daha yavaş yüklenmesine veya düzgün çalışmamasına neden olabilir. Ayrıca, web fontları görüntülenmeyebilir ve görüntüler yerine görüntü yok simgesi gösterilebilir.
• FaceTime: Daha önce aramadığınız kişilerden gelen FaceTime aramaları engellenir.
• Apple hizmetleri: Ev uygulamasında bir evi yönetme davetleri gibi Apple hizmetleri için gelen davetler, söz konusu kişiyi daha önce davet etmediyseniz engellenir.
• Paylaşılan Albümler: Paylaşılan albümler Fotoğraflar uygulamasından kaldırılır ve yeni Paylaşılan Albüm davetleri engellenir. Bu paylaşılan albümleri, Kilit Modu devre dışı olan diğer aygıtlarda görüntüleyebilirsiniz. Kilit Modu’nu kapattığınızda aygıt ayarlarınızda Paylaşılan Albümler’i tekrar açmanız gerekir.
• Aygıt bağlantıları: iPhone veya iPad’inizi bir aksesuara ya da başka bir bilgisayara bağlamak için aygıtın kilidinin açılması gerekir. bir aksesuara bağlamak için Mac’inizin kilidinin açılması ve açıkça onay verilmesi gerekir.
• Konfigürasyon profilleri: Konfigürasyon profilleri yüklenemez ve aygıt, Kilit Modu etkinken Mobil Aygıt Yönetimi’ne veya aygıt denetimine kaydedilemez.

Kilit Modu etkinken telefon aramaları ve düz metin mesajları çalışmaya devam eder. Bu mod, acil SOS aramaları gibi acil durum özelliklerini etkilemez.

iPhone veya iPad’de Kilit Modu’nu etkinleştirme

• Ayarlar uygulamasını açın.
• Gizlilik ve Güvenlik seçeneğine dokunun.
• Güvenlik bölümünde Lockdown Mode (Kilit Modu) seçeneğine ve ardından Turn On Lockdown Mode (Kilit Modu’nu Aç) öğesine dokunun.
• Turn On Lockdown Mode (Kilit Modu’nu Aç) seçeneğine dokunun.
• Turn On & Restart (Aç ve Yeniden Başlat) seçeneğine dokunun, ardından aygıtınızın şifresini girin.

Kilit Modu etkinken, bir uygulama veya özellik sınırlandırıldığında size bildirim gönderilebilir ve Safari’de yer alan bir başlık, Kilit Modu’nun açık olduğunu belirtir.

Kilit Modu’nun her aygıtta ayrı ayrı etkinleştirilmesi gerekir.

Mac’te Kilit Modu’nu etkinleştirme

• Apple menüsü  > Sistem Ayarları’nı seçin.
• Kenar çubuğunda Gizlilik ve Güvenlik’i tıklayın.
• Kilit Modu’na gidin, ardından Aç’ı tıklayın.
• İstenirse kullanıcı parolasını girin.
• Aç ve Yeniden Başlat seçeneğini tıklayın.

Kilit Modu etkinken, bir uygulama veya özellik sınırlandırıldığında size bildirim gönderilebilir ve Safari’de yer alan bir başlık, Kilit Modu’nun açık olduğunu belirtir.

Kilit Modu’nun her aygıtta ayrı ayrı etkinleştirilmesi gerekir.

Uygulamaları veya web sitelerini Kilit Modu’ndan hariç tutma

Aygıtınızda Kilit Modu etkinken bir uygulama veya Safari’deki web sitesini, moddan etkilenmesini ve sınırlandırılmasını önlemek için hariç tutabilirsiniz. Yalnızca güvenilir uygulamaları veya web sitelerini moddan hariç tutun ve bunu yalnızca gerekliyse yapın.

iPhone veya iPad’de

Dolaşma sırasında bir web sitesini hariç tutmak için: Sayfa Ayarları düğmesine , ardından da Web Sitesi Ayarları’na dokunun. Ardından Kilit Modu’nu kapatın.

Bir uygulamayı hariç tutmak veya hariç tutulan web sitelerinizi düzenlemek için:

• Ayarlar uygulamasını açın.
• Gizlilik ve Güvenlik seçeneğine dokunun.
• Güvenlik bölümünde Lockdown Mode (Kilit Modu) seçeneğine dokunun.
• Configure Web Browsing (Web’de Dolaşmayı Yapılandır) seçeneğine dokunun.

Bir uygulamayı hariç tutmak için menüden söz konusu uygulamayı kapatın. Bu listede yalnızca Kilit Modu’nu etkinleştirdikten sonra açtığınız ve sınırlı işlevlerle sahip uygulamalar görünür.

Hariç tutulan web sitelerinizi düzenlemek için Excluded Safari Websites (Hariç Tutulan Safari Web Siteleri) > Düzenle’ye dokunun.

Mac’te

Dolaşma sırasında bir web sitesini hariç tutmak için: Safari menüsü > [web sitesi] Ayarları’nı seçin. Ardından Kilit Modu’nu Etkinleştir onay kutusunun seçimini kaldırın. Web sitesini tekrar dahil etmek için onay kutusunu yeniden seçin.

Hariç tutulan web sitelerinizi düzenlemek için:

• Safari’deki menü çubuğundan Safari menüsü > Ayarlar’ı seçin.
• Web Siteleri’ni tıklayın.
• Kenar çubuğunda aşağı kaydırın ve Kilit Modu’nu tıklayın.
• Yapılandırılmış bir web sitesinin yanındaki menüden Kilit Modu’nu açın veya kapatın.

Konfigürasyon profilleri ve yönetilen aygıtlar

Bir aygıtta Kilit Modu etkinse yeni konfigürasyon profilleri yüklenemez ve aygıt Mobil Aygıt Yönetimi’ne veya aygıt denetimine kaydedilemez. Bir kullanıcı konfigürasyon profili veya yönetim profili yüklemek isterse Kilit Modu’nu kapatması, profili yüklemesi, ardından gerekliyse Kilit Modu’nu yeniden etkinleştirmesi gerekir. Bu kısıtlamalar, saldırganların kötü amaçlı profiller yüklemeye çalışmasını önler.

Kilit Modu etkinleştirilmeden önce Mobil Aygıt Yönetimi’ne kaydedilen aygıtlar yönetilmeye devam eder. Sistem yöneticileri, söz konusu aygıta konfigürasyon profilleri yükleyebilir ve aygıttaki profilleri kaldırabilir.

Olağan dışı siber saldırıların hedefi olabilecek çok az sayıda bireysel kullanıcı için tasarlanan Kilit Modu, sistem yöneticilerinin Mobil Aygıt Yönetimi için ayarlayabileceği bir seçenek değildir.

Apple cihazlarını etkileyen 0Day Darkweb’de 2.5 Milyon Euro’ya satılıyor!

Yeni güvenlik açığı, geçtiğimiz günlerde CVE-2022-32893 koduyla güvenlik yaması yayınlanmış olan bir güvenlik açığından kaynaklanıyor. Apple, ağustos ayında bilgisayar korsanlarının cihazın kontrolünü ele geçirebileceği ve kötü amaçlı yazılım yükleyebileceği CVE-20220-32893 ve CVE-2022-32894 olmak üzere iki kritik güvenlik açığını düzeltti. Ancak bu güvenlik yaması siber suçluları durdurmaya yetmedi. Çevrimiçi veritabanı izleme şirketi Webz.io, darkweb’in Apple cihazları için yeni bir 0Day güvenlik açığı sattığını tespit etti. Raporlar, Apple’ın CVE-2022-32893’ü kamuoyuna duyurmasından sadece birkaç gün sonra geldi. Araştırmacılara göre yeni güvenlik açığı, CVE-2022-32893 koduyla güvenlik yaması yayınlanan açığın henüz güvenlik güncellemesini yüklemeyen Apple kullanıcılarına yönelik saldırılarda kullanılabildiğini ve 2.5 Milyon Euro’ya satıldığını tespit etti.

Hacker forumlarından birinde konuyla ilgili satışın duyurusu

Uzmanlar, DarkWeb Data API’lerini kullanarak yaptıkları araştırmalarda siber suçluların bu güvenlik açığını Telegram’dan Tor’daki sitelere kadar çeşitli platformlarda tartıştıklarını tespit ettiler.

Saldırganlar CVE-2022-32893/4’ü tartışıyor ve güvenlik güncellemesinden sonra yeni 0-Day zafiyeti arıyor Cybernews bu konuda yorum yapması için Apple’a ulaştı, ancak şirket henüz muhabirlere herhangi bir yanıt vermedi.

Garanti Bankası, QNB Finansbank, Turkcell, BEDAŞ, DSMART, Turktelekom, Vodafone kullanıcı bilgilerinin sızdırıldığı iddia ediliyor!

Tarih 02.06.2021’i gösterirken bir çok underground sitesinden peş peşe Türk vatandaşlarına ait verilerden oluşan bilgiler dolaşıma sokuldu. Son zamanlar yaşanan hack vakaları, kişisel verilerin korunamamasından dolayı ciddi endişelere sebebiyet verirken, siber saldırılardan korunmak için üretilen çözümlerin de güvenilirliğini sorgulattı. Sistemleri korumakta yetersiz kalan DLP, SOAR, SIEM, DFIR vb. teknolojilerin yeniden gözden geçirilmesi, siber saldırılara karşı alınması gereken önlemlere farklı bir bakış açısı ile yeniden değerlendirilmesinin kaçınılmaz olduğu ortaya çıktı.

Siber korsanların bu bilgileri ne şekilde ele geçirdiği henüz tespit edilemezken, bu konuda henüz resmi bir açıklama gelmemesi de vatandaşları paniğe sevk ediyor. Yaşanılan olaylarda sonra birinci ağızdan her hangi bir yalanlama olmaması verilerin gerçekten siber korsanlar tarafından ele geçirildiği yönünde oluşan düşünceleri pekiştiriyor. Daha önce de yaşanan pek çok hacking vakasından sonra ilgili kurumların bir süre sessizliğini koruduğu, aradan belli bir süre geçtikten sonra yaşanan hack vakalarını doğruladıkları akla geldiğinde bu vakalarda da aynı şeyin yaşanacağı izlenimini oluşturuyor.

Hangi Kurumdan Ne Kadar Veri Sızdırıldı?

Veri ihlaline uğrayan kurumlar arasında bankalar, Türkiye’nin önde gelen telekomünikasyon firmaları, enerji dağıtım şirketleri, üniversiteler gibi verinin maksimum düzeyde korunması gereken kurumlar yer alıyor. Bunların en büyüğü ve ilgi çekeni ise Turkcell’e ait veritabanı olduğu iddia edilen paylaşımlardı. İddiaya göre Turkcell’e ait 31 milyon kullanıcı kaydının olduğu veritabanı 10.000$ karşılığında satışa sunuldu. GARANTI BBVA’ya ait 1500, QNB FINANS BANK’a ait 2,8 milyon, BEDAŞ Elektrik Dağıtım Kurumu’na ait 310 Bin, DSMART’a ait 1.2 Milyon, Turkcell, Vodafone, Turktelekom firmalarına ait karışık 1 milyon, nerden ele geçirildiği henüz tespit edilemeyen ve içerisinde 3.2 milyon Türk vatandaşına ait veri 24 saat içerisinde raidforum adlı illegal platform üzerinden paylaşıldı. Raidforum’da “”cetinkaya”” kullanıcı adına sahip bir forum kullanıcısı, bahsi geçen kurumlara ait kullanıcı bilgilerini sızdırdığını, istenildiği takdirde bu bilgilerin tümünü satabileceğini belirtti. E-posta adresi ve XMPP serverlar aracılığı ile gizli görüşmeler gerçekleştirmek için kullanıldığı bilinen Jabber platformunu kullandığı dikkatleri çeken kullanıcı, “”Türklerin ruh sağlığı ile oynamaya devam ediyorum”” ifadelerini kullandı.

Yasadışı paylaşımların yapıldığı forumdan elde edilen bilgilere göre paylaşılan kişisel veriler; TcNo, TelAdet, TelNo, Kontorstatus, Status, TlBilgi, Aciklama, ADI, SOYADI, ILKSOYADI, ANAADI, BABAADI, CINSIYETI, DOGUMYERI, DOGUMTARIHI, NUFUSILI, NUFUSILCESI, ADRESIL, ADRESCADDE, ADRESILCE, MUHTARLIKADI, KAPINO ve DAIRENO gibi vatandaşlara ait son derece kritik bilgiler içerdiği tespit edildi. Daha önce Türkiye’ye ait benzerine rastlanmamış olan bu veri sızıntısı, kendi içinde bir çok güvenlik sorunu içermesi sebebi ile önümüzdeki günlerde de çok konuşulacak gibi duruyor. Kamu çalışanları, bürokratlar, kolluk kuvvetleri gibi spesifik kademelerde bulunan kişilere ait verileri de barındırması sebebiyle ciddi güvenlik sorunları olan bir veri sızıntısıdır.

Yetkililerin henüz bir açıklama yapmamış olması şaşkınlığını korurken, konu ile ilgilenen siber güvenlik araştırmacılarından elde edilen bilgiler sosyal medya hesapları üzerinde tartışmaya açılmış durumda. KVKK’nın, veri ihlallerinde ismi geçen kurumlara yönelik uygulayacağı yaptırımlar da gündem konusu.

Güvenlik araştırmacıları, Tokyo’da düzenlenen Pwn2Own Automotive 2024 yarışmasının ilk gününde Tesla aracının modeminde bir zafiyet keşfederek toplamda 722.500 dolarlık ödül kazandı. WhiteHat Hacker’lar tarafından sıfır gün (zero-day) olarak adlandırılan tam 24 yeni güvenlik açığı keşfedildi.

Synacktiv ekibi, Tesla aracının modemine root erişimi elde etmek için 3 sıfır gün güvenlik açığı birleştirerek 100.000 dolar kazandı. Bu, güvenlik araştırmacıların cihaz üzerinde tam kontrol elde etmelerine ve sistemin ihlal edilebilirliğini göstermelerine olanak tanıdı.

Synacktiv, Ubiquiti Connect Home şarj istasyonu ve JuiceBox 40 Smart Home şarj cihazı için iki benzersiz güvenlik açığı zincirini kullanarak ek 120.000 dolar kazandı. Bu saldırılar aynı zamanda elektrikli araçlar için popüler şarj cihazı modellerinde ciddi güvenlik sorunlarını da gösterdi.

ChargePoint Home Flex Home şarj cihazını hedef alan başka bir exploit zinciri zaten biliniyordu, ancak yine de ekip için 16.000 dolar daha kazandırdı. Toplamda, Synacktiv ekibi ilk gününde 295.000 dolar ödül kazandı.

Güvenlik araştırmacıları ayrıca, diğer üreticilerin tamamen güncellenmiş elektrikli araç şarj istasyonları ve multimedya sistemlerini başarıyla hacklediler. Örneğin, NCC Group EDG ekibi, Pioneer DMH-WT7600NEX multimedya sistemi ve Phoenix Contact CHARX SEC-3100 Home şarj cihazını hacklemek için sıfır gün güvenlik açıklarını kullanarak 70.000 dolar kazandı ve turnuva sıralamasında ikinci oldu.

