18 Ekim 2017 Çarşamba

USA vs. Kaspersky (Round #3)

ABD; Kaspersky'yi bitirmeye ya da Kaspersky mevzusunu bitirmemeye kararlı görünüyor:
 
Kaspersky mevzusu oldukça ilginç taraflara doğru gidiyor.
 
Bilindiği gibi ABD hükümeti 13 Eylül 2017 tarihi itibarıyla Kaspersky'yi tüm devlet kurumlarından kaldırma kararı almıştı. (https://www.dhs.gov/news/2017/09/13/dhs-statement-issuance-binding-operational-directive-17-01)
 
ABD hükümeti, 12 Temmuz 2017 tarihinde Kaspersky'yi önce önce onaylı üretici listesinden (approved vendor list) çıkardı, bundan birkaç ay sonra da tamamen yasakladı. (https://www.reuters.com/article/us-usa-kasperskylab/trump-administration-limits-government-use-of-kaspersky-lab-software-idUSKBN19W2W2)
Fakat bu Kaspersky işi burada bitmedi. İşler biraz daha karmaşık hale geldi. Daha da karmaşık hale gelebilir.

 
Hangi sebepten dolayı ve ne alaka ise; İsrailli elemanlar Kaspersky'nin ağına sızmayı başarmışlar ve bu sızma sonucunda da şunu keşfetmişler: "Kaspersky, ABD'nin kamu kurumlarından bilgi çalmaya çalışıyor ve bunu başarıyor." Bunu tespit eden İsrail, ABD'ye bu durumu bildirmiş ve ABD'yi uyarmış. Ha, "İsrail'in Kaspersky'nin ağında ne işi varmış; bunu ne zaman ve nasıl yapmış; bunu İsrail'in hangi birimi gerçekleştirmiş; uluslararası hukukta bunun yeri neymiş; İsrail bu tespitini ABD ile niye ve hangi platform üzerinden paylaşmış?" vs. gibi soruların cevabı yok. Ayrıca İsrail'in Kaspersky'nin ağına girmiş olması haberi de doğru mu yanlış mı o da belli değil. (Ülkeler psikolojik üstünlük sağlamak için, boylarından büyük işleri yapmış gibi göstermeye çalışabiliyorlar iç ve dış kamuoylarına. Algı operasyonları meselesi.)
Bu arada, konuyla ilgili olarak Almanya da topa girdi ve Almanya'nın siber güvenlik teşkilatı olan BSI da (yani NSA'nın Almanya'daki karşılığı olan birim) "Kaspersky'nin böyle bir şey yaptığına dair delil göremedik." şeklinde bir açıklama yaptı. (Bu ülkelerden başka -henüz- topa giren olmadı.)
Tüm bu curcuna ve gaz ve toz bulutunun ortasında somut sadece bir tek olay mevcut. O da şu: NSA'nın bir çalışanı, evinde kullanmış olduğu kişisel bilgisayarından "gizli" ibareli dosyaları saldırganlara kaptırmış ve bu elemanın evinde kullanmış olduğu bu bilgisayarda da Kaspersky antivirüs programı varmış. ("GİZLİ" ibareli dosyaları eve götürüp, çalışmanın zararları işte.)
 
Kaspersky firması da -normal olarak- medyaya düşmüş olan tüm bu haberleri yalanlıyor.
 
Özetle; -hep yazıyor olduğum gibi- ABD, başkanlık seçimlerinde Rusya'dan yemiş olduğu golü hala çıkarmaya çalışıyor fakat bunu bir türlü başaramıyor fakat bunun için didiniyor, yavaş da olsa adımlar atıyor. Fakat sağlam geliyor bana sorarsanız.
 
Haberle ilgili altı çizilecek yerler:
 
***
 
"It was a case of spies watching spies watching spies: Israeli intelligence officers looked on in real time as Russian government hackers searched computers around the world for the code names of American intelligence programs."
 
"The Israeli officials who had hacked into Kaspersky’s own network alerted the United States to the broad Russian intrusion, which has not been previously reported, leading to a decision just last month to order Kaspersky software removed from government computers."
"The National Security Agency and the White House declined to comment for this article. The Israeli Embassy declined to comment, and the Russian Embassy did not respond to requests for comment." (Hiçbir ülkeden çıt yok.)
 