Pwn2Own’ın ilk gününün sonuçları, elektrikli araç alanındaki modern yazılım ve donanımların dahi ciddi güvenlik açıklarına sahip olduğunu gösteriyor. Bununla birlikte, bu tür zafiyetlerin zamanında tespiti ve düzeltilmesi mümkündür, yeter ki onlarca hacker bir araya getirilsin ve belirli bir hedef konulsun.

Pwn2Own’da gösterilen exploitlerin ardından üreticilere, Trend Micro şirketinin Zero Day Initiative kapsamında keşfedilen zafiyetlerin detaylarının halka açıklanmadan önce 90 gün içinde güvenlik düzeltmeleri yapmaları için süre verildi.

Pwn2Own Automotive 2024 bu hafta Tokyo’da, Automotive World konferansı kapsamında gerçekleşiyor. Güvenlik araştırmacıları, yarışma süresince çeşitli otomotiv teknolojilerini, multimedya sistemlerini, otomobil işletim sistemlerini, şarj istasyonlarını ve benzerlerini hedef alacaklar.

Birinci ödül, VCSEC, gateway veya otonom sürüş sistemlerinde sıfır gün zafiyetlerinin gösterilmesi durumunda verilecek 200.000 dolarlık bir ödül ve bir Tesla Model 3 araç.

Geçen yıl, Pwn2Own Vancouver 2023 yarışmasında, güvenlik araştırmacıları toplamda 27 sıfır gün zafiyeti ve birkaç ek exploit zinciri göstererek 1.035.000 dolarlık ödül ve bir Tesla Model 3 aracı kazandı.

SIEM (Security Information and Event Management), Türkçe’ye çevrilmiş hali ile Güvenlik Bilgileri ve Olay Yönetimi, SIM (security information management)(güvenlik bilgi yönetimi) ve SEM (security event management)(güvenlik olay yönetimi) işlevlerini tek bir güvenlik yönetim sisteminde birleştiren bir güvenlik yönetim sistemidir. SIEM terimi 2005 yılında Mark Nicolett ve Amrit Williams tarafından Gartner’ın SIEM raporunda ortaya çıktı. Önceki nesillere dayanarak yeni bir güvenlik bilgi sistemi önerdiler.

• Güvenlik Bilgi Yönetimi (SIM), geleneksel günlük toplama ve yönetim sistemlerinin üzerine inşa edilmiş ilk nesildir. SIM, günlük verileri ve tehdit istihbaratı ile birleştirilmiş günlükler üzerinde uzun süreli depolama, analiz ve raporlamayı tanıttı.
• Güvenlik Olay Yönetimi (SEM) güvenlik olaylarını ele alarak inşa edlilmiş ikinci nesildir. Antivirüs, güvenlik duvarları ve İzinsiz Giriş Algılama Sistemleri (IDS) gibi güvenlik sistemlerinden gelen olayların yanı sıra doğrudan kimlik doğrulama, SNMP tuzakları, sunucular, veritabanları vb. sistemlerde kullanılır.

Her SIEM sisteminin temel ilkeleri, birden fazla kaynaktan ilgili verileri toplamak, normdan sapmaları belirlemek ve uygun eylemi yapmaktır. Örneğin, olası bir sorun algılandığında, bir SIEM sistemi ek bilgileri günlüğe kaydedebilir, bir uyarı oluşturabilir ve diğer güvenlik denetimlerine bir etkinliğin ilerlemesini durdurmasını söyleyebilir.

En temel düzeyde, bir SIEM sistemi kurallara dayalı olabilir veya olay günlüğü girişleri arasında ilişki kurmak için istatistiksel bir korelasyon altyapısı kullanabilir. Gelişmiş SIEM sistemleri, kullanıcı ve varlık davranış analitiği (UEBA) ve güvenlik düzenleme, otomasyon ve yanıt (SOAR) içerecek şekilde gelişti.

Ödeme Kartı Endüstrisi Veri Güvenliği Standardı (PCI DSS) uyumluluğu başlangıçta büyük işletmelerde SIEM benimsemesini sağladı, ancak gelişmiş kalıcı tehditlerle (ATS) ilgili endişeler, daha küçük kuruluşların SIEM tarafından yönetilen güvenlik hizmeti sağlayıcılarının (MSP’ler) sunabileceği avantajlara bakmasına neden oldu. Güvenlikle ilgili tüm verilere tek bir açıdan bakabilmek, her boyuttaki kuruluşun olağan dışı desenleri tespit etmesini kolaylaştırır.

SIEM sistemleri, güvenlik duvarları, virüsten koruma veya izinsiz giriş önleme sistemleri (IPS) gibi özel güvenlik ekipmanlarının yanı sıra son kullanıcı cihazlarından, sunuculardan ve ağ ekipmanlarından güvenlikle ilgili olayları toplamak için hiyerarşik bir şekilde birden fazla toplama aracısı dağıtarak çalışır. Toplayıcılar, olayları, güvenlik analistlerinin gürültüyü inceleyerek noktaları birleştirdiği ve güvenlik olaylarına öncelik verdiği merkezi bir yönetim konsoluna iletir.

SIEM nasıl çalışır?

SIEM’in temel işlevi tehdit tespiti ve tehdit yönetimidir. SIEM, tehdit algılama, soruşturma, tehdit avı ve müdahale ve düzeltme faaliyetlerini içeren bir Güvenlik Operasyon Merkezi’nin (SOC) olay müdahale yeteneklerini destekler. SIEM, ana bilgisayar sistemleri, ağlar, güvenlik duvarları ve virüsten koruma güvenlik aygıtları da dahil olmak üzere bir kuruluşun BT ve güvenlik çerçevesi genelinde olay kaynaklarından veri toplar ve birleştirir. Bir kuruluş içindeki olası güvenlik sorunlarını belirlemek için uç nokta, ağ ve bulut varlıkları arasında toplanan verilerin güvenlik kurallarına ve gelişmiş analizlere göre analizini gerçekleştirir.

Bir olay tespit edildiğinde, analiz edildiğinde ve kategorize edildiğinde, SIEM rapor ve bildirimleri kuruluş içindeki uygun paydaşlara sunmak için çalışır. Ayrıca, bir SIEM, denetçilere sürekli izleme ve raporlama özellikleri aracılığıyla kuruluşlarının uyumluluk durumu hakkında bir görünüm sağlayarak mevzuat uyumluluğu gereksinimlerini karşılamaya yardımcı olur.

McAfee şirketinden siber güvenlik uzmanları, Android akıllı telefonlara otomatik olarak bulaşabilen yeni bir XLoader kötü amaçlı yazılım versiyonunu keşfetti. Bu keşif, ABD, İngiltere, Almanya, Fransa, Japonya, Güney Kore ve Tayvan’daki kullanıcıları tehdit etmektedir.

Daha önce Android için en tehlikeli kötü amaçlı yazılım türlerinden biri olarak bilinen XLoader (MoqHao olarak da bilinir), artık arka planda çalışabiliyor ve hassas verileri, fotoğrafları, metin mesajlarını, iletişim listelerini ve cihaz donanım bilgilerini çıkarabilmektedir.

Kötü amaçlı yazılımın yayılması, metin mesajlarındaki sahte bağlantılar aracılığıyla gerçekleşiyor. Bu bağlantılar, Google Play dışında uygulama yüklemek için APK dosyalarına yönlendirilmekte, bu da kötü amaçlı yazılıma bulaşma riskini artırmaktadır.

Google, son zamanlarda bu kötü amaçlı yazılımın yayılma yöntemiyle ve diğer üçüncü taraf APK dosyaları aktif bir şekilde mücadele etmekte ve Google Play Protect tarama ve izin kontrolü gibi önlemleri uygulamaktadır.

Şu anki XLoader’a dönüldüğünde, kurbanları kandırmak ve akıllı telefonun ek izinlerine erişim sağlamak amacıyla kötü amaçlı yazılım, kendini Google Chrome olarak gizler ve kullanıcılara spam önleme amacıyla kendisini ana SMS uygulaması olarak kurmalarını önerir.

Kötü amaçlı yazılım hemen hemen birçok ülke için uyarlanmış durumda ve daha inandırıcı görünmesi için pop-up mesajlarında çeşitli diller kullanmaktadır.

Yukarıda belirtilen özelliklere ek olarak, yeni XLoader’ın kurulumdan sonra otomatik olarak başlatılma özelliği bulunmaktadır. Yani, uygulamayı cihaza yüklemenin sahibi için ölümcül hale gelmesi demektir, çünkü kötü amaçlı yazılım kendisini otomatik olarak başlatır ve kötü niyetli faaliyetlerine başlar. Diğer çoğu kötü amaçlı yazılımın aksine, diğerlerini enfekte etmek için manuel olarak başlatılması gerekmez.

McAfee, yukarıda belirtilen özelliklerin yanı sıra, XLoader’ın en yeni varyantları, kullanıcı ile minimum etkileşim gerektirdiği için özellikle etkili olabileceği konusunda uyarıyor.

Android’deki kötü amaçlı yazılımlardan korunmak için, resmi olmayan kaynaklardan uygulama yüklemekten kaçınılmalı, SMS mesajlarındaki URL’leri (tanıdık gönderenlerden bile olsa) açılmamalı ve uygulamaların istediği izinlere dikkatlice bakılmalıdır. Ayrıca, yalnızca güvenilir geliştiriciler tarafından geliştirilenleri kullanmak ve yüklenen uygulama sayısını sınırlamak da önerilmektedir.

Caller ID Spoofing Nedir ve Sahte Aramalara Karşı Nasıl Korunabiliriz?

Caller ID spoofing, internet tabanlı teknolojilerin gelişmesiyle daha kolay erişilebilir hale gelen ve özellikle dolandırıcılık, kimlik hırsızlığı gibi yasa dışı faaliyetlerde kullanılan bir yöntemdir. Bu yazıda, caller ID spoofing’in ne olduğunu, teknik detaylarını ve bu tür sahte aramalara karşı nasıl koruma sağlayabileceğimizi detaylı bir şekilde ele alacağız.

Caller ID spoofing, bir saldırganın telefon sistemini manipüle ederek, aradığı kişinin telefonunda görünen numarayı veya ismi değiştirme işlemidir. Bu sayede, güvenilir bir kişi veya kurumdan arandığınızı düşünebilirsiniz. Bu yöntem, sosyal mühendislik teknikleriyle birleştirildiğinde, kullanıcıları yanıltmak ve hassas bilgileri ele geçirmek için oldukça etkili bir araç haline gelir. Caller ID spoofing, yani aramayı yapanın kimliğini taklit etme, günümüzde sıkça karşılaştığımız ve oldukça tehlikeli bir siber saldırı yöntemidir. Bu yöntemde, saldırganlar aradıkları kişinin telefonunda görünen numarayı veya ismi değiştirerek, güvenilir bir kişi veya kurumdan arıyormuş gibi bir izlenim yaratırlar. Bu durum, hem kişisel bilgilerin çalınmasına hem de dolandırıcılığa zemin hazırlar. Bu yöntemle arayan kişi, karşı tarafın telefon ekranında güvenilir bir numara veya bilinen bir kurumun ismi görünecek şekilde bir düzenleme yapar. Örneğin, bir dolandırıcı, hedef telefonda bir banka numarası veya devlet kurumu gibi gözükecek bir arama yaparak güven kazanır ve bu güveni kullanarak hassas bilgiler talep eder. Bu tür dolandırıcılık saldırıları, fidye taleplerinden kimlik hırsızlığına kadar geniş bir yelpazede kötü niyetli amaçlar için kullanılmaktadır.

Caller ID spoofing genellikle VoIP (Voice Over Internet Protocol) üzerinden yapılır. Bu yöntem, IP tabanlı telefon sistemleriyle çalıştığından, arayan kişinin kimliğini gizlemesine veya değiştirmesine olanak tanır. Spoofing işlemi sırasında, arayanın cihazı, alıcıya gerçek olmayan bir Caller ID gönderir. Bu Caller ID, hedefin telefonunda, dolandırıcının seçtiği herhangi bir numara veya isim olarak görüntülenir.

Caller ID spoofing işlemi teknik olarak birkaç adımdan oluşur:

• VoIP Tabanlı Çağrı Başlatma: Arama, internet üzerinden çalışan bir VoIP servisi aracılığıyla başlatılır. VoIP sistemleri, geleneksel telefon hatlarının aksine dijital sinyalleri kullanarak iletişimi sağlar.
• Caller ID Manipülasyonu: Arayan, VoIP servisi üzerinden arama bilgilerini manipüle eder ve arayan numarasını değiştirmek için belirli parametreleri düzenler. Bu parametreler, arayan kişinin hangi numaranın görünmesini istediğine göre düzenlenir.
• Hedef Cihaza İletim: Değiştirilmiş Caller ID bilgileri, hedef cihaza iletilir ve ekranda farklı bir numara veya isim görüntülenir. Bu noktada, arayan kişi, hedefte güven uyandırabilecek bir kimliğe bürünmüş olur.

Bazı popüler caller ID spoofing servisleri şu şekilde sıralanabilir:

• Narayana.im
• Voipsv.com
• Spoofwave.com
• Crypto-caller.com
• Titan-caller.com

Ayrıca, Telegram üzerinden erişilebilen bazı botlar da bu tür hizmetleri sağlamakta ve dolandırıcıların kimlik değiştirme sürecini daha erişilebilir kılmaktadır.

Caller ID spoofing, sadece dolandırıcılık amaçlı değil, aynı zamanda bazı kötü niyetli faaliyetlerde ve sosyal mühendislik saldırılarında da kullanılmaktadır. İşte bazı yaygın kullanım alanları:

• Dolandırıcılık: En yaygın kullanım alanıdır. Dolandırıcılar, güven telkin edebilmek için hedefin güvendiği bir numarayla arama yaparak banka bilgileri, sosyal güvenlik numarası gibi hassas bilgileri ele geçirmeye çalışır.
• Sosyal Mühendislik Saldırıları: Kimlik taklidi yapılarak hedefe yanlış bilgi aktarılır ve psikolojik manipülasyonla istenilen bilgiler elde edilmeye çalışılır.
• Kimlik Hırsızlığı: Çalınan bilgiler, kimlik hırsızlığı gibi ciddi suçlara yol açabilmektedir.
• Taciz ve Tehdit Amaçlı Aramalar: Kişileri taciz etmek veya tehdit etmek amacıyla kullanıldığında, karşıdaki kişi arayanın gerçek kimliğini öğrenemediği için kendini daha savunmasız hisseder.
• Acil Durumlar: Acil bir durum olduğu söylendiğinde, insanlar genellikle panikleyerek doğru düşünmeyi bırakabilmektedir.
• Finansal Kayıplar: Kredi kartı bilgileri çalındığında maddi kayıplar yaşanmaktadır.

Caller ID spoofing ile mücadelede kullanılan en etkili yöntemlerden biri STIR/SHAKEN protokolüdür. Bu protokol, arayan kimliğini doğrulamayı amaçlayan dijital imzalar kullanarak çalışır. STIR/SHAKEN, “Secure Telephone Identity Revisited” ve “Signature-based Handling of Asserted information using Tokens” kelimelerinin kısaltmasıdır. Bu protokol, her çağrının gerçek kimlik bilgileriyle ilişkili olup olmadığını doğrular ve sahte aramaları ayıklayarak alıcının cihazına uyarı gönderir.

STIR/SHAKEN’in Çalışma Mekanizması:

• Dijital İmza Eklenmesi: Arama başladığında, aramanın geldiği operatör, aramaya dijital bir imza ekler. Bu imza, aramanın gerçek kaynağını doğrulamak için kullanılır.
• Kimlik Doğrulama ve İmza Kontrolü: Çağrı, hedef cihaza ulaştığında, hedef cihaz bu imzayı doğrular. İmzanın doğrulanması, arayan kişinin kimliğinin sahte olmadığını gösterir.
• Uyarı Sistemi: Eğer imza doğrulanmazsa veya eksikse, çağrı sahte olarak işaretlenir ve alıcıya bir uyarı gönderilir.

STIR/SHAKEN, ABD ve Kanada gibi bazı ülkelerde aktif olarak kullanılmaktadır ve bu ülkelerde caller ID spoofing’in etkilerini büyük ölçüde azaltmaktadır. Ancak, bu protokol henüz tüm dünyada yaygın olarak uygulanmamaktadır.

Caller ID spoofing’e karşı korunmak için bireysel ve kurumsal olarak alınabilecek bazı adımlar bulunmaktadır. Dikkat edilmesi gereken bazı temel koruma yöntemleri:

• Şüpheli Aramalara Karşı Dikkatli Olun: Bilinmeyen numaralardan gelen aramalarda, özellikle finansal veya kişisel bilgi taleplerine karşı dikkatli olun. Bankalar veya resmi kurumlar, telefon üzerinden kimlik bilgilerinizi istemezler.
• Geri Arama ile Doğrulama: Şüpheli bir arama aldığınızda, gelen numarayı doğrudan değil, ilgili kurumun resmi numarasını arayarak doğrulayın. Bu yöntem, dolandırıcıların kimliğini gizleme girişimlerini önler.
• Caller ID Engelleme ve Güvenlik Uygulamaları: Bazı akıllı telefon uygulamaları, şüpheli aramaları tespit ederek sizi bilgilendirebilir. Bu tür uygulamalar, sahte aramaları engelleyerek dolandırıcılık riskini azaltır.
• STIR/SHAKEN Gibi Protokollerin Türkiye’de Uygulanması: Türkiye’de STIR/SHAKEN benzeri bir protokolün uygulanması, caller ID spoofing tehdidinin önüne geçilmesine önemli katkılar sunacaktır. Bu konuda toplumsal farkındalık oluşturmak, ilgili kurumların harekete geçmesine katkı sağlayacaktır.
• Eğitim ve Farkındalık: Özellikle kurumlar, çalışanlarını caller ID spoofing konusunda eğiterek, dolandırıcılık girişimlerine karşı savunma hattını güçlendirebilirler.

Caller ID spoofing, dijital çağda güvenliği tehdit eden önemli sorunlardan biridir ve kolay erişilebilir olması nedeniyle hızla yaygınlaşmaktadır. STIR/SHAKEN gibi protokollerin daha geniş bir coğrafyada uygulanması, caller ID spoofing’in olumsuz etkilerini azaltmak için önemli bir adımdır. Ancak, bireylerin ve kurumların bilinçlenmesi ve gerekli tedbirleri alması da sahte aramalara karşı korunmada hayati öneme sahiptir.

Caller ID spoofing’in teknik detaylarını ve korunma yollarını öğrenmek, bu tür saldırılara karşı hazırlıklı olmanızı sağlar. Özellikle kişisel bilgilerinizi korumak ve bu tür dolandırıcılık faaliyetlerinden uzak durmak için bilinçli davranarak çevrenizdeki insanlarla bu bilgileri paylaşmanız, toplumsal güvenliği artırmak adına önemli bir adım olacaktır.

Mobil cihazlarda parola koruması, dijital verilerin güvenliğini sağlamak için kullanılan kritik bir güvenlik önlemidir. Matematiksel algoritmalar kullanılarak bilgiler şifrelenir ve bu sayede yetkisiz erişimlere karşı koruma sağlanır. Cep telefonları, kişisel ve hassas bilgilerin bulunduğu cihazlar olduğu için bu verilerin güvenliği büyük önem taşır.

AES, cep telefonları gibi cihazlarda genellikle kullanılan simetrik şifreleme algoritmalarından biridir. Bu algoritma, aynı anahtarın hem şifreleme hem de şifre çözme işlemlerinde kullanılmasına dayanır. Mobil cihazlarda kullanıcı verilerini korumak için genellikle AES algoritması tercih edilir. Veri şifreleme ve çözme süreçlerinde yüksek hız ve güvenlik sağlamak amacıyla kullanıcı tarafından belirlenen bir anahtar kullanılır.

Cep telefonlarındaki şifreleme yöntemleri arasında yer alan bir diğer önemli algoritma ise RSA’dır. RSA, açık anahtarlı bir şifreleme sistemidir. Bu sistemde her kullanıcı, bir çift anahtar oluşturur: açık anahtar (public key) ve özel anahtar (private key). Açık anahtar, veriyi şifrelemek için kullanılırken, özel anahtar, şifrelenmiş veriyi çözmek için kullanılır. Bu yöntem, güvenli iletişimde ve dijital imzalarda sıklıkla kullanılır.

Cep telefonlarındaki şifreleme yöntemleri, kullanıcı verilerini korumak ve yetkisiz erişimlere karşı önlem almak için gelişmiş matematiksel algoritmaları içerir. Simetrik şifreleme (AES) ve açık anahtarlı şifreleme (RSA) gibi yöntemler, kullanıcı bilgilerini güvenli bir şekilde koruyarak gizliliği sağlar. Bu teknik güvenlik önlemleri, dijital dünyada kişisel ve hassas bilgilerin güvenliğini temin etmek adına kritik bir rol oynar.

Cep telefonlarındaki parola ve desen kilidi güvenlik önlemleri, kullanıcıların cihazlarına sadece yetkili erişim sağlamak ve kişisel bilgilerini korumak amacıyla tasarlanmış kritik güvenlik katmanlarıdır. Aşağıda, parola ve desen kilidi güvenliği ile ilgili daha fazla teknik detay verilmiştir:

Güçlü parolalar, cihazlardaki verilerin korunması için temel bir önlemdir. Güvenli parolalar genellikle uzun, karmaşık ve öngörülemeyen karakter dizilerinden oluşur. Bununla birlikte, modern şifreleme algoritmaları, brute-force saldırılarına karşı dirençli olacak şekilde tasarlanmıştır.

Parola Karmaşıklığı: Güçlü parolaların karmaşıklığı, büyük ve küçük harfleri, sayıları ve özel karakterleri içermeleriyle artar. Ayrıca, belirli bir süre sonra değiştirilmesi önerilen parola politikaları da güvenliği sağlamak adına kullanılabilir.

Tek Kullanımlık Parolalar (OTP): Daha ileri seviye güvenlik için, tek kullanımlık parolalar (OTP) kullanılabilir. OTP’ler, her oturumda veya belirli bir süre zarfında geçerli olan tek kullanımlık kodlardır. Bu, hesap güvenliğini artırır, çünkü bir saldırganın geçmişte ele geçirdiği parolayı kullanma olasılığını azaltır.

Desen kilidi, kullanıcıların cihazlarına bir desen çizerek erişim sağlamalarını sağlayan bir güvenlik yöntemidir. Ancak, desen kilidinin karmaşıklığı, güvenlik seviyesini belirleyen önemli bir faktördür.

Karmaşık Desenler: Güvenli desen kilidinin karmaşıklığı, desenin çizildiği noktaların sayısı ve sıralaması ile belirlenir. Karmaşık ve öngörülemeyen desenler, güvenlik seviyesini artırır ve brute-force saldırılarına karşı dayanıklılığı sağlar.

Biyometrik Tanıma: Cihazlardaki gelişmiş güvenlikte biyometrik tanıma sistemleri de kullanılır. Parmak izi ve yüz tanıma gibi özellikler, kullanıcının fiziksel özelliklerini kullanarak güvenlik seviyesini artırır.

Parola atlatma, adli bilişim ve veri kurtarma çalışmalarında kritik rol oynayan teknik bir beceridir. Veri kurtarma laboratuarlarının, adli bilişim laboratuarlarının ve kolluk kuvvetlerinin şifrelenmiş cihazlardaki verilere erişme sürecini içerir. Bu süreç, DrDisk Lab’ın uzman ekipleri tarafından yürütülmektedir ve veri kurtarma ve adli bilişim çalışmalarında kritik öneme sahip bir aşamadır. Aşağıda, parola atlatma ve olay incelemesinin teknik detaylarına dair bilgiler bulunmaktadır:

Parola Atlatma Teknikleri:

1- Brute-Force Saldırıları:

• Gelişmiş brute-force teknikleri, şifre kombinasyonlarını sistematik olarak deneyerek doğru parolayı bulma amacını taşır. Bu süreç, büyük veri setleri üzerinde hızlı ve etkili bir şekilde uygulanabilir.

2- Saldırı Vektörleri ve Zayıflıkların Analizi:

• Şifre kombinasyonlarında kullanılan algoritma ve yöntemleri anlamak, saldırı vektörlerini belirlemek ve zayıflıkları tespit etmek, parola atlatma sürecinde önemli bir adımdır.

3- Kriptoanalitik Yöntemler:

• Kriptoanaliz, şifreleme sistemlerini analiz ederek zayıflıkları tespit etmeye odaklanan bir disiplindir. Bu yöntemler, şifrelenmiş verileri anlamak ve çözmek için kullanılır.

Olay İncelemesindeki Önemi:

1- Dijital Delillerin Elde Edilmesi:

• Parola atlatma, şifrelenmiş cihazlardan elde edilen dijital delillerin çözülmesine olanak tanır. Bu deliller, adli vakaların aydınlatılmasında kritik rol oynar.

2- Vaka Mahallindeki Diğer Delillerle Entegrasyon:

• Elde edilen dijital deliller, vaka mahallindeki diğer fiziksel delillerle entegre edilerek kapsamlı bir olay inceleme sürecine katkı sağlar.

Parola atlatma, adli bilişimdeki gelişmiş tekniklerle birleştiğinde kritik bir öneme sahip olur. Gelişmiş algoritmalar ve teknik yöntemler, cihazlardaki şifreleri çözmek ve kullanıcılara erişimlerini geri kazanmalarına yardımcı olmak için kullanılır. Bu, özellikle cihazlardaki verilerin güvenliğini sağlamak adına önemli bir hizmet sunmaktadır.

rola atlatması veya parola kırma işlemi gerçekleştirilebilen cihazların listesine erişmek için

Avrupa Birliği’nin kolluk kuvvetleri ajansı olan Europol, Europol Platform for Experts (EPE) portalında veri sızıntısı gerçekleştiğini doğruladı ve tehdit aktörünün “For Official Use Only (FOUO)” yani Resmi Kullanıma Mahsus belgeler ve gizli veriler içeren belgeleri çaldığını iddia etmesinin ardından soruşturma başlattı.

EPE, kolluk kuvvetleri uzmanlarının “suçla ilgili bilgi, en iyi uygulamalar ve kişisel olmayan verileri paylaşmak” için kullandığı bir çevrimiçi platformdur.

Europol, BleepingComputer’a yaptığı açıklamada, “Europol olayın farkındadır ve durumu değerlendirmektedir. İlk adımlar zaten atıldı. Olay, kapalı bir kullanıcı grubu olan Europol Platform for Experts (EPE) ile ilgilidir.” dedi.

“Bu EPE uygulamasında hiçbir operasyonel bilgi işlenmemektedir. Europol’ün çekirdek sistemleri etkilenmedi ve dolayısıyla Europol’den hiçbir operasyonel veri tehlikeye atılmadı.” açıklaması yapıldı.

BleepingComputer ayrıca, veri ihlalinin ne zaman gerçekleştiğini ve tehdit aktörünün iddia ettiği gibi FOUO ve gizli belgelerin çalınıp çalınmadığını sordu, ancak henüz bir cevap alınamadı.

Politico’nun Mart ayında bildirdiği gibi, Europol’ün İcra Direktörü Catherine De Bolle ve diğer üst düzey yetkililerin basılı personel kayıtları da Eylül 2023’ten önce sızdırılmıştı.

18 Eylül tarihli ve dahili bir mesaj panosu sisteminde paylaşılan bir notta, “06.09.2023 tarihinde Europol Müdürlüğü, birkaç Europol personelinin kişisel kağıt dosyalarının kaybolduğu konusunda bilgilendirildi.” ifadeleri yer aldı.

“Europol’ün kolluk kuvveti otoritesi olarak personel üyelerinin kişisel dosyalarının kaybolması ciddi bir güvenlik ve kişisel veri ihlali olayı teşkil etmektedir.” denildi.

Yayınlandığı sırada EPE web sitesi kullanılamıyordu ve bir mesajda hizmet bakımda olduğu için kullanılamadığı belirtildi.

Veri ihlali iddialarının arkasındaki tehdit aktörü olan IntelBroker, dosyaları FOUO olarak tanımlıyor ve gizli veriler içeriyor.

Tehdit aktörü, çalındığı iddia edilen verilerin ittifak çalışanları hakkında bilgiler, FOUO kaynak kodu, PDF’ler ve keşif ve yönergeler için belgeler içerdiğini söylüyor.

Ayrıca, dünyanın dört bir yanından 6.000’den fazla yetkili siber suç uzmanına ev sahipliği yapan ve EPE portalındaki topluluklardan biri olan EC3 SPACE’e (Güvenli Platform Yetkili Siber Suç Uzmanları İçin) erişim sağladıklarını iddia ediyorlar. Bunlar:

• AB Üye Devletlerinin yetkili makamlarından ve AB dışı ülkelerden kolluk kuvvetleri
• Adli makamlar, akademik kurumlar, özel şirketler, hükümet dışı ve uluslararası kuruluşlar
• Europol personeli

IntelBroker ayrıca, AB üye devletleri, Birleşik Krallık, Eurojust ile işbirliği anlaşması olan ülkeler ve Avrupa Kamu Savcılığı (EPPO) dahil olmak üzere 47 ülkeden adli ve kolluk kuvvetleri tarafından kullanılan SIRIUS platformunu hacklediğini iddia ediyor.

SIRIUS, cezai soruşturmalar ve işlemler çerçevesinde sınır ötesi elektronik delillere erişmek için kullanılır.

IntelBroker, EPE’nin çevrimiçi kullanıcı arayüzünün ekran görüntülerini sızdırmanın yanı sıra, iddia edilen 9.128 kayıt içeren bir EC3 SPACE veritabanının küçük bir örneğini de sızdırdı. Örnek, EC3 SPACE topluluğuna erişimi olan kolluk kuvvetleri ajanları ve siber suç uzmanlarının kişisel bilgilerine benziyor.