"...But the role of Israeli intelligence in uncovering that breach and the Russian hackers’ use of Kaspersky software in the broader search for American secrets have not previously been disclosed."
 
"..Kaspersky Lab denied any knowledge of, or involvement in, the Russian hacking. “Kaspersky Lab has never helped, nor will help, any government in the world with its cyberespionage efforts,” the company said in a statement Tuesday afternoon." (Yersen böyle.)
 
"...More than 60 percent, or $374 million, of the company’s $633 million in annual sales come from customers in the United States and Western Europe...." (ABD postayı koydu Kaspersky'ye ama Avrupa henüz koymadı. Almanya "Kesin değil." diyorsa tüm Avrupa böyle diyor demektir. Ama yakında Kaspersky ekonomik olarak sıkıntıya düşebilir.)
"But experts on Russia say that under President Vladimir V. Putin, a former K.G.B. officer, businesses asked for assistance by Russian spy agencies may feel they have no choice but to give it. To refuse might well invite hostile action from the government against the business or its leaders. Mr. Kaspersky, who attended an intelligence institute and served in Russia’s Ministry of Defense, would have few illusions about the cost of refusing a Kremlin request." (NYTimes'ın haberindeki mevzunun perde arkasına ışık tutan en önemli paragraf bu bence. Hafif ince görmek gerekebilir.)

13 Eylül 2017 Çarşamba

Equifax Veri Sızması

 
 
Kuzey Amerika'da hata yaptın mı, bunun bir bedeli muhakkak oluyor. (Bazı durumlarda kantarın topuzunu biraz kaçırsalar da durum böyle.)
 
ABD'deki Equifax ismindeki kredilendirme kuruluşunun, kendi sistemlerinde kayıtlı yaklaşık 143 milyon kişinin kimlik numaralarını (social security number) ve kredi bilgilerini çaldırması üzerine Equifax firmasında davalar açılmaya başlandı:
 
 
Bu davaların gerisi de gelir gibi görünüyor. ABD Kongresi ve Dipartmınt of Homlent Seküriti de olaya müdahil olmak üzereymiş. EfBiAy da olayı ayrıntılı inceliyormuş bu arada.
 
Ama hacım ya!! Ne kadar abarttınız mevzuyu! Biz "Hayırlısı olsun!" der geçerdik böyle bir şey bizde olsaydı. İki sözcük, biraz hamaset ve hayat kaldığı yerden devam ederdi hiçbir şey olmamış gibi. Cidden çok abartıyosunuz bilader! Easy man! Easy! =))
 
Equifax hisseleri geçen Perşembe'den (07.09.2017) bu yana düşüşe geçmiş olsa da bunun borsadaki hisselere -henüz- çok aşırı bir etkisi olmamış(mış). Fakat Equifax hisselerinde büyük düşüşün olacağı beklenmekte. Bu vahim veri sızması olayından hemen sonra da üç hissedarın, toplam 1,8 milyon dolarlık Equifax hisselerini satmaları belki buna bir işaret olabilir. Equifax, 1,8 milyon dolarlık bu hisse satışlarının veri sızmasıyla ilgisi olmadığını açıklamıştı.
 
Hukuka merakı olanlar için davaların ayrıntılarına buralardan bakılabilir:
 
Biraz da komplo teorisi senaryosu yazalım şimdi: Sam amcanın, verilerin gizliliğini azaltma ve devlete bu konuda biraz daha fazla yetki verip, dolaylı olarak özgürlükleri kısıtlama konusunda elinde birkaç taslak vardır. Ama Sam amca, bu tasarıları hayata geçirmeye çalıştığı takdirde, kamuoyunun buna çok ciddi bir tepkisinin vereceğini ve tasarıların kadük kalacağını, kendisinin de madara olacağını domuz gibi bilmektedir.
 
Bu olası tepkileri yok etmek ya da azaltmak için herkesi ilgilendiren ve herkesi gerilime geçiren "nationwide" bir olaya ihtiyaç vardır. Bunun için elinde zaten, önceden hazırlamış olduğu beş adet senaryosu bulunmaktadır ve bu senaryolardan birisini seçip, çoktan düğmeye basmıştır bile.
 