Tehdit aktörü, bir hacker forumunda Cuma günü yaptığı paylaşımda, “FİYAT: Teklif gönderin. SADECE XMR [Monero kripto para birimi]. Bir temas noktası için forumlarda bana mesaj gönderin. Ödeme gücü kanıtı gereklidir. Sadece itibarlı üyelere satıyorum.” dedi.

Avrupa Birliği’nin kolluk kuvvetleri ajansı olan Europol’ün Europol Platform for Experts (EPE) portalında veri sızıntısı olduğu iddiaları, siber güvenlik dünyasında endişelere yol açtı. Tehdit aktörünün iddialarına göre, sızdırılan bilgiler arasında “For Official Use Only” (FOUO) yani Resmi Kullanıma Mahsus belgeler ve gizli veriler de yer alıyor.

Sızıntının Boyutu ve Etkileri:

• Sızıntının ne zaman gerçekleştiği tam olarak bilinmiyor.
• Tehdit aktörü IntelBroker, EPE’nin kapalı bir kullanıcı grubuna ait olduğunu ve sızdırılan verilerin ittifak çalışanları, FOUO kaynak kodu, keşif ve yönergeler için belgeler ile EC3 SPACE (Güvenli Platform Yetkili Siber Suç Uzmanları İçin) platformuna ait verileri içerdiğini iddia ediyor.
• EC3 SPACE platformu, dünyanın dört bir yanından 6.000’den fazla yetkili siber suç uzmanına ev sahipliği yapıyor.
• Ayrıca, SIRIUS platformunun da (47 ülkeden adli ve kolluk kuvvetleri tarafından kullanılıyor) tehlikeye atıldığı ve sızdırılan bilgiler arasında bu platformdan da veriler olduğu iddiaları mevcut.
• Sızdırılan verilerin içeriği ve kapsamı şu anda tam olarak bilinmiyor.

Europol’ün Tepkisi:

Europol, sızıntıyı doğruladı ve durumu değerlendirdiklerini açıkladı. İlk adımların atıldığını ve sızıntının EPE’nin kapalı bir kullanıcı grubu ile sınırlı olduğunu vurguladılar.

Ancak, sızdırılan verilerin içeriği veya operasyonel verilerin etkilenip etkilenmediği ile ilgili net bir açıklama yapılmadı. Bu durum, sızıntının boyutunun ve potansiyel etkilerinin tam olarak anlaşılamamasına yol açıyor.

Siber Güvenlik Endişeleri:

Bu veri sızıntısı, siber güvenlik açısından ciddi endişelere yol açıyor. Sızdırılan verilerin içeriği ve kapsamı netleşmese de, FOUO belgeler ve gizli bilgilerin tehlikeye atılması, Avrupa’daki siber güvenliği ve ulusal güvenliği önemli ölçüde tehdit ediyor.

Sızdırılan verilerin istismar edilmesi, siber saldırılarda artışa, hassas bilgilerin açığa çıkmasına ve hatta uluslararası ilişkilerin bozulmasına yol açabilir.

Kaynak :

“Apple, silinen fotoğraflar gizlice arşivleniyor mu?” sorusu bu gün sosyal medyada en çok sorulan sorulardan biri oldu. Apple’ın iOS 17.5 güncellemesiyle ortaya çıkan, silinen fotoğrafların geri gelme sorunu, kullanıcıların özel verilerinin gizliliğini tehlikeye atan ciddi bir skandala dönüştü. Bu olay, dijital çağda mahremiyet kavramının güvenliğini sorgulatıyor.

Etki Alanı: Yüzlerce iPhone kullanıcısının yıllar önce sildiği fotoğrafların, arama kayıtlarının, mesajların ve daha bir çok şeyin güncelleme sonrası cihazlarına geri döndüğünü fark etmesi, sorunun geniş bir kullanıcı kitlesini etkilediğini gösteriyor.

Gizlilik İhlali: Kullanıcıların bilgisi ve izni olmadan fotoğraflarının saklanması, açık bir gizlilik ihlalidir. Apple’ın bu tür bir uygulamaya imza atması, etik açıdan sorgulanabilir ve kullanıcıların güvenini zedelemektedir.

Veri Güvenliği Sorunları: Silinen fotoğrafların gizlice arşivlenmesi, veri güvenliği açısından da endişe vericidir. Bu fotoğraflar siber saldırılara veya yetkisiz erişimlere maruz kalabilir, bu da kullanıcıların mahremiyetini daha da riske atabilir. Apple’ın bu uygulamayı neden gerçekleştirdiği tam olarak bilinmiyor. Reklamlar için veri toplama, “dijital hafıza” oluşturma gibi farklı teoriler mevcut. Ancak, Apple’ın bu konuda net bir açıklama yapmaması, gizli bir ajandasının varlığına dair şüpheleri artırıyor.

Öfke ve Endişe: Sosyal medyada Apple’a tepkiler çığ gibi büyüyor. Kullanıcılar, bu gizlilik ihlaline karşı öfkeli ve endişeli. Apple’a olan güveni sarsan bu durum, kullanıcıları rakip markalara yönlendirme potansiyeli taşıyor.

Bazı kullanıcılar, Apple ürünlerini boykot etmeye ve alternatif çözümlere yönelmeye çağrıda bulunuyor. Bu durum, Apple’ın satışlarını ve pazar payını olumsuz etkileyebilir. Bazı kullanıcılar ise, Apple aleyhine yasal işlem başlatmayı değerlendiriyor. Bu durum, Apple’a maddi ve manevi tazminat yükümlülüğü getirebilir.

Apple’ın İtibar Kaybı: Bu skandal, Apple’ın itibarına büyük bir darbe vurabilir ve kullanıcıların markaya olan güvenini zedeleyecektir. Apple, kullanıcıların verilerini korumadaki zafiyeti nedeniyle yasal yaptırımlarla karşı karşıya kalabilir. Bu olay, kullanıcıların veri güvenliği konusunda daha bilinçli olmalarına ve hangi bilgilere izin verdiklerine daha fazla dikkat etmelerine yol açacaktır.

Apple’ın silinen fotoğrafları gizlice arşivleme uygulaması, kullanıcıların mahremiyetini tehdit eden ve dijital çağda güvenlik kavramını sorgulatan bir skandala dönüştü. Apple’ın bu konuda acil bir açıklama yapması ve kullanıcıların endişelerini gidermesi gerekiyor. Aksi takdirde, bu skandal Apple’ın itibarına ve geleceğine büyük zarar verecektir.

Silinen Fotoğrafları Geri Yüklemesi: Apple, kullanıcılarına silinen fotoğrafları geri yüklenebilmesinin arkasında yatan gerçeği ve bu işlemin nasıl gerçekleştiğine dair detaylı bilgi vermesi gerekir.

Dijital mahremiyetin korunmasına yönelik yasal düzenlemeler ve yaptırımlar gözden geçirilmeli ve güçlendirilmelidir.

Bu skandal, dijital çağda mahremiyetin ne kadar önemli olduğunu bir kez daha gösteriyor. Kullanıcıların, verilerini kimin topladığını, nasıl kullandığını ve ne için sakladığını bilme hakkı vardır. Apple ve diğer teknoloji şirketleri, kullanıcıların güvenini yeniden kazanmak için somut adımlar atmak zorundadır.

Eski ismiyle Raid forums olarak bilinen ve FBI tarafından yapılan operasyonlar sonucu çökertildikten sonra farklı isimlerde yasadışı faaliyetlerine devam eden illegal paylaşım platformunda, önde gelen teknoloji şirketlerinden Dell’in 49 milyon müşteri kaydını içerdiği iddia edilen bir veri tabanının satıldığı ortaya çıktı. İddia edilen veriler, 2017 ve 2024 yılları arasında Dell’den satın alınan sistemlere ait bilgileri kapsayan kapsamlı bir müşteri bilgileri deposunu içermektedir.

Dell sunucularında kayıtlı güncel bilgiler olduğu iddia edilen veriler, tam adlar, adresler, şehirler, iller, posta kodları, ülkeler, sistemlerin benzersiz 7 haneli servis etiketleri, sistem sevkiyat tarihleri (garanti başlangıcı), garanti planları, seri numaraları (monitörler için), Dell müşteri numaraları ve Dell sipariş numaraları gibi hayati kişisel ve şirket bilgilerini içeriyor. Özellikle, siber saldırgan bu verilerin tek sahibi olduğunu iddia ederek ihlalin ciddiyetinin altını çiziyor.

İddialara göre şaşırtıcı sayıdaki kayıtlar arasında yaklaşık 7 milyon satır bireysel/kişisel satın alımlarla ilgiliyken, 11 milyonu tüketici segmentindeki şirketlere ait. Bunların haricinde kalan ise verilere ilişkin iddialar ise kurumsal, ortak, okul veya tanımlanamayan kuruluşlarla ait olduğu yönündedir . Ayrıca, siber saldırgan veri tabanında en fazla sistemin temsil edildiği ilk beş ülkeyi ABD, Çin, Hindistan, Avustralya ve Kanada şeklinde sıralamaktadır.

Bu veri sızıntısı, Dell müşterilerinin bilgilerinin güvenliği ve gizliliğine ilişkin önemli endişeleri artırmakta ve potansiyel riskleri azaltmak ve daha fazla yetkisiz erişimi önlemek için acil tedbirler alınmasını gündeme getirmektedir.

Dell, 2017 ile 2024 yılları arasında satın alınan sistemlere ait olduğu iddia edilen 49 milyon müşteri kaydını içeren bir veri tabanının tehdit aktörleri tarafından satışa sunulduğu iddiasıyla karşı karşıya. Bu ciddi güvenlik ihlali, müşterilerin kişisel ve şirket bilgilerini büyük bir riske atmaktadır.

Sızdırılan Veriler: İhlal edilen veriler arasında tam adlar, adresler, iletişim bilgileri, sistem bilgileri, garanti detayları ve sipariş numaraları gibi hassas bilgiler bulunmaktadır. Bu bilgiler, kimlik hırsızlığı, dolandırıcılık ve hedefli saldırılar gibi kötü amaçlı faaliyetler için kullanılabilir.

Hedef Kitle: İhlal, hem bireysel müşterileri hem de çeşitli sektörlerden şirketleri etkilemektedir. Özellikle ABD, Çin, Hindistan, Avustralya ve Kanada’daki müşterilerin verilerinin daha fazla risk altında olduğu belirtilmektedir.

Bu olay, veri güvenliğinin önemini bir kez daha gözler önüne sermektedir. Şirketlerin, müşteri verilerini korumak için güçlü güvenlik önlemleri alması ve olası ihlallere karşı hazırlıklı olması gerekmektedir.

• İhlalin kaynağını ve kapsamını belirlemek için kapsamlı bir soruşturma başlatmalı.
• Etkilenen müşterileri derhal bilgilendirmeli ve kimlik hırsızlığına karşı koruma hizmetleri sunmalı.
• Veri güvenliği altyapısını gözden geçirmeli ve gerekli güncellemeleri yapmalı.
• Şeffaf bir iletişim politikası benimseyerek kamuoyunu gelişmelerden haberdar etmeli.

Dell tarafındna yapılması gerekenler bu şekildeyken verileri ihlal edilmiş olabilecek kişi ve kurumlar açısından ise yapılması gerekenleri şu şekilde sıralayabiliriz.

Müşteriler:

• Dell hesaplarının şifrelerini değiştirmeli ve iki faktörlü kimlik doğrulamayı etkinleştirmeli.
• Hesap hareketlerini ve kredi raporlarını yakından takip etmeli.
• Kimlik avı saldırılarına karşı dikkatli olmalı ve şüpheli e-postalara veya bağlantılara tıklamaktan kaçınmalı.
• Gerekirse kimlik hırsızlığına karşı koruma hizmetlerinden yararlanmalı.

Dell’in yaşadığı veri ihlali, Avrupa Birliği Genel Veri Koruma Tüzüğü (GDPR) ve diğer ülkelerdeki genel veri koruma mevzuatı açısından ciddi sonuçlar doğurabilir.

• Veri Sorumlusunun Sorumlulukları: GDPR, veri sorumlularına kişisel verilerin korunması konusunda önemli yükümlülükler getirir. Dell, bu ihlalden etkilenen bireylerin kişisel verilerini işlediği için GDPR kapsamında veri sorumlusu olarak kabul edilir. Bu nedenle, Dell’in veri güvenliği konusunda gerekli tüm teknik ve idari önlemleri aldığını kanıtlaması beklenir.

• İhlal Bildirimi: GDPR, veri ihlallerinin yetkili veri koruma kurumlarına ve etkilenen bireylere bildirilmesini zorunlu kılar. Dell’in, ihlali tespit ettikten sonraki 72 saat içinde ilgili kurumlara bildirim yapması gerekmektedir. Ayrıca, etkilenen bireyleri de makul bir süre içinde bilgilendirmekle yükümlüdür.

• Veri Koruma Etki Değerlendirmesi (DPIA): GDPR, yüksek riskli kişisel veri işleme faaliyetleri için DPIA yapılmasını şart koşar. Dell’in, bu ihlalden önce böyle bir değerlendirme yapıp yapmadığı ve riskleri yeterince değerlendirip değerlendirmediği incelenmelidir.

• İdari Para Cezaları: GDPR, ihlallerin ciddiyetine bağlı olarak veri sorumlularına yüksek idari para cezaları uygulayabilir. Dell’in, bu ihlal nedeniyle GDPR’nin 4. maddesinde belirtilen azami ciro üzerinden %4’e kadar veya 20 milyon Euro’ya kadar para cezasıyla karşı karşıya kalması mümkündür.

• Diğer Ülkelerdeki Mevzuat: GDPR’nin yanı sıra, Dell’in faaliyet gösterdiği diğer ülkelerdeki veri koruma mevzuatı da dikkate alınmalıdır. Bu mevzuatlar, GDPR’den farklı hükümler içerebilir ve farklı yaptırımlar öngörebilir.

• Sınıf Davaları: Etkilenen bireyler, Dell’e karşı toplu tazminat davaları açabilirler. Bu davalar, Dell’in itibarını zedeleyebilir ve maddi kayıplara yol açabilir.

Bu blog yazısı, UEFI tersine mühendislik, güvenlik açığı keşfi ve exploit geliştirme üzerine bir serinin ilk yazısıdır.

Bir zamanlar, rootkit’lerin altın çağında ve internetin ana akım olarak benimsenmesinin şafağında, vahşi kötü amaçlı yazılım tehdit ortamı MBR bootkit’leri ve eski BIOS (Temel Giriş-Çıkış Sistemi) makinelerinin ünlü güvensiz işletim sistemi öncesi önyükleme ortamını hedef alan istismarlar tarafından istila edilmişti. Ancak UEFI’nin (Evrensel Genişletilebilir Ürün Yazılımı Arayüzü) ana akım olarak benimsenmesi kötü amaçlı yazılım tehdit ortamını sonsuza dek değiştirdikten sonra doğal bir soru ortaya çıktı: platform ürün yazılımı tasarımı ve uygulamasındaki yeni gelişmelerle birlikte, bir bootkit geliştiricisi ne yapmalıydı? Elbette, paradigmadaki bu yeni değişimle birlikte, önyükleme işlemi güvenliği geçmişte kaldı… değil mi?

Yine de size bir sır vereceğim: BIOS korsanlığı geri döndü ve her zamankinden daha kötü (ve daha iyi). UEFI, önyükleme sürecinde yeni yenilikler ve şimdiye kadar öngörülemeyen gelişmeler ve dolayısıyla klasik MBR önyükleme kitleri için hafifletmeler getirmiş olsa da, yeni bir dönem başlamak üzereydi – UEFI istismarları, UEFI tabanlı önyükleme kitleri ve UEFI ürün yazılımı implantları dönemi.

Ancak bir bootkit geliştiricisi bu yeni çağda ilerlemek istiyorsa yeni bir beceri setine ihtiyaç duyacaktır. Eski BIOS, MBR ve geçmiş günlerin önyükleme sürecinin anlaşılması rekabette önemli bir avantaj sağlarken ve önyükleme sürecindeki ve işletim sistemi öncesi ortamdaki güvenlik açıklarını tanımlamak için sağlam bir temel oluştururken, UEFI’nin anlaşılması kritik önem taşır.

Leviathan’da, UEFI tersine mühendislik ve istismar geliştirme konusundaki bilgi ve beceri setimizi geliştirmek ve müşterilerimizle yaptığımız çalışmalarda UEFI güvenlik açıklarını bulmak ve istismar etmek için yeni süreçler uygulamak için çok çalışıyoruz. Ben de size UEFI tersine mühendislik ve istismar geliştirmeyi öğretmek için buradayım, böylece siz de UEFI hatalarını bulmak ve istismar etmek, yaygın UEFI güvenlik açıklarını anlamak ve ürün yazılımı güvenlik tedarik zincirini daha iyi güvence altına almak için gerekli becerileri geliştirebilirsiniz.

Tecrübeli istismar geliştiricileri için bile, UEFI istismar geliştirme genellikle hem entrika hem de aşılmaz bir havaya sahiptir. UEFI yalnızca modern cihazların önyükleme sürecinden sorumlu platform ürün yazılımı için bir arayüz spesifikasyonu tanımlamakla kalmaz, aynı zamanda platform başlatma bileşenlerinin geniş ve karmaşık bir ortamını da kapsar. Eski bir BIOS makinesinin ayrı platform bileşenlerinin tümü artık UEFI’nin tekil şemsiyesi altına giriyor. Bu, bir tersine mühendis veya istismar geliştiricisi için iki ucu keskin bir kılıçtır: UEFI’nin geniş saldırı yüzeyi güvenlik açıklarını bulmak için geniş fırsatlar sunsa da, karmaşıklığı bu manzarada etkili bir şekilde gezinmek için bir yol haritası gerektirir.

Bu blog yazısı serisi, böyle bir yol haritası sağlamayı amaçlamaktadır. Bu serinin sonunda, başarılı UEFI tersine mühendislik, güvenlik açığı keşfi ve istismar geliştirme için gerekli olan UEFI ve UEFI güvenlik açıkları hakkında temel bilgilerle daha donanımlı olacaksınız.

“UEFI güvenlik açıkları” terimi, aygıt yazılımı veya donanımdan kaynaklanabilen hata sınıflarını kapsar.[1] Bir UEFI güvenlik açığının kaynağı ne olursa olsun, başarılı bir UEFI istismarının önyükleme işleminin ötesinde geniş kapsamlı etkileri olabileceğini anlamak önemlidir. Saldırganlar bu güvenlik açıklarından yararlanarak kalıcı aygıt yazılımı implantları veya bootkitler yüklemek, işletim sistemi düzeyindeki güvenlik azaltmalarını ve erişim kontrollerini atlamak ve deneyimli aygıt yazılımı adli tıp uzmanları hariç herkes tarafından tespit edilmemek gibi yıkıcı etkileri olan istismarlar gerçekleştirebilir.

Bu seri, UEFI’nin amacımızla ilgili çeşitli bileşenlerini tanıtmaktadır: başarılı tersine mühendislik, güvenlik açığı bulma ve UEFI ürün yazılımını hedefleyen istismar geliştirme. UEFI’nin birçok farklı yönünü ele alacak olsam da, UEFI/PI’ya ilişkin bu genel bakışın kapsamlı olmadığını belirtmek önemlidir, çünkü her ayrıntıyı ele almak ciltler doldurabilir. Okuyucuları bu makalenin sonundaki Referanslar bölümünde listelenen ek referanslara göz atmaya teşvik ediyorum.

UEFI spesifikasyonu, platform donanım yazılımı ile işletim sistemi (OS) arasındaki arayüz için platformdan bağımsız bir uygulama tanımlar. UEFI, platform başlatma ve işletim sistemi getirmenin ötesine geçen işlevselliği kapsıyor olsa da, büyük Vincent Zimmer’den[2] alıntı yapmak gerekirse, “Genel olarak … UEFI, önyükleme veya kontrolü bir sonraki kontrol katmanına, yani bir işletim sistemi yükleyicisine aktarmakla ilgilidir” (Zimmer, “Beyond BIOS,” sayfa 1) [1].

UEFI spesifikasyonu yalnızca DXE aşamasında başlayan platformdan bağımsız ürün yazılımı ve işletim sistemi arayüzü için bir uygulama tanımlar. Genel olarak “UEFI önyükleme süreci” olarak adlandırılan şey aslında UEFI/PI önyükleme akışı anlamına gelmektedir. PI, Platform Başlatma anlamına gelir ve UEFI Forum şemsiyesi altında kendi ayrı spesifikasyonuna sahiptir. Şekil 1a’da PI’nin önyükleme akışının SEC ve PEI aşamalarını kapsadığını görebiliriz. Bu bölümde, UEFI/PI önyükleme akışının tüm aşamalarını ele alacağız.

(Şekil 1a. UEFI/PI Önyükleme Süreci aşamaları)

UEFI’yi incelemeye başlamadan önce, BIOS uygulamalarının geçmişi hakkında bilgi edinmek için hızlıca bir gezintiye çıkalım.

UEFI’nin “eski BIOS” yerine geçtiğini söylemek iyi ve güzel, ancak eski BIOS’un ne olduğunu ve UEFI’den nasıl farklı olduğunu anlamak, modern UEFI tehdit ortamını bağlamsallaştırmak için önemlidir. Ayrıca, eski BIOS ve UEFI arasındaki farkları anlamak, tersine mühendis, istismar geliştiricisi veya araştırmacı olarak rolünüzde size yardımcı olacaktır. Önemli bir bağlam sağlamak ve terminolojideki bazı karışıklıkları gidermek için, “eski BIOS” dediğimizde ne demek istediğimizi genişleterek başlayalım.

EFI/UEFI’nin ilk benimsenmesine kadar (1990’ların sonu-2000’ler civarı), eski BIOS, BIOS uygulamaları için standartlaştırılmamış standardı tanımlıyordu. BIOS, donanımı yapılandırmaktan ve bir işletim sistemi yüklenmeden önce sistemin durumunun hazır olmasını sağlamak için gerekli tüm hazırlıkları yapmaktan sorumlu platform ürün yazılımıdır. Burada, BIOS kodunun belirli Bağımsız BIOS Satıcısı (IBV) tescilli uygulamalarını ifade etmek için “eski BIOS ”u daha uygun bir şekilde tanımlayacağız.

BIOS kodu aynı zamanda önyükleme bloğu kodu olarak da adlandırılırdı ve bugün UEFI’de gördüğümüzden birçok yönden önemli ölçüde farklıdır ve bunlardan birkaçı burada vurgulanmıştır:

Eski BIOS kodu 16-bit assembly ile yazılmış ve gerçek modda çalıştırılmıştır.

Her eski BIOS uygulaması IBV’ye özeldi; her büyük IBV’nin (örneğin AMI, Phoenix) özel bir BIOS uygulaması vardı. Standart bir BIOS spesifikasyonu olmadığından, her IBV’nin özel BIOS’unun tersine mühendisliği imkansız olmasa da oldukça zordu.

Son olarak, eski BIOS, bir işletim sisteminin yüklenmesine hazırlık olarak platform donanımının ve ürün yazılımının başlatılması da dahil olmak üzere sistem açısından kritik işlevleri yerine getirmekten sorumlu olsa da, eski bir BIOS sistemindeki işletim sistemi öncesi ortamın kısıtlamaları ve eski makinelerin donanım kısıtlamaları nedeniyle kapsam ve boyut açısından sınırlıydı.

Daha fazla ayrıntı için “Rootkitler ve Bootkitler”[2] ve “BIOS’un Ötesinde”[1] bölümlerine bakın.

Eski BIOS’un nesli tükenmiş bir teknoloji olmadığına dikkat etmek önemlidir. Giderek daha nadir görülse de, eski BIOS bugün hala sistemlerde kullanılmaktadır. Eski BIOS uygulamalarının tescilli doğası nedeniyle, hevesli tersine mühendis veya istismar geliştiricisine BIOS’un tüm 16 bit gerçek mod kodunu ayrıştırırken ve bir istismar oluşturmak için parçaları yavaşça bir araya getirmeye başlarken yardımcı olacak çok az kaynak mevcuttur.

Bu konuda öne çıkan kaynaklardan biri Darmawan Salihun (pinczakko) tarafından yazılan “BIOS Disassembly Ninjutsu Uncovered” kitabıdır [3]. Bu kitabın ilk baskısı pinczakko’nun GitHub’ında ücretsiz olarak mevcuttur: https://github.com/pinczakko/BIOS-Disassembly-Ninjutsu-Uncovered. Bu kitap, bir etkileşimde eski bir BIOS ile karşılaştığımız ve 16 bitlik assembly ile yazılmış BIOS’a özgü bir istismar geliştirmek istediğimiz nadir durumlarda bizim için paha biçilmez bir kaynak olmuştur.

IBV’ye göre uygulanan eski BIOS’un aksine UEFI, önyükleme işlemi ve platform başlatma için platformdan bağımsız bir arayüz spesifikasyonu sunar. Tüm UEFI uygulamalarında ortak olan temel bir dizi bileşen ve özelliği tanımlarken, aynı zamanda bir platform ürün yazılımı oluşturma özelleştirmesinin genişletilebilirliğini de sunar. Böylece, IBV’ler, OEM’ler ve diğer kuruluşlar UEFI spesifikasyonuna uygun özel UEFI ürün yazılımı uygulayabilir. Bu, (yukarıda belirtildiği gibi) genellikle aşırı spesifik uygulaması, satıcıya özgü BIOS kodu ve özelliklerinin dokümantasyon eksikliği ve tek tip olmayan ikili formatlar gibi faktörler nedeniyle tersine mühendislik yapılması daha zor olan eski BIOS’tan önemli bir değişimdir.

Son olarak, UEFI’nin endüstri genelinde yaygın olarak benimsenmesi eski BIOS’u eskimeye doğru daha da yaklaştırmaya devam ederken, araştırmacıların eski BIOS önyükleme sürecini birkaç nedenden dolayı güçlü bir şekilde kavramaları önemlidir:

Eski BIOS önyükleme sürecinin özellikleri UEFI’nin bir parçası olmaya devam etmektedir (örneğin, eski MBR hala disk üzerinde Silindir 0, Baş 0 Sektör 1’de kalmaktadır) ve eski MBR GUID Bölümleme Tablosuna (GPT) entegre edilmiştir. UEFI önyükleme sürecinin bir parçası olarak kalan eski BIOS bileşenlerini veya süreçlerini anlamak, UEFI önyükleme sürecinin sayısız bileşeni ve genel olarak UEFI BIOS uygulamaları hakkında sağlam bir kavrayışa sahip olmak için çok önemlidir.

Kötü amaçlı yazılımlar, hepimizi rahatsız eden teknoloji borcu olarak bilinen hayalet görüntü nedeniyle UEFI BIOS kullanan sistemlerle birlikte eski BIOS sistemlerini hedef almaya devam etmektedir.

Bugüne geldiğimizde, UEFI endüstri standardıdır ve bu PoC’ler kendi kendine yazılmayacaktır, o yüzden hadi başlayalım.

UEFI, selefine kıyasla şaşırtıcı bir derinlik ve genişlikte işlevselliği kapsayan zengin bir ekosistemdir. Bu derinlik ve genişlik beraberinde daha büyük bir saldırı yüzeyini de getiriyor. Biz aygıt yazılımı ve donanım tersine mühendisleri için bu, bir şeker fabrikasında çocuk olmak gibi bir şey!

(Şekil 1b. UEFI/PI Önyükleme Süreci aşamaları ve ortamı

UEFI ekosistemini anlamamızla ilgili bazı temel bilgileri ele alalım. En baştan başlayacağız – sıfırlama vektörü.

UEFI PI önyükleme süreci birden fazla aşamadan oluşur (bkz. Şekil 1b). Şimdi ilk dört aşamayı (SEC, PEI, DXE ve BDS) inceleyeceğiz çünkü bunlar platform ürün yazılımı başlatma ortamını tanımlar. UEFI PI önyükleme sürecine ilişkin bu daha ayrıntılı bilgi, bu erken platform ürün yazılımı başlatma aşamalarında benzersiz saldırı yüzeylerinin nasıl ortaya çıktığını anlamak için gerekli olacaktır. UEFI PI önyükleme süreci hakkında ek bilgi için Referanslar bölümündeki [12] ve [13]’e bakın.

Bu aşamaların her birinin kodunun bir SPI flash yongasının BIOS bölgesinde nasıl bölündüğüne dair bağlam sağlamak için, UEFITool’a yüklenmiş bir UEFI BIOS ürün yazılımı görüntüsünün (edk2-platforms deposundan X58I referans platformu için UEFI BIOS) ekran görüntülerini de ekledim (aşağıdaki şekil 2, 3 ve 4’e bakın). UEFITool’u ve kullanışlı özelliklerini bu serinin daha sonraki bir yazısında UEFI laboratuvar kurulumunu ele aldığımızda ele alacağız. Şimdilik, UEFITool’un istenen bir BIOS görüntüsünü açmak ve çeşitli bileşenlerini ayrıştırmak için kullanabileceğimiz açık kaynaklı bir UEFI ürün yazılımı görüntüleyicisi ve düzenleyicisi olduğunu bilmek yeterlidir.

Güvenlik (SEC): PI’nin bu ilk aşaması tüm sistem yeniden başlatma olaylarını ele alır, PEI aşaması için geçici RAM’i başlatır ve önemli verileri PEI Foundation’a iletir.

SEC aşaması kodu SPI flash üzerindeki kendi özel firmware biriminde bulunur. Aşağıdaki Şekil 2’de SEC aşaması kodunun yalnızca SEC çekirdeğinden oluştuğunu görebiliriz. Bu küçük kod boyutu, SEC aşaması sırasında mevcut olan sınırlı ortam ve SEC aşaması kodunun PEI aşaması kodu için minimum bir çalışma ortamı hazırlamadaki rolü göz önüne alındığında mantıklıdır.