Bu sefer kurban olarak Equifax şirketini seçmiştir. Zaten Equifax şirketine uzun bir süredir de gıcık olmaktadır. Bu şirket kendisine, vakti zamanında çok pis "lolo" yapmıştır. Sam amca da bunu tabii ki unutmamıştır. Uzun zamandır da bu şirketi ucuza kapatmak niyeti de vardır. Equifax hisselerinin ve şirketin değeri düşünce de şirketi hemen satın almayı planlamaktadır. Bizim bildiğimiz Sam amca zaten, en az iki kuşu gözüne kestirmemişse, elini taşa sürmez. (Güzel bir Hollywood filmi senaryosu size.)

6 Eylül 2017 Çarşamba

Chicken Wings vs. Cybersecurity

If you didn't provide against cyber threats then you cannot eat chicken wings. Not cybersecurity but chicken wings security. =))
 

14 Ağustos 2017 Pazartesi

Incident Respone Plan


It should be noted: if an Incident Response plan is not already in place, do not attempt to create one during an infection. Rather, remove the infected server from the network. Create a plan to systematically return the infected server to its pre-infected production condition before beginning the recovery process. Incident response is not a responsibility that a single person can handle. Recovering a compromised server in a haphazardly fashion can create more system issues and do more damage then the initial compromise.
 
...
...Incident Response Plans should not be created during a security incident nor should one person be assigned to develop an Incident Response Plan. Incident response should be the responsibility of different members from different groups in an organization...
...
 
...During an incident, panic will often set in. Do not let this happen...

----
Source:
SANS Institute InfoSec Reading Room
Source: Malware Analysis: An Introduction
 
 
 
 
 

9 Ağustos 2017 Çarşamba

Automotive Cyber Flaws

30 years ago, it could sound like a science fiction scenario but today we are moving slowly towards that point. Today automotive cyber flaw concept is a threat. It is only not that much widdespread.
 
Anything which has an IP address (IoT) is a target candidate of hackers. Naturally the "connected cars" aren't exception for this concept. A car which is connected to internet or to an intranet is defined as "connected car".
Think of that you are the main character of the following scenario: You own a connected car. It's a brand new, smart car. You paid a lot of bucks to buy it.
 
One day in the morning you got into your car and turned the car key as usual. But... Hey! It's not working. You tried it a couple of times but the engine couldn't be started. During that confusion and anger suddenly you noticed a message on the screen of your car. "Your car is compromised. Don't go to the police. The data in your car is encrypted. If you pay us blah blah..."
 
"What? What the hell does it mean now?" After a couple of phone calls you solved the puzzle. Gosh! Yeah! It was your turn to become a carsomware (car + ransomware) victim. The hackers requested 1,000USD to unlock your car. You called your contracted car service and they told you that they have to change the "brain unit" of your car and it will cost you about 2,000USD.
 
Now... The question is: Which choice would you prefer? Hackers' bid or your car service's offer?
This seems to be like a movie scenario today but we are getting closer to such troubles day after day.
 
There can be much more dangerous scenarios in car hacking than not being able to start the engine. Think of what can happen if the brakes of your car suddenly malfunctioned while you were driving with a speed of 120km/h (~75mph) in a crowded traffic.
 
DHS (Department of Homeland Security) warned the automotive industry against the automotive cyber flaws: https://fcw.com/articles/2017/08/03/auto-cyber-cert-rockwell.aspx
 
In one of the conferences In DEFCON 2017 (August 2nd) researchers presented a paper on "automobile system vulnerabilities": https://securingtomorrow.mcafee.com/mcafee-labs/defcon-connected-car-security/
Remarkable lines:
 
"According to Intel however, the 'connected car is already the third-fastest growing technological device after phones and tablets.' "
 
"Our connected cars today generate up to 4,000GB of data per 50Kb every second and using on-board cameras generates 20MB to 40MB per second."
 
"Fundamentally, a car is like a jigsaw puzzle with multiple components, so applying patches to cars the way we would a phone, for example, is not feasible."
 
If you want a cyber threats free car then I would recommend the following one. =))