(Şekil 2. X58ICH10 Board UEFI BIOS’unun UEFITool görünümü – SEC faz kodu)

SEC aynı zamanda “sistemdeki güvenin kökü olarak hizmet vermekten” de sorumludur [4]. Bu, “Güvenlik” adı verilen bir aşamaya atıfta bulunmasa bile, kendi başına yüklü bir ifadedir. Bunun karmaşıklığını anlamak için bağlama ihtiyacımız var: SEC’in sistem için bir güven kökü olarak uygulanabilirliği, varsa hangi platform ürün yazılımı güvenlik mekanizmalarının etkinleştirildiğine bağlı olarak değişir (örneğin, Intel Boot Guard, Intel BIOS Guard.)

Güvenli Önyükleme uygulamalarındaki (UEFI Güvenli Önyükleme, Intel Önyükleme Koruması ve Intel BIOS Koruması) varyasyonları kısa bir süre sonra ele alacağım, ancak şimdilik SEC’in bir şekilde platform ürün yazılımı bütünlüğü doğrulaması için bir güven zincirinde güven kökü olarak hizmet ettiğini söylemek yeterli. Ancak bu güven zincirinin sağlamlığı SEC’in kendisine değil, platform ürün yazılımı güvenlik teknolojilerinin önceden uygulanmasına bağlıdır.

Özetle SEC aşaması, sistem güvenliğini kilitlemek için sağlam bir başlangıç aşaması olmaktan ziyade PEI aşamasının ihtiyaç duyduğu minimum ortamı hazırlamaktan sorumludur. SEC aşaması kodu temel olarak platformun yeniden başlatılmasını sağlar ve PEI için kullanılan geçici RAM’i hazırlar.

PEI için gerekli koşulları yerine getirdikten sonra bu aşamaya devam edelim.

Ön-EFI Başlatma (PEI): İşlerin ilginçleşmeye başladığı yer burasıdır. PEI, UEFI/PI önyükleme sürecinin az takdir edilen ve genellikle ihmal edilen bir aşamasıdır, ancak kendi başına benzersiz ve zengin bir saldırı yüzeyi sağlar.

PEI öncelikle sistemi, kontrolün DXE aşamasına geçebileceği şekilde hazırlamaktan sorumludur. Burada bir tema mı seziyorsunuz? Evet, her aşamanın görevi genellikle sistemi bir önceki yapılandırma üzerine inşa ederek bir sonraki aşama için hazırlamak ve yapılandırmaktır. Bunun PEI aşaması için ne anlama geldiğini biraz daha inceleyelim.

**DXE aşaması için kalıcı sistem belleğini başlatır: **PEI aşaması kodu, kalıcı sistem belleğini tamamen başlatana kadar SEC aşamasında başlatılan geçici RAM’i kullanır

Platform bileşenlerini başlatın: PEI’deki modüller, ayrık yonga seti bileşenlerinin başlatılmasından sorumludur ve kontrol önyükleme işleminin bir sonraki aşamasına aktarılmadan önce her bir donanım bileşeninin gerekli tüm bağımlılıklarının karşılandığı minimum bir çalışma ortamına sahip olmasını sağlar

Hand-Off Bloklarını (HOB’lar) kullanarak mimari durumu tanımlayın: PEI aşaması, PEI aşaması sırasında bir HOB listesi doldurur ve bu HOB listesi daha sonra PEI’nin sonunda DXE aşamasına aktarılır. HOB listesi, DXE aşamasına DXE başlamadan önce sistemin ve çeşitli bileşenlerinin durumu hakkında bilgi sağlar

Kurtarma modlarının işlenmesi ve S3 özgeçmiş durumunun işlenmesi [13]

**PEI faz kodu iki ana gruba ayrılabilir: **PEI Foundation ve PEIM’ler (bkz. Şekil 3).

(Figure 3. UEFITool view of Board X58ICH10 UEFI BIOS – PEI phase code)

SEC aşaması kodu gibi PEI kodu da SPI flaş içindeki özel bir ürün yazılımı biriminde bulunur. Ancak, sistem önyükleme sürecinde ilerledikçe, SEC’den PEI’ye, DXE’ye ve ötesine geçtikçe, her aşama için kodun boyutu artar. Kod boyutundaki artış, her bir aşamanın artan kapsamı ve işlevselliğinin yanı sıra UEFI/PI önyükleme sürecinin her bir aşamasında kod tarafından kullanılan sistem kaynaklarına ve yapılandırılmış arayüzlere ve veri yapılarına artan erişimle paralellik gösterdiğinden mantıklıdır. Şekil 3’te görebileceğimiz gibi, SEC aşaması kodu yalnızca SEC çekirdeğinden oluşmasına rağmen, X58ICH10 UEFI BIOS’un PEI aşaması kodu PEI çekirdeğini (PEI Foundation olarak da bilinir) ve çeşitli PEI modüllerini (PEIM’ler) içerir. Daha önce belirtildiği gibi, PEI faz kodunun bir sorumluluğu da S3 devam ettirme durumunu idare etmektir. PEI ürün yazılımı birimindeki son PEIM, tam da bu görevden sorumlu PEIM olan “S3Resume2Pei ”dir (bkz. Şekil 3).

PEI faz kodunun her bir bileşenini inceleyelim.

PEI Foundation: Bu ikili yürütülebilir dosya, diğer tüm PEI bileşenlerini ve PEIM’leri yönetmekten ve bu bileşenler arasındaki iletişim için gerekli ortamı oluşturmaktan sorumludur.

PEI Foundation ayrıca PEI içinde PEIM’lerin bağımlılık ifadelerini değerlendiren ve hangi PEIM’lerin gerekli bağımlılıklarının karşılandığını ve yüklenebileceğini/çalıştırılabileceğini belirleyen özel bir aşama olan PEI dispatcher’ı da kapsüller.

Ön-EFI Başlatma Modülleri (PEIM’ler): Bu ikili yürütülebilir dosyalar yonga seti bileşenlerinin başlatılmasından sorumludur. Her PEIM bir sürücüdür ve tipik olarak belirli bir donanım veya platform bileşeniyle ilişkilidir. Daha önce de belirtildiği gibi, S3 devam durumu için bir PEIM vardır (S3Resume2Pei; bkz. Şekil 3), ancak PEIM’ler diğer platform bileşenlerinin başlatılmasından da sorumludur. Örneğin, Şekil 3’te “CpuIoPei” ve “PlatformInitPreMem” gibi PEIM’lerin dahil edildiği görülmektedir; bu PEIM’ler adlarının ima ettiği görevlerden sorumludur: sırasıyla CPU I/O’nun başlatılması[3] ve bellek denetleyicisinin başlatılmasından önce platformun başlatılması[4].

PEIM-PEIM Arayüzleri (PPI’ler): Bunlar PEI Foundationakfı tarafından sağlanan ve PEIM’ler arasında iletişime izin veren arayüzlerdir. PEI Foundation, PEIM’ler tarafından her bir PPI’yı kaydetmek için kullanılabilecek PPI’ların ve arayüzlerin bir veritabanını tutar [1, s. 214].

PEI, kısıtlı ve minimal ortamı ve PEI ile DXE kapsamındaki sorumluluklardaki farklılıklar nedeniyle DXE’den farklı olsa da, PEI birçok yönden DXE’ye benzer şekilde çalışır. Bunun bir örneği, PPI’ların PEI Foundation tarafından nasıl kaydedildiği ve sürdürüldüğüdür. PI Spec, Bölüm 2.7’de belirtildiği gibi, “Bir ÜFE tüketicisi, ilgilendiği ÜFE’yi keşfetmek için PEI Hizmeti LocatePpi()‘yi kullanmalıdır. Bir ÜFE üreticisi, PEI Hizmetleri InstallPpi() veya ReinstallPpi() kullanarak mevcut ÜFE’leri PEIM’inde yayınlar.” [5]

Bu, protokollerle etkileşim için DXE aşamasında sağlanan hizmetlere benzer olarak görülebilir (örneğin, protokolleri kaydetme, kaldırma, yeniden yükleme, bulma). EFI Önyükleme Hizmetleri Tablosunda sağlanan aşağıdaki hizmetler sırasıyla yukarıda belirtilen protokol hizmetlerinin her birine karşılık gelir:

EFI_BOOT_SERVICES.InstallProtocolInterface(), EFI_BOOT_SERVICES.UninstallProtocolInterface(), EFI_BOOT_SERVICES.ReinstallProtocolInterface(),

EFI_BOOT_SERVICES.LocateProtocol().

PEI ve ilgili PEI güvenlik açıklarına bu serinin ilerleyen bölümlerinde geri döneceğiz. Şimdilik DXE aşamasına geçelim. PEI’nin birçok yönden DXE ile nasıl benzer olduğunu açıkladım, ancak DXE nedir?

Sürücü Yürütme Ortamı (DXE): DXE aşaması UEFI tarafından kapsanan ilk aşamadır ve artık resmi olarak UEFI diyarındayız! DXE aşaması kodu, UEFI ortamındaki her şeyi hazır ve çalışır hale getirir. DXE kodu, UEFI’deki temel UEFI veri yapıları ve işlevlerine işaretçiler içeren üç temel veri yapısı olan EFI Sistem Tablosu, EFI Önyükleme Hizmetleri Tablosu ve EFI Çalışma Zamanı Hizmetleri Tablosunu kurar. Bu üç veri yapısı UEFI ortamını başlatmak için birlikte çalışır.

DXE aşamasının bir parçası olarak, tüm EFI Önyükleme Hizmetleri, EFI Çalışma Zamanı Hizmetleri ve DXE Hizmetleri başlatılır, böylece burada bulunan tüm işlevler UEFI ortamı için erişilebilir hale getirilir (bkz. Şekil 4).

(Şekil 4. DXE Aşaması DXE Aşamasında Başlatılan UEFI Veri Yapıları Görüntü Kaynağı: UEFI PI Spesifikasyonu, Cilt 2: DXE Foundation )

Bu serinin ilerleyen bölümlerinde, UEFI tersine mühendislik ve istismar geliştirmeyi derinlemesine ele alacağız – programlama yapılarına, çağrı kurallarına ve UEFI API’sinin inceliklerine gerçekten gireceğiz. Bununla birlikte, bir başlangıç olarak, aşağıda basit bir UEFI programının kaynak kodunu ekledim. Açıklamalı kaynak kodu, DXE faz kodunun neyi başlattığı ve güçlü oyuncu veri yapılarımız tarafından sağlanan işlevsellik hakkında ek bağlam sağlar: EFI Sistem Tablosu, EFI Önyükleme Hizmetleri Tablosu ve EFI Çalışma Zamanı Hizmetleri Tablosu.

greetings.c, UEFI kabuğundaki Konsola “Leviathan’dan Selamlar” yazdıran basit bir UEFI uygulaması için C kaynak kodudur.

greetings.c için örnek kaynak kodu:

#include <Library/UefiLib.h>
#include <Library/UefiBootServicesTableLib.h>
#include <Library/UefiRuntimeServicesTableLib.h>
 
EFI_STATUS
EFIAPI
UefiMain (
     IN EFI_HANDLE          ImageHandle,
     IN EFI_SYSTEM_TABLE    *SystemTable //[1] Pointer to EFI_SYSTEM_TABLE passed in
     )
 
/*
* UefiMain does the following:
* [2] Calls SystemTable->ConOut->OutputString function to print “Greetings from Leviathan” to console
* [3] Retrieves pointer to EFI_BOOT_SERVICES table from EFI_SYSTEM_TABLE
* [4]Prints address of EFI_BOOT_SERVICES table to console – using the UEFI library function Print().
*/

{
     SystemTable->ConOut->OutputString(SystemTable->ConOut, L"Greetings from Leviathan\n"); // [2] 
     EFI_BOOT_SERVICES *gBS=(SystemTable->BootServices); // [3] 
     Print(L"Boot Services Table address is: %p \n\n", &gBS);  // [4]
     return EFI_SUCCESS;
}

Sistemin başlatılması sırasında DXE faz kodunun bir diğer önemli sorumluluğu da yonga seti ve donanımın başlatılmasıdır. Bu kafa karıştırıcı olabilir çünkü PEI aynı zamanda donanım gibi platform bileşenlerinin başlatılmasını da kapsar, bu nedenle bunun DXE bağlamında ne anlama geldiğini açıklayalım. DXE aşaması kodu ya PEI aşamasında gerçekleştirilen platform bileşenlerinin önceden başlatılması üzerine inşa edilecek ya da başlatma işlemini kendisi gerçekleştirecek veya bu ikisinin bir kombinasyonunu kullanacaktır.

Bununla birlikte, DXE donanım bileşenlerini başlatmak için PEI aşamasını gerektirmez ve DXE teknik olarak PEI aşamasını hiç gerektirmez. DXE faz kodu, PEI aşaması sırasında oluşturulabilen bir veri yapısı olan HOB listesine ihtiyaç duyar. Yine PI Spec’e göre, “DXE aşaması, yürütülmesi için bir PEI aşaması gerektirmez. DXE aşamasının yürütülmesi için tek gereklilik geçerli bir HOB listesinin varlığıdır. DXE aşamasının yürütülmesi için geçerli bir HOB listesi üretebilen birçok farklı uygulama vardır. Bir PI Mimarisi ürün yazılımı uygulamasındaki PEI aşaması, olası birçok uygulamadan yalnızca biridir.” [6]

DXE faz kodu tek başına bir ikili kod değildir. PEI aşaması gibi, DXE aşaması kodu da iki gruba ayrılabilir: DXE Foundation (DXE Dispatcher adı verilen bir bileşen içerir) ve DXE sürücüleri (bkz. Şekil 5). DXE Foundation ve DXE sürücüleri daha sonra detaylandırılacaktır.

Şekil 5. DXE Temel Bileşenleri DXE Temel Bileşenleri Görüntü Kaynağı: UEFI PI Spesifikasyonu, Cilt 2: DXE Foundation

DXE Temeli: DXE Altyapısı (bazı literatürde “DXE Çekirdeği” olarak da anılmaktadır [5]) yukarıda bahsedilen önemli tabloların (yani UEFI Sistem Tablosu, Önyükleme Hizmetleri Tablosu, Çalışma Zamanı Hizmetleri Tablosu) ve bunlara karşılık gelen DXE Hizmetleri, Önyükleme Hizmetleri ve Çalışma Zamanı Hizmetlerinin kurulumundan sorumlu bir önyükleme hizmeti görüntüsüdür. DXE Foundation, DXE sürücülerini keşfetmek ve yürütmekten ve bağımlılıklarının karşılanmasını sağlamaktan sorumlu olan DXE dağıtıcısını kapsüller.

DXE Sürücüleri: Bu sürücüler, yonga seti ve donanım dahil olmak üzere platformu başlatır ve konsol I/O hizmetlerini kurar. DXE Foundation, HOB listesini kullandığından, DXE sürücüleri bu bilgileri önceki başlatma işleminin üzerine inşa etmek ve ek bileşenleri başlatmak için kullanabilir. Dikkate değer bir örnek, DXE sürücülerinin genellikle bu serinin ilerleyen bölümlerinde ele alacağımız Sistem Yönetim Modu’nun (SMM) kurulumundan sorumlu olmasıdır. PI/UEFI önyükleme sürecinin önceki aşamalarıyla karşılaştırıldığında DXE, büyük ölçüde sistem kaynaklarına, özellikle de PEI aşamasında kurulan yeni başlatılmış kalıcı belleğe erişimi sayesinde mümkün olan geniş bir ortama sahiptir. Platform ürün yazılımı arayüzümüze böylesine geniş ve derin bir işlevsellik kazandırdığı için DXE aşamasını alkışlayabiliriz. greetings.c örnek UEFI uygulaması kaynak kodunda, UEFI uygulamaları ve sürücüleri için mümkün olanın yüzeyini çizen bir örnek gördük, ancak seride ilerledikçe göreceğimiz gibi, UEFI ortamında bir programcıya sunulan çok daha fazla karmaşıklık ve esneklik var. UEFI ortamının tamamen başlatıldığı DXE aşamasından çıkıp işletim sistemi çalışma zamanı ortamına doğru ilerlerken, bu yeni UEFI ortamını ayrı bir ekosistem olarak düşünmek faydalı olabilir (neredeyse işletim sisteminden önceki bir işletim sistemi, bir proto-OS gibi).

Önyükleme Aygıtı Seçimi (BDS): BDS aşaması UEFI önyükleme yöneticisi olarak düşünülebilir.

BDS aşaması kodu, olası önyükleme aygıtlarını numaralandırma, önyükleme sırasını değerlendirme ve nihayetinde kontrolü önyükleme aygıtına (genellikle işletim sistemi yükleyicisi) aktarmadan önce son UEFI temizlik işlemlerini gerçekleştirme gibi önemli görevleri yerine getirir.

BDS aşamasının sonunda, EFI_BOOT_SERVICES tablosunu yok eden ExitBootServices() işlevine bir çağrı yapılır. Bu noktadan sonra EFI_BOOT_SERVICES işlevleri artık çağrılamaz. Özellikle, EFI_RUNTIME_SERVICES tablosu korunur ve kullanıcı işletim sistemi çalışma zamanı ortamından EFI_RUNTIME_SERVICES işlevlerine erişebilir. Bu nedenle BDS, UEFI API’sinin önemli bir kısmının artık kullanılamadığı UEFI’nin “son” aşaması olsa da BDS aşaması UEFI ortamını tamamen yok etmez. EFI_RUNTIME_SERVICES tablosu ve ilişkili işlevselliği bir sonraki aşama olan Geçici Aşama Yüklemesi (TSL) ve nihayetinde işletim sistemi kurulumu boyunca korunduğundan, platform ürün yazılımı ile işletim sistemi arasındaki iletişim için bir köprü korunur. BDS aşaması kodu, olası önyükleme aygıtlarını numaralandırma, önyükleme sırasını değerlendirme ve nihayetinde kontrolü önyükleme aygıtına (genellikle işletim sistemi yükleyicisi) aktarmadan önce son UEFI temizlik işlemlerini gerçekleştirme gibi önemli görevleri yerine getirir.

BDS aşaması kod sorumluluklarının daha resmi bir listesi için UEFI Spesifikasyonuna bakın:

"BDS aşaması, BDS Mimari Protokolünün bir parçası olarak uygulanmaktadır. DXE Foundation, bağımlılıkları karşılanan tüm DXE sürücüleri DXE Dispatcher tarafından yüklendikten ve yürütüldükten sonra kontrolü BDS Mimari Protokolüne devredecektir. BDS aşaması aşağıdakilerden sorumludur:

• Konsol cihazlarının başlatılması
• Aygıt sürücülerini yükleme
• Önyükleme seçimleri yüklenmeye ve yürütülmeye çalışılıyor [7]"

Önemli not: UEFI/PI önyükleme akışının aşamalarına ilişkin yukarıdaki genel bakış, önyükleme sürecinin SEC öncesinde gerçekleşen yönlerini kapsamamaktadır, ancak SEC aşamasının ilk komutundan önce bile birçok şey gerçekleşir. Bu durum özellikle Intel Boot Guard ve Intel BIOS Guard gibi teknolojiler kullanıldığında geçerlidir (örneğin, Intel Boot Guard uyumlu bir sistem için etkinleştirildiğinde, sıfırlama vektöründen sonraki ilk komutun yürütülmesinden önce Kimliği Doğrulanmış Kod Modülü [ACM] yüklenir ve yürütülür). Converged Security and Management Engine (CSME) gibi diğer platform bileşenleri Intel önyükleme sürecinde önemli bir rol oynar ancak kısa olması açısından bu blog yazısında ele alınmayacaktır. CSME ve önceki CSME güvenlik açıkları ve istismarları hakkında ek kaynaklar Referanslar bölümünde yer almaktadır.

UEFI/PI önyükleme akışının ana aşamalarını tartıştığımıza göre, şunu sorabilirsiniz: Bir UEFI BIOS’unu bir tehdit aktörü tarafından değiştirilmekten, kurcalanmaktan veya başka bir şekilde istismar edilmekten nasıl koruruz? Güvenli Önyükleme teknolojilerine girin. “Güvenli Önyükleme teknolojileri”, sağlam ürün yazılımı bütünlüğü doğrulaması sağlamak ve bir UEFI BIOS’u mümkün olduğunca kilitlemek için tasarlanmış çeşitli platform ürün yazılımı güvenlik mekanizmalarını kapsayan bir şemsiye terimdir.

“Güvenli Önyükleme”, uygulandığı önyükleme süreci hiyerarşisinin seviyesine bağlı olarak üç şekilde ortaya çıkar:

• İşletim Sistemi Güvenli Önyükleme: İşletim sistemi önyükleyicisi seviyesinde uygulanır. Bu, işletim sistemi çekirdeği ve önyükleme başlatma sürücüleri gibi işletim sistemi önyükleyicisi tarafından yüklenen bileşenleri doğrular.
• UEFI Güvenli Önyükleme: UEFI ürün yazılımında uygulanır. Bu, UEFI DXE sürücülerini ve uygulamalarını, Seçenek ROM’larını ve OS önyükleyicilerini doğrular.
• Platform Güvenli Önyükleme: Donanıma sabitlenmiştir. Bu, platform başlatma ürün yazılımını doğrular.

Platform güvenli önyükleme teknolojilerinin farklı çeşitlerinin bu yararlı sınıflandırması, Bölüm 17 “UEFI Güvenli Önyükleme Nasıl Çalışır” [8] içindeki “Rootkits and Bootkits” bölümünden alınmıştır.

Aşağıdaki açıklamalar, birçok Güvenli Önyükleme ve platform ürün yazılımı güvenlik teknolojileri arasındaki temel farklardan bazılarının kapsamlı olmayan bir açıklamasıdır. Bu teknolojilerin nasıl uygulandığını, neleri koruduğunu, neleri koruyamadığını ve kullanımlarının platform ürün yazılımı tehdit ortamını nasıl değiştirdiğini daha iyi anlamanıza yardımcı olmaya çalışacağım.

Not: Bu bölümde sadece Intel işlemciler için Secure Boot teknolojilerine odaklanacağım. Odaklanacağım üç teknoloji UEFI Secure Boot, Intel Boot Guard ve Intel BIOS Guard’dır.

UEFI Secure Boot en temel katmandır ve DXE’nin sonraki aşamalarından başlayarak UEFI BIOS’u korur. SPI flaştan başlayıp işletim sistemi kurulumuna kadar devam eden sürecin geç bir noktasında koruma ve görüntü doğrulaması sağlar.

UEFI Güvenli Önyükleme etkinleştirilmiş tek platform ürün yazılımı güvenlik mekanizması ise SEC, Ölçüm için Çekirdek Güven Kökü (CRTM) olarak hizmet veren İlk Önyükleme Bloğunun (IBB) bir parçasını oluşturur [12]. UEFI Güvenli Önyükleme, güven kökü olarak iki bileşenin bütünlüğüne dayanır: IBB (SEC ve PEI) ve Platform Anahtarı. PI bileşenleri (SEC ve PEI) SPI flaşta saklanır ve UEFI Secure Boot tarafından dolaylı olarak güvenilir. UEFI Secure Boot, UEFI BIOS ürün yazılımı görüntüsünün belirli bileşenlerinin bütünlüğünü doğrulamak için bir Açık anahtar altyapısı (PKI) kullanır. UEFI Secure Boot’un PKI’sının ana bileşenleri arasında db ve dbx veritabanları (sırasıyla UEFI ikili dosyalarının bilinen-iyi sertifikalarını/hash’lerini ve UEFI ikili dosyalarının bilinen-güvensiz sertifikalarını/hash’lerini depolamak için kullanılır) ile her ikisi de dijital imzaların doğrulanması için kullanılan Anahtar değişim anahtarı (KEK) ve Platform Anahtarı (PK) yer alır [9].

db veritabanı, dbx veritabanı, PK ve KEK’in ayrıntılı bir dökümü ve UEFI Güvenli Önyükleme sürecindeki rolleri bu makalenin kapsamı dışındadır (daha fazla bilgi için bkz. Güvenli Önyükleme ve Platform Ürün Yazılımı Güvenlik Teknolojileri Kaynakları ve Referansları). Bizim amaçlarımız için, UEFI Güvenli Önyükleme’nin yalnızca UEFI bileşenlerini doğruladığını anlamak yeterlidir. Böylece, ürün yazılımı bütünlüğü doğrulamasına DXE aşamasında başlar. UEFI Secure Boot için güven kökünü oluşturduğundan IBB’nin güvenli olduğuna zımnen güvenilir. Bu nedenle, UEFI Secure Boot DXE veya BDS aşamalarında yüklenen herhangi bir UEFI uygulaması veya sürücüsüne karşı ürün yazılımı güvenlik doğrulaması uygulasa da SEC veya PEI bileşenlerinin bütünlüğünü doğrulamaz.

İlk tasarım perspektifinden bakıldığında bile, UEFI Güvenli Önyükleme’deki tasarım kusurları ve dolayısıyla bypass için yollar çok sayıdadır. Örnek olarak, UEFI Secure Boot’un ürün yazılımı görüntü bütünlüğü doğrulama mekanizmalarının potansiyel olarak atlanmasına kapı açan UEFI Secure Boot’un iki ana tasarım özelliğini vurguladım. Bu iki örnek kapsamlı değildir ve Secure Boot’un tanıtımından bu yana bu konuda önemli ve mükemmel araştırmalar yapılmıştır. Güvenli Önyükleme bypass teknikleri hakkında daha fazla bilgi için [Güvenli Önyükleme ve Platform Ürün Yazılımı Güvenlik Teknolojileri Kaynakları ve Referansları] bölümüne bakın.

• UEFI Güvenli Önyükleme için güven kökü, SPI flaştan yüklenen PI ürün yazılımıdır; bir saldırgan SPI yazma erişimi elde edebilir ve flaştaki PI ürün yazılımını değiştirebilirse, UEFI Güvenli Önyükleme güven köküne sahip olarak tüm UEFI Güvenli Önyükleme zincirini etkili bir şekilde tehlikeye atar.
• UEFI Secure Boot, ürün yazılımı güvenlik doğrulamasına DXE aşamasında başlar. Bu mantıklıdır çünkü UEFI DXE aşamasında başlar, bu nedenle UEFI Secure Boot yalnızca kendi bileşenlerinin doğrulanmasından sorumlu olmalıdır. Bununla birlikte, PI ürün yazılımındaki (yani PEI) güvenlik açıkları, SMM’yi (SPI flaşa yazmak için) veya DXE’den önce yüklenen platform ürün yazılımının diğer bileşenlerini hedef almak için istismar edilebilir ve kullanılabilir.

UEFI ürün yazılımı görüntü bütünlüğünün doğrulanmasını ve UEFI/PI kodunun tüm aşamalarının ölçülmesini sağlamak için daha sağlam bir başka teknolojiye başvurabiliriz: Intel Boot Guard.

Intel Boot Guard, UEFI Secure Boot’u çevreleyerek, UEFI/PI önyükleme akışının tüm aşamalarını kapsayacak şekilde güven kökünü genişleten bir ürün yazılımı bütünlüğü koruma ve doğrulama katmanı oluşturur. Intel Boot Guard ile platform ürün yazılımı bütünlüğü doğrulaması artık SEC ve PEI faz kodunun yanı sıra UEFI Secure Boot tarafından kapsanan DXE faz kodunu da kapsıyor. Başka bir deyişle, Intel Boot, UEFI BIOS’u SPI flash’tan hareket ederken sürecin en erken noktasından itibaren ve ardından UEFI/PI önyükleme sürecinin önceki aşamalarında aşamalı olarak korur ve son olarak PEI’den DXE’ye geçişten sonra ürün yazılımı görüntüsü doğrulama sürecini devam ettirmek için UEFI Secure Boot ile birlikte çalışır. Boot Guard, UEFI BIOS görüntüsünün bütünlüğünün UEFI/PI önyükleme sürecinin her aşaması boyunca ölçülmesini ve doğrulanmasını sağlar.

Intel Boot Guard güven kökünü daha da yukarı taşır; SPI flaşta saklanan PI ürün yazılımının bütünlüğüne güvenmek yerine (UEFI Güvenli Önyükleme için olduğu gibi), Boot Guard, anakartın üzerindeki Alan Programlanabilir Sigortaya (FPF) yakılan donanımda saklanan bir anahtarı kullanarak ürün yazılımı bileşenlerinin bütünlüğünü doğrulamak için Intel Kimliği Doğrulanmış Kod Modülünü (ACM) kullanır.

Boot Guard etkinleştirildiğinde, ACM CPU üzerinde Cache-as-Ram (CAR) adı verilen korumalı bir bellek bölgesinde çalışır ve IBB’nin (PI ürün yazılımının SEC ve PEI bileşenleri) bütünlüğünü doğrulamak için FPF’ye kilitlenen anahtarı kullanır. Böylece ACM, IBB’deki ilk komutu çalıştırmadan önce ürün yazılımı görüntü ölçümü ve doğrulaması gerçekleştirir [8]. IBB doğrulanırsa, CPU kontrolü IBB’ye geçirir ve ardından sıfırlama vektöründen ilk komutunu yürütmeye başlar. Boot Guard daha sonra UEFI/PI önyükleme akışı SEC’den PEI’ye ve DXE’ye geçerken platform ürün yazılımının sonraki parçalarını doğrulamaya devam edecektir. DXE aşamasına ulaşıldığında, UEFI Secure Boot kendi işini yapabilir ve DXE bileşenleri üzerinde kendi ürün yazılımı bütünlüğü doğrulama işlemini başlatabilir.

Intel Boot Guard’ın avantajları, artık yalnızca UEFI Secure Boot’a güvenmek yerine, donanıma kaynaştırılmış bir anahtar kullanarak IBB’nin tüm bileşenlerini doğrulayarak platformun çok daha geniş bir yelpazesinde platform ürün yazılımı güvenlik doğrulaması sağlamasıdır. Boot Guard, doğru uygulandığı takdirde platform ürün yazılımı saldırı yüzeyini büyük ölçüde daraltır.

Bu alanda Boot Guard bypassları ile ilgili çok fazla çalışma yapılmıştır. Genellikle Boot Guard’daki yanlış yapılandırmalar, donanım yazılımı güvenlik zincirinde boşluklar bırakır ve bu boşluklar bir saldırgan için yeterli açıklık olabilir. Aşağıda Boot Guard bypass teknikleriyle ilgili birkaç araştırma örneğine yer verdim. Bu konuya blog serisinin ilerleyen bölümlerinde UEFI hatalarından bahsederken döneceğiz.

Intel Boot Guard hakkında dikkat edilmesi gereken son bir önemli nokta da SPI flaşa okuma/yazma erişimini engellemediğidir. Intel Boot Guard, güven kökü olarak IBB’den başlayarak UEFI ürün yazılımı görüntüsünün bütünlüğünü doğrular, ancak rolü “CPU IBB’yi çalıştırmak için sıfırlamadan çıkmadan önce bu kodun doğruluğunu [doğrulayarak]” ürün yazılımı bütünlüğü doğrulaması yapmaktır. [10] SPI flash’a okuma/yazma erişimini engellemek ve böylece SPI flash’ta yerleşik ürün yazılımı implantları veya BIOS tabanlı rootkit’ler için saldırı vektörlerini en aza indirmek için başka bir teknolojiye başvurabiliriz: Intel BIOS Guard.

BIOS Guard, birçok ürün yazılımı değişiklik vektörüne karşı koruma sağlayarak ve SPI flaşta saklanan güven kökünü (IBB) ve diğer ürün yazılımı bileşenlerini tehlikeye atılmaya veya kurcalanmaya karşı koruyarak UEFI Secure Boot ve Intel Boot Guard tarafından bırakılan güvenlik boşluklarını doldurur.

Intel BIOS Guard, SPI flash yongasını (ve dolayısıyla SPI flash üzerinde bulunan UEFI BIOS’u) yetkisiz okuma/yazma işlemlerine karşı korur. BIOS Guard özellikle SPI flash modifikasyonu için saldırı yüzeyini azaltmaya odaklanır. Özellikle, SMM kodundan (yani SMI işleyicilerinden) SPI flaşa erişimi kısıtlar. BIOS Guard, Flash okuma/yazma erişimini kısıtlayarak ve yalnızca BIOS Guard’ın AC-RAM modunda çalışan kodun SPI flash’ı değiştirme yetkisine sahip olmasını sağlayarak SMI işleyicilerinden ve çoğu POST kodundan gelen saldırı vektörlerini ortadan kaldırır [10].

UEFI Kabuğu, çeşitli UEFI bileşenleriyle (örneğin, diğer UEFI uygulamaları ve sürücüleri ile bunların protokolleri) etkileşim için kabuk benzeri bir arayüz sağlayan bir UEFI uygulamasıdır. Bir üretim cihazında UEFI Kabuğuna sahip olmak nadirdir (ve kesinlikle tavsiye edilmez). Bununla birlikte, test amacıyla, UEFI kabuğu hem açıkları test etmek hem de sistemi daha iyi anlamak için mükemmel bir ortamdır. [6]

UEFI uygulamaları ve sürücülerinin her ikisi de UEFI görüntüleridir ve serinin ilerleyen bölümlerinde UEFI tersine mühendislik ve istismar geliştirmeyi incelerken çalışacağımız birincil UEFI bileşeni olacaklardır. Şimdilik, UEFI uygulamaları ve sürücüleri hakkında dikkat edilmesi gereken önemli noktalar bunlardır:

• UEFI uygulamaları ve sürücülerinin her ikisi de PE/COFF başlığına sahip ikili yürütülebilir dosyalar.
• Bir UEFI uygulaması ile bir UEFI sürücüsü arasındaki tek fark, bir uygulamanın çalıştıktan sonra bellekten kaldırılması ve bir sürücünün kaldırılana kadar yerleşik kalmasıdır

Bu protokoller UEFI’nin et ve patatesleri olarak hizmet vermektedir. Protokollerin rolü UEFI’nin o kadar ayrılmaz bir parçasıdır ki pratikte “Linux’ta her şey bir dosyadır” sözüne benzer. UEFI’de bir protokol, veri ve işlev işaretçilerini kapsülleyen bir arayüzdür. Her platform bileşeni ve ağlar veya diskler gibi her cihaz için, donanım ve ürün yazılımı iletişimi için soyutlama katmanı olarak hizmet vermeye hazır bir veya daha fazla protokol vardır.

Protokollerin diğer UEFI terimleriyle dikkate değer birkaç bağlantısı vardır:

• Bir UEFI sürücüsü bir veya daha fazla UEFI protokolü üretebilir.
• UEFI tanıtıcıları bir veya daha fazla protokolün koleksiyonlarıdır. Tüm tutamaçlar tutamaç veritabanında saklanır. Tanıtıcı veritabanı (şaşırtıcı olmayan bir şekilde) bir tanıtıcı anahtarını protokollerle ilişkilendiren bir sözlük yapısıdır, ancak protokol türleri tanıtıcı türünü belirler (bu durumda değerler anahtarı etkiler). [1, p. 17]

EFI Sistem Tablosu: UEFI’deki ilk büyük veri yapısı olan EFI Sistem Tablosu, EFI Önyükleme Hizmetleri Tablosu ve EFI Çalışma Zamanı Hizmetleri Tablosu dahil olmak üzere diğer önemli veri yapılarına yönelik önemli veriler ve işaretçiler içerir. Ayrıca konsol I/O hizmetleri ve UEFI Yapılandırma Tablosu için işaretçiler içerir. UEFI Yapılandırma Tablosu bilinen GUID’leri ve karşılık geldikleri işaretçileri içerir ve bu tablo isteğe bağlı olarak ürün yazılımı ekosisteminde farklı rolleri olan diğer tabloları da içerebilir (örn. ACPI Tablosu, HOB Listesi) [6]. Bu veri yapısının UEFI’deki önemi abartılamaz. PI Spec’e göre, “DXE aşamasında mevcut olan tüm hizmetlere UEFI Sistem Tablosuna bir işaretçi aracılığıyla erişilebilir.” [6]

EFI Önyükleme Hizmetleri Tablosu: Bu, işletim sistemi açılmadan önce UEFI ürün yazılımı tarafından kullanılan işlevlere işaret eden bir işlev işaretçileri tablosudur. EFI Önyükleme Hizmetleri Tablosunun işlevleri, UEFI ürün yazılımı kontrolü işletim sistemine aktardıktan ve önyükleme hizmetlerini sonlandırdıktan sonra kullanılamaz. Önyükleme hizmetlerinin sonlandırılması, **EFI_BOOT_SERVICES.ExitBootServices() **olarak adlandırılan EFI Önyükleme Hizmetleri Tablosuna son bir çağrı yapan UEFI işletim sistemi yükleyicisi tarafından yapılır.

EFI Çalışma Zamanı Hizmetleri Tablosu: Bu, UEFI ürün yazılımı tarafından kullanılan işlevlere işaret eden bir işlev işaretçileri tablosudur. Bu işlevler işletim sistemi yüklendikten sonra kullanılabilir (dolayısıyla “Çalışma Zamanı Hizmetleri tablosu” adı verilir) ve işletim sistemi kodunun aygıt yazılımı bileşenleriyle etkileşime girmesi için bir araç olarak sağlanır.

UEFI’ye genel bakış seminerimizin sonuna geldik ve bu tanıtım seminerine katıldığınız için teşekkür ederiz. Bugünlük dersi sonlandırmadan önce, blog serisinin geri kalan yazılarının yapısını tanıtmak için sizi bir veda düşüncesiyle baş başa bırakacağım. Büyük Donald Knuth’u ve onun bilgisayar bilimlerinde teori ve pratik dengesine ilişkin bilgeliğini hatırlayarak, UEFI 1337 üstünlüğüne ulaşmak için hem teori hem de pratiğin gerekli olduğunu biliyoruz. Başarılı UEFI açıkları yazmak için aşağıdakilere ihtiyacımız var:

• Teori: UEFI ve istismarlara yol açan çeşitli saldırı vektörleri hakkında temel bir anlayış
• Uygulama: UEFI istismar geliştirme deneyimi

Teori gereksinimlerimizi karşılamak için ihtiyacımız olan şeylerin çoğunu belirledik. Gelecek blog yazılarında, UEFI tersine mühendislik, güvenlik açığı bulma ve istismar geliştirmenin pratik bileşenlerine geçmeden önce kalan temel bilgileri (UEFI Güvenlik Açıklarına genel bakış) ele alacağız.

“UEFI yeni BIOS’tur” yazısının bir sonraki bölümünde görüşmek üzere.

Ngrok, geliştiriciler arasında popüler olan bir ağ tünelleme hizmeti olup, yerel bilgisayarınızda çalışan uygulamaları internet üzerinden erişilebilir hale getirmek için kullanılır. Web sunucuları veya diğer servisler için güvenli bir tünel oluşturarak, geçici bir URL sunar ve bu sayede yerel projeler internete açılabilir. Ngrok, API testleri, webhook entegrasyonları ve uzaktan erişim gibi geliştirme süreçlerinde oldukça yaygın bir şekilde tercih edilir.

• Geliştirme ve Test: Ngrok, geliştiriciler için mükemmel bir araçtır. Yerel bir projeyi hızlı bir şekilde internet üzerinden erişilebilir hale getirir. Özellikle **API testleri, webhook entegrasyonları **veya üçüncü taraf uygulamalarla entegrasyonlar için kullanılır. Bu şekilde, uygulamanızı internet üzerinden test etme fırsatınız olur.
• Paylaşım: Ngrok, yerel sunucuda çalışan projelerin başka kişilerle hızlı ve kolay bir şekilde paylaşılmasını sağlar. Bu, özellikle demo gösterimleri veya proje incelemeleri için oldukça kullanışlıdır. Projenizi dış dünyaya açarak, ekip üyeleriniz veya müşterilerinizle paylaşabilirsiniz.
• Güvenli Erişim: Ngrok, HTTPS desteği sunarak güvenli bağlantılar üzerinden iletişim sağlar. Özellikle hassas veri barındıran projeler için, güvenli bağlantılar kritik öneme sahiptir. Bu sayede, veri transferi sırasında üçüncü tarafların verilere erişmesi engellenir.
• Uzak Erişim: Ngrok, yerel ağda bulunan cihazlara veya sunuculara uzaktan erişim sağlamanın harika bir yoludur. Özellikle, yerel sunucuları uzaktan yönetmek veya dışarıdan verilere erişim sağlamak için kullanışlıdır.
• Port Yönlendirme: Ngrok, yerel bir portu internete yönlendirir, böylece uygulamanıza internet üzerinden kolayca erişebilirsiniz. Bu özellik, özellikle geliştirici testlerinde ve demolarda sıklıkla kullanılır.

Ngrok, geliştiriciler için pek çok avantaj sunar.

• **Kolay Kurulum ve Kullanım: **Ngrok, birkaç basit komutla kullanılabilir hale gelir. Kurulum süreci hızlıdır ve karmaşık ağ ayarlarıyla uğraşmadan kolayca tünel açabilirsiniz.
• **Güvenli Bağlantılar: **Ngrok, HTTPS bağlantılarıyla çalışır ve yerel projelerinizi dış dünyaya açarken güvenliği ön planda tutar.
• Geçici URL’ler: Ngrok, dinamik ve geçici URL’ler oluşturarak projelerinizi test etmek için hızlı çözümler sunar. Bu URL’ler yalnızca belirli bir süre için aktif olur, bu da güvenliği artırır.
• Verimli Geliştirme Süreci: API’ler veya üçüncü taraf hizmetlerle entegrasyon sağlamak gerektiğinde, Ngrok hızlı test yapmanıza olanak tanır.
• Çoklu Proje Desteği: Aynı anda birden fazla projeyi internet üzerinden erişilebilir hale getirebilir, birden fazla tüneli aynı anda açabilirsiniz.

Ngrok’un sağladığı güvenli ve dinamik tünelleme hizmeti, siber saldırganlar tarafından kötü niyetli amaçlar için de sıklıkla kullanılmaktadır. Özellikle Komuta ve Kontrol (C2) sunucuları ve ağ güvenliğini aşmak gibi durumlarda saldırganlara avantaj sağlamaktadır. Aşağıda bu tehditlerden bazıları sıralanmıştır:

• Komuta ve Kontrol (C2) Sunucuları: Saldırganlar, kötü amaçlı yazılımları kontrol etmek için C2 sunucuları kurar. Ngrok, saldırganların bu sunuculara güvenli tüneller açarak internet üzerinden erişim sağlamalarına olanak tanır. Bu sayede, saldırganlar gerçek IP adreslerini gizleyebilir ve izlenmeleri zorlaşır.
• Firewall ve Ağ Güvenliği İhlali: Ngrok, ağ güvenlik duvarlarını atlamak için kullanılabilir. Bir saldırgan, kurbanın ağındaki güvenlik duvarlarını ve izleme çözümlerini Ngrok kullanarak bypass edebilir. Bu da, saldırganın yerel ağdaki sistemlere uzaktan erişim sağlamasına neden olmaktadır.
• Zararlı Webhook İletişimi: Ngrok’un webhook test işlevi, saldırganlar tarafından kötü amaçlı scriptlerin tetiklenmesi için kullanılabilir. Saldırgan, kurbanın sistemine sızdıktan sonra uzaktan bir script çalıştırarak sistem üzerinde zararlı işlemler gerçekleştirmektedirler.
• Kötü Amaçlı Yazılım Dağıtımı: Saldırganlar, Ngrok kullanarak zararlı yazılımlar barındıran sunucuları internet üzerinden erişilebilir hale getirmekte ve bu zararlı yazılımın hedef sisteme kolayca indirilmesini sağlamaktadır.
• İz Takibini Zorlaştırma: Ngrok, dinamik URL’ler oluşturur ve bu URL’ler geçici olduğu için saldırganların izlenmesini zorlaştırır. URL’lerin sürekli değişmesi, güvenlik ekiplerinin saldırıları tespit etmesini zorlaştırır.
• Yerel Ağın İnternete Açılması: Bir saldırgan, kurbanın yerel ağındaki bir sistemi Ngrok ile dış dünyaya açarak uzaktan kontrol edebilir. Bu durum, daha fazla zararlı faaliyetin gerçekleştirilmesine olanak tanır.

Ngrok, sunduğu avantajların yanı sıra kötü niyetli kullanım riskleri taşıdığı için dikkatle izlenmelidir. Siber güvenlik uzmanları, sistemlerde izinsiz Ngrok kullanımına karşı uygun güvenlik politikalarını hayata geçirmelidir. Yerel projeleri internet üzerinden hızlıca erişilebilir hale getirir ve geliştirme süreçlerini hızlandırır. Ngrok, geliştiriciler için güçlü ve kullanışlı bir ağ tünelleme aracı olmakla birlikte, kötü niyetli kullanımlarından dolayı içerisinde bir çok risk barındırmaktadır. Ancak, Ngrok’un sağladığı bu esneklik ve kolaylık, güvenlik açısından bazı riskleri de beraberinde getirir. Gerekli siber güvenlik önlemlerini alarak, Ngrok kullanımını güvenli hale getirmek ve kötü niyetli kullanımları önlemek kurumlar için hayati önem taşımaktadır.